CN115603938A - 攻击防护方法、终端设备及计算机可读存储介质 - Google Patents
攻击防护方法、终端设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115603938A CN115603938A CN202210995384.XA CN202210995384A CN115603938A CN 115603938 A CN115603938 A CN 115603938A CN 202210995384 A CN202210995384 A CN 202210995384A CN 115603938 A CN115603938 A CN 115603938A
- Authority
- CN
- China
- Prior art keywords
- client
- request
- abnormal
- communication
- protection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了攻击防护方法、终端设备及计算机可读存储介质,该攻击防护方法包括:接收客户端的请求;基于客户端的请求获取客户端的逻辑地址,并按照逻辑地址搜索客户端对应的日志文件;基于日志文件,获取客户端的通信记录;按照通信记录中成功通信请求和异常通信请求的数量判断客户端是否为异常客户端;若是,则对客户端的请求进行拦截。通过本申请的方法,能够拦截异常客户端的请求,终止异常客户端与服务器的连接链路,减少服务器响应请求导致的带宽流量占用。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及攻击防护方法、终端设备及计算机可读存储介质。
背景技术
随着越来越多的应用是以超文本传输协议(HyperText Transfer Protocol,HTTPS)方式访问,HTTPS的分布式拒绝服务攻击(Distributed denial ofservice attack,DDoS,也称为洪水攻击)也逐步出现。当前对于洪水攻击的防护手段涉及到对报文进行解密验证,对中间流量清洗设备性能要求高,虽然能够对模拟成正常访问的流量攻击进行防护,但是无法防护异常客户端的流量攻击;异常客户端仅与服务器进行握手连接而不进行正常访问,服务器长连接资源被恶意占用,导致服务器报文流量异常。
发明内容
本申请提供了攻击防护方法、终端设备及计算机可读存储介质,以解决现有技术中服务器报文流量异常的技术问题。
为解决上述问题,本申请提供第一种技术方案:提供一种攻击防护方法,包括:接收客户端的请求;基于所述客户端的请求获取所述客户端的逻辑地址,并按照逻辑地址搜索所述客户端对应的日志文件;基于所述日志文件,获取所述客户端的通信记录;按照所述通信记录中成功通信请求和异常通信请求的数量判断所述客户端是否为异常客户端;若是,则对所述客户端的请求进行拦截。
其中,所述按照所述通信记录中成功通信请求和异常通信请求的数量判断所述客户端是否为异常客户端的步骤包括:获取所述通信记录中所述成功通信请求和所述异常通信请求的数量比;在所述数量比小于或等于第一预设阈值时,确认所述客户端为异常客户端;在所述数量比大于第一预设阈值时,确认所述客户端为正常客户端。
其中,所述确认所述客户端为异常客户端的步骤之后,所述攻击防护方法还包括:根据所述数量比确认所述客户端的异常程度。
其中,所述按照所述通信记录中成功通信请求和异常通信请求的数量判断所述客户端是否为异常客户端的步骤包括:获取所述通信记录中所述成功通信请求和所述异常通信请求的数量比;在所述数量比小于或等于所述第一预设阈值时,判断所述异常通信请求的数量是否小于或等于第二预设阈值;若是,则确认所述客户端为所述正常客户端;若否,则确认所述客户端为所述异常客户端。
其中,所述通信记录包括所述客户端的请求内容,所述异常通信请求为所述请求内容为仅包括握手请求的通信请求,所述成功通信请求为所述请求内容包括为非握手请求的通信请求。
其中,所述日志文件包括所述客户端在预设时间内的请求记录,所述请求记录包括所述客户端的成功通信请求和异常通信请求。
其中,所述对所述客户端的请求进行拦截的步骤包括:将所述异常客户端的逻辑地址写入黑名单文件中,获得更新的所述黑名单文件,以使防火墙节点按照所述黑名单文件对相关的所述客户端的请求进行拦截。
其中,所述攻击防护方法还包括:获取防火墙集群中所有防火墙节点的请求处理数量;基于所述请求处理数量将所述客户端的请求处理任务分配给空闲防火墙节点执行。
为解决上述问题,本申请提供第二种技术方案:提供一种终端设备,包括处理器以及与所述处理器连接的存储器,其中,所述存储器中存储有程序数据,所述处理器调取所述存储器存储的所述程序数据,以执行如上所述的攻击防护方法。
为解决上述问题,本申请提供第三种技术方案:提供一种计算机可读存储介质,存储有程序指令,所述程序指令被执行以实现如上所述的攻击防护方法。
本申请提出了一种攻击防护方法、终端设备及计算机可读存储介质,该攻击防护方法包括:接收客户端的请求;基于客户端的请求获取客户端的逻辑地址,并按照逻辑地址搜索客户端对应的日志文件;基于日志文件,获取客户端的通信记录;按照通信记录中成功通信请求和异常通信请求的数量判断客户端是否为异常客户端;若是,则对客户端的请求进行拦截。通过本申请的方法,能够拦截异常客户端的请求,终止异常客户端与服务器的连接链路,减少服务器响应请求导致的带宽流量占用。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。其中:
图1是本申请提供的攻击防护方法第一实施例的流程图;
图2是本申请提供的攻击防护方法第二实施例的流程图;
图3是本申请提供的攻击防护方法第三实施例的流程图;
图4是本申请提供的终端设备一实施例的框架图;
图5是本申请提供的终端设备另一实施例的框架图;
图6是本申请提供的计算机可读存储介质一实施例的框架图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动情况下所获得的所有其他实施例,均属于本发明保护的范围。
需要说明,若本发明实施例中有涉及方向性指示(诸如上、下、左、右、前、后……),则该方向性指示仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
另外,若本发明实施例中有涉及“第一”、“第二”等的描述,则该“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
在网络安全领域,对不同网络间的信息传输协议可以通过安全套接层协议(Secure Sockets Layer,SSL)以及传输层安全(Transport Layer Security,TLS)保障数据传输的安全、完整,SSL和TLS提供了身份验证、信息机密性和完整性校验的功能,以实现加密信息交互。
由于SSL/TLS握手过程涉及非对称加密算法、对称加密算法和散列算法,其中非对称加解密是非常重量的计算消耗性工作,大部分非对称加密算法在实际使用中,服务器的计算量远大于客户端。现有的针对SSL/TLS攻击的防护都是基于SSL/TLS连接来判断攻击行为,并根据客户端的密钥交换次数、报文解密验证等方面对客户端的攻击行为进行防护。此种方法虽然能对模拟成正常访问的流量攻击进行防护,但是对模拟成正常TLS握手但不进行正常报文请求的DDOS攻击及其导致的报文流量攻击无法进行防护,导致服务器的长连接资源被恶意占用。
因此,本申请提出了一种攻击防护方法,该攻击防护方法应用于一种终端设备,具体的,该终端设备与提供业务服务的服务器连接,用于防护异常客户端的流量攻击,以保护服务器的数据传输安全。其中,本申请的终端设备可以为服务器,也可以为由服务器和本地终端相互配合的系统。相应地,终端设备包括的各个部分,例如各个单元、子单元、模块、子模块可以全部设置于服务器中,也可以分别设置于服务器和本地终端中。
进一步地,上述服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块,例如用来提供分布式服务器的软件或软件模块,也可以实现成单个软件或软件模块,在此不做具体限定。在一些可能的实现方式中,本申请实施例的攻击防护方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。
请参见图1,图1是本申请提供的攻击防护方法第一实施例的流程图。如图1所示,本实施例的攻击防护方法包括以下步骤:
步骤S11:接收客户端的请求。
具体的,在客户端与服务器建立通信连接时,客户端需要向服务器发送请求,服务器需对客户端的请求进行验证和响应,以使得客户端能够对服务器的业务系统进行访问。在客户端发送请求时,终端设备接收客户端的请求。
其中,客户端的请求包括多种请求方式,例如,用于建立连接的握手请求、用于获取资源的get请求、用于提交数据的post请求、用于上传内容的put请求、用于删除资源的delete请求、用于关闭连接的挥手请求等。可以理解为,握手请求为客户端与服务器交互的前提,只有当客户端与服务器建立握手连接后方可进行其他的业务服务。在本实施例中,客户端的请求可以为握手请求,也可以为其他的业务请求。优选地,客户端的请求为握手请求。
步骤S12:基于客户端的请求获取客户端的逻辑地址,并按照逻辑地址搜索与客户端对应的日志文件。
基于接收的客户端的请求,获取客户端的逻辑地址,其中,逻辑地址为互联网协议地址(Internet Protocol Address,IP地址),用于定义互联网上的客户端(主机),通过逻辑地址可以定义网络传输中网络层的发送方和接收方。
获取客户端的逻辑地址后,按照逻辑地址搜索客户端对应的日志文件。具体的,在一实施方式中,客户端对应的日志文件为终端设备存储的预设时间内所有或部分客户端向服务器发起请求的请求日志;在另一实施方式中,客户端对应的日志文件为服务器存储的预设时间内所有或部分客户端向服务器发起请求的请求日志,服务器与终端设备交互,终端设备持续或间隔时段内向服务器获取相应的日志文件。
请求日志中记录有客户端的访问行为信息,包括客户端的逻辑地址、请求时间、请求内容等。获取客户端的逻辑地址后,将逻辑地址与日志文件里的请求日志进行比对搜索。
步骤S13:基于日志文件,获取客户端的通信记录。
按照逻辑地址搜索与客户端对应的日志文件后,筛选出与客户端的逻辑地址一致的请求日志,即筛选出预设时间内该客户端向服务器发起请求的日志,以获得客户端的通信记录。
步骤S14:按照通信记录中成功通信请求和异常通信请求的数量判断客户端是否为异常客户端。
由于通信记录中包括预设时间内客户端发起请求的所有日志,将客户端发起的所有请求按照预设分类规则分成两类:成功通信请求和异常通信请求,并分别统计成功通信请求和异常通信请求的数量。具体的,预设分类规则可以根据客户端是否与服务器完成通信连接对通信请求进行分类;预设分类规则也可以根据客户端发起的请求类型对通信请求进行分类,在此不做具体限定。根据预设分类规则的不同,成功通信请求和异常通信请求的定义略有差别,但是可以理解为,成功通信请求为正常客户端倾向于发起的请求行为,异常通信请求为异常客户端倾向于发起的请求行为。
按照通信记录中成功通信请求和异常通信请求的数量判断客户端是否为异常客户端。若客户端为异常客户端,则进入步骤S15;若客户端为正常客户端,则将该客户端的请求转发至服务器,以使得服务器返回对应的响应指令。
步骤S15:对客户端的请求进行拦截。
当确认客户端为异常客户端时,终端设备对客户端的请求进行拦截。
在请求为握手请求时,终端设备接收客户端发送的Client Hello报文,终端设备通过分析日志文件获取客户端的通信记录,并根据通信记录中成功通信请求和异常通信请求的数量识别客户端的恶意攻击行为,以对异常客户端的请求进行拦截。由于终端设备能够拦截异常客户端的请求并终止链路,异常客户端不进入TLS握手阶段,服务器无需对异常客户端的Client Hello请求进行响应并发送相应的证书信息,减少服务响应的带宽流量占用。
在本申请实施例中,该攻击防护方法包括接收客户端的请求;基于客户端的请求获取客户端的逻辑地址,并按照逻辑地址搜索客户端对应的日志文件;基于日志文件,获取客户端的通信记录;按照通信记录中成功通信请求和异常通信请求的数量判断客户端是否为异常客户端;若是,则对客户端的请求进行拦截。通过本实施例的方法,能够拦截异常客户端的请求,终止异常客户端与服务器的连接链路,减少服务器响应请求导致的带宽流量占用。
请参见图2,图2是本申请提供的攻击防护方法第二实施例的流程图。如图2所示,步骤S14进一步包括以下步骤:
S21:获取通信记录中成功通信请求和异常通信请求的数量比。
在获取成功通信请求和异常通信请求的数量后,计算成功通信请求和异常通信请求的数量比。由于成功通信请求为正常客户端倾向于发起的请求行为,异常通信请求为异常客户端倾向于发起的请求行为,成功通信请求和异常通信请求的数量比越大,客户端为正常客户端的概率越高,因此,可以通过判断成功通信请求和异常通信请求的数量比的数值大小判断客户端是否为异常客户端。
S22:在数量比小于或等于第一预设阈值时,确认客户端为异常客户端。
在成功通信请求和异常通信请求的数量比小于或等于第一预设阈值时,确认客户端为异常客户端,并拦截异常客户端的请求。其中,第一预设阈值的具体数值可以根据终端设备的防护力度、服务器的安全系数等因素进行设置;第一预设阈值过小,可能导致部分异常客户端无法识别,终端设备的防护力度降低;第一预设阈值过大,可能会拦截正常客户端的请求,用户体验差。在可选的方案中,异常客户端的成功通信请求的数量可以为0,以保证服务器的安全系数。
S23:在数量比大于第一预设阈值时,确认客户端为正常客户端。
在成功通信请求和异常通信请求的数量比大于第一预设阈值时,确认客户端为正常客户端,并将正常客户端的请求转发至服务器,以使得服务器返回对应的响应指令。
在本申请实施例中,确认客户端是否为异常客户端的步骤还包括:获取通信记录中成功通信请求和异常通信请求的数量比;在数量比小于或等于第一预设阈值时,确认客户端为异常客户端;在数量比大于第一预设阈值时,确认客户端为正常客户端。通过本实施例的方法,根据成功通信请求和异常通信请求的数量比判断客户端是否为异常客户端,能够识别出仅与服务器进行握手连接而不进行正常访问的异常客户端,解决服务器报文流量异常的问题。
可选地,在步骤S22之后,获取通信记录中成功通信请求和异常通信请求的数量比,并将成功通信请求和异常通信请求的数量比转化为客户端的异常程度,终端设备中设置有多个与客户端的异常程度对应的异常区间,在客户端的异常程度落于某一异常区间时,终端设备对应于客户端的异常程度执行相应的防护措施。
例如,终端设备中设置有异常程度递增的第一异常区间和第二异常区间,第一预设阈值大于第三预设阈值。在数量比小于或等于第一预设阈值并大于第三预设阈值时,客户端的异常程度为第一异常程度,终端设备对第一异常程度的客户端进行监控,比如将该客户端的请求转发至服务器,并持续接收服务器与客户端的交互信息,以对客户端进行监控;在数量比小于或等于第三预设阈值时,客户端的异常程度为第二异常程度,终端设备对第二异常程度的客户端的请求进行拦截。在本实施例中,根据客户端的异常程度执行相应的防护措施,有利于提高攻击防护的准确率,减少误报。
进一步地,仅通过成功通信请求和异常通信请求的数量比来判断客户端是否为异常客户端虽然可以识别出仅与服务器进行握手连接而不进行正常访问的异常客户端,但正常客户端可能也会由于用户操作不当、用户业务需求变更、客户端网络状态等因素而出现发起异常通信请求的比例高于成功通信请求的状况,影响正常客户端的使用体验。因此,在本实施例中,在数量比小于或等于第一预设阈值时,进一步通过异常通信请求的数量判断客户端是否为异常客户端。
请参见图3,图3是本申请提供的攻击防护方法第三实施例的流程图。如图3所示,本实施例的攻击防护方法包括以下步骤:
S31:获取所述通信记录中成功通信请求和异常通信请求的数量比。
步骤S31与步骤S21类似,在此不再赘述。
S32:在数量比小于或等于第一预设阈值时,判断异常通信请求的数量是否小于或等于第二预设阈值。
在一些现实场景中,正常客户端可能会由于用户操作不当、用户业务需求变更、客户端网络状态等因素在某一时间内发起少量的异常通信请求,而不进行成功通信请求,并且,若异常客户端通过占用服务器长连接资源进行流量攻击,异常客户端的异常通信请求一般会相对较多。因此,终端设备在判断到成功通信请求和异常通信请求的数量比小于或等于第一预设阈值时,进一步判断异常通信请求的数量是否小于或等于第二预设阈值。
其中,第二预设阈值的具体数值可以根据终端设备的防护力度、服务器的安全系数等因素进行设置。若异常通信请求的数量小于或等于第二预设阈值,则进入步骤S33;若异常通信请求的数量大于第二预设阈值,则进入步骤S34。
S33:确认客户端为正常客户端。
若客户端的成功通信请求和异常通信请求的数量比小于或等于第一预设阈值且异常通信请求的数量小于或等于第二预设阈值,则终端设备确认客户端为正常客户端。
S34:确认客户端为异常客户端。
若客户端的成功通信请求和异常通信请求的数量比小于或等于第一预设阈值且异常通信请求的数量大于第二预设阈值,则确认客户端为异常客户端,以对异常客户端进行相应的防护措施。
在本申请实施例中,攻击防护方法还包括:在数量比小于或等于第一预设阈值时,判断异常通信请求的数量是否小于或等于第二预设阈值;若是,则确认客户端为正常客户端;若否,则确认客户端为异常客户端。通过本实施例的方法,根据异常通信请求的数量进一步判断客户端是否为异常客户端,能识别出异常通信请求的比例高于成功通信请求的正常客户端,减少防护误报,提高用户的使用体验。
可选地,在其他实施方式中,在数量比小于或等于第一预设阈值时,还可以将异常通信请求的数量小于或等于第二预设阈值的客户端纳入监测范围,比如将该客户端的请求转发至服务器,并持续接收服务器与客户端的交互信息,通过服务器与客户端的交互信息进一步判断该客户端是否为异常客户端。
可选地,通信记录包括客户端的请求内容,异常通信请求为请求内容仅包括握手请求的通信请求,成功通信请求为请求内容包括非握手请求的通信请求。
具体的,通信记录包括预设时间内客户端向服务器发起的请求日志的记录,请求日志包括客户端的请求内容、请求路径、请求参数、请求时间等信息。在本实施方式中,根据客户端的请求内容定义成功通信请求和异常通信请求。其中,异常通信请求为客户端仅发起握手请求的通信请求,成功通信请求为客户端发起的请求内容中包括非握手请求的其他请求。
在本实施方式中,通过客户端的请求内容对成功通信请求和异常通信请求进行定义,可以直观地将仅与服务器进行握手连接而不进行正常访问的异常客户端识别出来。
可选地,日志文件包括客户端在预设时间内的请求记录,请求记录包括客户端的成功通信请求和异常通信请求。
具体的,在一实施方式中,终端设备还用于记录向服务器发送请求的客户端的请求日志。例如,日志文件的获取方法可以包括以下步骤:接收客户端的请求;记录客户端的请求日志;将客户端的请求日志存储于缓冲区;将预设时间内的缓冲区的请求日志导出,以生成日志文件。
此时,在接收客户端的请求后,记录客户端的请求日志并存储于缓冲区或其他预设的存储路径。在一预设时间内,缓冲区存储有向服务器发送请求的客户端的请求日志,终端设备将其存储的请求日志全部导出,以生成多客户端的日志文件。终端设备在预设时间内基于日志文件识别异常客户端,以对异常客户端的请求进行拦截。
在其他实施方式中,服务器可以将预设时间内处理的请求记录发送至终端设备,以使得终端设备能够根据客户端对应的日志文件识别异常客户端,以周期性更新黑名单文件。
可选地,步骤S15进一步包括:将异常客户端的逻辑地址写入黑名单文件中,获得更新的黑名单文件,以使防火墙节点按照所述黑名单文件对相关客户端的请求进行拦截。
具体的,当确认客户端为异常客户端时,将异常客户端的逻辑地址写入黑名单文件中,以获得更新的黑名单文件。以使得在终端设备接收请求时,防火墙节点能够通过判断客户端的逻辑地址是否存在于黑名单文件来拦截异常客户端的请求,以拒绝与异常客户端进行TLS连接。防火墙节点无需重复对客户端对应的日志文件进行分析,提高防护效率。
进一步地,终端设备中设置有防火墙节点,用于对客户端发起的请求进行处理,其中,防火墙节点的请求处理至少包括如上任一实施方式所述的攻击防护方法中的任一步骤,防火墙节点的请求处理还可以包括上述任一实施方式的攻击防护方法的组合。当服务器提供的业务服务更多时,服务器接收的请求数量更多,单个防火墙节点难以满足服务器的流量需求,因此,本实施例的攻击防护方法可以由防火墙集群执行,以解决防火墙单节点的流量瓶颈。
请参见图4,图4是本申请提供的终端设备一实施例的框架图。如图4所示,本实施例的攻击防护方法还包括:获取防火墙集群中所有防火墙节点的请求处理数量;基于请求处理数量将客户端的请求处理任务分配给空闲防火墙节点执行。
防火墙集群由多个防火墙节点组成,例如,防火墙集群由第一个防火墙节点、第二个防火墙节点、……、第N个防火墙节点组成。每个防火墙节点用于对客户端发起的请求进行处理,终端设备根据防火墙集群中所有防火墙节点的请求处理数量将客户端的请求处理任务分配给空闲防火墙节点执行,以均衡防火墙集群中所有防火墙节点的负载。
为此,终端设备可以设置有分配模块,分配模块中搭建有Nginx、openresty等反向代理服务器、负载均衡网络结构、IPTABLES等信息过滤系统等,以基于请求处理数量将客户端的请求处理任务分配给空闲防火墙节点执行。在其他实施方式中,分配模块还可以设置其他结构系统实现上述功能,在此不做具体限定。
可选地,防火墙节点对客户端发起的请求进行处理后,拦截异常客户端的请求,并将正常客户端的请求转发至服务器中。在一实施方式中,提供业务服务的服务器可以设置于终端设备中,即在终端设备中,服务器与防火墙节点分别设置于终端设备的不同系统;在另一实施方式中,提供业务服务的服务器独立设置,此时,终端设备用于接收客户端发起的请求,并将正常客户端的请求转发至服务器。
可选地,终端设备还可以对所有防火墙节点的处理占用率进行计算,其中,处理占用率为该防火墙节点正在处理的请求数量与能够处理的请求数量之比或者为该防火墙节点当前流量与上限流量之比。并将防火墙集群中所有防火墙节点的请求处理数量或者处理占用率进行排序,以将客户端的请求处理任务分配给空闲防火墙节点执行。
可选地,终端设备还可以根据客户端的请求内容获取该请求的占用流量数据,并根据请求的占用流量数据将客户端的请求处理任务分配给合适的防火墙节点执行。例如,客户端发起的请求的占用流量数据为50MB,50MB对应于防火墙的5%的处理占用率,则将该请求分配给处理占用率为95%以下的防火墙节点执行。
在本申请实施例中,攻击防护方法还包括:获取防火墙集群中所有防火墙节点的请求处理数量;基于请求处理数量将客户端的请求处理任务分配给空闲防火墙节点执行。通过本实施例的方法,将防火墙节点扩展为集群模式,使得该攻击防护方法可以应用于大型服务器或分布式服务器集群,解决防火墙单节点的流量瓶颈。
请参见图5,图5是本申请提供的终端设备另一实施例的框架图。如图5所示,本申请进一步提出一种终端设备200,该终端设备200包括处理器201及与处理器201连接的存储器202。
处理器201还可以称为CPU(Central Processing Unit,中央处理单元)。处理器201可能是一种集成电路芯片,具有信号的处理能力。处理器201还可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器202用于存储处理器201运行所需的程序数据。
处理器201还用于执行存储器202存储的程序数据以实现上述攻击防护方法。
可选地,在一实施例中,处理器201用于执行程序数据以实现如下方法:接收客户端的请求;基于客户端的请求获取客户端的逻辑地址,并按照逻辑地址搜索客户端对应的日志文件;基于日志文件,获取客户端的通信记录;按照通信记录中成功通信请求和异常通信请求的数量判断客户端是否为异常客户端;若是,则对客户端的请求进行拦截。
请参见图6,图6是本申请提供的计算机可读存储介质一实施例的框架图。如图6所示,本申请进一步提出一种计算机可读存储介质。
本申请实施例的计算机可读存储介质300内部存储有程序指令310,程序指令310被执行以实现上述攻击防护方法。
其中,程序指令310可以形成程序文件以软件产品的形式存储在上述存储介质中,以使得一台终端设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方式方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质,或者是计算机、服务器、手机、平板等终端设备。
本实施例计算机可读存储介质300可以是但不局限于U盘、SD卡、PD光驱、移动硬盘、大容量软驱、闪存、多媒体记忆卡、服务器等。
在一个实施例中,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。终端设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该终端设备执行上述各方法实施例中的步骤。
另外,上述功能如果以软件功能的形式实现并作为独立产品销售或使用时,可存储在一个移动终端可读取存储介质中,即,本申请还提供一种存储有程序数据的存储装置,所述程序数据能够被执行以实现上述实施例的方法,该存储装置可以为如U盘、光盘、服务器等。也就是说,本申请可以以软件产品的形式体现出来,其包括若干指令用以使得一台智能终端执行各个实施例所述方法的全部或部分步骤。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的机构、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(可以是个人计算机,服务器,网络设备或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
以上所述仅为本申请的实施方式,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种攻击防护方法,其特征在于,包括:
接收客户端的请求;
基于所述客户端的请求获取所述客户端的逻辑地址,并按照所述逻辑地址搜索所述客户端对应的日志文件;
基于所述日志文件,获取所述客户端的通信记录;
按照所述通信记录中成功通信请求和异常通信请求的数量判断所述客户端是否为异常客户端;
若是,则对所述客户端的请求进行拦截。
2.根据权利要求1所述的攻击防护方法,其特征在于,所述按照所述通信记录中成功通信请求和异常通信请求的数量判断所述客户端是否为异常客户端的步骤包括:
获取所述通信记录中所述成功通信请求和所述异常通信请求的数量比;
在所述数量比小于或等于第一预设阈值时,确认所述客户端为异常客户端;
在所述数量比大于所述第一预设阈值时,确认所述客户端为正常客户端。
3.根据权利要求2所述的攻击防护方法,其特征在于,所述确认所述客户端为异常客户端的步骤之后,所述攻击防护方法还包括:根据所述数量比确认所述客户端的异常程度。
4.根据权利要求1所述的攻击防护方法,其特征在于,所述按照所述通信记录中成功通信请求和异常通信请求的数量判断所述客户端是否为异常客户端的步骤包括:
获取所述通信记录中所述成功通信请求和所述异常通信请求的数量比;
在所述数量比小于或等于第一预设阈值时,判断所述异常通信请求的数量是否小于或等于第二预设阈值;
若是,则确认所述客户端为所述正常客户端;
若否,则确认所述客户端为所述异常客户端。
5.根据权利要求1所述的攻击防护方法,其特征在于,所述通信记录包括所述客户端的请求内容,所述异常通信请求为所述请求内容仅包括握手请求的通信请求,所述成功通信请求为所述请求内容包括非握手请求的通信请求。
6.根据权利要求5所述的攻击防护方法,其特征在于,所述日志文件包括所述客户端在预设时间内的请求记录,所述请求记录包括所述客户端的成功通信请求和异常通信请求。
7.根据权利要求1所述的攻击防护方法,其特征在于,所述对所述客户端的请求进行拦截的步骤包括:
将所述异常客户端的逻辑地址写入黑名单文件中,获得更新的所述黑名单文件,以使防火墙节点按照所述黑名单文件对相关的所述客户端的请求进行拦截。
8.根据权利要求1-7任一项所述的攻击防护方法,其特征在于,所述攻击防护方法还包括:
获取防火墙集群中所有防火墙节点的请求处理数量;
基于所述请求处理数量将所述客户端的请求处理任务分配给空闲的所述防火墙节点执行。
9.一种终端设备,其特征在于,包括处理器以及与所述处理器连接的存储器,其中,所述存储器中存储有程序数据,所述处理器执行所述存储器存储的所述程序数据,以执行如权利要求1-8任一项所述的攻击防护方法。
10.一种计算机可读存储介质,其特征在于,内部存储有程序指令,所述程序指令被执行以实现如权利要求1-8任一项所述的攻击防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210995384.XA CN115603938A (zh) | 2022-08-18 | 2022-08-18 | 攻击防护方法、终端设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210995384.XA CN115603938A (zh) | 2022-08-18 | 2022-08-18 | 攻击防护方法、终端设备及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115603938A true CN115603938A (zh) | 2023-01-13 |
Family
ID=84842436
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210995384.XA Pending CN115603938A (zh) | 2022-08-18 | 2022-08-18 | 攻击防护方法、终端设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115603938A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116582366A (zh) * | 2023-07-12 | 2023-08-11 | 中国电信股份有限公司 | Web攻击防范方法、装置和系统、存储介质 |
-
2022
- 2022-08-18 CN CN202210995384.XA patent/CN115603938A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116582366A (zh) * | 2023-07-12 | 2023-08-11 | 中国电信股份有限公司 | Web攻击防范方法、装置和系统、存储介质 |
CN116582366B (zh) * | 2023-07-12 | 2023-09-15 | 中国电信股份有限公司 | Web攻击防范方法、装置和系统、存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
US11997111B1 (en) | Attribute-controlled malware detection | |
US11863581B1 (en) | Subscription-based malware detection | |
AU2008207926B2 (en) | Correlation and analysis of entity attributes | |
CA2973969C (en) | Session security splitting and application profiler | |
US8561167B2 (en) | Web reputation scoring | |
US8578051B2 (en) | Reputation based load balancing | |
US11671402B2 (en) | Service resource scheduling method and apparatus | |
US10505959B1 (en) | System and method directed to behavioral profiling services | |
US20170223041A1 (en) | Network traffic filtering and routing for threat analysis | |
US9900335B2 (en) | Systems and methods for prioritizing indicators of compromise | |
AU2008207924B2 (en) | Web reputation scoring | |
US9531749B2 (en) | Prevention of query overloading in a server application | |
US10735453B2 (en) | Network traffic filtering and routing for threat analysis | |
Smys et al. | Data elimination on repetition using a blockchain based cyber threat intelligence | |
CN115603938A (zh) | 攻击防护方法、终端设备及计算机可读存储介质 | |
CN110213301B (zh) | 一种转移网络攻击面的方法、服务器和系统 | |
CN110198298A (zh) | 一种信息处理方法、装置及存储介质 | |
CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
CN112948803A (zh) | 应用程序的登录方法、系统、设备和存储介质 | |
CN112351044A (zh) | 一种基于大数据的网络安全系统 | |
CN113364693B (zh) | 一种基于类型属性信息的区块链数据分发方法及系统 | |
CN116708532B (zh) | 局域网连接方法、装置、计算机设备和可读存储介质 | |
US20240022583A1 (en) | Data Collection Management | |
CN111915299A (zh) | 交易方法和交易装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |