CN113518064B - 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 - Google Patents
挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN113518064B CN113518064B CN202110307308.0A CN202110307308A CN113518064B CN 113518064 B CN113518064 B CN 113518064B CN 202110307308 A CN202110307308 A CN 202110307308A CN 113518064 B CN113518064 B CN 113518064B
- Authority
- CN
- China
- Prior art keywords
- request
- url
- access
- model
- baseline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种挑战黑洞攻击的防御方法、装置、计算机设备和存储介质,其该方法包括:根据url访问请求获取url请求数据;将所述请求数据输入预先训练好的url请求模型,得到请求量阈值;其中,所述url请求模型为基于目标站点的访问行为数据训练得到的机器学习模型;基于所述请求量阈值判定是否放行所述url访问请求。通过本申请,减少了误拦截人为产生的正常访问请求的情况出现,提高辨别出真实攻击的概率。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种挑战黑洞攻击的防御方法、装置、计算机设备和存储介质。
背景技术
挑战黑洞攻击(CC攻击,Challenge Collapsar)是一种基于页面的的分布式拒绝服务(DDoS,Distributed Denial of Service)攻击。常见的CC攻击大多数是主机资源消耗型,它不会产生特别大的异常流量。CC攻击通过代理、发动肉鸡,生成大量合法的网页请求,统一指向某一受害主机。受害主机被动的接收大量合法网页请求,消耗时间、运算能力去响应攻击者请求,最终崩溃。CC攻击不可以用硬件防火墙来过滤,CC攻击本身就是正常的请求。
通常的CC防御规则对触发请求数阈值的源IP进行拦截,一旦访问超过阈值,web后台服务器生成一个或多个随机数,每个随机数映射一张含有待解答问题的图片,所有图片以二进制形式存储在数据库(或文件***)中,最终通过web服务器自身链接到一个动态页面,给浏览器终端返回验证图片,等待浏览器终端计算结果返给web服务器。此类方案的主要缺点如下:1)Web后台服务器通常情况下不考虑url种类、访问时间范围等多方因素,而直接设置访问阈值,会影响体验;2)通过图片进行校验存在维护难题。由于图片并不是实时生成的,而是从一个已经生成好的池子中生成的,会重复利用。若攻击者使用较强的图片识别技术,则会遍历学习完图片问题,然后实施重放攻击;3)若出现网站活动、集中访问的情况,易出现误拦截的情况。
发明内容
本申请实施例提供了一种挑战黑洞攻击的防御方法、装置、计算机设备和存储介质,以至少解决相关技术中防御方法不合理、易出现误拦截的问题。
第一方面,本申请实施例提供了一种挑战黑洞攻击的防御方法,包括:
根据url访问请求获取url请求数据;
将所述请求数据输入预先训练好的url请求模型,得到请求量阈值;其中,所述url请求模型为基于目标站点的访问行为数据训练得到的机器学习模型;
基于所述请求量阈值判定是否放行所述url访问请求。
在其中一些实施例中,所述url请求模型包括请求速率基线、请求离散度基线中的至少之一;其中,所述请求速率基线为单一请求端对同一url访问请求的请求速率;所述请求离散度基线为请求时间间隔内单一请求端对url访问请求的请求项数。
在其中一些实施例中,所述url请求模型包括请求速率基线,则根据url访问请求提取url请求数据之前,还包括:
获取目标站点的访问行为数据;
从所述访问行为数据中提取训练样本;所述训练样本包括单一请求端不同请求时间间隔内不同url地址的访问速率;
将单一请求端所述请求时间间隔、url地址作为url请求模型的输入,将所述请求时间间隔内url地址对应的目标站点的访问速率作为url请求模型的输出进行训练,得到请求速率基线。
在其中一些实施例中,所述url请求模型包括请求离散度基线,则根据url访问请求提取url请求数据之前,还包括:
获取目标站点的访问行为数据;
从所述访问行为数据中提取训练样本;所述训练样本包括单一请求端请求时间间隔内url访问请求的请求离散度;
将单一请求端所述请求时间间隔作为url请求模型的输入,将所述请求时间间隔对应的单一请求端的请求离散度作为url请求模型的输出进行训练,得到请求离散度基线。
在其中一些实施例中,基于所述请求量阈值判定是否放行所述url访问请求包括:
当所述目标站点的至少一个url访问请求超过所述请求量阈值时,根据所述url请求数据得到对应的请求IP和请求时间戳;
根据所述请求IP和请求时间戳生成所述url访问请求对应的校验url并返回至客户端;
根据所述校验url确定是否放行所述url访问请求。
在其中一些实施例中,根据所述校验url确定是否放行所述url访问请求包括:
当接收到用户基于所述校验url的验证操作触发的提示信息时,并根据所述提示信息确定是否放行所述url访问请求;否则
阻断所述url访问请求。
在其中一些实施例中,所述验证操作包括以下至少之一:
通过滑块的拖拽操作、通过指定控件的点击操作。
第二方面,本申请实施例提供了一种挑战黑洞攻击的防御装置,包括:
请求数据获取单元,用于根据url访问请求获取url请求数据;
请求量阈值获取单元,用于将所述请求数据输入预先训练好的url请求模型,得到请求量阈值;其中,所述url请求模型为基于目标站点的访问行为数据训练得到的机器学习模型;
攻击判断单元,用于基于所述请求量阈值判定是否放行所述url访问请求。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的挑战黑洞攻击的防御方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的挑战黑洞攻击的防御方法。
相比于相关技术,本申请实施例提供的挑战黑洞攻击的防御方法,通过基于目标站点的访问行为数据训练得到机器学习模型,并将所述请求数据输入预先训练好的url请求模型,得到请求量阈值,并基于所述请求量阈值判定是否放行所述url访问请求实现了基于访问请求得到更为科学的CC防护阈值,减少了误拦截人为产生的正常访问请求的情况出现,提高了辨别出真实攻击的概率。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请其中一个实施例中挑战黑洞攻击的防御方法的流程示意图;
图2是本申请其中一个实施例中基于访问行为数据训练得到机器学习模型的流程框图;
图3是本申请其中一个实施例中基于所述请求量阈值判定是否放行所述url访问请求的流程示意图;
图4是本申请其中一个实施例中CC攻击的防御过程框图;
图5是本申请其中一个实施例中挑战黑洞攻击的防御装置的结构框图;
图6是本申请其中一个实施例中计算机设备的结构示意图。
附图说明:201、请求数据获取单元;202、请求量阈值获取单元;203、攻击判断单元;30、总线;31、处理器;32、存储器;33、通信接口。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
随着计算机网络技术的不断发展,企业的正常运营和个人的工作生活越来越依赖网络技术。网络技术在给人们带来经营效率和便利的同时,也给网络中的攻击者带来了可乘之机。目前应用层的网络攻击愈发多样,造成的业务安全威胁愈发严峻。
挑战黑洞攻击(即CC攻击)是网络攻击中的一种,CC攻击方式主要有3种:单主机虚拟多IP地址攻击方式、代理服务器群攻击方式和僵尸网络攻击方式。其中,在单主机虚拟多IP地址攻击方式中,攻击者利用一台主机虚构出多个IP地址向服务器的指定页面发送访问请求包,当服务器来不及处理这些访问请求时,将导致该页面不能响应正常用户的访问请求,此时正常的访问将被拒绝。在代理服务器群攻击方式中,攻击者通过攻击主机发送页面访问请求给代理服务器,然后攻击主机可以立刻断开与代理服务器的本次连接,并马上发送下一次的访问请求,由于代理服务器接受访问请求指令后一定会对应用服务器的指定页面资源进行访问,当应用服务器来不及处理大量的访问请求时,将导致该页面不能响应正常用户的访问请求,此时正常的访问将被拒绝。在僵尸网络攻击方式中,攻击者通过攻击主机发送攻击指令到僵尸主机上,由僵尸主机自动发送页面访问请求给应用服务器,当使用具有一定规模的僵尸网络进行CC攻击时,将会对应用服务器页面造成巨大的访问流量,可导致服务器瘫痪。
本实施例提供了一种挑战黑洞攻击的防御方法。图1是根据本申请实施例的挑战黑洞攻击的防御方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,根据url访问请求获取url请求数据。
在本实施例中,挑战黑洞攻击的防御方法可用于网络设备对网络攻击(如CC攻击等DDOS攻击等)行为的防御检测过程中。所述网络设备可以是手机、平板、电脑、MID(MobileInternet Devices,移动互联网设备)、智能电视等。网络设备上安装有WAF(WebApplication Firewall,Web应用防护***)、漏洞扫描,防火墙等产品对网络攻击进行安全防御。所述客户端可以通过网络访问所述网络设备,以向服务器请求资源,该服务器可以是网站服务器(如web服务器、Http服务器等)、文件服务器、数据库服务器和应用程序服务器等,所述客户端和所述服务器的数量可以是一个或多个。
在本实施例中,当客户端向所述目标站点发起url访问请求时,解析所述url访问请求得到url请求数据,所述url请求数据至少包括url访问请求对应的统一资源定位符(uniform resource locator,url)地址、请求时间间隔内的访问次数、请求IP、请求时间戳等。
步骤S102,将所述请求数据输入预先训练好的url请求模型,得到请求量阈值;其中,所述url请求模型为基于目标站点的访问行为数据训练得到的机器学习模型。
在本实施例中,可以通过构建人工神经网络训练得到的机器学习模型,根据环境提供信息量的不同,人工神经网络包括监督学习、无监督学习和再励学习。优选的,监督学习通过环境给出包括给定输入和期望输出的训练样本集,神经网络根据网络的实际输出与期望输出之间的误差来不断修正网络参数以改进自身性能,实现学习训练过程。
如图2所示,在本实施例中,日常的网络访问过程中会产生大量的访问行为数据。基于对目标站点的访问行为数据获取训练样本集进行训练,得到机器学习模型。具体的,当获取客户端发起的url访问请求后,经web防火墙规则检测后放行通过,然后将所述url访问请求放行至网络设备并发往建模学习,得到url请求模型。
在本实施例中,当得到url请求模型后,使用该模型得到请求数据对应的请求量阈值,使得该请求量阈值能够更为科学的反映正常访问请求的阈值情况,提高了防御识别的精准度。
步骤S103,基于所述请求量阈值判定是否放行所述url访问请求。
在本实施例中,可以通过判断所述请求数据的访问量是否超过所述请求量阈值,根据判断结果执行是否放行所述url访问请求。具体的,当所述访问量超过所述请求量阈值时,则认为所述请求数据对应的url访问请求为疑似攻击行为,进而触发进一步的攻击行为检测,当检测到攻击行为时阻断所述url访问请求,形成两层防御。需要说明的是,在本实施例中,所述请求数据所在url访问请求的访问量与所述请求量阈值的判定维度相同,所述维度至少包括url访问时间段、url地址、攻击方式中的至少一种,具体可以根据攻击防御的实时性、精确性要求而定,本申请不做具体限定。
综上,本申请实施例提供的挑战黑洞攻击的防御方法,通过基于目标站点的访问行为数据训练得到机器学习模型,并将所述请求数据输入预先训练好的url请求模型,得到请求量阈值,从而基于所述请求量阈值判定是否放行所述url访问请求。实现了基于大流量的url访问请求得到更为科学的CC防护阈值,减少了误拦截人为产生的正常访问请求的情况出现,提高辨别出真实攻击的概率。
下面通过优选实施例对本申请实施例进行描述和说明。
在上述实施例的基础上,在其中一些实施例中,所述url请求模型包括请求速率基线、请求离散度基线中的至少之一,则所述请求量阈值可以是请求速率阈值和/或请求离散度阈值。
在本实施例中,所述请求速率基线为单一请求端对同一url访问请求的请求速率。具体的,所述请求速率基线可以是单一请求端对同一url访问请求的url请求量与请求时间间隔的比值,即请求时间间隔内任一url访问请求的平均速率。所述请求时间间隔可以根据需求进行预先设置,请求速率基线在不同请求时间间隔实时变化,不同请求时间间隔的请求速率基线可以相同也可以不同。所述请求离散度基线为请求时间间隔内单一请求端对url访问请求的请求项数,即单一请求端在请求时间间隔内请求访问了多少不同的url地址。
在一种具体的实施方式中,所述url请求模型包括请求速率基线,则根据url访问请求提取url请求数据之前,还包括以下步骤:获取目标站点的访问行为数据;从所述访问行为数据中提取训练样本;其中,所述训练样本包括单一请求端不同请求时间间隔内不同url地址的访问速率;将单一请求端所述请求时间间隔、url地址作为url请求模型的输入,将所述请求时间间隔内url地址对应的目标站点的访问速率作为url请求模型的输出进行训练,得到请求速率基线。
在另一种具体的实施方式中,所述url请求模型包括请求离散度基线,则根据url访问请求提取url请求数据之前,还包括:获取目标站点的访问行为数据;从所述访问行为数据中提取训练样本;其中,所述训练样本包括单一请求端请求时间间隔内url访问请求的请求离散度;将单一请求端所述请求时间间隔作为url请求模型的输入,将所述请求时间间隔对应的单一请求端的请求离散度作为url请求模型的输出进行训练,得到请求离散度基线。其中,可以通过以下方式计算得到请求离散度。例如:请求时间间隔为60s,有100个请求端,各自产生了url访问请求动作,在100个请求端中,每个请求端产生的请求url访问请求是多种多样的。其中,请求端A在60s内请求了10种不同的url,请求端B在60s内请求了60种不同的url,请求端C在60s内请求了40种不同的url。则首先计算出上述100个请求端的请求项数,然后按照项数的大小降序排列,将中位数作为单个请求端的请求离散度。优选的,可以去掉最大值和最小值后取中位数。更为优选的,在上述中位数与最大值之间再取中位数,得到单个请求端的请求离散度。
可以理解,在其他实施例中,所述url请求模型还可以是目标站点的CPU占用率基线、流量基线等等,本申请不做具体限定。
如图3所示,在上述实施例的基础上,在其中一些实施例中,基于所述请求量阈值判定是否放行所述url访问请求包括:
步骤S1031,当所述目标站点的至少一个url访问请求超过所述请求量阈值时,根据所述url请求数据得到对应的请求IP和请求时间戳;
步骤S1032,根据所述请求IP和请求时间戳生成所述url访问请求对应的校验url并返回至客户端。
在本实施例中,可以将所述请求数据输入预先训练好的url请求模型,基于请求速率基线、请求离散度基线中的至少之一得到请求量阈值,其中,所述请求量阈值为请求速率阈值和/或请求离散度阈值。即当所述目标站点的至少一个url访问请求的请求速率和/或请求离散度超过对应的阈值时,判定存在疑似攻击行为,进行疑似攻击处理。
在本实施例中,解析所述访问请求得到请求IP和触发本次请求时间戳,基于所述请求IP和请求时间戳形成校验url,将所述校验url返回至客户端进行校验。可选地,可以将请求时间戳合并到请求IP的后缀,得到校验url,本申请不做具体限定。
步骤S1033,根据所述校验url确定是否放行所述url访问请求。具体的,根据所述校验url确定是否放行所述url访问请求包括:当接收到用户基于所述校验url的验证操作触发的提示信息时,根据所述提示信息确定是否放行所述url访问请求。
例如,在一种具体的实施方式中,所述验证操作包括通过指定控件的点击操作。具体的,可以在所述校验url中配置JS脚本文件,以向所述客户端返回包含指定控件的校验url。从而当人为频繁在进行访问时通过手动点击所述指定控件,可触发校验成功的提示信息并返回。当接收到校验成功的提示信息后放行所述url访问请求。可选地,所述提示信息可以是一条反馈校验成功信息的关联url。然而,若是机器脚本的攻击行为,则无法点击该指定控件,从而无法触发校验成功的提示信息,当未接收到校验成功的提示信息后阻断所述url访问请求,则攻击请求无法送达。
可以理解,所述验证操作也可以是通过滑块的拖拽操作等其他指定操作,例如当鼠标在5秒钟内正确完成拖拽,才会触发反馈校验成功的提示信息。
如图4所示,在上述实施例的基础上,在其中一个实施例中,首先请求端发起url访问请求,然后将所述请求数据输入预先训练好的url请求模型,得到请求量阈值。基于所述请求量阈值判断所述url访问请求是否达到请求量阈值。当未达到请求量阈值时,判定不存在疑似攻击行为,此时重复执行请求量阈值计算;当达到请求量阈值时,判定存在疑似攻击行为,此时进行进一步疑似攻击行为处理。具体的,根据所述url请求数据获取校验url并返回至客户端,当收到校验成功的提示信息后放行所述url访问请求至网络设备。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种挑战黑洞攻击的防御装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本申请实施例的挑战黑洞攻击的防御装置的结构框图,如图5所示,该装置包括:请求数据获取单元201、请求量阈值获取单元202和攻击判断单元203。
请求数据获取单元201,用于根据url访问请求获取url请求数据;
请求量阈值获取单元202,用于将所述请求数据输入预先训练好的url请求模型,得到请求量阈值;其中,所述url请求模型为基于目标站点的访问行为数据训练得到的机器学习模型;
攻击判断单元203,用于基于所述请求量阈值判定是否放行所述url访问请求。
在其中一些实施例中,所述url请求模型包括请求速率基线、请求离散度基线中的至少之一;其中,所述请求速率基线为单一请求端对同一url访问请求的请求速率;所述请求离散度基线为请求时间间隔内单一请求端对url访问请求的请求项数。
在其中一些实施例中,所述url请求模型包括请求速率基线,则挑战黑洞攻击的防御装置还包括:第一访问行为数据单元、第一训练样本获取单元和第一训练单元。
第一访问行为数据单元,用于获取目标站点的访问行为数据;
第一训练样本获取单元,用于从所述访问行为数据中提取训练样本;所述训练样本包括单一请求端不同请求时间间隔内不同url地址的访问速率;
第一训练单元,用于将单一请求端所述请求时间间隔、url地址作为url请求模型的输入,将所述请求时间间隔内url地址对应的目标站点的访问速率作为url请求模型的输出进行训练,得到请求速率基线。
在其中一些实施例中,所述url请求模型包括请求离散度基线,则挑战黑洞攻击的防御装置还包括:第二访问行为数据单元、第二训练样本获取单元和第二训练单元。
第二访问行为数据单元,用于获取目标站点的访问行为数据;
第二训练样本获取单元,用于从所述访问行为数据中提取训练样本;所述训练样本包括单一请求端请求时间间隔内url访问请求的请求离散度;
第二训练单元,用于将单一请求端所述请求时间间隔作为url请求模型的输入,将所述请求时间间隔对应的单一请求端的请求离散度作为url请求模型的输出进行训练,得到请求离散度基线。
在其中一些实施例中,攻击判断单元203包括:请求信息获取模块、校验url生成模块和判断模块。
请求信息获取模块,用于当所述目标站点的至少一个url访问请求超过所述请求量阈值时,根据所述url请求数据得到对应的请求IP和请求时间戳;
校验url生成模块,用于根据所述请求IP和请求时间戳生成所述url访问请求对应的校验url并返回至客户端;
判断模块,用于根据所述校验url确定是否放行所述url访问请求。
在其中一些实施例中,判断模块包括:第一访问请求防御模块和第二访问请求防御模块。
第一访问请求防御模块,用于当接收到用户基于所述校验url的验证操作时,触发提示信息,并根据所述提示信息确定是否放行所述url访问请求;
第二访问请求防御模块,用于阻断所述url访问请求。
在其中一些实施例中,所述验证操作包括以下至少之一:
通过滑块的拖拽操作、通过指定控件的点击操作。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例挑战黑洞攻击的防御方法可以由计算机设备来实现。图6为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器31以及存储有计算机程序指令的存储器32。
具体地,上述处理器31可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器32可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器32可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器32可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器32可在数据处理装置的内部或外部。在特定实施例中,存储器32是非易失性(Non-Volatile)存储器。在特定实施例中,存储器32包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器32可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器31所执行的可能的计算机程序指令。
处理器31通过读取并执行存储器32中存储的计算机程序指令,以实现上述实施例中的任意一种挑战黑洞攻击的防御方法。
在其中一些实施例中,计算机设备还可包括通信接口33和总线30。其中,如图6所示,处理器31、存储器32、通信接口33通过总线30连接并完成相互间的通信。
通信接口33用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口33还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线30包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线30包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线30可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、***组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线30可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的程序指令,执行本申请实施例中的挑战黑洞攻击的防御方法,从而实现结合图1-4描述的挑战黑洞攻击的防御方法。
另外,结合上述实施例中的挑战黑洞攻击的防御方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种挑战黑洞攻击的防御方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (7)
1.一种挑战黑洞攻击的防御方法,其特征在于,包括:
根据url访问请求提取url请求数据;
将所述请求数据输入预先训练好的url请求模型,得到请求量阈值;其中,所述url请求模型为基于目标站点的访问行为数据训练得到的机器学习模型;
基于所述请求量阈值判定是否放行所述url访问请求;
其中,所述url请求模型包括请求速率基线与请求离散度基线;其中,所述请求速率基线为单一请求端对同一url访问请求的请求速率;所述请求离散度基线为请求时间间隔内单一请求端对url访问请求的请求项数,即单一请求端在请求时间间隔内请求访问了多少不同的url地址;
其中,所述url请求模型包括请求速率基线,则根据url访问请求提取url请求数据之前,还包括:
获取目标站点的访问行为数据;
从所述访问行为数据中提取训练样本;所述训练样本包括单一请求端不同请求时间间隔内不同url地址的访问速率;
将单一请求端所述请求时间间隔、url地址作为url请求模型的输入,将所述请求时间间隔内url地址对应的目标站点的访问速率作为url请求模型的输出进行训练,得到请求速率基线;
其中,所述url请求模型包括请求离散度基线,则根据url访问请求提取url请求数据之前,还包括:
获取目标站点的访问行为数据;
从所述访问行为数据中提取训练样本;所述训练样本包括单一请求端请求时间间隔内url访问请求的请求离散度;
将单一请求端所述请求时间间隔作为url请求模型的输入,将所述请求时间间隔对应的单一请求端的请求离散度作为url请求模型的输出进行训练,得到请求离散度基线。
2.根据权利要求1所述的挑战黑洞攻击的防御方法,其特征在于,基于所述请求量阈值判定是否放行所述url访问请求包括:
当所述目标站点的至少一个url访问请求超过所述请求量阈值时,根据所述url请求数据得到对应的请求IP和请求时间戳;
根据所述请求IP和请求时间戳生成所述url访问请求对应的校验url并返回至客户端;
根据所述校验url确定是否放行所述url访问请求。
3.根据权利要求2所述的挑战黑洞攻击的防御方法,其特征在于,根据所述校验url确定是否放行所述url访问请求包括:
当接收到用户基于所述校验url的验证操作触发的提示信息时,并根据所述提示信息确定是否放行所述url访问请求;否则
阻断所述url访问请求。
4.根据权利要求3所述的挑战黑洞攻击的防御方法,其特征在于,所述验证操作包括以下至少之一:
通过滑块的拖拽操作、通过指定控件的点击操作。
5.一种挑战黑洞攻击的防御装置,其特征在于,包括:
请求数据获取单元,用于根据url访问请求提取url请求数据;
请求量阈值获取单元,用于将所述请求数据输入预先训练好的url请求模型,得到请求量阈值;其中,所述url请求模型为基于目标站点的访问行为数据训练得到的机器学习模型,所述url请求模型包括请求速率基线与请求离散度基线;其中,所述请求速率基线为单一请求端对同一url访问请求的请求速率;所述请求离散度基线为请求时间间隔内单一请求端对url访问请求的请求项数,即单一请求端在请求时间间隔内请求访问了多少不同的url地址;
其中,所述url请求模型包括请求速率基线,则根据url访问请求提取url请求数据之前,还包括:
获取目标站点的访问行为数据;
从所述访问行为数据中提取训练样本;所述训练样本包括单一请求端不同请求时间间隔内不同url地址的访问速率;
将单一请求端所述请求时间间隔、url地址作为url请求模型的输入,将所述请求时间间隔内url地址对应的目标站点的访问速率作为url请求模型的输出进行训练,得到请求速率基线;
其中,所述url请求模型包括请求离散度基线,则根据url访问请求提取url请求数据之前,还包括:
获取目标站点的访问行为数据;
从所述访问行为数据中提取训练样本;所述训练样本包括单一请求端请求时间间隔内url访问请求的请求离散度;
将单一请求端所述请求时间间隔作为url请求模型的输入,将所述请求时间间隔对应的单一请求端的请求离散度作为url请求模型的输出进行训练,得到请求离散度基线;
攻击判断单元,用于基于所述请求量阈值判定是否放行所述url访问请求。
6.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4中任一项所述的挑战黑洞攻击的防御方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至4中任一项所述的挑战黑洞攻击的防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110307308.0A CN113518064B (zh) | 2021-03-23 | 2021-03-23 | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110307308.0A CN113518064B (zh) | 2021-03-23 | 2021-03-23 | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113518064A CN113518064A (zh) | 2021-10-19 |
| CN113518064B true CN113518064B (zh) | 2023-04-07 |
Family
ID=78061921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110307308.0A Active CN113518064B (zh) | 2021-03-23 | 2021-03-23 | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113518064B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992403A (zh) * | 2021-10-27 | 2022-01-28 | 北京知道创宇信息技术股份有限公司 | 访问限速拦截方法及装置、防御服务器和可读存储介质 |
| CN115022011B (zh) * | 2022-05-30 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 漏扫软件访问请求识别方法、装置、设备和介质 |
| CN115883254B (zh) * | 2023-01-28 | 2023-05-23 | 北京亿赛通科技发展有限责任公司 | 一种DoS攻击防御方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234472A (zh) * | 2017-12-28 | 2018-06-29 | 北京百度网讯科技有限公司 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
| CN111740999A (zh) * | 2020-06-22 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种ddos攻击的识别方法、***及相关装置 |
| CN112039887A (zh) * | 2020-08-31 | 2020-12-04 | 杭州安恒信息技术股份有限公司 | Cc攻击防御方法、装置、计算机设备和存储介质 |
| CN112153011A (zh) * | 2020-09-01 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种机器扫描的检测方法、装置、电子设备和存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10581800B2 (en) * | 2017-07-25 | 2020-03-03 | Ca, Inc. | Protecting computer servers from API attacks using coordinated varying of URL addresses in API requests |
| CN108334774A (zh) * | 2018-01-24 | 2018-07-27 | ***股份有限公司 | 一种检测攻击的方法、第一服务器及第二服务器 |
-
2021
- 2021-03-23 CN CN202110307308.0A patent/CN113518064B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234472A (zh) * | 2017-12-28 | 2018-06-29 | 北京百度网讯科技有限公司 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
| CN111740999A (zh) * | 2020-06-22 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种ddos攻击的识别方法、***及相关装置 |
| CN112039887A (zh) * | 2020-08-31 | 2020-12-04 | 杭州安恒信息技术股份有限公司 | Cc攻击防御方法、装置、计算机设备和存储介质 |
| CN112153011A (zh) * | 2020-09-01 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种机器扫描的检测方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113518064A (zh) | 2021-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113518064B (zh) | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 | |
| US11310268B2 (en) | Systems and methods using computer vision and machine learning for detection of malicious actions | |
| KR101388090B1 (ko) | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 | |
| CN110413908B (zh) | 基于网站内容对统一资源定位符进行分类的方法和装置 | |
| WO2018095192A1 (zh) | 网站攻击的检测和防护方法及*** | |
| US20230089187A1 (en) | Detecting abnormal packet traffic using fingerprints for plural protocol types | |
| US9386078B2 (en) | Controlling application programming interface transactions based on content of earlier transactions | |
| WO2015039553A1 (en) | Method and system for identifying fraudulent websites priority claim and related application | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN107612926B (zh) | 一种基于客户端识别的一句话WebShell拦截方法 | |
| CN108600145B (zh) | 一种确定DDoS攻击设备的方法及装置 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、***和计算机设备 | |
| CN107528812B (zh) | 一种攻击检测方法及装置 | |
| CN111756728B (zh) | 一种漏洞攻击检测的方法、装置、计算设备及存储介质 | |
| CN103973635A (zh) | 页面访问控制方法和相关装置及*** | |
| CN112367338A (zh) | 恶意请求检测方法及装置 | |
| CN110858831B (zh) | 安全防护方法、装置以及安全防护设备 | |
| EP3987728A1 (en) | Dynamically controlling access to linked content in electronic communications | |
| CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN109981533B (zh) | 一种DDoS攻击检测方法、装置、电子设备及存储介质 | |
| CN114244564A (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| CN107231383B (zh) | Cc攻击的检测方法及装置 | |
| Sree et al. | HADM: detection of HTTP GET flooding attacks by using Analytical hierarchical process and Dempster–Shafer theory with MapReduce | |
| CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
| CN112560085B (zh) | 业务预测模型的隐私保护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |