CN108111472A - 一种攻击特征检测方法及装置 - Google Patents
一种攻击特征检测方法及装置 Download PDFInfo
- Publication number
- CN108111472A CN108111472A CN201611061771.7A CN201611061771A CN108111472A CN 108111472 A CN108111472 A CN 108111472A CN 201611061771 A CN201611061771 A CN 201611061771A CN 108111472 A CN108111472 A CN 108111472A
- Authority
- CN
- China
- Prior art keywords
- attributive character
- access request
- access
- attack signature
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种攻击特征检测方法及装置,其中方法包括如下步骤:获取预设时间范围内向所述目标网站发送的多个第一访问请求,所述第一访问请求携带至少一个第一属性特征,所述至少一个第一属性特征为Accept、Cookie、Referer和User‑Agent中的一个或者几个的组合;统计所述第一属性特征在所述多个第一访问请求中的出现次数;根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。采用本发明,能够实现在对网站进行实时访问过程中,及时确定当前存在的攻击特征,提高了攻击特征的检测效率。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种攻击特征检测方法及装置。
背景技术
CC(Challenge Collapsar)攻击是针对网络服务的攻击方法。CC攻击的原理是攻击者控制某些主机不停地高频率访问目标网站,从而造成服务器资源耗尽,一直到宕机崩溃,从而造成拒绝服务的目的,使得被攻击的目标网站无法正常提供服务。现有的技术方案中通过生成攻击特征库,对访问目标网站的请求进行一一匹配,以实现对攻击请求的拦截。现有的攻击特征库中的攻击特征是需要分析人员对攻击请求进行一一分析来确定,然而,若每次攻击都需要人工介入,会导致人工成本高,并且如果对目标网站的攻击请求没能及时处理,仍会造成服务器的资源耗尽,使得目标网站无法正常打开。
发明内容
本发明实施例提供一种攻击特征检测方法及装置,能够实现在对网站进行实时访问过程中,及时确定当前存在的攻击特征,提高了攻击特征的检测效率。
本发明实施例第一方面提供了一种攻击特征检测方法,包括:
获取预设时间范围内向所述目标网站发送的多个第一访问请求,所述第一访问请求携带至少一个第一属性特征,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合;
统计所述第一属性特征在所述多个第一访问请求中的出现次数;
根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。
本发明实施例第二方面提供了一种攻击特征检测装置,包括:
请求获取模块,用于获取预设时间范围内向所述目标网站发送的多个第一访问请求,所述第一访问请求携带至少一个第一属性特征,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合;
次数统计模块,用于统计所述第一属性特征在所述多个第一访问请求中的出现次数;
特征确定模块,用于根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。
在本发明实施例中,通过获取预设时间范围内向目标网站发送的多个包括至少一个第一属性特征第一访问请求;统计每个第一属性特征在多个第一访问请求中的出现次数,并根据该第一属性特征的出现次数确定第一属性特征为攻击特征。这样通过对第一访问请求中第一属性特征的出现次数进行统计,以确定攻击特征,能够实现在对网站进行实时访问过程中,及时确定当前存在的攻击特征,提高了攻击特征的检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种攻击特征检测方法的流程示意图;
图2是本发明实施例提供的另一种攻击特征检测方法的流程示意图;
图3是本发明实施例提供的一种攻击特征检测装置的结构示意图;
图4是本发明实施例提供的另一种攻击特征检测装置的结构示意图;
图5是本发明实施例提供的另一种攻击特征检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。另外,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供的攻击特征检测方法可以应用于访问目标网站的场景中,例如,获取预设时间范围内向所述目标网站发送的多个第一访问请求,所述第一访问请求携带至少一个第一属性特征,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合;统计所述第一属性特征在所述多个第一访问请求中的出现次数;根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。这样通过对第一访问请求中第一属性特征的出现次数进行统计,以确定攻击特征,能够实现在对网站进行实时访问过程中,及时确定当前存在的攻击特征,提高了攻击特征的检测效率。
本发明实施例涉及的攻击特征检测装置可以为存储和通信功能并能够检测攻击特征等服务的后台设备,也可以为嵌入于所述后台设备中的攻击特征检测模块。本发明实施例涉及的用户终端可以是任何具备存储和通信功能的设备,例如:平板电脑、手机、电子阅读器、个人计算机(Personal Computer,PC)、笔记本电脑、车载设备、网络电视、可穿戴设备等设备。
请参见图1,为本发明实施例提供了一种攻击特征检测方法的流程示意图。如图1所示,本发明实施例的所述方法可以包括以下步骤S101-步骤S103。
S101,获取预设时间范围内向所述目标网站发送的多个第一访问请求。
具体的,攻击特征检测装置获取预设时间范围内向所述目标网站发送的多个第一访问请求,其中,所述预设时间范围为所述攻击特征检测装置自定义设置的,所述目标网站为可以接收用户访问的任意网站,例如,企业网站、个人网站、商业网站、政府网站、教育网站等,用户可以通过网页浏览器访问目标网站。
进一步,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合。举例来说,所述第一访问请求可以为超文本传输协议(Http,HyperText Transfer Protocol)请求,所述第一属性特征是在Http请求的头部字段中携带的,其中,所述Accept用于表示发送所述第一访问请求的用户终端支持的数据类型,所述Cookie用于表示发送所述第一访问请求的用户终端中存储的文本文件;所述Referer用于表示用户终端发送第一访问请求所使用的统一资源定位符URL;所述User-Agent用于表示发送所述第一访问请求的用户终端的***环境,***环境包括使用的操作***及版本、中央处理器(CPU,Central Processing Unit)类型、浏览器版本、浏览器语言、浏览器插件等。
可选的,在本发明实施例中所述攻击特征检测装置获取的是预设时间范围内的第一访问请求,或者,所述攻击特征检测装置还可以获取预设数量的第一访问请求,本发明实施例对此不做限定。
可选的,所述攻击特征检测装置可以对目标网站的第一访问请求进行监控的过程中执行获取预设时间范围内的多个第一访问请求的步骤,这样能够实现对目标网站的任意访问请求执行实时监控的功能。
S102,统计所述第一属性特征在所述多个第一访问请求中的出现次数。
具体的,所述攻击特征检测装置统计所述至少一个第一属性特征中每个第一属性特征在所述多个第一访问请求中的出现次数。以第一属性特征为“User-Agent”进行介绍,假设预设时间范围内有1000个请求,由于User-Agent用于表示发送所述第一访问请求的用户终端的***环境,假设1000个请求中User-Agent对应的信息包括四种:QQ搜索引擎、百度搜索引擎、sogou搜索引擎、360搜索引擎。所述攻击特征检测装置统计每个User-Agent对应的信息在1000个请求中出现的次数,例如,统计百度搜索引擎在1000个请求中出现的次数、统计QQ搜索引擎在1000个请求中出现的次数。
S103,根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。
具体的,所述攻击特征检测装置根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。可行的方案中,所述攻击特征检测装置可以通过设定表示最大出现次数的阈值,进行判定所述第一属性特征是否为攻击特征。或者,另一可行的方案中,所述攻击特征检测装置可以通过设定表示最大出现概率的阈值,进行判定所述第一属性特征是否为攻击特征,可以理解的是,所述第一属性特征在预设时间范围内出现概率为:第一属性特征在预设时间范围内出现的次数除以在预设时间范围内第一访问请求的数量。
在本发明实施例中,通过获取预设时间范围内向目标网站发送的多个包括至少一个第一属性特征第一访问请求;统计每个第一属性特征在多个第一访问请求中的出现次数,并根据该第一属性特征的出现次数确定第一属性特征为攻击特征。这样通过对第一访问请求中第一属性特征的出现次数进行统计,以确定攻击特征,能够实现在对网站进行实时访问过程中,及时确定当前存在的攻击特征,提高了攻击特征的检测效率。
请参见图2,为本发明实施例提供了另一种攻击特征检测方法的流程示意图。如图2所示,本发明实施例的所述方法可以包括以下步骤S201-步骤S212。
S201,统计单位时间范围内向所述目标网站发送的访问请求的数量。
具体的,所述攻击特征检测装置统计单位时间范围内向所述目标网站发送的访问请求的数量。其中,所述单位时间范围可以是由所述攻击特征检测装置预先定义的,例如,1小时之内、20分钟之内等。所述攻击特征检测装置在单位时间范围内,每检测到一个对目标网站的访问请求,则将访问请求的数量加1,进而可以获得在单位时间范围内向所述目标网站发送的访问请求的数量。
S202,判断所述访问请求的数量是否大于访问数量阈值。
具体的,所述攻击特征检测装置判断所述访问请求的数量是否大于访问数量阈值。其中,所述访问数量阈值为所述攻击特征检测装置预先定义的,例如,1000、2000等。若所述访问请求的数量大于访问数量阈值,则执行步骤S203;若所述访问请求的数量小于或等于访问数量阈值,则继续执行步骤S201。
可选的,所述访问数量阈值可以根据目标网站对应的服务器在单位时间范围内可以承受的访问数量而设定。例如,访问数量阈值小于服务器在单位时间范围内可以承受的访问数量。
S203,获取预设时间范围内向所述目标网站发送的多个第一访问请求。
具体的,若单位时间范围内的访问请求的数量大于访问数量阈值,则所述攻击特征检测装置获取预设时间范围内向所述目标网站发送的多个第一访问请求。其中,所述预设时间范围为所述攻击特征检测装置自定义设置的,所述目标网站为可以接收用户访问的任意网站,例如,企业网站、个人网站、商业网站、政府网站、教育网站等。用户可以通过网页浏览器访问目标网站。
进一步,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合。举例来说,所述第一访问请求可以为Http请求,所述第一属性特征是在Http请求的头部字段中携带的,其中,所述Accept用于表示发送所述第一访问请求的用户终端支持的数据类型,所述Cookie用于表示发送所述第一访问请求的用户终端中存储的文本文件;所述Referer用于表示用户终端发送第一访问请求所使用的统一资源定位符URL;所述User-Agent用于表示发送所述第一访问请求的用户终端的***环境。***环境包括使用的操作***及版本、CPU类型、浏览器版本、浏览器语言、浏览器插件等。
可选的,在本发明实施例中所述攻击特征检测装置获取的是预设时间范围内的第一访问请求,或者,所述攻击特征检测装置还可以获取预设数量的第一访问请求,本发明实施例对此不做限定。
需要说明的是,所述预设时间范围和单位时间范围可以为相同的时间范围;也可以为不同的时间范围,例如,预设时间范围小于单位时间范围,或者预设时间范围大于单位时间范围。举例来说,假设所述预设时间范围和单位时间范围为从第一时刻开始的一小时范围,则所述攻击特征检测装置检测到该一小时范围内的访问请求数量大于访问数量阈值时,获取该一小时范围内的全部访问请求。又举例来说,假设所述预设时间范围内为2小时,单位时间范围为1小时,若检测到截止至第二时刻的1小时范围内的访问请求的数量大于访问数量阈值,则获取截止至第二时刻的2小时范围的全部访问请求。
S204,统计所述第一属性特征在所述多个第一访问请求中的出现次数。
具体的,所述攻击特征检测装置统计所述至少一个第一属性特征中每个第一属性特征在所述多个第一访问请求中的出现次数。以第一属性特征为“User-Agent”进行介绍,假设预设时间范围内有1000个请求,由于User-Agent用于表示发送所述第一访问请求的用户终端的***环境,假设1000个请求中User-Agent对应的信息包括四种:QQ搜索引擎、百度搜索引擎、sogou搜索引擎、360搜索引擎。所述攻击特征检测装置统计每个User-Agent对应的信息在1000个请求中出现的次数,例如,统计百度搜索引擎在1000个请求中出现的次数、统计QQ搜索引擎在1000个请求中出现的次数。
S205,检测所述第一属性特征的出现次数是否大于出现次数阈值。
具体的,所述攻击特征检测装置检测所述第一属性特征的出现次数是否大于出现次数阈值,其中,所述出现次数阈值为所述攻击特征检测装置预先定义的,该出现次数阈值可以根据不同的预设时间范围设定不同的数值。若所述第一属性特征的出现次数大于出现次数阈值,则执行步骤S206;若所述第一属性特征的出现次数不大于出现次数阈值,则执行步骤S207。
S206,若是,则确定所述第一属性特征为攻击特征。
具体的,若所述第一属性特征的出现次数大于出现次数阈值,则确定所述第一属性特征为攻击特征。
S207,若否,则确定所述第一属性特征不是攻击特征。
具体的,若所述第一属性特征的出现次数不大于出现次数阈值,则确定所述第一属性特征不是攻击特征。
S208,若确定所述第一属性特征为攻击特征,则将所述第一属性特征添加至攻击特征库中。
具体的,若确定所述第一属性特征为攻击特征,则所述攻击特征检测装置将所述第一属性特征添加至攻击特征库中。其中,所述攻击特征库包含了多个用于检测访问请求的攻击特征。
可选的,所述攻击特征检测装置可以在攻击特征库中修改攻击特征、删除攻击特征、增加攻击特征等,以使攻击特征库中所存储的攻击特征更为完善,提高检测攻击特征的有效性。
S209,接收向所述目标网站发送的第二访问请求,并获取所述第二访问请求中携带的至少一个第二属性特征。
具体的,在将所述第一属性特征添加至攻击特征库中之后,所述攻击特征检测装置接收向所述目标网站发送的第二访问请求,并获取所述第二访问请求中携带的至少一个第二属性特征。可以理解的是,所述第二访问请求与所述第一访问请求均为访问所述目标网站的请求,进一步,所述至少一个第二属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合。
S210,采用所述攻击特征库对所述第二属性特征进行匹配。
具体的,所述攻击特征检测装置采用所述攻击特征库对所述第二属性特征进行匹配,这样通过攻击特征库中的每个攻击特征与所述第二属性特征进行匹配,以确定所述第二属性特征是否为攻击特征。
S211,若所述攻击特征库中存在与所述第二属性特征相匹配的所述第一属性特征,则确定所述第二访问请求为攻击访问请求,并对所述第二访问请求执行防攻击处理。
具体的,所述攻击特征检测装置若所述攻击特征库中存在与所述第二属性特征相匹配的所述第一属性特征,则确定所述第二属性特征为攻击特征,进而确定所述第二访问请求为攻击访问请求。可以理解的是,在步骤S208中是将确定为攻击特征的第一属性特征添加至攻击特征库中的,因此这里与第二属性特征进行匹配的第一属性特征为被确定为攻击特征的属性特征。
可行的方案中,所述防攻击处理可以包括向发送所述第二访问请求的用户终端发送验证码的处理方式,这样在所述攻击特征检测装置接收到所述用户终端反馈的相同的验证码之后,可以将所述第二访问请求发送至所述目标网站对应的服务器;若所述攻击特征检测装置未接收到所述用户终端反馈的验证码或者接收到与所述验证码不同的验证码时,继续向所述用户终端发送另一个验证码或者丢弃所述的第二访问请求。
可行方案中,所述防攻击处理可以包括向发送所述第二访问请求的用户终端发送验证算法的处理方式,若所述用户终端可以通过验证算法向所述攻击特征检测装置反馈验证结果,待所述攻击特征检测装置检验正确之后,可以将所述第二访问请求发送至所述目标网站对应的服务器;若所述用户终端未向所述攻击特征检测装置反馈验证结果或者所述攻击特征检测装置检验错误之后,丢弃所述的第二访问请求。
可行的方案中,所述防攻击处理可以包括丢弃所述第二访问请求的处理方式。在所述攻击特征检测装置确定所述第二访问请求为攻击访问请求之后,将所述的第二访问请求直接丢弃。
可行的方案中,所述防攻击处理可以包括断开与发送所述第二访问请求的用户终端的连接的处理方式,例如,丢弃关于所述第二访问请求的传输控制协议(TransmissionControl Protocol,TCP)的连接。
以上为对防攻击处理的举例说明,在本发明实施例中并不限定于以上几种方式。
S212,若所述攻击特征库中不存在与所述第二属性特征相匹配的所述第一属性特征,则将所述第二访问请求发送至所述目标网站对应的服务器。
具体的,若所述攻击特征库中不存在与所述第二属性特征相匹配的所述第一属性特征,则所述攻击特征检测装置将所述第二访问请求发送至所述目标网站对应的服务器,以使所述服务器对所述第二访问请求进行处理并反馈。
在本发明实施例中,通过获取预设时间范围内向目标网站发送的多个包括至少一个第一属性特征第一访问请求;统计每个第一属性特征在多个第一访问请求中的出现次数,并根据该第一属性特征的出现次数确定第一属性特征为攻击特征。这样通过对第一访问请求中第一属性特征的出现次数进行统计,以确定攻击特征,能够实现在对网站进行实时访问过程中,及时确定当前存在的攻击特征,提高了攻击特征的检测效率。
下面将结合附图3-附图5,对本发明实施例提供的攻击特征检测装置进行详细介绍。需要说明的是,附图3-附图5所示的攻击特征检测装置,用于执行本发明图1和图2所示实施例的方法,为了便于说明,仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明图1和图2所示的实施例。
请参见图3,为本发明实施例提供了一种攻击特征检测装置的结构示意图。如图3所示,本发明实施例的所述攻击特征检测装置1可以包括:请求获取模块11、次数统计模块12和特征确定模块13。
请求获取模块11,用于获取预设时间范围内向所述目标网站发送的多个第一访问请求,所述第一访问请求携带至少一个第一属性特征,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合。
具体的,所述请求获取模块11获取预设时间范围内向所述目标网站发送的多个第一访问请求,其中,所述预设时间范围为所述攻击特征检测装置2自定义设置的,所述目标网站为可以接收用户访问的任意网站,例如,企业网站、个人网站、商业网站、政府网站、教育网站等,用户可以通过网页浏览器访问目标网站。
进一步,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合。举例来说,所述第一访问请求可以为Http请求,所述第一属性特征是在Http请求的头部字段中携带的,其中,所述Accept用于表示发送所述第一访问请求的用户终端支持的数据类型,所述Cookie用于表示发送所述第一访问请求的用户终端中存储的文本文件。所述Referer用于表示用户终端发送第一访问请求所使用的统一资源定位符URL。所述User-Agent用于表示发送所述第一访问请求的用户终端的***环境,***环境包括使用的操作***及版本、CPU类型、浏览器版本、浏览器语言、浏览器插件等。
可选的,在本发明实施例中所述请求获取模块11获取的是预设时间范围内第一访问请求,或者,所述请求获取模块11还可以获取预设数量的第一访问请求,本发明实施例对此不做限定。
可选的,所述攻击特征检测装置1可以对目标网站的第一访问请求进行监控的过程中执行获取预设时间范围内的多个第一访问请求的步骤,这样能够实现对目标网站的任意访问请求执行实时监控的功能。
次数统计模块12,用于统计所述第一属性特征在所述多个第一访问请求中的出现次数。
具体的,所述次数统计模块12统计所述至少一个第一属性特征中每个第一属性特征在所述多个第一访问请求中的出现次数。以第一属性特征为“User-Agent”进行介绍,假设预设时间范围内有1000个请求,由于User-Agent用于表示发送所述第一访问请求的用户终端的***环境,假设1000个请求中User-Agent对应的信息包括四种:QQ搜索引擎、百度搜索引擎、sogou搜索引擎、360搜索引擎。所述次数统计模块12统计每个User-Agent对应的信息在1000个请求中出现的次数,例如,统计百度搜索引擎在1000个请求中出现的次数、统计QQ搜索引擎在1000个请求中出现的次数。
特征确定模块13,用于根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。
具体的,所述特征确定模块13根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。可行的方案中,所述攻击特征检测装置1可以通过设定表示最大出现次数的阈值,进行判定所述第一属性特征是否为攻击特征。或者,另一可行的方案中,所述攻击特征检测装置1可以通过设定表示最大出现概率的阈值,进行判定所述第一属性特征是否为攻击特征,可以理解的是,所述第一属性特征在预设时间范围内出现概率为:第一属性特征在预设时间范围内出现的次数除以在预设时间范围内第一访问请求的数量。
在本发明实施例中,通过获取预设时间范围内向目标网站发送的多个包括至少一个第一属性特征第一访问请求。统计每个第一属性特征在多个第一访问请求中的出现次数,并根据该第一属性特征的出现次数确定第一属性特征为攻击特征。这样通过对第一访问请求中第一属性特征的出现次数进行统计,以确定攻击特征,能够实现在对网站进行实时访问过程中,及时确定当前存在的攻击特征,提高了攻击特征的检测效率。
请参见图4,为本发明实施例提供了另一种攻击特征检测装置的结构示意图。如图4所示,本发明实施例的所述攻击特征检测装置1可以包括:请求获取模块11、次数统计模块12、特征确定模块13、数量统计模块14、特征增加模块15、请求接收模块16、特征匹配模块17、攻击处理模块18和请求发送模块19。
数量统计模块14,用于统计单位时间范围内向所述目标网站发送的访问请求的数量。
具体的,所述数量统计模块14统计单位时间范围内向所述目标网站发送的访问请求的数量。其中,所述单位时间范围可以是由所述攻击特征检测装置1预先定义的,例如,1小时之内、20分钟之内等。所述攻击特征检测装置1在单位时间范围内,每检测到一个对目标网站的访问请求,则将访问请求的数量加1,进而可以获得在单位时间范围内向所述目标网站发送的访问请求的数量。
请求获取模块11,用于若所述访问请求的数量大于访问数量阈值,则获取预设时间范围内向所述目标网站发送的多个第一访问请求。
具体的,若单位时间范围内的访问请求的数量大于访问数量阈值,则所述请求获取模块11获取预设时间范围内向所述目标网站发送的多个第一访问请求。其中,所述预设时间范围为所述攻击特征检测装置1自定义设置的,所述目标网站为可以接收用户访问的任意网站,例如,企业网站、个人网站、商业网站、政府网站、教育网站等。用户可以通过网页浏览器访问目标网站。
进一步,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合。举例来说,所述第一访问请求可以为Http请求,所述第一属性特征是在Http请求的头部字段中携带的,其中,所述Accept用于表示发送所述第一访问请求的用户终端支持的数据类型,所述Cookie用于表示发送所述第一访问请求的用户终端中存储的文本文件;所述Referer用于表示用户终端发送第一访问请求所使用的统一资源定位符URL;所述User-Agent用于表示发送所述第一访问请求的用户终端的***环境。***环境包括使用的操作***及版本、CPU类型、浏览器版本、浏览器语言、浏览器插件等。
可选的,在本发明实施例中所述请求获取模块11获取的是预设时间范围内第一访问请求,或者,所述请求获取模块11还可以获取预设数量的第一访问请求,本发明实施例对此不做限定。
需要说明的是,所述预设时间范围和单位时间范围可以为相同的时间范围;也可以为不同的时间范围,例如,预设时间范围小于单位时间范围,或者预设时间范围大于单位时间范围。举例来说,假设所述预设时间范围和单位时间范围为从第一时刻开始的一小时范围,则检测到该一小时范围内的访问请求数量大于访问数量阈值时,获取该一小时范围内的全部访问请求。又举例来说,假设所述预设时间范围内为2小时,单位时间范围为1小时,若检测到截止至第二时刻的1小时范围内的访问请求的数量大于访问数量阈值,则获取截止至第二时刻的2小时范围的全部访问请求。
可选的,所述访问数量阈值可以根据目标网站对应的服务器在单位时间范围内可以承受的访问数量而设定。
次数统计模块12,用于统计所述第一属性特征在所述多个第一访问请求中的出现次数。
具体的,所述次数统计模块12统计所述至少一个第一属性特征中每个第一属性特征在所述多个第一访问请求中的出现次数。以第一属性特征为“User-Agent”进行介绍,假设预设时间范围内有1000个请求,由于User-Agent用于表示发送所述第一访问请求的用户终端的***环境,假设1000个请求中User-Agent对应的信息包括四种:QQ搜索引擎、百度搜索引擎、sogou搜索引擎、360搜索引擎。所述次数统计模块12统计每个User-Agent对应的信息在1000个请求中出现的次数,例如,统计百度搜索引擎在1000个请求中出现的次数、统计QQ搜索引擎在1000个请求中出现的次数。
特征确定模块13,用于根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。
其中,所述特征确定模块包括检测单元131和确定单元132。
检测单元131,用于检测所述第一属性特征的出现次数是否大于出现次数阈值。
具体的,所述检测单元131检测所述第一属性特征的出现次数是否大于出现次数阈值,其中,所述出现次数阈值为所述攻击特征检测装置1预先定义的,该出现次数阈值可以根据不同的预设时间范围设定不同的数值。若所述第一属性特征的出现次数大于出现次数阈值,则确定单元132;若所述第一属性特征的出现次数不大于出现次数阈值,则确定所述第一属性特征不是攻击特征。
确定单元132,用于若所述检测单元检测到所述第一属性特征的出现次数大于出现次数阈值,则确定所述第一属性特征为攻击特征。
具体的,若所述第一属性特征的出现次数大于出现次数阈值,则所述确定单元132确定所述第一属性特征为攻击特征。
可以理解的是,若所述第一属性特征的出现次数不大于出现次数阈值,则确定所述第一属性特征不是攻击特征。
特征增加模块15,用于若确定所述第一属性特征为攻击特征,则将所述第一属性特征添加至攻击特征库中。
具体的,若确定所述第一属性特征为攻击特征,则所述特征增加模块15将所述第一属性特征添加至攻击特征库中。其中,所述攻击特征库包含了多个用于检测访问请求的攻击特征。
可选的,所述攻击特征检测装置1可以在攻击特征库中修改攻击特征、删除攻击特征、增加攻击特征等,以使攻击特征库中所存储的攻击特征更为完善,提高检测攻击特征的有效性。
请求接收模块16,用于接收向所述目标网站发送的第二访问请求,并获取所述第二访问请求中携带的至少一个第二属性特征。
具体的,在将所述第一属性特征添加至攻击特征库中之后,所述请求接收模块16接收向所述目标网站发送的第二访问请求,并获取所述第二访问请求中携带的至少一个第二属性特征。可以理解的是,所述第二访问请求与所述第一访问请求均为访问所述目标网站的请求,进一步,所述至少一个第二属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合。
特征匹配模块17,用于采用所述攻击特征库对所述第二属性特征进行匹配。
具体的,所述特征匹配模块17采用所述攻击特征库对所述第二属性特征进行匹配,这样通过攻击特征库中的每个攻击特征与所述第二属性特征进行匹配,以确定所述第二属性特征是否为攻击特征。
攻击处理模块18,用于若所述攻击特征库中存在与所述第二属性特征相匹配的所述第一属性特征,则确定所述第二访问请求为攻击访问请求,并对所述第二访问请求执行防攻击处理。
具体的,所述攻击处理模块18若所述攻击特征库中存在与所述第二属性特征相匹配的所述第一属性特征,则确定所述第二属性特征为攻击特征,进而确定所述第二访问请求为攻击访问请求。可以理解的是,在特征增加模块15中是将确定为攻击特征的第一属性特征添加至攻击特征库中的,因此这里与第二属性特征进行匹配的第一属性特征为被确定为攻击特征的属性特征。
可行的方案中,所述防攻击处理可以包括向发送所述第二访问请求的用户终端发送验证码的处理方式,这样在接收到所述用户终端反馈的相同的验证码之后,可以将所述第二访问请求发送至所述目标网站对应的服务器;若未接收到所述用户终端反馈的验证码或者接收到与所述验证码不同的验证码时,继续向所述用户终端发送另一个验证码或者丢弃所述的第二访问请求。
可行方案中,所述防攻击处理可以包括向发送所述第二访问请求的用户终端发送验证算法的处理方式,若所述用户终端可以通过验证算法向所述攻击特征检测装置1反馈验证结果,待所述攻击特征检测装置1检验正确之后,可以将所述第二访问请求发送至所述目标网站对应的服务器;若所述用户终端未向所述攻击特征检测装置1反馈验证结果或者所述攻击特征检测装置1检验错误之后,丢弃所述的第二访问请求。
可行的方案中,所述防攻击处理可以包括丢弃所述第二访问请求的处理方式。在所述攻击处理模块18确定所述第二访问请求为攻击访问请求之后,将所述的第二访问请求直接丢弃。
可行的方案中,所述防攻击处理可以包括断开与发送所述第二访问请求的用户终端的连接的处理方式,例如,丢弃关于所述第二访问请求的TCP的连接。
以上为对防攻击处理的举例说明,在本发明实施例中并不限定于以上几种方式。
请求发送模块19,用于若所述攻击特征库中不存在与所述第二属性特征相匹配的所述第一属性特征,则将所述第二访问请求发送至所述目标网站对应的服务器。
具体的,若所述攻击特征库中不存在与所述第二属性特征相匹配的所述第一属性特征,则所述请求发送模块19将所述第二访问请求发送至所述目标网站对应的服务器,以使所述服务器对所述第二访问请求进行处理并反馈。
在本发明实施例中,通过获取预设时间范围内向目标网站发送的多个包括至少一个第一属性特征第一访问请求;统计每个第一属性特征在多个第一访问请求中的出现次数,并根据该第一属性特征的出现次数确定第一属性特征为攻击特征。这样通过对第一访问请求中第一属性特征的出现次数进行统计,以确定攻击特征,能够实现在对网站进行实时访问过程中,及时确定当前存在的攻击特征,提高了攻击特征的检测效率。
请参见图5,为本发明实施例提供了另一种攻击特征检测装置的结构示意图。如图5所示,所述攻击特征检测装置1000可以包括:至少一个处理器1001,例如CPU,至少一个网络接口1004,用户接口1003,存储器1005,至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图5所示,作为一种计算机存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及攻击特征检测装置应用程序。
在图5所示的攻击特征检测装置1000中,用户接口1003主要用于为用户提供输入的接口,接收用户设定出现次数阈值、预设时间范围、单位时间范围、访问数量阈值等信息。而处理器1001可以用于调用存储器1005中存储的攻击特征检测装置应用程序,并具体执行以下操作:
获取预设时间范围内向所述目标网站发送的多个第一访问请求,所述第一访问请求携带至少一个第一属性特征,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合。
统计所述第一属性特征在所述多个第一访问请求中的出现次数。
根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。
在一个可能的实施例中,所述处理器1001执行获取预设时间范围内向所述目标网站发送的多个第一访问请求之前,还执行:
统计单位时间范围内向所述目标网站发送的访问请求的数量。
若所述访问请求的数量大于访问数量阈值,则执行所述获取预设时间范围内向所述目标网站发送的多个第一访问请求的步骤。
在一个可能的实施例中,所述处理器1001执行根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征,具体执行:
检测所述第一属性特征的出现次数是否大于出现次数阈值。
若是,则确定所述第一属性特征为攻击特征。
在一个可能的实施例中,所述处理器1001还执行:
若确定所述第一属性特征为攻击特征,则将所述第一属性特征添加至攻击特征库中。
在一个可能的实施例中,所述处理器1001还执行:
接收向所述目标网站发送的第二访问请求,并获取所述第二访问请求中携带的至少一个第二属性特征。
采用所述攻击特征库对所述第二属性特征进行匹配。
若所述攻击特征库中存在与所述第二属性特征相匹配的所述第一属性特征,则确定所述第二访问请求为攻击访问请求,并对所述第二访问请求执行防攻击处理。
若所述攻击特征库中不存在与所述第二属性特征相匹配的所述第一属性特征,则将所述第二访问请求发送至所述目标网站对应的服务器。
在一个可能的实施例中,所述防攻击处理包括向发送所述第二访问请求的用户终端发送验证码的处理方式、丢弃所述第二访问请求的处理方式和断开与发送所述第二访问请求的用户终端的连接的处理方式中任一种。
需要说明的是,本发明实施例所描述的处理器1001所执行的步骤可根据上述图1或图2所示方法实施例中的方法具体实现,此处不再赘述。
本发明实施例中所述模块或单元,可以通过通用集成电路,例如CPU(CentralProcessing Unit,中央处理器),或通过ASIC(Application Specific IntegratedCircuit,专用集成电路)来实现。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本发明实施例终端中的模块或单元可以根据实际需要进行合并、划分和删减。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (12)
1.一种攻击特征检测方法,其特征在于,包括:
获取预设时间范围内向所述目标网站发送的多个第一访问请求,所述第一访问请求携带至少一个第一属性特征,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合;
统计所述第一属性特征在所述多个第一访问请求中的出现次数;
根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。
2.根据权利要求1所述的方法,其特征在于,所述获取预设时间范围内向所述目标网站发送的多个第一访问请求之前,还包括:
统计单位时间范围内向所述目标网站发送的访问请求的数量;
若所述访问请求的数量大于访问数量阈值,则执行所述获取预设时间范围内向所述目标网站发送的多个第一访问请求的步骤。
3.根据权利要求1所述的方法,其特征在于,所述根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征,包括:
检测所述第一属性特征的出现次数是否大于出现次数阈值;
若是,则确定所述第一属性特征为攻击特征。
4.根据权利要求1-3任一项所述的方法,其特征在于,还包括:
若确定所述第一属性特征为攻击特征,则将所述第一属性特征添加至攻击特征库中。
5.根据权利要求4所述的方法,其特征在于,还包括:
接收向所述目标网站发送的第二访问请求,并获取所述第二访问请求中携带的至少一个第二属性特征;
采用所述攻击特征库对所述第二属性特征进行匹配;
若所述攻击特征库中存在与所述第二属性特征相匹配的所述第一属性特征,则确定所述第二访问请求为攻击访问请求,并对所述第二访问请求执行防攻击处理;
若所述攻击特征库中不存在与所述第二属性特征相匹配的所述第一属性特征,则将所述第二访问请求发送至所述目标网站对应的服务器。
6.根据权利要求5所述的方法,其特征在于,所述防攻击处理包括向发送所述第二访问请求的用户终端发送验证码的处理方式、丢弃所述第二访问请求的处理方式和断开与发送所述第二访问请求的用户终端的连接的处理方式中任一种。
7.一种攻击特征检测装置,其特征在于,包括:
请求获取模块,用于获取预设时间范围内向所述目标网站发送的多个第一访问请求,所述第一访问请求携带至少一个第一属性特征,所述至少一个第一属性特征为Accept、Cookie、Referer和User-Agent中的一个或者几个的组合;
次数统计模块,用于统计所述第一属性特征在所述多个第一访问请求中的出现次数;
特征确定模块,用于根据所述第一属性特征的出现次数确定所述第一属性特征为攻击特征。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
数量统计模块,用于统计单位时间范围内向所述目标网站发送的访问请求的数量;
所述请求获取模块具体用于若所述访问请求的数量大于访问数量阈值,则获取预设时间范围内向所述目标网站发送的多个第一访问请求。
9.根据权利要求7所述的装置,其特征在于,所述特征确定模块包括:
检测单元,用于检测所述第一属性特征的出现次数是否大于出现次数阈值;
确定单元,用于若所述检测单元检测到所述第一属性特征的出现次数大于所述出现次数阈值,则确定所述第一属性特征为攻击特征。
10.根据权利要求7-9任一项所述的装置,其特征在于,所述装置还包括:
特征增加模块,用于若确定所述第一属性特征为攻击特征,则将所述第一属性特征添加至攻击特征库中。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
请求接收模块,用于接收向所述目标网站发送的第二访问请求,并获取所述第二访问请求中携带的至少一个第二属性特征;
特征匹配模块,用于采用所述攻击特征库对所述第二属性特征进行匹配;
攻击处理模块,用于若所述攻击特征库中存在与所述第二属性特征相匹配的所述第一属性特征,则确定所述第二访问请求为攻击访问请求,并对所述第二访问请求执行防攻击处理;
请求发送模块,用于若所述攻击特征库中不存在与所述第二属性特征相匹配的所述第一属性特征,则将所述第二访问请求发送至所述目标网站对应的服务器。
12.根据权利要求11所述的装置,其特征在于,所述防攻击处理包括向发送所述第二访问请求的用户终端发送验证码的处理方式、丢弃所述第二访问请求的处理方式和断开与发送所述第二访问请求的用户终端的连接的处理方式中任一种。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611061771.7A CN108111472A (zh) | 2016-11-24 | 2016-11-24 | 一种攻击特征检测方法及装置 |
| PCT/CN2017/107784 WO2018095192A1 (zh) | 2016-11-23 | 2017-10-26 | 网站攻击的检测和防护方法及*** |
| US16/296,065 US10715546B2 (en) | 2016-11-23 | 2019-03-07 | Website attack detection and protection method and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611061771.7A CN108111472A (zh) | 2016-11-24 | 2016-11-24 | 一种攻击特征检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108111472A true CN108111472A (zh) | 2018-06-01 |
Family
ID=62205385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611061771.7A Pending CN108111472A (zh) | 2016-11-23 | 2016-11-24 | 一种攻击特征检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108111472A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600145A (zh) * | 2017-12-25 | 2018-09-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定DDoS攻击设备的方法及装置 |
| CN109561090A (zh) * | 2018-11-30 | 2019-04-02 | 杭州安恒信息技术股份有限公司 | 一种web智能防御方法、装置、设备及可读存储介质 |
| CN111198900A (zh) * | 2019-12-31 | 2020-05-26 | 成都烽创科技有限公司 | 工业控制网络的数据缓存方法、装置、终端设备及介质 |
| CN113783848A (zh) * | 2021-08-25 | 2021-12-10 | 张惠冰 | 基于欺骗性人工智能的网络主动防御方法及装置 |
| CN114640525A (zh) * | 2022-03-21 | 2022-06-17 | 北京从云科技有限公司 | 针对WEB服务的DDoS攻击的保护方法、装置和设备 |
| CN115102781A (zh) * | 2022-07-14 | 2022-09-23 | 中国电信股份有限公司 | 网络攻击处理方法、装置、电子设备和介质 |
| CN116708013A (zh) * | 2023-07-25 | 2023-09-05 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725705A (zh) * | 2005-05-09 | 2006-01-25 | 杭州华为三康技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| US20140047508A1 (en) * | 2004-11-10 | 2014-02-13 | Mlb Advanced Media, L.P. | Multiple user login detection and response system |
| CN103701794A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的识别方法和装置 |
| CN104009983A (zh) * | 2014-05-14 | 2014-08-27 | 杭州安恒信息技术有限公司 | 一种cc攻击的检测方法及其检测*** |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN105939328A (zh) * | 2016-01-27 | 2016-09-14 | 杭州迪普科技有限公司 | 网络攻击特征库的更新方法及装置 |
-
2016
- 2016-11-24 CN CN201611061771.7A patent/CN108111472A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140047508A1 (en) * | 2004-11-10 | 2014-02-13 | Mlb Advanced Media, L.P. | Multiple user login detection and response system |
| CN1725705A (zh) * | 2005-05-09 | 2006-01-25 | 杭州华为三康技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| CN103701794A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的识别方法和装置 |
| CN104009983A (zh) * | 2014-05-14 | 2014-08-27 | 杭州安恒信息技术有限公司 | 一种cc攻击的检测方法及其检测*** |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN105939328A (zh) * | 2016-01-27 | 2016-09-14 | 杭州迪普科技有限公司 | 网络攻击特征库的更新方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600145A (zh) * | 2017-12-25 | 2018-09-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定DDoS攻击设备的方法及装置 |
| CN108600145B (zh) * | 2017-12-25 | 2020-12-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定DDoS攻击设备的方法及装置 |
| CN109561090A (zh) * | 2018-11-30 | 2019-04-02 | 杭州安恒信息技术股份有限公司 | 一种web智能防御方法、装置、设备及可读存储介质 |
| CN109561090B (zh) * | 2018-11-30 | 2022-04-26 | 杭州安恒信息技术股份有限公司 | 一种web智能防御方法、装置、设备及可读存储介质 |
| CN111198900A (zh) * | 2019-12-31 | 2020-05-26 | 成都烽创科技有限公司 | 工业控制网络的数据缓存方法、装置、终端设备及介质 |
| CN111198900B (zh) * | 2019-12-31 | 2023-06-09 | 成都烽创科技有限公司 | 工业控制网络的数据缓存方法、装置、终端设备及介质 |
| CN113783848A (zh) * | 2021-08-25 | 2021-12-10 | 张惠冰 | 基于欺骗性人工智能的网络主动防御方法及装置 |
| CN114640525A (zh) * | 2022-03-21 | 2022-06-17 | 北京从云科技有限公司 | 针对WEB服务的DDoS攻击的保护方法、装置和设备 |
| CN115102781A (zh) * | 2022-07-14 | 2022-09-23 | 中国电信股份有限公司 | 网络攻击处理方法、装置、电子设备和介质 |
| CN115102781B (zh) * | 2022-07-14 | 2024-01-09 | 中国电信股份有限公司 | 网络攻击处理方法、装置、电子设备和介质 |
| CN116708013A (zh) * | 2023-07-25 | 2023-09-05 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
| CN116708013B (zh) * | 2023-07-25 | 2024-06-11 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108111472A (zh) | 一种攻击特征检测方法及装置 | |
| US11176573B2 (en) | Authenticating users for accurate online audience measurement | |
| US11657299B1 (en) | System and method for device identification and uniqueness | |
| US10657249B2 (en) | Identifying fraudulent activities and the perpetrators thereof | |
| JP6609047B2 (ja) | アプリケーション情報リスクマネジメントのための方法及びデバイス | |
| WO2018095192A1 (zh) | 网站攻击的检测和防护方法及*** | |
| US8311907B2 (en) | System and method for detecting fraudulent transactions | |
| CN107465651A (zh) | 网络攻击检测方法及装置 | |
| CN105404631B (zh) | 图片识别方法和装置 | |
| CN108090351A (zh) | 用于处理请求消息的方法和装置 | |
| US20130179421A1 (en) | System and Method for Collecting URL Information Using Retrieval Service of Social Network Service | |
| CN110581835B (zh) | 一种漏洞检测方法、装置及终端设备 | |
| CN109446801A (zh) | 检测模拟器访问的方法、装置、服务器及存储介质 | |
| CN111209601A (zh) | 一种用于反欺诈的人机识别*** | |
| CN109547426A (zh) | 业务响应方法及服务器 | |
| WO2019181979A1 (ja) | 脆弱性調査システム、配信サーバ、脆弱性調査方法及びプログラム | |
| CN106850349B (zh) | 一种特征信息的提取方法及装置 | |
| He et al. | Mobile app identification for encrypted network flows by traffic correlation | |
| CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
| JP5197681B2 (ja) | ログインシール管理システム及び管理サーバ | |
| CN107332856B (zh) | 地址信息的检测方法、装置、存储介质和电子装置 | |
| CN114006776B (zh) | 一种敏感信息泄露检测方法及装置 | |
| CN114513331B (zh) | 基于应用层通信协议的挖矿木马检测方法、装置及设备 | |
| US8909795B2 (en) | Method for determining validity of command and system thereof | |
| KR101748116B1 (ko) | 클라우드 모바일 환경에서의 스미싱 차단장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180601 |