CN115134139A - 一种网络攻击处理方法及装置 - Google Patents
一种网络攻击处理方法及装置 Download PDFInfo
- Publication number
- CN115134139A CN115134139A CN202210733841.8A CN202210733841A CN115134139A CN 115134139 A CN115134139 A CN 115134139A CN 202210733841 A CN202210733841 A CN 202210733841A CN 115134139 A CN115134139 A CN 115134139A
- Authority
- CN
- China
- Prior art keywords
- attack
- homologous
- request
- access requests
- tracing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 34
- 238000000034 method Methods 0.000 claims abstract description 34
- 238000012545 processing Methods 0.000 claims abstract description 30
- 238000004590 computer program Methods 0.000 claims description 27
- 230000006399 behavior Effects 0.000 claims description 13
- 238000005516 engineering process Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 26
- 230000006870 function Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000007123 defense Effects 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种网络攻击处理方法及装置,涉及信息安全领域,可用于金融领域或其他技术领域。所述方法包括:接收各个服务请求;对各个服务请求进行攻击判定,获得多个攻击访问请求;对所述多个攻击访问请求进行溯源。所述装置用于执行上述方法。本发明实施例提供的网络攻击处理方法及装置,实现对同源攻击的识别,提高了网络安全性。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种网络攻击处理方法及装置。
背景技术
伴随着计算机的普及和互联网技术的发展,网络黑客攻击事件也越来越多,黑客攻击手段也在不断演化。
目前,为了应对网络黑客攻击,可以部署蜜罐***应对网络黑客攻击。但是蜜罐***在被攻击者发现后,攻击者可以选择不再访问此蜜罐***,使蜜罐***失去作用;此外,部署蜜罐***的服务器如果宕机,会导致蜜罐***失效。因此,如何提供一种网络攻击处理方法,以提高安全性成为本领域亟待解决的重要课题。
发明内容
针对现有技术中的问题,本发明实施例提供一种网络攻击处理方法及装置,能够至少部分地解决现有技术中存在的问题。
第一方面,本发明提出一种网络攻击处理方法,包括:
接收各个服务请求;
对各个服务请求进行攻击判定,获得多个攻击访问请求;
对所述多个攻击访问请求进行溯源。
第二方面,本发明提供一种网络攻击处理装置,包括:
接收模块,用于接收各个服务请求;
攻击判定模块,用于对各个服务请求进行攻击判定,获得多个攻击访问请求;
溯源模块,用于对所述多个攻击访问请求进行溯源。
第三方面,本发明提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一实施例所述网络攻击处理方法。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任一实施例所述网络攻击处理方法。
第五方面,本发明提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述网络攻击处理方法。
本发明实施例提供的网络攻击处理方法及装置,能够接收各个服务请求,对各个服务请求进行攻击判定,获得多个攻击访问请求,对多个攻击访问请求进行溯源,在应用层实现了对网络攻击的防御和溯源,提高了网络安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明第一实施例提供的网络攻击处理方法的流程示意图。
图2是本发明第二实施例提供的网络攻击处理方法的流程示意图。
图3是本发明第三实施例提供的网络攻击处理方法的流程示意图。
图4是本发明第四实施例提供的网络攻击处理***的结构示意图。
图5是本发明第五实施例提供的应用服务器的结构示意图。
图6是本发明第六实施例提供的溯源服务器的结构示意图。
图7是本发明第七实施例提供的网络攻击处理方法的流程示意图。
图8是本发明第八实施例提供的网络攻击处理装置的结构示意图。
图9是本发明第九实施例提供的网络攻击处理装置的结构示意图。
图10是本发明第十实施例提供的网络攻击处理装置的结构示意图。
图11是本发明第十一实施例提供的网络攻击处理装置的结构示意图。
图12是本发明第十二实施例提供的网络攻击处理装置的结构示意图。
图13是本发明第十三实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
下面以服务器作为执行主体为例,对本发明实施例提供的网络攻击处理方法的具体实现过程进行说明。
图1是本发明第一实施例提供的网络攻击处理方法的流程示意图,如图1所示,本发明实施例提供的网络攻击处理方法,包括:
S101、接收各个服务请求;
具体地,服务器可以接收各个客户终端发送的服务请求,所述服务请求,根据实际需要进行设置,本发明实施例不做限定。
S102、对各个服务请求进行攻击判定,获得多个攻击访问请求;
具体地,为了防止受到网络攻击,所述服务器会对各个服务器请求进行攻击判定,可以根据攻击判断规则判断服务请求是否存在攻击风险,如果存在攻击风险,那么将服务请求作为攻击访问请求。如果判断出多个服务请求存在攻击风险,那么就会获得多个攻击访问请求。
例如,可以以正则匹配的方式设置攻击判断规则,如果服务请求包括的请求URL、请求头、请求体、请求方法等信息中存在与攻击判断规则中设置的攻击特征匹配的信息,那么确认服务请求存在攻击风险,将该服务请求作为攻击访问请求。
S103、对所述多个攻击访问请求进行溯源。
具体地,所述服务器在获得多个攻击访问请求之后,会对多个攻击访问请求进行溯源,溯源过程可以包括判断多个攻击访问请求是否属于同源攻击,采集攻击行为等。
本发明实施例提供的网络攻击处理方法,能够接收各个服务请求,对各个服务请求进行攻击判定,获得多个攻击访问请求,对多个攻击访问请求进行溯源,在应用层实现了对网络攻击的防御和溯源,提高了网络安全性。
图2是本发明第二实施例提供的网络攻击处理方法的流程示意图,如图2所示,所述对所述多个攻击访问请求进行溯源包括:
S201、根据每个攻击访问请求,获得每个攻击访问请求对应的指纹信息;
具体地,对于每个攻击访问请求,所述服务器会根据所述攻击访问请求,获得每个攻击访问请求对应的指纹信息。所述指纹信息用于表征攻击者,不同的攻击者对应的指纹信息不同。通过指纹信息标记攻击者,即使攻击者更换IP地址,依然能够识别出攻击者。
S202、若判断获知多个攻击访问请求具有相同的指纹信息,则将所述多个攻击访问请求标记为同源攻击并记录同源攻击对应的指纹信息。
具体地,所述服务器将各个攻击访问请求对应的指纹信息进行比较,如果多个攻击访问请求对应的指纹信息相同,说明上述多个攻击访问请求来自同一个攻击者,可以将所述多个攻击访问请求标记为同源攻击,并记录该同源攻击对应的指纹信息。如果后续获取到攻击访问请求对应的指纹信息,与该同源攻击对应的指纹信息相同,那么可以将攻击访问请求对应该同源攻击。
本发明实施例提供的网络攻击处理方法,根据每个攻击访问请求,获得每个攻击访问请求对应的指纹信息,在判断获知多个攻击访问请求具有相同的指纹信息之后,将所述多个攻击访问请求标记为同源攻击并记录同源攻击对应的指纹信息,实现对同源攻击的识别,提高了对同源攻击识别的准确性。此外,相对于通过技术人员的经验进行同源攻击的判断,提高了对同源攻击的识别的可靠性和效率。
在上述各实施例的基础上,进一步地,本发明实施例提供的网络攻击处理方法还包括:
响应所述同源攻击的各个攻击访问请求,并提供诱导页面给所述同源攻击的攻击者以采集所述攻击者的攻击行为。
具体地,对于所述同源攻击的每个攻击访问请求,所述服务器会反馈诱导页面给每个攻击访问请求,以使得攻击者通过诱导页面开展的一系列攻击操作作为攻击行为被记录下来。所述诱导页面与原页面对应,用于混淆攻击者,并实现对攻击行为的拦截。其中,所述诱导页面是预设的,根据实际需要进行设置,本发明实施例不做限定。诱导页面可以通过蜜罐技术实现。
例如,诱导页面可以是伪装成web服务的页面。可以在诱导页面上***操作采集插件,攻击者在对诱导页面进行访问时,操作采集插件会自动执行,对攻击者的一系列攻击操作进行采集。
在上述各实施例的基础上,进一步地,本发明实施例提供的网络攻击处理方法还包括:
提供文件上传入口给所述同源攻击的攻击者以获得所述攻击者上传的恶意文件。
具体地,所述服务器提供文件上传入口,在同源攻击的攻击者对所述诱导页面进行攻击操作,上传恶意文件时,可以通过文件上传入口上传恶意文件,所述服务器会接收所述恶意文件并将所述恶意文件进行隔离。其中,恶意文件是攻击者用于进行攻击的文件,可以包括恶意样本。通过文件上传入口获得恶意文件,拦截恶意文件的攻击。后续还可以通过对恶意文件的分析,对恶意文件的攻击进行识别和预防。
图3是本发明第三实施例提供的网络攻击处理方法的流程示意图,如图3所示,在上述各实施例的基础上,进一步地,本发明实施例提供的网络攻击处理方法还包括:
S301、根据所述同源攻击的各个攻击访问请求,获得所述同源攻击的攻击者的域名和/或IP地址;
具体地,所述服务器根据所述同源攻击的各个攻击访问请求,可以从各个攻击访请求中获得IP(Internet Protocol Address)地址和/或域名,作为所述同源攻击的攻击者的域名和/或IP地址。由于攻击者可以变换IP地址和/或域名,存在同源攻击的攻击者可以对应不同的域名,或者对应不同的IP地址的情况。
S302、根据所述同源攻击者的域名和/或IP地址,获得所述同源攻击的攻击者的关联信息。
具体地,所述服务器根据所述同源攻击者的域名和/或IP地址,可以通过第三方查询每个域名或IP对应的备案信息,whois信息等,从备案信息和whois信息中可以获得攻击者的相关信息。其中,相关信息包括但不限于攻击者的注册名、注册邮箱等,根据实际需要进行设置,本发明实施例不做限定。
在上述各实施例的基础上,进一步地,所述根据每个攻击访问请求,获得每个攻击访问请求对应的指纹信息包括:
基于每个攻击访问请求,绘制每个攻击访问请求的浏览器指纹或者***指纹作为每个攻击访问请求对应的指纹信息。
具体地,对于每个攻击访问请求,所述服务器可以为每个攻击访问请求绘制浏览器指纹作为每个攻击请求对应的指纹信息,或者所述服务器可以为每个攻击访问请求绘制***指纹作为每个攻击访问请求的指纹信息。
其中,绘制浏览器指纹或者***指纹可以采用以下发送设备信息中的一种或者多种。发送设备是发送攻击访问请求的设备,发送设备信息包括***平台类型、***内核版本、***发行版本、浏览器厂商、浏览器cookie、用户代理、语言、浏览器类型、CPU架构、CPU核心数、屏幕分辨率、屏幕尺寸、像素密度,GPU供应商、CPU频率、渲染器、纹理单元数、声卡采样率、***网络类型、网卡、时区、地理位置等信息,根据实际需要进行设置,本发明实施例不做限定。发送设备信息可以从攻击访问请求中获得,也可以在攻击者访问诱导页面时获取。
例如,可以在服务器前台页面代码中***了Canvas绘图插件,对于每个攻击访问请求,能够通过Canvas绘图插件基于攻击者的发送设备信息绘制出Canvas指纹(浏览器指纹或者***指纹)作为每个攻击访问请求对应的指纹信息。
在上述各实施例的基础上,进一步地,所述对所述多个攻击访问请求进行溯源包括:
发送引流请求至溯源服务器,以使得所述溯源服务器对所述多个攻击访问请求进行溯源;其中,所述引流请求包括所述多个攻击访问请求。
具体地,所述服务器在获得多个攻击访问请求之后,可以将所述多个攻击访问请求携带在引流请求中发送给所述溯源服务器。所述溯源服务器在接收到所述引流请求之后,会对所述多个攻击访问请求进行溯源。其中,所述溯源服务器对所述多个攻击访问请求进行溯源的具体过程与步骤S201和步骤S202类似,此处不进行赘述。
在上述各实施例的基础上,进一步地,在接收各个服务请求之前,本发明实施例提供的网络攻击处理方法还包括:
基于插桩技术部署攻击判断代码和引流代码;其中,所述攻击判断代码用于对服务请求进行攻击判定,所述引流代码用于发送引流请求至所述溯源服务器。
具体地,所述服务器可以基于插桩技术部署攻击判断代码和引流代码。攻击判断代码可以部署在应用请求入口函数或者应用的高风险函数中,高风险函数根据实际需要进行设置,本发明实施例不做限定。引流代码可以部署攻击判断代码之后,即在判断出服务请求为攻击访问请求之后,调用引流代码,攻击访问请求引流至所述溯源服务器。
通过插桩技术部署攻击判断代码和引流代码,部署灵活,易于实现,可以方便的实现单个服务器对网络攻击的防御,提高了对网络攻击防御的便捷性。
在上述各实施例的基础上,进一步地,本发明实施例提供的网络攻击处理方法还包括:
若所述同源攻击的多个攻击访问请求对应不同的IP地址,则将所述不同的IP地址标记为同源IP地址。
具体地,所述服务器从所述同源攻击的多个攻击访问请求中,获得每个攻击访问请求对应的IP地址,然后对比各个攻击访问请求对应的IP地址,如果各个攻击访问请求对应的IP地址中存在不同的IP地址,那么将所述不同的IP地址标记为同源IP地址。
在上述各实施例的基础上,进一步地,本发明实施例提供的网络攻击处理方法还包括:
封禁所述同源IP地址。
具体地,所述服务器会封禁所述封禁请求携带的同源IP地址,即拒绝封禁请求携带的同源IP地址的访问。所述服务器可以将所述同源IP地址发送给本地安全软件,在修改本地安全策略,封禁所述同源IP地址,拒绝所述同源IP地址的访问。
例如,在服务器上可以部署有安全软件,安全软件设置有攻击事件的封禁策略,用于对攻击事件对应的IP地址进行封禁,可以将同源IP地址添加到攻击事件的封禁策略中,对同源IP地址进行封禁。
在上述各实施例的基础上,进一步地,本发明实施例提供的网络攻击处理方法还包括:
对同源攻击对应的指纹信息进行封禁。
具体地,所述服务器在获得所述同源攻击对应的指纹信息之后,可以将同源攻击对应的指纹信息添加到同源攻击库中,对于同源攻击库中的指纹信息对应的终端,会拒绝访问。
图4是本发明第四实施例提供的网络攻击处理***的结构示意图,如图4所示,本发明实施例提供的网络攻击处理***包括溯源服务器1和至少一台应用服务器2,其中:
溯源服务器1与每台应用服务器2通信连接。
应用服务器2用于根据攻击判断规则判断对接收到的服务请求是否存在攻击风险。对于存在攻击风险的服务请求,发送给溯源服务器1。溯源服务器1将从各个应用服务器2接收到的服务请求作为攻击访问请求,判断各个攻击访问请求是否具有相同的指纹信息,将具有相同指纹信息的攻击访问请求标记为同源攻击。
图5是本发明第五实施例提供的应用服务器的结构示意图,如图5所示,在上述各实施例的基础上,进一步地,本发明实施例提供的应用服务器2包括插桩单元21、攻击采集单元22和攻击引流单元23,其中:
插桩单元21用于在特定函数中注入攻击判定代码和引流代码,攻击判定代码用于进行攻击行为判定,引流代码用于进行溯源引流。可以在应用请求入口函数或者应用的高风险函数中***攻击判定代码,在请求处理返回代码前***引流代码。其中,攻击判断代码和引流代码是预设的。高风险函数根据实际经验进行设置,本发明实施例不做限定。
攻击采集单元22用于基于攻击判定代码判断接收到的服务请求是否存在攻击风险。如果服务请求包括的请求URL、请求头、请求体、请求方法等信息中存在与攻击判断规则中设置的攻击特征匹配的信息,那么确认服务请求存在攻击风险。
攻击引流单元203用于基于攻击引流代码,将判定存在攻击风险的服务请求进行引流。具体实现方式为在应用的正常请求处理返回前,调用引流代码,将服务请求转发给溯源服务器1,引导攻击者访问溯源服务器1。
图6是本发明第六实施例提供的溯源服务器的结构示意图,如图6所示,在上述各实施例的基础上,进一步地,本发明实施例提供的溯源服务器包括同源判断单元11、路径采集单元12和溯源单元13,其中:
同源判断单元11用于判断各个攻击访问请求是否为同源攻击,即根据每个攻击访问请求,获得每个攻击访问请求对应的指纹信息;在判断获知多个攻击访问请求具有相同的指纹信息,则将所述多个攻击访问请求标记为同源攻击。尽管攻击者能够使用不同的IP地址进行攻击,仍能判断为同源攻击。同源判断单元11能够通过Canvas绘图插件基于攻击者的发送设备信息绘制出Canvas指纹作为每个攻击访问请求对应的指纹信息。
路径采集单元12用于采集同源攻击的攻击行为。路径采集单元12能够响应所述同源攻击的各个攻击访问请求,并提供诱导页面给所述同源攻击的攻击者以采集所述攻击者的攻击行为。还可以提供文件上传入口给所述同源攻击的攻击者以获得所述攻击者上传的恶意文件。路径采集单元12能够以时间线为基准记录攻击者的所有攻击行为。
溯源单元13用于对同源攻击进行溯源,即根据所述同源攻击的各个攻击访问请求,获得所述同源攻击的攻击者的域名和/或IP地址;根据所述同源攻击者的域名和IP地址,获得所述同源攻击的攻击者的关联信息。溯源单元13通过查询域名IP等威胁情报、whois信息,进而关联到攻击者注册名、注册邮箱等信息。溯源单元13还可以封禁所述同源IP地址。
图7是本发明第七实施例提供的网络攻击处理方法的流程示意图,如图7所示,应用于图4所示的网络攻击处理***,网络攻击处理方法的具体实现流程如下:
第一步、部署攻击判定代码和引流代码。在应用服务器启动时,通过插桩的方法将攻击判定代码和引流代码***到应用的代码中。
第二步、接收服务请求。应用服务器接收服务请求,并基于攻击判定代码判断服务请求是否存在攻击风险。如果服务请求存在攻击风险,那么进入到第三步,如果不存在攻击风险,应用服务器会正常处理服务请求。
第三步、转发服务请求。对于存在攻击风险的服务请求,应用服务器会基于攻击引流代码将服务器请求转发给溯源服务器进行处理。溯源服务将从每台应用服务器接收到的服务请求作为攻击访问请求。
第四步、进行同源攻击判断。溯源服务器根据每个攻击访问请求,获得每个攻击访问请求对应的指纹信息;在判断获知多个攻击访问请求具有相同的指纹信息之后,将所述多个攻击访问请求标记为同源攻击,并将标记为同源攻击的各个攻击访问请求包括的不同IP地址进行同源标记。
第五步、采集攻击者的攻击行为。对于同源攻击,溯源服务器响应所述同源攻击的各个攻击访问请求,并提供诱导页面给所述同源攻击的攻击者以采集所述攻击者的攻击行为。
第六步、对同源攻击进行溯源。溯源服务器根据所述同源攻击的各个攻击访问请求,获得所述同源攻击的攻击者的域名和/或IP地址,然后根据所述同源攻击者的域名和IP地址,获得所述同源攻击的攻击者的关联信息。
图8是本发明第八实施例提供的网络攻击处理装置的结构示意图,如图8所示,本发明实施例提供的网络攻击处理装置包括接收模块801、攻击判定模块802和溯源模块803,其中:
接收模块801用于接收各个服务请求;攻击判定模块802用于对各个服务请求进行攻击判定,获得多个攻击访问请求;溯源模块803用于对所述多个攻击访问请求进行溯源。
具体地接收模块801可以接收各个客户终端发送的服务请求,所述服务请求,根据实际需要进行设置,本发明实施例不做限定。
为了防止受到网络攻击,攻击判定模块802会对各个服务器请求进行攻击判定,可以根据攻击判断规则判断服务请求是否存在攻击风险,如果存在攻击风险,那么将服务请求作为攻击访问请求。如果判断出多个服务请求存在攻击风险,那么就会获得多个攻击访问请求。
溯源模块803在获得多个攻击访问请求之后,会对多个攻击访问请求进行溯源,溯源过程可以包括判断多个攻击访问请求是否属于同源攻击,采集攻击行为等。
本发明实施例提供的网络攻击处理装置,能够接收各个服务请求,对各个服务请求进行攻击判定,获得多个攻击访问请求,对多个攻击访问请求进行溯源,在应用层实现了对网络攻击的防御和溯源,提高了网络安全性。
图9是本发明第九实施例提供的网络攻击处理装置的结构示意图,如图9所示,在上述各实施例的基础上,进一步地,溯源模块803包括获得单元8031和标记单元8032,其中:
获得单元8031用于根据每个攻击访问请求,获得每个攻击访问请求对应的指纹信息;标记单元8032用于若判断获知多个攻击访问请求具有相同的指纹信息,则将多个攻击访问请求标记为同源攻击并记录同源攻击对应的指纹信息。
图10是本发明第十实施例提供的网络攻击处理装置的结构示意图,如图10所示,在上述各实施例的基础上,进一步地,溯源模块803还包括响应单元8033,其中:
响应单元8033用于响应所述同源攻击的各个攻击访问请求,并提供诱导页面给所述同源攻击的攻击者以采集所述攻击者的攻击行为。
图11是本发明第十一实施例提供的网络攻击处理装置的结构示意图,如图11所示,在上述各实施例的基础上,进一步地,本发明实施例提供的网络攻击处理装置还包括第一获得模块804和第二获得模块805,其中:
第一获得模块804用于根据所述同源攻击的各个攻击访问请求,获得所述同源攻击的攻击者的域名和/或IP地址;第二获得模块805用于根据所述同源攻击者的域名和IP地址,获得所述同源攻击的攻击者的关联信息。
在上述各实施例的基础上,进一步地,获得单元8031具体用于:
基于每个攻击访问请求,绘制每个攻击访问请求的浏览器指纹或者***指纹作为每个攻击访问请求对应的指纹信息。
在上述各实施例的基础上,进一步地,溯源模块803具体用于:
发送引流请求至溯源服务器,以使得所述溯源服务器对所述多个攻击访问请求进行溯源;其中,所述引流请求包括所述多个攻击访问请求。
图12是本发明第十二实施例提供的网络攻击处理装置的结构示意图,如图12所示,在上述各实施例的基础上,进一步地,本发明实施例提供的网络攻击处理装置还包括部署模块806,其中:
部署模块806用于基于插桩技术部署攻击判断代码和引流代码;其中,所述攻击判断代码用于对服务请求进行攻击判定,所述引流代码用于发送引流请求至溯源服务器。
本发明实施例提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
需要说明的是,本发明实施例提供的网络攻击处理方法及装置可用于金融领域,也可用于除金融领域之外的任意技术领域,本发明实施例对网络攻击处理方法及装置的应用领域不做限定。
图13是本发明第十三实施例提供的电子设备的实体结构示意图,如图13所示,该电子设备可以包括:处理器(processor)1301、通信接口(Communications Interface)1302、存储器(memory)1303和通信总线1304,其中,处理器1301,通信接口1302,存储器1303通过通信总线1304完成相互间的通信。处理器1301可以调用存储器1303中的逻辑指令,以执行如下方法:接收各个服务请求;对各个服务请求进行攻击判定,获得多个攻击访问请求;对所述多个攻击访问请求进行溯源。
此外,上述的存储器1303中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:接收各个服务请求;对各个服务请求进行攻击判定,获得多个攻击访问请求;对所述多个攻击访问请求进行溯源。
本实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述各方法实施例所提供的方法,例如包括:接收各个服务请求;对各个服务请求进行攻击判定,获得多个攻击访问请求;对所述多个攻击访问请求进行溯源。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本说明书的描述中,参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种网络攻击处理方法,其特征在于,包括:
接收各个服务请求;
对各个服务请求进行攻击判定,获得多个攻击访问请求;
对所述多个攻击访问请求进行溯源。
2.根据权利要求1所述的方法,其特征在于,所述对所述多个攻击访问请求进行溯源包括:
根据每个攻击访问请求,获得每个攻击访问请求对应的指纹信息;
若判断获知多个攻击访问请求具有相同的指纹信息,则将多个攻击访问请求标记为同源攻击并记录同源攻击对应的指纹信息。
3.根据权利要求2所述的方法,其特征在于,还包括:
响应所述同源攻击的各个攻击访问请求,并提供诱导页面给所述同源攻击的攻击者以采集所述攻击者的攻击行为。
4.根据权利要求2所述的方法,其特征在于,还包括:
根据所述同源攻击的各个攻击访问请求,获得所述同源攻击的攻击者的域名和/或IP地址;
根据所述同源攻击者的域名和IP地址,获得所述同源攻击的攻击者的关联信息。
5.根据权利要求2所述的方法,其特征在于,所述根据每个攻击访问请求,获得每个攻击访问请求对应的指纹信息包括:
基于每个攻击访问请求,绘制每个攻击访问请求的浏览器指纹或者***指纹作为每个攻击访问请求对应的指纹信息。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述对所述多个攻击访问请求进行溯源包括:
发送引流请求至溯源服务器,以使得所述溯源服务器对所述多个攻击访问请求进行溯源;其中,所述引流请求包括所述多个攻击访问请求。
7.根据权利要求6所述的方法,其特征在于,在接收各个服务请求之前,还包括:
基于插桩技术部署攻击判断代码和引流代码;其中,所述攻击判断代码用于对服务请求进行攻击判定,所述引流代码用于发送引流请求至溯源服务器。
8.一种网络攻击处理装置,其特征在于,包括:
接收模块,用于接收各个服务请求;
攻击判定模块,用于对各个服务请求进行攻击判定,获得多个攻击访问请求;
溯源模块,用于对所述多个攻击访问请求进行溯源。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至7任一项所述的方法。
11.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现权利要求1至7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210733841.8A CN115134139A (zh) | 2022-06-27 | 2022-06-27 | 一种网络攻击处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210733841.8A CN115134139A (zh) | 2022-06-27 | 2022-06-27 | 一种网络攻击处理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115134139A true CN115134139A (zh) | 2022-09-30 |
Family
ID=83379244
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210733841.8A Pending CN115134139A (zh) | 2022-06-27 | 2022-06-27 | 一种网络攻击处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115134139A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763449A (zh) * | 2016-03-23 | 2016-07-13 | 东北大学 | 基于存储资源自适应调整的单包溯源方法 |
CN110519264A (zh) * | 2019-08-26 | 2019-11-29 | 奇安信科技集团股份有限公司 | 攻击事件的追踪溯源方法、装置及设备 |
CN112367315A (zh) * | 2020-11-03 | 2021-02-12 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
CN112491883A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种检测web攻击的方法、装置、电子装置和存储介质 |
CN113037777A (zh) * | 2021-04-09 | 2021-06-25 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
-
2022
- 2022-06-27 CN CN202210733841.8A patent/CN115134139A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763449A (zh) * | 2016-03-23 | 2016-07-13 | 东北大学 | 基于存储资源自适应调整的单包溯源方法 |
CN110519264A (zh) * | 2019-08-26 | 2019-11-29 | 奇安信科技集团股份有限公司 | 攻击事件的追踪溯源方法、装置及设备 |
CN112367315A (zh) * | 2020-11-03 | 2021-02-12 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
CN112491883A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种检测web攻击的方法、装置、电子装置和存储介质 |
CN113037777A (zh) * | 2021-04-09 | 2021-06-25 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109743315B (zh) | 针对网站的行为识别方法、装置、设备及可读存储介质 | |
CN110300133B (zh) | 跨域数据传输方法、装置、设备及存储介质 | |
CN113645253B (zh) | 一种攻击信息获取方法、装置、设备及存储介质 | |
GB2512954A (en) | Detecting and marking client devices | |
CN105939326A (zh) | 处理报文的方法及装置 | |
CN113949520B (zh) | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 | |
CN111818103A (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
US11509691B2 (en) | Protecting from directory enumeration using honeypot pages within a network directory | |
JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
CN107332804A (zh) | 网页漏洞的检测方法及装置 | |
CN113098835A (zh) | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐*** | |
CN114826663A (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
CN113645242B (zh) | 一种蜜罐溯源方法、装置及相关设备 | |
CN114726608A (zh) | 一种蜜罐引流方法、装置及其介质 | |
CN114157568A (zh) | 一种浏览器安全访问方法、装置、设备及存储介质 | |
CN109600257A (zh) | 工具的部署方法、装置和存储介质 | |
CN108418844A (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
CN114124414A (zh) | 蜜罐服务的生成方法、装置和攻击行为数据的捕获方法 | |
JP2015132942A (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
CN108306937B (zh) | 短信验证码的发送方法、获取方法、服务器及存储介质 | |
CN115134139A (zh) | 一种网络攻击处理方法及装置 | |
CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 | |
CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
CN114417397A (zh) | 行为画像的构建方法、装置、存储介质及计算机设备 | |
KR101748116B1 (ko) | 클라우드 모바일 환경에서의 스미싱 차단장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |