CN115549915A - 用于检测系统攻击的方法和装置 - Google Patents

用于检测系统攻击的方法和装置 Download PDF

Info

Publication number
CN115549915A
CN115549915A CN202210963551.2A CN202210963551A CN115549915A CN 115549915 A CN115549915 A CN 115549915A CN 202210963551 A CN202210963551 A CN 202210963551A CN 115549915 A CN115549915 A CN 115549915A
Authority
CN
China
Prior art keywords
information
determining
response
timestamp
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210963551.2A
Other languages
English (en)
Inventor
刘名顺
王绪文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jingdong Technology Information Technology Co Ltd
Original Assignee
Jingdong Technology Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jingdong Technology Information Technology Co Ltd filed Critical Jingdong Technology Information Technology Co Ltd
Priority to CN202210963551.2A priority Critical patent/CN115549915A/zh
Publication of CN115549915A publication Critical patent/CN115549915A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了用于检测系统攻击的方法和装置,涉及系统安全技术领域。该方法包括:接收用户端发送的请求信息,其中,请求信息中包括第一信息、第二信息、第三信息,第二信息基于时间戳生成;验证第二信息的格式,响应于确定格式通过验证,验证时间戳所指示的时间是否位于第一时间阈值内;响应于确定时间戳所指示的时间位于第一时间阈值内,验证第一计算结果与第三信息是否一致,响应于确定第一计算结果与第三信息一致,确定是否存在预设随机字符串;响应于确定存在预设随机字符串,确定系统受到重放攻击,采用该方法可以提高检测系统是否存在攻击的准确性。

Description

用于检测系统攻击的方法和装置
技术领域
本公开涉及系统安全技术领域,具体涉及用于检测系统攻击的方法和装置。
背景技术
随着互联网技术的不断发展,网络已经深入人们的日常生活中,极大的便利了人们的工作和生活。在用户端和服务端进行交互的过程中,如果程序设计不合理即会形成安全漏洞,部分恶意用户会利用此漏洞对系统发起攻击,损害服务端系统或者其他用户的利益。因此,检测是否存在系统攻击行为以避免恶意用户对服务端系统的篡改/攻击至关重要。现有的用于检测是否存在系统攻击的方法包括:基于对用户端请求的加密信息进行验证,或者基于对用户端的身份令牌进行验证、或者对用户发起请求时的时间参数进行验证。
然而,现有的用于检测系统攻击的方法存在检测不准确的问题。
发明内容
本公开提供了一种用于检测系统攻击的方法、装置、电子设备以及计算机可读存储介质。
根据本公开的第一方面,提供了一种用于检测系统攻击的方法,包括:接收用户端发送的请求信息,其中,请求信息中包括第一信息、第二信息、第三信息,第二信息基于时间戳生成;验证第二信息的格式,响应于确定格式通过验证,验证时间戳所指示的时间是否位于第一时间阈值内;响应于确定时间戳所指示的时间位于第一时间阈值内,验证第一计算结果与第三信息是否一致,其中,第一计算结果基于对第一信息以及第二信息的哈希计算得到;响应于确定第一计算结果与第三信息一致,确定是否存在预设随机字符串,其中,预设随机字符串与第二信息一致时,使得预设存储时间位于第二时间阈值内;响应于确定存在预设随机字符串,确定系统受到重放攻击。
在一些实施例中,在验证第二信息的格式之后,方法包括:响应于确定格式未通过验证,确定系统受到篡改攻击。
在一些实施例中,在验证时间戳所指示的时间是否位于第一时间阈值内之后,方法包括:响应于确定时间戳指示的时间不位于第一时间阈值内,确定系统受到重放攻击。
在一些实施例中,在验证第一计算结果与第三信息是否一致之后,方法包括:响应于确定第一计算结果与第三信息不一致,确定系统受到篡改攻击。
在一些实施例中,在确定是否存在预设随机字符串之后,方法包括:响应于确定不存在预设随机字符串,确定系统未受到攻击;存储第二信息,将存储第二信息的时间确定为预设存储时间。
在一些实施例中,第一信息、第二信息以及第三信息由用户端生成。
在一些实施例中,第一信息包括:基于请求参数生成的字符串。
在一些实施例中,第二信息包括:基于随机数以及时间戳生成的随机字符串。
在一些实施例中,第三信息包括:对指定字符串进行哈希计算得到的计算结果,其中,指定字符串基于对预设字符串、第一信息以及第二信息的拼接得到。
根据本公开的第二方面,提供了一种用于检测系统攻击的装置,包括:接收单元,被配置为接收用户端发送的请求信息,其中,请求信息中包括第一信息、第二信息、第三信息,第二信息基于时间戳生成;第一验证单元,被配置为验证第二信息的格式,响应于确定格式通过验证,验证时间戳所指示的时间是否位于第一时间阈值内;第二验证单元,被配置为响应于确定时间戳所指示的时间位于第一时间阈值内,验证第一计算结果与第三信息是否一致,其中,第一计算结果基于对第一信息以及第二信息的哈希计算得到;第三验证单元,被配置为响应于确定第一计算结果与第三信息一致,确定是否存在预设随机字符串,其中,预设随机字符串与第二信息一致时,使得预设存储时间位于第二时间阈值内;检测确定单元,被配置为响应于确定存在预设随机字符串,确定系统受到重放攻击。
在一些实施例中,在验证第二信息的格式之后,装置包括:第一确定单元,被配置为响应于确定格式未通过验证,确定系统受到篡改攻击。
在一些实施例中,在验证时间戳所指示的时间是否位于第一时间阈值内之后,装置包括:第二确定单元,被配置为响应于确定时间戳指示的时间不位于第一时间阈值内,确定系统受到重放攻击。
在一些实施例中,在验证第一计算结果与第三信息是否一致之后,装置包括:第三确定单元,被配置为响应于确定第一计算结果与第三信息不一致,确定系统受到篡改攻击。
在一些实施例中,在确定是否存在预设随机字符串之后,装置包括:第四确定单元,被配置为响应于确定不存在预设随机字符串,确定系统未受到攻击;存储单元,被配置为存储第二信息,将存储第二信息的时间确定为预设存储时间。
在一些实施例中,第一信息、第二信息以及第三信息由用户端生成。
在一些实施例中,第一信息包括:基于请求参数生成的字符串。
在一些实施例中,第二信息包括:基于随机数以及时间戳生成的随机字符串。
在一些实施例中,第三信息包括:对指定字符串进行哈希计算得到的计算结果,其中,指定字符串基于对预设字符串、第一信息以及第二信息的拼接得到。
根据本公开的第三方面,本公开的实施例提供了一种电子设备,包括:一个或多个处理器:存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面提供的用于检测系统攻击的方法或者实现如第二方面提供的用于预测信息的方法。
根据本公开的第四方面,本公开的实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其中,程序被处理器执行时实现如第一方面提供的用于检测系统攻击的方法或者实现如第二方面提供的用于预测信息的方法。
本公开提供的用于检测系统攻击的方法、装置,包括:接收用户端发送的请求信息,其中,请求信息中包括第一信息、第二信息、第三信息,第二信息基于时间戳生成;验证第二信息的格式,响应于确定格式通过验证,验证时间戳所指示的时间是否位于第一时间阈值内;响应于确定时间戳所指示的时间位于第一时间阈值内,验证第一计算结果与第三信息是否一致,其中,第一计算结果基于对第一信息以及第二信息的哈希计算得到;响应于确定第一计算结果与第三信息一致,确定是否存在预设随机字符串,其中,预设随机字符串与第二信息一致时,使得预设存储时间位于第二时间阈值内;响应于确定存在预设随机字符串,确定系统受到重放攻击,可以提高检测系统是否存在攻击的准确性。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是本申请的实施例可以应用于其中的示例性系统架构图;
图2是根据本申请的用于检测系统攻击的方法的一个实施例的流程图;
图3是根据本申请的用于检测系统攻击的方法的另一个实施例的流程图;
图4是根据本申请的用于检测系统攻击的方法中一个应用场景的流程图;
图5是根据本申请的用于检测系统攻击的装置的一个实施例的结构示意图;
图6是用来实现本申请实施例的用于检测系统攻击的方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1示出了可以应用本申请的用于检测系统攻击的方法或用于检测系统攻击的装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103,网络 104和服务器105。网络104用以在终端设备101、102、103和服务器105 之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103可以是用户终端设备,其上可以安装有各种客户端应用,例如,用于检测系统攻击的类软件、数据维护类应用、图像类应用、视频类应用、搜索类应用、金融类应用等。
终端设备101、102、103可以是具有显示屏并且支持接收服务器消息的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、电子播放器、膝上型便携计算机和台式计算机等等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、 102、103为硬件时,可以是各种电子设备,当终端设备101、102、103 为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的多个软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以接收用户端发送的请求信息,其中,请求信息中包括第一信息、第二信息、第三信息,第二信息基于时间戳生成;验证第二信息的格式,响应于确定格式通过验证,验证时间戳所指示的时间是否位于第一时间阈值内;响应于确定时间戳所指示的时间位于第一时间阈值内,验证第一计算结果与第三信息是否一致,其中,第一计算结果基于对第一信息以及第二信息的哈希计算得到;响应于确定第一计算结果与第三信息一致,确定是否存在预设随机字符串,其中,预设随机字符串与第二信息一致时,使得预设存储时间位于第二时间阈值内;响应于确定存在预设随机字符串,确定系统受到重放攻击。
需要说明的是,本公开的实施例所提供的用于检测系统攻击的方法可以由服务器105执行,相应地,用于检测系统攻击的装置可以设置于服务器105中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,示出了根据本公开的用于检测系统攻击的方法的一个实施例的流程200,包括以下步骤:
步骤201,接收用户端发送的请求信息,其中,请求信息中包括第一信息、第二信息、第三信息,第二信息基于时间戳生成。
在本实施例中,用于检测系统攻击的方法的执行主体(例如图1所示的服务器)可以接收用户端发送的请求信息,该请求信息可以是请求服务端反馈结果、请求服务端执行指定任务的信息、请求服务端进行信息通信等,该请求信息中包括第一信息、第二信息以及第三信息,第一信息可以是用户端基于请求参数生成的信息,第二信息可以是用户端基于随机数和时间戳生成的信息,第三信息可以是基于对第一信息以及第二信息的哈希计算所产生的结果信息。
步骤202,验证第二信息的格式,响应于确定格式通过验证,验证时间戳所指示的时间是否位于第一时间阈值内。
在本实施例中,可以验证第二信息的格式,若确定第二信息的格式为预设格式,则验证用于生成第二信息的时间戳所指示的时间是否位于第一时间阈值内,即,该时间与当前时间之间的差值是否小于第一时间阈值。
步骤203,响应于确定时间戳所指示的时间位于第一时间阈值内,验证第一计算结果与第三信息是否一致,其中,第一计算结果基于对第一信息以及第二信息的哈希计算得到。
在本实施例中,若确定时间戳所指示的时间位于第一时间阈值内,则验证第一计算结果与第三信息是否一致,其中,该第一计算结果基于对第一信息以及第二信息的哈希计算得到。
步骤204,响应于确定第一计算结果与第三信息一致,确定是否存在预设随机字符串,其中,预设随机字符串与第二信息一致时,使得预设存储时间位于第二时间阈值内。
在本实施例中,若确定第一计算结果与第三信息一致,则确定是否存在预设随机字符串,即,检索存储中是否存在与第二信息一致的随机字符串使得预设存储时间与当前时间之间的差值小于第二时间阈值。该预设存储时间可以是服务端存储第二信息的时间,该第二时间阈值与上述第一时间阈值可以相同也可以不同。
步骤205,响应于确定存在预设随机字符串,确定系统受到重放攻击。
在本实施例中,若确定存在预设随机字符串,则确定系统受到重放攻击,其中,重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者(恶意用户)发送一个目的主机已接收过的包,来达到欺骗目的主机系统的目的,主要用于身份认证过程,破坏认证的正确性。
本实施例提供的用于检测系统攻击的方法,接收用户端发送的请求信息,其中,请求信息中包括第一信息)、第二信息、第三信息,第二信息基于时间戳生成;验证第二信息的格式,响应于确定格式通过验证,验证时间戳所指示的时间是否位于第一时间阈值内;响应于确定时间戳所指示的时间位于第一时间阈值内,验证第一计算结果与第三信息是否一致,其中,第一计算结果基于对第一信息以及第二信息的哈希计算得到;响应于确定第一计算结果与第三信息一致,确定是否存在预设随机字符串,其中,预设随机字符串与第二信息一致时,使得预设存储时间位于第二时间阈值内;响应于确定存在预设随机字符串,确定系统受到重放攻击,可以对用户请求进行多维度的验证,以提高检测系统攻击的准确性。
可选地,在验证第二信息的格式之后,方法包括:响应于确定格式未通过验证,确定系统受到篡改攻击。
在本实施例中,若确定第二信息的格式不符合预设格式,则确定系统受到篡改攻击,篡改是指攻击者通过某种方式中断通信实体间的报文传输,抓取请求报文,修改关键参数并重新发送的攻击技术。
可选地,在验证时间戳所指示的时间是否位于第一时间阈值内之后,方法包括:响应于确定时间戳指示的时间不位于第一时间阈值内,确定系统受到重放攻击。
在本实施例中,在验证时间戳所指示的时间后,若确定时间戳所指示的时间与当前时间之间的差值大于或等于第一时间阈值,则确定系统受到重放攻击。
可选地,在验证第一计算结果与第三信息是否一致之后,方法包括:响应于确定第一计算结果与第三信息不一致,确定系统受到篡改攻击。
在本实施例中,在验证第一结果与第三信息是否一致后,若确定第一计算结果与第三信息不一致,则确定系统受到篡改攻击。
可选地,在确定是否存在预设随机字符串之后,方法包括:响应于确定不存在预设随机字符串,确定系统未受到攻击;存储第二信息,将存储第二信息的时间确定为预设存储时间。
在本实施例中,在确定是否存在预设随机字符串后,若确定不存在预设随机字符串,则确定系统未受到攻击,当前请求为正常用户的访问请求。存储第二信息,以及将存储第二信息的时间确定未预设存储时间。
继续参考图3,示出了根据本公开的用于检测系统攻击的方法的另一个实施例的流程300,包括以下步骤:
步骤301,接收用户端发送的请求信息,其中,请求信息中包括第一信息、第二信息、第三信息,第二信息基于时间戳生成,第一信息、第二信息以及第三信息由用户端生成。
在本实施例中,用于检测系统攻击的方法的执行主体(例如图1所示的服务器)可以接收用户端发送的请求信息,该请求信息可以是请求服务端反馈结果、执行指定任务的信息,该请求信息中包括第一信息、第二信息以及第三信息,第一信息可以是用户端基于请求参数生成的信息,第二信息可以是用户端基于随机数和时间戳生成的信息,第三信息可以是基于对第一信息以及第二信息的哈希计算所产生的结果信息。第一信息、第二信息以及第三信息均由用户端生成。用户端生成上述三者信息后,将其随用户请求发送至服务端,以使服务端基于该三者信息验证当前请求是否存在攻击行为。
步骤302,验证第二信息的格式,响应于确定格式通过验证,验证时间戳所指示的时间是否位于第一时间阈值内;
步骤303,响应于确定时间戳所指示的时间位于第一时间阈值内,验证第一计算结果与第三信息是否一致,其中,第一计算结果基于对第一信息以及第二信息的哈希计算得到;
步骤304,响应于确定第一计算结果与第三信息一致,确定是否存在预设随机字符串,其中,预设随机字符串与第二信息一致时,使得预设存储时间位于第二时间阈值内;
步骤305,响应于确定存在预设随机字符串,确定系统受到重放攻击。
本实施例中对步骤302、步骤303、步骤304、步骤305的描述与步骤 202、步骤203、步骤204、步骤205的描述一致,此处不再赘述。
本实施例提供的用于检测系统攻击的方法,接收用户端发送的请求信息,其中,请求信息中包括第一信息、第二信息、第三信息,第二信息基于时间戳生成,第一信息、第二信息以及第三信息由用户端生成。验证第二信息的格式,响应于确定格式通过验证,验证时间戳所指示的时间是否位于第一时间阈值内;响应于确定时间戳所指示的时间位于第一时间阈值内,验证第一计算结果与第三信息是否一致,其中,第一计算结果基于对第一信息以及第二信息的哈希计算得到;响应于确定第一计算结果与第三信息一致,确定是否存在预设随机字符串,其中,预设随机字符串与第二信息一致时,使得预设存储时间位于第二时间阈值内;响应于确定存在预设随机字符串,确定系统受到重放攻击,可以对用户请求进行多维度的验证,以提高检测系统攻击的准确性。
可选地,第一信息包括:基于请求参数生成的字符串。
在本实施例中,第一信息可以是用户端利用字符串生成技术以基于用户请求中关键的请求参数所生成的字符串。
可选地,第二信息包括:基于随机数以及时间戳生成的随机字符串。
在本实施例中,第二信息可以是用户端利用随机数生成技术以基于随机数以及时间戳所生成的随机字符串。
可选地,第三信息包括:对指定字符串进行哈希计算得到的计算结果,其中,指定字符串基于对预设字符串、第一信息以及第二信息的拼接得到。
在本实施例中,用户端可以调用预设函数,将第一信息以及第二信息作为该预设函数的参数,基于预设字符串、第一信息以及第二信息进行拼接得到指定字符串,对指定字符串进行哈希计算以得到计算结果,将该哈希计算结果作为第三信息。
在一些应用场景中,如图4所示,用于检测系统攻击的方法包括:
步骤401,用户端加载Javascript文件(网页或者用户端的脚本文件),加载预设字符串v。
步骤402,用户端调用第一预设函数生成基于随机数和时间戳的随机串nonce(即,第二信息)。为保证随机串的随机性,可以先产生例如(0, 2147483647]范围内的随机数;获取当前时间戳,将当前时间戳转化为秒级时间戳,将该随机数以及秒级时间戳进行拼接得到随机串nonce。
步骤403,用户端选取关键请求参数产生字符串src(即,第一信息)。
步骤404,用户端调用第二预设函数传入src和nonce作为参数,由v、 src、nonce拼接产生指定字符串s,对s进行SM3(中国国家密码标准(GB/T 32905-2016)所描述的(杂凑)哈希算法)哈希计算,产生Hex格式(一种文件格式)的字符串sign(即,第三信息)。
步骤405,用户端将src、nonce、sign,连同用户请求中的其他请求参数一同发送至服务端。
步骤406,服务端收到请求后,加载预设字符串v,预设时间阈值Tt (即,第一时间阈值以及第二时间阈值),采用如下步骤进行检测:
步骤4061,对nonce的格式进行验证,如果nonce不符合预设格式,则认为服务端遭受篡改攻击,转入流程407。
步骤4062,提取nonce中的时间戳Tn,获取当前的时间戳T,与服务端预设的时间戳阈值Tt进行对比,验证表达式是否成立:
Tt>|T–Tn|
其中,Tt为时间戳阈值,T为当前时间,Tn为nonce时间戳。
若成立,转入流程4063;若不成立,则认为系统受到重放攻击,转入流程407。
步骤4063,拼接v、src、nonce拼接并进行SM3哈希计算,验证表达式是否成立:
存在Ssign=SM3hex(v‖src‖nonce),
使得Equals(Ssign,sign)
其中SM3hex为SM3哈希函数返回Hex字符串,Equals为字符串对比函数,sign为用户端产生的哈希值。
若成立,转入流程4064;若不成立,则认为系统受到篡改攻击,转入流程407。
步骤4064,检索存储中随机串的数据集合Cnonce进行匹配存在n∈Cnonce,Equals(n,nonce),
使得Tt>|T-Tnonce|
其中Equals为字符串对比函数,Tt为时间戳阈值,T为当前时间,Tnonce为流程407中与nonce的存储时间。
若成立,则认为系统受到重放攻击,转入流程407;若不成立,则认为是正常用户访问,转入流程407。
步骤407,服务端对随机串nonce和当前时间T进行存储,返回结果,流程结束。
在该用于检测系统攻击的方法中,基于nonce的随机性和其中隐含的时间戳信息可对重放攻击进行检测;另外,哈希算法保证了随请求发送的 src、nonce、sign一旦发生篡改即能被有效检出。
进一步参考图5,作为对上述各图所示方法的实现,本公开提供了一种用于检测系统攻击的装置的一个实施例,该装置实施例与图2和图3所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图5所示,本实施例的用于检测系统攻击的装置,包括:接收单元 501、第一验证单元502、第二验证单元503、第三验证单元504、检测确定单元505。其中,接收单元,被配置为接收用户端发送的请求信息,其中,请求信息中包括第一信息、第二信息、第三信息,第二信息基于时间戳生成;第一验证单元,被配置为验证第二信息的格式,响应于确定格式通过验证,验证时间戳所指示的时间是否位于第一时间阈值内;第二验证单元,被配置为响应于确定时间戳所指示的时间位于第一时间阈值内,验证第一计算结果与第三信息是否一致,其中,第一计算结果基于对第一信息以及第二信息的哈希计算得到;第三验证单元,被配置为响应于确定第一计算结果与第三信息一致,确定是否存在预设随机字符串,其中,预设随机字符串与第二信息一致时,使得预设存储时间位于第二时间阈值内;检测确定单元,被配置为响应于确定存在预设随机字符串,确定系统受到重放攻击。
在一些实施例中,在验证第二信息的格式之后,装置包括:第一确定单元,被配置为响应于确定格式未通过验证,确定系统受到篡改攻击。
在一些实施例中,在验证时间戳所指示的时间是否位于第一时间阈值内之后,装置包括:第二确定单元,被配置为响应于确定时间戳指示的时间不位于第一时间阈值内,确定系统受到重放攻击。
在一些实施例中,在验证第一计算结果与第三信息是否一致之后,装置包括:第三确定单元,被配置为响应于确定第一计算结果与第三信息不一致,确定系统受到篡改攻击。
在一些实施例中,在确定是否存在预设随机字符串之后,装置包括:第四确定单元,被配置为响应于确定不存在预设随机字符串,确定系统未受到攻击;存储单元,被配置为存储第二信息,将存储第二信息的时间确定为预设存储时间。
在一些实施例中,第一信息、第二信息以及第三信息由用户端生成。
在一些实施例中,第一信息包括:基于请求参数生成的字符串。
在一些实施例中,第二信息包括:基于随机数以及时间戳生成的随机字符串。
在一些实施例中,第三信息包括:对指定字符串进行哈希计算得到的计算结果,其中,指定字符串基于对预设字符串、第一信息以及第二信息的拼接得到。
上述装置500中的各单元与参考图2、图3描述的方法中的步骤相对应。由此上文针对用于检测系统攻击的方法描述的操作、特征及所能达到的技术效果同样适用于装置500及其中包含的单元,在此不再赘述。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图6所示,是根据本申请实施例的用于检测系统攻击的方法的电子设备600的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图6所示,该电子设备包括:一个或多个处理器601、存储器602,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图6中以一个处理器601 为例。
存储器602即为本申请所提供的非瞬时计算机可读存储介质。其中,该存储器存储有可由至少一个处理器执行的指令,以使该至少一个处理器执行本申请所提供的用于检测系统攻击的方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的用于检测系统攻击的方法。
存储器602作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的用于检测系统攻击的方法对应的程序指令/模块。处理器601通过运行存储在存储器602中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的用于检测系统攻击的方法。
存储器602可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据用于提取视频片段的电子设备的使用所创建的数据等。此外,存储器602 可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器602可选包括相对于处理器601远程设置的存储器,这些远程存储器可以通过网络连接至用于提取视频片段的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
用于检测系统攻击的方法的电子设备还可以包括:输入装置603、输出装置604以及总线605。处理器601、存储器602、输入装置603和输出装置604可以通过总线605或者其他方式连接,图6中以通过总线605连接为例。
输入装置603可接收输入的数字或字符信息,以及产生与用于提取视频片段的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置604可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入) 来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。

Claims (12)

1.一种用于检测系统攻击的方法,包括:
接收用户端发送的请求信息,其中,所述请求信息中包括第一信息、第二信息、第三信息,所述第二信息基于时间戳生成;
验证所述第二信息的格式,响应于确定所述格式通过验证,验证所述时间戳所指示的时间是否位于第一时间阈值内;
响应于确定所述时间戳所指示的时间位于所述第一时间阈值内,验证第一计算结果与所述第三信息是否一致,其中,所述第一计算结果基于对所述第一信息以及所述第二信息的哈希计算得到;
响应于确定所述第一计算结果与所述第三信息一致,确定是否存在预设随机字符串,其中,所述预设随机字符串与所述第二信息一致时,使得预设存储时间位于第二时间阈值内;
响应于确定存在所述预设随机字符串,确定系统受到重放攻击。
2.根据权利要求1所述的方法,其中,在验证所述第二信息的格式之后,所述方法包括:
响应于确定所述格式未通过验证,确定所述系统受到篡改攻击。
3.根据权利要求1所述的方法,其中,在验证所述时间戳所指示的时间是否位于第一时间阈值内之后,所述方法包括:
响应于确定所述时间戳指示的时间不位于所述第一时间阈值内,确定所述系统受到重放攻击。
4.根据权利要求1所述的方法,其中,在验证第一计算结果与所述第三信息是否一致之后,所述方法包括:
响应于确定所述第一计算结果与所述第三信息不一致,确定所述系统受到篡改攻击。
5.根据权利要求1所述的方法,其中,在确定是否存在预设随机字符串之后,所述方法包括:
响应于确定不存在所述预设随机字符串,确定所述系统未受到攻击;
存储所述第二信息,将存储所述第二信息的时间确定为所述预设存储时间。
6.根据权利要求1所述的方法,其中,所述第一信息、所述第二信息以及所述第三信息由所述用户端生成。
7.根据权利要求6所述的方法,其中,所述第一信息包括:基于请求参数生成的字符串。
8.根据权利要求6所述的方法,其中,所述第二信息包括:基于随机数以及所述时间戳生成的随机字符串。
9.根据权利要求6所述的方法,其中,所述第三信息包括:对指定字符串进行哈希计算得到的计算结果,其中,所述指定字符串基于对预设字符串、第一信息以及第二信息的拼接得到。
10.一种用于检测系统攻击的装置,包括:
接收单元,被配置为接收用户端发送的请求信息,其中,所述请求信息中包括第一信息、第二信息、第三信息,所述第二信息基于时间戳生成;
第一验证单元,被配置为验证所述第二信息的格式,响应于确定所述格式通过验证,验证所述时间戳所指示的时间是否位于第一时间阈值内;
第二验证单元,被配置为响应于确定所述时间戳所指示的时间位于所述第一时间阈值内,验证第一计算结果与所述第三信息是否一致,其中,所述第一计算结果基于对所述第一信息以及所述第二信息的哈希计算得到;
第三验证单元,被配置为响应于确定所述第一计算结果与所述第三信息一致,确定是否存在预设随机字符串,其中,所述预设随机字符串与所述第二信息一致时,使得预设存储时间位于第二时间阈值内;
检测确定单元,被配置为响应于确定存在所述预设随机字符串,确定系统受到重放攻击。
11.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-9中任一项所述的方法。
12.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行权利要求1-9中任一项所述的方法。
CN202210963551.2A 2022-08-11 2022-08-11 用于检测系统攻击的方法和装置 Pending CN115549915A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210963551.2A CN115549915A (zh) 2022-08-11 2022-08-11 用于检测系统攻击的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210963551.2A CN115549915A (zh) 2022-08-11 2022-08-11 用于检测系统攻击的方法和装置

Publications (1)

Publication Number Publication Date
CN115549915A true CN115549915A (zh) 2022-12-30

Family

ID=84724562

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210963551.2A Pending CN115549915A (zh) 2022-08-11 2022-08-11 用于检测系统攻击的方法和装置

Country Status (1)

Country Link
CN (1) CN115549915A (zh)

Similar Documents

Publication Publication Date Title
US10248910B2 (en) Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
US10915896B2 (en) Signature verification method, apparatus, and system
WO2018177124A1 (zh) 业务处理方法、装置、数据共享系统及存储介质
US10360402B2 (en) Intercepting sensitive data using hashed candidates
US20220115012A1 (en) Method and apparatus for processing voices, device and computer storage medium
WO2021254075A1 (zh) 应用的登录方法和装置
US10067862B2 (en) Tracking asynchronous entry points for an application
CN112987942B (zh) 键盘输入信息的方法、装置、系统、电子设备和存储介质
US11990130B2 (en) Method, apparatus, device and computer storage medium for processing voices
US11640450B2 (en) Authentication using features extracted based on cursor locations
CN112511505A (zh) 一种鉴权系统、方法、装置、设备和介质
CN114363088B (zh) 用于请求数据的方法和装置
US11329992B2 (en) Security measures for extended sessions
CN113630412B (zh) 资源下载方法、资源下载装置、电子设备以及存储介质
CN111275404A (zh) 基于区块链的评审方法、装置、设备和介质
CN112565225B (zh) 用于数据发送的方法、装置、电子设备及可读存储介质
CN111400743B (zh) 基于区块链网络的事务处理方法、装置、电子设备和介质
CN110650215A (zh) 边缘网络的函数执行方法及装置
CN110968856A (zh) 登录方法、装置、电子设备和存储介质
CN115549915A (zh) 用于检测系统攻击的方法和装置
CN111339571B (zh) 一种区块链密钥管理方法、装置、设备和存储介质
CN110392064B (zh) 风险识别方法、装置、计算设备以及计算机可读存储介质
CN114726579A (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
CN111371557A (zh) 区块链数据处理方法、装置、电子设备及介质
US20220210186A1 (en) Systems and methods for protection against theft of user credentials by email phishing attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination