CN115208625A - 数据处理方法以及装置 - Google Patents
数据处理方法以及装置 Download PDFInfo
- Publication number
- CN115208625A CN115208625A CN202210618349.6A CN202210618349A CN115208625A CN 115208625 A CN115208625 A CN 115208625A CN 202210618349 A CN202210618349 A CN 202210618349A CN 115208625 A CN115208625 A CN 115208625A
- Authority
- CN
- China
- Prior art keywords
- data
- access
- matching
- access data
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
Abstract
本说明书实施例提供一种数据处理方法以及装置,其中该方法应用于云存储服务的防护节点,包括:接收访问数据,确定访问数据的数据特征;将数据特征输入数据匹配模型,获得数据匹配模型输出的匹配结果,其中,数据匹配模型用于根据数据特征确定访问数据是否为目标数据;在根据匹配结果确定访问数据不为目标数据的情况下,将访问数据中携带的访问域名解析为服务端的地址,以使访问数据到达服务端。通过判断访问数据的特征,确定访问数据是否为目标数据,在访问数据不为目标数据的情况下,使该访问数据直接到达服务端,由于判断了访问数据的类型,使访问数据在不为目标数据的情况下直接到达服务端,而不是经过流量清洗设备,从降低了访问延迟。
Description
技术领域
本说明书实施例涉及计算机技术领域,特别涉及一种数据处理方法。
背景技术
随着企业数字化转型的不断深入,更多的服务上云,更大量的服务数据产生和使用,为了更好更优的提升服务质量。更多的行业采用内容即服务的架构,存储数据流直接面向用户和终端,在这样的大背景下,存储平台的可用性至关重要。
与此同时,DDoS攻击是近年来对企业服务危害最大的攻击手段之一。当企业遭受DDoS攻击时,可能会导致服务中断,进而导致企业的形象受损、客户流失、收益受损等,严重影响企业服务的正常运营。同时,OSS作为提供公共服务的基础设施,如果用户资源频繁引起大规模DDoS攻击,会占用大量云资源,因此会将受到攻击的bucket拉入沙箱,以避免影响其他用户,但同时也导致受到攻击的用户资源服务质量降级。
发明内容
有鉴于此,本说明书实施例提供了一种数据处理方法。本说明书一个或者多个实施例同时涉及一种数据处理装置,一种计算设备,一种计算机可读存储介质以及一种计算机程序,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种数据处理方法,应用于云存储服务的防护节点,包括:
接收访问数据,确定所述访问数据的数据特征;
将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,其中,所述数据匹配模型用于根据所述数据特征确定所述访问数据是否为目标数据;
在根据所述匹配结果确定所述访问数据不为所述目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址,以使所述访问数据到达所述服务端。
根据本说明书实施例的第二方面,提供了一种数据处理装置,包括:
数据获取模块,被配置为接收访问数据,确定所述访问数据的数据特征;
特征匹配模块,被配置为将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,其中,所述数据匹配模型用于根据所述数据特征确定所述访问数据是否为目标数据;
解析模块,被配置为在根据所述匹配结果确定所述访问数据不为目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址,以使所述访问数据到达所述服务端。
根据本说明书实施例的第三方面,提供了一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现上述数据处理方法的步骤。
根据本说明书实施例的第四方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该指令被处理器执行时实现上述数据处理方法的步骤。
根据本说明书实施例的第五方面,提供了一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述数据处理方法的步骤。
本说明书实施例提供一种数据处理方法以及装置,其中所述数据处理方法应用于云存储服务的防护节点,包括:接收访问数据,确定所述访问数据的数据特征;将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,其中,所述数据匹配模型用于根据所述数据特征确定所述访问数据是否为目标数据;在根据所述匹配结果确定所述访问数据不为目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址,以使所述访问数据到达所述服务端。通过判断访问数据的特征,确定访问数据是否为目标数据,在访问数据不为目标数据的情况下,使该访问数据直接到达服务端,由于判断了访问数据的类型,使访问数据在不为目标数据的情况下直接到达服务端,而不是经过流量清洗设备,从而减少了转发线路,降低了访问延迟。
附图说明
图1是本说明书一个实施例提供的一种数据处理方法的场景图;
图2是本说明书一个实施例提供的一种数据处理方法的流程图;
图3是本说明书一个实施例提供的一种数据处理方法的处理过程流程图;
图4是本说明书一个实施例提供的一种数据处理装置的结构示意图;
图5是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
Bucket标准域名:OSS提供的以HTTP协议访问存储空间(bucket)的地址,可以在公网访问。每个Bucket有全局唯一的地址。
原生IP:使用OSS高防后为用户分配的独享IP,原生IP更靠近用户的OSS资源,访问延时低。
流量清洗设备:提供的DDoS攻击代理防护服务,能够抵御大流量的DDoS攻击,保护用户应用服务持续可用。其使用的IP简称高防IP。
攻击检测模块:OSS用以检测某个bucket是否受到攻击的服务。
分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS):是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
OSS(Object Storage Service):即对象存储服务,是一种云存储服务。
IP地址(Internet Protocol Address):是指互联网协议地址,又译为网际协议地址。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
传输控制协议(TCP,Transmission Control Protocol):是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP旨在适应支持多网络应用的分层协议层次结构。连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。
流量(traffic):是指服务端的访问量,是用来描述访问一个服务端的用户数量以及用户所浏览的页面数量等指标,常用的统计指标包括服务端的独立用户数量(一般指IP)、总用户数量(含重复访问者)、页面浏览数量、每个用户的页面浏览数量、用户在网站的平均停留时间等。
每秒查询率(QPS,Queries-per-second):是对一个特定的查询服务器在规定时间内所处理流量多少的衡量标准。
CC攻击:主要是用来攻击页面的。攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫:CC(Challenge Collapsar)。
丢包(Packet loss):是指一个或多个数据数据包(packet)的数据无法透过网上到达目的地。
HTTPS:(全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。
现有的针对对象存储的防护,用户需要自己购买流量清洗设备或购买DDoS高防产品,使用独立域名接入高防IP,再通过内网回源到OSS等对象存储服务,整体延迟更高,且无法保护bucket标准域名。
基于此,在本说明书中,提供了一种数据处理方法,本说明书同时涉及一种数据处理装置,一种计算设备,以及一种计算机可读存储介质,在下面的实施例中逐一进行详细说明。
参见图1,图1示出了根据本说明书一个实施例提供的一种数据处理方法的场景图,其中,在OSS的机器上接收到了访问流量,首先对该访问流量进行攻击检测,确定该访问流量是否为攻击流量,在该访问流量为攻击流量的情况下,将访问流量中的Bucket标准域名解析到高防IP地址,该高防IP地址为流量清洗设备的IP地址,通过流量清洗设备对访问流量进行清洗,识别出正常访问流量,丢弃攻击流量,再将正常访问流量转发至OSS源(服务端)。在访问流量为正常的情况下,则直接将Bucket标准域名解析到原生IP上,即解析至OSS源(服务端)。
通过判断访问流量的特征,确定访问流量是否为攻击流量,在访问流量不为攻击流量的情况下,使该访问流量直接到达服务端,由于判断了访问流量的类型,使访问流量在不为攻击流量的情况下直接到达服务端,而不是经过流量清洗设备,从而减少了转发线路,降低了访问延迟。
参见图2,图2示出了根据本说明书一个实施例提供的一种数据处理方法的流程图,应用于云存储服务的防护节点,其中,防护节点可以理解为OSS系统中的一个节点,该节点可以为OSS系统中的任意一个节点,该节点接收访问数据,并可以向其他节点转发访问数据,该方法具体包括以下步骤。
步骤202:接收访问数据,确定所述访问数据的数据特征。
其中,访问数据可以为客户端向服务器发送的访问数据;数据特征可以包括地址特征、连接方式、连接时长等特征,例如:TCP连接时长可以作为数据特征。
在实际应用中,对于针对OSS的攻击往往和某个具体的bucket相关,并且攻击通常随bucket标准域名所在的IP而变化,因此可以对访问数据进行特征提取,便于后续进一步判断该数据是否为攻击流量。
例如,IP地址A发送来1000条访问数据,对该访问数据进行特征提取。
在一种可实现的方式中,所述确定所述访问数据的数据特征,包括:
根据所述访问数据中携带源地址确定地址访问量特征;
根据所述访问数据的连接请求确定请求参数特征;
根据所述访问数据的服务数据确定服务特征。
其中,源地址可以为客户端、访问端的IP地址;访问量特征可以为QPS特征、访问流量特征;连接请求可以为HTTPS请求、TCP请求等;请求参数特征可以为总连接数和等待数异常等特征;服务数据可以为用户的QPS数据、用户的流量数据等;服务特征可以为用户的全部QPS数据、用户的流量数据随时间变化的特征。
在实际应用中,与通用的攻击检测相比,由于OSS可以感知到更多服务相关数据,可以更准确的检测到是否攻击。因此可以使用三个维度作为参数判断某个bucket是否受到攻击:IP来源特征,即访问量特征,包括:总QPS和流量。四层请求特征,即请求参数特征,包括:TCP总连接数和等待数,HTTPS平均握手时间,平均丢包数,具有相同特征的TCP数据包。服务特征,包括:记录历史CC攻击报文模式,计算与历史报文模式匹配的请求数量,用户总QPS、流量、存储量变化,不同时间段内的QPS和流量变化,不同请求用户(含匿名访问)的总QPS、流量变化,热点请求的object(对象)总数、QPS、流量变化,冷数据的总QPS、流量变化,不同OSS请求的QPS、流量、后端延迟的变化。
例如,在最近一个小时内IP地址A发送来1000条访问数据,则,确定该IP地址A的访问量特征为最近一个小时内1000条访问数据,在上一个小时内,IP地址A的访问量特征为一个小时内500条访问数据。这1000条访问数据为TCP连接,分别通过3条TCP连接进行访问。这1000访问数据均为同一用户的访问数据。
本说明书实施例根据获取到的访问数据,对访问数据进行特征提取,便于后续步骤进行特征匹配以识别访问数据是否为攻击流量。
步骤204:将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,其中,所述数据匹配模型用于根据所述数据特征确定所述访问数据是否为目标数据。
其中,数据匹配模型可以理解为数学模型,用于对访问数据进行攻击检测的模型,例如,曲线模型,可以是数据特征随着时间变化的曲线模型。
在实际应用中,使用IP来源特征、四层请求特征、服务特征维度作为参数判断某个bucket是否受到攻击的具体规则为:IP来源特征,即访问量特征,包括:总QPS和流量突增,来自某个区域的QPS和流量突增,来自某个IP或某个网段的请求突增,记录通常情况下访问该bucket的ip来源,来自非历史访问IP段的请求突增,来自历史黑名单IP的请求突增。四层请求特征,即请求参数特征,包括:TCP总连接数和等待数异常,TCP连接平均建立和等待时间异常,HTTPS平均握手时间异常,平均丢包数突增,具有相同特征的TCP数据包突增,如请求报文相同或相近。服务特征,包括:记录历史CC攻击报文模式,计算与历史报文模式匹配的请求数量,用户总QPS、流量、存储量变化异常,不同时间段内的QPS和流量变化异常,不同请求用户(含匿名访问)的总QPS、流量变化异常,热点请求的object(对象)总数、QPS、流量变化异常,冷数据的总QPS、流量变化异常,不同OSS请求的QPS、流量、后端延迟的变化异常。一般来说,在根据IP来源特征和四层请求特征的攻击特征检测方式中,易于识别攻击流量,如果出现则通常意味着受到DDoS攻击。而基于服务特征的攻击往往比较隐蔽、难以检测,例如一个平时访问量很少的bucket突然出现了大量匿名请求,但总流量仍在OSS允许范围内,那么很可能是一次攻击事件,而且不会被通用的攻击检测方式检测到。
在一种可实现的方式中,还包括:
根据预设周期内获取的访问数据进行机器学习,得到目标模型;
根据所述目标模型构造数据匹配模型,其中,所述数据匹配模型为所述数据特征随时间变化的模型。
其中,目标模型可以为训练好的机器学习模型,其中,不对机器学习的初始模型作任何限定。
在实际应用中,防护节点可以通过机器学习的方式建立模型,例如可以根据历史数据,以天为单位,构造各个服务特征随时间变化的数据匹配模型,如果在之后某个时刻的某个服务特征超过历史模型的限制,那么可以认为受到攻击,并根据清洗后的请求修正已有模型。
例如,在防护节点中通过一个月的数据收集,选取数据特征进行机器学习训练,得到一个用于攻击检测的机器学习模型,以天为单位构建每天的随时间变化的访问量数据匹配模型,在某一时段的访问量超过访问量数据匹配模型的情况下,即认为遭受到了攻击,则将访问流量解析至流量清洗设备。
在一种可实现的方式中,所述将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,包括:
将所述地址访问量特征与数据匹配模型中的访问阈值规则进行匹配得到第一匹配结果;
将所述请求参数特征与数据匹配模型中的异常参数规则进行匹配得到第二匹配结果;
将所述服务特征与数据匹配模型中的异常服务规则进行匹配得到第三匹配结果;
根据所述第一匹配结果、所述第二匹配结果和第三匹配结果确定匹配结果。
其中,访问阈值规则可以为IP来源特征的匹配规则,异常参数规则可以为四层请求特征的匹配规则,异常服务规则可以为服务特征的匹配规则。
例如,在最近一个小时内IP地址A发送来1000条访问数据,则,确定该IP地址A的访问量特征为最近一个小时内1000条访问数据,在上一个小时内,IP地址A的访问量特征为一个小时内500条访问数据,根据访问阈值规则确定第一匹配结果为存在异常。这1000条访问数据为TCP连接,分别通过3条TCP连接进行访问,根据异常参数规则进行匹配得到第二匹配结果为无异常。这1000访问数据均为同一用户的访问数据,根据异常服务规则进行匹配得到第三匹配结果为无异常。在第一匹配结果、所述第二匹配结果和第三匹配结果确定匹配结果,其中任何一个特征匹配结果存在异常即认为该1000条访问流量存在异常。
在一种可实现的方式中,所述将所述地址访问量特征与数据匹配模型中的访问阈值规则进行匹配得到第一匹配结果,包括:
在所述地址访问量特征中确定来自同一地址的访问流量;
根据所述访问阈值规则确定流量阈值;
在第一设定时间段内的所述访问流量超过所述流量阈值的情况下,确定所述访问数据为目标数据。
其中,地址可以为IP地址。
例如,在最近一个小时内IP地址A发送来1000条访问数据,则,确定该IP地址A的访问量特征为最近一个小时内1000条访问数据,在上一个小时内,IP地址A的访问量特征为一个小时内500条访问数据,根据访问阈值规则确定流量阈值为一小时内增幅为300条,则第一匹配结果为存在异常。
在一种可实现的方式中,所述将所述请求参数特征与数据匹配模型中的异常参数规则进行匹配得到第二匹配结果,包括:
根据所述请求参数特征确定连接时长;
根据所述异常参数规则确定连接时间阈值;
在所述连接时长超过所述连接时间阈值的情况下,确定所述访问数据为目标数据。
例如,这1000条访问数据为TCP连接,分别通过3条TCP连接进行访问,其TCP连接均为1个小时,根据异常参数规则确定连接时间阈值为2个小时,则得到第二匹配结果为无异常。
在一种可实现的方式中,所述将所述服务特征与数据匹配模型中的异常服务规则进行匹配得到第三匹配结果,包括:
根据所述服务特征确定目标用户标识的访问流量;
根据所述异常服务规则确定所述目标用户标识对应的异常条件;
在所述目标用户标识的访问流量满足所述异常条件的情况下,确定所述访问数据为目标数据。
例如,这1000条访问数据均为同一用户的访问数据,根据异常服务规则确定异常条件为存储量变化是否超过100兆字节,确定这1000条访问数据的存储量为60兆字节,则可以确定得到第三匹配结果为无异常。
本说明书实施例与通用的攻击检测相比,由于OSS可以感知到更多服务相关数据,可以更准确的检测到是否为攻击流量。
步骤206:在根据所述匹配结果确定所述访问数据不为所述目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址,以使所述访问数据到达所述服务端。
其中,目标数据可以理解为攻击流量,访问域名可以理解为bucket标准域名。
在实际应用中,如果访问数据不存在问题,则可以直接将访问数据发送至服务端。
例如,在最近一个小时内IP地址A发送来1000条访问数据,则,确定该IP地址A的访问量特征为最近一个小时内1000条访问数据,在上一个小时内,IP地址A的访问量特征为一个小时内800条访问数据,根据访问阈值规则确定流量阈值为一小时内增幅为300条,则第一匹配结果为无异常。这1000条访问数据为TCP连接,分别通过3条TCP连接进行访问,其TCP连接均为1个小时,根据异常参数规则确定连接时间阈值为2个小时,则得到第二匹配结果为无异常。这1000条访问数据均为同一用户的访问数据,根据异常服务规则确定异常条件为存储量变化是否超过100兆字节,确定这1000条访问数据的存储量为60兆字节,则可以确定得到第三匹配结果为无异常。根据第一匹配结果、所述第二匹配结果和第三匹配结果确定匹配结果,其中所有特征匹配结果不存在异常即认为该1000条访问流量正常,则将该1000条访问流量解析至OSS的源地址。
在一种可实现的方式中,在将所述数据特征与预设特征规则进行匹配得到匹配结果之后,还包括:
在根据所述匹配结果确定所述访问数据为目标数据的情况下,将所述访问数据中携带的访问域名解析为流量清洗设备的地址,以使所述访问数据经过所述流量清洗设备。
例如,在最近一个小时内IP地址A发送来1000条访问数据,则,确定该IP地址A的访问量特征为最近一个小时内1000条访问数据,在上一个小时内,IP地址A的访问量特征为一个小时内500条访问数据,根据访问阈值规则确定流量阈值为一小时内增幅为300条,则第一匹配结果为存在异常。这1000条访问数据为TCP连接,分别通过3条TCP连接进行访问,其TCP连接均为1个小时,根据异常参数规则确定连接时间阈值为2个小时,则得到第二匹配结果为无异常。这1000条访问数据均为同一用户的访问数据,根据异常服务规则确定异常条件为存储量变化是否超过100兆字节,确定这1000条访问数据的存储量为60兆字节,则可以确定得到第三匹配结果为无异常。在第一匹配结果、所述第二匹配结果和第三匹配结果确定匹配结果,其中任何一个特征匹配结果存在异常即认为该1000条访问流量存在异常,则将该1000条访问流量解析至流量清洗设备。
需要说明的是,在判断IP地址的访问流量为异常访问的情况下,可以将该IP地址加入黑名单,以使之后的来自该IP地址的访问流量直接到流量清洗设备。
在一种可实现的方式中,在将所述访问数据中携带的访问域名解析为流量清洗设备的地址之后,还包括:
在第二设定时间段内,根据所述匹配结果确定所述访问数据不为目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址。
在实际应用中,同时后台服务也会定期检测其是否还处于攻击中。如果超过一定时间(如2小时)未受到攻击,则将将流量重新切回OSS源。
例如,第二设定时间段为两个小时,IP地址A被判定为异常流量,在之后的两个小时内,没有被判断为攻击流量,则将从IP地址A来的访问数据再解析至OSS的源地址。
相应地,如果在判断IP地址的访问流量在一定的时间内不为攻击流量的情况下,可以将该IP地址从黑名单中移除,以使之后的来自该IP地址的访问流量直接到服务端。
本说明书实施例提供一种数据处理方法以及装置,其中所述数据处理方法应用于云存储服务的防护节点,包括:接收访问数据,确定所述访问数据的数据特征;将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,其中,所述数据匹配模型用于根据所述数据特征确定所述访问数据是否为目标数据;在根据所述匹配结果确定所述访问数据不为目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址,以使所述访问数据到达所述服务端。通过判断访问数据的特征,确定访问数据是否为目标数据,在访问数据不为目标数据的情况下,使该访问数据直接到达服务端,由于判断了访问数据的类型,使访问数据在不为目标数据的情况下直接到达服务端,而不是经过流量清洗设备,从而减少了转发线路,降低了访问延迟。
下述结合附图3,以本说明书提供的数据处理方法在服务器的应用为例,对所述数据处理方法进行进一步说明。其中,图3示出了本说明书一个实施例提供的一种数据处理方法的处理过程流程图,具体包括以下步骤。
步骤302:接收访问数据,根据所述访问数据中携带源地址确定地址访问量特征,根据所述访问数据的连接请求确定请求参数特征,根据所述访问数据的服务数据确定服务特征。
其中,源地址可以为客户端、访问端的IP地址;访问量特征可以为QPS特征、访问流量特征;连接请求可以为HTTPS请求、TCP请求等;请求参数特征可以为总连接数和等待数异常等特征;服务数据可以为用户的QPS数据、用户的流量数据等;服务特征可以为用户的全部QPS数据、用户的流量数据随时间变化的特征。
在实际应用中,与通用的攻击检测相比,由于OSS可以感知到更多服务相关数据,可以更准确的检测到是否攻击。因此可以使用三个维度作为参数判断某个bucket是否受到攻击:IP来源特征,即访问量特征,包括:总QPS和流量。四层请求特征,即请求参数特征,包括:TCP总连接数和等待数,HTTPS平均握手时间,平均丢包数,具有相同特征的TCP数据包。服务特征,包括:记录历史CC攻击报文模式,计算与历史报文模式匹配的请求数量,用户总QPS、流量、存储量变化,不同时间段内的QPS和流量变化,不同请求用户(含匿名访问)的总QPS、流量变化,热点请求的object(对象)总数、QPS、流量变化,冷数据的总QPS、流量变化,不同OSS请求的QPS、流量、后端延迟的变化。
例如,在最近一个小时内IP地址A发送来1000条访问数据,则,确定该IP地址A的访问量特征为最近一个小时内1000条访问数据,在上一个小时内,IP地址A的访问量特征为一个小时内500条访问数据。这1000条访问数据为TCP连接,分别通过3条TCP连接进行访问。这1000访问数据均为同一用户的访问数据。
步骤304:在所述地址访问量特征中确定来自同一地址的访问流量;根据所述访问阈值规则确定流量阈值;在第一设定时间段内的所述访问流量超过所述流量阈值的情况下,确定所述访问数据为目标数据。
其中,地址可以为IP地址。
例如,在最近一个小时内IP地址A发送来1000条访问数据,则,确定该IP地址A的访问量特征为最近一个小时内1000条访问数据,在上一个小时内,IP地址A的访问量特征为一个小时内500条访问数据,根据访问阈值规则确定流量阈值为一小时内增幅为300条,则第一匹配结果为存在异常。
步骤306:根据所述请求参数特征确定连接时长;根据所述异常参数规则确定连接时间阈值;在所述连接时长超过所述连接时间阈值的情况下,确定所述访问数据为目标数据。
例如,这1000条访问数据为TCP连接,分别通过3条TCP连接进行访问,其TCP连接均为1个小时,根据异常参数规则确定连接时间阈值为2个小时,则得到第二匹配结果为无异常。
步骤308:根据所述服务特征确定目标用户标识的访问流量;根据所述异常服务规则确定所述目标用户标识对应的异常条件;在所述目标用户标识的访问流量满足所述异常条件的情况下,确定所述访问数据为目标数据。
例如,这1000条访问数据均为同一用户的访问数据,根据异常服务规则确定异常条件为存储量变化是否超过100兆字节,确定这1000条访问数据的存储量为60兆字节,则可以确定得到第三匹配结果为无异常。
步骤310:判断访问数据是否为目标数据,若是,则执行步骤314。若否,则执行步骤312。
步骤312:将所述访问数据中携带的访问域名解析为服务端的地址,以使所述访问数据到达所述服务端。
例如,在最近一个小时内IP地址A发送来1000条访问数据,则,确定该IP地址A的访问量特征为最近一个小时内1000条访问数据,在上一个小时内,IP地址A的访问量特征为一个小时内800条访问数据,根据访问阈值规则确定流量阈值为一小时内增幅为300条,则第一匹配结果为无异常。这1000条访问数据为TCP连接,分别通过3条TCP连接进行访问,其TCP连接均为1个小时,根据异常参数规则确定连接时间阈值为2个小时,则得到第二匹配结果为无异常。这1000条访问数据均为同一用户的访问数据,根据异常服务规则确定异常条件为存储量变化是否超过100兆字节,确定这1000条访问数据的存储量为60兆字节,则可以确定得到第三匹配结果为无异常。根据第一匹配结果、所述第二匹配结果和第三匹配结果确定匹配结果,其中所有特征匹配结果不存在异常即认为该1000条访问流量正常,则将该1000条访问流量解析至OSS的源地址。
步骤314:将所述访问数据中携带的访问域名解析为流量清洗设备的地址,以使所述访问数据经过所述流量清洗设备。
例如,在最近一个小时内IP地址A发送来1000条访问数据,则,确定该IP地址A的访问量特征为最近一个小时内1000条访问数据,在上一个小时内,IP地址A的访问量特征为一个小时内500条访问数据,根据访问阈值规则确定流量阈值为一小时内增幅为300条,则第一匹配结果为存在异常。这1000条访问数据为TCP连接,分别通过3条TCP连接进行访问,其TCP连接均为1个小时,根据异常参数规则确定连接时间阈值为2个小时,则得到第二匹配结果为无异常。这1000条访问数据均为同一用户的访问数据,根据异常服务规则确定异常条件为存储量变化是否超过100兆字节,确定这1000条访问数据的存储量为60兆字节,则可以确定得到第三匹配结果为无异常。在第一匹配结果、所述第二匹配结果和第三匹配结果确定匹配结果,其中任何一个特征匹配结果存在异常即认为该1000条访问流量存在异常,则将该1000条访问流量解析至流量清洗设备。
通过判断访问数据的特征,确定访问数据是否为目标数据,在访问数据不为目标数据的情况下,使该访问数据直接到达服务端,由于判断了访问数据的类型,使访问数据在不为目标数据的情况下直接到达服务端,而不是经过流量清洗设备,从而减少了转发线路,降低了访问延迟。
与上述方法实施例相对应,本说明书还提供了数据处理装置实施例,图4示出了本说明书一个实施例提供的一种数据处理装置的结构示意图。如图4所示,该装置包括:
数据获取模块402,被配置为接收访问数据,确定所述访问数据的数据特征;
特征匹配模块404,被配置为将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,其中,所述数据匹配模型用于根据所述数据特征确定所述访问数据是否为目标数据;
解析模块406,被配置为在根据所述匹配结果确定所述访问数据不为所述目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址,以使所述访问数据到达所述服务端。
在一种可实现的方式中,数据获取模块402,还被配置为:
根据所述访问数据中携带源地址确定地址访问量特征;
根据所述访问数据的连接请求确定请求参数特征;
根据所述访问数据的服务数据确定服务特征。
在一种可实现的方式中,特征匹配模块404,还被配置为:
将所述地址访问量特征与访问阈值规则进行匹配得到第一匹配结果;
将所述请求参数特征与异常参数规则进行匹配得到第二匹配结果;
将所述服务特征与异常服务规则进行匹配得到第三匹配结果;
根据所述第一匹配结果、所述第二匹配结果和第三匹配结果确定匹配结果。
在一种可实现的方式中,特征匹配模块404,还被配置为:
在所述地址访问量特征中确定来自同一地址的访问流量;
根据所述访问阈值规则确定流量阈值;
在第一设定时间段内的所述访问流量超过所述流量阈值的情况下,确定所述访问数据为目标数据。
在一种可实现的方式中,特征匹配模块404,还被配置为:
根据所述请求参数特征确定连接时长;
根据所述异常参数规则确定连接时间阈值;
在所述连接时长超过所述连接时间阈值的情况下,确定所述访问数据为目标数据。
在一种可实现的方式中,特征匹配模块404,还被配置为:
根据所述服务特征确定目标用户标识的访问流量;
根据所述异常服务规则确定所述目标用户标识对应的异常条件;
在所述目标用户标识的访问流量满足所述异常条件的情况下,确定所述访问数据为目标数据。
在一种可实现的方式中,解析模块406,还被配置为:
在根据所述匹配结果确定所述访问数据为目标数据的情况下,将所述访问数据中携带的访问域名解析为流量清洗设备的地址,以使所述访问数据经过所述流量清洗设备。
在一种可实现的方式中,解析模块406,还被配置为:
在第二设定时间段内,根据所述匹配结果确定所述访问数据不为目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址。
在一种可实现的方式中,解析模块406,还被配置为:
根据预设周期内获取的访问数据进行机器学习,得到目标模型;
根据所述目标模型构造数据匹配模型,其中,所述数据匹配模型为所述数据特征随时间变化的模型。
本说明书实施例提供一种数据处理方法以及装置,其中所述数据处理装置接收访问数据,确定所述访问数据的数据特征;将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,其中,所述数据匹配模型用于根据所述数据特征确定所述访问数据是否为目标数据;在根据所述匹配结果确定所述访问数据不为目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址,以使所述访问数据到达所述服务端。通过判断访问数据的特征,确定访问数据是否为目标数据,在访问数据不为目标数据的情况下,使该访问数据直接到达服务端,由于判断了访问数据的类型,使访问数据在不为目标数据的情况下直接到达服务端,而不是经过流量清洗设备,从而减少了转发线路,降低了访问延迟。
上述为本实施例的一种数据处理装置的示意性方案。需要说明的是,该数据处理装置的技术方案与上述的数据处理方法的技术方案属于同一构思,数据处理装置的技术方案未详细描述的细节内容,均可以参见上述数据处理方法的技术方案的描述。
图5示出了根据本说明书一个实施例提供的一种计算设备500的结构框图。该计算设备500的部件包括但不限于存储器510和处理器520。处理器520与存储器510通过总线530相连接,数据库550用于保存数据。
计算设备500还包括接入设备540,接入设备540使得计算设备500能够经由一个或多个网络560通信。这些网络的示例包括公用交换电话网(PSTN)、局域网(LAN)、广域网(WAN)、个域网(PAN)或诸如因特网的通信网络的组合。接入设备540可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC))中的一个或多个,诸如IEEE802.11无线局域网(WLAN)无线接口、全球微波互联接入(Wi-MAX)接口、以太网接口、通用串行总线(USB)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC)接口,等等。
在本说明书的一个实施例中,计算设备500的上述部件以及图5中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图5所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备500可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备500还可以是移动式或静止式的服务器。
其中,处理器520用于执行如下计算机可执行指令,该计算机可执行指令被处理器执行时实现上述数据处理方法的步骤。
上述为本实施例的一种计算设备的示意性方案。需要说明的是,该计算设备的技术方案与上述的数据处理方法的技术方案属于同一构思,计算设备的技术方案未详细描述的细节内容,均可以参见上述数据处理方法的技术方案的描述。
本说明书一实施例还提供一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现上述数据处理方法的步骤。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的数据处理方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述数据处理方法的技术方案的描述。
本说明书一实施例还提供一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述数据处理方法的步骤。
上述为本实施例的一种计算机程序的示意性方案。需要说明的是,该计算机程序的技术方案与上述的数据处理方法的技术方案属于同一构思,计算机程序的技术方案未详细描述的细节内容,均可以参见上述数据处理方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本说明书实施例并不受所描述的动作顺序的限制,因为依据本说明书实施例,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本说明书实施例所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书实施例的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本说明书实施例的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。
Claims (12)
1.一种数据处理方法,应用于云存储服务的防护节点,包括:
接收访问数据,确定所述访问数据的数据特征;
将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,其中,所述数据匹配模型用于根据所述数据特征确定所述访问数据是否为目标数据;
在根据所述匹配结果确定所述访问数据不为所述目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址,以使所述访问数据到达所述服务端。
2.根据权利要求1所述的方法,所述确定所述访问数据的数据特征,包括:
根据所述访问数据中携带源地址确定地址访问量特征;
根据所述访问数据的连接请求确定请求参数特征;
根据所述访问数据的服务数据确定服务特征。
3.根据权利要求2所述的方法,所述将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,包括:
将所述地址访问量特征与所述数据匹配模型中的访问阈值规则进行匹配得到第一匹配结果;
将所述请求参数特征与所述数据匹配模型中的异常参数规则进行匹配得到第二匹配结果;
将所述服务特征与所述数据匹配模型中的异常服务规则进行匹配得到第三匹配结果;
根据所述第一匹配结果、所述第二匹配结果和第三匹配结果确定匹配结果。
4.根据权利要求3所述的方法,所述将所述地址访问量特征与所述数据匹配模型中的访问阈值规则进行匹配得到第一匹配结果,包括:
在所述地址访问量特征中确定来自同一地址的访问流量;
根据所述访问阈值规则确定流量阈值;
在第一设定时间段内的所述访问流量超过所述流量阈值的情况下,确定所述访问数据为目标数据。
5.根据权利要求3所述的方法,所述将所述请求参数特征与所述数据匹配模型中的异常参数规则进行匹配得到第二匹配结果,包括:
根据所述请求参数特征确定连接时长;
根据所述异常参数规则确定连接时间阈值;
在所述连接时长超过所述连接时间阈值的情况下,确定所述访问数据为目标数据。
6.根据权利要求3所述的方法,所述将所述服务特征与所述数据匹配模型中的异常服务规则进行匹配得到第三匹配结果,包括:
根据所述服务特征确定目标用户标识的访问流量;
根据所述异常服务规则确定所述目标用户标识对应的异常条件;
在所述目标用户标识的访问流量满足所述异常条件的情况下,确定所述访问数据为目标数据。
7.根据权利要求1所述的方法,在将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果之后,还包括:
在根据所述匹配结果确定所述访问数据为所述目标数据的情况下,将所述访问数据中携带的访问域名解析为流量清洗设备的地址,以使所述访问数据经过所述流量清洗设备。
8.根据权利要求7所述的方法,在将所述访问数据中携带的访问域名解析为流量清洗设备的地址之后,还包括:
在第二设定时间段内,根据所述匹配结果确定所述访问数据不为目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址。
9.根据权利要求1所述的方法,还包括:
根据预设周期内获取的访问数据进行机器学习,得到目标模型;
根据所述目标模型构造数据匹配模型,其中,所述数据匹配模型为所述数据特征随时间变化的模型。
10.一种数据处理装置,包括:
数据获取模块,被配置为接收访问数据,确定所述访问数据的数据特征;
特征匹配模块,被配置为将所述数据特征输入数据匹配模型,获得所述数据匹配模型输出的匹配结果,其中,所述数据匹配模型用于根据所述数据特征确定所述访问数据是否为目标数据;
解析模块,被配置为在根据所述匹配结果确定所述访问数据不为所述目标数据的情况下,将所述访问数据中携带的访问域名解析为服务端的地址,以使所述访问数据到达所述服务端。
11.一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至9任意一项所述数据处理方法的步骤。
12.一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至9任意一项所述数据处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210618349.6A CN115208625A (zh) | 2022-06-01 | 2022-06-01 | 数据处理方法以及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210618349.6A CN115208625A (zh) | 2022-06-01 | 2022-06-01 | 数据处理方法以及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115208625A true CN115208625A (zh) | 2022-10-18 |
Family
ID=83576868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210618349.6A Pending CN115208625A (zh) | 2022-06-01 | 2022-06-01 | 数据处理方法以及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208625A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506538A (zh) * | 2014-12-26 | 2015-04-08 | 北京奇虎科技有限公司 | 机器学习型域名系统安全防御方法和装置 |
| CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
| US20180063168A1 (en) * | 2016-08-31 | 2018-03-01 | Cisco Technology, Inc. | Automatic detection of network threats based on modeling sequential behavior in network traffic |
| CN108092940A (zh) * | 2016-11-23 | 2018-05-29 | 贵州白山云科技有限公司 | 一种dns的防护方法及相关设备 |
| US20180176241A1 (en) * | 2016-12-21 | 2018-06-21 | Hewlett Packard Enterprise Development Lp | Abnormal behavior detection of enterprise entities using time-series data |
| CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
| CN109274639A (zh) * | 2018-07-03 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 开放平台异常数据访问的识别方法和装置 |
| CN109981805A (zh) * | 2017-12-28 | 2019-07-05 | 中国移动通信集团山东有限公司 | 一种域名解析的方法及装置 |
| CN111431884A (zh) * | 2020-03-18 | 2020-07-17 | 上海观安信息技术股份有限公司 | 一种基于dns分析的主机失陷检测方法及装置 |
| CN113347210A (zh) * | 2021-08-03 | 2021-09-03 | 北京观成科技有限公司 | 一种dns隧道检测方法、装置及电子设备 |
-
2022
- 2022-06-01 CN CN202210618349.6A patent/CN115208625A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506538A (zh) * | 2014-12-26 | 2015-04-08 | 北京奇虎科技有限公司 | 机器学习型域名系统安全防御方法和装置 |
| CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
| US20180063168A1 (en) * | 2016-08-31 | 2018-03-01 | Cisco Technology, Inc. | Automatic detection of network threats based on modeling sequential behavior in network traffic |
| CN108092940A (zh) * | 2016-11-23 | 2018-05-29 | 贵州白山云科技有限公司 | 一种dns的防护方法及相关设备 |
| US20180176241A1 (en) * | 2016-12-21 | 2018-06-21 | Hewlett Packard Enterprise Development Lp | Abnormal behavior detection of enterprise entities using time-series data |
| CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
| CN109981805A (zh) * | 2017-12-28 | 2019-07-05 | 中国移动通信集团山东有限公司 | 一种域名解析的方法及装置 |
| CN109274639A (zh) * | 2018-07-03 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 开放平台异常数据访问的识别方法和装置 |
| CN111431884A (zh) * | 2020-03-18 | 2020-07-17 | 上海观安信息技术股份有限公司 | 一种基于dns分析的主机失陷检测方法及装置 |
| CN113347210A (zh) * | 2021-08-03 | 2021-09-03 | 北京观成科技有限公司 | 一种dns隧道检测方法、装置及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 王耀武;杨亚红;: "分布式拒绝服务攻击的软防御系统", 计算机工程与设计, no. 03 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101662605B1 (ko) | 모바일 네트워크 환경에서 네트워크 정보를 가입자 정보와 상관시키는 시스템 및 방법 | |
| US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
| CN107465651B (zh) | 网络攻击检测方法及装置 | |
| US9369479B2 (en) | Detection of malware beaconing activities | |
| CN107465648B (zh) | 异常设备的识别方法及装置 | |
| WO2018121331A1 (zh) | 攻击请求的确定方法、装置及服务器 | |
| US20210144120A1 (en) | Service resource scheduling method and apparatus | |
| US20170134957A1 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
| CN106453669B (zh) | 一种负载均衡方法及一种服务器 | |
| EP3369232A1 (en) | Detection of cyber threats against cloud-based applications | |
| WO2016025081A1 (en) | Collaborative and adaptive threat intelligence for computer security | |
| Do et al. | Detection of DNS tunneling in mobile networks using machine learning | |
| CN102404741B (zh) | 移动终端上网异常检测方法和装置 | |
| CN104301180B (zh) | 一种业务报文处理方法和设备 | |
| CN109413069B (zh) | 基于区块链的虚拟网站防火墙的应用方法及装置 | |
| US11750646B2 (en) | System and method for decentralized internet traffic filtering policy reporting | |
| WO2014062629A1 (en) | System and method for correlating security events with subscriber information in a mobile network environment | |
| CN113132308B (zh) | 一种网络安全防护方法及防护设备 | |
| EP3382981B1 (en) | A user equipment and method for protection of user privacy in communication networks | |
| CN105939320A (zh) | 处理报文的方法及装置 | |
| US10200383B2 (en) | Neutralizing malicious locators | |
| CN115208625A (zh) | 数据处理方法以及装置 | |
| US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets | |
| CN112261004B (zh) | 一种Domain Flux数据流的检测方法及装置 | |
| CN111385248B (zh) | 攻击防御方法和攻击防御设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |