CN115865457A - 一种网络攻击行为的识别方法、服务器及介质 - Google Patents
一种网络攻击行为的识别方法、服务器及介质 Download PDFInfo
- Publication number
- CN115865457A CN115865457A CN202211490024.0A CN202211490024A CN115865457A CN 115865457 A CN115865457 A CN 115865457A CN 202211490024 A CN202211490024 A CN 202211490024A CN 115865457 A CN115865457 A CN 115865457A
- Authority
- CN
- China
- Prior art keywords
- access request
- address information
- information
- message header
- header information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络攻击行为的识别方法、服务器及介质,该方法包括:接收用户终端发起的访问请求,并获取访问请求对应的IP地址信息以及访问请求携带的请求报文;对请求报文进行报文解析,获取请求报文的报文头部信息;分别获取IP地址信息和报文头部信息对应的权重,并根据IP地址信息、IP地址信息对应的权重、报文头部信息以及报文头部信息对应的权重,获取访问请求对应的访问请求指纹;查询本地存储的攻击行为指纹,获取访问请求指纹的相似度;在确定访问请求指纹的相似度大于相似度阈值时,确定访问请求为网络攻击行为,并对访问请求进行封禁处理。解决了现有技术中服务器对网络攻击行为的识别率较低的问题。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种网络攻击行为的识别方法、服务器及介质。
背景技术
通过各种用户终端浏览网页,已经成为人们工作和生活中不可或缺的内容。用户终端是通过向服务器发起http请求,来实现对网站的访问的。基于此,黑客会伪装成普通的用户终端对服务器发起http请求,在服务器接受其请求后,对网站进行攻击。
现有技术中,服务器通过将http请求中携带的IP地址与其存储的发起过网络攻击的IP地址进行比对,来识别网络攻击行为。然而,这种识别方法完全无法应对采用秒拨IP的方式进行的网络攻击,黑客不断变换IP地址对服务器发起http请求,使得服务器无法通过IP地址来识别其攻击行为,导致网络攻击行为的识别率较低。
发明内容
本申请提供一种网络攻击行为的识别方法、服务器及介质,用于解决现有技术中服务器对网络攻击行为的识别率较低的问题。
第一方面,本申请提供一种网络攻击行为的识别方法,包括:接收用户终端发起的访问请求,并获取所述访问请求对应的IP地址信息以及所述访问请求携带的请求报文;对所述请求报文进行报文解析,获取所述请求报文的报文头部信息;分别获取所述IP地址信息和所述报文头部信息对应的权重,并根据所述IP地址信息、IP地址信息对应的权重、所述报文头部信息以及报文头部信息对应的权重,获取所述访问请求对应的访问请求指纹;查询本地存储的攻击行为指纹,获取所述访问请求指纹的相似度;在确定所述访问请求指纹的相似度大于相似度阈值时,确定所述访问请求为网络攻击行为,并对所述访问请求进行封禁处理。
在一种具体实施方式中,所述根据所述IP地址信息、IP地址信息对应的权重、所述报文头部信息以及报文头部信息对应的权重,获取所述访问请求对应的访问请求指纹,包括:根据所述IP地址信息和所述IP地址信息的对应的权重,生成IP地址信息字符串;根据所述报文头部信息和所述报文头部信息对应的权重,生成报文头部信息字符串;将所述IP地址信息字符串和所述报文头部信息字符串合并,生成所述访问请求对应的访问请求指纹。
在一种具体实施方式中,所述查询本地存储的攻击行为指纹,获取所述访问请求指纹的相似度,包括:查询本地存储的攻击行为指纹,将所述访问请求指纹中的IP地址信息与所述攻击行为指纹中的IP地址信息进行比对,在确定所述访问请求指纹中的IP地址信息与所述攻击行为指纹中的IP地址信息相同时,将IP地址信息对应的权重计入所述访问请求指纹的相似度中;将所述访问请求指纹中的报文头部信息与所述攻击行为指纹中的报文头部信息进行比对,在确定所述访问请求指纹中的报文头部信息与所述攻击行为指纹中的报文头部信息相同时,将报文头部信息对应的权重计入所述访问请求指纹的相似度中。
在一种具体实施方式中,所述IP地址信息包括请求源IP地址信息以及目的IP地址信息;所述报文头部信息,包括:用户终端数据信息,历史访问页面信息,浏览器信息,以及主机信息。
第二方面,本申请提供一种服务器,包括:获取模块,用于接收用户终端发起的访问请求,并获取所述访问请求对应的IP地址信息以及所述访问请求携带的请求报文;所述获取模块,还用于对所述请求报文进行报文解析,获取所述请求报文的报文头部信息;处理模块,用于分别获取所述IP地址信息和所述报文头部信息对应的权重,并根据所述IP地址信息、IP地址信息对应的权重、所述报文头部信息以及报文头部信息对应的权重,获取所述访问请求对应的访问请求指纹;所述处理模块,还用于查询本地存储的攻击行为指纹,获取所述访问请求指纹的相似度;所述处理模块,还用于在确定所述访问请求指纹的相似度大于相似度阈值时,确定所述访问请求为网络攻击行为,并对所述访问请求进行封禁处理。
在一种具体实施方式中,所述处理模块,具体用于:根据所述IP地址信息和所述IP地址信息的对应的权重,生成IP地址信息字符串;根据所述报文头部信息和所述报文头部信息对应的权重,生成报文头部信息字符串;将所述IP地址信息字符串和所述报文头部信息字符串合并,生成所述访问请求对应的访问请求指纹。
在一种具体实施方式中,所述处理模块,具体用于:查询本地存储的攻击行为指纹,将所述访问请求指纹中的IP地址信息与所述攻击行为指纹中的IP地址信息进行比对,在确定所述访问请求指纹中的IP地址信息与所述攻击行为指纹中的IP地址信息相同时,将IP地址信息对应的权重计入所述访问请求指纹的相似度中;将所述访问请求指纹中的报文头部信息与所述攻击行为指纹中的报文头部信息进行比对,在确定所述访问请求指纹中的报文头部信息与所述攻击行为指纹中的报文头部信息相同时,将报文头部信息对应的权重计入所述访问请求指纹的相似度中。
在一种具体实施方式中,所述IP地址信息包括请求源IP地址信息以及目的IP地址信息;所述报文头部信息,包括:用户终端数据信息,历史访问页面信息,浏览器信息,以及主机信息。
第三方面,本申请提供一种服务器,包括:处理器,存储器,通信接口;所述存储器用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行第一方面所述的网络攻击行为的识别方法。
第四方面,本申请提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的网络攻击行为的识别方法。
本申请提供一种网络攻击行为的识别方法、服务器及介质,该方法包括:接收用户终端发起的访问请求,并获取该访问请求对应的IP地址信息以及该访问请求携带的请求报文;对该请求报文进行报文解析,获取该请求报文的报文头部信息;分别获取该IP地址信息和该报文头部信息对应的权重,并根据该IP地址信息、IP地址信息对应的权重、该报文头部信息以及报文头部信息对应的权重,获取该访问请求对应的访问请求指纹;查询本地存储的攻击行为指纹,获取该访问请求指纹的相似度;在确定该访问请求指纹的相似度大于相似度阈值时,确定该访问请求为网络攻击行为,并对该访问请求进行封禁处理。相较于现有技术中通过将IP地址与服务器存储的发起过网络攻击的IP地址进行比对,来识别网络攻击行为,本申请根据IP地址信息及其对应的权重、报文头部信息及其对应的权重获取访问请求指纹,并根据本地存储的攻击行为指纹,获取访问请求指纹的相似度,在相似度大于相似度阈值时,确定访问请求为网络攻击行为并对其进行封禁处理。如此,即使黑客不断变换IP地址,服务器仍能够借助包含报文头部信息的访问请求指纹的相似度识别其攻击行为,有效提高了服务器对网络攻击行为的识别率,解决了现有技术因服务器无法通过IP地址准确识别网络攻击行为而导致的网络攻击行为识别率较低的问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种网络攻击行为的识别方法实施例一的流程示意图;
图2为本申请提供的一种网络攻击行为的识别方法实施例二的流程示意图;
图3为本申请提供的一种服务器实施例的结构示意图;
图4为本申请提供的另一种服务器实施例的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在根据本实施例的启示下作出的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在网络信息迅速更新的今天,通过各种用户终端浏览网页,已经成为人们工作和生活中不可或缺的内容。用户终端是通过向服务器发起http请求,来实现对网站的访问的。基于此,黑客会伪装成普通的用户终端对服务器发起http请求,在服务器接受其请求后,对网站进行攻击。
现有技术中,服务器通过将http请求中携带的IP地址与其存储的发起过网络攻击的IP地址进行比对,来识别网络攻击行为。然而,这种识别方法完全无法应对采用秒拨IP的方式进行的网络攻击,黑客不断变换IP地址对服务器发起http请求,使得服务器无法通过IP地址来识别其攻击行为,导致网络攻击行为的识别率较低。
基于上述技术问题,本申请的技术构思过程如下:如何应对采用秒拨IP的方式进行的网络攻击,提高服务器对网络攻击行为的识别率。
下面,通过具体实施例对本申请的技术方案进行详细说明。需要说明的是,下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图1为本申请提供的一种网络攻击行为的识别方法实施例一的流程示意图。参见图1,该网络攻击行为的识别方法具体包括以下步骤:
步骤S101:接收用户终端发起的访问请求,并获取该访问请求对应的IP地址信息以及该访问请求携带的请求报文。
在本实施例中,服务器接收用户终端发起的访问请求,示例性地,该访问请求可以是用户终端发起的访问网页的请求。服务器获取该访问请求对应的IP地址信息以及携带的请求报文。
步骤S102:对该请求报文进行报文解析,获取该请求报文的报文头部信息。
在本实施例中,请求报文通常为文本格式,通过报文解析,可以获取其中的报文头部信息。示例性地,报文头部信息可以为发起该访问请求的主机信息“Host=10.22.22.22”。
步骤S103:分别获取该IP地址信息和该报文头部信息对应的权重,并根据该IP地址信息、IP地址信息对应的权重、该报文头部信息以及报文头部信息对应的权重,获取该访问请求对应的访问请求指纹。
在本实施例中,IP地址信息和报文头部信息分别对应不同的权重。示例性地,IP地址信息为“DstIP=192.168.0.8”,IP地址信息对应的权重可以为1,报文头部信息为“Cookie=1660392043”,报文头部信息对应的权重可以为95。根据IP地址信息、IP地址信息对应的权重、报文头部信息以及报文头部信息对应的权重,获取访问请求对应的访问请求指纹为“01:DstIP:192.168.0.8;90:Cookie:1660392043”。
步骤S104:查询本地存储的攻击行为指纹,获取该访问请求指纹的相似度。
步骤S105:在确定该访问请求指纹的相似度大于相似度阈值时,确定该访问请求为网络攻击行为,并对该访问请求进行封禁处理。
在本实施例中,服务器本地存储有攻击行为指纹,服务器通过查询攻击行为指纹,获取访问请求指纹的相似度。示例性地,服务器查询到本地存储的攻击行为指纹为“DstIP:192.168.0.5;Cookie:1660392043”,获取访问请求指纹的相似度为90。
在确定该访问请求指纹的相似度大于相似度阈值时,确定该访问请求为网络攻击行为。示例性地,相似度阈值可以为80。在上述示例中,访问请求指纹与攻击行为指纹的报文头部信息的相似度为90,大于相似度阈值,即可确定该访问请求为网络攻击行为,对该访问请求进行封禁处理。
具体地,封禁处理可以为拒绝该访问请求,并将该访问请求指纹作为攻击行为指纹进行本地存储。
在本实施例中,接收用户终端发起的访问请求,并获取该访问请求对应的IP地址信息以及该访问请求携带的请求报文;对该请求报文进行报文解析,获取该请求报文的报文头部信息;分别获取该IP地址信息和该报文头部信息对应的权重,并根据该IP地址信息、IP地址信息对应的权重、该报文头部信息以及报文头部信息对应的权重,获取该访问请求对应的访问请求指纹;查询本地存储的攻击行为指纹,获取该访问请求指纹的相似度;在确定该访问请求指纹的相似度大于相似度阈值时,确定该访问请求为网络攻击行为,并对该访问请求进行封禁处理。相较于现有技术中通过将IP地址与服务器存储的发起过网络攻击的IP地址进行比对,来识别网络攻击行为,本申请根据IP地址信息及其对应的权重、报文头部信息及其对应的权重获取访问请求指纹,并根据本地存储的攻击行为指纹,获取访问请求指纹的相似度,在相似度大于相似度阈值时,确定访问请求为网络攻击行为并对其进行封禁处理。如此,即使黑客不断变换IP地址,服务器仍能够借助包含报文头部信息的访问请求指纹的相似度,识别其攻击行为,有效提高了服务器对网络攻击行为的识别率,解决了现有技术因服务器无法通过IP地址准确识别网络攻击行为而导致的网络攻击行为识别率较低的问题。
图2为本申请提供的一种网络攻击行为的识别方法实施例二的流程示意图,在上述图1所示实施例的基础上,参见图2,该网络攻击行为的识别方法具体包括以下步骤:
步骤S201:接收用户终端发起的访问请求,并获取该访问请求对应的IP地址信息以及该访问请求携带的请求报文。
步骤S202:对该请求报文进行报文解析,获取该请求报文的报文头部信息。
步骤S203:分别获取该IP地址信息和该报文头部信息对应的权重,根据该IP地址信息和该IP地址信息的对应的权重,生成IP地址信息字符串;根据该报文头部信息和该报文头部信息对应的权重,生成报文头部信息字符串;将该IP地址信息字符串和该报文头部信息字符串合并,生成该访问请求对应的访问请求指纹。
在本实施例中,IP地址信息包括请求源IP地址信息以及目的IP地址信息。其中,请求源IP地址信息SrcIp为访问请求的源IP地址信息,目的IP地址信息DstIp为访问请求的目的IP地址信息。示例性地,请求源IP地址信息SrcIp对应的权重可以为99,目的IP地址信息DstIp对应的权重可以为1。
根据IP地址信息和IP地址信息的对应的权重,生成IP地址信息字符串。示例性地,IP地址信息为“DstIP=192.168.0.8”,目的IP地址信息DstIP对应的权重为1,生成IP地址信息字符串为“01:DstIP:192.168.0.8”。
在本实施例中,报文头部信息包括:用户终端数据信息,历史访问页面信息,浏览器信息,以及主机信息。具体地,用户终端数据信息Cookie为服务器在用户终端上一次进行访问时写入用户终端的数据信息;历史访问页面信息Reference为用户终端上一次访问的页面信息;浏览器信息User-Agent为用户终端进行访问所使用的浏览器名称和版本号;主机信息Host为用户终端的主机名。报文头部信息还可以包括:请求路径信息Path、请求参数信息Params以及其它自定义头部信息。
示例性地,报文头部信息对应的权重可以如下表1所示:
表1报文头部信息及对应的权重
| 报文头部信息名称 | 权重 |
| 用户终端数据信息Cookie | jsessionId:99;session:90;其他:2 |
| 历史访问页面信息Reference | 5 |
| 浏览器信息User-Agent | 5 |
| 主机信息Host | 2 |
| 请求路径信息Path | 2 |
| 请求参数信息Params | 5 |
| 自定义头部信息 | 4 |
根据报文头部信息和报文头部信息对应的权重,生成报文头部信息字符串。示例性地,主机信息为“Host=10.22.22.22”,主机信息Host对应的权重为2;用户终端数据信息为“Cookie=1660392043”,用户终端数据信息Cookie对应的权重为90。则根据报文头部信息和报文头部信息对应的权重,生成的报文头部信息字符串为“02:Host:10.22.22.22;90:Cookie:1660392043”。
在本实施例中,将该IP地址信息字符串和该报文头部信息字符串合并,生成该访问请求对应的访问请求指纹。
示例性地,IP地址信息字符串为“01:DstIP:192.168.0.8”,报文头部信息字符串为“02:Host:10.22.22.22;90:Cookie:1660392043”,将IP地址信息字符串和报文头部信息字符串合并,生成访问请求对应的访问请求指纹为“01:DstIP:192.168.0.8;02:Host:10.22.22.22;90:Cookie:1660392043”。
步骤S204:查询本地存储的攻击行为指纹,将该访问请求指纹中的IP地址信息与该攻击行为指纹中的IP地址信息进行比对,在确定该访问请求指纹中的IP地址信息与该攻击行为指纹中的IP地址信息相同时,将IP地址信息对应的权重计入该访问请求指纹的相似度中;将该访问请求指纹中的报文头部信息与该攻击行为指纹中的报文头部信息进行比对,在确定该访问请求指纹中的报文头部信息与该攻击行为指纹中的报文头部信息相同时,将报文头部信息对应的权重计入该访问请求指纹的相似度中。
在本实施例中,服务器查询本地存储的攻击行为指纹,将访问请求指纹中的IP地址信息与攻击行为指纹中的IP地址信息进行比对,在确定IP地址信息相同时,将IP地址信息对应的权重计入访问请求指纹的相似度中;将访问请求指纹中的报文头部信息与攻击行为指纹中的报文头部信息进行比对,在确定报文头部信息相同时,将报文头部信息对应的权重也计入访问请求指纹的相似度中。
示例性地,查询到本地存储的攻击行为指纹为“DstIP:192.168.0.8;Host:10.11.22.33;Cookie:1660392043”,访问请求对应的访问请求指纹为“01:DstIP:192.168.0.8;02:Host:10.22.22.22;95:Cookie:1660392043”。将攻击行为指纹与访问请求指纹进行对比,可以确定IP地址信息相同,则将目的IP地址信息DstIP对应的权重“1”计入访问请求指纹的相似度中;还可以确定用户终端数据信息Cookie相同,则将用户终端数据信息Cookie对应的权重“90”计入访问请求指纹的相似度中。由此,得到访问请求指纹的相似度为91。
在本实施例中,为了节省存储空间,也为了信息安全,可以在将IP地址信息字符串和报文头部信息字符串合并后,利用字符串压缩技术进行压缩,生成访问请求对应的访问请求指纹。示例性地,字符串压缩技术可以为哈夫曼编码。相应地,服务器本地存储的攻击行为指纹也为经过哈夫曼编码的字符串。在将攻击行为指纹与访问请求指纹进行对比之前,先对攻击行为指纹与访问请求指纹进行字符串解码,再进行IP地址信息和报文头部信息的比对。
步骤S205:在确定该访问请求指纹的相似度大于相似度阈值时,确定该访问请求为网络攻击行为,并对该访问请求进行封禁处理。
在本实施例中,分别根据IP地址信息和报文头部信息以及信息对应的权重,生成IP地址信息字符串和报文头部信息字符串,将字符串合并生成访问请求对应的访问请求指纹;再分别将访问请求指纹中的IP地址信息和报文头部信息与攻击行为指纹中的IP地址信息和报文头部信息进行比对,在确定信息相同时,将相应的权重计入访问请求指纹的相似度中。通过将IP地址信息和报文头部信息生成字符串形式的访问请求指纹,与攻击行为指纹之间进行字符串间的比对,可以使服务器能够更准确地识别攻击行为,进一步提高了服务器对网络攻击行为的识别率,解决了现有技术因服务器无法通过IP地址准确识别网络攻击行为而导致的网络攻击行为识别率较低的问题。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图3为本申请提供的一种服务器实施例的结构示意图;如图3所示,该服务器30包括:获取模块31以及处理模块32。其中,获取模块31用于接收用户终端发起的访问请求,并获取该访问请求对应的IP地址信息以及该访问请求携带的请求报文。获取模块31还用于对该请求报文进行报文解析,获取该请求报文的报文头部信息。处理模块32用于分别获取该IP地址信息和该报文头部信息对应的权重,并根据该IP地址信息、IP地址信息对应的权重、该报文头部信息以及报文头部信息对应的权重,获取该访问请求对应的访问请求指纹。处理模块32还用于查询本地存储的攻击行为指纹,获取该访问请求指纹的相似度。处理模块32还用于在确定该访问请求指纹的相似度大于相似度阈值时,确定该访问请求为网络攻击行为,并对该访问请求进行封禁处理。
本申请实施例提供的服务器可以执行上述方法实施例所示的技术方案,其实现原理以及有益效果类似,此处不再进行赘述。
在一种可能的实施方案中,处理模块32具体用于根据该IP地址信息和该IP地址信息的对应的权重,生成IP地址信息字符串;根据该报文头部信息和该报文头部信息对应的权重,生成报文头部信息字符串;将该IP地址信息字符串和该报文头部信息字符串合并,生成该访问请求对应的访问请求指纹。
本申请实施例提供的服务器可以执行上述方法实施例所示的技术方案,其实现原理以及有益效果类似,此处不再进行赘述。
在一种可能的实施方案中,处理模块32具体用于查询本地存储的攻击行为指纹,将该访问请求指纹中的IP地址信息与该攻击行为指纹中的IP地址信息进行比对,在确定该访问请求指纹中的IP地址信息与该攻击行为指纹中的IP地址信息相同时,将IP地址信息对应的权重计入该访问请求指纹的相似度中;将该访问请求指纹中的报文头部信息与该攻击行为指纹中的报文头部信息进行比对,在确定该访问请求指纹中的报文头部信息与该攻击行为指纹中的报文头部信息相同时,将报文头部信息对应的权重计入该访问请求指纹的相似度中。
IP地址信息包括:请求源IP地址信息以及目的IP地址信息。报文头部信息包括:用户终端数据信息,历史访问页面信息,浏览器信息,以及主机信息。
本申请实施例提供的服务器可以执行上述方法实施例所示的技术方案,其实现原理以及有益效果类似,此处不再进行赘述。
图4为本申请提供的另一种服务器的结构示意图。如图4所示,该服务器40包括:处理器41,存储器42,以及通信接口43;其中,存储器42用于存储处理器41的可执行指令;处理器41配置为经由执行可执行指令来执行前述任一方法实施例中的技术方案。
可选的,存储器42既可以是独立的,也可以跟处理器41集成在一起。
可选的,当存储器42是独立于处理器41之外的器件时,服务器40还可以包括:总线44,用于将上述器件连接起来。
该服务器用于执行前述任一方法实施例中的技术方案,其实现原理和技术效果类似,在此不再赘述。
本申请实施例还提供一种可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现前述任一实施例提供的技术方案。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或对其中部分或全部技术特征进行等同替换;而这些修改或替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种网络攻击行为的识别方法,其特征在于,包括:
接收用户终端发起的访问请求,并获取所述访问请求对应的IP地址信息以及所述访问请求携带的请求报文;
对所述请求报文进行报文解析,获取所述请求报文的报文头部信息;
分别获取所述IP地址信息和所述报文头部信息对应的权重,并根据所述IP地址信息、IP地址信息对应的权重、所述报文头部信息以及报文头部信息对应的权重,获取所述访问请求对应的访问请求指纹;
查询本地存储的攻击行为指纹,获取所述访问请求指纹的相似度;
在确定所述访问请求指纹的相似度大于相似度阈值时,确定所述访问请求为网络攻击行为,并对所述访问请求进行封禁处理。
2.根据权利要求1所述的网络攻击行为的识别方法,其特征在于,所述根据所述IP地址信息、IP地址信息对应的权重、所述报文头部信息以及报文头部信息对应的权重,获取所述访问请求对应的访问请求指纹,包括:
根据所述IP地址信息和所述IP地址信息的对应的权重,生成IP地址信息字符串;
根据所述报文头部信息和所述报文头部信息对应的权重,生成报文头部信息字符串;
将所述IP地址信息字符串和所述报文头部信息字符串合并,生成所述访问请求对应的访问请求指纹。
3.根据权利要求1或2所述的网络攻击行为的识别方法,其特征在于,所述查询本地存储的攻击行为指纹,获取所述访问请求指纹的相似度,包括:
查询本地存储的攻击行为指纹,将所述访问请求指纹中的IP地址信息与所述攻击行为指纹中的IP地址信息进行比对,在确定所述访问请求指纹中的IP地址信息与所述攻击行为指纹中的IP地址信息相同时,将IP地址信息对应的权重计入所述访问请求指纹的相似度中;
将所述访问请求指纹中的报文头部信息与所述攻击行为指纹中的报文头部信息进行比对,在确定所述访问请求指纹中的报文头部信息与所述攻击行为指纹中的报文头部信息相同时,将报文头部信息对应的权重计入所述访问请求指纹的相似度中。
4.根据权利要求1所述的网络攻击行为的识别方法,其特征在于,
所述IP地址信息包括:请求源IP地址信息以及目的IP地址信息;
所述报文头部信息包括:用户终端数据信息,历史访问页面信息,浏览器信息,以及主机信息。
5.一种服务器,其特征在于,包括:
获取模块,用于接收用户终端发起的访问请求,并获取所述访问请求对应的IP地址信息以及所述访问请求携带的请求报文;
所述获取模块,还用于对所述请求报文进行报文解析,获取所述请求报文的报文头部信息;
处理模块,用于分别获取所述IP地址信息和所述报文头部信息对应的权重,并根据所述IP地址信息、IP地址信息对应的权重、所述报文头部信息以及报文头部信息对应的权重,获取所述访问请求对应的访问请求指纹;
所述处理模块,还用于查询本地存储的攻击行为指纹,获取所述访问请求指纹的相似度;
所述处理模块,还用于在确定所述访问请求指纹的相似度大于相似度阈值时,确定所述访问请求为网络攻击行为,并对所述访问请求进行封禁处理。
6.根据权利要求5所述的服务器,其特征在于,所述处理模块,具体用于:
根据所述IP地址信息和所述IP地址信息的对应的权重,生成IP地址信息字符串;
根据所述报文头部信息和所述报文头部信息对应的权重,生成报文头部信息字符串;
将所述IP地址信息字符串和所述报文头部信息字符串合并,生成所述访问请求对应的访问请求指纹。
7.根据权利要求5或6所述的服务器,其特征在于,所述处理模块,具体用于:
查询本地存储的攻击行为指纹,将所述访问请求指纹中的IP地址信息与所述攻击行为指纹中的IP地址信息进行比对,在确定所述访问请求指纹中的IP地址信息与所述攻击行为指纹中的IP地址信息相同时,将IP地址信息对应的权重计入所述访问请求指纹的相似度中;
将所述访问请求指纹中的报文头部信息与所述攻击行为指纹中的报文头部信息进行比对,在确定所述访问请求指纹中的报文头部信息与所述攻击行为指纹中的报文头部信息相同时,将报文头部信息对应的权重计入所述访问请求指纹的相似度中。
8.根据权利要求5所述的服务器,其特征在于,
所述IP地址信息包括:请求源IP地址信息以及目的IP地址信息;
所述报文头部信息包括:用户终端数据信息,历史访问页面信息,浏览器信息,以及主机信息。
9.一种服务器,其特征在于,包括:
处理器,存储器,通信接口;
所述存储器用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至4中任一项所述的网络攻击行为的识别方法。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的网络攻击行为的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211490024.0A CN115865457A (zh) | 2022-11-25 | 2022-11-25 | 一种网络攻击行为的识别方法、服务器及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211490024.0A CN115865457A (zh) | 2022-11-25 | 2022-11-25 | 一种网络攻击行为的识别方法、服务器及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115865457A true CN115865457A (zh) | 2023-03-28 |
Family
ID=85666436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211490024.0A Pending CN115865457A (zh) | 2022-11-25 | 2022-11-25 | 一种网络攻击行为的识别方法、服务器及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115865457A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116094848A (zh) * | 2023-04-11 | 2023-05-09 | 中国工商银行股份有限公司 | 访问控制方法、装置、计算机设备和存储介质 |
-
2022
- 2022-11-25 CN CN202211490024.0A patent/CN115865457A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116094848A (zh) * | 2023-04-11 | 2023-05-09 | 中国工商银行股份有限公司 | 访问控制方法、装置、计算机设备和存储介质 |
| CN116094848B (zh) * | 2023-04-11 | 2023-06-27 | 中国工商银行股份有限公司 | 访问控制方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113316926B (zh) | 域名处理方法、装置、电子设备以及存储介质 | |
| US8782068B2 (en) | Method, apparatus and system for protocol identification | |
| CN109951435B (zh) | 一种设备标识提供方法及装置和风险控制方法及装置 | |
| CN108809890B (zh) | 漏洞检测方法、测试服务器及客户端 | |
| WO2015165296A1 (zh) | 协议类型的识别方法和装置 | |
| CN108494755B (zh) | 一种传输应用程序编程接口api请求的方法及装置 | |
| CN113366815B (zh) | 网络资源请求方法、装置、电子设备以及存储介质 | |
| CN108093026B (zh) | 多租户请求的处理方法及装置 | |
| KR101619979B1 (ko) | 모바일 환경에서 점진적인 패턴 매칭을 위한 방법 및 장치 | |
| CN106656998B (zh) | 服务器通信方法及装置 | |
| CN107592299B (zh) | 代理上网识别方法、计算机装置及计算机可读存储介质 | |
| CN115865457A (zh) | 一种网络攻击行为的识别方法、服务器及介质 | |
| CN108055299B (zh) | Portal页面推送方法、网络接入服务器及Portal认证*** | |
| CN113055420B (zh) | Https业务识别方法、装置及计算设备 | |
| CN111385360A (zh) | 终端设备的识别方法、装置及计算机可读存储介质 | |
| US9325743B2 (en) | Information processing apparatus, method, and program | |
| WO2018178727A1 (en) | Determining that multiple requests are received from a particular user device | |
| CN106803830B (zh) | 识别上网终端的方法、装置和***、及uim卡 | |
| CN110944037B (zh) | 客户端缓存更改配置的方法、计算机设备和存储介质 | |
| CN110750290B (zh) | 基于dns查询的软件版本升级方法及装置 | |
| CN114417198A (zh) | 一种网络诈骗预警方法、装置、预警设备、*** | |
| CN113434792B (zh) | 网络地址匹配模型的训练方法和网络地址匹配方法 | |
| CN114070819B (zh) | 恶意域名检测方法、设备、电子设备及存储介质 | |
| CN115396183B (zh) | 用户身份识别方法及装置 | |
| CN115379026B (zh) | 一种报文头域的识别方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |