CN115361179A - 一种基于自定义拦截标识的cc攻击防护方法 - Google Patents
一种基于自定义拦截标识的cc攻击防护方法 Download PDFInfo
- Publication number
- CN115361179A CN115361179A CN202210935744.7A CN202210935744A CN115361179A CN 115361179 A CN115361179 A CN 115361179A CN 202210935744 A CN202210935744 A CN 202210935744A CN 115361179 A CN115361179 A CN 115361179A
- Authority
- CN
- China
- Prior art keywords
- interception
- request
- identifier
- service
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000009472 formulation Methods 0.000 claims abstract description 4
- 239000000203 mixture Substances 0.000 claims abstract description 4
- 230000007123 defense Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于自定义拦截标识的CC攻击防护方法,包括:拦截规则制定阶段,确定业务要使用的拦截标识字段;记录选定的拦截标识字段与业务的对应关系形成拦截标识字段表;生成拦截标识;确定拦截频率;CC防护阶段,收到用户请求后,查询对应关系获取业务的拦截标识字段表,并从用户请求中依次提取拦截字段对应参数的值;根据提取的用户请求参数值和拦截字段名,按照拦截规则制定阶段生成用户请求标识,并将用户请求标识与业务保存的拦截标识进行比较;若比较结果一致,表明该请求满足预设的拦截规则,应当进行防护处理,否者放行。本发明采用自定义拦截标识的方式实现了CC攻击防护,自定义拦截标识极大的提升了CC防护的拦截精度和灵活性。
Description
技术领域
本发明涉及前端信息处理技术领域,具体涉及一种基于自定义拦截标识的CC攻击防护方法。
背景技术
CC(ChallengeCollapsar,挑战黑洞)攻击是DDoS(Distributed Denial ofService,分布式拒绝服务)的一种,也是一种常见的网站攻击方法,它的原理是攻击者控制某些主机不停地发送数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。这种攻击见不到虚假IP,见不到特别大的异常流量,而且,这种技术实现门槛相对较低,只要利用合适的工具和一些IP代理,一个初、中级水平的电脑用户就能够实现该种攻击。因此,具有很大的威胁。
CC攻击主要用来攻击页面或web服务,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户不停地进行访问那些需要大量数据操作的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至造成网络拥塞,正常的访问被终止。
本申请发明人发现现有技术至少存在以下技术问题:
1、目前较为主流的CC防护策略大都是以限制单个IP或单个应用的访问频率实现的,单纯的以单个IP的访问频率作为防护维度,容易被攻击者采用虚拟IP池轻松绕过,造成漏报;
2、若采用限制单个路径的访问频率的方式,由于业务系统的复杂性,单个路径下可能根据不同的请求方式和请求参数分为了不同的业务,而不同业务本身的正常访问频率可能存在不同,单纯以请求路径作为防御标准无法区分路径下的不同业务,可能造成cc攻击的误报或漏报。
发明内容
本发明的目的在于提供一种基于自定义拦截标识的CC攻击防护方法,本方案采用自定义cc攻击拦截标识的方式,解决传统cc攻击防护方案容易误报和漏报的问题。
为了实现上述目的,本发明采用以下技术方案:
一种基于自定义拦截标识的CC攻击防护方法,包括:
拦截规则制定阶段,具体包括以下步骤:
确定业务要使用的拦截标识字段;
记录选定的拦截标识字段与业务的对应关系形成拦截标识字段表;
生成拦截标识;
确定拦截频率;
CC防护阶段,具体包括以下步骤:
收到用户请求后,查询对应关系获取业务的拦截标识字段表,并从用户请求中依次提取拦截字段对应参数的值;
根据提取的用户请求参数值和拦截字段名,按照拦截规则制定阶段生成用户请求标识,并将用户请求标识与业务保存的拦截标识进行比较;
若比较结果一致,表明该请求满足预设的拦截规则,应当进行防护处理,否者放行。
在一些实施例中,所述确定业务要使用的拦截标识字段,包括:该业务的http访问请求头、请求行或请求体中包含的字段内容。
在一些实施例中,所述生成拦截标识,包括:根据选定的一个或多个拦截字段,以字段名和字段值一一对应的方式,将选定的所有字段名和字段值合并,并生成一个唯一的拦截标识ID并保存,该拦截标识ID将作为后续判断CC攻击的标识。
在一些实施例中,所述确定拦截频率,包括:为业务设置正常情况下,一段时间内的访问最大频率。
在一些实施例中,所述若比较结果一致,表明该请求满足预设的拦截规则,应当进行防护处理;包括:若比较结果一致,表明该请求满足CC防护的拦截规则,应当进行防护处理,具体为:判断该拦截标识下统计的访问次数在时间窗口内是否超过了业务预设的最大访问频率,若超过,直接拦截该请求;若未超过,将该标识对应的访问次数加1。
本申请所提供的一种基于自定义拦截标识的CC攻击防护方法具有的有益效果包括但不限于:
本发明采用用户自定义拦截标识的方式实现了CC攻击防护,自定义拦截标识极大的提升了CC防护的拦截精度和灵活性,可配置于各个不同的业务系统,可应用于绝大多数需要CC防护的应用场景。
附图说明
图1为基于自定义拦截标识的CC攻击防护方案流程图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请的优选实施例中的附图,对本申请实施例中的技术方案进行更加详细的描述。在附图中,自始至终相同或类似的标号表示相同或类似的部件或具有相同或类似功能的部件。所描述的实施例是本申请一部分实施例,而不是全部的实施例。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下将结合图1,对本申请实施例所涉及的一种基于自定义拦截标识的CC攻击防护方法进行详细说明。值得注意的是,以下实施例,仅仅用于解释本申请,并不构成对本申请的限定。
实施例1:
本发明提供一种基于自定义拦截标识的CC攻击防御方法,以准确识别CC攻击,实现对Web服务器的有效防护。本方案包括拦截规则制定阶段和CC防护阶段;拦截标识生成阶段根据不同业务场景的正常访问频率和访问请求的特征,以业务为单位生成定制化的拦截标识,由拦截标识和最大访问频率共同组成该业务的CC防护规则;在CC防护阶段中,当业务收到请求时,根据自定义拦截标识中包含的字段提取用户请求中的相应字段,采用同样的方式生成标识,并与该业务的拦截标识对比,根据对比结果决定是否进行防护处理。该方案可有效提升拦截精度和准确度,减少误报和漏报。
如图1所示:一种基于自定义拦截标识的CC攻击防护方法,包括:
拦截规则制定阶段,具体包括以下步骤:
确定业务要使用的拦截标识字段;
记录选定的拦截标识字段与业务的对应关系形成拦截标识字段表;
生成拦截标识;
确定拦截频率;
CC防护阶段,具体包括以下步骤:
收到用户请求后,查询对应关系获取业务的拦截标识字段表,并从用户请求中依次提取拦截字段对应参数的值;
根据提取的用户请求参数值和拦截字段名,按照拦截规则制定阶段生成用户请求标识,并将用户请求标识与业务保存的拦截标识进行比较;
若比较结果一致,表明该请求满足预设的拦截规则,应当进行防护处理,否者放行。
实施例2:
步骤1:在客户端请求到达业务服务之前,在业务服务器前方配置代理服务器用于CC攻击检测;
步骤2:在代理服务器上根据站点hosts为业务服务配置拦截标识字段,字段可选项包括客户端IP地址client_ip、用户请求User-agent、用户请求的hosts地址、请求的url路径、请求包含的特殊参数值等;
步骤3:使用选定的字段和预设值生成拦截标识;如预设拦截标识字段为:hosts=www.baidu.com&user-agent=xxxxxx&client_ip=12.2.11.4,即仅当IP、UA、hosts都与预设值相同时,统计这样的客户端请求的访问频率;将上述拦截标识字符串进行哈希处理作为该业务的自定义拦截标识;
步骤4:当用户请求到来时,CC检测模块首先根据请求的hosts找到与请求对应的拦截标识字段列表,在用户请求中提取字段列表中包含字段的值并按同样的顺序排列,举例如拦截标识字段包含hosts、ua、client_ip,则从用户请求中找到上述字段对应的值并按拦截标识的生成顺序排列为:hosts=www.xxx.com&user-agent=xxxxxx&client_ip=11.4.33.5,同样对该字段进行哈希处理;
步骤5:将得到的新标识与预设的拦截标识进行字符串比对,若两者一致,表明需要对该请求进行CC攻击防护,判断该请求是否达到了预设的访问频率值并进行处理;若对比结果不一致,则直接放行请求;
本方案的具体实施方式不仅限于本例举出的这一种,拦截标识字段的选择可替换为任意其他能满足业务需求的请求字段。
该方案通过预设拦截标识的方式,实际上是对用户请求按照满足标识和不满足标识进行分类,对满足分类的访问行为进行拦截处理,如果用户根据攻击者的访问特征如请求方法、请求UA或特殊的参数值生成拦截标识,则可以准确的进行针对性拦截。如果存在请求url相同的不同业务,则可以根据请求参数和请求方法制定不同的拦截标识用于区分不同业务并配置各自的拦截频率,实现业务更加精确的CC防护规则配置;相比传统的CC防护方式,本方案拦截准确度更高,误报更少。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于自定义拦截标识的CC攻击防护方法,其特征在于,包括:
拦截规则制定阶段,具体包括以下步骤:
确定业务要使用的拦截标识字段;
记录选定的拦截标识字段与业务的对应关系形成拦截标识字段表;
生成拦截标识;
确定拦截频率;
CC防护阶段,具体包括以下步骤:
收到用户请求后,查询对应关系获取业务的拦截标识字段表,并从用户请求中依次提取拦截字段对应参数的值;
根据提取的用户请求参数值和拦截字段名,按照拦截规则制定阶段生成用户请求标识,并将用户请求标识与业务保存的拦截标识进行比较;
若比较结果一致,表明该请求满足预设的拦截规则,应当进行防护处理,否者放行。
2.根据权利要求1所述的一种基于自定义拦截标识的CC攻击防护方法,其特征在于,所述确定业务要使用的拦截标识字段,包括:该业务的http访问请求头、请求行或请求体中包含的字段内容。
3.根据权利要求1所述的一种基于自定义拦截标识的CC攻击防护方法,其特征在于,所述生成拦截标识,包括:根据选定的一个或多个拦截字段,以字段名和字段值一一对应的方式,将选定的所有字段名和字段值合并,并生成一个唯一的拦截标识ID并保存,该拦截标识ID将作为后续判断CC攻击的标识。
4.根据权利要求1所述的一种基于自定义拦截标识的CC攻击防护方法,其特征在于,所述确定拦截频率,包括:为业务设置正常情况下,一段时间内的访问最大频率。
5.根据权利要求1所述的一种基于自定义拦截标识的CC攻击防护方法,其特征在于,所述若比较结果一致,表明该请求满足预设的拦截规则,应当进行防护处理;包括:若比较结果一致,表明该请求满足CC防护的拦截规则,应当进行防护处理,具体为:判断该拦截标识下统计的访问次数在时间窗口内是否超过了业务预设的最大访问频率,若超过,直接拦截该请求;若未超过,将该标识对应的访问次数加1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210935744.7A CN115361179A (zh) | 2022-08-04 | 2022-08-04 | 一种基于自定义拦截标识的cc攻击防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210935744.7A CN115361179A (zh) | 2022-08-04 | 2022-08-04 | 一种基于自定义拦截标识的cc攻击防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115361179A true CN115361179A (zh) | 2022-11-18 |
Family
ID=84033413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210935744.7A Pending CN115361179A (zh) | 2022-08-04 | 2022-08-04 | 一种基于自定义拦截标识的cc攻击防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115361179A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
| CN106789983A (zh) * | 2016-12-08 | 2017-05-31 | 北京安普诺信息技术有限公司 | 一种cc攻击防御方法及其防御系统 |
| WO2018130137A1 (zh) * | 2017-01-10 | 2018-07-19 | 贵州白山云科技有限公司 | 一种防御网络攻击的方法、装置、介质及设备 |
| CN110138774A (zh) * | 2019-05-14 | 2019-08-16 | 重庆天蓬网络有限公司 | 一种动态配置通用cc攻击的拦截方法 |
| CN110875907A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 一种访问请求控制方法及装置 |
| CN111641658A (zh) * | 2020-06-09 | 2020-09-08 | 杭州安恒信息技术股份有限公司 | 一种请求拦截方法、装置、设备及可读存储介质 |
| CN113992403A (zh) * | 2021-10-27 | 2022-01-28 | 北京知道创宇信息技术股份有限公司 | 访问限速拦截方法及装置、防御服务器和可读存储介质 |
| CN114793171A (zh) * | 2022-04-13 | 2022-07-26 | 杭州盈高科技有限公司 | 访问请求的拦截方法、装置、存储介质及电子装置 |
-
2022
- 2022-08-04 CN CN202210935744.7A patent/CN115361179A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
| CN106789983A (zh) * | 2016-12-08 | 2017-05-31 | 北京安普诺信息技术有限公司 | 一种cc攻击防御方法及其防御系统 |
| WO2018130137A1 (zh) * | 2017-01-10 | 2018-07-19 | 贵州白山云科技有限公司 | 一种防御网络攻击的方法、装置、介质及设备 |
| CN110875907A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 一种访问请求控制方法及装置 |
| CN110138774A (zh) * | 2019-05-14 | 2019-08-16 | 重庆天蓬网络有限公司 | 一种动态配置通用cc攻击的拦截方法 |
| CN111641658A (zh) * | 2020-06-09 | 2020-09-08 | 杭州安恒信息技术股份有限公司 | 一种请求拦截方法、装置、设备及可读存储介质 |
| CN113992403A (zh) * | 2021-10-27 | 2022-01-28 | 北京知道创宇信息技术股份有限公司 | 访问限速拦截方法及装置、防御服务器和可读存储介质 |
| CN114793171A (zh) * | 2022-04-13 | 2022-07-26 | 杭州盈高科技有限公司 | 访问请求的拦截方法、装置、存储介质及电子装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10505932B2 (en) | Method and system for tracking machines on a network using fuzzy GUID technology | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US10084752B2 (en) | Hybrid hardware-software distributed threat analysis | |
| Cambiaso et al. | Slow DoS attacks: definition and categorisation | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| Aiello et al. | DNS tunneling detection through statistical fingerprints of protocol messages and machine learning | |
| WO2018121331A1 (zh) | 攻击请求的确定方法、装置及服务器 | |
| US20030200441A1 (en) | Detecting randomness in computer network traffic | |
| Sarica et al. | A novel sdn dataset for intrusion detection in iot networks | |
| CN108632221B (zh) | 定位内网中的受控主机的方法、设备及系统 | |
| Satam et al. | Anomaly Behavior Analysis of DNS Protocol. | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| RU2690749C1 (ru) | Способ защиты вычислительных сетей | |
| Ghafir et al. | DNS query failure and algorithmically generated domain-flux detection | |
| Rajendran | DNS amplification & DNS tunneling attacks simulation, detection and mitigation approaches | |
| Zhang et al. | CMD: A convincing mechanism for MITM detection in SDN | |
| KR20200109875A (ko) | 유해 ip 판단 방법 | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| Cai et al. | A behavior-based method for detecting DNS amplification attacks | |
| CN115361179A (zh) | 一种基于自定义拦截标识的cc攻击防护方法 | |
| US7917649B2 (en) | Technique for monitoring source addresses through statistical clustering of packets | |
| CN112261004B (zh) | 一种Domain Flux数据流的检测方法及装置 | |
| CN111683041B (zh) | 一种数据库关联访问方法 | |
| CN111371917B (zh) | 一种域名检测方法及系统 | |
| RU2680038C1 (ru) | Способ защиты вычислительных сетей |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |