CN105656843B - 基于验证的应用层防护方法、装置及网络设备 - Google Patents
基于验证的应用层防护方法、装置及网络设备 Download PDFInfo
- Publication number
- CN105656843B CN105656843B CN201410632727.1A CN201410632727A CN105656843B CN 105656843 B CN105656843 B CN 105656843B CN 201410632727 A CN201410632727 A CN 201410632727A CN 105656843 B CN105656843 B CN 105656843B
- Authority
- CN
- China
- Prior art keywords
- network server
- verification
- protection mode
- verification protection
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种基于验证的应用层防护方法、装置及网络设备,确定与所述网络服务器相对应的目标验证防护方式,即针对网络服务器的不同性能状态可以采用不同的验证防护方式;在终端设备要访问网络服务器时,截获终端设备向网络服务器发送的访问请求,通过与网络服务器的性能相对应的目标验证防护方式对终端设备进行验证,只有验证通过的终端设备发送的访问请求才被转发至网络服务器,通过有差别的验证防护方式实现有区分的对终端设备进行防护,从而降低将正常客户端发送的请求过滤掉这一情况所发生的概率,提高防护效果。
Description
技术领域
本发明涉及网络技术领域,更具体地说,涉及一种基于验证的应用层防护方法、装置及网络设备。
背景技术
随着互联网上应用的复杂度不断增加和网络带宽的不断正常,服务器资源将成为网络中的主要瓶颈。由于应用层的计算量一般较重,因此,攻击者只需要使用少量的攻击请求就足以耗尽目标服务器的资源,导致服务器无法处理正常合法的请求,如拒绝服务攻击等。拒绝服务攻击有以下两种攻击方式:带宽耗尽型和主机资源耗尽型。带宽耗尽型的目标是通过大量合法的HTTP请求占用目标网络的带宽,使正常用户无法进行Web访问。主机资源耗尽型与带宽耗尽型不同,其目的是为了耗尽目标服务器的资源(例如:CPU、存储器、Socket等)。攻击者用少量的HTTP请求促使服务器返回大文件(例如图像、视频文件等),或促使服务器运行一些复杂的脚本程序(例如复杂的数据处理、密码计算与验证等)。这种方式不需要很高的攻击速率就可以迅速耗尽主机的资源,而且更具有隐蔽性。
目前,较常用的一种对网络攻击的防护方法为,通过带宽控制器限制带宽来对抗攻击,这种防护方式可以拦截那些超出服务器承受力的流量,以保证服务器的服务质量,但是这种防护方式限制了攻击的同时,对正常的网络流量也进行了拦截;还有一种针对网络攻击的异常检测模型,它通过基于阈值的技术来检测那些过于频繁的请求同一页面的客户端,将在单位时间内请求同一页面的次数超过预设阈值的客户端屏蔽掉。
然而,发明人在实现本发明的过程中发现,目前常用的对网络攻击进行防护的方法都过于简单,容易将正常客户端发送的请求也过滤掉,防护效果较差。
发明内容
本发明的目的是提供一种基于验证的应用层防护方法、装置及网络设备,以降低将正常客户端发送的请求过滤掉这一情况所发生的概率,提高防护效果。
为实现上述目的,本发明提供了如下技术方案:
一种基于验证的应用层防护方法,包括:
截获终端设备向网络服务器发送的访问请求;
依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证;其中,所述目标验证防护方式为多个验证防护方式中的一个;不同验证防护方式的防护效果不同;
将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。
本发明实施例还提供一种基于验证的应用层防护装置,包括:
截获模块,用于截获终端设备向网络服务器发送的访问请求;
验证模块,用于依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证;其中,所述目标验证防护方式为多个验证防护方式中的一个;不同验证防护方式的防护效果不同;
发送模块,用于将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。
本发明实施例还提供一种网络设备,所述网络设备包括如上所述的基于验证的应用层防护装置。
通过以上方案可知,本申请提供的一种基于验证的应用层防护方法、装置及网络设备,确定与所述网络服务器相对应的目标验证防护方式,即针对网络服务器的不同性能状态可以采用不同的验证防护方式;在终端设备要访问网络服务器时,截获终端设备向网络服务器发送的访问请求,通过与网络服务器的性能相对应的目标验证防护方式对终端设备进行验证,只有验证通过的终端设备发送的访问请求才被转发至网络服务器,通过有差别的验证防护方式实现有区分的对终端设备进行防护,从而降低将正常客户端发送的请求过滤掉这一情况所发生的概率,提高防护效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于验证的应用层防护方法的一种实现流程图;
图2为本发明实施例提供的与网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的一种实现流程图;
图3为本发明实施例提供的与网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的另一种实现流程图;
图4为本发明实施例提供的与网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的又一种实现流程图;
图5为本发明实施例提供的与网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的又一种实现流程图;
图6为本发明实施例提供的基于验证的应用层防护装置的一种结构示意图;
图7为本发明实施例提供的基于验证的应用层防护装置的另一种结构示意图;
图8为本发明实施例提供的基于验证的应用层防护装置的又一种结构示意图;
图9为本发明实施例提供的基于验证的应用层防护方法的又一种结构示意图;
图10为本发明实施例提供的第一统计模块的一种结构示意图;
图11为本发明实施例提供的第一统计模块的另一种结构示意图;
图12为本发明实施例提供的基于验证的应用层防护装置的又一种结构示意图;
图13为本发明实施例提供的基于验证的应用层防护装置的又一种结构示意图;
图14为本发明实施例提供的网络设备的一种硬件结构框图;
图15为本发明实施例提供的网络***的一种结构示意图。
说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的部分,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示的以外的顺序实施。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的基于验证的应用层防护方法及装置应用于网络设备。
请参阅图1,图1为本发明实施例提供的基于验证的应用层防护方法的一种实现流程图,可以包括:
步骤S11:截获终端设备向网络服务器发送的访问请求;
步骤S12:依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证;其中,所述目标验证防护方式为多个验证防护方式中的一个;不同验证防护方式的防护效果不同;
本发明实施例中,对于网络服务器,基于网络服务器的性能从多个验证防护方式中确定一个验证防护方式为目标验证防护方式。当有终端设备向该网络服务器发送访问请求时,通过该目标验证防护方式对请求访问该网络服务器的终端设备进行验证。
网络服务器的性能指标参数可以包括CPU占用率,带宽利用率,内存使用率等。
其中,初次确定与所述网络服务器的性能指标参数相对应的目标验证防护方式时,目标验证防护方式可以为所述多个验证防护方式中任意一个,具体是哪个可以预先确定;或者,也可以由用户触发选择。
可选的,所述多个验证防护方式可以至少包括如下三类验证防护方式:
A类:浏览器挑战跳转;如,常见的有200跳转或302跳转等。
B类:浏览器挑战跳转和验证码验证;其中,验证码又可以分为传统的图片验证码(如由用户输入图片中的字符等)和基于难题的验证码(如,为用户呈现一个计算式,由用户进行计算,将计算结果作为验证码等);由于基于难题的验证码的验证防护效果更优于传统的图片验证码;因此,还可以对B类进行进一步细分;如,可以分为:
B1类:浏览器挑战跳转和传统图片验证码验证;
B2类:浏览器挑战跳转和基于难题的验证码验证。
C类:浏览器挑战跳转、验证码验证和对访问请求进行限速。
其中,B类验证防护方式的防护效果优于A类验证防护方式的防护效果;C类验证防护方式的防护效果优于B类验证防护方式的防护效果。
当使用B类验证方式时,可以先对终端设备进行浏览器挑战跳转验证,对通过浏览器挑战跳转验证的终端设备再进行验证码验证;
当使用C类验证方式时,可以先对终端设备进行浏览器挑战跳转验证,对通过浏览器挑战跳转验证的终端设备再进行验证码验证;对通过验证码验证的终端设备再进行对终端设备进行限速的防护方式。
当通过A类验证方式进行验证时,可以区分终端设备所发送的访问请求是否是通过浏览器发送的;
当通过B类验证方式进行验证时,通过验证码验证可以区分终端设备所发送的访问请求是通过合法的浏览器发送的,还是通过非法的浏览器(如工具)发送的;
当通过C类验证方式进行验证时,通过对访问量最大的一个或多个终端设备进行限速,有区分的对终端设备进行限速,进一步降低将正常客户端发送的请求过滤掉这一情况所发生的概率,可以极大化的保护网络服务器,有效防护应用层的攻击。
为便于描述,可以为各个验证防护方式定义验证等级,例如,可以定义验证等级越高,防护效果越好。
步骤S13:将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。
只有验证通过的终端设备发送的访问请求才被转发给网络服务器,而验证未通过的终端设备发送的访问请求则不被转发给网络服务器。
其中,验证未通过的终端设备包括不对验证过程进行响应的终端设备。
本发明实施例提供的一种基于验证的应用层防护方法,确定与所述网络服务器相对应的目标验证防护方式,即针对网络服务器的不同性能状态可以采用不同的验证防护方式;在终端设备要访问网络服务器时,截获终端设备向网络服务器发送的访问请求,通过与网络服务器的性能相对应的目标验证防护方式对终端设备进行验证,只有验证通过的终端设备发送的访问请求才被转发至网络服务器,通过有差别的验证防护方式实现有区分的对终端设备进行防护,从而降低将正常客户端发送的请求过滤掉这一情况所发生的概率,提高防护效果。
上述实施例中,可选的,与所述网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的一种实现流程图如图2所示,可以包括:
步骤S21:在将第一验证防护方式作为目标验证防护方式对所述终端设备进行验证的过程中,采集所述网络服务器的性能指标参数;
对终端设备进行验证防护后,网络服务器的性能可能会发生变化。本发明实施例中,在对终端设备进行验证的过程中,还采集网络服务器的性能指标参数,以判断网络服务器的性能是否发生变化。
步骤S22:依据所述性能指标参数判断所述网络服务器的性能变化情况;
步骤S23:若所述网络服务器的性能指标参数指示所述网络服务器的性能未变化或性能变差,将所述目标验证防护方式由第一验证防护方式切换为第二验证防护方式;其中,第二验证防护方式的防护效果优于所述第一验证防护方式的防护效果。
其中,网络服务器的性能未变化可以包括:网络服务器的性能指标参数值未变化;或者,网络服务器的性能指标参数的变化不大,如网络服务器的性能指标参数的变化值小于一预设值。
本发明实施例中,若所述网络服务器的性能指标参数指示所述网络服务器的性能未变化或性能变差,说明第一验证防护的防护效果较差,因此可以提高验证防护等级,以提高防护效果。例如,如果目标验证防护方式为B类验证防护方式,则可以将目标验证防护方式切换为C类验证防护方式。
在图2所示实施例的基础上,本申请提供的与所述网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的另一种实现流程图如图3所示,还可以包括:
步骤S31:若所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求,将所述第一验证防护方式作为目标验证防护方式对所述终端设备进行验证。
如果通过目标验证防护方式对终端设备进行验证防护后,网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求,说明网络服务器的性能恢复正常,此时可以继续使用第一验证防护方式对访问网络服务器的终端设备进行验证。
在图3所示实施例的基础上,本申请提供的与所述网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的又一种实现流程图如图4所示,在将第一验证防护方式作为目标验证防护方式对所述终端设备进行验证的过程中,还可以包括:
步骤S41:统计网络服务器在预设统计维度下被访问的频率;
步骤S42:当所述网络服务器在预设统计维度下被访问的频率小于第一预设阈值,且所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求的持续时长达到预设时长时,将所述目标验证防护方式由第一验证防护方式切换为第三验证防护方式;其中,第一验证防护方式的防护效果优于所述第三验证防护方式的防护效果。
本发明实施例中,在通过第一验证防护方式对终端设备进行验证防护后,如果网络服务器在预设统计维度下被访问的频率小于第一预设阈值,说明网络服务器的被访问量下降到网络服务器的可承受范围内,如果此时述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求的持续时长达到预设时长,说明网络攻击消除,此时可以降低验证防护等级。如果第一验证防护方式已经为最低等级的验证防护方式,则可以取消验证防护过程,或者,继续使用第一验证防护方式对终端设备进行验证防护。
上述实施例中,可选的,也可以在接收到用户触发的验证防护方式调节指令时,依据所述验证防护方式调节指令对与所述网络服务器相对应的验证防护方式进行切换。
上述实施例中,可选的,与所述网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的又一种实现流程图如图5所示,可以包括:
步骤S51:统计网络服务器在预设统计维度下被访问的频率;
步骤S52:采集所述网络服务器的性能指标参数;
步骤S53:当所述网络服务器在预设统计维度下被访问的频率大于第二预设阈值,且所述网络服务器的性能指标参数指示所述网络服务器的性能不符合所述网络服务器的配置要求时,确定第一验证防护方式为目标验证防护方式;所述第一验证防护方式为所述多个验证防护方式中的一个。
也就是说,本发明实施例中,在检测到网络服务器受到网络攻击时,根据实际情况自动启动一种验证防护方式,以便可以即时防止网络服务器受到网络攻击。
本发明实施例可以应用于没有采取防护措施的场景下使用,即,在没有采取防护措施的场景下,如果检测到网络服务器受到网络攻击,可以通过本发明实施例提供的基于验证的应用层防护方法自动启动一种验证防护方式,以便可以即时防止网络服务器受到网络攻击。
在图4或图5所示实施例中,可选的,所述统计维度可以为服务器维度;
所述统计网络服务器在预设统计维度下的被访问频率可以包括:
统计所述网络服务器被访问的频率。
通常网络服务器中会设置多个通用网关接口(Common Gateway Interface,CGI),该通用网关接口可以对网络服务器中的资源进行定位。
本发明实施例中,不管终端设备对网络服务器的那个通用网关接口进行访问,都统计为对网络服务器的访问。
在图4或图5所示实施例中,可选的,所述统计维度可以为资源维度;
所述统计网络服务器在预设统计维度下的被访问频率可以包括:
统计所述网络服务器中各个资源被访问的频率。
本发明实施例中,对网络服务器分资源进行统计,即统计网络服务器中各个资源被访问的频率。其中,由于网络服务器中的资源是通过网关接口定位,因此,统计所述网络服务器中各个资源被访问的频率也就是统计所述网络服务器中各个通用网关接口被访问的频率。
上述实施例中,可选的,本申请提供的基于验证的应用层防护方法还可以包括:统计第一终端设备在所述预设统计维度下对所述网络服务器进行访问的访问频率;
所述对访问请求进行限速可以包括:
判断第一终端设备在所述统计维度下的访问频率满足预设条件;
当所述第一终端设备在所述统计维度下的访问频率满足预设条件时,对所述第一终端备设备的访问请求进行限速。
其中,所述第一终端设备在所述统计维度下的访问频率满足预设条件可以为:
所述第一终端设备在所述统计维度下的访问频率与所述第一终端设备在所述统计维度下的访问基准的差值大于第一预设阈值,则说明所述第一终端设备在所述统计维度下的访问频率满足预设条件。本发明实施例中,当第一终端设备在所述统计维度下的访问频率与所述第一终端设备在所述统计维度下的访问基准的差值大于第一预设阈值时,说明第一终端设备在所述统计维度下的访问频率突增,具体第一预设阈值是多少,可以根据网络服务器的安全需求以及经验确定。
例如,第一终端设备对网络服务器的日常的访问频率为1秒10次,如果第一终端设备对网络服务器的日常的访问频率突然变为1秒1000次,则说明第一终端设备对网络服务器的访问频率满足预设条件,此时可以丢掉第10个访问请求之后的990个请求,以对第一终端设备进行限速。
所述第一终端设备在所述统计维度下的访问频率满足预设条件也可以为:
网络服务器在预设统计维度下被访问的频率大于第三预设阈值,且所述第一终端设备在所述统计维度下的访问频率大于第四预设阈值时,说明所述第一终端设备在所述统计维度下的访问频率满足预设条件。
所述第一终端设备在所述统计维度下的访问频率满足预设条件也可以为:
所述第一终端设备为所有访问所述网络服务器的终端设备中,访问频率最高的一个或几个终端设备。
如果对所有访问所述网络服务器的终端设备的访问频率按照从高到低的顺序进行排序,那么,如果第一终端设备在所述统计维度下的访问频率排在前n位,那么,可以确定第一终端设备在所述统计维度下的访问频率满足预设条件。n为大于或等于1的正整数。
也就是说,本发明实施例只对访问网络服务器的频率最高的n个终端设备进行限速。
上述实施例中,可选的,本申请实施例提供的基于验证的应用层防护方法还可以包括:统计第一终端设备在所述预设统计维度下对所述网络服务器进行访问的访问频率;监测所述第一终端设备的访问行为序列是否异常;
所述对访问请求进行限速可以包括:
当所述第一终端设备在所述统计维度下的访问频率大于第二预设阈值,且所述第一终端设备的访问行为序列异常时,对所述第一终端设备的访问请求进行限速。
访问行为序列是指当终端设备需要对网络服务器进行访问时,需要按一定的顺序进行访问。例如,如果第一终端设备想要访问网络服务器的第一通用网关接口,必须要先访问网络服务器的第二通用网关接口才行;而如果第一终端设备不访问第二通用网关接口而直接访问第一通用网关接口,则说明第一终端设备的访问行为序列异常。
与方法实施例相对应,本申请还提供一种基于验证的应用层防护装置,本申请提供的基于验证的应用层防护装置的一种结构示意图如图6所示,可以包括:
截获模块61,验证模块62和发送模块63;其中,
截获模块61用于截获终端设备向网络服务器发送的访问请求;
验证模块62用于依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证;其中,所述目标验证防护方式为多个验证防护方式中的一个;不同验证防护方式的防护效果不同;
本发明实施例中,对于网络服务器,基于网络服务器的性能从多个验证防护方式中确定一个验证防护方式为目标验证防护方式。当有终端设备向该网络服务器发送访问请求时,通过该目标验证防护方式对请求访问该网络服务器的终端设备进行验证。
网络服务器的性能指标参数可以包括CPU占用率,带宽利用率,内存使用率等。
其中,初次确定与所述网络服务器的性能指标参数相对应的目标验证防护方式时,目标验证防护方式可以为所述多个验证防护方式中任意一个,具体是哪个可以预先确定;或者,也可以由用户触发选择。
可选的,所述多个验证防护方式可以至少包括如下三类验证防护方式:
A类:浏览器挑战跳转;如,常见的有200跳转或302跳转等。
B类:浏览器挑战跳转和验证码验证;其中,验证码又可以分为传统的图片验证码(如由用户输入图片中的字符等)和基于难题的验证码(如,为用户呈现一个计算式,由用户进行计算,将计算结果作为验证码等);由于基于难题的验证码的验证防护效果更优于传统的图片验证码;因此,还可以对B类进行进一步细分;如,可以分为:
B1类:浏览器挑战跳转和传统图片验证码验证;
B2类:浏览器挑战跳转和基于难题的验证码验证。
C类:浏览器挑战跳转、验证码验证和对访问请求进行限速。
其中,B类验证防护方式的防护效果优于A类验证防护方式的防护效果;C类验证防护方式的防护效果优于B类验证防护方式的防护效果。
当使用B类验证方式时,可以先对终端设备进行浏览器挑战跳转验证,对通过浏览器挑战跳转验证的终端设备再进行验证码验证;
当使用C类验证方式时,可以先对终端设备进行浏览器挑战跳转验证,对通过浏览器挑战跳转验证的终端设备再进行验证码验证;对通过验证码验证的终端设备再进行对终端设备进行限速的防护方式。
当通过A类验证方式进行验证时,可以区分终端设备所发送的访问请求是否是通过浏览器发送的;
当通过B类验证方式进行验证时,通过验证码验证可以区分终端设备所发送的访问请求是通过合法的浏览器发送的,还是通过非法的浏览器(如工具)发送的;
当通过C类验证方式进行验证时,通过对访问量最大的一个或多个终端设备进行限速,有区分的对终端设备进行限速,进一步降低将正常客户端发送的请求过滤掉这一情况所发生的概率,可以极大化的保护网络服务器,有效防护应用层的攻击。
为便于描述,可以为各个验证防护方式定义验证等级,例如,可以定义验证等级越高,防护效果越好。
发送模块63用于将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。
只有验证通过的终端设备发送的访问请求才被转发给网络服务器,而验证未通过的终端设备发送的访问请求则不被转发给网络服务器。
其中,验证未通过的终端设备包括不对验证过程进行响应的终端设备。
本发明实施例提供的一种基于验证的应用层防护装置,确定与所述网络服务器相对应的目标验证防护方式,即针对网络服务器的不同性能状态可以采用不同的验证防护方式;在终端设备要访问网络服务器时,截获终端设备向网络服务器发送的访问请求,通过与网络服务器的性能相对应的目标验证防护方式对终端设备进行验证,只有验证通过的终端设备发送的访问请求才被转发至网络服务器,通过有差别的验证防护方式实现有区分的对终端设备进行防护,从而降低将正常客户端发送的请求过滤掉这一情况所发生的概率,提高防护效果。
上述实施例,可选的,在图6所示实施例的基础上,本申请提供的基于验证的应用层防护装置的另一种结构示意图如图7所示,还可以包括:
第一切换模块71,用于在将第一验证防护方式作为目标验证防护方式对所述终端设备进行验证的过程中,采集所述网络服务器的性能指标参数,依据所述性能指标参数判断所述网络服务器的性能变化情况;若所述网络服务器的性能指标参数指示所述网络服务器的性能未变化或性能变差时,将所述目标验证防护方式由第一验证防护方式切换为第二验证防护方式;其中,第二验证防护方式的防护效果优于所述第一验证防护方式的防护效果。
其中,网络服务器的性能未变化可以包括:网络服务器的性能指标参数值未变化;或者,网络服务器的性能指标参数的变化不大,如网络服务器的性能指标参数的变化值小于一预设值。
本发明实施例中,若所述网络服务器的性能指标参数指示所述网络服务器的性能未变化或性能变差,说明第一验证防护的防护效果较差,因此可以提高验证防护等级,以提高防护效果。例如,如果目标验证防护方式为B类验证防护方式,则可以将目标验证防护方式切换为C类验证防护方式。
可选的,第一切换模块71还可以用于,若所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求,将所述第一验证防护方式作为目标验证防护方式对所述终端设备进行验证。
如果通过目标验证防护方式对终端设备进行验证防护后,网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求,说明网络服务器的性能恢复正常,此时可以继续使用第一验证防护方式对访问网络服务器的终端设备进行验证。
进一步的,还可以包括:
第一统计模块72和第二切换模块73;其中,
第一统计模块72用于统计网络服务器在预设统计维度下被访问的频率;
第二切换模块73用于当所述网络服务器在预设统计维度下被访问的频率小于第一预设阈值,且所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求的持续时长达到预设时长时,将所述目标验证防护方式由第一验证防护方式切换为第三验证防护方式;其中,第一验证防护方式的防护效果优于所述第三验证防护方式的防护效果。
本发明实施例中,在通过第一验证防护方式对终端设备进行验证防护后,如果网络服务器在预设统计维度下被访问的频率小于第一预设阈值,说明网络服务器的被访问量下降到网络服务器的可承受范围内,如果此时述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求的持续时长达到预设时长,说明网络攻击消除,此时可以降低验证防护等级。如果第一验证防护方式已经为最低等级的验证防护方式,则可以取消验证防护过程,或者,继续使用第一验证防护方式对终端设备进行验证防护。
上述实施例中,可选的,在图6所示实施例的基础上,本申请提供的基于验证的应用层防护装置的又一种结构示意图如图8所示,还可以包括:
第一统计模块72,采集模块81和确定模块82;其中,
第一统计模块72用于统计网络服务器在预设统计维度下被访问的频率;
采集模块81用于采集所述网络服务器的性能指标参数;
确定模块82用于当所述网络服务器在预设统计维度下被访问的频率大于第二预设阈值,且所述网络服务器的性能指标参数指示所述网络服务器的性能不符合所述网络服务器的配置要求时,确定第一验证防护方式为目标验证防护方式;所述第一验证防护方式为所述多个验证防护方式中的一个。
也就是说,本发明实施例中,在检测到网络服务器受到网络攻击时,根据实际情况自动启动一种验证防护方式,以便可以即时防止网络服务器受到网络攻击。
本发明实施例可以应用于没有采取防护措施的场景下使用,即,在没有采取防护措施的场景下,如果检测到网络服务器受到网络攻击,可以通过本发明实施例提供的基于验证的应用层防护方法自动启动一种验证防护方式,以便可以即时防止网络服务器受到网络攻击。
需要说明的是,第一统计模块72,采集模块81和确定模块82也可适用于本申请提供的其它装置实施例中。
上述实施例,可选的,在图6所示实施例的基础上,本申请提供的基于验证的应用层防护方法的又一种结构示意图如图9所示,还可以包括:
第三切换模块91,用于当接收到用户触发的验证防护方式调节指令时,依据所述验证防护方式调节指令对与所述网络服务器相对应的验证防护方式进行切换。
同样,第三切换模块91也可以适用于本申请提供的其它装置实施例中。
上述实施例中,可选的,所述统计维度可以为服务器维度;
所述第一统计模块72的一种结构示意图如图10所示,可以包括:
第一统计单元101,用于统计所述网络服务器被访问的频率。
通常网络服务器中会设置多个通用网关接口(Common Gateway Interface,CGI),该通用网关接口可以对网络服务器中的资源进行定位。
本发明实施例中,不管终端设备对网络服务器的那个通用网关接口进行访问,都视为对网络服务器的访问。
上述实施例中,可选的,所述统计维度可以为资源维度;
所述第一统计模块72的另一种结构示意图如图11所示,可以包括:
第二统计单元111,用于统计所述网络服务器中各个资源被访问的频率。
本发明实施例中,对网络服务器分资源进行统计,即统计网络服务器中各个资源被访问的频率。其中,由于网络服务器中的资源是通过网关接口定位,因此,统计所述网络服务器中各个资源被访问的频率也就是统计所述网络服务器中各个通用网关接口被访问的频率。
上述实施例中,可选的,在图6所示实施例的基础上,本申请提供的基于验证的应用层防护装置的又一种结构示意图如图12所示,还可以包括:
第二统计模块121;其中,
第二统计模块121用于统计第一终端设备在所述预设统计维度下对所述网络服务器进行访问的访问频率;
所述验证模块62可以包括:
第一限速单元,用于当所述第一终端设备在所述统计维度下的访问频率满足预设条件时,对所述第一终端设备的访问请求进行限速。
其中,所述第一终端设备在所述统计维度下的访问频率满足预设条件可以为:
所述第一终端设备在所述统计维度下的访问频率与所述第一终端设备在所述统计维度下的访问基准的差值大于第一预设阈值,则说明所述第一终端设备在所述统计维度下的访问频率满足预设条件。本发明实施例中,当第一终端设备在所述统计维度下的访问频率与所述第一终端设备在所述统计维度下的访问基准的差值大于第一预设阈值时,说明第一终端设备在所述统计维度下的访问频率突增,具体第一预设阈值是多少,可以根据网络服务器的安全需求以及经验确定。
例如,第一终端设备对网络服务器的日常的访问频率为1秒10次,如果第一终端设备对网络服务器的日常的访问频率突然变为1秒1000次,则说明第一终端设备对网络服务器的访问频率满足预设条件,此时可以丢掉第10个访问请求之后的990个请求,以对第一终端设备进行限速。
所述第一终端设备在所述统计维度下的访问频率满足预设条件也可以为:
网络服务器在预设统计维度下被访问的频率大于第三预设阈值,且所述第一终端设备在所述统计维度下的访问频率大于第四预设阈值时,说明所述第一终端设备在所述统计维度下的访问频率满足预设条件。
所述第一终端设备在所述统计维度下的访问频率满足预设条件也可以为:
所述第一终端设备为所有访问所述网络服务器的终端设备中,访问频率最高的一个或几个终端设备。
如果对所有访问所述网络服务器的终端设备的访问频率按照从高到低的顺序进行排序,那么,如果第一终端设备在所述统计维度下的访问频率排在前n位,那么,可以确定第一终端设备在所述统计维度下的访问频率满足预设条件。n为大于或等于1的正整数。
也就是说,本发明实施例只对访问网络服务器的频率最高的n个终端设备进行限速。
上述实施例中,可选的,在图6所示实施例的基础上,本申请提供的基于验证的应用层防护装置的又一种结构示意图如图13所示,还可以包括:
第二统计模块121和监测模块131;其中,
第二统计模块121用于统计第一终端设备在所述预设统计维度下对所述网络服务器进行访问的访问频率;
监测模块131用于监测所述第一终端设备的访问行为序列是否异常;
所述验证模块62可以包括:
第二限速单元,用于当所述第一终端设备在所述统计维度下的访问频率大于第二预设阈值,且所述第一终端设备的访问行为序列异常时,对所述第一终端设备的访问请求进行限速。
访问行为序列是指当终端设备需要对网络服务器进行访问时,需要按一定的顺序进行访问。例如,如果第一终端设备想要访问网络服务器的第一通用网关接口,必须要先访问网络服务器的第二通用网关接口才行;而如果第一终端设备不访问第二通用网关接口而直接访问第一通用网关接口,则说明第一终端设备的访问行为序列异常。
本申请还提供一种网络设备,该网络设备具有如上任意一装置实施例所述的基于验证的应用层防护装置。
图14示出了本申请提供的网络设备的一种硬件结构框图,该网络设备可以包括:
处理器1,通信接口2,存储器3和通信总线4;
其中处理器1、通信接口2、存储器3通过通信总线4完成相互间的通信;
可选的,通信接口2可以为通信模块的接口,如GSM模块的接口,或以太网接口等;
处理器1,用于执行程序;
存储器3,用于存放程序;
程序可以包括程序代码,所述程序代码包括计算机操作指令。
处理器1可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器3可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
其中,程序可具体用于:
截获终端设备向网络服务器发送的访问请求;
依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证;其中,所述目标验证防护方式为多个验证防护方式中的一个;不同验证防护方式的防护效果不同;
将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。
本申请还提供一种网络***,本申请提供的网络***的一种结构示意图如图15所示,可以包括:
终端设备151,路由器152,网络设备153和网络服务器154;其中,
终端设备151可以通过路由器152接入互联网;
终端设备151发送的访问请求经过基于验证的应用层防护装置153验证通过后达到网络服务器154,实现对网络服务器154的访问。
图15中所示的“正常请求”即通过验证的请求。
其中,网络设备153可以执行以下步骤:
截获终端设备向网络服务器发送的访问请求;
依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证;其中,所述目标验证防护方式为多个验证防护方式中的一个;不同验证防护方式的防护效果不同;
将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。
其中,所述目标验证方式可以为:浏览器挑战跳转;或者,浏览器挑战跳转和验证码验证;或者,浏览器挑战跳转、验证码验证和对访问请求进行限速。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (16)
1.一种基于验证的应用层防护方法,其特征在于,包括:
截获终端设备向网络服务器发送的访问请求;
依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证;其中,所述目标验证防护方式为多个验证防护方式中的一个;所述多个验证防护方式至少包括如下三类验证防护方式:A类:浏览器挑战跳转;B类:浏览器挑战跳转和验证码验证;C类:浏览器挑战跳转、验证码验证和对访问请求进行限速;其中,B类验证防护方式的防护效果优于A类验证防护方式的防护效果;C类验证防护方式的防护效果优于B类验证防护方式的防护效果;所述对访问请求进行限速包括:当第一终端设备在预设统计维度下的访问频率大于第二预设阈值,且所述第一终端设备的访问行为序列异常时,对所述第一终端设备的访问请求进行限速;
将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器;
所述与所述网络服务器的性能指标参数相对应的目标验证防护方式的确定过程包括:
在将第一验证防护方式作为目标验证防护方式对所述终端设备进行验证的过程中,采集所述网络服务器的性能指标参数,依据所述性能指标参数判断所述网络服务器的性能变化情况;
若所述网络服务器的性能指标参数指示所述网络服务器的性能未变化或性能变差,将所述目标验证防护方式由第一验证防护方式切换为第二验证防护方式;其中,第二验证防护方式的防护效果优于所述第一验证防护方式的防护效果。
2.根据权利要求1所述的方法,其特征在于,还包括:
若所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求,将所述第一验证防护方式作为目标验证防护方式对所述终端设备进行验证。
3.根据权利要求2所述的方法,其特征在于,在将第一验证防护方式作为目标验证防护方式对所述终端设备进行验证的过程中,还包括:
统计网络服务器在预设统计维度下被访问的频率;
当所述网络服务器在预设统计维度下被访问的频率小于第一预设阈值,且所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求的持续时长达到预设时长时,将所述目标验证防护方式由第一验证防护方式切换为第三验证防护方式;其中,第一验证防护方式的防护效果优于所述第三验证防护方式的防护效果。
4.根据权利要求1所述的方法,其特征在于,所述与所述网络服务器的性能指标参数相对应的目标验证防护方式的确定过程包括:
统计网络服务器在预设统计维度下被访问的频率;
采集所述网络服务器的性能指标参数;
当所述网络服务器在预设统计维度下被访问的频率大于第二预设阈值,且所述网络服务器的性能指标参数指示所述网络服务器的性能不符合所述网络服务器的配置要求时,确定第一验证防护方式为目标验证防护方式;所述第一验证防护方式为所述多个验证防护方式中的一个。
5.根据权利要求1所述的方法,其特征在于,还包括:
当接收到用户触发的验证防护方式调节指令时,依据所述验证防护方式调节指令对与所述网络服务器相对应的验证防护方式进行切换。
6.根据权利要求3或4所述的方法,其特征在于,所述统计维度为服务器维度;
所述统计网络服务器在预设统计维度下的被访问频率包括:
统计所述网络服务器被访问的频率。
7.根据权利要求3或4所述的方法,其特征在于,所述统计维度为资源维度;
所述统计网络服务器在预设统计维度下的被访问频率包括:
统计所述网络服务器中各个资源被访问的频率。
8.一种基于验证的应用层防护装置,其特征在于,包括:
截获模块,用于截获终端设备向网络服务器发送的访问请求;
验证模块,用于依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证;其中,所述目标验证防护方式为多个验证防护方式中的一个;所述多个验证防护方式至少包括如下三类验证防护方式:A类:浏览器挑战跳转;B类:浏览器挑战跳转和验证码验证;C类:浏览器挑战跳转、验证码验证和对访问请求进行限速;其中,B类验证防护方式的防护效果优于A类验证防护方式的防护效果;C类验证防护方式的防护效果优于B类验证防护方式的防护效果;
发送模块,用于将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器;
第一切换模块,用于在将第一验证防护方式作为目标验证防护方式对所述终端设备进行验证的过程中,采集所述网络服务器的性能指标参数,依据所述性能指标参数判断所述网络服务器的性能变化情况;若所述网络服务器的性能指标参数指示所述网络服务器的性能未变化或性能变差,将所述目标验证防护方式由第一验证防护方式切换为第二验证防护方式;其中,第二验证防护方式的防护效果优于所述第一验证防护方式的防护效果;
第二统计模块,用于统计第一终端设备在预设统计维度下对所述网络服务器进行访问的访问频率;
所述验证模块在对访问请求进行限速时具体用于:当所述第一终端设备在所述统计维度下的访问频率大于第二预设阈值,且所述第一终端设备的访问行为序列异常时,对所述第一终端设备的访问请求进行限速。
9.根据权利要求8所述的装置,其特征在于,所述第一切换模块还用于,若所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求,将所述第一验证防护方式作为目标验证防护方式对所述终端设备进行验证。
10.根据权利要求9所述的装置,其特征在于,还包括:
第一统计模块,用于统计网络服务器在预设统计维度下被访问的频率;
第二切换模块,用于当所述网络服务器在预设统计维度下被访问的频率小于第一预设阈值,且所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络服务器的配置要求的持续时长达到预设时长时,将所述目标验证防护方式由第一验证防护方式切换为第三验证防护方式;其中,第一验证防护方式的防护效果优于所述第三验证防护方式的防护效果。
11.根据权利要求8所述的装置,其特征在于,还包括:
第一统计模块,用于统计网络服务器在预设统计维度下被访问的频率;
采集模块,用于采集所述网络服务器的性能指标参数;
确定模块,用于当所述网络服务器在预设统计维度下被访问的频率大于第二预设阈值,且所述网络服务器的性能指标参数指示所述网络服务器的性能不符合所述网络服务器的配置要求时,确定第一验证防护方式为目标验证防护方式;所述第一验证防护方式为所述多个验证防护方式中的一个。
12.根据权利要求8所述的装置,其特征在于,还包括:
第三切换模块,用于当接收到用户触发的验证防护方式调节指令时,依据所述验证防护方式调节指令对与所述网络服务器相对应的验证防护方式进行切换。
13.根据权利要求10或11所述的装置,其特征在于,所述统计维度为服务器维度;
所述第一统计模块包括:
第一统计单元,用于统计所述网络服务器被访问的频率。
14.根据权利要求10或11所述的装置,其特征在于,所述统计维度为资源维度;
所述第一统计模块包括:
第二统计单元,用于统计所述网络服务器中各个资源被访问的频率。
15.一种网络设备,其特征在于,包括如权利要求8-14任意一项所述的基于验证的应用层防护装置。
16.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1-7中任一项所述的基于验证的应用层防护方法的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410632727.1A CN105656843B (zh) | 2014-11-11 | 2014-11-11 | 基于验证的应用层防护方法、装置及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410632727.1A CN105656843B (zh) | 2014-11-11 | 2014-11-11 | 基于验证的应用层防护方法、装置及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105656843A CN105656843A (zh) | 2016-06-08 |
| CN105656843B true CN105656843B (zh) | 2020-07-24 |
Family
ID=56483088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410632727.1A Active CN105656843B (zh) | 2014-11-11 | 2014-11-11 | 基于验证的应用层防护方法、装置及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105656843B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107888546B (zh) * | 2016-09-29 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击防御方法、装置以及*** |
| CN109005143B (zh) * | 2017-06-07 | 2022-03-04 | 上海中兴软件有限责任公司 | 一种调整网站负载的方法及装置 |
| CN108429772A (zh) * | 2018-06-19 | 2018-08-21 | 网宿科技股份有限公司 | 一种针对HTTP Flood攻击的防护方法及装置 |
| CN111953664B (zh) * | 2020-07-27 | 2022-07-08 | 新浪网技术(中国)有限公司 | 一种基于可变安全等级的用户请求验证方法及*** |
| EP4366234A1 (en) * | 2021-07-21 | 2024-05-08 | Huawei Technologies Co., Ltd. | Device verification method, apparatus and system |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383832A (zh) * | 2008-10-07 | 2009-03-11 | 成都市华为赛门铁克科技有限公司 | 一种挑战黑洞攻击防御方法及装置 |
| CN102045327A (zh) * | 2009-10-09 | 2011-05-04 | 杭州华三通信技术有限公司 | 防范cc攻击的方法和设备 |
| CN103118036A (zh) * | 2013-03-07 | 2013-05-22 | 上海电机学院 | 一种基于云端的智能安全防御***和方法 |
| CN103685293A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的防护方法和装置 |
| CN103746987A (zh) * | 2013-12-31 | 2014-04-23 | 东软集团股份有限公司 | 语义Web应用中检测DoS攻击的方法与*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7990947B2 (en) * | 2007-06-12 | 2011-08-02 | Robert W. Twitchell, Jr. | Network watermark |
-
2014
- 2014-11-11 CN CN201410632727.1A patent/CN105656843B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383832A (zh) * | 2008-10-07 | 2009-03-11 | 成都市华为赛门铁克科技有限公司 | 一种挑战黑洞攻击防御方法及装置 |
| CN102045327A (zh) * | 2009-10-09 | 2011-05-04 | 杭州华三通信技术有限公司 | 防范cc攻击的方法和设备 |
| CN103118036A (zh) * | 2013-03-07 | 2013-05-22 | 上海电机学院 | 一种基于云端的智能安全防御***和方法 |
| CN103685293A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的防护方法和装置 |
| CN103746987A (zh) * | 2013-12-31 | 2014-04-23 | 东软集团股份有限公司 | 语义Web应用中检测DoS攻击的方法与*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105656843A (zh) | 2016-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10135864B2 (en) | Latency-based policy activation | |
| US10735382B2 (en) | Detecting human activity to mitigate attacks on a host | |
| CN105656843B (zh) | 基于验证的应用层防护方法、装置及网络设备 | |
| US9781157B1 (en) | Mitigating denial of service attacks | |
| US8819803B1 (en) | Validating association of client devices with authenticated clients | |
| US8819769B1 (en) | Managing user access with mobile device posture | |
| US9282116B1 (en) | System and method for preventing DOS attacks utilizing invalid transaction statistics | |
| US8966591B2 (en) | Adaptive strike count policy | |
| US10110627B2 (en) | Adaptive self-optimzing DDoS mitigation | |
| CN107211016B (zh) | 会话安全划分和应用程序剖析器 | |
| US9130977B2 (en) | Techniques for separating the processing of clients' traffic to different zones | |
| US8438639B2 (en) | Apparatus for detecting and filtering application layer DDoS attack of web service | |
| US10218725B2 (en) | Device and method for detecting command and control channel | |
| CN107645478B (zh) | 网络攻击防御***、方法及装置 | |
| CN109495423A (zh) | 一种防止网络攻击的方法及*** | |
| CN115189927A (zh) | 一种基于零信任的电力网络安全防护方法 | |
| US9306957B2 (en) | Proactive security system for distributed computer networks | |
| US20140380457A1 (en) | Adjusting ddos protection | |
| US20210126940A1 (en) | Mitigation of network denial of service attacks using ip location services | |
| CN111970261A (zh) | 网络攻击的识别方法、装置及设备 | |
| CN112671736B (zh) | 一种攻击流量确定方法、装置、设备及存储介质 | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| KR101231966B1 (ko) | 장애 방지 서버 및 방법 | |
| Datta et al. | idam: A distributed mud framework for mitigation of volumetric attacks in iot networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |