CN105450619A - 恶意攻击的防护方法、装置和系统 - Google Patents
恶意攻击的防护方法、装置和系统 Download PDFInfo
- Publication number
- CN105450619A CN105450619A CN201410510576.2A CN201410510576A CN105450619A CN 105450619 A CN105450619 A CN 105450619A CN 201410510576 A CN201410510576 A CN 201410510576A CN 105450619 A CN105450619 A CN 105450619A
- Authority
- CN
- China
- Prior art keywords
- equipment
- access
- feature
- device parameter
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种恶意攻击的防护方法、装置和系统。其中,该方法包括:获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数;保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存具有安全访问特征的访问设备的设备参数至安全设备列表;在恶意防护中,检测接入网关路由器的当前访问设备的设备参数,其中,如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定当前访问设备为攻击设备。本发明解决了现有技术针对恶意攻击的防护方案存在防护漏洞且不具备通用性的技术问题。
Description
技术领域
本发明涉及计算机互联网领域,具体而言,涉及一种恶意攻击的防护方法、装置和系统。
背景技术
随着互联网技术的飞速发展,互联网技术为用户提供了各种便利的应用,例如:即时聊天、社交平台、网络购物等,与此同时,黑客通过恶意攻击上述应用的网络服务器,使得合法用户无法正常访问网络服务器。以分布式拒绝服务(DistributedDenialofService,简称为DDOS)为例,攻击者入侵或者间接利用的大量“僵尸主机”向攻击对象(即网络服务器)发送大量伪装后的网络包,目的是为了造成网络阻塞或服务器资源耗尽,从而导致网络服务器拒绝为合法用户提供服务,即合法用户发送给网络服务器的网络包被淹没,合法用户无法正常访问网络服务器的网络资源。常见的DDOS攻击手段包括:SynFlood、AckFlood、UdpFlood、IcmpFlood、TcpFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等。
随着DDOS恶意攻击在互联网上的肆虐泛滥,面对各种攻击威胁,如何对恶意攻击进行防护,维护网络安全已然成为互联网公民的首要任务。目前业界防护设备针对DDos攻击的防护,均采用针对不同的攻击类型使用不同攻击防护算法的方案,以达到对DDos攻击流量进行清洗的目的。
如图1所示,现有技术提供的防护部署方案为将防护设备接入至网关路由器,当防护设备的检测系统检测到攻击者的DDos攻击时,通知防护设备进行DDos攻击防护,其中,防护设备可以对不同的攻击类型采用相应的算法进行防护(如Synflood、Udpflood、Dnsflood等攻击防护算法),现有的Synflood防护策略主要采用预定时间(例如3秒)的重传机制以及源限速的方法;Udpflood防护策略主要采用根据数据包大小,进行包特征过滤、限速等方法;Dnsflood防护策略主要采用将数据包进行dns缓存、限速等方案。
例如,防护设备使用Synflood防护策略,可以采用DCN防火墙来拦截,在DCN防火墙受到攻击的时候会提示有IP试图连接服务器的端口,或进行报警,此时可以将合法用户的合法数据包进行重传等。
分析可知,上述针对恶意攻击的防护方案存在如下缺陷:针对对重放类攻击、以及模拟真实源的攻击难以防护;仅提供了针对不同攻击类型采用对应的防护算法,防护方法不具备通用性。
针对上述现有技术针对恶意攻击的防护方案存在防护漏洞且不具备通用性的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种恶意攻击的防护方法、装置和系统,以至少解决现有技术针对恶意攻击的防护方案存在防护漏洞且不具备通用性的技术问题。
根据本发明实施例的一个方面,提供了一种恶意攻击的防护方法,该方法包括:获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数;保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存具有安全访问特征的访问设备的设备参数至安全设备列表;在恶意防护中,检测接入网关路由器的当前访问设备的设备参数,其中,如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定当前访问设备为攻击设备,如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定当前访问设备为安全设备。
根据本发明实施例的另一方面,还提供了一种恶意攻击的防护装置,该装置包括:获取模块,用于获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数;保存模块,用于保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存具有安全访问特征的访问设备的设备参数至安全设备列表;检测模块,用于在恶意防护中,检测接入网关路由器的当前访问设备的设备参数;第一处理模块,用于在恶意防护中,如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定当前访问设备为攻击设备;第二处理模块,用于在恶意防护中,如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定当前访问设备为安全设备。
根据本发明实施例的另一方面,还提供了一种恶意攻击的防护系统,该系统包括:当前访问设备;网关路由器,通过互联网与当前访问设备建立通信关系;检测设备,连接于网关路由器和访问设备之间,用于获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数,并保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,保存具有安全访问特征的访问设备的设备参数至安全设备列表;防护设备,分别与检测设备和网关路由器连接,用于在恶意防护中,从检测设备中拉取攻击设备列表和安全设备列表,并通过当前接入网关路由器的当前访问设备的设备参数;其中,如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定当前访问设备为攻击设备,如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定当前访问设备为安全设备。
在本发明实施例中,采用获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数;保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存具有安全访问特征的访问设备的设备参数至安全设备列表;在恶意防护中,检测接入网关路由器的当前访问设备的设备参数,其中,如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定当前访问设备为攻击设备,如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定当前访问设备为安全设备的方式,通过将获取到的具有恶意攻击特征的访问设备的设备参数保存至攻击设备列表,并将获取到的具有安全访问特征的访问设备的设备参数保存至安全设备列表,来获取在恶意防护中所采用的比对模板,由于上述攻击设备列表和安全设备列表都是根据历史行为预先保存的,而且内容全面,因此,在当前进行攻击防护的过程中,无需采用现有技术提供的针对不同的攻击类型使用不同攻击防护算法的方案,只需要将当前访问设备的设备参数分别与攻击设备列表和安全设备列表中的所有设备参数进行匹配,从而确定当前访问设备的属性,由于该过程去除了复杂的算法处理数据包的分析过程,而且设备列表是不断更新充实的,进而解决了现有技术针对恶意攻击的防护方案存在防护漏洞且不具备通用性的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据现有技术的一种防护攻击系统的结构示意图;
图2是本发明实施例的一种运行恶意攻击的防护方法的计算机终端的硬件结构框图;
图3是根据本发明实施例一的恶意攻击的防护方法的流程图;
图4是根据本发明实施例一的用于实现恶意攻击的防护方法的应用场景的系统结构示意图;
图5是根据本发明实施例一的以设备参数为访问设备的IP地址为例的恶意攻击的防护方法的交互图;
图6是根据本法实施例二的恶意攻击的防护装置的结构示意图;
图7是根据本法实施例二的一种可选的恶意攻击的防护装置的结构示意图;
图8是根据本法实施例二的一种可选的恶意攻击的防护装置的结构示意图;
图9是根据本法实施例二的一种可选的恶意攻击的防护装置的结构示意图;
图10是根据本法实施例二的一种可选的恶意攻击的防护装置的结构示意图;
图11是根据本法实施例二的一种可选的恶意攻击的防护装置的结构示意图;以及
图12是根据本发明实施例三的恶意攻击的防护系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
下面就本申请涉及到的部分名词解释如下:
IP地址:互联网协议地址(英语:InternetProtocolAddress,又译为网际协议地址),缩写为IP地址(IPAddress)。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
DDos:分布式拒绝服务(DDoS:DistributedDenialofService)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
IP信誉:对IP地址的异常行为做记录,以此形成IP地址的信誉等级。
肉鸡:肉鸡也称傀儡机,是指可以被黑客远程控制的机器。它们被黑客攻破或用户自己不小心,种植了木马,黑客可以随意操纵它并利用它做任何事情。肉鸡通常被用作DDOS攻击。
代理服务器(ProxyServer),是一种重要的服务器安全功能,它的工作主要在开放系统互联(OSI)模型的会话层,从而起到防火墙的作用。代理服务器大多被用来连接INTERNET(国际互联网)和INTRANET(局域网)。
网关路由器:网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。
实施例1
根据本发明实施例,提供了一种恶意攻击的防护方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图2是本发明实施例的一种运行恶意攻击的防护方法的计算机终端的硬件结构框图。如图2所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图2所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的恶意攻击的防护方法所对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的恶意攻击的防护方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(NetworkInterfaceController,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图3所示的恶意攻击的防护方法。图3是根据本发明实施例一的恶意攻击的防护方法的流程图。
如图3所示,该恶意攻击的防护方法可以包括如下步骤:
步骤S30,获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数。
本申请上述步骤S30中的恶意攻击特征用于表征该访问设备的历史行为是恶意攻击行为,即该具有恶意攻击特征的访问设备对网络服务器进行了恶意攻击(例如DDOS攻击行为)。
在本申请提供的一种可选方案中,由于图2中计算机终端10可以结合图4中的防护设备和检测设备来实现,因此,结合图4可知,在访问设备通过互联网接入网关路由器之后,可以通过连接于互联网和网关路由器之间的检测设备来监控访问设备,如果监测到访问设备发出恶意攻击行为,则记录该发出攻击行为的访问设备的访问参数(例如:IP地址)。同理,
检测设备还可以同时监控没有恶意攻击行为的访问设备,如果监测到访问设备的访问行为是符合用户正常行为(例如登录行为、交易行为)的访问,
则记录该符合用户正常行为的访问设备的访问参数。
例如,以安装有QQ客户端的访问设备为例,检测设备如果监控到该访问设备存在大量发送聊天数据包或上传数据包的,则确定该客户端是具有恶意攻击特征的访问设备。
在本申请提供的另外一种可选实施例中,还可以通过采集第三方机构(例如运营商服务器、华为服务器)搜集到的具有恶意攻击行为的访问设备的访问参数,由于利用了第三方机构的监控结果,大大减少了本地检测设备的消耗,也弥补了检测设备的检测漏洞。
在设备参数为设备的IP地址的情况下,上述步骤30可以通过检测设备、第三方机构对日常运营中的访问设备进行监控,搜集到带有恶意行为的设备的IP地址,同时搜集正常合法的访问用户的IP地址。
此处需要说明的是,上述获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数的过程,均是历史行为获取到的历史检测结果。即在进入防护功能之后,可以利用上述历史检测结果对当前访问设备进行防护。
步骤S32,保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存具有安全访问特征的访问设备的设备参数至安全设备列表。
本申请上述步骤S32将具有不同特征的访问设备的设备参数保存至不同的设备列表中,实现了对访问设备进行了信誉分类的处理。以此形成不同访问设备信誉等级的划分。
例如,在设备参数为设备的IP地址的情况下,上述攻击设备列表和安全设备列表都属于IP信誉库,上述步骤S32实现了对以上搜集到的IP地址进行IP信誉分类。这种信誉分类规则,将所有IP分类为黑白两类,有过攻击记录的访问设备的IP地址被标记为黑,没有攻击记录的访问设备的IP地址标记为白。
步骤S34,在恶意防护中,检测接入网关路由器的当前访问设备的设备参数,其中,如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定当前访问设备为攻击设备,如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定当前访问设备为安全设备。优选地,在确定当前访问设备为攻击设备之后,可以执行将当前访问设备的流量进行清洗。
本申请上述步骤S34实现了将当前接入网关路由器的访问设备分别与上述步骤S32中的攻击设备列表和安全设备列表进行匹配操作,来确定当前访问设备属于攻击设备或安全设备。显而易见的,该过程不需要采用复杂的算法对当前访问设备的数据包进行分析,简单、效率高且准确。
一种可选实施例中,在设备参数为设备的IP地址的情况下,如果当前访问设备的IP地址与攻击设备列表中的一个IP地址的匹配度为100%或匹配度超过95%,则认为当前访问设备为攻击设备或者属于攻击风险较高的设备,则需要对当前访问设备进行防护处理。
例如,在DDos防护中,上述步骤S34可以实现,通过引入IP信誉库对当前访问设备进行,如果当前访问设备的IP地址与IP信誉库的攻击设备列表相同,则确定当前访问设备为具有恶意IP地址的攻击设备,防护设备启动对上述当前访问设备的流量进行清洗。
综上,上述方案实现了在DDos攻击防护中,对通过了防护算法的流量进行IP信誉匹配,将IP信誉差的流量清洗掉,以提供DDos防护的能力。本质上是通过建立IP信誉库进行DDos攻击防护。
由上可知,本申请上述实施例一所提供的方案,通过将获取到的具有恶意攻击特征的访问设备的设备参数保存至攻击设备列表,并将获取到的具有安全访问特征的访问设备的设备参数保存至安全设备列表,来获取在恶意防护中所采用的比对模板,由于上述攻击设备列表和安全设备列表都是根据历史行为预先保存的,而且内容全面,因此,在当前进行攻击防护的过程中,无需采用现有技术提供的针对不同的攻击类型使用不同攻击防护算法的方案,只需要将当前访问设备的设备参数分别与攻击设备列表和安全设备列表中的所有设备参数进行匹配,从而确定当前访问设备的属性,由于该过程去除了复杂的算法处理数据包的分析过程,而且设备列表是不断更新充实的,从而解决了现有技术针对恶意攻击的防护方案存在防护漏洞且不具备通用性的技术问题,规避了现有技术的以上缺陷,有效防护恶意攻击,并充分保障正常用户的访问,进而为攻击防护的过程,提供了一种防护效率高、防护力度强的方案。
此处需要说明的是,本申请上述步骤S30至步骤S34构成的方案可以通过图1中的计算机终端10来实现,该计算机终端10实现的功能也可以通过结合图4中的防护设备和检测设备来实现,即一种可选方案中,本申请上述实施例中的步骤S30和步骤S32可以通过图4中的检测设备来实现,步骤S34可以通过图4中的防护设备来实现,防护设备在进行防护的过程中,拉取检测设备中的攻击设备列表和/或安全设备列表,在本地实现匹配功能,进而确定当前访问设备的属性。
本申请上述实施例提供的第一种可选方案中,上述步骤S30,获取具有恶意攻击特征的访问设备的设备参数的方案可以包括如下实施步骤:
步骤S301a,采集接入网关路由器的任意一个访问设备的特征信息。
结合图4可知,本申请上述步骤S301a可以通过将包含了检测设备的计算机终端10接入网关路由器,来实现采集历史时间段内任意一个访问设备的特征信息。当访问设备通过互联网接入上述网关路由器,并通过网关路由器访问网络服务器的过程中,检测设备可以从互联网和网关路由器之间截取访问设备所携带的通信数据,从通信数据中读取特征信息,此处的通信数据可以是业务请求、设备参数等。
步骤S303a,将任意一个访问设备的特征信息与预先配置的恶意攻击特征库中预先保存的至少一个恶意特征信息依次进行匹配。
结合图4可知,本申请上述步骤S303a可以先通过检测设备(检测设备可以结合防护设备构成计算机终端)拉取检测设备中预先配置的恶意攻击特征库,该恶意特征库保存了恶意特征信息,该恶意特征信息可以是如下任意一种或多种恶意特征码:漏洞扫描、漏洞入侵、机器人、CC攻击等。
例如,针对漏洞扫描,可以是检测设备检测到当前访问设备发出了扫描高危端口(例如端口3389、445等)的指令;针对漏洞入侵,可以是检测设备检测到当前访问设备上传恶意执行代码(例如采用SQL注入携带有恶意标识信息的代码)的行为;针对机器人,可以是检测设备检测到当前访问设备发出的通信内容包含了已知并已确认的机器人命令;针对CC攻击,可以是检测设备检测到当前访问设备的网站进行cc攻击的攻击指令。
步骤S305a,如果任意一个访问设备的特征信息与恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第三阈值,则确定任意一个访问设备为具有恶意攻击特征的设备。
结合图4可知,在本申请上述步骤S303a实现将步骤S301a中采集到的当前访问设备的特征信息与恶意特征码依次进行匹配的过程中,步骤S305a进一步实现了根据匹配结果来获取确定访问设备的属性的规则,此处可以采用的一种可选实施例中,在设备参数为设备的IP地址的情况下,如果任意一个访问设备的特征信息与任意一个恶意特征信息的匹配度为100%或匹配度超过95%,则认为当前访问设备为攻击设备或者属于攻击风险较高的设备,则需要对当前访问设备进行防护处理。
步骤S307a,读取具有恶意攻击特征的设备发送的网络数据包中携带的设备参数,设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
结合图4可知,在本申请上述步骤S305a确定访问设备需要进行后续防护处理时,需要先通过步骤S307a来获取该具有恶意攻击特征的设备的设备参数,仍旧可以以该设备参数为IP地址的情况下,防护设备可以从获取匹配特征码的流量中提取到该访问设的源IP地址作为恶意IP地址。
由此可知,本申请上述步骤S301a至步骤S307a可以实现确认接入网关路由器的访问设备为具有恶意攻击行为的设备(如肉鸡、机器人等),并获取该访问设备的设备参数作为恶意攻击参数保存至对应的数据列表中。
例如,在设备参数为设备的IP地址的情况下,通过检测设备搜集到的具有恶意攻击特征的设备参数可以是恶意IP地址(如肉鸡、机器人等IP地址)。
此处需要说明的是,也可以利用第三方安全机构搜集具有恶意攻击特征的设备的设备参数。
本申请上述实施例提供的第二种可选方案中,上述步骤S30,获取具有安全访问特征的访问设备的设备参数可以包括如下实施步骤:
步骤S301b,采集接入网关路由器的任意一个访问设备的业务请求数据。
结合图4可知,本申请上述步骤S301b可以通过将包含了检测设备的计算机终端10接入网关路由器,来实现采集历史时间段内任意一个访问设备的所执行的特定业务(例如,安装了QQ客户端的访问设备启动用户的登录行为)。
例如,当访问设备通过互联网接入上述网关路由器,并通过网关路由器访问网络服务器的过程中,检测设备可以从互联网和网关路由器之间截取访问设备所携带的通信数据,从通信数据中读取业务请求数据,此处的业务请求数据可以是登录请求、支付请求、通信请求等。
步骤S303b,当任意一个访问设备的业务请求数据满足预先设定的任意一种行为数据时,确定任意一个访问设备的为具有安全访问特征的设备。
结合图4可知,本申请执行上述步骤S303b的一种可选实施例中,本申请上述步骤S303b可以先通过检测设备(检测设备可以结合防护设备构成计算机终端)拉取检测设备中预先配置的行为特征库,该行为特征库保存了行为数据的信息,该行为数据可以是如下任意一种或多种行为数据:登录请求下的登录行为、支付请求下的支付行为、通信请求下的通话行为等。
具体的,本申请上述步骤S303b实现将步骤S301b中采集到的当前访问设备的业务请求数据与行为特征库中的各个行为数据的信息进行匹配,如果访问设备在行为特征库中匹配到对应的行为数据时,就可以确定该访问设备为具有安全访问特征的设备。
例如,在设备参数为设备的IP地址的情况下,如果任意一个访问设备的业务请求数据在行为特征库中可以查询到符合用户行为的访问行为(例如即时聊天应用客户端的登陆用户可以正常登陆,登陆后进行即时通信的行为,或者,登陆购物网站的用户进行支付行为),则认为该访问设备为安全设备,该安全设备的IP地址被归类为正常IP地址,从而不需要对当前访问设备进行防护处理。
步骤S305b,读取具有安全访问特征的设备发送的网络数据包中携带的设备参数,设备参数可以包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
由此可知,本申请上述步骤S301b至步骤S307b可以实现确认接入网关路由器的访问设备为具有安全访问特征的设备,并获取该访问设备的设备参数作为参数保存至对应的数据列表中。
例如,在设备参数为设备的IP地址的情况下,通过检测设备搜集到的具有安全访问特征的设备参数可以是安全IP地址。
此处需要说明的是,也可以利用第三方安全机构搜集具有安全访问特征的设备的设备参数。
本申请上述实施例提供的第三种可选方案中,上述步骤S30,获取具有安全访问特征的访问设备的设备参数的方案可以包括如下实施步骤:
步骤S301c,采集接入网关路由器的任意一个访问设备的特征信息。
结合图4可知,本申请上述步骤S301c可以通过将包含了检测设备的计算机终端10接入网关路由器,来实现采集历史时间段内任意一个访问设备的特征信息。当访问设备通过互联网接入上述网关路由器,并通过网关路由器访问网络服务器的过程中,检测设备可以从互联网和网关路由器之间截取访问设备所携带的通信数据,从通信数据中读取特征信息,此处的通信数据可以是业务请求、设备参数等。
步骤S303c,将任意一个访问设备的特征信息与预先配置的安全访问特征库中预先保存的至少一个安全特征信息依次进行匹配。
结合图4可知,本申请上述步骤S303c可以先通过检测设备(检测设备可以结合防护设备构成计算机终端)拉取检测设备中预先配置的安全访问特征库,该安全访问特征库保存了安全特征信息,该安全特征信息可以是如下任意一种或多种安全特征码:用户登录成功信息、用户鉴权成功信息、用户账户支付成功信息、用户实名认证信息等。
步骤S305c,如果任意一个访问设备的特征信息与安全访问特征库中预先保存的任意一个安全特征信息的匹配度大于等于第四阈值,则确定任意一个访问设备为具有安全访问特征的设备。
结合图4可知,在本申请上述步骤S303c实现将步骤S301c中采集到的当前访问设备的特征信息与安全特征码依次进行匹配的过程中,步骤S305c进一步实现了根据匹配结果来获取确定访问设备的属性的规则,此处可以采用的一种可选实施例中,在设备参数为设备的IP地址的情况下,如果任意一个访问设备的特征信息与任意一个安全特征信息的匹配度为100%或匹配度超过95%,则认为当前访问设备为安全访问设备或者属于安全性较高的设备,不需要对当前访问设备进行防护处理。
步骤S307c,读取具有安全访问特征的设备发送的网络数据包中携带的设备参数,设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
结合图4可知,在本申请上述步骤S305c确定访问设备需要进行后续防护处理时,需要先通过步骤S307c来获取该具有安全特征信息的设备的设备参数,仍旧可以以该设备参数为IP地址的情况下,防护设备可以从获取匹配特征码的流量中提取到该访问设的源IP地址作为恶意IP地址。
由此可知,本申请上述步骤S301c至步骤S307c可以实现确认接入网关路由器的访问设备为具有安全特征行为的设备,并获取该访问设备的设备参数作为安全特征参数保存至对应的数据列表中。
例如,在设备参数为设备的IP地址的情况下,通过检测设备搜集到的具有安全特征信息的设备参数可以是安全的IP地址。
此处需要说明的是,也可以利用第三方安全机构搜集具有安全特征信息的设备的设备参数。
优选地,本申请还可以提供的如下一种可选实施例,在执行步骤S32之前,保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存具有安全访问特征的访问设备的设备参数至安全设备列表之前,本申请还可以执行如下两种实施方案:
方案一:
检测具有恶意攻击特征的设备的业务请求数据,当具有恶意攻击特征的设备的业务请求数据满足预先设定的任意一种行为数据时,将具有恶意攻击特征的设备的设备参数保存至灰度设备列表。
本申请上述方案提供了一种对具有恶意攻击特征的设备进行进一步划分的功能。在实际应用过程中,存在部分具有恶意攻击特征的设备实质上只是具有高访问量的终端。
例如,在网吧或公司的应用环境中,假设网吧或公司同时有500台客户端在运行,这500台客户端通过互联网访问服务器的过程中,网关路由器和服务器识别到的都是同一个IP地址,因此,对于这一类的IP地址的访问设备可能存在恶意攻击的风险,但直接划分至攻击设备是不合理的,因此,针对具有恶意攻击特征的设备可以进一步检测其业务请求数据,即可以采用上述步骤S301b至步骤S305b的实现方案。
具体的,可以采集上述具有恶意攻击特征的设备在历史时间段内所执行的特定业务(例如,安装了QQ客户端的访问设备启动用户的登录行为),并与检测设备中预先配置的行为特征库中的各个行为数据的信息进行匹配,如果访问设备在行为特征库中匹配到对应的行为数据时,就可以确定该具有恶意攻击特征的访问设备其实是具有安全访问特征的设备,最终将该访问设备的设备参数作为参数保存至对应的灰度设备列表中。
方案二:
检测具有安全访问特征的设备的特征信息,当任意一个访问设备的特征信息与恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第五阈值,则将具有安全访问特征的访问设备的设备参数保存至灰度设备列表。
本申请上述方案提供了一种对具有安全访问特征的设备进行进一步划分的功能。在实际应用过程中,存在部分具有安全访问特征的设备实质上是经过伪装的终端。
例如,一些访问设备虽然具有安全特征信息,或者访问设备的业务请求数据满足预先设定的任意一种行为数据(例如,即时聊天应用客户端的登陆用户可以正常登陆),但在正常登陆之后会发出海量的聊天信息或上传海量的附件给服务器,因此,对于这一类的IP地址的访问设备表面上看是安全设备,但显然是存在恶意攻击风险的设备,直接划分至安全设备是不合理的,因此,针对具有安全访问特征的设备可以进一步将其特征信息与恶意攻击特征库中预先保存的任意一个恶意特征信息进行匹配,即可以采用上述步骤S301a至步骤S305a的实现方案。
具体的,可以采集历史时间段内具有安全访问特征的访问设备的特征信息,将具有安全访问特征的访问设备的特征信息与预先配置的恶意攻击特征库中预先保存的至少一个恶意特征信息依次进行匹配,如果匹配度大于等于预订阈值,则确定该具有安全访问特征的访问设备是具有恶意攻击特征的设备,最终将该访问设备的设备参数作为参数保存至对应的灰度设备列表中。
一种可选实施例中,基于上述两种方案的实施结果,即在将具有恶意攻击特征的设备的设备参数保存至灰度设备列表之后,本申请可以提供如下进一步的实施方案:
步骤S401,在恶意防护中,如果检测到当前访问设备的设备参数与第一灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第六阈值,则确定当前访问设备为信誉度高的设备;
步骤S403,禁止清洗信誉度高的设备的流量。
本申请上述方案可以实现,对误判为具有攻击特征的访问设备放开权限,将其发出的流量作为合法数据发送给后端的服务器。
另一种可选实施例中,基于上述两种方案的实施结果,即在将具有安全访问特征的设备的设备参数保存至灰度设备列表之后,本申请可以提供如下进一步的实施方案:
步骤S402,在恶意防护中,如果检测到当前访问设备的设备参数与灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第六阈值,则确定当前访问设备为信誉度差的设备。
步骤S404,将信誉度差的设备的流量进行安全处理,安全处理包括:对流量进行限速、安全报警。
本申请上述方案可以实现,对误判为安全设备的访问设备进行安全处理,防止该设备进一步对网络服务器发起攻击。
下面就基于图5,结合图2至4所示的附图,以设备参数为访问设备的IP地址为例,对本申请上述实施例进行详细描述:
步骤A,在任意一个访问设备通过互联网接入网关路由器之后,通过连接于互联网和网关路由器之间的检测设备来监控访问设备,如果监测到访问设备发出恶意攻击行为,则记录该发出攻击行为的访问设备的IP地址至攻击设备列表。
步骤B,检测设备还可以同时监控没有恶意攻击行为的访问设备,如果监测到访问设备的访问行为是符合用户正常行为(例如登录行为、交易行为)的访问,则记录该符合用户正常行为的访问设备的IP地址至安全设备列表。
步骤C,在恶意防护中,防护设备从监测设备拉取攻击设备列表和安全设备列表。
步骤D,防护设备监测当前接入网关路由器的当前访问设备的设备参数。
步骤E,防护设备获取当前接入网关路由器的当前访问设备的IP地址,并将该IP地址分别与上述拉取到的攻击设备列表和安全设备列表中的IP地址进行匹配操作,如果检测到当前访问设备的IP地址与上述攻击设备列表中记录的任意一个IP地址匹配,则进入执行步骤F,如果与上述安全设备列表中记录的任意一个IP地址匹配,则进入执行步骤G。
步骤F,将当前访问设备的流量进行清洗。
步骤G,作为安全访问设备对网络服务器进行正常访问。
上述实例中的检测设备和防护设备提供的功能可以整合为计算机终端群中的任意一个一个计算机终端10可以实现功能,计算机终端PC可以是计算机终端群中的任意一个PC设备。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述方法实施例的装置实施例,本申请上述实施例所提供的装置可以在计算机终端上运行。
图6是根据本法实施例二的恶意攻击的防护装置的结构示意图。
如图6所示,该恶意攻击的防护装置可以包括:获取模块60、保存模块62、检测模块64、第一处理模块66和第二处理模块68。
其中,获取模块60,用于获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数;保存模块62,用于保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存具有安全访问特征的访问设备的设备参数至安全设备列表;检测模块64,用于在恶意防护中,检测接入网关路由器的当前访问设备的设备参数;第一处理模块66,用于在恶意防护中,如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定当前访问设备为攻击设备;第二处理模块68,用于在恶意防护中,如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定当前访问设备为安全设备。
由上可知,本申请上述实施例二所提供的方案,通过将获取到的具有恶意攻击特征的访问设备的设备参数保存至攻击设备列表,并将获取到的具有安全访问特征的访问设备的设备参数保存至安全设备列表,来获取在恶意防护中所采用的比对模板,由于上述攻击设备列表和安全设备列表都是根据历史行为预先保存的,而且内容全面,因此,在当前进行攻击防护的过程中,无需采用现有技术提供的针对不同的攻击类型使用不同攻击防护算法的方案,只需要将当前访问设备的设备参数分别与攻击设备列表和安全设备列表中的所有设备参数进行匹配,从而确定当前访问设备的属性,由于该过程去除了复杂的算法处理数据包的分析过程,而且设备列表是不断更新充实的,从而解决了现有技术针对恶意攻击的防护方案存在防护漏洞且不具备通用性的技术问题,规避了现有技术的以上缺陷,有效防护恶意攻击,并充分保障正常用户的访问,进而为攻击防护的过程,提供了一种防护效率高、防护力度强的方案。
此处需要说明的是,上述获取模块60、保存模块62、检测模块64、第一处理模块66和第二处理模块68对应于实施例一中的步骤S30至步骤S34,五个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
优选地,如图7所示的第一种可选实施例中,上述获取模块60可以包括:第一采集模块601a、第一匹配模块603a、第一确定模块605a和第一读取模块607a。
其中,第一采集模块601a,用于采集接入网关路由器的任意一个访问设备的特征信息;第一匹配模块603a,用于将任意一个访问设备的特征信息与预先配置的恶意攻击特征库中预先保存的至少一个恶意特征信息依次进行匹配;第一确定模块605a,用于如果任意一个访问设备的特征信息与恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第三阈值,则确定任意一个访问设备为具有恶意攻击特征的设备;第一读取模块607a,用于读取具有恶意攻击特征的设备发送的网络数据包中携带的设备参数,设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
此处需要说明的是,上述第一采集模块601a、第一匹配模块603a、第一确定模块605a和第一读取模块607a对应于实施例一中的步骤S301a至步骤S307a,四个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
优选地,如图8所示的第二种可选实施例中,上述获取模块60可以包括:第二采集模块601b、第二匹配模块603b、第二确定模块605b。
第二采集模块601b,用于采集接入网关路由器的任意一个访问设备的业务请求数据;
第二确定模块603b,用于当任意一个访问设备的业务请求数据满足预先设定的任意一种行为数据时,确定任意一个访问设备的为具有安全访问特征的设备;
第二读取模块605b,用于读取具有安全访问特征的设备发送的网络数据包中携带的设备参数,设备参数包括如下任意一个或多个参数:IP地址、MBC地址、设备出厂标识。
此处需要说明的是,上述第二采集模块601b、第二匹配模块603b、第二确定模块605b对应于实施例一中的步骤S301b至步骤S305b,三个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
优选地,如图9所示的第三种可选实施例中,上述获取模块60可以包括:第三采集模块601c、第三匹配模块603c、第三确定模块605c和第三读取模块607c。
第三采集模块601c,用于采集接入网关路由器的任意一个访问设备的特征信息;
第二匹配模块603c,用于将任意一个访问设备的特征信息与预先配置的安全访问特征库中预先保存的至少一个安全特征信息依次进行匹配;
第三确定模块605c,用于如果任意一个访问设备的特征信息与安全访问特征库中预先保存的任意一个安全特征信息的匹配度大于等于第四阈值,则确定任意一个访问设备为具有安全访问特征的设备;
第三读取模块607c,用于读取具有安全访问特征的设备发送的网络数据包中携带的设备参数,设备参数包括如下任意一个或多个参数:IP地址、MCC地址、设备出厂标识。
此处需要说明的是,上述第三采集模块601c、第三匹配模块603c、第三确定模块605c和第三读取模块607c对应于实施例一中的步骤S301c至步骤S307c,四个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
优选地,结合图10所示,在第一处理模块64实现了确定当前访问设备为攻击设备之后,装置还可以包括:清洗模块70,用于将当前访问设备的流量进行清洗。
优选地,结合图11可知,在在通过保存模块62实现保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存具有安全访问特征的访问设备的设备参数至安全设备列表之前,装置还可以包括如下功能模块:
第一存储模块61a,用于检测具有恶意攻击特征的设备的业务请求数据,当具有恶意攻击特征的设备的业务请求数据满足预先设定的任意一种行为数据时,将具有恶意攻击特征的设备的设备参数保存至第一灰度设备列表。和/或,
第二存储模块62a,用于检测具有安全访问特征的设备的特征信息,当任意一个访问设备的特征信息与恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第五阈值,则将具有安全访问特征的设备的设备参数保存至第二灰度设备列表。
优选地,结合图11可知,在完成第一存储模块61a实现的将具有恶意攻击特征的设备的设备参数保存至第一灰度设备列表之后,装置还可以包括如下功能模块:第四确定模块610a、禁止清洗模块612a。
其中,第四确定模块610a,用于在恶意防护中,如果检测到当前访问设备的设备参数与第一灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第六阈值,则确定当前访问设备为信誉度高的设备;禁止清洗模块612a,用于禁止清洗信誉度高的设备的流量。
此处需要说明的是,上述第四确定模块610a、禁止清洗模块612a对应于实施例一中的步骤S401至步骤S403,二个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
优选地,结合图11可知,在完成第二存储模块62a实现的将具有安全访问特征的设备的设备参数保存至第二灰度设备列表之后,上述装置还可以包括如下功能模块:第五确定模块620b、安全处理模块622b。
其中,第五确定模块620b,用于在恶意防护中,如果检测到当前访问设备的设备参数与第二灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第七阈值,则确定当前访问设备为信誉度差的设备;安全处理模块622b,用于将信誉度差的设备的流量进行安全处理,安全处理包括:对流量进行限速、安全报警。
此处需要说明的是,上述第五确定模块620b、安全处理模块622b对应于实施例一中的步骤S402至步骤S404,二个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
综上,上述方案实现了在DDos攻击防护中,对通过了防护算法的流量进行IP信誉匹配,将IP信誉差的流量清洗掉,以提供DDos防护的能力。本质上是通过建立IP信誉库进行DDos攻击防护。
实施例3
在其最基本的配置中,图12是根据本发明实施例三的恶意攻击的防护系统的结构示意图。出于描述的目的,所绘的体系结构仅为合适环境的一个示例,并非对本申请的使用范围或功能提出任何局限。也不应将该计算系统解释为对图12所示的任一组件或其组合具有任何依赖或需求。
如图12所示,该恶意攻击的防护系统可以包括:当前访问设备110、网关路由器120、检测设备130、防护设备150。
其中,当前访问设备110;网关路由器120,通过互联网与当前访问设备110建立通信关系;检测设备130,连接于网关路由器和访问设备之间,用于获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数,并保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,保存具有安全访问特征的访问设备的设备参数至安全设备列表;防护设备150,分别与检测设备和网关路由器连接,用于在恶意防护中,从检测设备中拉取攻击设备列表和安全设备列表,并通过当前接入网关路由器的当前访问设备的设备参数;其中,如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定当前访问设备为攻击设备,如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定当前访问设备为安全设备。
由上可知,本申请上述实施例三所提供的方案,通过将获取到的具有恶意攻击特征的访问设备的设备参数保存至攻击设备列表,并将获取到的具有安全访问特征的访问设备的设备参数保存至安全设备列表,来获取在恶意防护中所采用的比对模板,由于上述攻击设备列表和安全设备列表都是根据历史行为预先保存的,而且内容全面,因此,在当前进行攻击防护的过程中,无需采用现有技术提供的针对不同的攻击类型使用不同攻击防护算法的方案,只需要将当前访问设备的设备参数分别与攻击设备列表和安全设备列表中的所有设备参数进行匹配,从而确定当前访问设备的属性,由于该过程去除了复杂的算法处理数据包的分析过程,而且设备列表是不断更新充实的,从而解决了现有技术针对恶意攻击的防护方案存在防护漏洞且不具备通用性的技术问题,规避了现有技术的以上缺陷,有效防护恶意攻击,并充分保障正常用户的访问,进而为攻击防护的过程,提供了一种防护效率高、防护力度强的方案。
此处需要说明的是,上述实施例三提供的系统实施例与上述实施例一提供的各个可选的和优选的实施例所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的恶意攻击的防护方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于图3所示的系统网络中与网关路由器连接的防护设备。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
S1,获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数。
S3,保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存具有安全访问特征的访问设备的设备参数至安全设备列表。
S5,在恶意防护中,检测接入网关路由器的当前访问设备的设备参数,其中,如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定当前访问设备为攻击设备,如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定当前访问设备为安全设备。
此处需要说明的是,上述计算机终端群中的任意一个计算机终端与数据服务器建立通信关系,并从数据服务器和/或计算机终端群中的其他计算机终端下载待下载资源。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:采集接入网关路由器的任意一个访问设备的特征信息;将任意一个访问设备的特征信息与预先配置的恶意攻击特征库中预先保存的至少一个恶意特征信息依次进行匹配;如果任意一个访问设备的特征信息与恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第三阈值,则确定任意一个访问设备为具有恶意攻击特征的设备;读取具有恶意攻击特征的设备发送的网络数据包中携带的设备参数,设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:采集接入网关路由器的任意一个访问设备的业务请求数据;当任意一个访问设备的业务请求数据满足预先设定的任意一种行为数据时,确定任意一个访问设备的为具有安全访问特征的设备;读取具有安全访问特征的设备发送的网络数据包中携带的设备参数,设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:采集接入网关路由器的任意一个访问设备的特征信息;将任意一个访问设备的特征信息与预先配置的安全访问特征库中预先保存的至少一个安全特征信息依次进行匹配;如果任意一个访问设备的特征信息与安全访问特征库中预先保存的任意一个安全特征信息的匹配度大于等于第四阈值,则确定任意一个访问设备为具有安全访问特征的设备;读取具有安全访问特征的设备发送的网络数据包中携带的设备参数,设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:将当前访问设备的流量进行清洗。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:检测具有恶意攻击特征的设备的业务请求数据,当具有恶意攻击特征的设备的业务请求数据满足预先设定的任意一种行为数据时,将具有恶意攻击特征的设备的设备参数保存至第一灰度设备列表;和/或,检测具有安全访问特征的设备的特征信息,当任意一个访问设备的特征信息与恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第五阈值,则将具有安全访问特征的设备的设备参数保存至第二灰度设备列表。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:在恶意防护中,如果检测到当前访问设备的设备参数与第一灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第六阈值,则确定当前访问设备为信誉度高的设备;禁止清洗信誉度高的设备的流量。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:在恶意防护中,如果检测到当前访问设备的设备参数与第二灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第七阈值,则确定当前访问设备为信誉度差的设备;将信誉度差的设备的流量进行安全处理,安全处理包括:对流量进行限速、安全报警。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器可以根据存储介质中已存储的程序代码执行:
获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数;
保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存具有安全访问特征的访问设备的设备参数至安全设备列表;
在恶意防护中,检测接入网关路由器的当前访问设备的设备参数,其中,如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定当前访问设备为攻击设备,如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定当前访问设备为安全设备。
可选地,本实施例中的具体示例可以参考上述实施例1中所描述的示例,本实施例在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (17)
1.一种恶意攻击的防护方法,其特征在于,包括:
获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数;
保存所述具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存所述具有安全访问特征的访问设备的设备参数至安全设备列表;
在恶意防护中,检测接入网关路由器的当前访问设备的设备参数,其中,如果检测到所述当前接入网关路由器的当前访问设备的设备参数与所述攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定所述当前访问设备为攻击设备,如果检测到所述当前访问设备的设备参数与所述安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定所述当前访问设备为安全设备。
2.根据权利要求1所述的方法,其特征在于,获取具有恶意攻击特征的访问设备的设备参数的步骤包括:
采集接入网关路由器的任意一个访问设备的特征信息;
将所述任意一个访问设备的特征信息与预先配置的恶意攻击特征库中预先保存的至少一个恶意特征信息依次进行匹配;
如果所述任意一个访问设备的特征信息与所述恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第三阈值,则确定所述任意一个访问设备为具有所述恶意攻击特征的设备;
读取具有所述恶意攻击特征的设备发送的网络数据包中携带的设备参数,所述设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
3.根据权利要求1所述的方法,其特征在于,获取具有安全访问特征的访问设备的设备参数的步骤包括:
采集接入网关路由器的任意一个访问设备的业务请求数据;
当所述任意一个访问设备的业务请求数据满足预先设定的任意一种行为数据时,确定所述任意一个访问设备的为具有所述安全访问特征的设备;
读取具有所述安全访问特征的设备发送的网络数据包中携带的设备参数,所述设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
4.根据权利要求1所述的方法,其特征在于,获取具有安全访问特征的访问设备的设备参数的步骤包括:
采集接入网关路由器的任意一个访问设备的特征信息;
将所述任意一个访问设备的特征信息与预先配置的安全访问特征库中预先保存的至少一个安全特征信息依次进行匹配;
如果所述任意一个访问设备的特征信息与所述安全访问特征库中预先保存的任意一个安全特征信息的匹配度大于等于第四阈值,则确定所述任意一个访问设备为具有所述安全访问特征的设备;
读取具有所述安全访问特征的设备发送的网络数据包中携带的设备参数,所述设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
5.根据权利要求1至4中任意一项所述的方法,其特征在于,在确定所述当前访问设备为攻击设备之后,所述方法还包括:将所述当前访问设备的流量进行清洗。
6.根据权利要求1至3中任意一项所述的方法,其特征在于,在保存所述具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存所述具有安全访问特征的访问设备的设备参数至安全设备列表之前,所述方法还包括:
检测所述具有恶意攻击特征的设备的业务请求数据,当所述具有恶意攻击特征的设备的业务请求数据满足预先设定的任意一种行为数据时,将所述具有恶意攻击特征的设备的设备参数保存至第一灰度设备列表;
和/或,
检测所述具有安全访问特征的设备的特征信息,当所述任意一个访问设备的特征信息与所述恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第五阈值,则将所述具有安全访问特征的设备的设备参数保存至第二灰度设备列表。
7.根据权利要求6所述的方法,其特征在于,在将所述具有恶意攻击特征的设备的设备参数保存至第一灰度设备列表之后,所述方法还包括:
在恶意防护中,如果检测到当前访问设备的设备参数与所述第一灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第六阈值,则确定所述当前访问设备为信誉度高的设备;
禁止清洗所述信誉度高的设备的流量。
8.根据权利要求6所述的方法,其特征在于,在将所述具有安全访问特征的设备的设备参数保存至第二灰度设备列表之后,所述方法还包括:
在恶意防护中,如果检测到当前访问设备的设备参数与所述第二灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第七阈值,则确定所述当前访问设备为信誉度差的设备;
将所述信誉度差的设备的流量进行安全处理,所述安全处理包括:对所述流量进行限速、安全报警。
9.一种恶意攻击的防护装置,其特征在于,包括:
获取模块,用于获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数;
保存模块,用于保存所述具有恶意攻击特征的访问设备的设备参数至攻击设备列表,并保存所述具有安全访问特征的访问设备的设备参数至安全设备列表;
检测模块,用于在恶意防护中,检测接入网关路由器的当前访问设备的设备参数;
第一处理模块,用于在所述恶意防护中,如果检测到当前接入网关路由器的当前访问设备的设备参数与所述攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定所述当前访问设备为攻击设备;
第二处理模块,用于在所述恶意防护中,如果检测到所述当前访问设备的设备参数与所述安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定所述当前访问设备为安全设备。
10.根据权利要求9所述的装置,其特征在于,所述获取模块包括:
第一采集模块,用于采集接入网关路由器的任意一个访问设备的特征信息;
第一匹配模块,用于将所述任意一个访问设备的特征信息与预先配置的恶意攻击特征库中预先保存的至少一个恶意特征信息依次进行匹配;
第一确定模块,用于如果所述任意一个访问设备的特征信息与所述恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第三阈值,则确定所述任意一个访问设备为具有所述恶意攻击特征的设备;
第一读取模块,用于读取具有所述恶意攻击特征的设备发送的网络数据包中携带的设备参数,所述设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
11.根据权利要求10所述的装置,其特征在于,所述获取模块包括:
第二采集模块,用于采集接入网关路由器的任意一个访问设备的业务请求数据;
第二确定模块,用于当所述任意一个访问设备的业务请求数据满足预先设定的任意一种行为数据时,确定所述任意一个访问设备的为具有所述安全访问特征的设备;
第二读取模块,用于读取具有所述安全访问特征的设备发送的网络数据包中携带的设备参数,所述设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
12.根据权利要求10所述的装置,其特征在于,所述获取模块包括:
第三采集模块,用于采集接入网关路由器的任意一个访问设备的特征信息;
第二匹配模块,用于将所述任意一个访问设备的特征信息与预先配置的安全访问特征库中预先保存的至少一个安全特征信息依次进行匹配;
第三确定模块,用于如果所述任意一个访问设备的特征信息与所述安全访问特征库中预先保存的任意一个安全特征信息的匹配度大于等于第四阈值,则确定所述任意一个访问设备为具有所述安全访问特征的设备;
第三读取模块,用于读取具有所述安全访问特征的设备发送的网络数据包中携带的设备参数,所述设备参数包括如下任意一个或多个参数:IP地址、MAC地址、设备出厂标识。
13.根据权利要求9至12中任意一项所述的装置,其特征在于,所述装置还包括:清洗模块,用于将所述当前访问设备的流量进行清洗。
14.根据权利要求9至11中任意一项所述的装置,其特征在于,所述装置还包括:
第一存储模块,用于检测所述具有恶意攻击特征的设备的业务请求数据,当所述具有恶意攻击特征的设备的业务请求数据满足预先设定的任意一种行为数据时,将所述具有恶意攻击特征的设备的设备参数保存至第一灰度设备列表;
和/或,
第二存储模块,用于检测所述具有安全访问特征的设备的特征信息,当所述任意一个访问设备的特征信息与所述恶意攻击特征库中预先保存的任意一个恶意特征信息的匹配度大于等于第五阈值,则将所述具有安全访问特征的设备的设备参数保存至第二灰度设备列表。
15.根据权利要求14所述的装置,其特征在于,所述装置还包括:
第四确定模块,用于在恶意防护中,如果检测到当前访问设备的设备参数与所述第一灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第六阈值,则确定所述当前访问设备为信誉度高的设备;
禁止清洗模块,用于禁止清洗所述信誉度高的设备的流量。
16.根据权利要求14所述的装置,其特征在于,所述装置还包括:
第五确定模块,用于在恶意防护中,如果检测到当前访问设备的设备参数与所述第二灰度设备列表中的任意一个或多个设备参数的匹配度大于等于第七阈值,则确定所述当前访问设备为信誉度差的设备;
安全处理模块,用于将所述信誉度差的设备的流量进行安全处理,所述安全处理包括:对所述流量进行限速、安全报警。
17.一种恶意攻击的防护系统,其特征在于,包括:
当前访问设备;
网关路由器,通过互联网与所述当前访问设备建立通信关系;
检测设备,连接于所述网关路由器和访问设备之间,用于获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数,并保存所述具有恶意攻击特征的访问设备的设备参数至攻击设备列表,保存所述具有安全访问特征的访问设备的设备参数至安全设备列表;
防护设备,分别与所述检测设备和所述网关路由器连接,用于在恶意防护中,从所述检测设备中拉取所述攻击设备列表和所述安全设备列表,并通过所述当前接入网关路由器的当前访问设备的设备参数;
其中,如果检测到当前接入网关路由器的当前访问设备的设备参数与所述攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值,则确定所述当前访问设备为攻击设备,如果检测到所述当前访问设备的设备参数与所述安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值,则确定所述当前访问设备为安全设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410510576.2A CN105450619A (zh) | 2014-09-28 | 2014-09-28 | 恶意攻击的防护方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410510576.2A CN105450619A (zh) | 2014-09-28 | 2014-09-28 | 恶意攻击的防护方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105450619A true CN105450619A (zh) | 2016-03-30 |
Family
ID=55560398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410510576.2A Pending CN105450619A (zh) | 2014-09-28 | 2014-09-28 | 恶意攻击的防护方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105450619A (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330944A (zh) * | 2016-08-31 | 2017-01-11 | 杭州迪普科技有限公司 | 恶意系统漏洞扫描器的识别方法和装置 |
| CN107465648A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 异常设备的识别方法及装置 |
| CN107483514A (zh) * | 2017-10-13 | 2017-12-15 | 北京知道创宇信息技术有限公司 | 攻击监控设备及智能设备 |
| CN107493282A (zh) * | 2017-08-16 | 2017-12-19 | 北京新网数码信息技术有限公司 | 一种分布式攻击的处理方法及装置 |
| CN107612907A (zh) * | 2017-09-15 | 2018-01-19 | 北京外通电子技术公司 | 虚拟专用网络vpn安全防护方法及fpga |
| CN107612946A (zh) * | 2017-11-03 | 2018-01-19 | 北京奇艺世纪科技有限公司 | Ip地址的检测方法、检测装置和电子设备 |
| CN107819727A (zh) * | 2016-09-13 | 2018-03-20 | 腾讯科技(深圳)有限公司 | 一种基于ip地址安全信誉度的网络安全防护方法及系统 |
| CN108494737A (zh) * | 2018-02-24 | 2018-09-04 | 浙江远望通信技术有限公司 | 一种基于设备特征识别的视频监控安全接入方法 |
| CN108667783A (zh) * | 2017-04-01 | 2018-10-16 | 贵州白山云科技有限公司 | 一种针对ip地址的精确拦截方法、装置和系统 |
| CN108834180A (zh) * | 2018-06-14 | 2018-11-16 | 腾讯科技(深圳)有限公司 | 一种路由管理方法及相关设备 |
| CN109962903A (zh) * | 2017-12-26 | 2019-07-02 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
| CN110177024A (zh) * | 2019-05-06 | 2019-08-27 | 北京奇安信科技有限公司 | 热点设备的监控方法及客户端、服务端、系统 |
| CN110727959A (zh) * | 2019-10-15 | 2020-01-24 | 南京航空航天大学 | 一种基于聚类的差分隐私轨迹数据保护方法 |
| CN110958245A (zh) * | 2019-11-29 | 2020-04-03 | 广州市百果园信息技术有限公司 | 一种攻击的检测方法、装置、设备和存储介质 |
| CN111031054A (zh) * | 2019-12-19 | 2020-04-17 | 紫光云(南京)数字技术有限公司 | 一种cc防护方法 |
| CN111083114A (zh) * | 2019-11-19 | 2020-04-28 | 宏图智能物流股份有限公司 | 一种物流仓库网络安全系统及构建方法 |
| CN111897284A (zh) * | 2020-08-21 | 2020-11-06 | 湖南匡安网络技术有限公司 | 一种plc设备的安全防护方法和系统 |
| CN112367224A (zh) * | 2020-11-11 | 2021-02-12 | 全球能源互联网研究院有限公司 | 一种终端监测装置、系统及方法 |
| CN112422501A (zh) * | 2020-09-28 | 2021-02-26 | 广东电力信息科技有限公司 | 正反向隧道防护方法、装置、设备及存储介质 |
| CN112583597A (zh) * | 2019-09-30 | 2021-03-30 | 卡巴斯基实验室股份制公司 | 使用库存规则来识别计算机网络设备的系统及方法 |
| CN113051570A (zh) * | 2021-05-25 | 2021-06-29 | 深圳市积汇天成科技有限公司 | 服务器访问监控方法和装置 |
| CN113127941A (zh) * | 2019-12-31 | 2021-07-16 | 北京奇虎科技有限公司 | 设备安全防护方法及装置 |
| CN112016078B (zh) * | 2020-08-26 | 2024-08-06 | 广州市百果园信息技术有限公司 | 一种登录设备的封禁检测方法、装置、服务器和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN101193068A (zh) * | 2006-11-21 | 2008-06-04 | 华为技术有限公司 | 一种应答请求的方法和设备 |
| CN103077347A (zh) * | 2012-12-21 | 2013-05-01 | 中国电力科学研究院 | 一种基于改进核心向量机数据融合的复合式入侵检测方法 |
| CN103428189A (zh) * | 2012-05-25 | 2013-12-04 | 阿里巴巴集团控股有限公司 | 一种识别恶意网络设备的方法、装置和系统 |
-
2014
- 2014-09-28 CN CN201410510576.2A patent/CN105450619A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101193068A (zh) * | 2006-11-21 | 2008-06-04 | 华为技术有限公司 | 一种应答请求的方法和设备 |
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN103428189A (zh) * | 2012-05-25 | 2013-12-04 | 阿里巴巴集团控股有限公司 | 一种识别恶意网络设备的方法、装置和系统 |
| CN103077347A (zh) * | 2012-12-21 | 2013-05-01 | 中国电力科学研究院 | 一种基于改进核心向量机数据融合的复合式入侵检测方法 |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107465648A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 异常设备的识别方法及装置 |
| CN107465648B (zh) * | 2016-06-06 | 2020-09-04 | 腾讯科技(深圳)有限公司 | 异常设备的识别方法及装置 |
| CN106330944A (zh) * | 2016-08-31 | 2017-01-11 | 杭州迪普科技有限公司 | 恶意系统漏洞扫描器的识别方法和装置 |
| CN107819727B (zh) * | 2016-09-13 | 2020-11-17 | 腾讯科技(深圳)有限公司 | 一种基于ip地址安全信誉度的网络安全防护方法及系统 |
| CN107819727A (zh) * | 2016-09-13 | 2018-03-20 | 腾讯科技(深圳)有限公司 | 一种基于ip地址安全信誉度的网络安全防护方法及系统 |
| CN108667783B (zh) * | 2017-04-01 | 2019-05-17 | 北京数安鑫云信息技术有限公司 | 一种针对ip地址的精确拦截方法、装置和系统 |
| CN108667783A (zh) * | 2017-04-01 | 2018-10-16 | 贵州白山云科技有限公司 | 一种针对ip地址的精确拦截方法、装置和系统 |
| CN107493282A (zh) * | 2017-08-16 | 2017-12-19 | 北京新网数码信息技术有限公司 | 一种分布式攻击的处理方法及装置 |
| CN107493282B (zh) * | 2017-08-16 | 2020-01-21 | 北京新网数码信息技术有限公司 | 一种分布式攻击的处理方法及装置 |
| CN107612907A (zh) * | 2017-09-15 | 2018-01-19 | 北京外通电子技术公司 | 虚拟专用网络vpn安全防护方法及fpga |
| CN107483514A (zh) * | 2017-10-13 | 2017-12-15 | 北京知道创宇信息技术有限公司 | 攻击监控设备及智能设备 |
| CN107612946B (zh) * | 2017-11-03 | 2021-09-03 | 北京奇艺世纪科技有限公司 | Ip地址的检测方法、检测装置和电子设备 |
| CN107612946A (zh) * | 2017-11-03 | 2018-01-19 | 北京奇艺世纪科技有限公司 | Ip地址的检测方法、检测装置和电子设备 |
| CN109962903A (zh) * | 2017-12-26 | 2019-07-02 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
| CN108494737A (zh) * | 2018-02-24 | 2018-09-04 | 浙江远望通信技术有限公司 | 一种基于设备特征识别的视频监控安全接入方法 |
| CN108834180A (zh) * | 2018-06-14 | 2018-11-16 | 腾讯科技(深圳)有限公司 | 一种路由管理方法及相关设备 |
| CN108834180B (zh) * | 2018-06-14 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 一种路由管理方法及相关设备 |
| CN110177024A (zh) * | 2019-05-06 | 2019-08-27 | 北京奇安信科技有限公司 | 热点设备的监控方法及客户端、服务端、系统 |
| CN110177024B (zh) * | 2019-05-06 | 2021-10-01 | 奇安信科技集团股份有限公司 | 热点设备的监控方法及客户端、服务端、系统 |
| CN112583597A (zh) * | 2019-09-30 | 2021-03-30 | 卡巴斯基实验室股份制公司 | 使用库存规则来识别计算机网络设备的系统及方法 |
| CN110727959A (zh) * | 2019-10-15 | 2020-01-24 | 南京航空航天大学 | 一种基于聚类的差分隐私轨迹数据保护方法 |
| CN111083114A (zh) * | 2019-11-19 | 2020-04-28 | 宏图智能物流股份有限公司 | 一种物流仓库网络安全系统及构建方法 |
| CN111083114B (zh) * | 2019-11-19 | 2021-09-24 | 宏图智能物流股份有限公司 | 一种物流仓库网络安全系统及构建方法 |
| CN110958245A (zh) * | 2019-11-29 | 2020-04-03 | 广州市百果园信息技术有限公司 | 一种攻击的检测方法、装置、设备和存储介质 |
| CN110958245B (zh) * | 2019-11-29 | 2022-03-04 | 广州市百果园信息技术有限公司 | 一种攻击的检测方法、装置、设备和存储介质 |
| CN111031054A (zh) * | 2019-12-19 | 2020-04-17 | 紫光云(南京)数字技术有限公司 | 一种cc防护方法 |
| CN113127941A (zh) * | 2019-12-31 | 2021-07-16 | 北京奇虎科技有限公司 | 设备安全防护方法及装置 |
| CN111897284A (zh) * | 2020-08-21 | 2020-11-06 | 湖南匡安网络技术有限公司 | 一种plc设备的安全防护方法和系统 |
| CN112016078B (zh) * | 2020-08-26 | 2024-08-06 | 广州市百果园信息技术有限公司 | 一种登录设备的封禁检测方法、装置、服务器和存储介质 |
| CN112422501A (zh) * | 2020-09-28 | 2021-02-26 | 广东电力信息科技有限公司 | 正反向隧道防护方法、装置、设备及存储介质 |
| CN112422501B (zh) * | 2020-09-28 | 2024-03-01 | 南方电网数字企业科技(广东)有限公司 | 正反向隧道防护方法、装置、设备及存储介质 |
| CN112367224A (zh) * | 2020-11-11 | 2021-02-12 | 全球能源互联网研究院有限公司 | 一种终端监测装置、系统及方法 |
| CN113051570B (zh) * | 2021-05-25 | 2021-08-17 | 深圳市积汇天成科技有限公司 | 服务器访问监控方法和装置 |
| CN113051570A (zh) * | 2021-05-25 | 2021-06-29 | 深圳市积汇天成科技有限公司 | 服务器访问监控方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105450619A (zh) | 恶意攻击的防护方法、装置和系统 | |
| US11677761B2 (en) | Systems and methods for detecting and responding to security threats using application execution and connection lineage tracing | |
| US12081520B2 (en) | Management of internet of things (IoT) by security fabric | |
| US11405410B2 (en) | System and method for detecting lateral movement and data exfiltration | |
| US10348763B2 (en) | Responsive deception mechanisms | |
| CN102035793B (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
| CN109587156B (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN104883680B (zh) | 一种数据保护方法以及用户端 | |
| US20150128267A1 (en) | Context-aware network forensics | |
| CN107135187A (zh) | 网络攻击的防控方法、装置及系统 | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| CN101621428B (zh) | 一种僵尸网络检测方法及系统以及相关设备 | |
| CN106992955A (zh) | Apt防火墙 | |
| CN112751864B (zh) | 网络攻击反制系统、方法、装置和计算机设备 | |
| Rubbestad et al. | Hacking a Wi-Fi based drone | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| US20200213355A1 (en) | Security Network Interface Controller (SNIC) Preprocessor with Cyber Data Threat Detection and Response Capability that Provides Security Protection for a Network Device with Memory or Client Device with Memory or Telecommunication Device with Memory | |
| CN114157454A (zh) | 攻击反制方法、装置、计算机设备和存储介质 | |
| Guo et al. | IoTSTEED: Bot-side Defense to IoT-based DDoS Attacks (Extended) | |
| CN116032641B (zh) | 基于攻击检测和负载调度的蜜罐防御方法及系统 | |
| Vishnevsky et al. | A survey of game-theoretic approaches to modeling honeypots | |
| Grant | Distributed detection and response for the mitigation of distributed denial of service attacks | |
| CN107124390B (zh) | 计算设备的安全防御、实现方法、装置及系统 | |
| Kibret et al. | Design and Implementation of Dynamic Hybrid Virtual Honeypot Architecture for Attack Analysis | |
| Zhu et al. | SODEXO: A system framework for deployment and exploitation of deceptive honeybots in social networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160330 |