一种防范网络攻击的方法及装置制造方法及图纸

本发明专利技术公开了一种防范网络攻击的方法，包括：根据接收到的接入请求中携带的渠道码，确定与渠道对应的数字证书、加密算法和密钥；基于所述数字证书、加密算法和密钥对接入请求进行验证；对各渠道通过验证的接入请求的流量分别进行监控，当监控到的流量达到渠道对应的流量阈值时，发出告警。本发明专利技术还公开了一种防范网络攻击的装置。

A method and device to prevent network attack

The invention discloses a method to prevent network attacks, including: according to the channel codes carried in the received access request, the digital certificates, encryption algorithms and keys corresponding to the channels are determined; the access requests are verified based on the digital certificates, encryption algorithms and keys, and the access requests for each channel are verified. The traffic is monitored separately, and the alarm is issued when the monitored traffic reaches the corresponding threshold of traffic flow. The invention also discloses a device for preventing network attacks.

【技术实现步骤摘要】
一种防范网络攻击的方法及装置
本专利技术涉及互联网通信领域中的网络攻击防范技术，尤其是一种防范网络攻击的方法及装置。
技术介绍
随着互联网技术的不断发展，用户越来越多的使用网络完成向通信运营商的购买或者咨询服务，同时，针对通信运营商的服务平台的攻击日益增多，并且由最初的简单号码攻击转向云化、接口攻击，导致通信运营商的服务平台无法为正常用户提供服务。现有技术针对攻击行为，通常是采用达到服务平台的流量上限时，通过限制接入流量的方式来防范网络攻击，但此方法经常导致被限流的合法用户无法通过网络访问通信运营商的服务平台，用户体验性较差。
技术实现思路
有鉴于此，本专利技术实施例期望提供一种防范网络攻击的方法及装置，能够在不增加设备成本的基础上准确监测网络流量，防范网络攻击，实现简单，适用范围更广。为达到上述目的，本专利技术实施例的技术方案是这样实现的：本专利技术实施例提供了一种防范网络攻击的方法，包括：根据接收到的接入请求中携带的渠道码，确定与渠道对应的数字证书、加密算法和密钥；基于所述数字证书、加密算法和密钥对接入请求进行验证；对各渠道通过验证的接入请求的流量分别进行监控，当监控到的流量达到渠道对应的流量阈值时，发出告警。上述方案中，所述渠道码与渠道为唯一的匹配关系。上述方案中，所述加密算法包括但不限于：DES算法、MD5算法、RSA算法。上述方案中，所述发出告警之后进一步包括：针对所述渠道更新数字证书、加密算法和/或密钥。上述方案中，所述对各渠道通过验证的接入请求的流量分别进行监控之前，还包括：对渠道的流量进行统计，根据统计结果设置所述渠道的流量阈值。本专利技术实施例还提供了一种防范网络攻击的装置，包括：验证策略分配模块、验证模块、监控模块，其中，验证策略分配模块，用于根据接收到的接入请求中携带的渠道码，确定与渠道对应的数字证书、加密算法和密钥；验证模块，用于基于所述数字证书、加密算法和密钥对接入请求进行验证；监控模块，用于对各渠道通过验证的接入请求的流量分别进行监控，当监控到的流量达到渠道对应的流量阈值时，发出告警。上述方案中，所述渠道码与渠道为唯一的匹配关系。上述方案中，所述加密算法包括但不限于：DES算法、MD5算法、RSA算法。上述方案中，所述装置还包括：更新模块，所述更新模块用于针对所述渠道更新数字证书、加密算法和/或密钥。上述方案中，所述装置还包括：阈值设置模块，所述阈值设置模块用于对渠道的流量进行统计，根据统计结果设置所述渠道的流量阈值。本专利技术实施例期望提供的防范网络攻击的方法及装置，包括根据接收到的接入请求中携带的渠道码，确定与渠道对应的数字证书、加密算法和密钥；基于所述数字证书、加密算法和密钥对接入请求进行验证；对各渠道通过验证的接入请求的流量分别进行监控，当监控到的流量达到渠道对应的流量阈值时，发出告警。本专利技术实施例能够直接识别网络攻击来源渠道，并做出防范措施，也不需要限定于特定网络中，实现简单方便，适用范围更广；并且，不影响被监网络的使用。附图说明图1为本专利技术实施例中防范网络攻击的方法实现流程示意图；图2为本专利技术实施例中防范网络攻击的装置的组成结构示意图。具体实施方式为了能够更加详尽地了解本专利技术实施例的特点与
技术实现思路
，下面结合附图对本专利技术实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本专利技术。图1为本专利技术实施例中防范网络攻击的方法实现流程示意图，如图1所示，防范网络攻击的方法包括以下步骤：步骤101：根据接收到的接入请求中携带的渠道码，确定与渠道对应的数字证书、加密算法和密钥；在实际应用中，合法接入网络的渠道具有可识别的渠道码，渠道与渠道码具有一一对应的匹配关系；所述渠道码可以由统一认证系统为每一个合法接入网络的渠道分配，例如移动商城的渠道码是12002，微信公众号的渠道码是12008，统一认证系统可以根据渠道码确定网络中的传输信息是针对哪个渠道的；所述数字证书与合法接入网络的渠道一一对应，而加密算法和密钥是生成数字证书及验证数字证书合法性所必不可少的，以确保传输信息的机密性、完整性及不可抵赖性；所述加密算法包括但不限于：DES算法、MD5算法、RSA算法。步骤102：基于所述数字证书、加密算法和密钥对接入请求进行验证；具体地，基于加密算法和密钥对数字证书进行验证，以确定接入请求的合法性。步骤103：对各渠道通过验证的接入请求的流量分别进行监控，当监控到的流量达到渠道对应的流量阈值时，发出告警；在实际应用中，所述根据接收到的接入请求中携带的渠道码，确定与渠道对应的数字证书、加密算法和密钥之前，统一认证系统可以根据对各渠道的流量数据统计结果，设置各渠道对应的流量阈值，具体的，统一认证系统对统计周期内、如几天、几周、几个月的流量进行统计，并根据统计结果设置流量阈值；例如，统计结果为渠道微信公众号的日流量平均为200万次，分钟峰值为1300次/分钟，优选的，设置2600次/分钟的阈值；一旦监控到流量超过2600次/秒，则发出告警。在实际应用中，例如正常情况下渠道手机营业厅的流量为500次/分钟，移动商城的流量为200次/分钟，微信公众号的流量为300次/分钟；如果检测到微信公众号流量异常，超过1000次/分钟，则可判断针对渠道微信公众号发现网络攻击；由于同一渠道在各个省份的流量也可能存在较大差别，因此，优选的，可以针对不同地域的渠道设置流量阈值。在实际应用中，完成判断流量超过所述流量阈值的渠道之后，统一认证系统可自动针对该渠道更新加密算法和/或密钥，使用相应加密算法和/或密钥更新数字证书，例如，使用与原来相同的加密算法和不同的密钥生成新的数字证书，或使用与原来不同的加密算法和密钥生成新的数字证书；也可以由网管针对该渠道更新加密算法和/或密钥，使用相应加密算法和/或密钥更新数字证书，统一认证系统更新数字证书、加密算法和/或加密密钥。如果再有新的攻击发生，则因数字证书不对，则统一认证系统确定为非法接入请求，自动过滤，使攻击者无法通过持续攻击获取有效信息。基于以上技术方案，即使数字证书、加密算法和/或密钥被攻击者盗取，统一认证系统也可以通过流量管控，防止大规模攻击行为的发生。图2为本专利技术实施例中防范网络攻击的装置的组成结构示意图，如图2所示，为实现图1所述的方法，防范网络攻击的装置包括以下结构：验证策略分配模块201、验证模块202和监控模块203，其中，验证策略分配模块201，用于根据接收到的接入请求中携带的渠道码，确定与所述渠道码对应的各渠道的数字证书、加密算法和密钥；验证模块202，用于基于所述数字证书、加密算法和密钥对接入请求进行验证；监控模块203，用于对各渠道通过验证的接入请求的流量分别进行监控，当监控到的流量达到渠道对应的流量阈值时，发出告警。在实际应用中，所述合法接入网络的具有可识别的渠道码，渠道与渠道码具有一一对应的匹配关系；所述验证策略分配模块201接收的渠道码是为每一个合法接入网络的渠道分配的，例如移动商城的渠道码是12002，微信公众号的渠道码是12008，验证策略分配模块201通过所述渠道码可以确定网络中的传输信息是针对哪个渠道的；所述数字证书与所述合法接入网络的渠道一一对应，而加密算法和密钥是生成数字证书及验证数字证书合法性所必不可少的，以确保所传输信息的机密性、本文档来自技高网...

【技术保护点】
1.一种防范网络攻击的方法，其特征在于，所述方法包括：根据接收到的接入请求中携带的渠道码，确定与渠道对应的数字证书、加密算法和密钥；基于所述数字证书、加密算法和密钥对接入请求进行验证；对各渠道通过验证的接入请求的流量分别进行监控，当监控到的流量达到渠道对应的流量阈值时，发出告警。

【技术特征摘要】
1.一种防范网络攻击的方法，其特征在于，所述方法包括：根据接收到的接入请求中携带的渠道码，确定与渠道对应的数字证书、加密算法和密钥；基于所述数字证书、加密算法和密钥对接入请求进行验证；对各渠道通过验证的接入请求的流量分别进行监控，当监控到的流量达到渠道对应的流量阈值时，发出告警。2.根据权利要求1所述的方法，其特征在于，所述渠道码与渠道为唯一的匹配关系。3.根据权利要求1所述的方法，其特征在于，所述加密算法包括但不限于：DES算法、MD5算法、RSA算法。4.根据权利要求1-3任一权利要求所述的方法，其特征在于，所述发出告警之后进一步包括：针对所述渠道更新数字证书、加密算法和/或密钥。5.根据权利要求1-3任一权利要求所述的方法，其特征在于，所述对各渠道通过验证的接入请求的流量分别进行监控之前，还包括：对渠道的流量进行统计，根据统计结果设置所述渠道的流量阈值。6.一种防范网络攻击的装置，其特...

【专利技术属性】
技术研发人员：吴朝国，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：北京,11