CN115102781A - 网络攻击处理方法、装置、电子设备和介质 - Google Patents
网络攻击处理方法、装置、电子设备和介质 Download PDFInfo
- Publication number
- CN115102781A CN115102781A CN202210833617.6A CN202210833617A CN115102781A CN 115102781 A CN115102781 A CN 115102781A CN 202210833617 A CN202210833617 A CN 202210833617A CN 115102781 A CN115102781 A CN 115102781A
- Authority
- CN
- China
- Prior art keywords
- prediction
- flow
- source
- trend
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 26
- 238000012216 screening Methods 0.000 claims abstract description 41
- 238000012545 processing Methods 0.000 claims abstract description 30
- 230000007246 mechanism Effects 0.000 claims abstract description 21
- 238000012544 monitoring process Methods 0.000 claims abstract description 10
- 238000000034 method Methods 0.000 claims description 29
- 238000001514 detection method Methods 0.000 claims description 18
- 241000239290 Araneae Species 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 238000004140 cleaning Methods 0.000 claims description 8
- 238000004088 simulation Methods 0.000 claims description 6
- 230000007123 defense Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 description 28
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000003247 decreasing effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种网络攻击处理方法、装置、电子设备和介质,涉及网络安全技术领域。其中,网络攻击处理方法包括:基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量;监测到所述预测窗口的实际流量大于所述预测流量,并且所述实际流量与所述预测流量之间的差值大于参考流量,基于所述实际流量确定进行HTTP Flood攻击的可疑源IP;对所述可疑源IP地址进行攻击性筛选,基于筛选结果确定所述网络攻击的攻击源IP。通过本公开的技术方案,通过直接对流量数据进行监测和分析,即可有效区分HTTP Flood攻击流量和正常流量,因此能够保证对网络攻击处理的效率。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种网络攻击处理方法、装置、电子设备和存储介质。
背景技术
HTTP Flood攻击(针对Web服务在应用层发起的攻击)又被称为CC(ChallengeCollapsar)攻击,属于DDoS(Distributed denial of service attack,分布式拒绝服务攻击)攻击的一种,攻击者通过代理或僵尸主机向目标服务器发起大量HTTP报文等合法请求,实现DDOS和伪装,请求涉及数据库操作和/或CPU等其它消耗系统资源的URI(UniversalResource Identifier,通用资源标识符),导致造成目标服务器资源耗尽,无法响应正常请求。
相关技术中,针对HTTP Flood攻击,通过直接将可疑IP进行三层拦截的方式进行处理,但是存在以下缺陷:一方面,该处理方式涉及到CDN(Content Delivery Network,内容分发网络)业务托管,而CDN业务托管业务较复杂,导致影响攻击处理的效率,另一方面,由于存在局域网用户使用相同IP上网的情况,因此直接对IP进行封禁也易造成误杀,导致影响正常用户的网络业务。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种网络攻击处理方法、装置、存储介质及电子设备,至少在一定程度上克服由于相关技术中对HTTP Flood攻击的处理效果不佳的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种网络攻击处理方法,包括:基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量;监测到所述预测窗口的实际流量大于所述预测流量,并且所述实际流量与所述预测流量之间的差值大于参考流量,基于所述实际流量确定进行HTTP Flood攻击的可疑源IP;对所述可疑源IP地址进行攻击性筛选,基于筛选结果确定所述网络攻击的攻击源IP。
在一个实施例中,所述基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量包括:统计所述预测窗口内的网络流量序列;将所述预测窗口的网络流量序列输入流量趋势预测模型,以由所述流量趋势预测模型输出针对所述预测窗口的趋势预测值;基于所述滑动窗口机制滑动所述预测窗口,直至滑动长度达到所述预测窗口的长度,以得到多个所述趋势预测值,并基于多个所述趋势预测值得到所述基于预测窗口的预测流量。
在一个实施例中,所述流量趋势预测模型为EWMA预测模型,所述将所述预测窗口的网络流量序列输入流量趋势预测模型,以由所述流量趋势预测模型输出针对所述预测窗口的趋势预测值包括:基于所述EWMA预测模型对所述网络流量序列进行趋势预测,得到历史趋势预测值;基于所述EWMA预测模型对所述历史趋势预测值和预测时刻的流量值进行指数加权移动平均运算,得到所述趋势预测值;其中,所述指数加权移动平均运算基于公式Vt=βVt-1+(1-β)θt执行,t为所述预测时刻,θt为所述预测时刻t的流量值,β表示加权下降速率,Vt为针对t的趋势预测值,Vt-1为历史趋势预测值。
在一个实施例中,在监测到所述预测窗口的实际流量大于所述预测流量之前,还包括:所述实际流量包括实际趋势值,将所述预测时刻的所述趋势预测值和所述实际趋势值进行比较,在多个所述预测时刻的所述趋势预测值均大于所述实际趋势值,并且所述趋势预测值和所述实际趋势值之间的差值大于所述参考流量,确定所述实际流量与所述预测流量之间的差值大于所述参考流量。
在一个实施例中,所述基于所述实际流量确定进行HTTP Flood攻击的可疑源IP包括:基于所述实际流量获取对统一资源定位符URL进行访问的访问请求;提取所述访问请求携带的访问信息,所述访问信息包括访问源IP、用户代理User_Agent和HTTP Referer中的至少一种;对所述用户代理和所述HTTP Referer进行相似性检测,以检测是否属于同一访问源IP;基于所述相似性检测的结果统计每个所述访问源IP访问每个所述URL的访问频度;将所述访问频度大于频度阈值的所述访问源IP确定为所述可疑源IP,并将所述可疑源IP放入可疑源列表。
在一个实施例中,所述对所述可疑源IP地址进行攻击性筛选,基于筛选结果确定所述网络攻击的攻击源IP包括:基于白名单清洗对所述可疑源列表进行攻击性筛选,以将不在所述白名单中的所述可疑源IP确定为待认证IP;对所述待认证IP进行重定向认证,以将未认证通过的所述待认证IP确定为所述攻击源IP,并加入黑名单。
在一个实施例中,所述基于白名单清洗对所述可疑源列表进行攻击性筛选,以将不在所述白名单中的所述可疑源IP确定为待认证IP包括:获取所述可疑源IP发送的访问请求中的所述用户代理;检测所述用户代理是否为对搜索引擎蜘蛛爬虫的模仿操作;若不是所述模仿操作,则将所述可疑源IP放入白名单;若是所述模仿操作,则将所述可疑源IP确定为所述待认证IP。
在一个实施例中,所述对所述待认证IP进行重定向认证,以将未认证通过的所述待认证IP确定为所述攻击源IP包括:确定与所述待认证IP的访问请求对应的目标页面;检测到所述目标页面与页面的内嵌资源不在同一服务器上,并且所述内嵌资源的服务器异常,则对所述内嵌资源的服务器启动302重定向防御,以探测所述待认证IP的访问请求是否基于真实浏览器发送;基于探测结果确定所述待认证IP未完成重定向过程,则确认所述访问请求不是基于真实浏览器发送,并将所述待认证IP确定为所述攻击源IP。
在一个实施例中,还包括:在网络接入处部署流量探测设备或检测软件,以监测所述实际流量。
根据本公开的第二方面,提供一种网络攻击处理装置,包括:预测模块,用于基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量;确定模块,用于监测到所述预测窗口的实际流量大于所述预测流量,并且所述实际流量与所述预测流量之间的差值大于参考流量,基于所述实际流量确定进行HTTP Flood攻击的可疑源IP;筛选模块,用于对所述可疑源IP地址进行攻击性筛选,基于筛选结果确定所述网络攻击的攻击源IP。
根据本公开的第三方面,提供一种电子设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;所述处理器配置为经由执行所述可执行指令来执行上述的网络攻击处理方法。
根据本公开的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的网络攻击处理方法。
本公开的实施例所提供的网络攻击处理方法,通过基于滑动窗口机制进行网络流量预测,以将得到的预测流量和实际监测到的实际流量进行比较,如果实际流量大于预测流量,并且实际流量与预测流量之间的差值大于参考流量,并且远远大于预测流量,则表明出现突发的网络流量异常的现象,即出现HTTP Flood攻击,此时通过先确定可疑源IP,再进一步从可疑源IP中筛选出攻击源IP,该网络攻击处理方式,一方面,通过直接对流量数据进行监测和分析,不需要经过CDN业务托管,即可有效区分HTTP Flood攻击流量和正常流量,因此能够保证对网络攻击处理的效率,另一方面,通过先确定可以源IP,再进一步筛选出攻击源IP的方式,实现了对HTTP Flood攻击的种类以及源IP类型的识别,进而保证对攻击源IP确定的有效性和可靠性,降低了对正常IP封禁的概率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中一种网络攻击处理方法流程图;
图2示出本公开实施例中另一种网络攻击处理方法流程图;
图3示出本公开实施例中另一种网络攻击处理方法流程图;
图4示出本公开实施例中再一种网络攻击处理方法流程图;
图5示出本公开实施例中一种网络攻击处理方案的交互图;
图6示出本公开实施例中又一种网络攻击处理方法流程图;
图7示出本公开实施例中一种网络攻击处理装置示意图;
图8示出本公开实施例中一种计算机设备的结构框图;和
图9示出本公开实施例中一种程序产品的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本申请提供的方案,通过基于滑动窗口机制进行网络流量预测,以将得到的预测流量和实际监测到的实际流量进行比较,如果实际流量大于预测流量,并且实际流量与预测流量之间的差值大于参考流量,并且远远大于预测流量,则表明出现突发的网络流量异常的现象,即出现HTTP Flood攻击,此时通过先确定可疑源IP,再进一步从可疑源IP中筛选出攻击源IP,该网络攻击处理方式,一方面,通过直接对流量数据进行监测和分析,不需要经过CDN业务托管,即可有效区分HTTP Flood攻击流量和正常流量,因此能够保证对网络攻击处理的效率,另一方面,通过先确定可以源IP,再进一步筛选出攻击源IP的方式,实现了对HTTP Flood攻击的种类以及源IP类型的识别,进而保证对攻击源IP确定的有效性和可靠性,降低了对正常IP封禁的概率。
为了便于理解,下面首先对本申请涉及到的名词(缩写词)进行解释。
EWMA(Exponential Moving Average,指数移动平均)模型,是以指数式递减加权的移动平均,各数值的加权而随时间而指数式递减,越近期的数据加权越重,但较旧的数据也给予一定的加权,加权的程度以常数β决定,β数值介乎0至1之间。
ARCH(自回归条件异方差)模型:ARCH模型将当前一切可利用信息作为条件,并采用某种自回归形式来刻画方差的变异,对于一个时间序列而言,在不同时刻可利用的信息不同,而相应的条件方差也不同,利用ARCH模型,可以刻画出随时间而变异的条件方差。
GARCH(Generalized AutoRegressive Conditional Heteroskedasticity,广义自回归条件异方差模型)模型是ARCH模型和EWMA模型的结合。
IP黑白名单:云锁的“IP黑白名单”是针对IP是否被允许访问网站的功能。加入黑名单的IP则拒绝其对网站的访问,而加入白名单的IP则不受任何限制。
下面,将结合附图及实施例对本示例实施方式中的网络攻击处理方法的各个步骤进行更详细的说明。
图1示出本公开实施例中一种网络攻击处理方法流程图。
如图1所示,根据本公开的一个实施例的网络攻击处理方法,包括以下步骤:
步骤S102,基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量。
其中,滑动窗口机制指采用一个指定时长的时间窗口,在每个时间窗口内,即后续的滑动窗口,通过监测到的滑动窗口内时间段的网络流量,进行当前或未来时刻的流量趋势的预测。
预测流量则指在正常工况下访问某一网页或某些网页的流量值
步骤S104,监测到预测窗口的实际流量大于预测流量,并且实际流量与预测流量之间的差值大于参考流量,基于实际流量确定进行HTTP Flood攻击的可疑源IP。
其中,参考流量为衡量实际监测到的实际流量是否远远大于预测流量的参考值,通过设置参考流量,监测实际流量是否远远大于预测流量,以在确定实际流量远远大于预测流量时,表明此刻的实际流量包括HTTP Flood流量,即存在流量异常,此时则可认为存在HTTP Flood攻击,从而基于对实际流量中携带的数据的进一步解析,确定进行HTTP Flood攻击的可疑源IP。
可疑源IP为疑似为攻击源IP的IP地址。
步骤S106,对可疑源IP地址进行攻击性筛选,基于筛选结果确定网络攻击的攻击源IP。
其中,攻击性筛选,指从可疑源IP中筛选出实际的攻击源IP,在基于筛选结果确定网络攻击的攻击源IP后,可以进一步能够针对攻击源进行封杀,对攻击源的网络请求进行拦截等。
在该实施例中,通过基于滑动窗口机制进行网络流量预测,以将得到的预测流量和实际监测到的实际流量进行比较,如果实际流量大于预测流量,并且实际流量与预测流量之间的差值大于参考流量,并且远远大于预测流量,则表明出现突发的网络流量异常的现象,即出现HTTP Flood攻击,此时通过先确定可疑源IP,再进一步从可疑源IP中筛选出攻击源IP,该网络攻击处理方式,一方面,通过直接对流量数据进行监测和分析,不需要经过CDN业务托管,即可有效区分HTTP Flood攻击流量和正常流量,因此能够保证对网络攻击处理的效率,另一方面,通过先确定可以源IP,再进一步筛选出攻击源IP的方式,实现了对HTTP Flood攻击的种类以及源IP类型的识别,进而保证对攻击源IP确定的有效性和可靠性,降低了对正常IP封禁的概率。
如图2所示,在一个实施例中,步骤S102,基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量的一种具体实现方式,包括:
步骤S202,统计预测窗口内的网络流量序列。
具体地,通过在一个滑动窗口内进行N次网络流量采样,以得到网络流量序列。
步骤S204,将预测窗口的网络流量序列输入流量趋势预测模型,以由流量趋势预测模型输出针对预测窗口的趋势预测值。
针对预测窗口的趋势预测值可以理解针对t时刻的流量趋势的预测,例如,预测窗口的时长为5S,滑动窗口内进行5次网络流量采样,即在第1S、第2S、第3S、第4S和第5S分别采样监测到的实际流量值,则此时可以基于预测窗口内的实际流量值,进行流量趋势的预测,得到趋势预测值。
步骤S206,基于滑动窗口机制滑动预测窗口,直至滑动长度达到预测窗口的长度,以得到多个趋势预测值,并基于多个趋势预测值得到基于预测窗口的预测流量。
比如,在第一个时刻,即第1S预设一个预测结果初始值,通过将滑动窗口向后滑动1S,即在第2S、第3S、第4S、第5S分别采样监测到的实际流量值,基于实际流量值和前一时刻的趋势预测值,就可以预测出当前时刻的趋势预测值,基于多个趋势预测值,即可得到预测窗口的流量趋势,作为预测流量。
在该实施例中,通过设置滑动窗口机制,一方面,能够基于一个窗口内采集到的流量值进行流量趋势的预测,另一方面,通过窗口的滑动,也能够进一步实现了对一个预测窗口内的流量趋势的预测。
在一个实施例中,流量趋势预测模型为EWMA预测模型,将预测窗口的网络流量序列输入流量趋势预测模型,以由流量趋势预测模型输出针对预测窗口的趋势预测值包括:
基于EWMA预测模型对网络流量序列进行趋势预测,得到历史趋势预测值。
具体地,首先设置一个趋势预测初始值,基于整个预测结果初始值,得到网络流量序列中第一个时刻的趋势预测结果,然后基于第一个趋势预测结果,得到下一个时刻的趋势预测结果,依次基于EWMA预测模型进行预测,得到网络流量序列中最后一个时刻的趋势预测结果,将整个趋势预测结果作为历史趋势预测值。
基于EWMA预测模型对历史趋势预测值和预测时刻的流量值进行指数加权移动平均运算,得到趋势预测值。
其中,预测时刻可以理解为预测窗口的下一时刻。
另外,输入的历史趋势预测值和输出的趋势预测值可以理解为反映流量变化趋势的值,即趋势预测值具体为流量预测趋势,实际流量则可以理解为实际的流量趋势。
进一步地,结合历史趋势预测值和预测时刻的流量值,通过EWMA预测模型即可预测出基于预测时刻的趋势预测值。
其中,指数加权移动平均运算基于公式Vt=βVt-1+(1-β)θt执行,t为预测时刻,θt为预测时刻t的流量值,β表示加权下降速率,Vt为针对t的趋势预测值,Vt-1为历史趋势预测值。
具体地,基于加权移动平均法生成EWMA预测模型,通过对网络流量序列中的每个流量值分别给予不同的权数,按不同权数求得移动平均值,并以最后的移动平均值为基础,确定趋势预测值。
在该实施例中,由于滑动窗口内的网络流量序列为与预测时刻相邻的观察值,因此基于网络流量序列能够较准确地反映网络流量近期的趋势,因此通过采用加权移动平均法生成EWMA预测模型,由于只需要保存临近的滑动窗口内的网络流量序列,因此能在保存过去少部分数值的工况下,进行流量的预测,从而在保证趋势预测值的准确性的同时,减小预测过程的计算量。
另外,本领域的技术人员能够理解的是,还可以采用ARCH预测模型或GARCH预测模型代替EWMA预测模型进行流量趋势的预测。
在一个实施例中,在监测到预测窗口的实际流量大于预测流量之前,还包括:实际流量包括实际趋势值,将预测时刻的趋势预测值和实际趋势值进行比较,在多个预测时刻的趋势预测值均大于实际趋势值,并且趋势预测值和实际趋势值之间的差值大于参考流量,确定实际流量与预测流量之间的差值大于参考流量。
在该实施例中,通过基于滑动窗口机制在时序上依次统计预测窗口内的网络流量序列,并在每次得到网络流量序列时,基于流量趋势预测模型,预测下一时刻的网络流量,得到趋势预测值,通过设置流量趋势预测模型,结合实际监测到的网络流量序列,能够保证对趋势预测值预测的可靠性,进而在检测到实际流量大于预测流量,并且实际流量与预测流量之间的差值大于参考流量时,保证对HTTP Flood攻击检测的可靠性与有效性。
如图3所示,在一个实施例中,步骤S104中,基于实际流量确定进行HTTP Flood攻击的可疑源IP的一种具体实现方式,包括:
步骤S302,基于实际流量获取对统一资源定位符URL进行访问的访问请求。
其中,通过获取对不同URL的访问请求,才可进一步确定哪个方位请求是对网页的HTTP Flood。
步骤S304,提取访问请求携带的访问信息,访问信息包括访问源IP、用户代理User_Agent和HTTP Referer中的至少一种。
其中,User-Agent首部包含了一个特征字符串,用来让网络协议的对端来识别发起请求的用户代理软件的应用类型、操作系统、软件开发商以及版本号。
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
步骤S306,对用户代理和HTTP Referer进行相似性检测,以检测是否属于同一访问源IP。
步骤S308,基于相似性检测的结果统计每个访问源IP访问每个URL的访问频度。
其中,通过从访问请求中获取访问源IP、用户代理User_Agent和HTTP Referer等信息,通过字段相似性检测确定是否属于同一访问源,以对哪个访问源访问了哪个URL进行统计,得到访问频度。
步骤S310,将访问频度大于频度阈值的访问源IP确定为可疑源IP,并将可疑源IP放入可疑源列表。
在该实施例中,通过对每个访问源IP访问每个URL的访问频度进行统计,如果检测到具有访问频度大于频度阈值的访问源IP,即有访问源IP频繁的请求访问某一URL,表明存在对该URL进行攻击的风险,将此类访问源IP即为可疑源IP,并放入可疑源列表,以进一步进行筛选,保证了攻击源检测的可靠性。
如图4所示,在一个实施例中,步骤S106中,对可疑源IP地址进行攻击性筛选,基于筛选结果确定网络攻击的攻击源IP的一种具体实现方式,包括:
基于白名单清洗对可疑源列表进行攻击性筛选,以将不在白名单中的可疑源IP确定为待认证IP,具体包括:
步骤S402,获取可疑源IP发送的访问请求中的用户代理。
步骤S404,检测用户代理是否为对搜索引擎蜘蛛爬虫的模仿操作。
具体地,搜索引擎蜘蛛爬虫包括但不限于:BaiduSpider(百度蜘蛛)、Googlebot(谷歌蜘蛛)、360Spider(360蜘蛛)、Sogou web spider(搜狗蜘蛛)、Bingbot(必应蜘蛛)、Sosospider(SOSO蜘蛛)以及雅虎蜘蛛爬虫等。
步骤S406,若不是模仿操作,则将可疑源IP放入白名单。
步骤S408,若是模仿操作,则将可疑源IP确定为待认证IP。
在该实施例中,通过检测HTTP包内的用户代理User_Agent是否模仿为BaiduSpider或GoogleBot等搜索引擎蜘蛛爬虫的操作,以将可疑源列表中的IP进一步划分为白名单IP和非白名单IP,针对用户代理为对搜索引擎蜘蛛爬虫的模仿操作的可疑源IP则需要进一步进行筛选验证,以确定其是否是攻击源IP。
如图5所示,根据本公开的网络攻击处理方案中,包括攻击者、真实客户端、Anti-Ddos设备和目标服务器,针对攻击者发送的伪造报文,通过与目标服务器之间的HTTP请求和HTTP回应之间的交互,如果连续一段时间内到同一目的地址的HTTP请求报文超过阈值,则启动对发送端的源认证。
TCP三次握手包括:
第一次握手:客户端给服务器发送一个SYN段(在TCP标头中SYN位字段为1的TCP/IP数据包),该段中也包含客户端的初始序列号(Sequence number=J)。
第二次握手:服务器返回客户端SYN+ACK段(在TCP标头中SYN和ACK位字段都为1的TCP/IP数据包),该段中包含服务器的初始序列号(Sequence number=K);同时使Acknowledgment number=J+1来表示确认已收到客户端的SYN段(Sequence number=J)。
第三次握手:客户端给服务器响应一个ACK段(在TCP标头中ACK位字段为1的TCP/IP数据包),该段中使Acknowledgment number=K+1来表示确认已收到服务器的SYN段(Sequence number=K)。
在启动对发送端的源认证后,通过TCP三次握手建立真实客户端IP地址的白名单,即将认证通过的IP加入白名单。
对待认证IP进行重定向认证,以将未认证通过的待认证IP确定为攻击源IP,并加入黑名单,具体包括:
步骤S410,确定与待认证IP的访问请求对应的目标页面。
步骤S412,检测到目标页面与页面的内嵌资源不在同一服务器上,并且内嵌资源的服务器异常,则对内嵌资源的服务器启动302重定向防御,以探测待认证IP的访问请求是否基于真实浏览器发送。
其中,302重定向又称之为暂时性转移(Temporarily Moved),302状态码应用的典型场景是服务器页面路径的重新规划,比如一个portal页面,换了新的域名,但是老的域名地址还有很多用户在使用,这样可以对老域名配置302跳转到新域名地址,保证服务的延续,另外对于一些客户端预埋的URL链接,免不了老版本地址失效与更改,将老地址配置302跳转到新地址,这样就能够全面兼容所有客户端版本。
步骤S414,基于探测结果确定待认证IP未完成重定向过程,则确认访问请求不是基于真实浏览器发送,并将待认证IP确定为攻击源IP。
在该实施例中,通过设置302重定向模式能针对网页中的内嵌资源(比如:图片)进行重定向,当用户请求的页面与页面内嵌资源不在同一个服务器上,内嵌资源所在服务器发生异常时,可以对嵌套资源服务器启动302重定向防御,探测访问源是否为真实浏览器,真实浏览器支持重定向功能,可以自动完成重定向过程,非真实浏览器则不支持重定向功能,从而能够以此来筛选出基于非真实浏览器的攻击源IP。
在一个实施例中,还包括:在网络接入处部署流量探测设备或检测软件,以监测实际流量。
如图6所示,根据本公开的一个实施例的网络攻击处理方法,包括以下步骤:
步骤S602,在接入网络处部署流量探测设备,获取HTTP流量和日志等数据。
步骤S604,使用EWMA模型,基于自定义窗口周期进行流量趋势统计和预测,在检测到实际流量远超过预测值,认为发生HTTP Flood攻击。
步骤S606,获取HTTP流量请求中的URL、User_Agent、referer等字段的相似性和IP频度等信息。
步骤S608,将访问源IP对目标URL的请求频度与频度阈值进行比较,若超过则放入可疑源列表。
步骤S610,对可疑源列表与白名单IP进行清洗比较,过滤出不在白名单内的IP地址,作为待认证IP。
步骤S612,对待认证IP进行302重定向模式认证,确认其为攻击者僵尸主机还是真实浏览器客户端。
步骤S614,根据验证结果执行加入黑名单或放行策略。
在该实施例中,通过接入网络环境中部署的流量探测设备或软件产生的HTTP日志数据,使用滑动时间窗口机制统计周期,利用EWMA流量预测法,根据实时历史流量预测接下来时间窗口内的流量,若时机流量远超预测值,则精确统计每个IP访问每个URL的频度,超过阈值的IP即放入需关注名单,对需关注名单内的IP进行白名单清洗,判断其HTTP包内User_Agent是否模仿为BaiduSpider或GoogleBot等,将不在白名单内的IP进行重定向认证,若重定向认证通过,放行IP,若不通过,加入黑名单,此方法可以有效区分HTTP Flood攻击流量和正常流量,并且将源IP正确分类。
需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下面参照图7来描述根据本发明的实施方式的网络攻击处理装置700。图7所示的网络攻击处理装置700仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
网络攻击处理装置700以硬件模块的形式表现。网络攻击处理装置700的组件可以包括但不限于:预测模块702,用于基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量;确定模块704,用于监测到预测窗口的实际流量大于预测流量,并且实际流量与预测流量之间的差值大于参考流量,基于实际流量确定进行HTTP Flood攻击的可疑源IP;筛选模块706,用于对可疑源IP地址进行攻击性筛选,基于筛选结果确定网络攻击的攻击源IP。
在一个实施例中,预测模块702还用于:统计预测窗口内的网络流量序列;将预测窗口的网络流量序列输入流量趋势预测模型,以由流量趋势预测模型输出针对预测窗口的趋势预测值;基于滑动窗口机制滑动预测窗口,直至滑动长度达到预测窗口的长度,以得到多个趋势预测值,并基于多个趋势预测值得到基于预测窗口的预测流量。
在一个实施例中,预测模块702还用于:基于EWMA预测模型对网络流量序列进行趋势预测,得到历史趋势预测值;基于EWMA预测模型对历史趋势预测值和预测时刻的流量值进行指数加权移动平均运算,得到趋势预测值;其中,指数加权移动平均运算基于公式Vt=βVt-1+(1-β)θt执行,t为预测时刻,θt为预测时刻t的流量值,β表示加权下降速率,Vt-1为历史趋势预测值,Vt为针对t的趋势预测值。
在一个实施例中,确定模块704还用于:实际流量包括实际趋势值,将预测时刻的趋势预测值和实际趋势值进行比较,在多个预测时刻的趋势预测值均大于实际趋势值,并且趋势预测值和实际趋势值之间的差值大于参考流量,确定实际流量与预测流量之间的差值大于参考流量。
在一个实施例中,确定模块704还用于:基于实际流量获取对统一资源定位符URL进行访问的访问请求;提取访问请求携带的访问信息,访问信息包括访问源IP、用户代理User_Agent和HTTP Referer中的至少一种;对用户代理和HTTP Referer进行相似性检测,以检测是否属于同一访问源IP;基于相似性检测的结果统计每个访问源IP访问每个URL的访问频度;将访问频度大于频度阈值的访问源IP确定为可疑源IP,并将可疑源IP放入可疑源列表。
在一个实施例中,筛选模块706还用于:基于白名单清洗对可疑源列表进行攻击性筛选,以将不在白名单中的可疑源IP确定为待认证IP;对待认证IP进行重定向认证,以将未认证通过的待认证IP确定为攻击源IP,并加入黑名单。
在一个实施例中,筛选模块706还用于:获取可疑源IP发送的访问请求中的用户代理;检测用户代理是否为对搜索引擎蜘蛛爬虫的模仿操作;若不是模仿操作,则将可疑源IP放入白名单;若是模仿操作,则将可疑源IP确定为待认证IP。
在一个实施例中,筛选模块706还用于:确定与待认证IP的访问请求对应的目标页面;检测到目标页面与页面的内嵌资源不在同一服务器上,并且内嵌资源的服务器异常,则对内嵌资源的服务器启动302重定向防御,以探测待认证IP的访问请求是否基于真实浏览器发送;基于探测结果确定待认证IP未完成重定向过程,则确认访问请求不是基于真实浏览器发送,并将待认证IP确定为攻击源IP。
在一个实施例中,还包括:检测模块708,用于在网络接入处部署流量探测设备或检测软件,以监测实际流量。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图8来描述根据本发明的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于:上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元810执行,使得所述处理单元810执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元810可以执行如图2中所示的步骤S102至步骤S106所描述的方案。
存储单元820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202,还可以进一步包括只读存储单元(ROM)8203。
存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204,这样的程序模块8205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备800也可以与一个或多个外部设备870(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备800交互的设备通信,和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且,电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器860通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者电子设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
参考图9所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品900,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者电子设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (12)
1.一种网络攻击处理方法,其特征在于,包括:
基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量;
监测到所述预测窗口的实际流量大于所述预测流量,并且所述实际流量与所述预测流量之间的差值大于参考流量,基于所述实际流量确定进行HTTP Flood攻击的可疑源IP;
对所述可疑源IP地址进行攻击性筛选,基于筛选结果确定所述网络攻击的攻击源IP。
2.根据权利要求1所述的网络攻击处理方法,其特征在于,所述基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量包括:
统计所述预测窗口内的网络流量序列;
将所述预测窗口的网络流量序列输入流量趋势预测模型,以由所述流量趋势预测模型输出针对所述预测窗口的趋势预测值;
基于所述滑动窗口机制滑动所述预测窗口,直至滑动长度达到所述预测窗口的长度,以得到多个所述趋势预测值,并基于多个所述趋势预测值得到所述基于预测窗口的预测流量。
3.根据权利要求2所述的网络攻击处理方法,其特征在于,所述流量趋势预测模型为EWMA预测模型,所述将所述预测窗口的网络流量序列输入流量趋势预测模型,以由所述流量趋势预测模型输出针对所述预测窗口的趋势预测值包括:
基于所述EWMA预测模型对所述网络流量序列进行趋势预测,得到历史趋势预测值;
基于所述EWMA预测模型对所述历史趋势预测值和预测时刻的流量值进行指数加权移动平均运算,得到所述趋势预测值;其中,所述指数加权移动平均运算基于公式Vt=βVt-1+(1-β)θt执行,t为所述预测时刻,θt为所述预测时刻t的流量值,β表示加权下降速率,Vt为针对t的趋势预测值,Vt-1为所述历史趋势预测值。
4.根据权利要求2所述的网络攻击处理方法,其特征在于,在监测到所述预测窗口的实际流量大于所述预测流量之前,还包括:
所述实际流量包括实际趋势值,将所述预测时刻的所述趋势预测值和所述实际趋势值进行比较,在多个所述预测时刻的所述趋势预测值均大于所述实际趋势值,并且所述趋势预测值和所述实际趋势值之间的差值大于所述参考流量,确定所述实际流量与所述预测流量之间的差值大于所述参考流量。
5.根据权利要求1所述的网络攻击处理方法,其特征在于,所述基于所述实际流量确定进行HTTP Flood攻击的可疑源IP包括:
基于所述实际流量获取对统一资源定位符URL进行访问的访问请求;
提取所述访问请求携带的访问信息,所述访问信息包括访问源IP、用户代理User_Agent和HTTP Referer中的至少一种;
对所述用户代理和所述HTTP Referer进行相似性检测,以检测是否属于同一访问源IP;
基于所述相似性检测的结果统计每个所述访问源IP访问每个所述URL的访问频度;
将所述访问频度大于频度阈值的所述访问源IP确定为所述可疑源IP,并将所述可疑源IP放入可疑源列表。
6.根据权利要求5所述的网络攻击处理方法,其特征在于,所述对所述可疑源IP地址进行攻击性筛选,基于筛选结果确定所述网络攻击的攻击源IP包括:
基于白名单清洗对所述可疑源列表进行攻击性筛选,以将不在所述白名单中的所述可疑源IP确定为待认证IP;
对所述待认证IP进行重定向认证,以将未认证通过的所述待认证IP确定为所述攻击源IP,并加入黑名单。
7.根据权利要求6所述的网络攻击处理方法,其特征在于,所述基于白名单清洗对所述可疑源列表进行攻击性筛选,以将不在所述白名单中的所述可疑源IP确定为待认证IP包括:
获取所述可疑源IP发送的访问请求中的所述用户代理;
检测所述用户代理是否为对搜索引擎蜘蛛爬虫的模仿操作;
若不是所述模仿操作,则将所述可疑源IP放入白名单;
若是所述模仿操作,则将所述可疑源IP确定为所述待认证IP。
8.根据权利要求6所述的网络攻击处理方法,其特征在于,所述对所述待认证IP进行重定向认证,以将未认证通过的所述待认证IP确定为所述攻击源IP包括:
确定与所述待认证IP的访问请求对应的目标页面;
检测到所述目标页面与页面的内嵌资源不在同一服务器上,并且所述内嵌资源的服务器异常,则对所述内嵌资源的服务器启动302重定向防御,以探测所述待认证IP的访问请求是否基于真实浏览器发送;
基于探测结果确定所述待认证IP未完成重定向过程,则确认所述访问请求不是基于真实浏览器发送,并将所述待认证IP确定为所述攻击源IP。
9.根据权利要求1至8中任一项所述的网络攻击处理方法,其特征在于,还包括:
在网络接入处部署流量探测设备或检测软件,以监测所述实际流量。
10.一种网络攻击处理装置,其特征在于,包括:
预测模块,用于基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量;
确定模块,用于监测到所述预测窗口的实际流量大于所述预测流量,并且所述实际流量与所述预测流量之间的差值大于参考流量,基于所述实际流量确定进行HTTP Flood攻击的可疑源IP;
筛选模块,用于对所述可疑源IP地址进行攻击性筛选,基于筛选结果确定所述网络攻击的攻击源IP。
11.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~9中任意一项所述网络攻击处理方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~9中任意一项所述的网络攻击处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210833617.6A CN115102781B (zh) | 2022-07-14 | 2022-07-14 | 网络攻击处理方法、装置、电子设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210833617.6A CN115102781B (zh) | 2022-07-14 | 2022-07-14 | 网络攻击处理方法、装置、电子设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115102781A true CN115102781A (zh) | 2022-09-23 |
| CN115102781B CN115102781B (zh) | 2024-01-09 |
Family
ID=83298111
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210833617.6A Active CN115102781B (zh) | 2022-07-14 | 2022-07-14 | 网络攻击处理方法、装置、电子设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115102781B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116232776A (zh) * | 2023-05-09 | 2023-06-06 | 鹏城实验室 | 跳板攻击检测方法、装置、终端设备及计算机存储介质 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
| US20120174220A1 (en) * | 2010-12-31 | 2012-07-05 | Verisign, Inc. | Detecting and mitigating denial of service attacks |
| WO2012149705A1 (zh) * | 2011-08-11 | 2012-11-08 | 华为技术有限公司 | 一种网络流量的长期预测方法及装置 |
| US20140325596A1 (en) * | 2013-04-29 | 2014-10-30 | Arbor Networks, Inc. | Authentication of ip source addresses |
| US20160173526A1 (en) * | 2014-12-10 | 2016-06-16 | NxLabs Limited | Method and System for Protecting Against Distributed Denial of Service Attacks |
| CN106685899A (zh) * | 2015-11-09 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 用于识别恶意访问的方法和设备 |
| CN106790105A (zh) * | 2016-12-26 | 2017-05-31 | 携程旅游网络技术(上海)有限公司 | 基于业务数据的爬虫识别拦截方法及系统 |
| CN108111472A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 一种攻击特征检测方法及装置 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN109005157A (zh) * | 2018-07-09 | 2018-12-14 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与系统 |
| CN109639654A (zh) * | 2018-11-30 | 2019-04-16 | 成都知道创宇信息技术有限公司 | 一种基于自适应过滤模型识别tcp异常流量的方法 |
| CN110071941A (zh) * | 2019-05-08 | 2019-07-30 | 北京奇艺世纪科技有限公司 | 一种网络攻击检测方法、设备、存储介质及计算机设备 |
| CN110460458A (zh) * | 2019-04-15 | 2019-11-15 | 清华大学深圳研究生院 | 基于多阶马尔科夫链的流量异常检测方法 |
| CN110881044A (zh) * | 2019-12-05 | 2020-03-13 | 北京宏达隆和科技有限公司 | 一种计算机防火墙动态防御安全平台 |
| CN110912902A (zh) * | 2019-11-27 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种访问请求处理的方法、系统、设备及可读存储介质 |
| US20210099468A1 (en) * | 2019-09-28 | 2021-04-01 | Fortinet, Inc. | Inception of suspicious network traffic for enhanced network security |
| CN113992356A (zh) * | 2021-09-28 | 2022-01-28 | 青岛海尔科技有限公司 | Ip攻击的检测方法、装置和电子设备 |
| CN114021135A (zh) * | 2021-11-15 | 2022-02-08 | 湖南大学 | 一种基于R-SAX的LDoS攻击检测与防御方法 |
-
2022
- 2022-07-14 CN CN202210833617.6A patent/CN115102781B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
| US20120174220A1 (en) * | 2010-12-31 | 2012-07-05 | Verisign, Inc. | Detecting and mitigating denial of service attacks |
| WO2012149705A1 (zh) * | 2011-08-11 | 2012-11-08 | 华为技术有限公司 | 一种网络流量的长期预测方法及装置 |
| US20140325596A1 (en) * | 2013-04-29 | 2014-10-30 | Arbor Networks, Inc. | Authentication of ip source addresses |
| US20160173526A1 (en) * | 2014-12-10 | 2016-06-16 | NxLabs Limited | Method and System for Protecting Against Distributed Denial of Service Attacks |
| CN106685899A (zh) * | 2015-11-09 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 用于识别恶意访问的方法和设备 |
| CN108111472A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 一种攻击特征检测方法及装置 |
| CN106790105A (zh) * | 2016-12-26 | 2017-05-31 | 携程旅游网络技术(上海)有限公司 | 基于业务数据的爬虫识别拦截方法及系统 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN109005157A (zh) * | 2018-07-09 | 2018-12-14 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与系统 |
| CN109639654A (zh) * | 2018-11-30 | 2019-04-16 | 成都知道创宇信息技术有限公司 | 一种基于自适应过滤模型识别tcp异常流量的方法 |
| CN110460458A (zh) * | 2019-04-15 | 2019-11-15 | 清华大学深圳研究生院 | 基于多阶马尔科夫链的流量异常检测方法 |
| CN110071941A (zh) * | 2019-05-08 | 2019-07-30 | 北京奇艺世纪科技有限公司 | 一种网络攻击检测方法、设备、存储介质及计算机设备 |
| US20210099468A1 (en) * | 2019-09-28 | 2021-04-01 | Fortinet, Inc. | Inception of suspicious network traffic for enhanced network security |
| CN110912902A (zh) * | 2019-11-27 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种访问请求处理的方法、系统、设备及可读存储介质 |
| CN110881044A (zh) * | 2019-12-05 | 2020-03-13 | 北京宏达隆和科技有限公司 | 一种计算机防火墙动态防御安全平台 |
| CN113992356A (zh) * | 2021-09-28 | 2022-01-28 | 青岛海尔科技有限公司 | Ip攻击的检测方法、装置和电子设备 |
| CN114021135A (zh) * | 2021-11-15 | 2022-02-08 | 湖南大学 | 一种基于R-SAX的LDoS攻击检测与防御方法 |
Non-Patent Citations (2)
| Title |
|---|
| 刘仁山;孟祥宏;: "基于时间特征的网络流量异常检测", 辽宁工程技术大学学报(自然科学版), vol. 32, no. 04, pages 1 - 5 * |
| 彭军;赵石真;孙庆中;傅宇;: "基于ARMA模型的WSN入侵检测技术", 现代计算机(专业版), no. 12 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116232776A (zh) * | 2023-05-09 | 2023-06-06 | 鹏城实验室 | 跳板攻击检测方法、装置、终端设备及计算机存储介质 |
| CN116232776B (zh) * | 2023-05-09 | 2023-08-25 | 鹏城实验室 | 跳板攻击检测方法、装置、终端设备及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115102781B (zh) | 2024-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| US11223637B2 (en) | Detecting attacks on web applications using server logs | |
| RU2495486C1 (ru) | Способ анализа и выявления вредоносных промежуточных узлов в сети | |
| US9654494B2 (en) | Detecting and marking client devices | |
| KR101010708B1 (ko) | 웹 페이지 공격을 방지하기 위한 방법 및 장치 | |
| US8161538B2 (en) | Stateful application firewall | |
| US20100218253A1 (en) | Web security via response injection | |
| US20160269442A1 (en) | Methods and systems for improving analytics in distributed networks | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| US11552988B2 (en) | Creating malware prevention rules using malware detection and prevention system | |
| US20180302430A1 (en) | SYSTEM AND METHOD FOR DETECTING CREATION OF MALICIOUS new USER ACCOUNTS BY AN ATTACKER | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN112788034B (zh) | 对抗网络攻击的处理方法、装置、电子设备和存储介质 | |
| US20170353434A1 (en) | Methods for detection of reflected cross site scripting attacks | |
| US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
| CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
| US10360379B2 (en) | Method and apparatus for detecting exploits | |
| Raftopoulos et al. | A quality metric for IDS signatures: in the wild the size matters | |
| CN113329035B (zh) | 一种攻击域名的检测方法、装置、电子设备及存储介质 | |
| Mansoori et al. | Application of hazop to the design of cyber security experiments | |
| CN112637171A (zh) | 数据流量处理方法、装置、设备、系统和存储介质 | |
| US10819730B2 (en) | Automatic user session profiling system for detecting malicious intent | |
| CN110138719B (zh) | 一种网络安全的检测方法、装置及电子设备 | |
| TWI761122B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| JP5684842B2 (ja) | 悪性サイト検出装置、悪性サイト検出方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |