CN114726579B - 防御网络攻击的方法、装置、设备、存储介质及程序产品 - Google Patents
防御网络攻击的方法、装置、设备、存储介质及程序产品 Download PDFInfo
- Publication number
- CN114726579B CN114726579B CN202210227278.7A CN202210227278A CN114726579B CN 114726579 B CN114726579 B CN 114726579B CN 202210227278 A CN202210227278 A CN 202210227278A CN 114726579 B CN114726579 B CN 114726579B
- Authority
- CN
- China
- Prior art keywords
- access request
- transmission layer
- fingerprint feature
- fingerprint
- request corresponding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 230000002159 abnormal effect Effects 0.000 claims abstract description 75
- 230000005540 biological transmission Effects 0.000 claims abstract description 45
- 238000012546 transfer Methods 0.000 claims abstract description 7
- 238000001514 detection method Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 5
- 230000007123 defense Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种用于防御网络攻击的方法、装置、设备、存储介质及程序产品,涉及计算机技术领域,尤其涉及网络安全技术领域中的CC防御攻击技术场景。具体实现方案为:获取加密的超文本传输安全协议请求的传输层客户端握手包;解析所述传输层客户端握手包,得到服务器名称指示以及客户端字段特征;确定所述服务器名称指示下的传输层指纹特征所对应的访问请求,所述传输层指纹特征根据所述客户端字段特征生成;基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求;拦截所述传输层指纹特征所对应的异常访问请求。通过本公开能够更为有效的防御HTTPS的CC攻击。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及网络安全技术领域中的CC防御攻击技术场景。
背景技术
加密流量CC(Challenge Collapsar,挑战黑洞)防御攻击技术,主要是通过在大规模网络流量中发现黑客发起的加密的HTTPS(Hyper Text Transfer Protocol overSecure Socket Layer,超文本传输安全协议)层DDoS(Distributed Denial of Service,分布式拒绝服务)攻击并进行阻断。
其中,为了能够准确的识别出黑客发起的CC攻击,目前的网络攻击检测中,通常将HTTPS协议下的7层流量进行HTTPS解析。通过HTTPS解析得到HTTPS的页面访问频次,将访问频次较高的IP(Internet Protocol Address,互联网协议地址)判定为CC攻击的IP,并阻断该判定为CC攻击的IP,以进行CC防御攻击。
发明内容
本公开提供了一种用于防御网络攻击的方法、装置、设备、存储介质及程序产品。
根据本公开的一方面,提供了一种防御网络攻击的方法,包括:
获取加密的超文本传输安全协议请求的传输层客户端握手包;解析所述传输层客户端握手包,得到服务器名称指示以及客户端字段特征;确定所述服务器名称指示下的传输层指纹特征所对应的访问请求,所述传输层指纹特征根据所述客户端字段特征生成;基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求;拦截所述传输层指纹特征所对应的异常访问请求。
根据本公开的另一方面,提供了一种防御网络攻击的装置,包括:
获取单元,用于获取加密的超文本传输安全协议请求的传输层客户端握手包;解析单元,用于解析所述传输层客户端握手包,得到服务器名称指示以及客户端字段特征;确定单元,用于确定所述服务器名称指示下的传输层指纹特征所对应的访问请求,所述传输层指纹特征根据所述客户端字段特征生成;检测单元,用于基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求,并拦截所述传输层指纹特征所对应的异常访问请求。
根据本公开的另一方面,提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的方法。
根据本公开的另一方面,提供一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行上述的方法。
根据本公开的另一方面,提供一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现上述的方法。
本公开提供的防御网络攻击的方法,能够更为有效的防御HTTPS的CC攻击。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开一示例性实施方式中示出的一种防御网络攻击的方法流程图;
图2是根据本公开一示例性实施方式中示出的一种基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求的方法流程图;
图3是根据本公开一示例性实施方式中示出的一种基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求的方法流程图;
图4是根据本公开一示例性实施方式中示出的一种防御网络攻击的方法实施过程示意图;
图5是根据本公开一示例性实施方式中示出的一种防御网络攻击的装置的框图;
图6是用来实现本公开实施例的防御网络攻击的方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
本公开实施例提供的防御网络攻击的方法,应用于HTTPS的CC攻击检测防御场景中,例如进行云计算平台环境下的CC攻击检测防御,大流量企业的CC攻击检测防御等。
相关技术中,HTTPS的CC攻击检测防御中,主要通过解密HTTPS的流量,进行IP访问确定,以判定访问源是否为CC攻击,并对CC攻击进行阻断。其中,判定CC攻击的方式主要包括如下几种情形:
1.确定单位时间内同一来源IP地址发出的访问请求数量。如果同一来源IP地址发出的访问请求数量大于设定的数量阀值,就判定该IP地址具备攻击行为,对这个IP地址发出的访问请求进行屏蔽。
2.确定单位时间内到达同一目标服务器相同端口或不同端口总数据包个数或访问请求数量。若单位时间内到达同一目标服务器相同端口或不同端口总数据包个数或访问请求数量达到一定的阀值,则判定该服务器出现了异常或受到攻击。
3.确定单位时间内同一来源IP地址访问同一页面的请求数量。如果单位时间内同一来源IP地址访问同一页面的请求数量达到某个阀值,就判定该IP地址具备攻击行为,对这个IP地址发出的访问请求进行屏蔽。
然而上述通过解密HTTPS的流量,需要大量机器资源。并且,单纯的确定IP地址对应的业务流量,在业务流量突发时会产生误报,例如,业务方举行活动促销之类,此判定方式无效。进一步的,在IP共享场景中,由于同一IP地址可能对应多个访问请求,可能会将非攻击行为的访问请求进行屏蔽。
有鉴于此,本公开实施例提供一种防御网络攻击的方法,在该方法中,提取HTTPS请求的TLS(Transport Layer Security,传输层)客户端握手包。其中,客户端握手包也称为Client Hello数据包。并从TLS Client Hello数据包中提取SNI(Server NameIndication,服务器名称指示)域名以及用于生成TLS指纹特征的客户端字段特征。针对提取的SNI域名,基于客户端字段特征生成TLS指纹特征。通过HTTPS的加密流量的TLS指纹特征进行CC防御。
作为一示例性实施方式,图1是根据本公开一示例性实施方式中示出的一种防御网络攻击的方法流程图。参阅图1所示,防御网络攻击的方法包括如下步骤S101至步骤S104。
在步骤S101中,获取加密的HTTPS请求的TLS客户端握手包。
其中,TLS客户端握手包是明文的。TLS客户端握手包中包括有SNI以及客户端字段特征。
SNI是TLS协议的扩展,该协议在HTTPS中使用。SNI用于在TLS握手期间指定网站的主机名或域名。基于SNI,可以确定客户端设备访问的网站。
客户端字段特征主要是用于生成TLS指纹特征以用于识别客户端的字段特征。例如,可以是版本(TLS Version)、可接受的密码(Ciphers)、扩展列表(Extensions)、椭圆曲线密码(Elliptic Curves)和椭圆曲线密码格式(Elliptic Curve Point Formats)。将TLS客户端握手包中提取的客户端字段特征进行拼接,最终生成TLS指纹特征。其中,TLS指纹特征,有时也用MD5哈希值(hash)标识。其中,TLS指纹特征提取技术也称为TLS指纹技术。
可以理解的是,如果Client Hello数据包中没有TLS扩展(TLS Extensions),则用于生成TLS指纹特征的客户端字段特征的值为空。
在步骤S102中,解析TLS客户端握手包,得到SNI以及客户端字段特征。
其中,解析TLS客户端握手包得到的SNI可以是一个,也可以是多个。
解析TLS客户端握手包得到的客户端字段特征,用于生成TLS指纹特征。例如生成MD5 hash。
在步骤S103中,确定SNI下的TLS指纹特征所对应的访问请求。
其中,本公开实施例中,若解析TLS客户端握手包得到的SNI为多个,则针对多个SNI分别实时确定每个SNI下的TLS指纹特征所对应的访问请求。
TLS指纹特征所对应的访问请求可以理解为是TLS指纹特征所识别出的客户端向SNI所指示的服务器发送的访问请求。
在步骤S104中,基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求,拦截TLS指纹特征所对应的异常访问请求。
其中,本公开实施例中TLS指纹特征所对应的异常访问请求可以理解为是具有CC攻击行为的访问请求,或者也可以理解为是恶意请求。
本公开实施例中,根据解析TLS客户端握手包得到的客户端字段特征,生成TLS指纹特征,并基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求,无需进行HTTPS加密流量包(TLS指纹特征)的解析,故,相对解密HTTPS流量包的方式,能够节省资源。
进一步的,由于TLS指纹特征能够唯一识别出进行访问的客户端,故基于TLS指纹特征,检测异常访问请求进行CC防御攻击,能够准确的确定出异常访问请求。在进行异常访问拦截时,拦截TLS指纹特征所对应的异常访问请求,并不是针对整个IP地址对应的访问请求均进行拦截,故能够实现异常访问请求的精准拦截,避免拦截不具有攻击行为的正常访问请求。
其中,可以理解的是,本公开实施例中是在TLS层实现的CC防御攻击,相当于是进行四层流量的分析。传统技术中基于IP地址的方式,是一种七层流量的解密分析。
本公开实施例以下将对基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求的实施过程进行说明。
一种实施方式中,本公开实施例中可以基于TLS指纹特征所对应的访问请求数量,检测TLS指纹特征所对应的访问请求是否为异常访问请求。
作为一示例性实施方式,图2是根据本公开一示例性实施方式中示出的一种基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求的方法流程图。参阅图2所示,基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求的方法包括如下步骤。
在步骤S201中,获取指定时间段内TLS指纹特征所对应的访问请求数量。
其中,本公开实施例中指定时间段可以是预先定义的。例如可以是秒数量级的时间单位。
进一步的,本公开实施例中获取的访问请求可以是新建的访问请求。
本公开实施例中,通过确定访问请求突然大幅度增加的情况下,判定为异常访问请求。本公开实施例中可以设置判定为异常访问请求的数量阈值。
若指定时间段内TLS指纹特征所对应的访问请求数量大于数量阈值,则执行步骤S202a。若指定时间段内TLS指纹特征所对应的访问请求数量小于或等于数量阈值,则执行步骤S202b。
在步骤S202a中,若在指定时间段内TLS指纹特征所对应的访问请求数量大于数量阈值,则确定TLS指纹特征所对应访问请求为异常访问请求。
在步骤S202b中,若在指定时间段内TLS指纹特征所对应的访问请求数量小于或等于数量阈值,则确定TLS指纹特征所对应访问请求为正常访问请求。
一示例中,访问请求新建的访问请求,例如数量阈值可以设置为80%。
若TLS指纹特征所对应的新建访问请求在总的访问请求占比中大于80%,则确定该TLS指纹特征所对应的客户端发起了异常访问请求,存在CC攻击行为,需要进行拦截。
若TLS指纹特征所对应的新建访问请求在总的访问请求占比中小于或等于80%,则确定该TLS指纹特征所对应的客户端发起了正常访问请求,不存在CC攻击行为,可以进行正常访问。
本公开实施例中,通过统计指定时间段内TLS指纹特征所对应的访问请求数量,并通过访问请求数量与数量阈值的比较,可以确定出短时间内突然大幅度增加的访问请求。短时间内突然大幅度增加的访问请求存在CC攻击的风险,故将指定时间段内TLS指纹特征所对应的访问请求数量大于数量阈值的TLS指纹特征所对应访问请求确定为异常访问请求,能够有效进行CC防御攻击。
相关技术中,在短促等情形下可能会出现访问请求数剧增的情况。然而,正常访问请求可能会出现访问数量增大的情况,但不会频繁的访问,故访问率比较小。但对于异常访问请求的CC攻击,可能会频繁的访问,访问率比较大。故,本公开实施例为准确的识别出异常访问请求,可以通过统计TLS指纹特征所对应访问请求在单位时间的访问率,确定异常访问请求。
一种实施方式中,本公开实施例中,可以将访问请求在单位时间的访问率大于访问率阈值的访问请求,确定为异常访问请求。
例如,本公开实施例中,针对在指定时间段内TLS指纹特征所对应的访问请求数量大于数量阈值的访问请求,可以进一步确定该访问请求数量大于数量阈值的访问请求,在单位时间的访问率是否大于访问率阈值,若访问率大于阈值,则可以确定TLS指纹特征所对应的访问请求为异常访问请求。若访问率小于阈值,则TLS指纹特征所对应的访问请求可以为正常访问请求。
作为一示例性实施方式,图3是根据本公开一示例性实施方式中示出的一种基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求的方法流程图。参阅图3所示,基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求的方法包括如下步骤S301至步骤S302。
在步骤S301中,获取指定时间段内TLS指纹特征所对应的访问请求数量。
在步骤S302中,若在指定时间段内TLS指纹特征所对应的访问请求数量大于数量阈值,且在单位时间的访问率大于访问率阈值,则确定TLS指纹特征所对应的访问请求为异常访问请求。
本公开实施例中,在确定访问请求数量大于数量阈值的情况下,进一步确定单位时间的访问率是否大于访问率阈值,可以更为精准的确定出进行CC攻击的异常访问请求,提高CC防御攻击的精准确定。
一示例中,在进行短促活动期间,针对某一SNI指示的服务器可能存在数量较大的客户端访问请求。但是正常的访问请求是通过不同的客户端发送的。例如,一共M个客户端在1s内一共发送M次访问请求,针对每个客户端的访问率为1。但是对于发起CC攻击的客户端可能会在1s内发送M次访问请求,该发起CC攻击的客户端的访问率M。故,本公开实施例中,通过TLS指纹特征所对应的访问请求在单位时间的访问率是否大于访问率阈值,能够在促销活动等业务量突发增加的场景中,准确识别出发起CC攻击的客户端所发送的异常访问请求,进而有效进行CC防御攻击。
本公开实施例另一种实施方式中,在基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的访问请求是否为异常访问请求时,可以基于黑名单和/或白名单的方式进行确定。
一示例中,本公开实施例中可以设置TLS指纹特征白名单,和/或TLS指纹特征黑名单。
其中,TLS指纹特征白名单中的TLS指纹特征所对应的访问请求为正常访问请求,不会进行CC攻击。
TLS指纹特征黑名单的TLS指纹特征所对应的访问请求为异常访问请求,存在进行CC攻击的行为。
本公开实施例一种实施方式中,若检测到TLS指纹特征属于预设的TLS指纹特征白名单,则确定TLS指纹特征所对应的访问请求为正常访问请求。
本公开实施例中,通过设置TLS指纹特征白名单,可以使得在进行正常访问请求以及异常访问请求判断时,直接基于TLS指纹特征白名单确定出正常访问请求,无需进行其他的复杂处理逻辑进行判断。并且,本公开实施例中通过设置TLS指纹特征白名单,可以实现指定TLS指纹特征的大量访问,满足需要进行大量访问的场景。
本公开实施例一种实施方式中,在执行上述基于访问请求数量、访问率进行异常访问请求确定时,可以进一步确定TLS指纹特征不属于预设的TLS指纹特征白名单。也可以理解为,若TLS指纹特征属于预设的TLS指纹特征白名单,即使在指定时间段内TLS指纹特征所对应的访问请求数量大于数量阈值,或者在单位时间的访问率大于访问率阈值,也不将该TLS指纹特征所对应的访问请求确定为异常访问请求。或者,若在指定时间段内TLS指纹特征所对应的访问请求数量大于数量阈值,且在单位时间的访问率大于访问率阈值,且TLS指纹特征不属于预设的TLS指纹特征白名单,则确定TLS指纹特征所对应的访问请求为异常访问请求。
本公开实施例中,在基于访问请求数量、访问率进行异常访问请求确定时,可以进一步确定TLS指纹特征不属于预设的TLS指纹特征白名单,可以防止白名单中的TLS指纹特征对应客户端在进行大量访问服务器时,被误判为异常访问请求。
其中,基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求时,可以检测TLS指纹特征是否属于预设的TLS指纹特征黑名单。若检测到TLS指纹特征属于预设的TLS指纹特征黑名单,则确定TLS指纹特征所对应的访问请求为异常访问请求。
本公开实施例中,基于TLS指纹特征黑名单的方式确定TLS指纹特征所对应的访问请求为异常访问请求,无需进行复杂的访问请求、访问率等的处理逻辑,更为简单高效。
其中,若检测到TLS指纹特征不属于预设的TLS指纹特征黑名单,则可以基于本公开上述确定TLS指纹特征所对应的访问请求是否为异常访问请求的方式,进一步确定TLS指纹特征所对应的访问请求是否为异常访问请求。
其中,本公开实施例中,TLS指纹特征黑名单可以是预设的。其中,本公开实施例中可以在将确定为异常访问请求的TLS指纹特征加入到预设的TLS指纹特征黑名单中,以更新TLS指纹特征黑名单,在后续进行异常访问请求确定时,可以直接基于该TLS指纹特征黑名单确定为异常访问请求。
基于本公开实施例提供的防御网络攻击的方法,图4是根据本公开一示例性实施方式中示出的一种防御网络攻击的方法实施过程示意图。
参阅图4所示,解析四层流量,提取HTTPS请求的TLS客户端握手包。从TLS客户端握手包中提取SNI的域名,并通过TLS的字段生成相应的TLS指纹md5 hash(TLS指纹特征)。实时分析不同SNI下TLS指纹md5 hash的访问请求数量,以判定TLS指纹特征是否为异常的TLS指纹特征。当某一个或者几个TLS指纹md5 hash对应的访问请求数量突然大幅度增加访问,例如,判定标准为大于80%的新建请求。并且突然大幅度增加访问的TLS指纹md5 hash不在TLS指纹特征白名单中,对该TLS指纹md5 hash的访问请求进行拦截,以阻断防御。当某一个或者几个TLS指纹md5 hash命中TLS指纹特征黑名单,则直接进行拦截。当TLS指纹md5 hash在TLS指纹白名单的TLS指纹特征白名单中,则直接放行,进行正常的访问。
本公开实施例提供的防御网络攻击的方法,通过TLS指纹特征进行异常访问请求的确定,无需进行七层流量解析,能够降低资源消耗。并且,本公开实施例中,通过TLS指纹特征的访问率进行异常访问请求的确定,能够在突发状况下准确的识别和防御HTTPS的CC攻击。并且,本公开实施例中针对TLS指纹特征对应的异常访问请求进行拦截,并不是针对IP维度进行全部访问请求的拦截,能够区分共享IP,防止产生误拦截。
基于相同的构思,本公开实施例还提供一种防御网络攻击的装置。
可以理解的是,本公开实施例提供的防御网络攻击的装置为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。结合本公开实施例中所公开的各示例的单元及算法步骤,本公开实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能,但是这种实现不应认为超出本公开实施例的技术方案的范围。
作为一示例性实施方式,图5是根据本公开一示例性实施方式中示出的一种防御网络攻击的装置500的框图。参阅图5所示,防御网络攻击的装置500包括获取单元501、解析单元502、确定单元503以及检测单元504。
获取单元501,用于获取加密的HTTPS请求的TLS客户端握手包。解析单元502,用于解析TLS客户端握手包,得到SNI以及客户端字段特征。确定单元503,用于确定SNI下的TLS指纹特征所对应的访问请求,TLS指纹特征根据客户端字段特征生成。检测单元504,用于基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求,并拦截TLS指纹特征所对应的异常访问请求。
其中,检测单元504采用如下方式基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求:
获取指定时间段内TLS指纹特征所对应的访问请求数量。若在指定时间段内TLS指纹特征所对应的访问请求数量大于数量阈值,则确定TLS指纹特征所对应访问请求为异常访问请求。
检测单元504还用于:确定访问请求数量大于数量阈值的访问请求在单位时间的访问率大于访问率阈值。
检测单元504还用于:确定TLS指纹特征不属于预设的TLS指纹特征白名单。
其中,检测单元504采用如下方式基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求:若检测到TLS指纹特征属于预设的TLS指纹特征黑名单,则确定TLS指纹特征所对应的访问请求为异常访问请求。
检测单元504还用于:若检测到TLS指纹特征属于预设的TLS指纹特征白名单,则确定TLS指纹特征所对应的访问请求为正常访问请求。
关于本公开上述涉及的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本公开的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图6示出了可以用来实施本公开的实施例的示例电子设备600的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图6所示,设备600包括计算单元601,其可以根据存储在只读存储器(ROM)602中的计算机程序或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序,来执行各种适当的动作和处理。在RAM 603中,还可存储设备600操作所需的各种程序和数据。计算单元601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
设备600中的多个部件连接至I/O接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理,例如防御网络攻击的方法。例如,在一些实施例中,防御网络攻击的方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由ROM 602和/或通信单元609而被载入和/或安装到设备600上。当计算机程序加载到RAM 603并由计算单元601执行时,可以执行上文描述的防御网络攻击的方法的一个或多个步骤。备选地,在其他实施例中,计算单元601可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行防御网络攻击的方法。
本文中以上描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的***和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式***的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (10)
1.一种防御网络攻击的方法,包括:
获取加密的超文本传输安全协议请求的传输层客户端握手包;
解析所述传输层客户端握手包,得到服务器名称指示以及客户端字段特征;
确定所述服务器名称指示下的传输层指纹特征所对应的访问请求,所述传输层指纹特征根据所述客户端字段特征生成;
基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求;
拦截所述传输层指纹特征所对应的异常访问请求;
其中,所述基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求,包括:
获取指定时间段内所述传输层指纹特征所对应的访问请求数量;
若在指定时间段内所述传输层指纹特征所对应的访问请求数量大于数量阈值,确定访问请求数量大于数量阈值的所述访问请求在单位时间的访问率大于访问率阈值,则确定所述传输层指纹特征所对应访问请求为异常访问请求。
2.根据权利要求1所述的方法,还包括:
确定所述传输层指纹特征不属于预设的传输层指纹特征白名单。
3.根据权利要求1所述的方法,其中,所述基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求,包括:
若检测到所述传输层指纹特征属于预设的传输层指纹特征黑名单,则确定所述传输层指纹特征所对应的访问请求为异常访问请求。
4.根据权利要求1所述的方法,还包括:
若检测到所述传输层指纹特征属于预设的传输层指纹特征白名单,则确定所述传输层指纹特征所对应的访问请求为正常访问请求。
5.一种防御网络攻击的装置,包括:
获取单元,用于获取加密的超文本传输安全协议请求的传输层客户端握手包;
解析单元,用于解析所述传输层客户端握手包,得到服务器名称指示以及客户端字段特征;
确定单元,用于确定所述服务器名称指示下的传输层指纹特征所对应的访问请求,所述传输层指纹特征根据所述客户端字段特征生成;
检测单元,用于基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求,并拦截所述传输层指纹特征所对应的异常访问请求;
其中,所述检测单元采用如下方式基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求:
获取指定时间段内所述传输层指纹特征所对应的访问请求数量;
若在指定时间段内所述传输层指纹特征所对应的访问请求数量大于数量阈值,确定访问请求数量大于数量阈值的所述访问请求在单位时间的访问率大于访问率阈值,则确定所述传输层指纹特征所对应访问请求为异常访问请求。
6.根据权利要求5所述的装置,所述检测单元还用于:
确定所述传输层指纹特征不属于预设的传输层指纹特征白名单。
7.根据权利要求5所述的装置,其中,所述检测单元采用如下方式基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求:
若检测到所述传输层指纹特征属于预设的传输层指纹特征黑名单,则确定所述传输层指纹特征所对应的访问请求为异常访问请求。
8.根据权利要求5所述的装置,所述检测单元还用于:
若检测到所述传输层指纹特征属于预设的传输层指纹特征白名单,则确定所述传输层指纹特征所对应的访问请求为正常访问请求。
9. 一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-4中任一项所述的方法。
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210227278.7A CN114726579B (zh) | 2022-03-08 | 2022-03-08 | 防御网络攻击的方法、装置、设备、存储介质及程序产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210227278.7A CN114726579B (zh) | 2022-03-08 | 2022-03-08 | 防御网络攻击的方法、装置、设备、存储介质及程序产品 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114726579A CN114726579A (zh) | 2022-07-08 |
| CN114726579B true CN114726579B (zh) | 2024-02-09 |
Family
ID=82237184
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210227278.7A Active CN114726579B (zh) | 2022-03-08 | 2022-03-08 | 防御网络攻击的方法、装置、设备、存储介质及程序产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114726579B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116232767B (zh) * | 2023-05-06 | 2023-08-15 | 杭州美创科技股份有限公司 | DDoS防御方法、装置、计算机设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020176945A1 (en) * | 2019-03-05 | 2020-09-10 | Red Piranha Limited | Network data traffic identification |
| CN112583774A (zh) * | 2019-09-30 | 2021-03-30 | 北京观成科技有限公司 | 一种攻击流量检测的方法、装置、存储介质及电子设备 |
| CN113452656A (zh) * | 2020-03-26 | 2021-09-28 | 百度在线网络技术(北京)有限公司 | 用于识别异常行为的方法和装置 |
| CN113630367A (zh) * | 2020-05-07 | 2021-11-09 | 北京观成科技有限公司 | 一种匿名流量的识别方法、装置及电子设备 |
| CN113726818A (zh) * | 2021-11-01 | 2021-11-30 | 北京微步在线科技有限公司 | 一种失陷主机检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9419942B1 (en) * | 2013-06-05 | 2016-08-16 | Palo Alto Networks, Inc. | Destination domain extraction for secure protocols |
-
2022
- 2022-03-08 CN CN202210227278.7A patent/CN114726579B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020176945A1 (en) * | 2019-03-05 | 2020-09-10 | Red Piranha Limited | Network data traffic identification |
| CN112583774A (zh) * | 2019-09-30 | 2021-03-30 | 北京观成科技有限公司 | 一种攻击流量检测的方法、装置、存储介质及电子设备 |
| CN113452656A (zh) * | 2020-03-26 | 2021-09-28 | 百度在线网络技术(北京)有限公司 | 用于识别异常行为的方法和装置 |
| CN113630367A (zh) * | 2020-05-07 | 2021-11-09 | 北京观成科技有限公司 | 一种匿名流量的识别方法、装置及电子设备 |
| CN113726818A (zh) * | 2021-11-01 | 2021-11-30 | 北京微步在线科技有限公司 | 一种失陷主机检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114726579A (zh) | 2022-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11102223B2 (en) | Multi-host threat tracking | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| US8839435B1 (en) | Event-based attack detection | |
| US8805995B1 (en) | Capturing data relating to a threat | |
| US20170118239A1 (en) | Detection of cyber threats against cloud-based applications | |
| CN111737696A (zh) | 一种恶意文件检测的方法、***、设备及可读存储介质 | |
| EP3374870B1 (en) | Threat risk scoring of security threats | |
| EP3737067A1 (en) | Systems and methods for automated intrusion detection | |
| US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
| WO2021082834A1 (zh) | 报文处理方法、装置、设备及计算机可读存储介质 | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| He et al. | A novel method to detect encrypted data exfiltration | |
| US20230208857A1 (en) | Techniques for detecting cyber-attack scanners | |
| US20230185915A1 (en) | Detecting microsoft windows installer malware using text classification models | |
| CN115883170A (zh) | 网络流量数据监测分析方法、装置及电子设备及存储介质 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| US10819683B2 (en) | Inspection context caching for deep packet inspection | |
| CN113726799B (zh) | 针对应用层攻击的处理方法、装置、***和设备 | |
| US11552989B1 (en) | Techniques for generating signatures characterizing advanced application layer flood attack tools | |
| CN114553452B (zh) | 攻击防御方法及防护设备 | |
| Yang et al. | Design issues of enhanced DDoS protecting scheme under the cloud computing environment | |
| US20240137386A1 (en) | CHARACTERIZATION OF HTTP FLOOD DDoS ATTACKS | |
| US11451584B2 (en) | Detecting a remote exploitation attack | |
| US20240223599A1 (en) | Techniques for generating application-layer signatures characterizing advanced application-layer flood attack tools |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |