CN110858831B - 安全防护方法、装置以及安全防护设备 - Google Patents
安全防护方法、装置以及安全防护设备 Download PDFInfo
- Publication number
- CN110858831B CN110858831B CN201810960164.7A CN201810960164A CN110858831B CN 110858831 B CN110858831 B CN 110858831B CN 201810960164 A CN201810960164 A CN 201810960164A CN 110858831 B CN110858831 B CN 110858831B
- Authority
- CN
- China
- Prior art keywords
- identification information
- client
- access request
- matching
- information database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000001514 detection method Methods 0.000 claims abstract description 37
- 230000002441 reversible effect Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012546 transfer Methods 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 4
- 235000019580 granularity Nutrition 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 241000287828 Gallus gallus Species 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种安全防护方法、装置及安全防护设备。所述方法包括:接收来自客户端的第一访问请求,所述第一访问请求中包括客户端的标识信息;将所述客户端的标识信息与标识信息数据库进行匹配并获得匹配结果;根据所述匹配结果计算匹配概率;以及在所述匹配概率达到预定值的情况下,开启安全防护。由此,能够提高CC攻击检测的准确率,能够增强针对CC攻击的防护。
Description
技术领域
本发明实施例涉及信息安全技术领域,特别涉及一种安全防护方法、装置以及安全防护设备。
背景技术
在互联网中,多种通信协议被应用于设备之间的信息传输。例如,客户端和服务器之间可以通过超文本传输协议(HTTP,Hyper Text Transfer Protocol)实现数据传输。
出于非法目的,攻击者常通过代理或僵尸主机等向目标服务器发送大量HTTP请求,如HTTP Flood攻击(又称CC攻击),从而消耗目标服务器的请求处理资源,造成服务器资源耗尽。
对于这种攻击行为,现有的安全防护策略为:在客户端设置前端缓存(cache),尽量由前端缓存对HTTP请求的资源进行响应,这样就减少甚至避免了大量HTTP请求对服务器资源的占用。
此外,在CC攻击中,攻击者向目标服务器发起大量的HTTP请求时,通过HTTP请求中的字段设置而突破前端缓存并向服务器请求资源,例如,通过使用涉及数据库操作的统一资源标识符(URI,Uniform Resource Identifier)或其它消耗系统资源的URI,造成服务器资源耗尽,无法响应正常请求。
目前现有的CC攻击检测方案一般针对HTTP流量进行分析,在达到某些特定条件后自动开启CC攻击的防护,例如,实时统计的请求速率是否超过设定的阈值,实时统计的网站响应状态码是否超过设定阈值,根据用户访问行为的实际点击概率分布与网站先验概率分布的偏差进行检测等等。并且,在开启CC攻击的防护的情况下,现有方案一般采用反向探测、验证码和关闭连接等防护策略。
但是在这些CC攻击检测方案中,存在正常业务场景被误判为CC攻击的情况(例如某些秒杀、抢红包、投票等正常业务场景),以及未能检测某些攻击场景的情况(例如某些低频、小流量的攻击场景),并且在现有的防护策略中,存在正常访问被误拦截的情况(例如第三方支付业务、爬虫请求等)。
应该注意,上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明,并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。
发明内容
针对上述问题的至少之一,本发明实施例提供一种安全防护方法、装置及防护设备,期待能够提高CC攻击检测的准确率,增强针对CC攻击的防护。
根据本发明实施例的第一个方面,提供一种安全防护方法,包括:
接收来自客户端的第一访问请求,所述第一访问请求中包括客户端的标识信息;
将所述客户端的标识信息与标识信息数据库进行匹配并获得匹配结果;
根据所述匹配结果计算匹配概率;以及
在所述匹配概率达到预定值的情况下,开启安全防护。
可选的,所述标识信息数据库为针对历史网络流量进行分析而生成的基于标识信息的信誉度的标识信息分类数据库。
可选的,所述第一访问请求为超文本传输协议请求;所述客户端的标识信息为互联网协议地址,所述标识信息数据库存储有多个互联网协议地址。
可选的,在开启所述安全防护的情况下,所述方法还包括:
接收来自客户端的第二访问请求,所述第二访问请求中包括客户端的标识信息;
将所述第二访问请求中的所述客户端的标识信息与所述标识信息数据库进行匹配;
根据所述第二访问请求中的所述客户端的标识信息与所述标识信息数据库的匹配结果,对所述第二访问请求进行拦截或放行。
可选的,在对所述第二访问请求进行拦截的情况下,基于所述第二访问请求中的客户端的标识信息进行反向探测。
可选的,所述标识信息数据库包括互联网协议地址黑名单库和互联网协议地址白名单库。
可选的,以预定周期对所述标识信息数据库进行更新。
根据本发明实施例的第二个方面,提供一种安全防护装置,包括:
接收单元,其接收来自客户端的第一访问请求,所述第一访问请求中包括客户端的标识信息;
匹配单元,其将所述客户端的标识信息与标识信息数据库进行匹配并获得匹配结果;
计算单元,其根据所述匹配结果计算匹配概率;以及
安全防护开启单元,其在所述匹配概率达到预定值的情况下,开启安全防护。
可选的,所述标识信息数据库为针对历史网络流量进行分析而生成的基于标识信息的信誉度的标识信息分类数据库。
可选的,所述接收单元接收来自客户端的第二访问请求,所述第二访问请求中包括客户端的标识信息;
所述匹配单元将所述第二访问请求中的所述客户端的标识信息与所述标识信息数据库进行匹配,
所述装置还包括:
访问控制单元,其根据所述第二访问请求中的所述客户端的标识信息与所述标识信息数据库的匹配结果,对所述第二访问请求进行拦截或放行。
可选的,所述装置还包括:
反向探测单元,其在所述访问控制单元对所述第二访问请求进行拦截的情况下,基于所述第二访问请求中的客户端的标识信息进行反向探测。
可选的,所述装置还包括:
更新单元,其以预定周期对所述标识信息数据库进行更新。
根据本发明实施例的第三个方面,提供一种安全防护设备,包括存储器和处理器,所述存储器存储有计算机程序,其中,所述处理器执行所述计算机程序以实现如上第一方面以及各可选项中任意一项所述的安全防护方法。
根据本发明实施例的第四个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器执行时实现如上第一方面以及各可选项中任意一项所述的安全防护方法的步骤。
本发明实施例的有益效果在于:接收来自客户端的包括客户端的标识信息的第一访问请求,将客户端的标识信息与标识信息数据库进行匹配并获得匹配结果;根据所述匹配结果计算匹配概率;以及在所述匹配概率达到预定值的情况下,开启安全防护。由此,能够在很大程度上避免CC攻击误检测的情况,能够增强针对CC攻击的防护。
附图说明
在本发明实施例的一个附图或一种实施方式中描述的元素和特征可以与一个或更多个其它附图或实施方式中示出的元素和特征相结合。此外,在附图中,类似的标号表示几个附图中对应的部件,并可用于指示多于一种实施方式中使用的对应部件。
图1是本发明实施例的安全防护系统的一示意图;
图2是本发明实施例1的安全防护方法的一示意图;
图3是本发明实施例1的安全防护方法的另一示意图;
图4是本发明实施例2的安全防护装置的一示意图;
图5是本发明实施例的安全防护设备的构成示意图。
具体实施方式
参照后文的说明和附图,详细公开了本发明的特定实施方式,指明了本发明的原理可以被采用的方式。应该理解,本发明的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内,本发明的实施方式包括许多改变、修改和等同。
针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用,与其它实施方式中的特征相组合,或替代其它实施方式中的特征。
应该强调,术语“包括/包含”在本文使用时指特征、整件、步骤或组件的存在,但并不排除一个或更多个其它特征、整件、步骤或组件的存在或附加。
参照附图,通过下面的说明书,本发明的前述以及其它特征将变得明显。在说明书和附图中,具体公开了本发明的特定实施方式,其表明了其中可以采用本发明的原则的部分实施方式,应了解的是,本发明不限于所描述的实施方式,相反,本发明包括落入所附权利要求的范围内的全部修改、变型以及等同物。
在本发明实施例中,术语“第一”、“第二”等用于对不同元素从称谓上进行区分,但并不表示这些元素的空间排列或时间顺序等,这些元素不应被这些术语所限制。术语“和/或”包括相关联列出的术语的一种或多个中的任何一个和所有组合。术语“包含”、“包括”、“具有”等是指所陈述的特征、元素、元件或组件的存在,但并不排除存在或添加一个或多个其他特征、元素、元件或组件。
在本发明实施例中,单数形式“一”、“该”等包括复数形式,应广义地理解为“一种”或“一类”而并不是限定为“一个”的含义;此外术语“所述”应理解为既包括单数形式也包括复数形式,除非上下文另外明确指出。此外术语“根据”应理解为“至少部分根据……”,术语“基于”应理解为“至少部分基于……”,除非上下文另外明确指出。
在本发明实施例中,术语客户端或“终端设备”(TE,Terminal Equipment)例如是指通过网络设备接入通信网络并接收网络服务的设备。终端设备可以是固定的或移动的,并且也可以称为终端、用户端、接入终端、站,等等。
其中,终端设备可以包括但不限于如下设备:个人计算机、工作站、蜂窝电话(Cellular Phone)、个人数字助理(PDA,Personal Digital Assistant)、无线调制解调器、无线通信设备、手持设备、机器型通信设备、膝上型计算机、无绳电话、智能手机、智能手表、数字相机,等等。
在本发明实施例中,术语“安全防护设备”可以为网关或者防火墙设备,也可以为其他设备。安全防护设备可以位于终端设备和服务器之间,对终端设备和服务器之间的通信进行安全防护。安全防护设备可以是独立于服务器的网络设备,也可以是与服务器集成在一起的网络安全应用,本发明并不对安全防护设备和终端设备的具体形态进行限制。
以下通过示例对本发明实施例的场景进行说明,但本发明不限于此。
图1是本发明实施例的安全防护系统的一示意图,示意性说明了终端设备、安全防护设备和服务器的情况,如图1所示,安全防护系统100可以包括终端设备101、安全防护设备102和服务器103。为简单起见,图1仅以一个终端设备、一个安全防护设备和一个服务器为例进行说明,但本发明实施例不限于此,例如终端设备可以为多个。
如图1所示,安全防护设备102分别与终端设备101和服务器103通信连接。例如,安全防护设备102的外网IP地址和服务器103的外网IP地址可以相同,但本发明不限于此。由于安全防护设备102的外网IP地址和服务器103的外网IP地址相同,因此终端设备101发送到服务器103的数据都会被安全防护设备102获得,且终端设备101无法得知安全防护设备102的存在。
以上仅示例性对本发明的场景进行了说明,但本发明不限于此,还可以根据实际情况适用于其他的场景。以下对本发明实施例进行进一步说明。
实施例1
本发明实施例提供一种安全防护方法。图2是本发明实施例的安全防护方法的一示意图。如图2所示,该安全防护方法包括:
步骤201,接收来自客户端的第一访问请求,所述第一访问请求中包括客户端的标识信息;
步骤202,将所述客户端的标识信息与标识信息数据库进行匹配并获得匹配结果;
步骤203,根据所述匹配结果计算匹配概率;以及
步骤204,在所述匹配概率达到预定值的情况下,开启安全防护。
在本实施例中,接收来自客户端的包括客户端的标识信息的第一访问请求,将客户端的标识信息与标识信息数据库进行匹配并获得匹配结果;根据所述匹配结果计算匹配概率;以及在所述匹配概率达到预定值的情况下,开启安全防护。由此,能够在很大程度上避免CC攻击误检测的情况,能够增强针对CC攻击的防护。
在本实施例中,第一访问请求可以为超文本传输协议(HTTP)请求;客户端的标识信息可以为互联网协议(IP)地址,标识信息数据库存储有多个IP地址。但本发明不限于此,例如第一访问请求还可以为其他传输协议请求,标识信息也可以为其他的用于标识客户端的标识信息。
以下以第一访问请求为HTTP请求,客户端的标识信息为IP地址为例进行说明,但本发明不限于此。
在本实施例中,标识信息数据库为针对历史网络流量进行分析而生成的基于标识信息的信誉度的标识信息分类数据库。例如,可以采用对网络流量的历史统计信息进行大数据分析的方法,对基于历史流量的IP行为分析总结,统计并归纳出不同类型的IP信誉库,例如,标识信息数据库可以包括IP地址黑名单库,但不限于此,例如还可以包括IP地址白名单库等,可以通过对网络流量和请求访问的收集、分析、整理和分类归纳,从网络安全的角度持续不断地对被入侵或行为异常的IP地址进行调查或监控,形成一套行为异常与危害性IP的信誉系统。例如,可以基于分析总结将确定的肉鸡地址确定为黑名单中的IP地址,或者将代理IP地址库确定为黑名单中的IP地址,也可以将爬虫的来源IP地址确定为黑名单中的IP地址等,但本发明限于此,例如爬虫的来源IP也可以认为是正常访问的IP,IP黑名单库中的IP地址可以根据实际场景进行确定。
在本实施例中,可以以预定周期对标识信息数据库进行更新,例如预定周期可以为小时级别,以小时级别的更新粒度对IP地址黑名单库进行更新。由此,可以提升应对动态IP(例如动态宽带类的肉鸡IP)的识别。但本发明不限于此,例如标识信息数据库的(IP地址黑名单库)的更新周期还可以为其它粒度(例如以小于1小时为更新粒度,或以天为更新粒度),可以根据实际的应用场景进行选择。
在本实施例中,可以和结合其他的CC攻击检测技术而进行CC攻击检测,例如,检测系统可以对请求速率进行实时统计,对网站响应状态码进行实时统计,对HTTP请求的头字段(header)进行实时统计(对用户请求建模),但本发明不限于此,还可以采用其他CC攻击检测技术,本领域技术人员可以根据需要进行选择。
检测系统可以根据统计结果判定是否存在CC攻击,例如,判断实时统计请求速率是否超过设定的阈值,实时统计的网站响应状态码是否超过设定阈值,根据用户访问行为的实际点击概率分布与网站先验概率分布的偏差进行检测等等。
当检测系统根据上述方案无法判断是否发生CC攻击时,例如在实时统计每秒查询率(QPS,Query Per Second)、HTTP请求头字段(header)、响应状态码的基础之上无法判断是否处于CC攻击时,检测系统可以与IP黑名单库进行联动,通过将来源访问IP和IP黑名单库进行匹配而对来源访问IP进行命中率统计,如果命中率高于临界风险值,则判断为处于CC攻击状态,此时开启安全防护。由此,对于现有的CC攻击检测未能覆盖的场景,例如在低频、小流量的攻击场景下,未能触发检测阈值时,也能够成功进行CC攻击检测,提高了CC攻击检测的准确率。并且,在本实施例中,在对来源访问IP和IP黑名单库进行匹配以统计命中率时,能够将处理时间控制在秒级延迟,可以实现高效的CC攻击检测。
或者,当检测系统根据上述方案判断发生CC攻击时,检测系统也可以与IP黑名单库进行联动,通过将来源访问IP和IP黑名单库进行匹配而对来源访问IP进行命中率统计,如果命中率没有超过临界风险值,则判断为并未处于CC攻击状态,此时不开启安全防护。由此,对于现有的CC攻击检测可能误判为发生CC攻击的场景,例如在某些秒杀、抢红包、投票等正常业务场景中,能够防止误检测的发生,能够避免拦截正常访问。并且,在本实施例中,在对来源访问IP和IP黑名单库进行匹配以统计命中率时,能够将处理时间控制在秒级延迟,可以实现高效的CC攻击检测。
以上针对本实施例如何进行CC攻击检测进行了说明,在检测到发生了CC攻击时,安全防护设备开启安全防护。以下对安全防护设备在开启防护的情况下进行安全防护进行说明。
图3是本发明实施例1的安全防护方法的另一示意图。在本实施例中,如图3所示,在开启安全防护的情况下,安全防护方法还包括:
步骤301,接收来自客户端的第二访问请求,第二访问请求中包括客户端的标识信息;
步骤302,将第二访问请求中的客户端的标识信息与标识信息数据库进行匹配;以及
步骤303,根据第二访问请求中的客户端的标识信息与标识信息数据库的匹配结果,对第二访问请求进行拦截或放行。
由此,在本实施例的安全防护方法中,在开启安全防护的情况下,将来自客户端的访问请求中的用户端的标识信息与标识信息数据库进行匹配,并根据匹配的结果对第二访问请求进行拦截或放行。由此,通过对用户端的标识信息与标识信息数据库的匹配结果进行访问控制,能够避免对正常访问请求(如第三方支付、爬虫等自动程序请求)的误拦截,同时能够拦截针对服务器资源的非法访问请求。
在本实施例中,第二访问请求可以为超文本传输协议(HTTP)请求;客户端的标识信息可以为互联网协议(IP)地址,标识信息数据库存储有多个IP地址。但本发明不限于此,例如第二访问请求还可以为其他传输协议请求,标识信息也可以为其他的用于标识客户端的标识信息。
在本实施例中,标识信息数据库可以包括互联网协议地址黑名单库和互联网协议地址白名单库。在步骤302中,可以将第二访问请求中的客户端的标识信息与互联网协议地址黑名单库和互联网协议地址白名单库进行匹配,在步骤303中,可以根据步骤302中的结果进行访问控制,例如在第二访问请求中的客户端的标识信息与互联网协议地址黑名单库匹配的情况下,可以对第二访问请求进行拦截,在在第二访问请求中的客户端的标识信息与互联网协议地址白名单库匹配的情况下,可以对第二访问请求进行放行。由此,对于处于白名单的访问请求直接放行,对于调用API接口等非访问类的http业务,即使不能正常响应反向探测、验证码等防护算法的正常HTTP请求,也能够避免该类访问请求的IP被误拦截。
在本实施例中,安全防护方法还可以包括:
步骤304,在对第二访问请求进行拦截的情况下,基于第二访问请求中的客户端的标识信息进行反向探测。
例如,在第二访问请求为HTTP请求,客户端的标识信息为IP地址的情况下,在基于IP信誉而将HTTP请求拦截的情况下,可以通过反向探测算法,例如META刷新、302跳转、JS校验等方式验证HTTP请求是否为真实浏览器访问,一般僵尸工具无法实现完整的的HTTP协议栈,无法通过反向探测算法。从而能够进一步确认HTTP请求是否为非法请求,能够提高CC攻击检测的准确性。但本发明不限于此,例如还可以使用其他的防护算法,例如还可以采用验证码技术等。
由此,在本实施例的安全防护方法中,在开启安全防护的情况下,将HTTP请求中的IP与IP白名单库进行匹配,如果HTTP请求中的IP与IP白名单库匹配的情况下,认定HTTP请求为正常请求,将其放行。例如,可以将第三方支付(如支付宝、微信支付、微信公众号等)和爬虫等自动请求类等业务的IP设置成白名单,从而能够防止正常访问被拦截。
值得注意的是,以上图2和3仅对本发明实施例进行了示意性说明,但本发明不限于此。例如可以适当地调整各个步骤之间的执行顺序,此外还可以增加其他的一些步骤或者减少其中的某些步骤。例如,可以对于图3中的步骤302,可以同时执行IP黑白名单库匹配,但本发明不限于此,例如,还可以首先执行IP白名单库匹配,在确定HTTP请求中的IP与IP白名单库中的IP匹配时,可以直接放行而无需执行步骤304。本发明对此不做限定,本领域技术人员可以根据实际的情况进行确定,例如可以根据IP黑名单库和白名单库的命中率的统计而确定上述执行步骤。本领域的技术人员可以根据上述内容进行适当地变型,而不仅限于上述附图2和3的记载。
由上述实施例可知,接收来自客户端的包括客户端的标识信息的第一访问请求(HTTP请求),将客户端的标识信息(IP)与标识信息数据库进行匹配并获得匹配结果;根据所述匹配结果计算匹配概率;以及在所述匹配概率达到预定值的情况下,开启安全防护。由此,能够在很大程度上避免CC攻击误检测的情况,提高CC攻击检测的准确率,能够增强针对CC攻击的防护。即可以通过IP信誉库对HTTP请求中的IP进行匹配,为系统检测CC攻击提供数据支撑,从而规避系统误判的可能;并且,在安全防护开启之后,可以通过过滤IP信誉库的恶意IP地址而减少防护策略带来的误杀情况,能够增强针对CC攻击的防护。
实施例2
本发明实施例提供一种安全防护装置。该装置例如可以是安全防护设备,也可以是配置于安全防护设备的某个或某些部件或者组件。本实施例2与实施例1相同的内容不再赘述。
图4是本发明实施例的安全防护装置的示意图,如图4所示,安全防护装置400包括:
接收单元401,其接收来自客户端的第一访问请求,所述第一访问请求中包括客户端的标识信息;
匹配单元402,其将所述客户端的标识信息与标识信息数据库进行匹配并获得匹配结果;
计算单元403,其根据所述匹配结果计算匹配概率;以及
安全防护开启单元404,其在所述匹配概率达到预定值的情况下,开启安全防护。
在本实施例中,标识信息数据库可以为针对历史网络流量进行分析而生成的基于标识信息的信誉度的标识信息分类数据库。
在本实施例中,安全防护装置还可以具有访问控制单元405,接收单元401还可以接收来自客户端的第二访问请求,该第二访问请求可以包括客户端的标识信息,匹配单元403将第二访问请求中的客户端的标识信息与标识信息数据库进行匹配,访问控制单元405根据第二访问请求中的客户端的标识信息与标识信息数据库的匹配结果,对第二访问请求进行拦截或放行。
在本实施例中,安全防护装置还可以具有反向探测单元406,在对第二访问请求进行拦截的情况下,基于第二访问请求中的客户端的标识信息进行反向探测。
在本实施例中,安全防护装置还可以具有更新单元407,更新单元407可以以预定周期对标识信息数据库进行更新。
值得注意的是,以上仅对与本发明相关的各部件或模块进行了说明,但本发明不限于此。安全防护装置400还可以包括其他部件或者模块,关于这些部件或者模块的具体内容,可以参考相关技术。
本发明实施例还提供一种安全防护设备。
图5是本发明实施例的安全防护设备的构成示意图。如图5所示,安全防护设备500可以包括:处理器510(例如中央处理器CPU)和存储器520;存储器520耦合到处理器510。其中该存储器520可存储各种数据;此外还存储安全防护的程序530,并且在处理器510的控制下执行该程序530。
例如,处理器510可以被配置为执行程序530而实现如实施例1所述的安全防护方法。例如处理器510可以被配置为进行如下的控制:接收来自客户端的第一访问请求,所述第一访问请求中包括客户端的标识信息;将客户端的标识信息与标识信息数据库进行匹配并获得匹配结果;根据匹配结果计算匹配概率;以及在匹配概率达到预定值的情况下,开启安全防护。
此外,如图5所示,安全防护设备500还可以包括:输入输出(I/O)部件540等;其中,上述部件的功能与现有技术类似,此处不再赘述。值得注意的是,安全防护设备500也并不是必须要包括图5中所示的所有部件;此外,安全防护设备500还可以包括图5中没有示出的部件或模块,可以参考现有技术。
本发明实施例还提供一种计算机可读程序,其中当在安全防护设备中执行所述程序时,所述程序使得所述安全防护设备执行实施例1所述的安全防护方法。
本发明实施例还提供一种存储有计算机可读程序的存储介质,其中所述计算机可读程序在被处理器执行时使得安全防护设备实现实施例1所述的安全防护方法。
由上述实施例可知,接收来自客户端的包括客户端的标识信息的第一访问请求,将客户端的标识信息与第一标识信息数据库进行匹配并获得匹配结果;根据所述匹配结果计算匹配概率;以及在所述匹配概率达到预定值的情况下,开启安全防护。由此,能够在很大程度上避免CC攻击误检测的情况,提高CC攻击检测的准确率,能够增强针对CC攻击的防护。
本发明以上的装置和方法可以由硬件实现,也可以由硬件结合软件实现。本发明涉及这样的计算机可读程序,当该程序被逻辑部件所执行时,能够使该逻辑部件实现上文所述的装置或构成部件,或使该逻辑部件实现上文所述的各种方法或步骤。本发明还涉及用于存储以上程序的存储介质,如硬盘、磁盘、光盘、DVD、flash存储器等。
结合本发明实施例描述的方法/装置可直接体现为硬件、由处理器执行的软件模块或二者组合。例如,图中所示的功能框图中的一个或多个和/或功能框图的一个或多个组合,既可以对应于计算机程序流程的各个软件模块,亦可以对应于各个硬件模块。这些软件模块,可以分别对应于图中所示的各个步骤。这些硬件模块例如可利用现场可编程门阵列(FPGA)将这些软件模块固化而实现。
软件模块可以位于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动磁盘、CD-ROM或者本领域已知的任何其它形式的存储介质。可以将一种存储介质耦接至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息;或者该存储介质可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。该软件模块可以存储在移动终端的存储器中,也可以存储在可插入移动终端的存储卡中。例如,若设备(如移动终端)采用的是较大容量的MEGA-SIM卡或者大容量的闪存装置,则该软件模块可存储在该MEGA-SIM卡或者大容量的闪存装置中。
针对附图中描述的功能方框中的一个或多个和/或功能方框的一个或多个组合,可以实现为用于执行本发明所描述功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。针对附图描述的功能方框中的一个或多个和/或功能方框的一个或多个组合,还可以实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、与DSP通信结合的一个或多个微处理器或者任何其它这种配置。
以上结合具体的实施方式对本发明进行了描述,但本领域技术人员应该清楚,这些描述都是示例性的,并不是对本发明保护范围的限制。本领域技术人员可以根据本发明的精神和原理对本发明做出各种变型和修改,这些变型和修改也在本发明的范围内。
Claims (12)
1.一种安全防护方法,其特征在于,所述方法包括:
接收来自客户端的第一访问请求,所述第一访问请求中包括客户端的标识信息;
将所述客户端的标识信息与标识信息数据库进行匹配并获得匹配结果;
根据所述匹配结果计算匹配概率;以及
在所述匹配概率达到预定值的情况下,开启安全防护,
其中,所述标识信息数据库为针对历史网络流量进行分析而生成的基于标识信息的信誉度的标识信息分类数据库。
2.根据权利要求1所述的安全防护方法,其特征在于,
所述第一访问请求为超文本传输协议请求;所述客户端的标识信息为互联网协议地址,所述标识信息数据库存储有多个互联网协议地址。
3.根据权利要求1所述的安全防护方法,其特征在于,在开启所述安全防护的情况下,所述方法还包括:
接收来自客户端的第二访问请求,所述第二访问请求中包括客户端的标识信息;
将所述第二访问请求中的所述客户端的标识信息与所述标识信息数据库进行匹配;
根据所述第二访问请求中的所述客户端的标识信息与所述标识信息数据库的匹配结果,对所述第二访问请求进行拦截或放行。
4.根据权利要求3所述的安全防护方法,其特征在于,
在对所述第二访问请求进行拦截的情况下,基于所述第二访问请求中的客户端的标识信息进行反向探测。
5.根据权利要求1所述的安全防护方法,其特征在于,
所述标识信息数据库包括互联网协议地址黑名单库和互联网协议地址白名单库。
6.根据权利要求1所述的安全防护方法,其特征在于,所述方法还包括:
以预定周期对所述标识信息数据库进行更新。
7.一种安全防护装置,其特征在于,所述装置包括:
接收单元,其接收来自客户端的第一访问请求,所述第一访问请求中包括客户端的标识信息;
匹配单元,其将所述客户端的标识信息与标识信息数据库进行匹配并获得匹配结果;
计算单元,其根据所述匹配结果计算匹配概率;以及
安全防护开启单元,其在所述匹配概率达到预定值的情况下,开启安全防护,
其中,所述标识信息数据库为针对历史网络流量进行分析而生成的基于标识信息的信誉度的标识信息分类数据库。
8.根据权利要求7所述的装置,其特征在于,
所述接收单元接收来自客户端的第二访问请求,所述第二访问请求中包括客户端的标识信息;
所述匹配单元将所述第二访问请求中的所述客户端的标识信息与所述标识信息数据库进行匹配,
所述装置还包括:
访问控制单元,其根据所述第二访问请求中的所述客户端的标识信息与所述标识信息数据库的匹配结果,对所述第二访问请求进行拦截或放行。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
反向探测单元,其在所述访问控制单元对所述第二访问请求进行拦截的情况下,基于所述二访问请求中的客户端的标识信息进行反向探测。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
更新单元,其以预定周期对所述标识信息数据库进行更新。
11.一种安全防护设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序以实现如权利要求1至6任一项所述的安全防护方法。
12.一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器执行时实现如权利要求1至6中任一项所述的安全防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810960164.7A CN110858831B (zh) | 2018-08-22 | 2018-08-22 | 安全防护方法、装置以及安全防护设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810960164.7A CN110858831B (zh) | 2018-08-22 | 2018-08-22 | 安全防护方法、装置以及安全防护设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110858831A CN110858831A (zh) | 2020-03-03 |
| CN110858831B true CN110858831B (zh) | 2022-07-29 |
Family
ID=69634808
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810960164.7A Active CN110858831B (zh) | 2018-08-22 | 2018-08-22 | 安全防护方法、装置以及安全防护设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110858831B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037841B (zh) * | 2021-03-08 | 2022-10-14 | 厦门靠谱云股份有限公司 | 一种提供分布式拒绝攻击的防护方法 |
| CN113285919A (zh) * | 2021-04-14 | 2021-08-20 | 上海瀚银信息技术有限公司 | 一种网站自动防护方法及系统 |
| CN113992358B (zh) * | 2021-09-29 | 2023-07-07 | 杭州迪普科技股份有限公司 | 网络安全策略的分配方法及装置 |
| CN114928452B (zh) * | 2022-05-17 | 2024-02-13 | 壹沓科技(上海)有限公司 | 访问请求验证方法、装置、存储介质及服务器 |
| CN115048648A (zh) * | 2022-05-26 | 2022-09-13 | 深信服科技股份有限公司 | 一种信息检测方法、装置、设备和存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259425A (zh) * | 2016-12-28 | 2018-07-06 | 阿里巴巴集团控股有限公司 | 攻击请求的确定方法、装置及服务器 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631026A (zh) * | 2008-07-18 | 2010-01-20 | 北京启明星辰信息技术股份有限公司 | 一种防御拒绝服务攻击的方法及装置 |
| CN101789947B (zh) * | 2010-02-21 | 2012-10-03 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| CN102891829A (zh) * | 2011-07-18 | 2013-01-23 | 航天信息股份有限公司 | 检测与防御分布式拒绝服务攻击的方法及系统 |
| CN104009983B (zh) * | 2014-05-14 | 2017-03-29 | 杭州安恒信息技术有限公司 | 一种cc攻击的检测方法及其检测系统 |
| CN104378357A (zh) * | 2014-10-23 | 2015-02-25 | 河北省电力建设调整试验所 | 一种HTTP Get Flood攻击的防护方法 |
| US10560466B2 (en) * | 2015-01-13 | 2020-02-11 | Level 3 Communications, Llc | Vertical threat analytics for DDoS attacks |
| CN104917779B (zh) * | 2015-06-26 | 2018-11-09 | 北京奇安信科技有限公司 | 一种基于云的cc攻击的防护方法、装置及系统 |
| CN105610851B (zh) * | 2016-01-14 | 2018-11-09 | 北京乐动卓越科技有限公司 | 防御分布式拒绝服务攻击的方法及系统 |
| CN107819727B (zh) * | 2016-09-13 | 2020-11-17 | 腾讯科技(深圳)有限公司 | 一种基于ip地址安全信誉度的网络安全防护方法及系统 |
| CN107800723A (zh) * | 2017-12-06 | 2018-03-13 | 中盈优创资讯科技有限公司 | Cc攻击防护方法及设备 |
| CN107800726A (zh) * | 2017-12-12 | 2018-03-13 | 蔡昌菊 | 一种攻击的防御方法 |
-
2018
- 2018-08-22 CN CN201810960164.7A patent/CN110858831B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259425A (zh) * | 2016-12-28 | 2018-07-06 | 阿里巴巴集团控股有限公司 | 攻击请求的确定方法、装置及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110858831A (zh) | 2020-03-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110858831B (zh) | 安全防护方法、装置以及安全防护设备 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN107465648B (zh) | 异常设备的识别方法及装置 | |
| CN112019574B (zh) | 异常网络数据检测方法、装置、计算机设备和存储介质 | |
| AU2004289001B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN101009607B (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
| EP2634989A1 (en) | Mobile terminal to detect network attack and method thereof | |
| CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
| EP2471292B1 (en) | Method and arrangement for detecting fraud in telecommunication networks. | |
| CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
| CN114826946B (zh) | 未授权访问接口的检测方法、装置、设备及存储介质 | |
| CN106685899B (zh) | 用于识别恶意访问的方法和设备 | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| US20250016164A1 (en) | Access request capturing method and apparatus, and computer device and storage medium | |
| CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
| CN113518064B (zh) | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| KR101268104B1 (ko) | 침입방지시스템 및 그 제어방법 | |
| CN114039763A (zh) | 一种分布式拒绝服务攻击的防御方法、装置及服务器 | |
| CN103916365B (zh) | 导出和验证恶意代码的网络行为特征的方法和装置 | |
| HK40024926A (zh) | 安全防护方法、装置以及安全防护设备 | |
| CN110493240B (zh) | 网站篡改的检测方法及装置、存储介质、电子装置 | |
| CN115664771B (zh) | 一种参与灵活资源聚合调控智能终端安全监测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40024926 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |