JP2018536351A - ネットワーク攻撃を識別するための方法及び装置 - Google Patents
ネットワーク攻撃を識別するための方法及び装置 Download PDFInfo
- Publication number
- JP2018536351A JP2018536351A JP2018523793A JP2018523793A JP2018536351A JP 2018536351 A JP2018536351 A JP 2018536351A JP 2018523793 A JP2018523793 A JP 2018523793A JP 2018523793 A JP2018523793 A JP 2018523793A JP 2018536351 A JP2018536351 A JP 2018536351A
- Authority
- JP
- Japan
- Prior art keywords
- access data
- access
- preset field
- difference
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【選択図】なし
Description
S100:標的ウェブサイトサーバのネットワークアクセスデータパケットが取得され、ネットワークアクセスデータパケットからIPが構文解析され、この場合、IPは、ネットワークアクセスデータパケットのソースIPアドレスである。
S110:所定の時間枠内の同一IPの第1の数量がカウントされる。
S120:第1の数量が所定の閾値に到達する場合に、そのIPを含んでいるネットワークアクセスは、ネットワーク攻撃と確定される。
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得することと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断することと、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
を含む方法を提供する。
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得することと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
数量の最大値及び最小値を取得することと、
最大値と最小値との差を計算することと、
差がプリセット差よりも小さいか否かを判断することと、
差がプリセット差よりも小さい場合に、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
を含む。
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得することと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
各プリセットフィールドにおいて同じ内容を有するアクセスデータの平均値を計算することと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量と平均値との差を計算することと、
各差がプリセット差よりも小さいか否かを判断することと、
各差がプリセット差よりも小さい場合に、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
を含む。
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得するように構成された、取得ユニットと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断するように構成された、判断ユニットと、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を含む。
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得するように構成された、取得ユニットと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
数量の最大値及び最小値を取得するように構成された、第2の取得ユニットと、
最大値と最小値との差を計算するように構成された、計算ユニットと、
差がプリセット差よりも小さいか否かを判断するように構成された、判断ユニットと、
差がプリセット差よりも小さいときに、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を含む。
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得するように構成された、取得ユニットと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
数量の平均値を計算するように構成された、第2の計算ユニットと、
各数量と平均値との差を計算するように構成された、第3の計算ユニットと、
各差がプリセット差よりも小さいか否かを判断するように構成された、第3の判断ユニットと、
各差がプリセット差よりも小さいときに、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を含む。
S200:プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータが取得される。
S201:標的ウェブサイトサーバのアクセスログが収集される。
ウェブサイトは、典型的には、インターネットにおける多層アーキテクチャ、例えば、ngnix及びtomactのウェブサイトアーキテクチャのものである。nanixとtomcatの両方ともそれらの独自のアクセスログを有するので、nanixとtomcatは、同じアクセス要求をそれらの独自のアクセスログに記録することになる。アクセスログの繰返しの収集を回避するために、標的ウェブサイトサーバのアクセスログが収集されるときに最もフロントエンドのアプリケーションのアクセスログだけが収集される。ここで、nanixは、tomcatよりもフロントエンドのアプリケーションであり、したがって、nanixのアクセスログだけが収集される必要がある。
S202:プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータが取得される。
プリセットフィールドは、ip、ホスト、ユーザーエージェント、及びurlのうちの少なくとも1つを含むことができる。ここで、ip(インターネットプロトコル)は、標的ウェブサイトにアクセスするソースipアドレスを表す。ホストは、標的ウェブサイトにアクセスするドメイン名を表す。ユーザーエージェント(ユーザエージェント)は、標的ウェブサイトにアクセスするブラウザ、例えば、Google Chrome、QQブラウザ、IEブラウザなどを表す。ユーザーエージェントはまた、標的ウェブサイトにアクセスする検索エンジン、例えば、ウェブクローラなどを表してよい。url(Uniform Resource Locator)は、標的ウェブサイトにアクセスするアドレスを表す。
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
をさらに含んでよく、
それに対応して、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップは、
少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
を含む。
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が異なる場合に、各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであり、且つプリセット閾値に到達するか否かが判断される。
第1の時間枠内のip「1.1.1.1」のアクセス数は8であり、
第2の時間枠内のip「1.1.1.1」のアクセス数は7であり、
第3の時間枠内のip「1.1.1.1」のアクセス数は8であり、
第4の時間枠内のip「1.1.1.1」のアクセス数は8であり、
第5の時間枠内のip「1.1.1.1」のアクセス数は9であり、
第6の時間枠内のip「1.1.1.1」のアクセス数は8である。
このステップは、ステップS200と同じであり、ここではさらに説明しない。
S310:各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量がカウントされる。
このステップは、ステップS210と同じであり、ここではさらに説明しない。
S320:数量の最大値及び最小値が取得される。
例5に示された内容に関して、6つの時間枠内のプリセットフィールド(ip)において同じ内容を有するアクセスデータ「1.1.1.1」の数量の最大値が9として取得され、最小値が7として取得される。
S321:最大値と最小値との差が計算される。
S320での例の場合、最大値9と最小値7との差は2であることが計算される。
S322:差がプリセット差よりも小さいか否かが判断され、小さい場合、ステップS330が行われる。
この実施形態では、プリセット差は、事前に設定される経験的な値であってよい。
S321での例の場合、プリセット差が2以下であるとすると、差はプリセット差よりも小さくなく、したがって、そのipが「1.1.1.1」であるアクセス要求は、小トラフィック・ネットワーク攻撃ではないと確定することができる。プリセット差が2よりも大きいとすると、差はプリセット差よりも小さく、ステップS330が行われる。
S330:その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定される。
標的ウェブサイトサーバのアクセスログが収集される。
このステップは、ステップS201と同じであり、ここではさらに説明しない。
プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータが取得される。
このステップは、ステップS302と同じであり、ここではさらに説明しない。
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
をさらに含んでよく、
それに対応して、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップは、
少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
を含む。
差がプリセット差よりも小さくない場合に、各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであり、且つプリセット閾値に到達するか否かが判断される。
このステップは、ステップS200と同じであり、ここではさらに説明しない。
S410:各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量がカウントされる。
このステップは、ステップS210と同じであり、ここではさらに説明しない。
S420:数量の平均値が計算される。
例5に示された内容に関して、数量(8、7、8、8、9、8)の平均値は8であると計算される。
S421:各数量と平均値との差が計算される。
S420での例の場合、各数量と平均値との差は以下のように計算される:
第1の時間枠内の差は0であり、
第1の時間枠内の差は1であり、
第1の時間枠内の差は0であり、
第1の時間枠内の差は0であり、
第1の時間枠内の差は1であり、
第1の時間枠内の差は0である。
S422:各差がプリセット差よりも小さいか否かが判断され、小さい場合、ステップS430が行われる。
S421での例の場合、プリセット差が1以下であるとすると、各差はプリセット差よりも小さくなく、したがって、ip「1.1.1.1」を含んでいるアクセス要求は、小トラフィック・ネットワーク攻撃ではないと確定することができる。プリセット差が1よりも大きいとすると、各差はプリセット差よりも小さく、ステップS430が行われる。
S430:各差がプリセット差よりも小さい場合に、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定される。
標的ウェブサイトサーバのアクセスログが収集される。
このステップは、ステップS201と同じであり、ここではさらに説明しない。
プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータが取得される。
このステップは、ステップS202と同じであり、ここではさらに説明しない。
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
をさらに含んでよく、
それに対応して、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップは、
少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
を含む。
各差がプリセット差よりも小さくない場合に、各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであり、且つプリセット閾値に到達するか否かが判断される。
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得モジュール500と、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニット510と、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断するように構成された、判断ユニット520と、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニット530と、
を含む。
標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
を含んでよい。
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
をさらに含み、
それに対応して、カウントユニット510は、少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される。
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得ユニットと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
数量の最大値及び最小値を取得するように構成された、第2の取得ユニットと、
最大値と最小値との差を計算するように構成された、計算ユニットと、
差がプリセット差よりも小さいか否かを判断するように構成された、判断ユニットと、
差がプリセット差よりも小さいときに、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を含む装置を提供する。
標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
を含む。
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
をさらに含み、
それに対応して、カウントユニットは、少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される。
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得ユニットと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
数量の平均値を計算するように構成された、第2の計算ユニットと、
各数量と平均値との差を計算するように構成された、第3の計算ユニットと、
各差がプリセット差よりも小さいか否かを判断するように構成された、第3の判断ユニットと、
各差がプリセット差よりも小さいときに、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を含む装置を提供する。
標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
を含む。
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
をさらに含み、
それに対応して、カウントユニットは、少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される。
Claims (28)
- ネットワーク攻撃を識別するための方法であって、
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得することと、
前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
前記各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断することと、
前記各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、前記同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
を含む、方法。 - 前記プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するステップが、具体的には、
前記標的ウェブサイトサーバのアクセスログを収集することと、
前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得することと、
を含む、請求項1に記載の方法。 - 前記標的ウェブサイトサーバのアクセスログを収集するステップが、具体的には、
前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集すること、
を含む、請求項2に記載の方法。 - 前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得するステップの後に、前記方法が、
前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
をさらに含み、
それに対応して、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップが、
前記少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
を含む、請求項2に記載の方法。 - ネットワーク攻撃を識別するための方法であって、
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得することと、
前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
前記数量の最大値及び最小値を取得することと、
前記最大値と前記最小値との差を計算することと、
前記差がプリセット差よりも小さいか否かを判断することと、
前記差が前記プリセット差よりも小さい場合に、その差が前記プリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
を含む、方法。 - 前記プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するステップが、具体的には、
前記標的ウェブサイトサーバのアクセスログを収集することと、
前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得することと、
を含む、請求項5に記載の方法。 - 前記標的ウェブサイトサーバのアクセスログを収集するステップが、具体的には、
前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集すること、
を含む、請求項6に記載の方法。 - 前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得するステップの後に、前記方法が、
前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
をさらに含み、
それに対応して、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップが、
前記少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
を含む、請求項6に記載の方法。 - ネットワーク攻撃を識別するための方法であって、
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得することと、
前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの平均値を計算することと、
前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量と前記平均値の差を計算することと、
前記各差がプリセット差よりも小さいか否かを判断することと、
前記各差が前記プリセット差よりも小さい場合に、その差が前記プリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
を含む、方法。 - 前記プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するステップが、具体的には、
前記標的ウェブサイトサーバのアクセスログを収集することと、
前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得することと、
を含む、請求項9に記載の方法。 - 前記標的ウェブサイトサーバのアクセスログを収集するステップが、具体的には、
前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集すること、
を含む、請求項10に記載の方法。 - 前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得するステップの後に、前記方法がさらに、
前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
を含み、
それに対応して、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップが、
前記少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
を含む、請求項10に記載の方法。 - 前記時間枠が、隣接する時間枠を含む、請求項1〜請求項12のいずれかに記載の方法。
- 前記プリセットフィールドが、ip、ホスト、ユーザーエージェント、及びurlのうちの少なくとも1つを備える、請求項1〜請求項12のいずれかに記載の方法。
- ネットワーク攻撃を識別するための装置であって、
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得ユニットと、
前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
前記各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断するように構成された、判断ユニットと、
前記各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、前記同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を備える、装置。 - 前記取得ユニットが、具体的には、
前記標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
前記プリセットフィールドに従って前記アクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
を備える、請求項15に記載の装置。 - 前記第1の取得サブユニットが、前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集するようにさらに構成される、請求項15に記載の装置。
- 前記第2の取得サブユニットの後に、前記装置が、
前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
をさらに備え、
それに対応して、前記カウントユニットが、少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される、請求項15に記載の装置。 - ネットワーク攻撃を識別するための装置であって、
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得ユニットと、
前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
前記数量の最大値及び最小値を取得するように構成された、第2の取得ユニットと、
前記最大値と前記最小値との差を計算するように構成された、計算ユニットと、
前記差がプリセット差よりも小さいか否かを判断するように構成された、判断ユニットと、
前記差が前記プリセット差よりも小さいときに、その差が前記プリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を備える、装置。 - 前記取得ユニットが、具体的には、
前記標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
前記プリセットフィールドに従って前記アクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
を備える、請求項19に記載の装置。 - 前記第1の取得サブユニットが、前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集するようにさらに構成される、請求項20に記載の装置。
- 前記第2の取得サブユニットの後に、前記装置が、
前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
をさらに備え、
それに対応して、前記カウントユニットが、少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される、請求項20に記載の装置。 - ネットワーク攻撃を識別するための装置であって、
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得ユニットと、
前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
前記数量の平均値を計算するように構成された、第2の計算ユニットと、
前記各数量と前記平均値の差を計算するように構成された、第3の計算ユニットと、
前記各差がプリセット差よりも小さいか否かを判断するように構成された、第3の判断ユニットと、
前記各差が前記プリセット差よりも小さいときに、その差が前記プリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を備える、装置。 - 前記取得ユニットが、具体的には、
前記標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
前記プリセットフィールドに従って前記アクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
を備える、請求項23に記載の装置。 - 前記第1の取得サブユニットが、前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集するようにさらに構成される、請求項24に記載の装置。
- 前記第2の取得サブユニットの後に、前記装置が、
前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
をさらに備え、
それに対応して、前記カウントユニットが、少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される、
請求項24に記載の装置。 - 前記時間枠が、隣接する時間枠を含む、請求項15〜請求項26のいずれかに記載の装置。
- 前記プリセットフィールドが、ip、ホスト、ユーザーエージェント、及びurlのうちの少なくとも1つを備える、請求項15〜請求項26のいずれかに記載の装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510802440.3 | 2015-11-19 | ||
CN201510802440.3A CN106789831B (zh) | 2015-11-19 | 2015-11-19 | 识别网络攻击的方法和装置 |
PCT/CN2016/105286 WO2017084529A1 (zh) | 2015-11-19 | 2016-11-10 | 识别网络攻击的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018536351A true JP2018536351A (ja) | 2018-12-06 |
JP6921069B2 JP6921069B2 (ja) | 2021-08-18 |
Family
ID=58717362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018523793A Active JP6921069B2 (ja) | 2015-11-19 | 2016-11-10 | ネットワーク攻撃を識別するための方法及び装置 |
Country Status (5)
Country | Link |
---|---|
US (2) | US11240258B2 (ja) |
EP (1) | EP3379788B1 (ja) |
JP (1) | JP6921069B2 (ja) |
CN (1) | CN106789831B (ja) |
WO (1) | WO2017084529A1 (ja) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789831B (zh) | 2015-11-19 | 2020-10-23 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
CN107241352B (zh) * | 2017-07-17 | 2020-01-21 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
CN108234341B (zh) * | 2018-01-25 | 2021-06-11 | 北京搜狐新媒体信息技术有限公司 | 基于设备指纹的Nginx动态被动限流方法及系统 |
CN108234342B (zh) * | 2018-01-25 | 2021-08-13 | 北京搜狐新媒体信息技术有限公司 | 基于设备指纹的Nginx动态主动限流方法及系统 |
WO2020082383A1 (zh) * | 2018-10-26 | 2020-04-30 | 深圳市欢太科技有限公司 | 数据处理方法、装置、电子设备及计算机可读取存储介质 |
CN109446398A (zh) * | 2018-11-06 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 智能检测网络爬虫行为的方法、装置以及电子设备 |
CN111262719B (zh) * | 2018-12-03 | 2022-12-02 | 阿里巴巴集团控股有限公司 | 信息显示方法、设备及存储介质 |
CN110109812A (zh) * | 2019-05-10 | 2019-08-09 | 广州英睿科技有限公司 | 访问日志数据的统计方法、装置、计算机设备和存储介质 |
CN110674169B (zh) * | 2019-08-30 | 2022-06-10 | 北京浪潮数据技术有限公司 | 一种网站数据库的保护方法及相关装置 |
CN112839014B (zh) * | 2019-11-22 | 2023-09-22 | 北京数安鑫云信息技术有限公司 | 建立识别异常访问者模型的方法、系统、设备及介质 |
CN110958261A (zh) * | 2019-12-13 | 2020-04-03 | 微创(上海)网络技术股份有限公司 | 一种网络攻击全面检测及应对方法 |
CN111818050B (zh) * | 2020-07-08 | 2024-01-19 | 腾讯科技(深圳)有限公司 | 目标访问行为检测方法、系统、装置、设备及存储介质 |
CN112583819B (zh) * | 2020-12-08 | 2023-03-24 | 支付宝(杭州)信息技术有限公司 | 一种网络接口状态检测方法、装置及设备 |
CN112953938B (zh) * | 2021-02-20 | 2023-04-28 | 百度在线网络技术(北京)有限公司 | 网络攻击防御方法、装置、电子设备及可读存储介质 |
CN113612727B (zh) * | 2021-06-24 | 2023-04-18 | 北京华云安信息技术有限公司 | 攻击ip识别方法、装置、设备和计算机可读存储介质 |
CN113660257B (zh) * | 2021-08-13 | 2023-05-02 | 北京知道创宇信息技术股份有限公司 | 请求拦截方法、装置、电子设备和计算机可读存储介质 |
CN113783892B (zh) * | 2021-09-28 | 2023-04-07 | 北京天融信网络安全技术有限公司 | 反射攻击检测方法、系统、设备及计算机可读存储介质 |
CN113904839A (zh) * | 2021-09-30 | 2022-01-07 | 杭州数梦工场科技有限公司 | 访问请求管理方法及装置 |
CN114189383B (zh) * | 2021-12-10 | 2024-04-30 | 中国建设银行股份有限公司 | 封禁方法、装置、电子设备、介质和计算机程序产品 |
US11425099B1 (en) | 2022-03-08 | 2022-08-23 | Uab 360 It | Managing data communication in a virtual private network |
CN114884671B (zh) * | 2022-04-21 | 2024-04-26 | 微位(深圳)网络科技有限公司 | 服务器的入侵防御方法、装置、设备及介质 |
CN115296941B (zh) * | 2022-10-10 | 2023-03-24 | 北京知其安科技有限公司 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
CN115913784B (zh) * | 2023-01-05 | 2023-08-08 | 阿里巴巴(中国)有限公司 | 一种网络攻击防御系统、方法、装置及电子设备 |
CN115883254B (zh) * | 2023-01-28 | 2023-05-23 | 北京亿赛通科技发展有限责任公司 | 一种DoS攻击防御方法、装置、电子设备及存储介质 |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020166063A1 (en) * | 2001-03-01 | 2002-11-07 | Cyber Operations, Llc | System and method for anti-network terrorism |
US7171683B2 (en) * | 2001-08-30 | 2007-01-30 | Riverhead Networks Inc. | Protecting against distributed denial of service attacks |
DE10259915A1 (de) | 2002-12-20 | 2004-07-15 | Ballies, Uwe, Dr.med. | Filterelement für eine Klärvorrichtung zur biologischen Reinigung von Wasser |
KR100656340B1 (ko) | 2004-11-20 | 2006-12-11 | 한국전자통신연구원 | 비정상 트래픽 정보 분석 장치 및 그 방법 |
US20060294588A1 (en) * | 2005-06-24 | 2006-12-28 | International Business Machines Corporation | System, method and program for identifying and preventing malicious intrusions |
US8079080B2 (en) * | 2005-10-21 | 2011-12-13 | Mathew R. Syrowik | Method, system and computer program product for detecting security threats in a computer network |
US9055093B2 (en) | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
US20080083029A1 (en) * | 2006-09-29 | 2008-04-03 | Alcatel | Intelligence Network Anomaly Detection Using A Type II Fuzzy Neural Network |
US8056115B2 (en) * | 2006-12-11 | 2011-11-08 | International Business Machines Corporation | System, method and program product for identifying network-attack profiles and blocking network intrusions |
US8281405B1 (en) * | 2007-06-13 | 2012-10-02 | Mcafee, Inc. | System, method, and computer program product for securing data on a server based on a heuristic analysis |
CN101267313B (zh) * | 2008-04-23 | 2010-10-27 | 成都市华为赛门铁克科技有限公司 | 泛洪攻击检测方法及检测装置 |
US8356001B2 (en) | 2009-05-19 | 2013-01-15 | Xybersecure, Inc. | Systems and methods for application-level security |
CN102457489B (zh) * | 2010-10-26 | 2015-11-25 | 中国民航大学 | Low-rate DoS(LDoS)攻击、检测和防御模块 |
JP5674414B2 (ja) * | 2010-10-27 | 2015-02-25 | 株式会社ビデオリサーチ | アクセスログマッチングシステム及びアクセスログマッチング方法 |
CN102821081B (zh) * | 2011-06-10 | 2014-12-17 | 中国电信股份有限公司 | 监测小流量ddos攻击的方法和系统 |
US9038178B1 (en) * | 2012-06-25 | 2015-05-19 | Emc Corporation | Detection of malware beaconing activities |
KR20140051550A (ko) * | 2012-10-23 | 2014-05-02 | 주식회사 프라이머리넷 | 네트워크 트래픽 제어 시스템 |
CN104113519B (zh) * | 2013-04-16 | 2017-07-14 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
CN104125193A (zh) * | 2013-04-24 | 2014-10-29 | 中国民航大学 | 基于混沌Dufing振子的LDDoS攻击检测方法 |
US9577898B1 (en) * | 2013-12-31 | 2017-02-21 | Narus, Inc. | Identifying IP traffic from multiple hosts behind a network address translation device |
US20160036837A1 (en) * | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
CN104378358A (zh) * | 2014-10-23 | 2015-02-25 | 河北省电力建设调整试验所 | 一种基于服务器日志的HTTP Get Flood攻击防护方法 |
CN104486298B (zh) * | 2014-11-27 | 2018-03-09 | 小米科技有限责任公司 | 识别用户行为的方法及装置 |
CN104468554A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 基于ip和host的攻击检测方法和装置 |
US10057283B2 (en) * | 2015-02-17 | 2018-08-21 | Accenture Global Solutions Limited | Volumetric event forecasting tool |
US11032299B2 (en) * | 2015-03-03 | 2021-06-08 | Nec Corporation | Log analysis system, analysis device, analysis method, and storage medium on which analysis program is stored |
CN104935609A (zh) * | 2015-07-17 | 2015-09-23 | 北京京东尚科信息技术有限公司 | 网络攻击检测方法及检测设备 |
CN105187396A (zh) * | 2015-08-11 | 2015-12-23 | 小米科技有限责任公司 | 识别网络爬虫的方法及装置 |
US9774619B1 (en) * | 2015-09-24 | 2017-09-26 | Amazon Technologies, Inc. | Mitigating network attacks |
CN106649370B (zh) * | 2015-10-30 | 2019-12-03 | 北京国双科技有限公司 | 网站访问信息的获取方法及装置 |
CN106789831B (zh) | 2015-11-19 | 2020-10-23 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
US10887341B2 (en) * | 2017-03-06 | 2021-01-05 | Radware, Ltd. | Detection and mitigation of slow application layer DDoS attacks |
-
2015
- 2015-11-19 CN CN201510802440.3A patent/CN106789831B/zh active Active
-
2016
- 2016-11-10 EP EP16865706.2A patent/EP3379788B1/en active Active
- 2016-11-10 WO PCT/CN2016/105286 patent/WO2017084529A1/zh active Application Filing
- 2016-11-10 JP JP2018523793A patent/JP6921069B2/ja active Active
-
2018
- 2018-05-18 US US15/984,287 patent/US11240258B2/en active Active
-
2021
- 2021-12-21 US US17/645,382 patent/US20220116412A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
CN106789831B (zh) | 2020-10-23 |
EP3379788B1 (en) | 2022-06-22 |
US11240258B2 (en) | 2022-02-01 |
EP3379788A1 (en) | 2018-09-26 |
US20180278638A1 (en) | 2018-09-27 |
US20220116412A1 (en) | 2022-04-14 |
CN106789831A (zh) | 2017-05-31 |
WO2017084529A1 (zh) | 2017-05-26 |
JP6921069B2 (ja) | 2021-08-18 |
EP3379788A4 (en) | 2018-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6921069B2 (ja) | ネットワーク攻撃を識別するための方法及び装置 | |
CN108345642B (zh) | 采用代理ip爬取网站数据的方法、存储介质和服务器 | |
JP6876806B2 (ja) | ブロックチェーンコンセンサス形成の方法およびデバイス | |
US11429625B2 (en) | Query engine for remote endpoint information retrieval | |
JP6804668B2 (ja) | ブロックデータ検証方法および装置 | |
RU2720641C1 (ru) | Способ и устройство для основанной на блокчейне обработки данных | |
TWI715217B (zh) | 基於區塊鏈的螢幕錄製取證方法、系統和電子設備 | |
CN109246064B (zh) | 安全访问控制、网络访问规则的生成方法、装置及设备 | |
WO2017028696A1 (zh) | 分布式存储系统的负载监控方法及设备 | |
US20140059684A1 (en) | System and method for computer inspection of information objects for shared malware components | |
CN110489315B (zh) | 一种操作请求的跟踪方法、跟踪装置及服务器 | |
US11716337B2 (en) | Systems and methods of malware detection | |
CN110096363B (zh) | 一种网络事件与进程的关联方法及装置 | |
US10915534B2 (en) | Extreme value computation | |
WO2023005771A1 (zh) | 轨迹查询方法、设备、存储介质及计算机程序产品 | |
CN111309466B (zh) | 一种基于云平台多线程调度的方法、系统、设备及介质 | |
CN110011955B (zh) | 一种ssrf漏洞或攻击确定、处理方法、装置、设备及介质 | |
CN116668535B (zh) | 一种基于增强型服务架构的业务执行方法、装置及设备 | |
CN106911636B (zh) | 一种检测网站是否存在后门程序的方法及装置 | |
CN111143460A (zh) | 基于大数据的经济领域的数据的检索方法、装置与处理器 | |
CN112907198B (zh) | 业务状态流转维护方法、装置及电子设备 | |
US20230325454A1 (en) | Systems and method for caching shortcodes and database queries | |
JP2018500650A (ja) | データファイルの存在を判定するための方法、装置、及びシステム | |
WO2023205349A1 (en) | Method, apparatus, system, and non-transitory computer readable medium for identifying and prioritizing network security events | |
CN113330437A (zh) | 使用调用者和被调用者概要的可扩展增量分析 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191107 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201008 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201120 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20210219 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210322 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210702 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210727 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6921069 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |