JP2018536351A - ネットワーク攻撃を識別するための方法及び装置 - Google Patents

ネットワーク攻撃を識別するための方法及び装置 Download PDF

Info

Publication number
JP2018536351A
JP2018536351A JP2018523793A JP2018523793A JP2018536351A JP 2018536351 A JP2018536351 A JP 2018536351A JP 2018523793 A JP2018523793 A JP 2018523793A JP 2018523793 A JP2018523793 A JP 2018523793A JP 2018536351 A JP2018536351 A JP 2018536351A
Authority
JP
Japan
Prior art keywords
access data
access
preset field
difference
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018523793A
Other languages
English (en)
Other versions
JP6921069B2 (ja
Inventor
ゼン,シュエジャン
Original Assignee
アリババ グループ ホウルディング リミテッド
アリババ グループ ホウルディング リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アリババ グループ ホウルディング リミテッド, アリババ グループ ホウルディング リミテッド filed Critical アリババ グループ ホウルディング リミテッド
Publication of JP2018536351A publication Critical patent/JP2018536351A/ja
Application granted granted Critical
Publication of JP6921069B2 publication Critical patent/JP6921069B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本出願の実施形態は、ネットワーク攻撃を識別するための方法であって、プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得することと、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断することと、各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することとを含む、方法を開示する。本出願はさらに、ネットワーク攻撃を識別するための装置の一実施形態を開示する。本出願の実施形態の使用により、小トラフィック・ネットワーク攻撃を識別することができる。
【選択図】なし

Description

本出願は、参照によりその全体が本明細書に組み込まれる、2015年11月19日に出願された「METHOD AND APPARATUS FOR IDENTIFYING NETWORK ATTACKS」という名称の中国特許出願第201510802440.3号に基づく優先権を主張するものである。
本出願は、ネットワークセキュリティ技術の分野に関し、特に、ネットワーク攻撃を識別するための方法及び装置に関する。
インターネット技術の不断の開発により、ウェブサイトサーバに対する攻撃が益々増えており、したがって、ウェブサイトサーバに多くの悪影響が出ている。
現在、ウェブサイトサーバに対する2つのタイプの攻撃の様態が存在する。第1のタイプは、Denial of Service(DOS)及びDistributed Denial of Service(DDOS)などの、攻撃時間は短いが大トラフィックである(例えば、ネットワークが1秒に10,000回攻撃される)ことを特徴とする、大トラフィック・ネットワーク攻撃である。大トラフィック・ネットワーク攻撃は、標的ウェブサイトサーバに短い時間枠内で大量のアクセス要求を送信することにより標的ウェブサイトサーバのリソースを消費し、結果として、標的サーバが過負荷となり、ネットワークが遮断され、したがって、ウェブサイトへの普通のアクセスに影響を及ぼす。第2のタイプは、攻撃の持続時間が長いが小トラフィックである(例えば、ネットワークが1日中継続的に、しかし1秒につき10回攻撃される)ことを特徴とする、小トラフィック・ネットワーク攻撃である。小トラフィック・ネットワーク攻撃は、標的ウェブサイトサーバに長時間にわたって小量のアクセス要求を送信することにより標的ウェブサイトサーバのリソースをスキャンする。短い時間枠内でリソースのほんの一部がスキャンされるが、長期的には標的ウェブサイトサーバのすべてのリソースがスキャンにより得られることがある。これは間違いなく標的ウェブサイトサーバにセキュリティ問題を引き起こすことになる。例えば、攻撃者は、リソースからサーバの脆弱性を見つけ出す。
従来技術では、大トラフィック攻撃に関して図1に示すような方法が採用されることがある。
S100:標的ウェブサイトサーバのネットワークアクセスデータパケットが取得され、ネットワークアクセスデータパケットからIPが構文解析され、この場合、IPは、ネットワークアクセスデータパケットのソースIPアドレスである。
S110:所定の時間枠内の同一IPの第1の数量がカウントされる。
S120:第1の数量が所定の閾値に到達する場合に、そのIPを含んでいるネットワークアクセスは、ネットワーク攻撃と確定される。
この方法によれば、ネットワークアクセスデータパケットがIPを得るべく構文解析され、所定の時間枠内の標的ウェブサイトサーバにアクセスする同一IPの第1の数量がカウントされ、第1の数量が所定の閾値に到達する場合に、そのIPを含んでいるネットワークアクセスは、ネットワーク攻撃と考えられる。
しかしながら、小トラフィック・ネットワーク攻撃に関して、プリセット時間枠内のアクセス要求の数量は、多くの普通のアクセス要求の数量と同様に大きくなく、上記の方法で得られる小トラフィック・ネットワーク攻撃の第1の数量は、所定の閾値よりも常に小さい。したがって、このアクセス要求を上記の方法を通じてネットワーク攻撃と確定することはできない。所定の閾値を上記の方法において過小に設定すれば、普通のアクセス要求が容易にネットワーク攻撃と確定されてしまう。
要約すれば、従来技術は、小トラフィック・ネットワーク攻撃を識別することができないという問題を有する。
本出願の実施形態の目的は、小トラフィック・ネットワーク攻撃を識別することができないという従来技術での問題を解決するべく、ネットワーク攻撃を識別するための方法及び装置を提供することである。
上記の技術的問題を解決するために、本出願の一実施形態は、ネットワーク攻撃を識別するための方法であって、
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得することと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断することと、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
を含む方法を提供する。
ネットワーク攻撃を識別するための方法は、
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得することと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
数量の最大値及び最小値を取得することと、
最大値と最小値との差を計算することと、
差がプリセット差よりも小さいか否かを判断することと、
差がプリセット差よりも小さい場合に、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
を含む。
ネットワーク攻撃を識別するための方法は、
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得することと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
各プリセットフィールドにおいて同じ内容を有するアクセスデータの平均値を計算することと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量と平均値との差を計算することと、
各差がプリセット差よりも小さいか否かを判断することと、
各差がプリセット差よりも小さい場合に、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
を含む。
ネットワーク攻撃を識別するための装置は、
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得するように構成された、取得ユニットと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断するように構成された、判断ユニットと、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を含む。
ネットワーク攻撃を識別するための装置は、
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得するように構成された、取得ユニットと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
数量の最大値及び最小値を取得するように構成された、第2の取得ユニットと、
最大値と最小値との差を計算するように構成された、計算ユニットと、
差がプリセット差よりも小さいか否かを判断するように構成された、判断ユニットと、
差がプリセット差よりも小さいときに、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を含む。
ネットワーク攻撃を識別するための装置は、
プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータを取得するように構成された、取得ユニットと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
数量の平均値を計算するように構成された、第2の計算ユニットと、
各数量と平均値との差を計算するように構成された、第3の計算ユニットと、
各差がプリセット差よりも小さいか否かを判断するように構成された、第3の判断ユニットと、
各差がプリセット差よりも小さいときに、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を含む。
本出願の実施形態で提供される技術的解決策から分かるように、少なくとも2つの時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かが判断され、同じである場合、小トラフィック・ネットワーク攻撃の特徴にマッチし、同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することができる。
本出願の実施形態に係る又は従来技術での技術的解決策をより明瞭に例示するために、実施形態又は従来技術を説明するための添付図が以下で簡単に紹介される。以下の説明における添付図は、本出願の実施形態のうちのほんの一部であることは明らかである。当該技術分野の当業者は、どのような創造的取り組みもなしに添付図に従って他の図面を得ることができる。
従来技術でのネットワーク攻撃を識別するための方法のフローチャートである。 本出願の一実施形態に係るネットワーク攻撃を識別するための方法のフローチャートである。 本出願の一実施形態に係るネットワーク攻撃を識別するための方法のフローチャートである。 本出願の一実施形態に係るネットワーク攻撃を識別するための方法のフローチャートである。 本出願の一実施形態に係るネットワーク攻撃を識別するための方法のフローチャートである。 本出願の一実施形態に係るネットワーク攻撃を識別するための装置の概略的なモジュール図である。
当業者が本出願での技術的解決策をより良く理解するように、本出願の実施形態の技術的解決策が、本出願の実施形態の添付図を参照しながら以下でより明瞭且つ十分に説明される。説明されることになる実施形態は、本出願の実施形態のすべてではなくほんの一部であることは明白である。創造的取り組みなしに本出願の実施形態に基づいて当該技術分野の当業者により導出されるすべての他の実施形態が本出願の保護範囲内に包含されるはずである。
図2は、本出願の一実施形態に係るネットワーク攻撃を識別するための方法のフローチャートである。この実施形態では、方法は、以下のステップを含む:
S200:プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータが取得される。
この実施形態では、プリセットフィールドは、ip、ホスト、ユーザーエージェント、及びurlのうちの少なくとも1つを含むことができる。ここで、ip(インターネットプロトコル)は、標的ウェブサイトにアクセスするソースipアドレスを表す。ホストは、標的ウェブサイトにアクセスするドメイン名を表す。ユーザーエージェント(ユーザエージェント)は、標的ウェブサイトにアクセスするブラウザ、例えば、Google(登録商標) Chrome(登録商標)、QQブラウザ、IEブラウザなどを表す。ユーザーエージェントはまた、標的ウェブサイトにアクセスする検索エンジン、例えば、ウェブクローラなどを表すことができる。url(Uniform Resource Locator)は、標的ウェブサイトにアクセスするアドレスを表す。
時間枠の時間の長さは、事前に設定することができ、例えば、時間枠の時間の長さは1分である。すなわち、少なくとも2つの1分の時間枠内の標的ウェブサイトサーバのアクセスデータがプリセットフィールドに従って取得される。
この実施形態では、時間枠は、隣接する時間枠を含むことができる。
システムは、標的ウェブサイトサーバにアクセスするためのアクセス要求をインターセプトし、Java(登録商標)クラスライブラリを通じてアクセス要求を構文解析し、ネットワーク層におけるフィールドipの内容、及びアプリケーション層におけるフィールドホストの内容、フィールドユーザーエージェントの内容、及びフィールドurlの内容を取得することができる。
S210:各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量がカウントされる。
以下の例1は、プリセットフィールド(ホスト、ip、ユーザーエージェント)に従って3つの時間枠(1分)内の標的ウェブサイトサーバのアクセスデータを取得している:
Figure 2018536351
上記の例1に示された内容に関して、S210の後で、各時間枠内のプリセットフィールド(ホスト、ip、ユーザーエージェント)において同じ内容を有するアクセスデータの数量が、以下の例2に示されるようにカウントされる:
Figure 2018536351
別の例として、以下の例3は、プリセットフィールド(ip)に従って3つの時間枠(1分)内の標的ウェブサイトサーバのアクセスデータを取得している:
Figure 2018536351
上記の例3での内容に関して、S210の後で、各時間枠内のプリセットフィールドipにおいて同じ内容を有するアクセスデータの数量が、以下の例4に示されるようにカウントされる:
Figure 2018536351
S220:各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かが判断され、同じである場合、ステップS230が行われる。
上記の例4に示されるように、そのipが「1.1.1.1」であるアクセスデータの数量は、第1の時間枠〜第3の時間枠内で同じであり、システムは、ステップS230を行う。
上記の例2に示されるように、第1に、そのホストが「www.aaa.com」であり、ipが「1.1.1.1」であり、且つユーザーエージェントが「Mozilla/5.0」であるアクセスデータの数量は、第1の時間枠〜第3の時間枠内で同じである。第2に、そのホストが「www.aaa.com」であり、ipが「1.1.1.1」であり、且つユーザーエージェントが「Mozilla/4.0」であるアクセスデータの数量は、第1の時間枠〜第3の時間枠内で同じであり、システムは、ステップS230を行う。
S230:同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定される。
この実施形態では、小トラフィック・ネットワーク攻撃の特徴に従って、少なくとも2つの時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かが判断され、同じである場合、小トラフィック・ネットワーク攻撃の特徴にマッチし、同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することができる。
本出願の一実施形態では、図3に示すように、ステップS200は、具体的には以下を含んでよい:
S201:標的ウェブサイトサーバのアクセスログが収集される。
ウェブサイトは、典型的には、インターネットにおける多層アーキテクチャ、例えば、ngnix及びtomactのウェブサイトアーキテクチャのものである。nanixとtomcatの両方ともそれらの独自のアクセスログを有するので、nanixとtomcatは、同じアクセス要求をそれらの独自のアクセスログに記録することになる。アクセスログの繰返しの収集を回避するために、標的ウェブサイトサーバのアクセスログが収集されるときに最もフロントエンドのアプリケーションのアクセスログだけが収集される。ここで、nanixは、tomcatよりもフロントエンドのアプリケーションであり、したがって、nanixのアクセスログだけが収集される必要がある。
S202:プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータが取得される。
プリセットフィールドは、ip、ホスト、ユーザーエージェント、及びurlのうちの少なくとも1つを含むことができる。ここで、ip(インターネットプロトコル)は、標的ウェブサイトにアクセスするソースipアドレスを表す。ホストは、標的ウェブサイトにアクセスするドメイン名を表す。ユーザーエージェント(ユーザエージェント)は、標的ウェブサイトにアクセスするブラウザ、例えば、Google Chrome、QQブラウザ、IEブラウザなどを表す。ユーザーエージェントはまた、標的ウェブサイトにアクセスする検索エンジン、例えば、ウェブクローラなどを表してよい。url(Uniform Resource Locator)は、標的ウェブサイトにアクセスするアドレスを表す。
この実施形態では、標的ウェブサイトサーバのアクセスログの収集後に、システムは、プリセット命令を通じてアクセスデータを取得する、例えば、$time_localを通じてアクセスログにおける記録時間を取得する、$hostを通じて記録されたホストを取得する、$remote_addrを通じてipを取得する、$http_user_agentを通じてユーザーエージェントを取得する、及び$request_uriを通じてurlを取得することができる。
例えば、プリセットフィールド(ホスト、ip、ユーザーエージェント)に従って取得されるアクセスデータ(2013−09−18 17:58:00からのアクセスデータが記録される)が以下に示される:
Figure 2018536351
この実施形態では、時間枠は、隣接する時間枠を含む。時間枠の時間の長さは、事前に設定することができ、例えば、時間枠の時間の長さは1分であり、以下に示すように3つの時間枠内のアクセスデータを取得することができる:
Figure 2018536351
この実施形態を用いることにより、収集したアクセスログに従ってより大量のより正確なアクセスデータを取得することができる。このようにして得られたアクセスデータは、システムが、小トラフィック・ネットワーク攻撃の特徴に従って、プリセット数の時間枠内の同じアクセスデータ・ピースのアクセス数が同じであるか否かを判断するのを容易にすることができ、同じである場合、小トラフィック・ネットワーク攻撃の特徴にマッチし、同じアクセスデータ・ピースを含んでいるアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することができる。
大量のアクセスデータは、一般に、ウェブサイトサーバのアクセスログに記録される。システムがアクセスログを収集した後で、アクセスデータは、データベースに記憶されなければたくさんのシステムメモリを占領することになる。結果として、システムの実行効率が低下する。上記の問題を解決するべく、この実施形態の一実施形態では、方法は、ステップS202の後に、
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
をさらに含んでよく、
それに対応して、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップは、
少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
を含む。
この実施形態では、データベースは、システムの内部のデータベースであってよく、システムと関連付けられた外部データベースであっても問題ない。データベースはまた、データベースの記憶域スペースを増やすべく別のデータベースと関連付けられてもよい。
少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせるステップは、具体的には、システムがクエリ命令(例えば、sql文)を通じて少なくとも2つの時間枠内のアクセスデータに関して問い合わせることであってよい。
実際の応用では、小トラフィック・ネットワーク攻撃を識別することに加えて、システムはまた、大トラフィック・ネットワーク攻撃にも対処する必要がある。大トラフィック・ネットワーク攻撃を識別するために、ステップS230の後に、方法は、以下のステップをさらに含んでよい:
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が異なる場合に、各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであり、且つプリセット閾値に到達するか否かが判断される。
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであり、且つプリセット閾値に到達する場合に、その数量がプリセット閾値に到達するアクセスデータに対応するアクセス要求は、大トラフィック・ネットワーク攻撃であると確定される。
この実施形態では、プリセット閾値は、人為的に設定される経験的な値であってよい。プリセット閾値は、大トラフィック・ネットワーク攻撃中の大きいアクセス数の特徴と合致するように設定されてよい。例えば、プリセット閾値は、10000回に設定される。例4に示された内容に関して、プリセット閾値は10000であり、第3の時間枠内のip「1.1.1.4」のアクセス数は12000であると仮定する。次いで、アクセス数が10000のプリセット閾値に到達するか否かを判断することができる。第3の時間枠内のip「1.1.1.4」のアクセス数だけがプリセット閾値に到達するので、ステップS250が行われる。すなわち、ip「1.1.1.4」を含んでいるアクセス要求は、大トラフィック・ネットワーク攻撃と確定される。
実際の応用では、小トラフィック・ネットワーク攻撃は一定の攻撃頻度を示すが、異なる時間枠内の同じ小トラフィック・ネットワーク攻撃のアクセス数は、以下の例5に示されるように僅かな偏差を有する場合がある:
第1の時間枠内のip「1.1.1.1」のアクセス数は8であり、
第2の時間枠内のip「1.1.1.1」のアクセス数は7であり、
第3の時間枠内のip「1.1.1.1」のアクセス数は8であり、
第4の時間枠内のip「1.1.1.1」のアクセス数は8であり、
第5の時間枠内のip「1.1.1.1」のアクセス数は9であり、
第6の時間枠内のip「1.1.1.1」のアクセス数は8である。
上記の内容において、ip「1.1.1.1」のアクセス数は、第1の時間枠〜第6時間枠内で正確に同じではない。しかしながら、アクセス数が僅かな偏差を有し得るような状況も、小トラフィック・ネットワーク攻撃に属する。各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かだけが判断される場合にこの状況を識別することはできず、小トラフィック・ネットワーク攻撃を識別するという目的を達成することはできない。上記の問題を解決するべく、図4に示すように、本出願の一実施形態に係るネットワーク攻撃を識別するための方法のフローチャートが例示される。この実施形態では、方法は、以下のステップを含む:
S300:プリセットフィールドに従って少なくとも2つの時間枠内の標的ウェブサイトサーバのアクセスデータが取得される。
このステップは、ステップS200と同じであり、ここではさらに説明しない。
S310:各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量がカウントされる。
このステップは、ステップS210と同じであり、ここではさらに説明しない。
S320:数量の最大値及び最小値が取得される。
例5に示された内容に関して、6つの時間枠内のプリセットフィールド(ip)において同じ内容を有するアクセスデータ「1.1.1.1」の数量の最大値が9として取得され、最小値が7として取得される。
S321:最大値と最小値との差が計算される。
S320での例の場合、最大値9と最小値7との差は2であることが計算される。
S322:差がプリセット差よりも小さいか否かが判断され、小さい場合、ステップS330が行われる。
この実施形態では、プリセット差は、事前に設定される経験的な値であってよい。
S321での例の場合、プリセット差が2以下であるとすると、差はプリセット差よりも小さくなく、したがって、そのipが「1.1.1.1」であるアクセス要求は、小トラフィック・ネットワーク攻撃ではないと確定することができる。プリセット差が2よりも大きいとすると、差はプリセット差よりも小さく、ステップS330が行われる。
S330:その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定される。
本出願の一実施形態では、ステップS300は、具体的には、以下のステップを含んでよい:
標的ウェブサイトサーバのアクセスログが収集される。
このステップは、ステップS201と同じであり、ここではさらに説明しない。
プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータが取得される。
このステップは、ステップS302と同じであり、ここではさらに説明しない。
この実施形態を用いることにより、収集したアクセスログに従ってより大量のより正確なアクセスデータを取得することができる。このようにして得られたアクセスデータは、システムが、小トラフィック・ネットワーク攻撃の特徴に従って、プリセット数の時間枠内の同じアクセスデータのアクセス数が同じであるか否かを判断するのを容易にすることができる。同じである場合、小トラフィック・ネットワーク攻撃の特徴にマッチし、同じアクセスデータを含んでいるアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することができる。
大量のアクセスデータは、一般に、ウェブサイトサーバのアクセスログに記録される。システムがアクセスログを収集した後で、アクセスデータは、データベースに記憶されなければたくさんのシステムメモリを占領することになる。結果として、システムの実行効率が低下する。上記の問題を解決するべく、この実施形態の一実施形態では、プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータを取得するステップの後に、方法は、
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
をさらに含んでよく、
それに対応して、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップは、
少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
を含む。
実際の応用では、小トラフィック・ネットワーク攻撃を識別することに加えて、システムはまた、大トラフィック・ネットワーク攻撃にも対処する必要がある。大トラフィック・ネットワーク攻撃を識別するために、方法は、ステップS330の後に、以下のステップをさらに含んでよい:
差がプリセット差よりも小さくない場合に、各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであり、且つプリセット閾値に到達するか否かが判断される。
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであり、且つプリセット閾値に到達する場合に、その数量がプリセット閾値に到達するアクセスデータに対応するアクセス要求は、大トラフィック・ネットワーク攻撃であると確定される。
この実施形態では、プリセット閾値は、人為的に設定される経験的な値であってよい。プリセット閾値は、大トラフィック・ネットワーク攻撃中の大きいアクセス数の特徴と合致するように設定されてよい。例えば、プリセット閾値は、10000回に設定される。例4に示された内容に関して、プリセット閾値は10000であり、第3の時間枠内のip「1.1.1.4」のアクセス数は12000であると仮定する。次いで、アクセス数が10000のプリセット閾値に到達するか否かを判断することができる。第3の時間枠内のip「1.1.1.4」のアクセス数だけがプリセット閾値に到達するので、ip「1.1.1.4」を含んでいるアクセス要求は、大トラフィック・ネットワーク攻撃と確定される。
例5に示された問題を解決するべく、図5に示すように、本出願の一実施形態に係るネットワーク攻撃を識別するための方法のフローチャートが例示される。この実施形態では、方法は、以下のステップを含む:
S400:プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータが取得される。
このステップは、ステップS200と同じであり、ここではさらに説明しない。
S410:各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量がカウントされる。
このステップは、ステップS210と同じであり、ここではさらに説明しない。
S420:数量の平均値が計算される。
例5に示された内容に関して、数量(8、7、8、8、9、8)の平均値は8であると計算される。
S421:各数量と平均値との差が計算される。
S420での例の場合、各数量と平均値との差は以下のように計算される:
第1の時間枠内の差は0であり、
第1の時間枠内の差は1であり、
第1の時間枠内の差は0であり、
第1の時間枠内の差は0であり、
第1の時間枠内の差は1であり、
第1の時間枠内の差は0である。
S422:各差がプリセット差よりも小さいか否かが判断され、小さい場合、ステップS430が行われる。
S421での例の場合、プリセット差が1以下であるとすると、各差はプリセット差よりも小さくなく、したがって、ip「1.1.1.1」を含んでいるアクセス要求は、小トラフィック・ネットワーク攻撃ではないと確定することができる。プリセット差が1よりも大きいとすると、各差はプリセット差よりも小さく、ステップS430が行われる。
S430:各差がプリセット差よりも小さい場合に、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定される。
本出願の一実施形態では、ステップS400は、具体的には、以下のステップを含んでよい:
標的ウェブサイトサーバのアクセスログが収集される。
このステップは、ステップS201と同じであり、ここではさらに説明しない。
プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータが取得される。
このステップは、ステップS202と同じであり、ここではさらに説明しない。
この実施形態を用いることにより、収集したアクセスログに従ってより大量のより正確なアクセスデータを取得することができる。このようにして得られたアクセスデータは、システムが、小トラフィック・ネットワーク攻撃の特徴に従って、プリセット数の時間枠内の同じアクセスデータのアクセス数が同じであるか否かを判断するのを容易にすることができる。同じである場合、小トラフィック・ネットワーク攻撃の特徴にマッチし、同じアクセスデータを含んでいるアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することができる。
大量のアクセスデータは、一般に、ウェブサイトサーバのアクセスログに記録される。システムがアクセスログを収集した後で、アクセスデータは、データベースに記憶されなければたくさんのシステムメモリを占領することになる。結果として、システムの実行効率が低下する。上記の問題を解決するべく、この実施形態の一実施形態では、プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータを取得するステップの後に、方法は、
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
をさらに含んでよく、
それに対応して、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップは、
少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
を含む。
実際の応用では、小トラフィック・ネットワーク攻撃を識別することに加えて、システムはまた、大トラフィック・ネットワーク攻撃にも対処する必要がある。大トラフィック・ネットワーク攻撃を識別するために、方法は、ステップS430の後に以下のステップをさらに含んでよい:
各差がプリセット差よりも小さくない場合に、各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであり、且つプリセット閾値に到達するか否かが判断される。
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであり、且つプリセット閾値に到達する場合に、その数量がプリセット閾値に到達するアクセスデータに対応するアクセス要求は、大トラフィック・ネットワーク攻撃であると確定される。
この実施形態では、プリセット閾値は、人為的に設定される経験的な値であってよい。プリセット閾値は、大トラフィック・ネットワーク攻撃中の大きいアクセス数の特徴と合致するように設定されてよい。例えば、プリセット閾値は、10000回に設定される。例4に示された内容に関して、プリセット閾値は10000であり、第3の時間枠内のip「1.1.1.4」のアクセス数は12000であると仮定する。次いで、アクセス数が10000のプリセット閾値に到達するか否かを判断することができる。第3の時間枠内のip「1.1.1.4」のアクセス数だけがプリセット閾値に到達するので、ip「1.1.1.4」を含んでいるアクセス要求は、大トラフィック・ネットワーク攻撃と確定される。
本出願の一実施形態は、方法のステップを実施することができる装置をさらに提供する。装置は、ソフトウェアにより実装することができ、ハードウェアにより又はソフトウェアとハードウェアを組み合わせる様態で実装することもできる。ソフトウェアによる実施を例としてとりあげると、論理上の意味での装置は、対応するコンピュータプログラム命令を実行のためにメモリに読み込むサーバの中央処理ユニット(CPU)により形成される。
図6は、本出願の一実施形態に係るウェブサイト耐攻撃装置の概略的なモジュール図である。この実施形態では、装置は、
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得モジュール500と、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニット510と、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断するように構成された、判断ユニット520と、
各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニット530と、
を含む。
好ましくは、取得ユニット500は、具体的には、
標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
を含んでよい。
好ましくは、第1の取得サブユニットは、標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集するようにさらに構成される。
好ましくは、第2の取得サブユニットの後に、装置は、
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
をさらに含み、
それに対応して、カウントユニット510は、少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される。
好ましくは、時間枠は、隣接する時間枠を含む。
好ましくは、プリセットフィールドは、ip、ホスト、ユーザーエージェント、及びurlのうちの少なくとも1つを含む。
本出願の一実施形態は、ウェブサイト耐攻撃装置であって、
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得ユニットと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
数量の最大値及び最小値を取得するように構成された、第2の取得ユニットと、
最大値と最小値との差を計算するように構成された、計算ユニットと、
差がプリセット差よりも小さいか否かを判断するように構成された、判断ユニットと、
差がプリセット差よりも小さいときに、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を含む装置を提供する。
好ましくは、取得ユニットは、具体的には、
標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
を含む。
好ましくは、第1の取得サブユニットは、標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集するようにさらに構成される。
好ましくは、第2の取得サブユニットの後に、装置は、
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
をさらに含み、
それに対応して、カウントユニットは、少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される。
好ましくは、時間枠は、隣接する時間枠を含む。
好ましくは、プリセットフィールドは、ip、ホスト、ユーザーエージェント、及びurlのうちの少なくとも1つを含む。
本出願の一実施形態は、ウェブサイト耐攻撃装置であって、
プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得ユニットと、
各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
数量の平均値を計算するように構成された、第2の計算ユニットと、
各数量と平均値との差を計算するように構成された、第3の計算ユニットと、
各差がプリセット差よりも小さいか否かを判断するように構成された、第3の判断ユニットと、
各差がプリセット差よりも小さいときに、その差がプリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
を含む装置を提供する。
好ましくは、取得ユニットは、具体的には、
標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
プリセットフィールドに従ってアクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
を含む。
好ましくは、第1の取得サブユニットは、標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集するようにさらに構成される。
好ましくは、第2の取得サブユニットの後に、装置は、
少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
をさらに含み、
それに対応して、カウントユニットは、少なくとも2つの時間枠内のアクセスデータに関してデータベースに問い合わせし、各時間枠内の各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される。
好ましくは、時間枠は、隣接する時間枠を含む。
好ましくは、プリセットフィールドは、ip、ホスト、ユーザーエージェント、及びurlのうちの少なくとも1つを含む。
1990年代での、技術の改良は、ハードウェアの改良(例えば、ダイオード、トランジスタ、及びスイッチなどの回路構造の改良)、又はソフトウェアの改良(メソッドプロシージャの改良)として明白に区別することができる。しかしながら、技術の開発により、現在は、多くのメソッドプロシージャの改良は、ハードウェア回路構造の直接の改良として考えることができる。ほとんどすべての設計者は、対応するハードウェア回路構造を得るべく改良されたメソッドプロシージャをハードウェア回路にプログラムする。したがって、ハードウェアエンティティモジュールの使用によりメソッドプロシージャの改良を実施することはできないとみなすのは不適当である。例えば、プログラム可能論理デバイス(PLD)(フィールド・プログラマブル・ゲート・アレイ(FPGA)など)は、その論理機能がユーザによりプログラムされるデバイスによって決まるような集積回路である。設計者は、チップの製造業者に専用の集積回路チップの設計及び製造を依頼する必要なしに、デジタルシステムをPLDのピースに「集積する」べく自分でプログラムする。さらに、現在は、プログラミングは、大抵は、集積回路チップを手作りするのではなく、「論理コンパイラ」ソフトウェアを用いることにより実施される。論理コンパイラソフトウェアは、プログラムを開発する及び書き込むのに用いられるソフトウェアコンパイラと類似しており、コンパイルする前のオリジナルコードも、ハードウェア記述言語(HDL)と呼ばれる特定のプログラミング言語を用いることにより書き込まれる必要がある。Advanced Boolean Expression Language(ABEL)、Altera Hardware Description Language(AHDL)、Confluence、Cornell University Programming Language(CUPL)、HDCal、Java Hardware Description Language(JHDL)、Lava、Lola、MyHDL、PALASM、及びRuby Hardware Description Language(RHDL)などの多くのタイプのHDLが存在し、そのうち、Very−High−Speed Integrated Circuit Hardware Description Language(VHDL)及びVerilogが、現在最も一般的に用いられる。論理メソッドプロシージャを実装するためのハードウェア回路は、上記のいくつかのハードウェア記述言語を用いてメソッドプロシージャを少し論理的にプログラミングし、これを集積回路にプログラミングするだけで容易に得られ得ることも当業者には公知のはずである。
コントローラは、任意の適切な様態で実装されてよい。例えば、コントローラは、マイクロプロセッサ又はプロセッサ、及び、(マイクロ)プロセッサ、論理ゲート、スイッチ、特定用途向け集積回路(ASIC)、プログラム可能論理コントローラ、及び組み込みマイクロコントローラにより実行可能なコンピュータ可読プログラムコード(例えば、ソフトウェア又はファームウェア)を記憶するコンピュータ可読媒体の形態であってよい。コントローラの例は、以下のマイクロコントローラを含むがこれらに限定されない:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20、及びSilicone Labs C8051F320。メモリコントローラはまた、メモリの制御論理の一部として実装されてよい。コントローラは、純粋なコンピュータ可読プログラムコードを用いることにより実装することができ、加えて、方法のステップは、コントローラが論理ゲート、スイッチ、ASIC、プログラム可能論理コントローラ、及び組み込みマイクロコントローラの形態の同じ機能を実装できるように論理的にプログラムされてよいことも当業者には公知である。したがって、このタイプのコントローラは、ハードウェアコンポーネントと考えてよく、種々の機能を実装するためのコントローラに含まれる装置もハードウェアコンポーネントの内部の構造と考えてよい。或いは、種々の機能を実装するために用いられる装置は、方法を実施するためのソフトウェアモジュールとハードウェアコンポーネントの内部の構造との両方と考えてもよい。
上記の実施形態において例示されるシステム、装置、モジュール、又はユニットは、具体的には、コンピュータチップ又はエンティティ、又は特定の機能を有する製品を用いることにより実装されてよい。
説明を簡単にするために、装置が説明されるときに、装置は、それぞれの説明に関する機能に基づいて種々のユニットへ分割される。明確に、本出願が実施されるときに、ユニットの機能は、同じ又は複数のソフトウェア及び/又はハードウェアにおいて実施されてよい。
本発明の実施形態は、方法、システム、又はコンピュータプログラム製品として提供されてよいことを当業者は理解されたい。したがって、本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、又はソフトウェアとハードウェアとを組み合わせる一実施形態として実装されてよい。さらに、本発明は、コンピュータにより使用可能なプログラムコードを含む1つ又は複数のコンピュータにより使用可能な記憶媒体(磁気ディスクメモリ、CD−ROM、光学メモリなどを含むがこれらに限定されない)上に実装されるコンピュータプログラム製品であり得る。
本発明は、本発明の実施形態に係る方法、デバイス(システム)、及びコンピュータプログラム製品のフローチャート及び/又はブロック図を参照して説明される。コンピュータプログラム命令は、フローチャート及び/又はブロック図における各プロセス及び/又はブロック、及びフローチャート及び/又はブロック図におけるプロセス及び/又はブロックの組み合わせを実施するのに用いられ得ることを理解されたい。これらのコンピュータプログラム命令は、コンピュータ又は任意の他のプログラム可能データ処理デバイスのプロセッサにより実行される命令がフローチャートにおける1つ又は複数のプロセス及び/又はブロック図における1つ又は複数のブロックに明記される機能を実施するための装置を生み出すように、マシンを生み出すべく、汎用コンピュータ、特殊用途コンピュータ、組み込みプロセッサ又は任意の他のプログラム可能データ処理デバイスのプロセッサに提供されてよい。
これらのコンピュータプログラム命令はまた、コンピュータ可読ストレージに記憶された命令が命令装置を含むアーチファクトを生み出すように特定の様態で機能すべくコンピュータ又は任意の他のプログラム可能データ処理デバイスに命令することができるコンピュータ可読ストレージに記憶されてよい。命令装置は、フローチャートにおける1つ又は複数のプロセス及び/又はブロック図における1つ又は複数のブロックに明記される機能を実施する。
これらのコンピュータプログラム命令はまた、コンピュータ又は別のプログラム可能デバイス上で一連の動作ステップが行われ、これにより、コンピュータにより実施される処理を生み出すように、コンピュータ又は別のプログラム可能データ処理端末デバイス上にロードされてよい。したがって、コンピュータ又は別のプログラム可能端末デバイス上で実行される命令は、フローチャートにおける1つ又は複数のプロセス及び/又はブロック図における1つ又は複数のブロックに明記される機能を実施するためのステップを提供する。
典型的な構成では、計算デバイスは、1つ又は複数の中央処理装置(CPU)、入力/出力インターフェース、ネットワークインターフェース、及びメモリを含む。
メモリは、揮発性メモリ、ランダムアクセスメモリ(RAM)、及び/又は不揮発性メモリ、例えば、読出し専用メモリ(ROM)又はフラッシュRAMなどのコンピュータ可読媒体を含む場合がある。メモリはコンピュータ可読媒体の例である。
コンピュータ可読媒体は、不揮発性メディア及び揮発性メディア、並びに移動可能メディア及び移動不可能メディアを含み、任意の方法又は技術によって情報ストレージを実装することができる。情報は、コンピュータ可読命令、データ構造、及びプログラムのモジュール、又は他のデータであり得る。コンピュータの記憶媒体の例は、相変化メモリ(PRAM)、スタティックランダムアクセスメモリ(SRAM)、ダイナミックランダムアクセスメモリ(DRAM)、他のタイプのRAM、ROM、電気的に消去可能でプログラム可能な読出し専用メモリ(EEPROM)、フラッシュメモリ又は他のメモリ技術、コンパクトディスク読出し専用メモリ(CD−ROM)、デジタルバーサタイルディスク(DVD)又は他の光学ストレージ、カセットテープ、磁気テープ/磁気ディスクストレージ又は他の磁気ストレージデバイス、又は任意の他の非伝送媒体を含むがこれらに限定されず、コンピューティングデバイスによりアクセス可能な情報を記憶するのに用いることができる。この文章での定義によれば、コンピュータ可読媒体は、変調されたデータ信号及びキャリアなどの一時的メディアを含まない。
「含む」、「備える」という用語、又はそれらの他の変形は、一連の要素を含むプロセス、方法、コモディティ、又はデバイスが、該要素を含むだけでなく明瞭に挙げられていない他の要素も含む、又はプロセス、方法、コモディティ、又はデバイスの固有の要素をさらに含むように、非排他的包含をカバーすることを意図されることにさらに留意されたい。どのようなさらなる限定もない場合、「〜を含む」により定義される要素は、該要素を含むプロセス、方法、コモディティ、又はデバイスが他の同一の要素をさらに有することを除外しない。
本出願の実施形態は、方法、システム、又はコンピュータプログラム製品として提供されてよいことを当業者は理解されたい。したがって、本出願は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、又はソフトウェアとハードウェアとを組み合わせる一実施形態として実装されてよい。さらに、本出願は、コンピュータにより使用可能なプログラムコードを含む1つ又は複数のコンピュータにより使用可能な記憶媒体(磁気ディスクメモリ、CD−ROM、光学メモリなどを含むがこれらに限定されない)上に実装されるコンピュータプログラム製品の形態であってよい。
本出願は、コンピュータにより実行されるコンピュータで実行可能な命令、例えば、プログラムモジュールの共通の文脈で説明され得る。一般に、プログラムモジュールは、特定のタスクを実行する又は特定の抽象データ型を実装するのに用いられるルーチン、プログラム、オブジェクト、アセンブリ、データ構造などを含む。本出願はまた、分散コンピューティング環境で実装されてよく、分散コンピュータ環境では、タスクは、通信ネットワークを通じて接続されるリモート処理デバイスを用いることにより実行される。分散コンピュータ環境では、プログラムモジュールは、ストレージデバイスを含むローカル又はリモートコンピュータ記憶媒体に存在し得る。
本明細書での実施形態は順次に説明されており、実施形態の同一の又は類似の部分は互いを参照して得られる場合があり、各実施形態は他の実施形態とは異なる部分を強調している。特に、システムの実施形態は、方法の実施形態と基本的に類似しており、ゆえに、簡単に説明される。関連する部分に関しては、方法の実施形態での部分の説明への参照がなされる場合がある。
上記の説明は、本出願の単なる実施形態にすぎず、本出願を限定することを意図していない。当業者に向けて、本出願は種々の修正及び変形を有し得る。本出願の精神及び原理から逸脱せずになされる任意の修正、等価な置き換え、改良などが本出願の請求項の範囲内に入るはずである。

Claims (28)

  1. ネットワーク攻撃を識別するための方法であって、
    プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得することと、
    前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
    前記各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断することと、
    前記各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、前記同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
    を含む、方法。
  2. 前記プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するステップが、具体的には、
    前記標的ウェブサイトサーバのアクセスログを収集することと、
    前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得することと、
    を含む、請求項1に記載の方法。
  3. 前記標的ウェブサイトサーバのアクセスログを収集するステップが、具体的には、
    前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集すること、
    を含む、請求項2に記載の方法。
  4. 前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得するステップの後に、前記方法が、
    前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
    をさらに含み、
    それに対応して、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップが、
    前記少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
    を含む、請求項2に記載の方法。
  5. ネットワーク攻撃を識別するための方法であって、
    プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得することと、
    前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
    前記数量の最大値及び最小値を取得することと、
    前記最大値と前記最小値との差を計算することと、
    前記差がプリセット差よりも小さいか否かを判断することと、
    前記差が前記プリセット差よりも小さい場合に、その差が前記プリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
    を含む、方法。
  6. 前記プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するステップが、具体的には、
    前記標的ウェブサイトサーバのアクセスログを収集することと、
    前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得することと、
    を含む、請求項5に記載の方法。
  7. 前記標的ウェブサイトサーバのアクセスログを収集するステップが、具体的には、
    前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集すること、
    を含む、請求項6に記載の方法。
  8. 前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得するステップの後に、前記方法が、
    前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
    をさらに含み、
    それに対応して、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップが、
    前記少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
    を含む、請求項6に記載の方法。
  9. ネットワーク攻撃を識別するための方法であって、
    プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得することと、
    前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすることと、
    前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの平均値を計算することと、
    前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量と前記平均値の差を計算することと、
    前記各差がプリセット差よりも小さいか否かを判断することと、
    前記各差が前記プリセット差よりも小さい場合に、その差が前記プリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定することと、
    を含む、方法。
  10. 前記プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するステップが、具体的には、
    前記標的ウェブサイトサーバのアクセスログを収集することと、
    前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得することと、
    を含む、請求項9に記載の方法。
  11. 前記標的ウェブサイトサーバのアクセスログを収集するステップが、具体的には、
    前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集すること、
    を含む、請求項10に記載の方法。
  12. 前記プリセットフィールドに従って前記アクセスログから前記少なくとも2つの時間枠内のアクセスデータを取得するステップの後に、前記方法がさらに、
    前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶すること、
    を含み、
    それに対応して、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするステップが、
    前記少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントすること、
    を含む、請求項10に記載の方法。
  13. 前記時間枠が、隣接する時間枠を含む、請求項1〜請求項12のいずれかに記載の方法。
  14. 前記プリセットフィールドが、ip、ホスト、ユーザーエージェント、及びurlのうちの少なくとも1つを備える、請求項1〜請求項12のいずれかに記載の方法。
  15. ネットワーク攻撃を識別するための装置であって、
    プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得ユニットと、
    前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
    前記各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じであるか否かを判断するように構成された、判断ユニットと、
    前記各時間枠内の同じプリセットフィールドを有するアクセスデータの数量が同じである場合に、前記同じ数量を有するアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
    を備える、装置。
  16. 前記取得ユニットが、具体的には、
    前記標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
    前記プリセットフィールドに従って前記アクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
    を備える、請求項15に記載の装置。
  17. 前記第1の取得サブユニットが、前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集するようにさらに構成される、請求項15に記載の装置。
  18. 前記第2の取得サブユニットの後に、前記装置が、
    前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
    をさらに備え、
    それに対応して、前記カウントユニットが、少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される、請求項15に記載の装置。
  19. ネットワーク攻撃を識別するための装置であって、
    プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得ユニットと、
    前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
    前記数量の最大値及び最小値を取得するように構成された、第2の取得ユニットと、
    前記最大値と前記最小値との差を計算するように構成された、計算ユニットと、
    前記差がプリセット差よりも小さいか否かを判断するように構成された、判断ユニットと、
    前記差が前記プリセット差よりも小さいときに、その差が前記プリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
    を備える、装置。
  20. 前記取得ユニットが、具体的には、
    前記標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
    前記プリセットフィールドに従って前記アクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
    を備える、請求項19に記載の装置。
  21. 前記第1の取得サブユニットが、前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集するようにさらに構成される、請求項20に記載の装置。
  22. 前記第2の取得サブユニットの後に、前記装置が、
    前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
    をさらに備え、
    それに対応して、前記カウントユニットが、少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される、請求項20に記載の装置。
  23. ネットワーク攻撃を識別するための装置であって、
    プリセットフィールドに従って標的ウェブサイトサーバの少なくとも2つの時間枠内のアクセスデータを取得するように構成された、取得ユニットと、
    前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするように構成された、カウントユニットと、
    前記数量の平均値を計算するように構成された、第2の計算ユニットと、
    前記各数量と前記平均値の差を計算するように構成された、第3の計算ユニットと、
    前記各差がプリセット差よりも小さいか否かを判断するように構成された、第3の判断ユニットと、
    前記各差が前記プリセット差よりも小さいときに、その差が前記プリセット差よりも小さいアクセスデータに対応するアクセス要求は、小トラフィック・ネットワーク攻撃であると確定するように構成された、確定ユニットと、
    を備える、装置。
  24. 前記取得ユニットが、具体的には、
    前記標的ウェブサイトサーバのアクセスログを収集するように構成された、第1の取得サブユニットと、
    前記プリセットフィールドに従って前記アクセスログから少なくとも2つの時間枠内のアクセスデータを取得するように構成された、第2の取得サブユニットと、
    を備える、請求項23に記載の装置。
  25. 前記第1の取得サブユニットが、前記標的ウェブサイトサーバの最もフロントエンドのアプリケーションのアクセスログを収集するようにさらに構成される、請求項24に記載の装置。
  26. 前記第2の取得サブユニットの後に、前記装置が、
    前記少なくとも2つの時間枠内のアクセスデータをデータベースに記憶するように構成された、ストレージユニット、
    をさらに備え、
    それに対応して、前記カウントユニットが、少なくとも2つの時間枠内のアクセスデータに関して前記データベースに問い合わせし、前記各時間枠内の前記各プリセットフィールドにおいて同じ内容を有するアクセスデータの数量をカウントするようにさらに構成される、
    請求項24に記載の装置。
  27. 前記時間枠が、隣接する時間枠を含む、請求項15〜請求項26のいずれかに記載の装置。
  28. 前記プリセットフィールドが、ip、ホスト、ユーザーエージェント、及びurlのうちの少なくとも1つを備える、請求項15〜請求項26のいずれかに記載の装置。
JP2018523793A 2015-11-19 2016-11-10 ネットワーク攻撃を識別するための方法及び装置 Active JP6921069B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510802440.3A CN106789831B (zh) 2015-11-19 2015-11-19 识别网络攻击的方法和装置
CN201510802440.3 2015-11-19
PCT/CN2016/105286 WO2017084529A1 (zh) 2015-11-19 2016-11-10 识别网络攻击的方法和装置

Publications (2)

Publication Number Publication Date
JP2018536351A true JP2018536351A (ja) 2018-12-06
JP6921069B2 JP6921069B2 (ja) 2021-08-18

Family

ID=58717362

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018523793A Active JP6921069B2 (ja) 2015-11-19 2016-11-10 ネットワーク攻撃を識別するための方法及び装置

Country Status (5)

Country Link
US (2) US11240258B2 (ja)
EP (1) EP3379788B1 (ja)
JP (1) JP6921069B2 (ja)
CN (1) CN106789831B (ja)
WO (1) WO2017084529A1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789831B (zh) 2015-11-19 2020-10-23 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置
CN107241352B (zh) * 2017-07-17 2020-01-21 浙江鹏信信息科技股份有限公司 一种网络安全事件分类与预测方法及系统
CN108234342B (zh) * 2018-01-25 2021-08-13 北京搜狐新媒体信息技术有限公司 基于设备指纹的Nginx动态主动限流方法及系统
CN108234341B (zh) * 2018-01-25 2021-06-11 北京搜狐新媒体信息技术有限公司 基于设备指纹的Nginx动态被动限流方法及系统
CN112753023A (zh) * 2018-10-26 2021-05-04 深圳市欢太科技有限公司 数据处理方法、装置、电子设备及计算机可读取存储介质
CN109446398A (zh) * 2018-11-06 2019-03-08 杭州安恒信息技术股份有限公司 智能检测网络爬虫行为的方法、装置以及电子设备
CN111262719B (zh) * 2018-12-03 2022-12-02 阿里巴巴集团控股有限公司 信息显示方法、设备及存储介质
CN110109812A (zh) * 2019-05-10 2019-08-09 广州英睿科技有限公司 访问日志数据的统计方法、装置、计算机设备和存储介质
CN110674169B (zh) * 2019-08-30 2022-06-10 北京浪潮数据技术有限公司 一种网站数据库的保护方法及相关装置
CN112839014B (zh) * 2019-11-22 2023-09-22 北京数安鑫云信息技术有限公司 建立识别异常访问者模型的方法、系统、设备及介质
CN110958261A (zh) * 2019-12-13 2020-04-03 微创(上海)网络技术股份有限公司 一种网络攻击全面检测及应对方法
CN111818050B (zh) * 2020-07-08 2024-01-19 腾讯科技(深圳)有限公司 目标访问行为检测方法、系统、装置、设备及存储介质
CN112583819B (zh) * 2020-12-08 2023-03-24 支付宝(杭州)信息技术有限公司 一种网络接口状态检测方法、装置及设备
CN112953938B (zh) * 2021-02-20 2023-04-28 百度在线网络技术(北京)有限公司 网络攻击防御方法、装置、电子设备及可读存储介质
CN113612727B (zh) * 2021-06-24 2023-04-18 北京华云安信息技术有限公司 攻击ip识别方法、装置、设备和计算机可读存储介质
CN113660257B (zh) * 2021-08-13 2023-05-02 北京知道创宇信息技术股份有限公司 请求拦截方法、装置、电子设备和计算机可读存储介质
CN113783892B (zh) * 2021-09-28 2023-04-07 北京天融信网络安全技术有限公司 反射攻击检测方法、系统、设备及计算机可读存储介质
CN113904839A (zh) * 2021-09-30 2022-01-07 杭州数梦工场科技有限公司 访问请求管理方法及装置
CN114189383B (zh) * 2021-12-10 2024-04-30 中国建设银行股份有限公司 封禁方法、装置、电子设备、介质和计算机程序产品
US11425099B1 (en) * 2022-03-08 2022-08-23 Uab 360 It Managing data communication in a virtual private network
CN114884671B (zh) * 2022-04-21 2024-04-26 微位(深圳)网络科技有限公司 服务器的入侵防御方法、装置、设备及介质
CN115296941B (zh) * 2022-10-10 2023-03-24 北京知其安科技有限公司 检测流量安全监测设备的方法、攻击请求生成方法及设备
CN115913784B (zh) * 2023-01-05 2023-08-08 阿里巴巴(中国)有限公司 一种网络攻击防御系统、方法、装置及电子设备
CN115883254B (zh) * 2023-01-28 2023-05-23 北京亿赛通科技发展有限责任公司 一种DoS攻击防御方法、装置、电子设备及存储介质

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002071227A1 (en) * 2001-03-01 2002-09-12 Cyber Operations, Llc System and method for anti-network terrorism
EP1433076B1 (en) * 2001-08-30 2017-10-25 Cisco Technology, Inc. Protecting against distributed denial of service attacks
DE10259915A1 (de) 2002-12-20 2004-07-15 Ballies, Uwe, Dr.med. Filterelement für eine Klärvorrichtung zur biologischen Reinigung von Wasser
KR100656340B1 (ko) 2004-11-20 2006-12-11 한국전자통신연구원 비정상 트래픽 정보 분석 장치 및 그 방법
US20060294588A1 (en) * 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
US8079080B2 (en) * 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
US9055093B2 (en) 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US20080083029A1 (en) * 2006-09-29 2008-04-03 Alcatel Intelligence Network Anomaly Detection Using A Type II Fuzzy Neural Network
US8056115B2 (en) * 2006-12-11 2011-11-08 International Business Machines Corporation System, method and program product for identifying network-attack profiles and blocking network intrusions
US8281405B1 (en) * 2007-06-13 2012-10-02 Mcafee, Inc. System, method, and computer program product for securing data on a server based on a heuristic analysis
CN101267313B (zh) * 2008-04-23 2010-10-27 成都市华为赛门铁克科技有限公司 泛洪攻击检测方法及检测装置
US8356001B2 (en) 2009-05-19 2013-01-15 Xybersecure, Inc. Systems and methods for application-level security
CN102457489B (zh) * 2010-10-26 2015-11-25 中国民航大学 Low-rate DoS(LDoS)攻击、检测和防御模块
JP5674414B2 (ja) * 2010-10-27 2015-02-25 株式会社ビデオリサーチ アクセスログマッチングシステム及びアクセスログマッチング方法
CN102821081B (zh) * 2011-06-10 2014-12-17 中国电信股份有限公司 监测小流量ddos攻击的方法和系统
US9038178B1 (en) * 2012-06-25 2015-05-19 Emc Corporation Detection of malware beaconing activities
KR20140051550A (ko) * 2012-10-23 2014-05-02 주식회사 프라이머리넷 네트워크 트래픽 제어 시스템
CN104113519B (zh) * 2013-04-16 2017-07-14 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置
CN104125193A (zh) * 2013-04-24 2014-10-29 中国民航大学 基于混沌Dufing振子的LDDoS攻击检测方法
US9577898B1 (en) * 2013-12-31 2017-02-21 Narus, Inc. Identifying IP traffic from multiple hosts behind a network address translation device
US20160036837A1 (en) * 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
CN104378358A (zh) * 2014-10-23 2015-02-25 河北省电力建设调整试验所 一种基于服务器日志的HTTP Get Flood攻击防护方法
CN104486298B (zh) * 2014-11-27 2018-03-09 小米科技有限责任公司 识别用户行为的方法及装置
CN104468554A (zh) * 2014-11-28 2015-03-25 北京奇虎科技有限公司 基于ip和host的攻击检测方法和装置
US10057283B2 (en) * 2015-02-17 2018-08-21 Accenture Global Solutions Limited Volumetric event forecasting tool
WO2016139932A1 (ja) * 2015-03-03 2016-09-09 日本電気株式会社 ログ解析システム、解析装置、解析方法、および解析用プログラムが記憶された記憶媒体
CN104935609A (zh) * 2015-07-17 2015-09-23 北京京东尚科信息技术有限公司 网络攻击检测方法及检测设备
CN105187396A (zh) * 2015-08-11 2015-12-23 小米科技有限责任公司 识别网络爬虫的方法及装置
US9774619B1 (en) * 2015-09-24 2017-09-26 Amazon Technologies, Inc. Mitigating network attacks
CN106649370B (zh) * 2015-10-30 2019-12-03 北京国双科技有限公司 网站访问信息的获取方法及装置
CN106789831B (zh) 2015-11-19 2020-10-23 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置
US10887341B2 (en) * 2017-03-06 2021-01-05 Radware, Ltd. Detection and mitigation of slow application layer DDoS attacks

Also Published As

Publication number Publication date
EP3379788A1 (en) 2018-09-26
EP3379788B1 (en) 2022-06-22
CN106789831B (zh) 2020-10-23
US11240258B2 (en) 2022-02-01
US20180278638A1 (en) 2018-09-27
JP6921069B2 (ja) 2021-08-18
US20220116412A1 (en) 2022-04-14
WO2017084529A1 (zh) 2017-05-26
CN106789831A (zh) 2017-05-31
EP3379788A4 (en) 2018-12-19

Similar Documents

Publication Publication Date Title
JP6921069B2 (ja) ネットワーク攻撃を識別するための方法及び装置
CN108345642B (zh) 采用代理ip爬取网站数据的方法、存储介质和服务器
JP6876806B2 (ja) ブロックチェーンコンセンサス形成の方法およびデバイス
US11429625B2 (en) Query engine for remote endpoint information retrieval
JP6804668B2 (ja) ブロックデータ検証方法および装置
RU2720641C1 (ru) Способ и устройство для основанной на блокчейне обработки данных
TWI715217B (zh) 基於區塊鏈的螢幕錄製取證方法、系統和電子設備
US20160269442A1 (en) Methods and systems for improving analytics in distributed networks
WO2017028696A1 (zh) 分布式存储系统的负载监控方法及设备
US20140059684A1 (en) System and method for computer inspection of information objects for shared malware components
CN110489315B (zh) 一种操作请求的跟踪方法、跟踪装置及服务器
US11716337B2 (en) Systems and methods of malware detection
US10915534B2 (en) Extreme value computation
WO2023005771A1 (zh) 轨迹查询方法、设备、存储介质及计算机程序产品
CN111309466B (zh) 一种基于云平台多线程调度的方法、系统、设备及介质
CN110011955B (zh) 一种ssrf漏洞或攻击确定、处理方法、装置、设备及介质
CN116668535B (zh) 一种基于增强型服务架构的业务执行方法、装置及设备
CN106911636B (zh) 一种检测网站是否存在后门程序的方法及装置
CN112907198B (zh) 业务状态流转维护方法、装置及电子设备
JP2018500650A (ja) データファイルの存在を判定するための方法、装置、及びシステム
CN111143460A (zh) 基于大数据的经济领域的数据的检索方法、装置与处理器
US20230325454A1 (en) Systems and method for caching shortcodes and database queries
US20230344840A1 (en) Method, apparatus, system, and non-transitory computer readable medium for identifying and prioritizing network security events
CN113330437A (zh) 使用调用者和被调用者概要的可扩展增量分析
WO2017026647A1 (ko) 메시지의 필드 인덱싱 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201008

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201120

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210322

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210702

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210727

R150 Certificate of patent or registration of utility model

Ref document number: 6921069

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150