CN105323206A - Ip防御方法 - Google Patents

Ip防御方法 Download PDF

Info

Publication number
CN105323206A
CN105323206A CN201410243885.8A CN201410243885A CN105323206A CN 105323206 A CN105323206 A CN 105323206A CN 201410243885 A CN201410243885 A CN 201410243885A CN 105323206 A CN105323206 A CN 105323206A
Authority
CN
China
Prior art keywords
blacklist
data
service
analysis
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410243885.8A
Other languages
English (en)
Other versions
CN105323206B (zh
Inventor
王专
吴志祥
吴剑
张海龙
马和平
郭凤林
沈健
王纪虎
靳彩娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tongcheng Network Technology Co Ltd
Original Assignee
Tongcheng Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tongcheng Network Technology Co Ltd filed Critical Tongcheng Network Technology Co Ltd
Priority to CN201410243885.8A priority Critical patent/CN105323206B/zh
Publication of CN105323206A publication Critical patent/CN105323206A/zh
Application granted granted Critical
Publication of CN105323206B publication Critical patent/CN105323206B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种Ip防御方法,其特点是:对无侵入式的访问数据进行收集,以分钟力度对数据进行分析,建立黑名单和白名单机制,根据http协议单独设置规则,通过独立的服务获取黑名单数据分析并拒绝服务。这样,能够在http请求进入提供服务的网站服务器被网卡嗅探服务捕获到数据,待积攒到一定数量的数据之后,发送给分析队列。同时,分析服务从队列中取出数据处理得到黑名单。这样,下次该ip再次请求网站时,通过.net的HttpModule中获取到黑名单列表,判断后,拒绝访问。更为重要的是,采用与传统防火墙所不同的处理方法,可以从最大程度上避免性能损耗,减少繁琐的规则设置。

Description

Ip防御方法
技术领域
本发明涉及一种网络防御方法,尤其涉及一种Ip防御方法。
背景技术
就现有的网络技术来看,暴露在公网上的域名和接口地址,容易受到恶意的访问攻击或者竞争对手爬虫抓取的行为。不仅对网站服务和接口服务带来了不好的体验,还给网站带来了不稳定性风险。针对上述的问题,常见的防火墙采用过滤拦截的方式,其手段单一,且维护复杂,对访问速度等性能也有一定的影响,无法满足大数据量的处理。
发明内容
本发明的目的就是为了解决现有技术中存在的上述问题,提供一种Ip防御方法。
本发明的目的通过以下技术方案来实现:
Ip防御方法,其中:对无侵入式的访问数据进行收集,以分钟力度对数据进行分析,建立黑名单和白名单机制,根据http协议单独设置规则,通过独立的服务获取黑名单数据分析并拒绝服务。
上述的Ip防御方法,其中:所述对无侵入式的访问数据进行收集过程为,部署独立于网站服务和接口的嗅探服务,嗅探服务从服务器网卡中获取到tcp/ip数据,从tcp/ip数据中分析出http请求的信息,保存到本地缓存,所述的嗅探服务设有独立的心跳进程,每分钟把缓存数据push到远程的统一的分析队列中。
进一步地,上述的Ip防御方法,其中:所述以分钟力度对数据进行分析的过程为,对收集的数据通过嗅探器按照分钟为力度推送到分析队列中,从队列中按照每分钟取出所有当前分钟的数据进行分析,采用预设的规则进行分析匹配,符合黑名单条件的加入的黑名单中。
更进一步地,上述的Ip防御方法,其中:所述的预设规则为,每分钟单个ip访问单一页面超过500次即加入黑名单,和/或是,在用户注册页面,针对http协议分析出host和path,设置单个ip固定访问该host与path的路径的访问次数为每分钟超过50次即加入黑名单。
更进一步地,上述的Ip防御方法,其中:所述的建立黑名单和白名单机制为,将黑名单分为永久黑名单和临时黑名单,永久黑名单为确定是恶意ip,永久拒绝提供服务,临时黑名单分析得到的恶意ip,临时加入黑名单拒绝在设定时间内提供服务,所述的设定时间为20分钟,20分钟后自动解除,所述的白名单为永久白名单,其内容为认定安全可靠来源的ip,跳过该算法分析抓取,直接提供服务。
更进一步地,上述的Ip防御方法,其中:所述的根据http协议单独设置规则为,从嗅探服务获取的分http请求的信息中得到到host和path,根据请求访问特定的host和pash制定特定规则,所述的特定规则为不同host的规则或是相同host不同path的规则。
再进一步地,上述的Ip防御方法,其中:所述的拒绝服务过程为,通过net类型网站接口服务,接入统一的httpmodule组件,所述的httpmodule组件包含独立心跳线程,每分钟检测一次黑名单,httpmodule组件发现黑名单数据变化,取出数据缓存到本地,当有请求通过httpmodule组件时,对比黑名单数据是否匹配,发现ip存在于黑名单,立刻返回相应拒绝提供服务。
本发明技术方案的优点主要体现在:在http请求进入提供服务的网站服务器被网卡嗅探服务捕获到数据。待积攒到一定数量的数据之后,发送给分析队列。同时,分析服务从队列中取出数据,按照预设分析逻辑和算法找到符合加入黑名单的请求ip加入到黑名单。这样,下次该ip再次请求网站时,通过.net的HttpModule中获取到黑名单列表,判断后,拒绝访问,达到防御的目的。更为重要的是,采用与传统防火墙所不同的处理方法,可以从最大程度上避免性能损耗,减少繁琐的规则设置。
具体实施方式
Ip防御方法,其特征在于:对无侵入式的访问数据进行收集。同时,以分钟力度对数据进行分析,建立黑名单和白名单机制。并且,根据http协议单独设置规则。最终,通过独立的服务获取黑名单数据分析并拒绝服务。
就本发明一较佳的实施方式来看,考虑到为后续建立黑名单和白名单机制提供准确的数据依据,对无侵入式的访问数据进行收集过程为,部署独立于网站服务和接口的嗅探服务,嗅探服务从服务器网卡中获取到tcp/ip数据。之后,从tcp/ip数据中分析出http请求的信息,保存到本地缓存。为了进行较为精确的监测,采用的嗅探服务设有独立的心跳进程,每分钟把缓存数据push到远程的统一的分析队列中。这样,真正实现了全过程独立部署,独立分析,不和网站接口服务产生任何交互和影响。
进一步来看,为了提高嗅探服务中的数据分析效果,按照设定的时间进行分析,在以分钟力度对数据进行分析期间,对收集的数据通过嗅探器按照分钟为力度推送到分析队列中。之后,从队列中按照每分钟取出所有当前分钟的数据进行分析,采用预设的规则进行分析匹配,符合黑名单条件的加入的黑名单中。
同时,考虑到提高黑名单捕捉的容错率同时又能减少误判断,拥有较佳的判断范畴,采用的预设规则为,每分钟单个ip访问单一页面超过500次即加入黑名单。并且,结合常见的恶意注册攻击行为来看,可以在在用户注册页面,针对http协议分析出host和path。在此期间,设置单个ip固定访问该host与path的路径的访问次数,可以预设为每分钟超过50次即加入黑名单。
具体来说,本发明所采用的黑名单和白名单机制为:将黑名单分为永久黑名单和临时黑名单。其中,永久黑名单为确定是恶意ip,永久拒绝提供服务。临时黑名单分析得到的恶意ip,临时加入黑名单拒绝在设定时间内提供服务。考虑到常见的数据交互时间,采用设定时间以20分钟为佳,20分钟后自动解除。与之对应的是,采用的白名单可以为永久白名单,其内容为认定安全可靠来源的ip,跳过该算法分析抓取,直接提供服务。
再进一步来看,为了提升单独设置规则的处理效率,根据http协议单独设置规则为:从嗅探服务获取的分http请求的信息中得到到host和path,根据请求访问特定的host和pash制定特定规则。同时,特定规则为不同host的规则或是相同host不同path的规则。同时,考虑到Ip防御过程中能够有效拒绝为黑名单提供各种服务,采用的拒绝服务过程为,通过net类型网站接口服务,接入统一的httpmodule组件。并且,httpmodule组件包含独立心跳线程,每分钟检测一次黑名单。这样,能够让httpmodule组件发现黑名单数据变化,取出数据缓存到本地。当有请求通过httpmodule组件时,对比黑名单数据是否匹配,发现ip存在于黑名单,立刻返回相应拒绝提供服务。
通过上述的文字表述可以看出,采用本发明后,在http请求进入提供服务的网站服务器被网卡嗅探服务捕获到数据。待积攒到一定数量的数据之后,发送给分析队列。同时,分析服务从队列中取出数据,按照预设分析逻辑和算法找到符合加入黑名单的请求ip加入到黑名单。这样,下次该ip再次请求网站时,通过.net的HttpModule中获取到黑名单列表,判断后,拒绝访问,达到防御的目的。更为重要的是,采用与传统防火墙所不同的处理方法,可以从最大程度上避免性能损耗,减少繁琐的规则设置。
这些实施例仅是应用本发明技术方案的典型范例,凡采取等同替换或者等效变换而形成的技术方案,均落在本发明要求保护的范围之内。

Claims (7)

1.Ip防御方法,其特征在于:对无侵入式的访问数据进行收集,以分钟力度对数据进行分析,建立黑名单和白名单机制,根据http协议单独设置规则,通过独立的服务获取黑名单数据分析并拒绝服务。
2.根据权利要求1所述的Ip防御方法,其特征在于:所述对无侵入式的访问数据进行收集过程为,部署独立于网站服务和接口的嗅探服务,嗅探服务从服务器网卡中获取到tcp/ip数据,从tcp/ip数据中分析出http请求的信息,保存到本地缓存,所述的嗅探服务设有独立的心跳进程,每分钟把缓存数据push到远程的统一的分析队列中。
3.根据权利要求1所述的Ip防御方法,其特征在于:所述以分钟力度对数据进行分析的过程为,对收集的数据通过嗅探器按照分钟为力度推送到分析队列中,从队列中按照每分钟取出所有当前分钟的数据进行分析,采用预设的规则进行分析匹配,符合黑名单条件的加入的黑名单中。
4.根据权利要求1所述的Ip防御方法,其特征在于:所述的预设规则为,每分钟单个ip访问单一页面超过500次即加入黑名单,和/或是,在用户注册页面,针对http协议分析出host和path,设置单个ip固定访问该host与path的路径的访问次数为每分钟超过50次即加入黑名单。
5.根据权利要求1所述的Ip防御方法,其特征在于:所述的建立黑名单和白名单机制为,将黑名单分为永久黑名单和临时黑名单,永久黑名单为确定是恶意ip,永久拒绝提供服务,临时黑名单分析得到的恶意ip,临时加入黑名单拒绝在设定时间内提供服务,所述的设定时间为20分钟,20分钟后自动解除,所述的白名单为永久白名单,其内容为认定安全可靠来源的ip,跳过该算法分析抓取,直接提供服务。
6.根据权利要求1所述的Ip防御方法,其特征在于:所述的根据http协议单独设置规则为,从嗅探服务获取的分http请求的信息中得到到host和path,根据请求访问特定的host和pash制定特定规则,所述的特定规则为不同host的规则或是相同host不同path的规则。
7.根据权利要求1所述的Ip防御方法,其特征在于:所述的拒绝服务过程为,通过net类型网站接口服务,接入统一的httpmodule组件,所述的httpmodule组件包含独立心跳线程,每分钟检测一次黑名单,httpmodule组件发现黑名单数据变化,取出数据缓存到本地,当有请求通过httpmodule组件时,对比黑名单数据是否匹配,发现ip存在于黑名单,立刻返回相应拒绝提供服务。
CN201410243885.8A 2014-06-04 2014-06-04 Ip防御方法 Active CN105323206B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410243885.8A CN105323206B (zh) 2014-06-04 2014-06-04 Ip防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410243885.8A CN105323206B (zh) 2014-06-04 2014-06-04 Ip防御方法

Publications (2)

Publication Number Publication Date
CN105323206A true CN105323206A (zh) 2016-02-10
CN105323206B CN105323206B (zh) 2019-03-08

Family

ID=55249811

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410243885.8A Active CN105323206B (zh) 2014-06-04 2014-06-04 Ip防御方法

Country Status (1)

Country Link
CN (1) CN105323206B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790105A (zh) * 2016-12-26 2017-05-31 携程旅游网络技术(上海)有限公司 基于业务数据的爬虫识别拦截方法及***
CN108198402A (zh) * 2018-02-23 2018-06-22 深圳康奥兴业科技有限公司 区域智能无人机侦测***
CN111865915A (zh) * 2020-06-15 2020-10-30 新浪网技术(中国)有限公司 一种用于访问服务器的ip控制方法及***
CN115208601A (zh) * 2021-09-18 2022-10-18 上海漫道科技有限公司 一种主动防御恶意扫描的方法及***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101958838A (zh) * 2010-10-14 2011-01-26 联动优势科技有限公司 数据访问方法及装置
CN103475637A (zh) * 2013-04-24 2013-12-25 携程计算机技术(上海)有限公司 基于ip访问行为的网络访问控制方法及***
US20140033310A1 (en) * 2012-07-30 2014-01-30 Newegg Inc. System and Method of Active Remediation and Passive Protection Against Cyber Attacks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101958838A (zh) * 2010-10-14 2011-01-26 联动优势科技有限公司 数据访问方法及装置
US20140033310A1 (en) * 2012-07-30 2014-01-30 Newegg Inc. System and Method of Active Remediation and Passive Protection Against Cyber Attacks
CN103475637A (zh) * 2013-04-24 2013-12-25 携程计算机技术(上海)有限公司 基于ip访问行为的网络访问控制方法及***

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790105A (zh) * 2016-12-26 2017-05-31 携程旅游网络技术(上海)有限公司 基于业务数据的爬虫识别拦截方法及***
CN106790105B (zh) * 2016-12-26 2020-08-21 携程旅游网络技术(上海)有限公司 基于业务数据的爬虫识别拦截方法及***
CN108198402A (zh) * 2018-02-23 2018-06-22 深圳康奥兴业科技有限公司 区域智能无人机侦测***
CN108198402B (zh) * 2018-02-23 2021-05-04 深圳康奥兴业科技有限公司 区域智能无人机侦测***
CN111865915A (zh) * 2020-06-15 2020-10-30 新浪网技术(中国)有限公司 一种用于访问服务器的ip控制方法及***
CN115208601A (zh) * 2021-09-18 2022-10-18 上海漫道科技有限公司 一种主动防御恶意扫描的方法及***
CN115208601B (zh) * 2021-09-18 2024-02-06 上海漫道科技有限公司 一种主动防御恶意扫描的方法及***

Also Published As

Publication number Publication date
CN105323206B (zh) 2019-03-08

Similar Documents

Publication Publication Date Title
US8180892B2 (en) Apparatus and method for multi-user NAT session identification and tracking
CN104065644B (zh) 基于日志分析的cc攻击识别方法和设备
CN101924757B (zh) 追溯僵尸网络的方法和***
Gugelmann et al. An automated approach for complementing ad blockers’ blacklists
CN104113519B (zh) 网络攻击检测方法及其装置
CN105681250B (zh) 一种僵尸网络分布式实时检测方法和***
CN103152357B (zh) 一种针对dns服务的防御方法、装置和***
CN106953832B (zh) 处理网游可疑账号的方法及***
US20140047543A1 (en) Apparatus and method for detecting http botnet based on densities of web transactions
CN105939231B (zh) 共享接入检测方法和共享接入检测装置
CN103297433B (zh) 基于网络数据流的http僵尸网络检测方法及***
CN105323206A (zh) Ip防御方法
CN104391979A (zh) 网络恶意爬虫识别方法及装置
CN101854275A (zh) 一种通过分析网络行为检测木马程序的方法及装置
TW202034197A (zh) 資料處理方法、設備、存取控制系統及儲存媒體
CN112769838B (zh) 访问用户过滤方法、装置、设备和存储介质
CN106789486B (zh) 共享接入的检测方法、装置、电子设备及计算机可读存储介质
CN107426132B (zh) 网络攻击的检测方法和装置
CN107800686A (zh) 一种钓鱼网站识别方法和装置
KR101329040B1 (ko) 에스엔에스 트랩 수집 시스템 및 그에 의한 유알엘 수집 방법
KR101045330B1 (ko) 네트워크 기반의 http 봇넷 탐지 방법
CN104486320A (zh) 基于蜜网技术的内网敏感信息泄露取证***及方法
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
KR101428721B1 (ko) 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템
CN110071936B (zh) 一种识别代理ip的***及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant