CN117614695A - Cc防护方法及装置 - Google Patents

Cc防护方法及装置 Download PDF

Info

Publication number
CN117614695A
CN117614695A CN202311597832.1A CN202311597832A CN117614695A CN 117614695 A CN117614695 A CN 117614695A CN 202311597832 A CN202311597832 A CN 202311597832A CN 117614695 A CN117614695 A CN 117614695A
Authority
CN
China
Prior art keywords
client
access request
pow
class
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311597832.1A
Other languages
English (en)
Inventor
周长虹
刘楫汇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Knownsec Information Technology Co Ltd
Original Assignee
Beijing Knownsec Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Knownsec Information Technology Co Ltd filed Critical Beijing Knownsec Information Technology Co Ltd
Priority to CN202311597832.1A priority Critical patent/CN117614695A/zh
Publication of CN117614695A publication Critical patent/CN117614695A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提出一种CC防护方法及装置,属于网络安全领域,代理服务器接在检测出满足防护开启条件的情况下,开启PoW防护功能,向客户端发送PoW检测包,以指示客户端安装并启动PoW检测脚本,使PoW检测脚本进行自动解密计算得到一类解密结果。代理服务器在开启PoW防护功能之后,若接收到客户端发起的二类访问请求,解析出一类解密结果进行正确性校验,以判断客户端的访问请求是否为CC攻击。代理服务器在判定是CC攻击时,向客户端返回拒绝信息,反之,则将二类访问请求导向至业务服务器。如此,通过结合PoW防护功能获取客户端的工作量证明,据此检测客户端的访问请求是否属于CC攻击,来进行CC攻击的安全防护,能够大幅降低网络安全运营成本。

Description

CC防护方法及装置
技术领域
本申请涉及网络安全领域,具体而言,涉及一种CC防护方法及装置。
背景技术
攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装的攻击叫CC(Challenge Collapsar,挑战黑洞),又称为CC攻击,其主要用来攻击网页页面。CC攻击的原理是攻击者控制某些主机持续发送大量请求至受害服务器,来使受害服务器的服务器资源耗尽,直至宕机奔溃。
目前,对CC攻击通常采用的以下方式:(一)给web服务器增加限速配置;(二)增加带宽和服务器;(三)给服务器接入Web应用防护系统(Web Application Firewall,WAF)。然而,web服务器限速的方式会导致正常请求的速度也会被限制,增加带宽和服务器的方式会提高运营成本,接入WAF的方式在WAF被攻陷时,后果会更为严重。
发明内容
有鉴于此,本申请的目的在于提供一种CC防护方法及装置,其能够在不限速和不提高运营的成本的前提下,对CC攻击进行检测和防护,极大地减少了CC攻击的次数。
为了实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请实施例提供一种CC防护方法,应用于代理服务器,所述代理服务器分别与客户端和业务服务器通信连接,所述方法包括:
接收到所述客户端的一类访问请求时,检测所述客户端的当前访问状态是否满足防护开启条件;
若判定满足防护开启条件,开启PoW防护功能,向所述客户端发送PoW检测包,以指示所述客户端安装并启动PoW检测脚本;其中,所述PoW检测脚本用于进行自动解密计算得到一类解密结果,以使所述客户端在生成一类访问请求时,在所述一类访问请求中填入所述一类解密结果形成二类访问请求;
在开启PoW防护功能之后,当接收到所述客户端的二类访问请求时,解析出所述二类访问请求中的一类解密结果,对所述一类解密结果进行正确性校验,以判断所述客户端的访问请求是否为CC攻击;
若是,则向所述客户端返回拒绝信息,若否,则将所述二类访问请求导向所述业务服务器。
在一种可能的实施方式中,在所述向所述客户端发送PoW检测包,以指示所述客户端安装并启动PoW检测程序的步骤之后,在所述在开启PoW防护功能之后,若接收到所述客户端的二类访问请求时,解析出所述二类访问请求中的解密结果的步骤之前,所述方法还包括:
基于所述一类访问请求,进行HashFast计算,得到并缓存第一Hashkey值;
所述对所述一类解密结果进行正确性校验,以判断所述客户端的访问请求是否为CC攻击的步骤,包括:
基于所述二类访问请求,进行HashFast计算,得到第二Hashkey值;
判断所述第一Hashkey值和所述第二Hashkey值是否一致,若是,则判断所述一类解密结果与预设的第一验证数据是否一致;
若所述一类解密结果与所述第一验证数据一致,则在所述第一Hashkey值的计数值上加一,当所述计数值小于预设的阈值时,判定所述客户端的访问请求不是CC攻击。
在一种可能的实施方式中,所述基于所述一类访问请求,进行HashFast计算,得到并缓存第一Hashkey值的步骤,包括:
从所述一类访问请求中提取出客户端标识,组合所述客户端的网卡编号和所述PoW检测脚本的安装时间得到唯一码,从所述一类访问请求中提取IP地址,并调用预存的密钥码;
采用HashFast算法,对所述客户端标识、所述密钥码、所述IP地址和所述唯一码之和进行处理,得到并缓存第一Hashkey值。
在一种可能的实施方式中,所述基于所述二类访问请求,进行HashFast计算,得到第二Hashkey值的步骤,包括:
从所述二类访问请求中提取出客户端标识,组合所述客户端的网卡编号和所述PoW检测脚本的安装时间得到唯一码,从所述二类访问请求中提取IP地址,并调用预存的密钥码;
采用HashFast算法,对所述客户端标识、所述密钥码、所述IP地址和所述唯一码之和进行处理,得到第二Hashkey值。
在一种可能的实施方式中,在所述判断所述一类解密结果与预设的第一验证数据是否一致的步骤之后,所述方法还包括:
若所述一类解密结果与所述第一验证数据不一致,则在所述第一Hashkey值的计数值上加一,并判断所述计数值是否小于所述阈值;
若所述计数值不小于所述阈值,则向所述客户端发送手动解密包,以指示所述客户端显示手动解密题;其中,所述手动解密题用于指示所述客户端获取用户手动解密的二类解密结果,并返回所述二类解密结果;
接收所述客户端返回的所述二类解密结果,对所述二类解密结果进行正确性校验,以判断所述客户端的访问请求是否为CC攻击。
在一种可能的实施方式中,在所述若所述一类解密结果与所述第一验证数据一致,则在所述第一Hashkey值的计数值上加一的步骤之后,所述方法还包括:
若所述计数值大于或等于所述阈值,则向所述客户端发送手动解密包,以指示所述客户端显示手动解密题;其中,所述手动解密题用于指示所述客户端获取用户手动解密的二类解密结果,并返回所述二类解密结果;
接收所述客户端返回的所述二类解密结果,对所述二类解密结果进行正确性校验,以判断所述客户端的访问请求是否为CC攻击。
在一种可能的实施方式中,在所述若所述一类解密结果与所述第一验证数据不一致,则在所述第一Hashkey值的计数值上加一,并判断所述计数值是否超过阈值的步骤之后,所述方法还包括:
若所述计数值小于所述阈值,则丢弃所述二类访问请求,并进入等待状态。
在一种可能的实施方式中,所述接收到所述客户端的一类访问请求时,检测所述客户端的当前访问状态是否满足防护开启条件的步骤,包括:
检测所述客户端的请求速度,判断所述请求速度是否超过预设的速度阈值;
若是,则判定所述客户端的当前访问状态满足防护开启条件。
在一种可能的实施方式中,所述接收到所述客户端的一类访问请求时,检测所述客户端的当前访问状态是否满足防护开启条件的步骤,包括:
对所述一类访问请求进行解析,获取访问路径,判断所述访问路径是否为敏感路径;
若是,则判定所述客户端的当前访问状态满足防护开启条件。
第二方面,本申请实施例提供一种CC防护装置,应用于代理服务器,所述代理服务器分别与客户端和业务服务器通信连接,所述CC防护装置包括初步检测模块、PoW注入模块、PoW验证模块和请求转发模块;
所述初步检测模块,用于接收到所述客户端的一类访问请求时,检测所述客户端的当前访问状态是否满足防护开启条件;
所述PoW注入模块,用于若判定满足防护开启条件,开启PoW防护功能,向所述客户端发送PoW检测包,以指示所述客户端安装并启动PoW检测脚本;其中,所述PoW检测脚本用于进行自动解密计算得到一类解密结果,以使所述客户端在生成一类访问请求时,在所述一类访问请求中填入所述一类解密结果形成二类访问请求;
所述PoW验证模块,用于在开启PoW防护功能之后,当接收到所述客户端的二类访问请求时,解析出所述二类访问请求中的一类解密结果,对所述一类解密结果进行正确性校验,以判断所述客户端的访问请求是否为CC攻击;
所述请求转发模块,用于若是,则向所述客户端返回拒绝信息,若否,则将所述二类访问请求导向所述业务服务器。
第三方面,本申请实施例提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现如第一方面中任一种可能的实施方式所述的CC防护方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面中任一种可能的实施方式所述的CC防护方法。
本申请实施例提供的CC防护方法及装置,代理服务器接收到客户端发起的一类访问请求时,在检测出客户端的当前状态满足防护开启条件的情况下,开启PoW防护功能,向客户端发送PoW检测包,以指示客户端安装并启动PoW检测脚本,使安装在客户端的PoW检测脚本进行自动解密计算得到一类解密结果,以及使客户端发起的二类访问请求中包括该一类解密结果。代理服务器在开启PoW防护功能之后,若接收到客户端发起的二类访问请求,则从二类访问请求中解析出一类解密结果,对该一类解密结果进行正确性校验,以判断客户端的访问请求是否为CC攻击。代理服务器在判定客户端的访问请求为CC攻击时,向客户端返回拒绝信息,反之,则将二类访问请求导向至业务服务器。如此,通过结合PoW防护功能获取客户端的工作量证明,据此检测客户端的访问请求是否属于CC攻击,并拒绝CC攻击,实现对CC攻击的安全防护。并且,无需对代理服务器进行限速、增加带宽和接入Web应用防护系统,从而能够大幅降低网络安全运营成本。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的CC防护系统的结构示意图。
图2示出了本申请实施例提供的CC防护方法的流程示意图之一。
图3示出了本申请实施例提供的CC防护方法的流程示意图之二。
图4示出了图2和图3中步骤S15的部分子步骤的流程示意图。
图5示出了本申请实施例提供的CC防护装置的结构示意图。
图6示出了本申请实施例提供的电子设备的结构示意图。
附图标记说明:1000-CC防护系统;10-客户端;20-代理服务器;30-业务服务器;40-CC防护装置;401-初步检测模块;402-PoW注入模块;403-PoW验证模块;404-请求转发模块;50-电子设备。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本申请实施例提供的CC防护方法,可以应用于图1所示的CC防护系统1000中,CC防护系统1000包括代理服务器20、业务服务器30和多个客户端10,代理服务器20可以通过网络与业务服务器30和多个客户端10通信连接,代理服务器20为业务服务器30的安全设备。
客户端10,用于生成访问请求,并发送出去。
代理服务器20,用于实现本申请实施例提供的CC防护方法。
业务服务器30,用于接收代理服务器20导向的访问请求,并为该访问请求进行响应,以提供业务服务。业务服务器30提供的业务服务包括但不限于是:检索服务、存储服务、转发服务和计算服务等。
需要说明的是,客户端10包括但不限于是:个人计算机、笔记本电脑、网络设备、平板电脑、VR设备、AR、移动终端、手机和可穿戴式便携设备等。
在一种可能的实施方式中,提供了一种CC防护方法,参照图2,可以包括以下步骤。在本实施方式中,以该CC防护方法应用于图1中的代理服务器20来举例说明。
S11,接收到客户端的一类访问请求时,检测客户端的当前访问状态是否满足防护开启条件。若是,则执行步骤S13。
S13,开启PoW防护功能,向客户端发送PoW检测包,以指示客户端安装并启动PoW检测脚本。
其中,安装在客户端10的PoW检测脚本在启动后,进行自动解密计算得到一类解密结果,以使客户端10在生成一类访问请求时,在一类访问请求中填入一类解密结果形成二类访问请求。
S15,在开启PoW防护功能之后,当接收到客户端的二类访问请求时,解析出二类访问请求中的一类解密结果,对一类解密结果进行正确性校验,以判断客户端的访问请求是否为CC攻击。
S17,若是,则向客户端返回拒绝信息,若否,则将二类访问请求导向业务服务器。
需要说明的是,一类访问请求和二类访问请求的请求目的相同,不同点仅在于二类访问请求中增加了一类解密结果。
可以理解为,任一客户端10均可以基于查询目的、存储目的、访问目的和计算目的等业务目的,一次或多次生成一类访问请求,并将一类访问请求以业务服务器30为目标发送出去。作为业务服务器30的安全设备,代理服务器20会先收到客户端10发起的一类访问请求。
代理服务器20在接收到客户端10的一类访问请求时,先对发起该一类访问请求的客户端10的当前访问状态进行检测。当检测到客户端10的当前访问状态不满足防护开启条件时,表明访问安全,代理服务器20可以将一类访问请求转发至业务服务器30。反之,当检测到客户端10的当前访问状态满足防护开启条件时,表明可能存在安全风险,代理服务器20开启PoW防护功能,向发起一类访问请求的客户端10发送PoW检测包。PoW检测包中包含PoW检测脚本,PoW检测脚本是采用区块链技术中常用的共识算法设计的工作量证明脚本。
客户端10接收到PoW检测包时,解析出PoW检测包中的PoW检测脚本,安装该PoW检测脚本,并在安装完成之后启动该PoW检测脚本。PoW检测脚本在客户端10启动之后,会自动对PoW检测脚本中携带的校验题目进行解密计算,即会自己解密自己携带的校验题目,得到校验题目的答案,即一类解密结果。一类解密结果可以携带有PoW检测脚本在客户端10上运行时的工作量证明,例如,解密的耗时、设备和资源消耗等,能够指示客户端10的服务与资源是否被真正的需求所使用,即客户端10是否被攻击。
在实际应用中,校验题目的设置可以灵活选择,可以是简单的加减乘除运算,如“1+1=?”,也可以是方程,如“y=ax+b的运算”,还可以是对联,如“上联是:烟锁池塘柳,请给出下联”,甚至可以是选词填空题、化学题和生物题等,抑或者是其中任几种的组合,在本实施方式中,不作具体限定。
客户端10上的PoW检测脚本完成自动解密计算的过程中和完成计算后,客户端10可以不断发起一类访问请求。在完成解密计算之后,客户端10会在生成的一类访问请求中填入一类解密结果,以形成二类访问请求,并将二类访问请求发送出去。
代理服务器20在接收到二类访问请求时,解析出二类访问请求中的一类解密结果,并对一类解密结果进行正确性校验,以此判断客户端10的访问请求是否为CC攻击。若判定客户端10的访问请求为CC攻击,则代理服务器20可以向客户端10返回拒绝信息,例如,错误404、错误502和错误403等,若判定客户端10的访问请求不是CC攻击,则将二类访问请求转发至(即导向)业务服务器30。
在未检测到有客户端10的访问状态满足防护开启条件时,代理服务器20的PoW防护功能可以处于关闭状态。并且在完成CC攻击判定之后,代理服务器20可以将PoW防护功能关闭。
与传统的CC检测防护方法相比,本申请的上述步骤S11至S17中,通过代理服务器向客户端注入PoW检测脚本,代理服务器依据该PoW检测额脚本自动解密得到的一类解密结果,来获悉客户端的工作量证明,并依据该一类解密结果,检测客户端的访问请求是否属于CC攻击,并对CC攻击进行访问拒绝,实现对CC攻击的安全防护。并且,无需对代理服务器进行限速、增加带宽和接入Web应用防护系统,从而能够大幅降低网络安全运营成本。
另外,PoW防护功能仅在需要进行CC攻击检测时开启,其他时候处于关闭状态,极大地提高了代理服务器20的资源使用合理性。
步骤S11中检测客户端10的当前访问状态是否满足防护开启条件的方式可以灵活设置,例如,可以是使用预先训练的风险检测模型对客户端10的一类访问请求和/或当前状态数据进行检测识别,也可以是按预设规则进行检测,在本实施方式中,不作具体限定。
在一种可能的实施方式中,检测客户端10的当前访问状态是否满足防护开启条件的过程可以实施为:检测客户端10的请求速度,判断请求速度是否超过预设的速度阈值,若是,则判定客户端10的当前访问状态满足防护开启条件,若否,则判定客户端10的当前访问状态部满足防护开启条件。其中,速度阈值可以是根据CC攻击的特点而设置,即为与CC攻击的请求速度相匹配的值。
代理服务器20可以检测客户端10发起预设次数的一类访问请求的总间隔时长,并求出平均请求速度,在该平均请求速度超过速度阈值,表明客户端10的请求可能属于CC攻击,当前状态满足防护开启条件。
在另一种可能的实施方式中,检测客户端10的当前访问状态是否满足防护开启条件的过程可以实施为:对一类访问请求进行解析,获取访问路径,判断访问路径是否为敏感路径,若是,则判定客户端10的当前访问状态满足防护开启条件。
代理服务器20中可以预先记录有所有敏感路径,在解析出一类访问请求的访问路径之后,可以将访问路径与记录的敏感路径进行匹配,若匹配成功,则表明客户端10的请求可能存在安全风险,当前状态满足防护开启条件。
对于步骤S13,代理服务器20上可以预先配置有多种形式的PoW检测脚本,例如,PoW检测脚本可以为JS格式的shell脚本,EXE格式的PoW检测脚本以及pkg形式的PoW检测脚本。在向客户端10发送PoW检测包之前,代理服务器20可以先对客户端10进行检测,确定出客户端10支持类型。
当检测出客户端10支持类型是浏览器时,可以向客户端10提供JS格式的PoW检测脚本,即PoW检测包中包括JS格式的PoW检测脚本。当检测出客户端10支持类型是shell终端时,代理服务器20可以直接向客户端10注入加密的shell形式的PoW检测脚本,即PoW检测包中包括shell脚本形式的PoW检测脚本。以此,使PoW检测脚本能够与发起访问请求的浏览器或终端适配,以能够在访问请求中填入PoW检测脚本的自动解密结果。
在一种可能的实施方式中,PoW检测脚本可以采用Equihash的非对称PoW函数编写的脚本。PoW检测脚本依赖于客户端10的内存进行工作量证明的解密计算,以此,使得PoW检测脚本进行自动解密计算的一类解密结果能够隐含客户端10的内存资源耗费等信息,从而能够用来作为是否为CC攻击的依据。
另外,采用Equihash的非对称PoW函数编写的PoW检测脚本具有很快的解密速度,能够提高用工作量证明来识别CC攻击的可靠性。并且该PoW检测脚本具有更高的通用性,能够适配更多的客户端10类型。
在一种可能的实施方式中,参照图3,本申请提供的CC防护方法还可以包括步骤S14,该步骤在S13之后,在S15之前执行。
S14,基于一类访问请求,进行HashFast计算,得到并缓存第一Hashkey值。
需要说明的是,第一Hashkey可以缓存在客户端10和代理服务器20间的session会话中,即每个客户端10对应的第一Hashkey值缓存在自身的session会话中。以客户端10包括第一客户端10和第二客户端10为例,第一客户端10与代理服务器20通信建立session会话A,第二客户端10与代理服务器20通信建立session会话B,由第一客户端10的一类访问请求计算出的第一Hashkey值缓存在session会话A,由第二客户端10的一类访问请求计算出的第一Hashkey值缓存在session会话B。
对于S14中,第一Hashkey值其是发起一类访问请求的客户端10的唯一表征值。在一种可能的实施方式中,第一Hashkey值的计算过程可以实施为:从一类访问请求中提取出客户端标识,组合客户端的网卡编号和PoW检测脚本的安装时间得到唯一码,从一类访问请求中提取IP地址,并调用预存的密钥码,采用HashFast算法,对客户端标识、密钥码、IP地址和唯一码之和进行处理,得到并缓存第一Hashkey值。
其中,客户端标识包含有但不限于:设备型号、浏览器型号和操作系统型号等。
Hashkey值的计算公式可以为:
Hashkey=hash_fast(useragent+timestamp+ip+uniquekey+secrekey)
其中,useragent表征客户端标识,timestamp表征客户端和服务器间建立session会话的时间戳,ip表征客户端的ip地址,uniquekey表征网卡编号和安装时间组合的唯一码,secrekey表征密钥码。
当客户端10发起同一个请求目的的访问请求的浏览器、安装时间、ip地址和时间戳等资源信息发起变化(例如,因CC攻击而变化)时,Hashkey值也会发生变化。
通过上述计算,第一Hashkey值能够被用来唯一表示客户端,且由于加入了唯一码和客户端标识,而能够用来唯一表示客户端上发起访问请求的用户和客户端的访问状态。
在上述基础上,参照图4,步骤S15中对一类解密结果进行正确性校验,以判断客户端的访问请求是否为CC攻击的过程可以实施为以下步骤。
S151,基于二类访问请求,进行HashFast计算,得到第二Hashkey值。
S152,判断第一Hashkey值和第二Hashkey值是否一致。若是,则执行步骤S153。
S153,判断一类解密结果与预设的第一验证数据是否一致。若是,则执行步骤S154。
在本实施方式中,第一验证数据为安装于客户端10的PoW检测脚本的验证题目的正确答案,即PoW自动解密的验证题目的正确答案。
S154,在第一Hashkey值的计数值上加一,当计数值小于预设的阈值时,判定客户端的访问请求不是CC攻击。
对于步骤S151中计算第二Hashkey值的方式与上述计算第一Hashkey值的方式相同,即:从二类访问请求中提取出客户端标识,组合客户端的网卡编号和PoW检测脚本的安装时间得到唯一码,从二类访问请求中提取IP地址,并调用预存的密钥码,采用HashFast算法,对客户端标识、密钥码、IP地址和唯一码之和进行处理,得到第二Hashkey值。计算公式请参见上文,在此不再赘述。
需要说明的是,在执行步骤S151的同时,代理服务器20会从发起二类访问请求的客户端10的session会话中读取缓存的第一Hashkey值,从而在步骤S152中,判断该第一Hashkey值是否与由该客户端10发起的二类访问请求计算出的第二Hashkey值是否一致。
在步骤S152中,若判定出第一Hashkey值和第二Hashkey值不一致,则意味着客户端10发起一类访问请求时的访问状态与客户端10发起二类访问请求时的访问状态不相同,即同一个客户端10在短时间内多次发起同一个请求目的的访问请求时,客户端10的访问状态产生了变化,这意味着可能是CC攻击导致客户端10前后发起请求时的资源信息发生了变化,此时,可判定客户端10的访问请求为CC攻击。
对于步骤S153,在第一Hashkey值和第二Hashkey值的情况下,即确认客户端10访问状态未发生变化时,通过判断一类解密结果与第一验证数据是否一致,来确认一类解密结果是否解密正确。若一致,则表征PoW检测脚本的运行未被安装环境影响,进行正确解密。反之,若不一致,则意味着PoW检测脚本的运行被安装环境影响而无法正确解密,此时意味着客户端10可能存在CC攻击。
S154可以理解为,在一类解密结果与第一验证数据一致的情况下,计数值小于预设的阈值,表征客户端10连续的发送的二类访问请求的验证次数小于可连续请求数,此时,意味着客户端10的工作量证明验证通过,客户端10的访问不存在CC攻击。
通过上述步骤S151至S154,在判定出第一Hashkey值和第二Hashkey值一致,一类解密结果与第一验证数据一致,且第一Hashkey值当前的计数值小于预设的阈值时,确认客户端10的访问请求不是CC攻击。
在网络故障、客户端10卡顿或服务器被访问数过多的情况下,客户端10发起的访问请求无法被及时响应,而使得用户在客户端10连续多次发起访问请求,此时,因客户端10短时间内多次发起请求而极易被识别为CC攻击等。为了避免上述情况被判定为CC攻击,在S15的解密验证中引入表征可连续访问次数的阈值和手动验证的构思。可选的,参照图4,在步骤S153中若判定出一类解密结果与预设的第一验证数据不一致的情况下,可以则执行步骤S155。
S155,在第一Hashkey值的计数值上加一,并判断计数值是否小于阈值。若否,则执行步骤S156。
在本实施方式中,阈值表征可连续访问次数。
S156,向客户端发送手动解密包,以指示客户端显示手动解密题。
在本实施方式中,手动解密题用于指示客户端10获取用户手动解密的二类解密结果,并返回二类解密结果。需要说明的是,若在步骤S154中,判定出计数值不小于预设的阈值,即在一类解密结果与预设的第一验证数据一致的情况下,对第一Hashkey的计数值加1之后,得到的计数值不小于阈值时,也执行步骤S156。
S157,接收客户端返回的二类解密结果,对二类解密结果进行正确性校验,以判断客户端的访问请求是否为CC攻击。
可以理解为,在客户端10发送的二类访问请求的Hashkey值验证通过,但一类解密结果与正确的验证数据不一致时,代理服务器20会记录客户端10发送二类访问请求的次数(即计数值),当发送二类访问请求的次数未达到可连续请求数(即阈值)时,代理服务器20可以继续发起二类访问请求。因此,在步骤S155中,若判定计数值小于阈值,则代理服务器20可以丢弃二类访问请求,并进入等待状态,继续等待下一次二类访问请求。
当代理服务器20发起二类访问请求的次数达到可连续访问时,若PoW检测脚本自动解密得到的一类解密结果还未被正确验证,则代理服务器20向客户端10发送手动解密包。客户端10接收到手动解密包后,PoW检测脚本的自动解密停止,并显示手动解密包对应的手动解密题,供用户手动输入二类解密结果。其中,手动解密题包括但不限于是:验证码、题型计算和图片识别等。
在客户端10的访问请求是由真实用户发起的情况下,用户看到手动解密题时,会向客户端10输入正确的二类解密结果后,客户端10将二类解密结果传回代理服务器20。在客户端10的访问请求是CC攻击发起的情况下,CC攻击无法对手动解密题进行解密时,或向客户端10输入的二类解密结果为错误的结果。
故而,在二类解密结果与手动解密题的第二验证数据(即手动解密题的正确答案,该第二验证数据也可以缓存在客户端10与代理服务器20间的session会话中)一致时,则可以判定客户端10的访问请求不是CC攻击。若不一致,或者在预设时长内获取的二类解密结果为空,则手动校验失败,可以判定客户端10的访问请求是CC攻击。
预设时长可以根据实际应用场景进行设置,代理服务器20在向客户端10发起手动检测包时,可以计时,在计时时长达到预设时长的情况下,若还未接收到客户端10返回的二类解密结果,则可以直接判定客户端10的访问请求是CC攻击。
通过上述方式,能够对因网络故障、客户端10卡顿或服务器被访问数过多等情况而发起的连续多次的正常访问请求和CC攻击进行区分,极大地提高了CC攻击检测的准确性,提升CC攻击的防护性能。
在一种可能的实施方式中,为了提升代理服务器20的解密验证速度,即步骤S15的正确性校验速度,代理服务的底层可以为:配置64位CPU,并配置blake2b和siphash进行hashfast和PRNG的计算。
以此,代理服务器20可以同时生成多个hashfast计算函数,来快速进行多个hashkey的计算。并且,可以使代理服务器20具有非常快速的验证速度,可以支撑同时进行大量访问请求的解密验证,同时还能在最大限度地减少代理服务器20的CPU和GPU之间的不对称性。
可选的,在判定客户端10的访问请求为CC攻击时,代理服务器20可以立即进行拒绝访问计时,在拒绝访问计时的时长未达到预设的拒绝访问时长时,拒绝该客户端10的任意访问请求。也可以只拒绝与判定出存在CC攻击的一类访问请求(也是二类访问请求)属于同一类型的访问请求。上述拒绝策略仅仅是一种举例,具体拒绝策略本实施方式中,不作具体限定。
本申请实施例提供的CC防护方法,通过使用区块链技术的PoW技术获取客户端10的工作量证明,据此检测客户端10的访问请求是否属于CC攻击,并拒绝CC攻击,无需对代理服务器20进行限速、增加带宽和接入Web应用防护系统,即可实现对CC攻击的安全防护,大幅降低了网络安全运营成本。
另外,采用hash算法来进行工作量证明验证的解密,以此保证验证的唯一性,提高了验证的准确度和可靠性,进而提升CC防护的准确性。同时,hash算法能够提高代理服务器20资源的利用率,降低资源浪费。
基于与上述CC防护方法相同的发明构思,在一种可能的实施方式中,还提供了一种CC防护装置40。参照图5,CC防护装置40可以包括初步检测模块401、PoW注入模块402、PoW验证模块403和请求转发模块404。
初步检测模块401,用于接收到客户端10的一类访问请求时,检测客户端10的当前访问状态是否满足防护开启条件。
PoW注入模块402,用于若判定满足防护开启条件,开启PoW防护功能,向客户端10发送PoW检测包,以指示客户端10安装并启动PoW检测脚本。其中,PoW检测脚本用于进行自动解密计算得到一类解密结果,以使客户端10在生成一类访问请求时,在一类访问请求中填入一类解密结果形成二类访问请求。
PoW验证模块403,用于在开启PoW防护功能之后,当接收到客户端10的二类访问请求时,解析出二类访问请求中的一类解密结果,对一类解密结果进行正确性校验,以判断客户端10的访问请求是否为CC攻击。
请求转发模块404,用于若是,则向客户端10返回拒绝信息,若否,则将二类访问请求导向业务服务器30。
上述CC防护装置40中,通过初步检测模块401、PoW注入模块402、PoW验证模块403和请求转发模块404的协同作用,通过代理服务器向客户端注入PoW检测脚本,代理服务器依据该PoW检测额脚本自动解密得到的一类解密结果,来获悉客户端的工作量证明,并依据该一类解密结果,检测客户端的访问请求是否属于CC攻击,并对CC攻击进行访问拒绝,实现对CC攻击的安全防护。并且,无需对代理服务器进行限速、增加带宽和接入Web应用防护系统,从而能够大幅降低网络安全运营成本。
关于CC防护装置40的具体限定可以参见上文中对于CC防护方法的限定,在此不再赘述。上述CC防护装置40中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于电子设备中的处理器中,也可以以软件形式存储于电子设备的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一种实施方式中,提供了一种电子设备50,其内部结构图可以如图6所示。该电子设备50可以是服务器,可以包括通过系统总线连接的处理器、存储器、通信接口和输入装置。其中,该电子设备50的处理器用于提供计算和控制能力。该电子设备50的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备50的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该计算机程序被处理器执行时实现如上述实施方式提供的CC防护方法。
图6中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的电子设备50的限定,具体的电子设备50可以包括比图6中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一种实施方式中,本发明提供的应用于被部署设备的CC防护装置40可以实现为一种计算机程序的形式,计算机程序可在如图6所示的电子设备50上运行。电子设备50的存储器中可存储组成该CC防护装置40的各个程序模块,比如,图5所示的初步检测模块401、PoW注入模块402、PoW验证模块403和请求转发模块404。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的CC防护方法中的步骤。
例如,图6所示的电子设备50可以通过如图5所示的CC防护装置40中的初步检测模块401执行步骤S11。电子设备50可以通过PoW注入模块402执行步骤S13。电子设备50可以通过PoW验证模块403执行步骤S15。电子设备50可以通过请求转发模块404执行步骤S17。
在一种实施方式中,提供了一种电子设备50,包括:处理器和存储器,该存储器用于存储一个或多个程序;当一个或多个程序被处理器执行时,实现以下步骤:接收到客户端的一类访问请求时,检测客户端的当前访问状态是否满足防护开启条件;若判定满足防护开启条件,开启PoW防护功能,向客户端发送PoW检测包,以指示客户端安装并启动PoW检测脚本;在开启PoW防护功能之后,当接收到客户端的二类访问请求时,解析出二类访问请求中的一类解密结果,对一类解密结果进行正确性校验,以判断客户端的访问请求是否为CC攻击;若是,则向客户端返回拒绝信息,若否,则将所述二类访问请求导向业务服务器。
在一种实施方式中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现如下步骤:接收到客户端的一类访问请求时,检测客户端的当前访问状态是否满足防护开启条件;若判定满足防护开启条件,开启PoW防护功能,向客户端发送PoW检测包,以指示客户端安装并启动PoW检测脚本;在开启PoW防护功能之后,当接收到客户端的二类访问请求时,解析出二类访问请求中的一类解密结果,对一类解密结果进行正确性校验,以判断客户端的访问请求是否为CC攻击;若是,则向客户端返回拒绝信息,若否,则将所述二类访问请求导向业务服务器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种CC防护方法,其特征在于,应用于代理服务器,所述代理服务器分别与客户端和业务服务器通信连接,所述方法包括:
接收到所述客户端的一类访问请求时,检测所述客户端的当前访问状态是否满足防护开启条件;
若判定满足防护开启条件,开启PoW防护功能,向所述客户端发送PoW检测包,以指示所述客户端安装并启动PoW检测脚本;其中,所述PoW检测脚本用于进行自动解密计算得到一类解密结果,以使所述客户端在生成一类访问请求时,在所述一类访问请求中填入所述一类解密结果形成二类访问请求;
在开启PoW防护功能之后,当接收到所述客户端的二类访问请求时,解析出所述二类访问请求中的一类解密结果,对所述一类解密结果进行正确性校验,以判断所述客户端的访问请求是否为CC攻击;
若是,则向所述客户端返回拒绝信息,若否,则将所述二类访问请求导向所述业务服务器。
2.根据权利要求1所述的CC防护方法,其特征在于,在所述向所述客户端发送PoW检测包,以指示所述客户端安装并启动PoW检测程序的步骤之后,在所述在开启PoW防护功能之后,若接收到所述客户端的二类访问请求时,解析出所述二类访问请求中的解密结果的步骤之前,所述方法还包括:
基于所述一类访问请求,进行HashFast计算,得到并缓存第一Hashkey值;
所述对所述一类解密结果进行正确性校验,以判断所述客户端的访问请求是否为CC攻击的步骤,包括:
基于所述二类访问请求,进行HashFast计算,得到第二Hashkey值;
判断所述第一Hashkey值和所述第二Hashkey值是否一致,若是,则判断所述一类解密结果与预设的第一验证数据是否一致;
若所述一类解密结果与所述第一验证数据一致,则在所述第一Hashkey值的计数值上加一,当所述计数值小于预设的阈值时,判定所述客户端的访问请求不是CC攻击。
3.根据权利要求2所述的CC防护方法,其特征在于,所述基于所述一类访问请求,进行HashFast计算,得到并缓存第一Hashkey值的步骤,包括:
从所述一类访问请求中提取出客户端标识,组合所述客户端的网卡编号和所述PoW检测脚本的安装时间得到唯一码,从所述一类访问请求中提取IP地址,并调用预存的密钥码;
采用HashFast算法,对所述客户端标识、所述密钥码、所述IP地址和所述唯一码之和进行处理,得到并缓存第一Hashkey值。
4.根据权利要求2所述的CC防护方法,其特征在于,所述基于所述二类访问请求,进行HashFast计算,得到第二Hashkey值的步骤,包括:
从所述二类访问请求中提取出客户端标识,组合所述客户端的网卡编号和所述PoW检测脚本的安装时间得到唯一码,从所述二类访问请求中提取IP地址,并调用预存的密钥码;
采用HashFast算法,对所述客户端标识、所述密钥码、所述IP地址和所述唯一码之和进行处理,得到第二Hashkey值。
5.根据权利要求2所述的CC防护方法,其特征在于,在所述判断所述一类解密结果与预设的第一验证数据是否一致的步骤之后,所述方法还包括:
若所述一类解密结果与所述第一验证数据不一致,则在所述第一Hashkey值的计数值上加一,并判断所述计数值是否小于所述阈值;
若所述计数值不小于所述阈值,则向所述客户端发送手动解密包,以指示所述客户端显示手动解密题;其中,所述手动解密题用于指示所述客户端获取用户手动解密的二类解密结果,并返回所述二类解密结果;
接收所述客户端返回的所述二类解密结果,对所述二类解密结果进行正确性校验,以判断所述客户端的访问请求是否为CC攻击。
6.根据权利要求2所述的CC防护方法,其特征在于,在所述若所述一类解密结果与所述第一验证数据一致,则在所述第一Hashkey值的计数值上加一的步骤之后,所述方法还包括:
若所述计数值大于或等于所述阈值,则向所述客户端发送手动解密包,以指示所述客户端显示手动解密题;其中,所述手动解密题用于指示所述客户端获取用户手动解密的二类解密结果,并返回所述二类解密结果;
接收所述客户端返回的所述二类解密结果,对所述二类解密结果进行正确性校验,以判断所述客户端的访问请求是否为CC攻击。
7.根据权利要求5所述的CC防护方法,其特征在于,在所述若所述一类解密结果与所述第一验证数据不一致,则在所述第一Hashkey值的计数值上加一,并判断所述计数值是否超过阈值的步骤之后,所述方法还包括:
若所述计数值小于所述阈值,则丢弃所述二类访问请求,并进入等待状态。
8.根据权利要求1至7中任一项所述的CC防护方法,其特征在于,所述接收到所述客户端的一类访问请求时,检测所述客户端的当前访问状态是否满足防护开启条件的步骤,包括:
检测所述客户端的请求速度,判断所述请求速度是否超过预设的速度阈值;
若是,则判定所述客户端的当前访问状态满足防护开启条件。
9.根据权利要求1至7中任一项所述的CC防护方法,其特征在于,所述接收到所述客户端的一类访问请求时,检测所述客户端的当前访问状态是否满足防护开启条件的步骤,包括:
对所述一类访问请求进行解析,获取访问路径,判断所述访问路径是否为敏感路径;
若是,则判定所述客户端的当前访问状态满足防护开启条件。
10.一种CC防护装置,其特征在于,应用于代理服务器,所述代理服务器分别与客户端和业务服务器通信连接,所述CC防护装置包括初步检测模块、PoW注入模块、PoW验证模块和请求转发模块;
所述初步检测模块,用于接收到所述客户端的一类访问请求时,检测所述客户端的当前访问状态是否满足防护开启条件;
所述PoW注入模块,用于若判定满足防护开启条件,开启PoW防护功能,向所述客户端发送PoW检测包,以指示所述客户端安装并启动PoW检测脚本;其中,所述PoW检测脚本用于进行自动解密计算得到一类解密结果,以使所述客户端在生成一类访问请求时,在所述一类访问请求中填入所述一类解密结果形成二类访问请求;
所述PoW验证模块,用于在开启PoW防护功能之后,当接收到所述客户端的二类访问请求时,解析出所述二类访问请求中的一类解密结果,对所述一类解密结果进行正确性校验,以判断所述客户端的访问请求是否为CC攻击;
所述请求转发模块,用于若是,则向所述客户端返回拒绝信息,若否,则将所述二类访问请求导向所述业务服务器。
CN202311597832.1A 2023-11-27 2023-11-27 Cc防护方法及装置 Pending CN117614695A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311597832.1A CN117614695A (zh) 2023-11-27 2023-11-27 Cc防护方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311597832.1A CN117614695A (zh) 2023-11-27 2023-11-27 Cc防护方法及装置

Publications (1)

Publication Number Publication Date
CN117614695A true CN117614695A (zh) 2024-02-27

Family

ID=89947697

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311597832.1A Pending CN117614695A (zh) 2023-11-27 2023-11-27 Cc防护方法及装置

Country Status (1)

Country Link
CN (1) CN117614695A (zh)

Similar Documents

Publication Publication Date Title
US10264001B2 (en) Method and system for network resource attack detection using a client identifier
US10157280B2 (en) System and method for identifying security breach attempts of a website
US8793780B2 (en) Mitigation of application-level distributed denial-of-service attacks
US8869279B2 (en) Detecting web browser based attacks using browser response comparison tests launched from a remote source
US8819803B1 (en) Validating association of client devices with authenticated clients
Barron et al. Cloud computing security case studies and research
US20170163658A1 (en) Session Security Splitting and Application Profiler
US20140282978A1 (en) Method and apparatus for secure interaction with a computer service provider
CN107948204A (zh) 一键登录方法及系统、相关设备以及计算机可读存储介质
CN114553540B (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
CN111314381A (zh) 安全隔离网关
CN110113351A (zh) Cc攻击的防护方法及装置、存储介质、计算机设备
CN106878335A (zh) 一种用于登录验证的方法及系统
CN117155716B (zh) 访问校验方法和装置、存储介质及电子设备
CN113301028B (zh) 网关防护方法和数据打标签方法
US20150172310A1 (en) Method and system to identify key logging activities
CN111581616B (zh) 一种多端登录控制的方法及装置
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
CN111611620A (zh) 一种访问平台的访问请求处理方法及相关装置
Chaudhari et al. A review on cloud security issues and solutions
CN117614695A (zh) Cc防护方法及装置
Vo et al. Protecting web 2.0 services from botnet exploitations
US11956275B2 (en) Asymmetric-man-in-the-middle capture based application sharing protocol traffic recordation
Narula et al. Novel Defending and Prevention Technique for Man‐in‐the‐Middle Attacks in Cyber‐Physical Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination