CN105323206A - Ip防御方法 - Google Patents
Ip防御方法 Download PDFInfo
- Publication number
- CN105323206A CN105323206A CN201410243885.8A CN201410243885A CN105323206A CN 105323206 A CN105323206 A CN 105323206A CN 201410243885 A CN201410243885 A CN 201410243885A CN 105323206 A CN105323206 A CN 105323206A
- Authority
- CN
- China
- Prior art keywords
- blacklist
- data
- service
- analysis
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 230000007123 defense Effects 0.000 title abstract description 3
- 238000004458 analytical method Methods 0.000 claims abstract description 27
- 230000008569 process Effects 0.000 claims abstract description 15
- 238000007405 data analysis Methods 0.000 claims abstract description 14
- 230000007246 mechanism Effects 0.000 claims abstract description 8
- 230000036651 mood Effects 0.000 claims description 6
- XLOMVQKBTHCTTD-UHFFFAOYSA-N Zinc monoxide Chemical group [Zn]=O XLOMVQKBTHCTTD-UHFFFAOYSA-N 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 3
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 238000003672 processing method Methods 0.000 abstract description 3
- 230000035943 smell Effects 0.000 description 3
- 241001062472 Stokellia anisodon Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 208000012639 Balance disease Diseases 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种Ip防御方法,其特点是:对无侵入式的访问数据进行收集,以分钟力度对数据进行分析,建立黑名单和白名单机制,根据http协议单独设置规则,通过独立的服务获取黑名单数据分析并拒绝服务。这样,能够在http请求进入提供服务的网站服务器被网卡嗅探服务捕获到数据,待积攒到一定数量的数据之后,发送给分析队列。同时,分析服务从队列中取出数据处理得到黑名单。这样,下次该ip再次请求网站时,通过.net的HttpModule中获取到黑名单列表,判断后,拒绝访问。更为重要的是,采用与传统防火墙所不同的处理方法,可以从最大程度上避免性能损耗,减少繁琐的规则设置。
Description
技术领域
本发明涉及一种网络防御方法,尤其涉及一种Ip防御方法。
背景技术
就现有的网络技术来看,暴露在公网上的域名和接口地址,容易受到恶意的访问攻击或者竞争对手爬虫抓取的行为。不仅对网站服务和接口服务带来了不好的体验,还给网站带来了不稳定性风险。针对上述的问题,常见的防火墙采用过滤拦截的方式,其手段单一,且维护复杂,对访问速度等性能也有一定的影响,无法满足大数据量的处理。
发明内容
本发明的目的就是为了解决现有技术中存在的上述问题,提供一种Ip防御方法。
本发明的目的通过以下技术方案来实现:
Ip防御方法,其中:对无侵入式的访问数据进行收集,以分钟力度对数据进行分析,建立黑名单和白名单机制,根据http协议单独设置规则,通过独立的服务获取黑名单数据分析并拒绝服务。
上述的Ip防御方法,其中:所述对无侵入式的访问数据进行收集过程为,部署独立于网站服务和接口的嗅探服务,嗅探服务从服务器网卡中获取到tcp/ip数据,从tcp/ip数据中分析出http请求的信息,保存到本地缓存,所述的嗅探服务设有独立的心跳进程,每分钟把缓存数据push到远程的统一的分析队列中。
进一步地,上述的Ip防御方法,其中:所述以分钟力度对数据进行分析的过程为,对收集的数据通过嗅探器按照分钟为力度推送到分析队列中,从队列中按照每分钟取出所有当前分钟的数据进行分析,采用预设的规则进行分析匹配,符合黑名单条件的加入的黑名单中。
更进一步地,上述的Ip防御方法,其中:所述的预设规则为,每分钟单个ip访问单一页面超过500次即加入黑名单,和/或是,在用户注册页面,针对http协议分析出host和path,设置单个ip固定访问该host与path的路径的访问次数为每分钟超过50次即加入黑名单。
更进一步地,上述的Ip防御方法,其中:所述的建立黑名单和白名单机制为,将黑名单分为永久黑名单和临时黑名单,永久黑名单为确定是恶意ip,永久拒绝提供服务,临时黑名单分析得到的恶意ip,临时加入黑名单拒绝在设定时间内提供服务,所述的设定时间为20分钟,20分钟后自动解除,所述的白名单为永久白名单,其内容为认定安全可靠来源的ip,跳过该算法分析抓取,直接提供服务。
更进一步地,上述的Ip防御方法,其中:所述的根据http协议单独设置规则为,从嗅探服务获取的分http请求的信息中得到到host和path,根据请求访问特定的host和pash制定特定规则,所述的特定规则为不同host的规则或是相同host不同path的规则。
再进一步地,上述的Ip防御方法,其中:所述的拒绝服务过程为,通过net类型网站接口服务,接入统一的httpmodule组件,所述的httpmodule组件包含独立心跳线程,每分钟检测一次黑名单,httpmodule组件发现黑名单数据变化,取出数据缓存到本地,当有请求通过httpmodule组件时,对比黑名单数据是否匹配,发现ip存在于黑名单,立刻返回相应拒绝提供服务。
本发明技术方案的优点主要体现在:在http请求进入提供服务的网站服务器被网卡嗅探服务捕获到数据。待积攒到一定数量的数据之后,发送给分析队列。同时,分析服务从队列中取出数据,按照预设分析逻辑和算法找到符合加入黑名单的请求ip加入到黑名单。这样,下次该ip再次请求网站时,通过.net的HttpModule中获取到黑名单列表,判断后,拒绝访问,达到防御的目的。更为重要的是,采用与传统防火墙所不同的处理方法,可以从最大程度上避免性能损耗,减少繁琐的规则设置。
具体实施方式
Ip防御方法,其特征在于:对无侵入式的访问数据进行收集。同时,以分钟力度对数据进行分析,建立黑名单和白名单机制。并且,根据http协议单独设置规则。最终,通过独立的服务获取黑名单数据分析并拒绝服务。
就本发明一较佳的实施方式来看,考虑到为后续建立黑名单和白名单机制提供准确的数据依据,对无侵入式的访问数据进行收集过程为,部署独立于网站服务和接口的嗅探服务,嗅探服务从服务器网卡中获取到tcp/ip数据。之后,从tcp/ip数据中分析出http请求的信息,保存到本地缓存。为了进行较为精确的监测,采用的嗅探服务设有独立的心跳进程,每分钟把缓存数据push到远程的统一的分析队列中。这样,真正实现了全过程独立部署,独立分析,不和网站接口服务产生任何交互和影响。
进一步来看,为了提高嗅探服务中的数据分析效果,按照设定的时间进行分析,在以分钟力度对数据进行分析期间,对收集的数据通过嗅探器按照分钟为力度推送到分析队列中。之后,从队列中按照每分钟取出所有当前分钟的数据进行分析,采用预设的规则进行分析匹配,符合黑名单条件的加入的黑名单中。
同时,考虑到提高黑名单捕捉的容错率同时又能减少误判断,拥有较佳的判断范畴,采用的预设规则为,每分钟单个ip访问单一页面超过500次即加入黑名单。并且,结合常见的恶意注册攻击行为来看,可以在在用户注册页面,针对http协议分析出host和path。在此期间,设置单个ip固定访问该host与path的路径的访问次数,可以预设为每分钟超过50次即加入黑名单。
具体来说,本发明所采用的黑名单和白名单机制为:将黑名单分为永久黑名单和临时黑名单。其中,永久黑名单为确定是恶意ip,永久拒绝提供服务。临时黑名单分析得到的恶意ip,临时加入黑名单拒绝在设定时间内提供服务。考虑到常见的数据交互时间,采用设定时间以20分钟为佳,20分钟后自动解除。与之对应的是,采用的白名单可以为永久白名单,其内容为认定安全可靠来源的ip,跳过该算法分析抓取,直接提供服务。
再进一步来看,为了提升单独设置规则的处理效率,根据http协议单独设置规则为:从嗅探服务获取的分http请求的信息中得到到host和path,根据请求访问特定的host和pash制定特定规则。同时,特定规则为不同host的规则或是相同host不同path的规则。同时,考虑到Ip防御过程中能够有效拒绝为黑名单提供各种服务,采用的拒绝服务过程为,通过net类型网站接口服务,接入统一的httpmodule组件。并且,httpmodule组件包含独立心跳线程,每分钟检测一次黑名单。这样,能够让httpmodule组件发现黑名单数据变化,取出数据缓存到本地。当有请求通过httpmodule组件时,对比黑名单数据是否匹配,发现ip存在于黑名单,立刻返回相应拒绝提供服务。
通过上述的文字表述可以看出,采用本发明后,在http请求进入提供服务的网站服务器被网卡嗅探服务捕获到数据。待积攒到一定数量的数据之后,发送给分析队列。同时,分析服务从队列中取出数据,按照预设分析逻辑和算法找到符合加入黑名单的请求ip加入到黑名单。这样,下次该ip再次请求网站时,通过.net的HttpModule中获取到黑名单列表,判断后,拒绝访问,达到防御的目的。更为重要的是,采用与传统防火墙所不同的处理方法,可以从最大程度上避免性能损耗,减少繁琐的规则设置。
这些实施例仅是应用本发明技术方案的典型范例,凡采取等同替换或者等效变换而形成的技术方案,均落在本发明要求保护的范围之内。
Claims (7)
1.Ip防御方法,其特征在于:对无侵入式的访问数据进行收集,以分钟力度对数据进行分析,建立黑名单和白名单机制,根据http协议单独设置规则,通过独立的服务获取黑名单数据分析并拒绝服务。
2.根据权利要求1所述的Ip防御方法,其特征在于:所述对无侵入式的访问数据进行收集过程为,部署独立于网站服务和接口的嗅探服务,嗅探服务从服务器网卡中获取到tcp/ip数据,从tcp/ip数据中分析出http请求的信息,保存到本地缓存,所述的嗅探服务设有独立的心跳进程,每分钟把缓存数据push到远程的统一的分析队列中。
3.根据权利要求1所述的Ip防御方法,其特征在于:所述以分钟力度对数据进行分析的过程为,对收集的数据通过嗅探器按照分钟为力度推送到分析队列中,从队列中按照每分钟取出所有当前分钟的数据进行分析,采用预设的规则进行分析匹配,符合黑名单条件的加入的黑名单中。
4.根据权利要求1所述的Ip防御方法,其特征在于:所述的预设规则为,每分钟单个ip访问单一页面超过500次即加入黑名单,和/或是,在用户注册页面,针对http协议分析出host和path,设置单个ip固定访问该host与path的路径的访问次数为每分钟超过50次即加入黑名单。
5.根据权利要求1所述的Ip防御方法,其特征在于:所述的建立黑名单和白名单机制为,将黑名单分为永久黑名单和临时黑名单,永久黑名单为确定是恶意ip,永久拒绝提供服务,临时黑名单分析得到的恶意ip,临时加入黑名单拒绝在设定时间内提供服务,所述的设定时间为20分钟,20分钟后自动解除,所述的白名单为永久白名单,其内容为认定安全可靠来源的ip,跳过该算法分析抓取,直接提供服务。
6.根据权利要求1所述的Ip防御方法,其特征在于:所述的根据http协议单独设置规则为,从嗅探服务获取的分http请求的信息中得到到host和path,根据请求访问特定的host和pash制定特定规则,所述的特定规则为不同host的规则或是相同host不同path的规则。
7.根据权利要求1所述的Ip防御方法,其特征在于:所述的拒绝服务过程为,通过net类型网站接口服务,接入统一的httpmodule组件,所述的httpmodule组件包含独立心跳线程,每分钟检测一次黑名单,httpmodule组件发现黑名单数据变化,取出数据缓存到本地,当有请求通过httpmodule组件时,对比黑名单数据是否匹配,发现ip存在于黑名单,立刻返回相应拒绝提供服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410243885.8A CN105323206B (zh) | 2014-06-04 | 2014-06-04 | Ip防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410243885.8A CN105323206B (zh) | 2014-06-04 | 2014-06-04 | Ip防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105323206A true CN105323206A (zh) | 2016-02-10 |
CN105323206B CN105323206B (zh) | 2019-03-08 |
Family
ID=55249811
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410243885.8A Active CN105323206B (zh) | 2014-06-04 | 2014-06-04 | Ip防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105323206B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790105A (zh) * | 2016-12-26 | 2017-05-31 | 携程旅游网络技术(上海)有限公司 | 基于业务数据的爬虫识别拦截方法及*** |
CN108198402A (zh) * | 2018-02-23 | 2018-06-22 | 深圳康奥兴业科技有限公司 | 区域智能无人机侦测*** |
CN111865915A (zh) * | 2020-06-15 | 2020-10-30 | 新浪网技术(中国)有限公司 | 一种用于访问服务器的ip控制方法及*** |
CN115208601A (zh) * | 2021-09-18 | 2022-10-18 | 上海漫道科技有限公司 | 一种主动防御恶意扫描的方法及*** |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101958838A (zh) * | 2010-10-14 | 2011-01-26 | 联动优势科技有限公司 | 数据访问方法及装置 |
CN103475637A (zh) * | 2013-04-24 | 2013-12-25 | 携程计算机技术(上海)有限公司 | 基于ip访问行为的网络访问控制方法及*** |
US20140033310A1 (en) * | 2012-07-30 | 2014-01-30 | Newegg Inc. | System and Method of Active Remediation and Passive Protection Against Cyber Attacks |
-
2014
- 2014-06-04 CN CN201410243885.8A patent/CN105323206B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101958838A (zh) * | 2010-10-14 | 2011-01-26 | 联动优势科技有限公司 | 数据访问方法及装置 |
US20140033310A1 (en) * | 2012-07-30 | 2014-01-30 | Newegg Inc. | System and Method of Active Remediation and Passive Protection Against Cyber Attacks |
CN103475637A (zh) * | 2013-04-24 | 2013-12-25 | 携程计算机技术(上海)有限公司 | 基于ip访问行为的网络访问控制方法及*** |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790105A (zh) * | 2016-12-26 | 2017-05-31 | 携程旅游网络技术(上海)有限公司 | 基于业务数据的爬虫识别拦截方法及*** |
CN106790105B (zh) * | 2016-12-26 | 2020-08-21 | 携程旅游网络技术(上海)有限公司 | 基于业务数据的爬虫识别拦截方法及*** |
CN108198402A (zh) * | 2018-02-23 | 2018-06-22 | 深圳康奥兴业科技有限公司 | 区域智能无人机侦测*** |
CN108198402B (zh) * | 2018-02-23 | 2021-05-04 | 深圳康奥兴业科技有限公司 | 区域智能无人机侦测*** |
CN111865915A (zh) * | 2020-06-15 | 2020-10-30 | 新浪网技术(中国)有限公司 | 一种用于访问服务器的ip控制方法及*** |
CN115208601A (zh) * | 2021-09-18 | 2022-10-18 | 上海漫道科技有限公司 | 一种主动防御恶意扫描的方法及*** |
CN115208601B (zh) * | 2021-09-18 | 2024-02-06 | 上海漫道科技有限公司 | 一种主动防御恶意扫描的方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN105323206B (zh) | 2019-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8180892B2 (en) | Apparatus and method for multi-user NAT session identification and tracking | |
CN104065644B (zh) | 基于日志分析的cc攻击识别方法和设备 | |
CN101924757B (zh) | 追溯僵尸网络的方法和*** | |
Gugelmann et al. | An automated approach for complementing ad blockers’ blacklists | |
CN104113519B (zh) | 网络攻击检测方法及其装置 | |
CN105681250B (zh) | 一种僵尸网络分布式实时检测方法和*** | |
CN103152357B (zh) | 一种针对dns服务的防御方法、装置和*** | |
CN106953832B (zh) | 处理网游可疑账号的方法及*** | |
US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
CN105939231B (zh) | 共享接入检测方法和共享接入检测装置 | |
CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及*** | |
CN105323206A (zh) | Ip防御方法 | |
CN104391979A (zh) | 网络恶意爬虫识别方法及装置 | |
CN101854275A (zh) | 一种通过分析网络行为检测木马程序的方法及装置 | |
TW202034197A (zh) | 資料處理方法、設備、存取控制系統及儲存媒體 | |
CN112769838B (zh) | 访问用户过滤方法、装置、设备和存储介质 | |
CN106789486B (zh) | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 | |
CN107426132B (zh) | 网络攻击的检测方法和装置 | |
CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
KR101329040B1 (ko) | 에스엔에스 트랩 수집 시스템 및 그에 의한 유알엘 수집 방법 | |
KR101045330B1 (ko) | 네트워크 기반의 http 봇넷 탐지 방법 | |
CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证***及方法 | |
KR101398740B1 (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
KR101428721B1 (ko) | 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템 | |
CN110071936B (zh) | 一种识别代理ip的***及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |