CN108600145A - 一种确定DDoS攻击设备的方法及装置 - Google Patents
一种确定DDoS攻击设备的方法及装置 Download PDFInfo
- Publication number
- CN108600145A CN108600145A CN201711421274.8A CN201711421274A CN108600145A CN 108600145 A CN108600145 A CN 108600145A CN 201711421274 A CN201711421274 A CN 201711421274A CN 108600145 A CN108600145 A CN 108600145A
- Authority
- CN
- China
- Prior art keywords
- client
- ddos attack
- characteristic value
- application
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种确定DDoS攻击设备的方法及装置,用于解决现有技术中确定DDoS攻击设备的方法存在无法识别具备完整协议栈行为的DDoS攻击设备、且用户体验差的技术问题。所述方法包括:在接收到N个客户端发送的HTTP请求时,获取所述N个客户端中每个客户端的特征值,所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征;将特征值相同各个客户端划分在同一个类别中,统计各个类别的客户端在预定时间范围内的流量;在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时,将所述任一类别的客户端确定为DDoS攻击设备。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种确定DDoS攻击设备的方法及装置。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
现有技术中对DDoS攻击进行防护采用的技术方案一般为检验客户端的浏览器能力是否齐全,比如采用JavaScript、cookie等验证方式,校验客户端是否具有正常的JavaScript计算能力、正常的超文本传输协议(HyperText Transfer Protocol,HTTP)响应行为等。但是,现有这些方法只能检测出具有不完整协议栈行为的DDoS攻击设备,而对具备完整协议栈行为的DDoS攻击设备无能为力,比如攻击者使用浏览器模拟合法的HTTP请求,占用大量网络资源,达到瘫痪网络的目的;并且,这类检测方法通常还需要用户参与验证过程,比如输入验证码、拖动验证图片等,会中断用户的浏览体验。可见,现有技术中确定DDoS攻击设备的方法存在无法识别具备完整协议栈行为的DDoS攻击设备、且用户体验差的技术问题。
发明内容
本发明实施例提供一种确定DDoS攻击设备的方法及装置,用于解决现有技术中确定DDoS攻击设备的方法存在无法识别具备完整协议栈行为的DDoS攻击设备、且用户体验差的技术问题。
本发明实施例第一方面提供一种确定DDoS攻击设备的方法,包括:
在接收到N个客户端发送的HTTP请求时,获取所述N个客户端中每个客户端的特征值,所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征;
将特征值相同各个客户端划分在同一个类别中,统计各个类别的客户端在预定时间范围内的流量;
在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时,将所述任一类别的客户端确定为DDoS攻击设备。
在上述方案中,通过对特征值相同的客户端的流量的判定,可以将由同一个DDoS攻击网络发起的DDoS攻击流量全部鉴定出来,解决了现有技术无法识别具备完整协议栈行为的DDoS攻击设备的技术问题。
可选的,所述获取所述N个客户端中每个客户端的特征值,包括:向所述N个客户端中的每个客户端发送第一指令,所述第一指令用于指示客户端:根据自身的至少一项特征信息生成特征值,并返回生成的特征值;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;接收各个客户端返回的特征值。
通过本方式,可以直接从各个客户端获得各个客户端对应的特征值,进而实现基于特征值对客户端分类,识别DDoS攻击设备。
可选的,所述获取所述N个客户端中每个客户端的特征值,包括:向所述N个客户端中的每个客户端发送第二指令,所述第二指令用于指示客户端:返回自身的至少一项特征信息;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;接收各个客户端返回的特征信息;分别根据每个客户端返回的特征信息生成每个客户端对应的特征值。
通过本方式,可以从各个客户端获得各个客户端的特征信息,然后基于对各个客户端的特征信息的计算获得各个客户端对应的特征值,进而实现基于特征值对客户端分类,识别DDoS攻击设备。
可选的,所述特征信息包括操作***的类型、浏览器的版本、浏览器的窗口状态、浏览器的扩展信息、浏览器的设置信息、浏览器的历史请求记录、客户端的显卡信息、客户端的声卡信息中的至少一项。
通过本方式,可以根据客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征确定客户端对应的特征值,进而实现基于特征值对客户端分类,识别DDoS攻击设备。
可选的,在将所述任一类别的客户端确定为DDoS攻击设备之后,所述方法还包括:对确定出的各个DDoS攻击设备的流量进行限制;或者将确定出的各个DDoS攻击设备加入黑名单。
通过本方式,可以有效防御DDoS攻击,保障网络安全。
本发明实施例第二方面提供一种确定DDoS攻击设备的装置,包括:接收单元,用于接收N个客户端发送的HTTP请求;处理单元,用于获取所述N个客户端中每个客户端的特征值,所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征;将特征值相同各个客户端划分在同一个类别中,统计各个别的客户端在预定时间范围内的流量;在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时,将所述任一类别的客户端确定为DDoS攻击装置。
可选的,所述装置还包括第一发送单元;所述第一发送单用于向所述N个客户端中的每个客户端发送第一指令,所述第一指令用于指示客户端根据自身的至少一项特征信息生成特征值,并返回生成的特征值;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;所述接收单元还用于:接收各个客户端返回的特征值。
可选的,所述装置还包括第二发送单元;所述第二发送单元用于向所述N个客户端中的每个客户端发送第二指令,所述第二指令用于指示客户端返回自身的至少一项特征信息;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;所述接收单元还用于:接收各个客户端返回的特征信息;所述处理单元还用于:分别根据每个客户端返回的特征信息生成每个客户端对应的特征值。
可选的,所述特征信息包括操作***的类型、浏览器的版本、浏览器的窗口状态、浏览器的扩展信息、浏览器的设置信息、浏览器的历史请求记录、客户端的显卡信息、客户端的声卡信息中的至少一项。
可选的,所述处理单元还用于:在将所述任一类别的客户端确定为DDoS攻击设备之后,对确定出的各个DDoS攻击设备的流量进行限制,或者,将确定出的各个DDoS攻击设备加入黑名单。
本发明实施例第三方面还提供一种确定DDoS攻击设备的设备,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器、通信接口;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,利用所述通信接口执行本发明实施例第一方面所述的方法。
本发明实施例第四方面还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行本发明实施例第一方面所述的方法。
本发明实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
根据各个客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征获得各个客户端的特征值,并将特征值相同的客户端识别为同一类客户端,在检测到任一类客户端在预定时间范围内的总流量超过第一阈值时,确定该类客户端全部为DDoS攻击设备。本方案通过对特征值相同的客户端的流量的判定,可以将由同一个DDoS攻击网络发起的DDoS攻击流量全部鉴定出来,解决了现有技术无法识别具备完整协议栈行为的DDoS攻击设备的技术问题;并且,可以不需要用户参与验证过程,不会中断用户的浏览体验,提高用户体验度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中CC攻击的示意图;
图2为本发明实施例中确定DDoS攻击设备的方法的流程示意图;
图3为本发明实施例中确定DDoS攻击设备的装置的结构示意图;
图4为本发明实施例中确定DDoS攻击设备的设备的结构示意图。
具体实施方式
下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
需要理解的是,在本发明实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。在本发明实施例的描述中“多个”,是指两个或两个以上。
本发明实施例中的术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
受全球范围内的网络安全状况形势不断的恶化影响,DDoS攻击愈演愈烈,其中CC(Challenge Collapsar)攻击呈明显上升趋势。所谓CC攻击,是指攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装。例如,参照图1,黑客通过安装有CC攻击软件的主控机控制多个傀儡机(DDoS攻击设备)同时向一个服务器(受击设备)发送大量合法网页请求,占用服务器资源,使得服务器难以响应正常客户端发起的HTTP请求服务。
为了防御DDoS攻击,现有的解决方案有以下4种:
方式1:在有客户端发起GET类型的HTTP请求时,返回302跳转给客户端,客户端响应302跳转,中断本次连接,访问新的地址。如果客户端在访问新地址时能带上正确cookie,则确定该客户端为正常用户的客户端,并响应客户端的请求,否则丢弃客户端的HTTP请求;
方式2:在有客户端发起GET类型的HTTP请求时,返回JavaScript执行代码给客户端,客户端对接收到的JavaScript代码进行计算,能正确计算则确定该客户端为正常用户的客户端,响应客户端的请求,否则丢弃客户端的HTTP请求;
方式3:在有客户端发起GET类型的HTTP请求时,返回验证码图片给客户端,要求用户人工操作输入验证码。如果用户输入的是正确的验证码,则确定该客户端为正常用户的客户端,并响应客户端的请求,否则丢弃客户端的HTTP请求;
方式4:限制单个源网络协议(Internet Protocol,IP)地址在单位时间内与服务端通信的流量。
其中,上述方式1、方式2只能检测出具有不完整协议栈行为的攻击源,对具备完整协议交互行为的攻击源无能为力,比如攻击者使用浏览器模拟合法的HTTP请求对服务端进行DDoS攻击;上述方式3拦截率虽然最高,但是需要用户人工进行验证码的输入,会中断客户的浏览体验,用户体验差;而上述方式4,随着DDoS攻击技术不断发展,现有技术已经可以做到让单台DDoS设备的请求速率很低,保持在正常访问速率范围内,然后依靠庞大的DDoS攻击设备数量达到对受击设备进行积累攻击的效果,因此这种限速方案不仅区分不了DDoS攻击设备,甚至还可能对正常用户的客户端的通信服务造成影响。
实施例一
本发明实施例一提供一种确定DDoS攻击设备的方法,用于解决现有技术中确定DDoS攻击设备的方法存在无法识别具备完整协议栈行为的DDoS攻击设备、且用户体验差的技术问题。该方法可以应用在受击设备(如服务端)本身,也可以应用在受击设备前端专门设置的防护设备中,本发明实施例不做具体限制。
参照图2,该确定DDoS攻击设备的方法包括:
步骤101:在接收到N个客户端发送的HTTP请求时,获取所述N个客户端中每个客户端的特征值。
具体的,每个客户端只有一个特征值,客户端的特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征。所述特征值是根据客户端的多项特征信息计算获得。客户端的特征信息包括但不限于以下三种类型:客户端发起HTTP请求的应用的特征信息、客户端发起HTTP请求的应用的运行环境的特征信息、客户端的硬件的特征信息。其中,所述应用的特征信息可以为浏览器的版本、浏览器的窗口状态(包括窗口被隐藏/激活、窗口的大小尺寸、窗口的位置)、浏览器的扩展信息、浏览器的设置信息、浏览器的历史请求记录等,所述运行环境的特征信息可以为操作***的版本、操作***的设置信息等,所述客户端的硬件特征信息可以为客户端的显卡信息、声卡信息等。
在具体实施过程中,根据客户端的多项特征信息确定客户端的特征值的具体实现方式可以为:采用哈希算法分别对各个客户端的多项特征信息进行哈希计算,进而获得每个客户端对应的哈希值,获得的哈希值即为客户端的特征值,该特征值也可称作客户端的身份标识(identification,ID)号。
步骤102:将特征值相同各个客户端划分在同一个类别中,统计各个类别的客户端在预定时间范围内的流量。
一般来说,来自同一个攻击网络发起的DDoS攻击,每个DDoS设备都有着相同的工具特征,即客户端的特征信息相同。鉴于此,可以将客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征相同的客户端识别为同一类客户端,即将特征值相同各个客户端识别为同一个攻击者使用的客户端,并统计每个特征值对应的全部客户端在预定时间范围内的流量。
步骤103:在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时,将所述任一类别的客户端确定为DDoS攻击设备。
在上述方案中,根据各个客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征获得各个客户端的特征值,并将特征值相同的客户端识别为同一类客户端,在检测到任一类客户端在预定时间范围内的总流量超过第一阈值时,确定该类客户端全部为DDoS攻击设备。本方案通过对特征值相同的客户端的流量的判定,可以将由同一个DDoS攻击网络发起的DDoS攻击流量全部鉴定出来,解决了现有技术无法识别出具备完整协议栈行为的DDoS攻击设备、单台流量小的DDoS攻击设备的技术问题,并且不需要用户在客户端进行交互式验证,提高了用户体验。
可选的,上述步骤101中获取所述N个客户端中每个客户端的特征值的的具体实现方式,包括但不限于以下两种:
方式1:向所述N个客户端中的每个客户端发送第一指令,所述第一指令用于指示客户端:根据客户端的至少一项特征信息生成特征值,并返回生成的特征值;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;接收各个客户端返回的特征值。
其中,所述第一指令具体可以为携带有JavaScript代码的响应页面,客户端通过执行该JavaScript代码可以获得自身的特征信息并基于特征信息生成特征值。
方式2:向所述N个客户端中的每个客户端发送第二指令,所述第二指令用于指示客户端:返回客户端的至少一项特征信息;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;接收各个客户端返回的特征信息;分别根据每个客户端返回的特征信息生成每个客户端对应的特征值。
其中,所述第二指令具体可以为携带有JavaScript代码的响应页面,客户端通过执行该JavaScript代码可以获得自身的特征信息。
与方式1相区别的是,本方式客户端返回的是特征信息,而方式1中客户端返回的是特征值,方式1对特征信息进行计算的工作直接由客户端完成。
通过本方式,可以从各个客户端获得各个客户端的特征信息,然后基于对各个客户端的特征信息的计算获得各个客户端对应的特征值,也可以直接从各个客户端获得各个客户端对应的特征值,进而实现基于特征值对客户端分类,识别DDoS攻击设备的技术效果。
可选的,在将所述任一类别的客户端确定为DDoS攻击设备之后,还可以包括:对确定出的各个DDoS攻击设备的流量进行限制;或者,将确定出的各个DDoS攻击设备加入黑名单。
例如,如果某个DDoS攻击设备在单位时间内的流量超过预定值,则将该DDoS攻击设备发送的报文丢弃;又例如,只要识别到DDoS攻击设备发送的报文,就将其丢弃。
通过本方式,可以有效防御DDoS攻击,保障网络安全。
实施例二
本发明实施例二提供一种确定DDoS攻击设备的方法,该方法与实施例一整体发明构思相同。不同的是,实施例二中客户端的特征值就是指客户端的特征信息,每个客户端的特征值(即特征信息)可以为多个;而上述实施例一中的特征值是根据客户端的多项特征信息计算得到的一个值,一个客户端只有一个特征值。下面对本发明实施例二的完整实施流程进行介绍:
步骤一:在接收到N个客户端发送的HTTP请求时,获取所述N个客户端中每个客户端的至少一个特征值。
其中,客户端的一个特征值即为客户端的一项特征信息,包括但不限于以下三种类型:客户端发起HTTP请求的应用的特征信息、客户端发起HTTP请求的应用的运行环境的特征信息、客户端的硬件的特征信息,比如特征信息具体可以为浏览器的版本、浏览器的窗口隐藏/激活状态、浏览器的窗口的大小尺寸、浏览器的窗口的位置、浏览器的扩展信息、浏览器的设置信息、浏览器的历史请求记录、客户端的显卡信息、客户端的声卡信息等等。
步骤二:将特征值相同各个客户端划分在同一个类别中,统计各个类别的客户端在预定时间范围内的流量。
具体的,比较每个客户端发来的特征值,如果有两个客户端发送的所有特征值全部一致,则将这两个客户端划分到同一个类别中。统计各个类别的客户端在预定时间范围内的总流量。
需要说明的是,在具体实施过程中,如果某两个客户端的大部分特征值相同,但有极少数特征值存在差异,也可以将这两个客户端划分到同一个类别中。比如,客户端A和客户端B的浏览器的版本、浏览器的窗口隐藏/激活状态、浏览器的窗口的大小尺寸、浏览器的窗口的位置、浏览器的扩展信息、浏览器的设置信息全部相同,但是客户端A浏览某网站页面的次数比客户端B浏览某网站页面的次数少一次,那么也可以将客户端A和客户端B划分在同一个类别中。
步骤三:在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时,将所述任一类别的客户端确定为DDoS攻击设备。
通过上述技术方案,可以将由同一个DDoS攻击网络发起的DDoS攻击流量全部鉴定出来,解决了现有技术无法识别出具备完整协议栈行为的DDoS攻击设备、单台流量小的DDoS攻击设备的技术问题,并且不需要用户在客户端进行交互式验证,提高了用户体验。
实施例三
本发明实施例三提供一种确定DDoS攻击设备的装置,参照图3,该装置包括:
接收单元201,用于接收N个客户端发送的HTTP请求;
处理单元202,用于获取所述N个客户端中每个客户端的特征值,所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征;将特征值相同各个客户端划分在同一个类别中,统计各个别的客户端在预定时间范围内的流量;在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时,将所述任一类别的客户端确定为DDoS攻击装置。
可选的,所述装置还包括第一发送单元203;
所述第一发送单元203用于向所述N个客户端中的每个客户端发送第一指令,所述一指令用于指示客户端根据自身的至少一项特征信息生成特征值,并返回生成的特征值;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;
所述接收单元201还用于:接收各个客户端返回的特征值。
可选的,所述装置还包括第二发送单元203;
所述第二发送单元203用于向所述N个客户端中的每个客户端发送第二指令,所述第二指令用于指示客户端返回自身的至少一项特征信息;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;
所述接收单元201还用于:接收各个客户端返回的特征信息;
所述处理单元202还用于:分别根据每个客户端返回的特征信息生成每个客户端对应的特征值。
可选的,所述特征信息包括操作***的类型、浏览器的版本、浏览器的窗口状态、浏览器的扩展信息、浏览器的设置信息、浏览器的历史请求记录、客户端的显卡信息、客户端的声卡信息中的至少一项。
可选的,所述处理单元202还用于:
在将所述任一类别的客户端确定为DDoS攻击设备之后,对确定出的各个DDoS攻击设备的流量进行限制,或者,将确定出的各个DDoS攻击设备加入黑名单。
以上各单元所执行操作的具体实现方式可以本发明实施例一中所述确定DDoS攻击设备的方法的对应步骤,本发明实施例不再赘述。
实施例四
本发明实施例四提供一种确定DDoS攻击设备的设备,参照图4,该设备包括:
至少一个处理器301,以及
与所述至少一个处理器301通信连接的存储器302、通信接口303;
其中,所述存储器302存储有可被所述至少一个处理器301执行的指令,所述至少一个处理器301通过执行所述存储器302存储的指令,利用所述通信接口303执行本发明实施例一或实施例二中的所述确定DDoS攻击设备的方法。
实施例五
本发明实施例五提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行本发明实施例一或实施例二中的所述确定DDoS攻击设备的方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种确定分布式拒绝服务DDoS攻击设备的方法,其特征在于,包括:
在接收到N个客户端发送的超文本传输协议HTTP请求时,获取所述N个客户端中每个客户端的特征值,所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征;
将特征值相同各个客户端划分在同一个类别中,统计各个类别的客户端在预定时间范围内的流量;
在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时,将所述任一类别的客户端确定为DDoS攻击设备。
2.如权利要求1所述的方法,其特征在于,所述获取所述N个客户端中每个客户端的特征值,包括:
向所述N个客户端中的每个客户端发送第一指令,所述第一指令用于指示客户端根据自身的至少一项特征信息生成特征值,并返回生成的特征值;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;
接收各个客户端返回的特征值。
3.如权利要求1所述的方法,其特征在于,所述获取所述N个客户端中每个客户端的特征值,包括:
向所述N个客户端中的每个客户端发送第二指令,所述第二指令用于指示客户端返回自身的至少一项特征信息;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;
接收各个客户端返回的特征信息;
分别根据每个客户端返回的特征信息生成每个客户端对应的特征值。
4.如权利要求2或3所述的方法,其特征在于,所述特征信息包括操作***的类型、浏览器的版本、浏览器的窗口状态、浏览器的扩展信息、浏览器的设置信息、浏览器的历史请求记录、客户端的显卡信息、客户端的声卡信息中的至少一项。
5.如权利要求1-3任一项所述的方法,其特征在于,在将所述任一类别的客户端确定为DDoS攻击设备之后,所述方法还包括:
对确定出的各个DDoS攻击设备的流量进行限制;或者
将确定出的各个DDoS攻击设备加入黑名单。
6.一种确定DDoS攻击设备的装置,其特征在于,包括:
接收单元,用于接收N个客户端发送的HTTP请求;
处理单元,用于获取所述N个客户端中每个客户端的特征值,所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征;将特征值相同各个客户端划分在同一个类别中,统计各个别的客户端在预定时间范围内的流量;在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时,将所述任一类别的客户端确定为DDoS攻击装置。
7.如权利要求6所述的装置,其特征在于,所述装置还包括第一发送单元;
所述第一发送单元用于:向所述N个客户端中的每个客户端发送第一指令,所述第一指令用于指示客户端根据自身的至少一项特征信息生成特征值,并返回生成的特征值;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;
所述接收单元还用于:接收各个客户端返回的特征值。
8.如权利要求6所述的装置,其特征在于,所述装置还包括第二发送单元;
所述第二发送单元用于:向所述N个客户端中的每个客户端发送第二指令,所述第二指令用于指示客户端返回自身的至少一项特征信息;其中,客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征;
所述接收单元还用于:接收各个客户端返回的特征信息;
所述处理单元还用于:分别根据每个客户端返回的特征信息生成每个客户端对应的特征值。
9.如权利要求7或8所述的装置,其特征在于,所述特征信息包括操作***的类型、浏览器的版本、浏览器的窗口状态、浏览器的扩展信息、浏览器的设置信息、浏览器的历史请求记录、客户端的显卡信息、客户端的声卡信息中的至少一项。
10.如权利要求6-8任一项所述的装置,其特征在于,所述处理单元还用于:
在将所述任一类别的客户端确定为DDoS攻击设备之后,对确定出的各个DDoS攻击设备的流量进行限制,或者,将确定出的各个DDoS攻击设备加入黑名单。
11.一种确定DDoS攻击设备的设备,其特征在于,包括:
至少一个处理器,以及
与所述至少一个处理器通信连接的存储器、通信接口;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,利用所述通信接口执行权利要求1-5中任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711421274.8A CN108600145B (zh) | 2017-12-25 | 2017-12-25 | 一种确定DDoS攻击设备的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711421274.8A CN108600145B (zh) | 2017-12-25 | 2017-12-25 | 一种确定DDoS攻击设备的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108600145A true CN108600145A (zh) | 2018-09-28 |
CN108600145B CN108600145B (zh) | 2020-12-25 |
Family
ID=63633172
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711421274.8A Active CN108600145B (zh) | 2017-12-25 | 2017-12-25 | 一种确定DDoS攻击设备的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108600145B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110505232A (zh) * | 2019-08-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 网络攻击的检测方法及装置、电子设备、存储介质 |
CN112333045A (zh) * | 2020-11-03 | 2021-02-05 | 国家工业信息安全发展研究中心 | 智能流量基线学习方法、设备和计算机可读存储介质 |
CN112751815A (zh) * | 2019-10-31 | 2021-05-04 | 华为技术有限公司 | 报文处理方法、装置、设备及计算机可读存储介质 |
CN113364723A (zh) * | 2020-03-05 | 2021-09-07 | 奇安信科技集团股份有限公司 | DDoS攻击监控方法及装置、存储介质、计算机设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105430011A (zh) * | 2015-12-25 | 2016-03-23 | 杭州朗和科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
CN105553974A (zh) * | 2015-12-14 | 2016-05-04 | 中国电子信息产业集团有限公司第六研究所 | 一种http慢速攻击的防范方法 |
CN106778260A (zh) * | 2016-12-31 | 2017-05-31 | 网易无尾熊(杭州)科技有限公司 | 攻击检测方法和装置 |
US20170324757A1 (en) * | 2016-05-04 | 2017-11-09 | University Of North Carolina At Charlotte | Multiple detector methods and systems for defeating low and slow application ddos attacks |
CN107465648A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 异常设备的识别方法及装置 |
CN108111472A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 一种攻击特征检测方法及装置 |
-
2017
- 2017-12-25 CN CN201711421274.8A patent/CN108600145B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105553974A (zh) * | 2015-12-14 | 2016-05-04 | 中国电子信息产业集团有限公司第六研究所 | 一种http慢速攻击的防范方法 |
CN105430011A (zh) * | 2015-12-25 | 2016-03-23 | 杭州朗和科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
US20170324757A1 (en) * | 2016-05-04 | 2017-11-09 | University Of North Carolina At Charlotte | Multiple detector methods and systems for defeating low and slow application ddos attacks |
CN107465648A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 异常设备的识别方法及装置 |
CN108111472A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 一种攻击特征检测方法及装置 |
CN106778260A (zh) * | 2016-12-31 | 2017-05-31 | 网易无尾熊(杭州)科技有限公司 | 攻击检测方法和装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110505232A (zh) * | 2019-08-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 网络攻击的检测方法及装置、电子设备、存储介质 |
CN112751815A (zh) * | 2019-10-31 | 2021-05-04 | 华为技术有限公司 | 报文处理方法、装置、设备及计算机可读存储介质 |
CN112751815B (zh) * | 2019-10-31 | 2021-11-19 | 华为技术有限公司 | 报文处理方法、装置、设备及计算机可读存储介质 |
CN113364723A (zh) * | 2020-03-05 | 2021-09-07 | 奇安信科技集团股份有限公司 | DDoS攻击监控方法及装置、存储介质、计算机设备 |
CN112333045A (zh) * | 2020-11-03 | 2021-02-05 | 国家工业信息安全发展研究中心 | 智能流量基线学习方法、设备和计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108600145B (zh) | 2020-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
US10049209B2 (en) | Device, method, and system of differentiating between virtual machine and non-virtualized device | |
CN107426181B (zh) | 恶意Web访问请求的拦截方法及装置 | |
US11019383B2 (en) | Internet anti-attack method and authentication server | |
Chonka et al. | Cloud security defence to protect cloud computing against HTTP-DoS and XML-DoS attacks | |
JP6432210B2 (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
CN108600145A (zh) | 一种确定DDoS攻击设备的方法及装置 | |
US11973768B2 (en) | Method and system for detecting malicious payloads | |
US10270792B1 (en) | Methods for detecting malicious smart bots to improve network security and devices thereof | |
US10701179B2 (en) | Adaptive scoring of service requests and determining whether to fulfill service requests | |
US10366217B2 (en) | Continuous user authentication | |
CN106549980B (zh) | 一种恶意c&c服务器确定方法及装置 | |
EP3887981B1 (en) | Verifying user interactions on a content platform | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
CN108521405B (zh) | 一种风险管控方法、装置及存储介质 | |
CN107517200B (zh) | 一种Web服务器的恶意爬虫防御策略选择方法 | |
WO2019063389A1 (en) | METHOD FOR PROCESSING WEB REQUESTS TO A WEBSITE | |
Acar et al. | A privacy‐preserving multifactor authentication system | |
Saravanan et al. | A new framework to alleviate DDoS vulnerabilities in cloud computing. | |
CN111478892A (zh) | 基于浏览器指纹的攻击者画像多维度分析方法 | |
CN107046516B (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
WO2019114246A1 (zh) | 一种身份认证方法、服务器及客户端设备 | |
Aljawarneh et al. | A web client authentication system using smart card for e-systems: initial testing and evaluation | |
WO2016195090A1 (ja) | 検知システム、検知装置、検知方法及び検知プログラム | |
CN109495471A (zh) | 一种对web攻击结果判定方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |
|
CP01 | Change in the name or title of a patent holder |