CN110213208A - 一种处理请求的方法和装置以及存储介质 - Google Patents
一种处理请求的方法和装置以及存储介质 Download PDFInfo
- Publication number
- CN110213208A CN110213208A CN201810438832.XA CN201810438832A CN110213208A CN 110213208 A CN110213208 A CN 110213208A CN 201810438832 A CN201810438832 A CN 201810438832A CN 110213208 A CN110213208 A CN 110213208A
- Authority
- CN
- China
- Prior art keywords
- field contents
- statistical
- occurrence
- threshold value
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种处理请求的方法和装置以及存储介质,用于实现对恶意的访问请求的有效打击。其中,一种处理请求的方法,包括:根据客户端发送的访问请求从预置的多维度策略中确定出至少两种统计维度,多维度策略包括:多种不同的统计维度和每种统计维度对应的打击规则,统计维度用于指示需要统计的字段;从访问请求出分别提取出至少两种字段内容,至少两种字段内容与至少两种统计维度一一对应,每种字段内容都能够用于唯一的标识访问请求;判断在预设的统计周期内至少两种字段内容各自的出现次数,是否超过相应的阈值;当至少两种字段内容各自的出现次数都超过相应的阈值时,根据至少两种统计维度对应的打击规则对访问请求进行打击。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种处理请求的方法和装置以及存储介质。
背景技术
在分布式拒绝服务(Distributed Denial of Service,DDoS)攻击发展前期,绝大部分都能被业界知名的“黑洞”(Collapsar)抗拒绝服务攻击***所防护,于是黑客们研究出一种新型的针对超文本传输协议(HyperText Transfer Protocol,HTTP)的DDOS攻击后,即命名为Challenge Collapsar,声称黑洞设备无法防御,后来CC这个名称延用至今。CC攻击是DDOS攻击的一种,发生在第七层应用层,不同于网络层DDOS的是传输控制协议(Transmission Control Protocol,TCP)连接已经建立,攻击互联网协议(InternetProtocol,IP)是真实IP地址,主要对一些消耗资源的页面进行不断请求,导致消耗源站资源,和正常业务请求界定模糊,目前已有的业界防护产品中一直达不到很好的效果。
业界一般通过对客户端识别IP地址来进行打击,当某个客户端的IP地址的请求在一定时间内请求超过某个预设阈值,就认为是恶意IP地址,此时会对该IP地址进行打击。
目前已经有多种成熟的攻击模式,如使用大量代理服务器,控制傀儡机来隐藏攻击者的真实IP地址,当客户端不断变化IP地址进行请求时,现有技术基于IP地址的打击方式就会失效。
发明内容
本发明实施例提供了一种处理请求的方法和装置以及存储介质,用于实现对恶意的访问请求的有效打击。
为解决上述技术问题,本发明实施例提供以下技术方案:
第一方面,本发明实施例提供一种处理请求的方法,包括:
根据客户端发送的访问请求从预置的多维度策略中确定出至少两种统计维度,所述多维度策略包括:多种不同的统计维度和每种统计维度对应的打击规则,所述统计维度用于指示需要统计的字段;
从所述访问请求出分别提取出至少两种字段内容,所述至少两种字段内容与所述至少两种统计维度一一对应,其中,每种所述字段内容都能够用于唯一的标识所述访问请求;
判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值;
当所述至少两种字段内容各自的出现次数都超过相应的阈值时,根据所述至少两种统计维度对应的打击规则对所述访问请求进行打击。
第二方面,本发明实施例还提供一种处理请求的装置,包括:
多维度确定模块,用于根据客户端发送的访问请求从预置的多维度策略中确定出至少两种统计维度,所述多维度策略包括:多种不同的统计维度和每种统计维度对应的打击规则,所述统计维度用于指示需要统计的字段;
请求分析模块,用于从所述访问请求出分别提取出至少两种字段内容,所述至少两种字段内容与所述至少两种统计维度一一对应,其中,每种所述字段内容都能够用于唯一的标识所述访问请求;
判断模块,用于判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值;
请求处理模块,用于当所述至少两种字段内容各自的出现次数都超过相应的阈值时,根据所述至少两种统计维度对应的打击规则对所述访问请求进行打击。
在第二方面中,处理请求的装置的组成模块还可以执行前述第一方面以及各种可能的实现方式中所描述的步骤,详见前述对第一方面以及各种可能的实现方式中的说明。
第三方面,本发明实施例提供一种处理请求的装置,该处理请求的装置包括:处理器、存储器;存储器用于存储指令;处理器用于执行存储器中的指令,使得处理请求的装置执行如前述第一方面中任一项的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第五方面,本发明实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
从以上技术方案可以看出,本发明实施例具有以下优点:
在本发明实施例中,首先根据客户端发送的访问请求从预置的多维度策略中确定出至少两种统计维度,多维度策略包括:多种不同的统计维度和每种统计维度对应的打击规则,统计维度用于指示需要统计的字段。然后从访问请求出分别提取出至少两种字段内容,至少两种字段内容与至少两种统计维度一一对应,每种字段内容都能够用于唯一的标识访问请求。判断在预设的统计周期内至少两种字段内容各自的出现次数,是否超过相应的阈值。当至少两种字段内容各自的出现次数都超过相应的阈值时,根据至少两种统计维度对应的打击规则对访问请求进行打击。本发明实施例中设置有多维度策略,可以根据访问请求确定出至少两种统计维度,通过至少两种统计维度解析访问请求,从该访问请求中提取出至少两种字段内容,针对每种字段内容的出现次数来判断是否超过阈值,在至少两种字段内容各自的出现次数都超过相应的阈值时,使用打击规则对访问请求进行打击。通过设置多种统计维度以及多种字段内容的同时提取以及判断,可以实现有效区分访问请求以及有效的打击攻击者的目的。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的处理请求的方法所应用的***架构示意图;
图2为本发明一个实施例提供的处理请求的方法的流程方框示意图;
图3为本发明另一个实施例提供的处理请求的方法的流程方框示意图;
图4为本发明另一个实施例提供的处理请求的方法的流程方框示意图;
图5为本发明实施例提供的处理请求的方法的应用场景示意图;
图6为本发明实施例提供的策略设置的界面示意图;
图7-a为本发明实施例提供的一种处理请求的装置的组成结构示意图;
图7-b为本发明实施例提供的一种判断模块的组成结构示意图;
图8为本发明实施例提供的处理请求的方法应用于服务器的组成结构示意图。
具体实施方式
本发明实施例提供了一种处理请求的方法和装置以及存储介质,用于实现对恶意的访问请求的有效打击。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域的技术人员所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、***、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
请参考图1,其示出了本发明实施例提供的处理请求的方法所应用的***的结构示意图。该处理请求的方法所应用的***包括服务器110和终端120。
服务器110是一台服务器,或者由若干台服务器,或者是一个虚拟化平台,或者是一个云计算服务中心,该服务器110可以用于对终端发送的访问请求进行识别,从而确定受到了CC攻击。
可选的,服务器110包括提供网络(web)应用防火墙的后台服务器;可选的,服务器110包括提供多维度策略的后台服务器。
服务器110,用于接收终端120发送的访问请求,基于多维度策略来提取该访问请求的至少两种字段内容,通过对至少两种字段内容的出现次数的判断来确定是否打击该访问请求。
服务器110与终端120之间通过通信网络相连。可选的,通信网络是有线网络或无线网络。
终端120可以是手机、平板电脑、电子书阅读器、MP3播放器(Moving PictureExperts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(MovingPicture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
可选的,终端120中也运行有浏览器客户端,该浏览器客户端用于通过服务器110向网络发起访问,以及从网络下载到网络资源。
以下分别进行详细说明。
本发明处理请求的方法的一个实施例,具体可以应用于服务器一侧对客户端发送的访问请求的识别场景中,请参阅图2所示,本发明一个实施例提供的处理请求的方法,可以包括如下步骤:
201、根据客户端发送的访问请求从预置的多维度策略中确定出至少两种统计维度,多维度策略包括:多种不同的统计维度和每种统计维度对应的打击规则,统计维度用于指示需要统计的字段。
在本发明实施例中,服务器可以设置有多维度策略,该多维度策略中设置有多种不同的统计维度和每种统计维度对应的打击规则,其中,统计维度用于指示需要统计的字段,根据访问请求的请求类型可以设置多种统计维度,例如客户端的IP地址可以作为一种统计维度,访问请求中携带的用户的设备标识可以作为一种统计维度。通过不同的统计维度可以指示需要统计的不同字段,只要这些字段能够唯一的标识访问请求,都可以设置为统计维度。
在本发明的一些实施例中,多维度策略至少包括如下任意两种的统计维度:HTTP请求的类型字段、获取(get)参数的键(key)、请求头的key、浏览器缓存(cookie)的key。
其中,本发明实施例中,客户端发送的访问请求可以为HTTP请求,该HTPP请求中根据请求的业务具体实际情况提取能唯一标识该请求的字段都可以作为统计维度。HTTP请求的类型字段可以有多种,根据HTTP请求中用于指示请求类型的字段。又如,get参数的任意key,请求头任意key,cookie任意key都可以单独作为一种统计维度。
进一步的,HTTP请求的类型字段,包括:域名地址、客户端的IP地址、用户身份标识、公共网关接口(Common Gateway Interface,CGI)、服务标识、服务器的IP地址、用户代理参数。例如,域名地址指的是HTTP请求中的host取值,客户端的IP地址指的是HTTP请求中的client_ip,用户身份标识可以是HTTP请求中的uin,CGI可以是HTTP请求的访问地址,服务标识可以是HTTP请求中的SID,服务器的IP地址可以是HTTP请求的srv_ip,用户代理参数可以是HTTP请求中的UA(user agent)参数。
需要说明的是,本发明实施例中其他场景可以根据业务具体实际情况提取能唯一标识请求的字段都可以作为统计维度,而不局限于上述举例情况,本发明实施例中只需要从多维度策略中选择至少两种统计维度即可,在实际应用场景中通常可以选择3种不同的统计维度。
202、从访问请求出分别提取出至少两种字段内容,至少两种字段内容与至少两种统计维度一一对应,其中,每种字段内容都能够用于唯一的标识访问请求。
在本发明实施例中,根据确定出的至少两种统计维度来解析访问请求,则按照每种统计维度都可以从访问请求中提取出一种字段内容,其中,至少两种字段内容与至少两种统计维度一一对应,每种字段内容都能够用于唯一的标识访问请求。举例说明如下,确定出的至少两种统计维度为:client_ip,uin,srv_ip,则可以根据client_ip,uin,srv_ip分别从访问请求中提取出client_ip字段内容,uin字段内容,srv_ip字段内容。
203、判断在预设的统计周期内至少两种字段内容各自的出现次数,是否超过相应的阈值。
在本发明实施例中,提取出至少两种字段内容后,在预设的统计周期内分别统计至少两种字段内容各自的出现次数生成统计结果,统计周期的时长可以根据具体场景来确定。在该统计周期内,分别统计至少两种字段内容各自的出现次数生成统计结果,例如,在统计周期内该字段内容每出现一次,则出现次数的取值自动加一,根据至少两种字段分别获取预先设置的阈值,以判断各个字段内容的出现次数是否超过相应的阈值。举例说明如下,分别从访问请求中提取出client_ip字段内容,uin字段内容,srv_ip字段内容之后,统计在统计周期内client_ip字段内容的出现次数,uin字段内容的出现次数,srv_ip字段内容的出现次数,获取针对client_ip字段内容设置的阈值,针对uin字段内容设置的阈值,针对srv_ip字段内容设置的阈值。
204、当至少两种字段内容各自的出现次数都超过相应的阈值时,根据至少两种统计维度对应的打击规则对访问请求进行打击。
在本发明实施例中,通过步骤203中判断至少两种字段内容各自的出现次数,是否超过相应的阈值,可以确定出至少两种字段内容中每种字段内容的出现次数是否超过相应的阈值。在至少两种字段内容各自的出现次数都超过相应的阈值的情况下,说明步骤201接收到的访问请求满足了频控打击的要求,可以根据至少两种统计维度对应的打击规则对访问请求进行打击。其中,打击规则可以有多种,例如禁止访问,或者封号等。
在本发明的一些实施例中,步骤204根据至少两种统计维度对应的打击规则对访问请求进行打击,包括:
通过Web应用防火墙根据至少两种统计维度对应的打击规则对访问请求进行打击。
例如,本发明实施例中可以使用Web应用防火墙,通过该Web应用防火墙基于预设的打击规则对访问请求进行打击。该Web应用防火墙也可以称为Web应用防护***(WebApplication Firewall,简称:WAF),也称为网站应用级入侵防御***。
在本发明的一些实施例中,步骤203判断在预设的统计周期内至少两种字段内容各自的出现次数,是否超过相应的阈值之后,除了执行前述的步骤204,本发明实施例提供的处理请求的方法还可以执行如下步骤:
当至少两种字段内容中至少有一个字段内容的出现次数未超过相应的阈值时,将访问请求发送至网络应用服务器。
其中,当至少两种字段内容中至少有一个字段内容的出现次数未超过相应的阈值时,说明步骤201接收到的访问请求不满足频控打击的要求,此时可以对该访问请求进行正常转发,例如发送至网络应用服务器,由该网络应用服务器对该访问请求进行业务处理。
通过以上实施例对本发明实施例的描述可知,本发明实施例中设置有多维度策略,可以根据访问请求确定出至少两种统计维度,通过至少两种统计维度解析访问请求,从该访问请求中提取出至少两种字段内容,针对每种字段内容的出现次数来判断是否超过阈值,在至少两种字段内容各自的出现次数都超过相应的阈值时,使用打击规则对访问请求进行打击。通过设置多种统计维度以及多种字段内容的同时提取以及判断,可以实现有效区分访问请求以及有效的打击攻击者的目的。
请参考图3,其示出了本发明另一个实施例提供的处理请求的方法的流程图,如图3所示,在本发明的一些实施例中,步骤203判断在预设的统计周期内至少两种字段内容各自的出现次数,是否超过相应的阈值,包括:
2031、在预设的第一统计周期内分别统计至少两种字段内容各自的出现次数,生成第一统计结果;
2032、在预设的第二统计周期内分别统计至少两种字段内容各自的出现次数,生成第二统计结果,其中,第二统计周期的周期长度大于第一统计周期的周期长度;
2033、当第一统计结果超过相应的第一阈值,且第二统计结果超过相应的第二阈值时,确定满足如下条件:至少两种字段内容各自的出现次数都超过相应的阈值;或,
2034、当第一统计结果未超过相应的第一阈值,和/或第二统计结果未超过相应的第二阈值时,确定不满足如下条件:至少两种字段内容各自的出现次数都超过相应的阈值。
其中,攻击者在进行CC攻击时,IP地址为真实IP,在采用多代理或傀儡机发动攻击时,虽然不断变换IP,但是总量不可能无限制增长,会在一个IP地址池里面无限循环发动攻击,循环发动攻击的方式,单个IP的请求也会增大。本发明实施例中服务器可以设置两种不同的统计周期,第一统计周期和第二统计周期,第二统计周期的周期长度大于第一统计周期的周期长度。本发明实施例中服务器可以设计一种分析模型用于识别多代理IP攻击问题,设计两个统计周期一长一短,分析触发判断在不同的统计周期内字段内容的出现次数是否超过相应的阈值,本发明实施例中采用的分析模型也可以称为慢分析模型。服务器设置第一统计周期内对应的阈值为第一阈值,第二统计周期内对应的阈值为第二阈值,则根据统计周期的长度可以设置相应数量级的阈值。
在完成上述的慢分析模型设置之后,服务器可以在预设的第一统计周期内分别统计至少两种字段内容各自的出现次数,生成第一统计结果。同理的,在预设的第二统计周期内分别统计至少两种字段内容各自的出现次数,生成第二统计结果。根据获取到的第一统计结果和第二统计结果,分别触发模型的阈值判断过程,具体的,当第一统计结果超过相应的第一阈值,且第二统计结果超过相应的第二阈值时,确定满足如下条件:至少两种字段内容各自的出现次数都超过相应的阈值。当第一统计结果未超过相应的第一阈值,和/或第二统计结果未超过相应的第二阈值时,说明在短周期和长周期内至少有一种周期内统计出的统计结果没有超过相应的阈值,此时确定不满足如下条件:至少两种字段内容各自的出现次数都超过相应的阈值。
请参考图4,其示出了本发明另一个实施例提供的处理请求的方法的流程图,如图4所示,在本发明的一些实施例中,步骤203判断在预设的统计周期内至少两种字段内容各自的出现次数,是否超过相应的阈值之后,除了执行前述的步骤204,本发明实施例提供的处理请求的方法还可以执行如下步骤:
205、当至少两种字段内容各自的出现次数都超过相应的阈值时,确定客户端为采用CC攻击的恶意客户端。
其中,本发明实施例提供的处理请求的方法可以应用于客户端发起CC攻击的场景,步骤203判断在预设的统计周期内至少两种字段内容各自的出现次数,是否超过相应的阈值之后,在至少两种字段内容各自的出现次数都超过相应的阈值的情况下,服务器可以确定目前正在遭受CC攻击,确定客户端为采用CC攻击的恶意客户端,然后再执行步骤204中的打击方式。由于服务器可以识别出是恶意客户端发起了CC攻击,服务器可以针对该CC攻击采用相应的防御措施,从而阻止了恶意客户端的恶意行为。
为便于更好的理解和实施本发明实施例的上述方案,下面举例相应的应用场景来进行具体说明。
本发明实施例中,如图5所示,为本发明实施例提供的处理请求的方法的应用场景示意图。处理请求的方法所应用的***可以包括:WAF防护***、CC分析***和策略管理***,本发明实施例主要借助应用层防护墙WAF,提供用户配置多维度策略,进行恶意客户端的识别,并通过WAF下发规则实时防护打击。
在现有技术中,通过对攻击请求的客户端识别IP地址,来设定频控打击,但是如果IP地址为统一出口的网关IP,正常情况下单位时间对业务的请求量也是巨大,因此现有技术中就很难设定合理阈值,容易产生误杀,影响正常业务。另外,在现有技术中,依赖于对客户端的识别,但是当客户端不断变化IP进行请求时,就很容易绕过这这种单IP地址的频率限制。
因此,本发明实施例提供的解决方案可以根据业务请求具体情况灵活设置频控统计维度,规避打击正常统一出口IP问题。另外,本发明实施例通过设置慢分析模型,规避攻击者使用代理机器不断变化IP来绕过单IP的频率限制。其中,该慢分析模型可用于识别多代理IP攻击问题,设计两个统计周期一长一短,分别触发阈值的判断。
本发明实施例中具体可以应用于CC打击防护产品中,用户可以根据业务请求具体情况,灵活配置频控统计维度和统计模型,实现有效区分和打击攻击者的目的。
如图6所示,为本发明实施例提供的策略设置的界面示意图。
在本发明实施例提供的策略设置界面中,可以设置告警用户、阻断时长、统计模型、统计维度、周期、阈值、持续周期、持续阈值、打击维度和打击方式。其中,统计维度是指需要统计的维度字段。
本发明实施例中采用多种统计维度,例如包括http请求包的类型字段,例如client_ip,uin,srv_ip,sid,UA,多种统计维度还可以包括:GET参数的任意key,请求头任意key,cookie任意key。
本发明实施例中采用慢分析模型,即可以设置两个统计周期以及分别设置阈值,两个统计周期指的是图6中的周期和持续周期,两个统计周期中包括时间较短的周期和时间较长的持续周期。
本发明实施例提供的***主要包括三大部分:
WAF防护***主要负责转发请求和防护阻断功能,实时转发请求到CC分析***做分析,对CC分析***下发的打击规则进行打击。WAF防护***和CC分析***配合做最终的规则打击。
CC分析***用于接收策略管理***下发的策略,对预设的统计维度和阈值进行统计分析,超过阈值的请求,下发指定维度的打击规则到WAF防护***。
策略管理***生成的策略如图6所示的用户界面,用户可以自定义设置策略,对cc策略进行管理下发操作。
接下来对本发明实施例的具体流程进行举例说明:
场景一:支持多维度统计打击,规避网关IP打击问题。
以实际案例进行说明,在使用对单IP统计频率限制时,由于网关IP的访问量一样很大,出现难以区分网关IP和恶意IP的界限,针对业务请求的特点,被攻击的URL会带有唯一标识字段uin,可以设置以uin为统计维度来设置频率限制,其中,Uin是特指带在cookie中表示用户身份标识的的唯一标识字段。其他场景可以根据业务具体实际情况提取能唯一标识请求的字段,支持的统计维度字段包括:client_ip,uin,srv_ip,sid,UA,GET参数的任意key,请求头任意key,cookie任意key。
首先添加统计维度,host,cgi,uin设置预定阈值,打击维度为host,cgi,uin,提交策略。具体可以根据访问请求的实际情况而定,根据实际业务的流量来预设阈值,可以通过多次上线观察模型来不断调优阈值,达到最后真正区分攻击者的目的。
当恶意用户携带同一个uin的大量请求cgi时,CC分析***进行分析统计,触发阈值,生成打击该uin访问cgi的规则。
最后,由WAF防护***对下发的uin打击规则进行恶意用户请求打击。
场景二:慢分析模型统计,规避不断变化IP来绕过单IP的频率限制。
攻击者在进行CC攻击时,IP地址为真实IP,在采用多代理或傀儡机发动攻击时,虽然不断变换IP,但是总量不可能无限制增长,会在一个IP地址池里面无限循环发动攻击,如10000个代理IP,发动200000次攻击,平均每个IP发动20次,如果循环打下去单个IP的请求也会增大。
本发明实施例提供的慢分析模型中,对指定的维度设置两个时间窗口,一个短周期,一个长周期,分别统计业务在一个短周期的访问量和长周期的访问量,如果两者统计结果均超过预设阈值,根据阻断/观察模式设置是否阻断,其中,可以由管理员/客户在配置CC策略时设置采用的阻断方式。
首先添加统计维度,设置一个短周期统计时间和阈值,一个长周期统计时间和阈值,提交策略。
恶意用户采用大量代理IP,轮换发动攻击,当某个IP的短周期和一个长周期的访问值都触发阈值,下发打击该IP规则。
最后,由WAF防护***对下发的打击规则进行恶意用户请求打击。
本发明实施例解决现有技术中单IP维度的频率打击,根据业务请求实际情况设置多个统计维度。本发明实施例有效地解决了攻击者不断变化IP的CC攻击。为其他CC攻击的防护方法提供思路和参考依据。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
为便于更好的实施本发明实施例的上述方案,下面还提供用于实施上述方案的相关装置。
请参阅图7-a所示,本发明实施例提供的一种处理请求的装置700,可以包括:多维度确定模块701、请求分析模块702、判断模块703、请求处理模块704,其中,
多维度确定模块701,用于根据客户端发送的访问请求从预置的多维度策略中确定出至少两种统计维度,所述多维度策略包括:多种不同的统计维度和每种统计维度对应的打击规则,所述统计维度用于指示需要统计的字段;
请求分析模块702,用于从所述访问请求出分别提取出至少两种字段内容,所述至少两种字段内容与所述至少两种统计维度一一对应,其中,每种所述字段内容都能够用于唯一的标识所述访问请求;
判断模块703,用于判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值;
请求处理模块704,用于当所述至少两种字段内容各自的出现次数都超过相应的阈值时,根据所述至少两种统计维度对应的打击规则对所述访问请求进行打击。
在本发明的一些实施例中,请参阅图7-b所示,所述判断模块703,包括:
统计单元7031,用于在预设的第一统计周期内分别统计所述至少两种字段内容各自的出现次数,生成第一统计结果;在预设的第二统计周期内分别统计所述至少两种字段内容各自的出现次数,生成第二统计结果,其中,所述第二统计周期的周期长度大于所述第一统计周期的周期长度;
统计结果分析单元7032,用于当所述第一统计结果超过相应的第一阈值,且所述第二统计结果超过相应的第二阈值时,确定满足如下条件:所述至少两种字段内容各自的出现次数都超过相应的阈值;或,当所述第一统计结果未超过相应的第一阈值,和/或所述第二统计结果未超过相应的第二阈值时,确定不满足如下条件:所述至少两种字段内容各自的出现次数都超过相应的阈值。
在本发明的一些实施例中,所述多维度策略至少包括如下任意两种的统计维度:超文本传输协议HTTP请求的类型字段、获取get参数的键key、请求头的key、浏览器缓存cookie的key。
在本发明的一些实施例中,所述HTTP请求的类型字段,包括:域名地址、客户端的互联网协议IP地址、用户身份标识、公共网关接口CGI、服务标识、服务器的IP地址、用户代理参数。
在本发明的一些实施例中,所述请求处理模块704,具体用于通过网络Web应用防火墙根据所述至少两种统计维度对应的打击规则对所述访问请求进行打击。
在本发明的一些实施例中,所述请求处理模块704,还用于所述判断模块判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值之后,当所述至少两种字段内容中至少有一个字段内容的出现次数未超过相应的阈值时,将所述访问请求发送至网络应用服务器。
在本发明的一些实施例中,所述请求处理模块704,还用于所述判断模块判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值之后,当所述至少两种字段内容各自的出现次数都超过相应的阈值时,确定所述客户端为采用CC攻击的恶意客户端。
通过以上对本发明实施例的描述可知,本发明实施例中设置有多维度策略,可以根据访问请求确定出至少两种统计维度,通过至少两种统计维度解析访问请求,从该访问请求中提取出至少两种字段内容,针对每种字段内容的出现次数来判断是否超过阈值,在至少两种字段内容各自的出现次数都超过相应的阈值时,使用打击规则对访问请求进行打击。通过设置多种统计维度以及多种字段内容的同时提取以及判断,可以实现有效区分访问请求以及有效的打击攻击者的目的。
图8是本发明实施例提供的一种服务器结构示意图,该服务器1100可因配置或性能不同而产生比较大的差异,可以包括一个或一个以***处理器(central processingunits,CPU)1122(例如,一个或一个以上处理器)和存储器1132,一个或一个以上存储应用程序1142或数据1144的存储介质1130(例如一个或一个以上海量存储设备)。其中,存储器1132和存储介质1130可以是短暂存储或持久存储。存储在存储介质1130的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1122可以设置为与存储介质1130通信,在服务器1100上执行存储介质1130中的一系列指令操作。
服务器1100还可以包括一个或一个以上电源1126,一个或一个以上有线或无线网络接口1150,一个或一个以上输入输出接口1158,和/或,一个或一个以上操作***1141,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中由服务器所执行的步骤可以基于该图8所示的服务器结构。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本发明而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘、U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
综上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照上述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对上述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (15)
1.一种处理请求的方法,其特征在于,包括:
根据客户端发送的访问请求从预置的多维度策略中确定出至少两种统计维度,所述多维度策略包括:多种不同的统计维度和每种统计维度对应的打击规则,所述统计维度用于指示需要统计的字段;
从所述访问请求出分别提取出至少两种字段内容,所述至少两种字段内容与所述至少两种统计维度一一对应,其中,每种所述字段内容都能够用于唯一的标识所述访问请求;
判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值;
当所述至少两种字段内容各自的出现次数都超过相应的阈值时,根据所述至少两种统计维度对应的打击规则对所述访问请求进行打击。
2.根据权利要求1所述的方法,其特征在于,所述判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值,包括:
在预设的第一统计周期内分别统计所述至少两种字段内容各自的出现次数,生成第一统计结果;
在预设的第二统计周期内分别统计所述至少两种字段内容各自的出现次数,生成第二统计结果,其中,所述第二统计周期的周期长度大于所述第一统计周期的周期长度;
当所述第一统计结果超过相应的第一阈值,且所述第二统计结果超过相应的第二阈值时,确定满足如下条件:所述至少两种字段内容各自的出现次数都超过相应的阈值;或,
当所述第一统计结果未超过相应的第一阈值,和/或所述第二统计结果未超过相应的第二阈值时,确定不满足如下条件:所述至少两种字段内容各自的出现次数都超过相应的阈值。
3.根据权利要求1所述的方法,其特征在于,所述多维度策略至少包括如下任意两种的统计维度:超文本传输协议HTTP请求的类型字段、获取get参数的键key、请求头的key、浏览器缓存cookie的key。
4.根据权利要求3所述的方法,其特征在于,所述HTTP请求的类型字段,包括:域名地址、客户端的互联网协议IP地址、用户身份标识、公共网关接口CGI、服务标识、服务器的IP地址、用户代理参数。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述根据所述至少两种统计维度对应的打击规则对所述访问请求进行打击,包括:
通过网络Web应用防火墙根据所述至少两种统计维度对应的打击规则对所述访问请求进行打击。
6.根据权利要求1至4中任一项所述的方法,其特征在于,所述判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值之后,所述方法还包括:
当所述至少两种字段内容中至少有一个字段内容的出现次数未超过相应的阈值时,将所述访问请求发送至网络应用服务器。
7.根据权利要求1至4中任一项所述的方法,其特征在于,所述判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值之后,所述方法还包括:
当所述至少两种字段内容各自的出现次数都超过相应的阈值时,确定所述客户端为采用CC攻击的恶意客户端。
8.一种处理请求的装置,其特征在于,包括:
多维度确定模块,用于根据客户端发送的访问请求从预置的多维度策略中确定出至少两种统计维度,所述多维度策略包括:多种不同的统计维度和每种统计维度对应的打击规则,所述统计维度用于指示需要统计的字段;
请求分析模块,用于从所述访问请求出分别提取出至少两种字段内容,所述至少两种字段内容与所述至少两种统计维度一一对应,其中,每种所述字段内容都能够用于唯一的标识所述访问请求;
判断模块,用于判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值;
请求处理模块,用于当所述至少两种字段内容各自的出现次数都超过相应的阈值时,根据所述至少两种统计维度对应的打击规则对所述访问请求进行打击。
9.根据权利要求8所述的装置,其特征在于,所述判断模块,包括:
统计单元,用于在预设的第一统计周期内分别统计所述至少两种字段内容各自的出现次数,生成第一统计结果;在预设的第二统计周期内分别统计所述至少两种字段内容各自的出现次数,生成第二统计结果,其中,所述第二统计周期的周期长度大于所述第一统计周期的周期长度;
统计结果分析单元,用于当所述第一统计结果超过相应的第一阈值,且所述第二统计结果超过相应的第二阈值时,确定满足如下条件:所述至少两种字段内容各自的出现次数都超过相应的阈值;或,当所述第一统计结果未超过相应的第一阈值,和/或所述第二统计结果未超过相应的第二阈值时,确定不满足如下条件:所述至少两种字段内容各自的出现次数都超过相应的阈值。
10.根据权利要求8所述的装置,其特征在于,所述多维度策略至少包括如下任意两种的统计维度:超文本传输协议HTTP请求的类型字段、获取get参数的键key、请求头的key、浏览器缓存cookie的key。
11.根据权利要求10所述的装置,其特征在于,所述HTTP请求的类型字段,包括:域名地址、客户端的互联网协议IP地址、用户身份标识、公共网关接口CGI、服务标识、服务器的IP地址、用户代理参数。
12.根据权利要求8至11中任一项所述的装置,其特征在于,所述请求处理模块,具体用于通过网络Web应用防火墙根据所述至少两种统计维度对应的打击规则对所述访问请求进行打击。
13.根据权利要求8至11中任一项所述的装置,其特征在于,所述请求处理模块,还用于所述判断模块判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值之后,当所述至少两种字段内容中至少有一个字段内容的出现次数未超过相应的阈值时,将所述访问请求发送至网络应用服务器。
14.根据权利要求8至11中任一项所述的装置,其特征在于,所述请求处理模块,还用于所述判断模块判断在预设的统计周期内所述至少两种字段内容各自的出现次数,是否超过相应的阈值之后,当所述至少两种字段内容各自的出现次数都超过相应的阈值时,确定所述客户端为采用CC攻击的恶意客户端。
15.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1至7任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810438832.XA CN110213208B (zh) | 2018-05-09 | 2018-05-09 | 一种处理请求的方法和装置以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810438832.XA CN110213208B (zh) | 2018-05-09 | 2018-05-09 | 一种处理请求的方法和装置以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110213208A true CN110213208A (zh) | 2019-09-06 |
CN110213208B CN110213208B (zh) | 2021-11-09 |
Family
ID=67778826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810438832.XA Active CN110213208B (zh) | 2018-05-09 | 2018-05-09 | 一种处理请求的方法和装置以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110213208B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110650142A (zh) * | 2019-09-25 | 2020-01-03 | 腾讯科技(深圳)有限公司 | 访问请求处理方法、装置、***、存储介质和计算机设备 |
CN111046379A (zh) * | 2019-12-06 | 2020-04-21 | 支付宝(杭州)信息技术有限公司 | 一种对抗攻击的监测方法和装置 |
CN111131250A (zh) * | 2019-12-24 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种客户端识别方法及装置 |
CN111352967A (zh) * | 2020-02-27 | 2020-06-30 | 携程旅游网络技术(上海)有限公司 | 滑动窗口算法的频次控制方法、***、设备及介质 |
CN114039778A (zh) * | 2021-11-09 | 2022-02-11 | 深信服科技股份有限公司 | 一种请求处理方法、装置、设备及可读存储介质 |
CN114338064A (zh) * | 2020-09-30 | 2022-04-12 | 腾讯科技(深圳)有限公司 | 识别网络流量类型的方法、装置、设备和存储介质 |
CN114928452A (zh) * | 2022-05-17 | 2022-08-19 | 壹沓科技(上海)有限公司 | 访问请求验证方法、装置、存储介质及服务器 |
CN115473789A (zh) * | 2022-09-16 | 2022-12-13 | 深信服科技股份有限公司 | 告警处理方法以及相关设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103179132A (zh) * | 2013-04-09 | 2013-06-26 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
CN104580222A (zh) * | 2015-01-12 | 2015-04-29 | 山东大学 | 基于信息熵的DDoS攻击分布式检测与响应***及方法 |
US20170374098A1 (en) * | 2016-06-24 | 2017-12-28 | Fortinet, Inc. | Denial-of-service (dos) mitigation approach based on connection characteristics |
CN107528812A (zh) * | 2016-06-21 | 2017-12-29 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
-
2018
- 2018-05-09 CN CN201810438832.XA patent/CN110213208B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103179132A (zh) * | 2013-04-09 | 2013-06-26 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
CN104580222A (zh) * | 2015-01-12 | 2015-04-29 | 山东大学 | 基于信息熵的DDoS攻击分布式检测与响应***及方法 |
CN107528812A (zh) * | 2016-06-21 | 2017-12-29 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
US20170374098A1 (en) * | 2016-06-24 | 2017-12-28 | Fortinet, Inc. | Denial-of-service (dos) mitigation approach based on connection characteristics |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110650142A (zh) * | 2019-09-25 | 2020-01-03 | 腾讯科技(深圳)有限公司 | 访问请求处理方法、装置、***、存储介质和计算机设备 |
CN111046379A (zh) * | 2019-12-06 | 2020-04-21 | 支付宝(杭州)信息技术有限公司 | 一种对抗攻击的监测方法和装置 |
CN111046379B (zh) * | 2019-12-06 | 2021-06-18 | 支付宝(杭州)信息技术有限公司 | 一种对抗攻击的监测方法和装置 |
CN111131250B (zh) * | 2019-12-24 | 2022-04-26 | 杭州迪普科技股份有限公司 | 一种客户端识别方法及装置 |
CN111131250A (zh) * | 2019-12-24 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种客户端识别方法及装置 |
CN111352967A (zh) * | 2020-02-27 | 2020-06-30 | 携程旅游网络技术(上海)有限公司 | 滑动窗口算法的频次控制方法、***、设备及介质 |
CN111352967B (zh) * | 2020-02-27 | 2024-02-06 | 携程旅游网络技术(上海)有限公司 | 滑动窗口算法的频次控制方法、***、设备及介质 |
CN114338064A (zh) * | 2020-09-30 | 2022-04-12 | 腾讯科技(深圳)有限公司 | 识别网络流量类型的方法、装置、设备和存储介质 |
CN114338064B (zh) * | 2020-09-30 | 2023-07-07 | 腾讯科技(深圳)有限公司 | 识别网络流量类型的方法、装置、***、设备和存储介质 |
CN114039778A (zh) * | 2021-11-09 | 2022-02-11 | 深信服科技股份有限公司 | 一种请求处理方法、装置、设备及可读存储介质 |
CN114928452A (zh) * | 2022-05-17 | 2022-08-19 | 壹沓科技(上海)有限公司 | 访问请求验证方法、装置、存储介质及服务器 |
CN114928452B (zh) * | 2022-05-17 | 2024-02-13 | 壹沓科技(上海)有限公司 | 访问请求验证方法、装置、存储介质及服务器 |
CN115473789A (zh) * | 2022-09-16 | 2022-12-13 | 深信服科技股份有限公司 | 告警处理方法以及相关设备 |
CN115473789B (zh) * | 2022-09-16 | 2024-02-27 | 深信服科技股份有限公司 | 告警处理方法以及相关设备 |
Also Published As
Publication number | Publication date |
---|---|
CN110213208B (zh) | 2021-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110213208A (zh) | 一种处理请求的方法和装置以及存储介质 | |
CN107465651B (zh) | 网络攻击检测方法及装置 | |
US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
CN109951500A (zh) | 网络攻击检测方法及装置 | |
Li et al. | RTVD: A real-time volumetric detection scheme for DDoS in the Internet of Things | |
US8516595B2 (en) | Method and system for estimating the reliability of blacklists of botnet-infected computers | |
CN102291390B (zh) | 一种基于云计算平台的防御拒绝服务攻击的方法 | |
CN104065644B (zh) | 基于日志分析的cc攻击识别方法和设备 | |
CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
CN105763561B (zh) | 一种攻击防御方法和装置 | |
CN107645478B (zh) | 网络攻击防御***、方法及装置 | |
TW201824047A (zh) | 攻擊請求的確定方法、裝置及伺服器 | |
Xu et al. | An SDNFV-based DDoS defense technology for smart cities | |
Clark et al. | A game-theoretic approach to IP address randomization in decoy-based cyber defense | |
EP2661049A2 (en) | System and method for malware detection | |
CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
CN110381041B (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
CN107666473A (zh) | 一种攻击检测的方法及控制器 | |
CN105991628A (zh) | 网络攻击的识别方法和装置 | |
CN107517200B (zh) | 一种Web服务器的恶意爬虫防御策略选择方法 | |
CN105577670A (zh) | 一种撞库攻击的告警*** | |
CN107733867A (zh) | 一种发现僵尸网络及防护的方法和*** | |
CN111970261A (zh) | 网络攻击的识别方法、装置及设备 | |
CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
Jia et al. | Micro-honeypot: using browser fingerprinting to track attackers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |