本申请提供了一种应用层攻击检测方法、装置和电子设备,应用于网络防护端,其中,该方法包括:接收客户端发送的携带有访问链接的请求消息;获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数,以及,获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器。本申请实施例根据获取的历史请求消息的请求次数,以及,获取的服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,从而达到防护服务器的目的,检测方法更加完善,防护效果更好。
【技术实现步骤摘要】
一种应用层攻击检测方法、装置和电子设备
本申请涉及网络安全
,具体而言,涉及一种应用层攻击检测方法、装置和电子设备。
技术介绍
随着互联网的迅速发展,人们对于网络的使用和依赖程度日益加深,关于网络安全的问题也随之而来,特别是服务器或者计算机主机遭受网络攻击事件层出不穷,例如网站的应用层攻击。应用层攻击主要通过向目标服务器提交大量服务请求,使服务器处理不过来而瘫痪,从而可能拒绝为正常客户端提供服务。例如,12306火车票订票系统,放票时间会出现大量用户同时访问,导致瘫痪的情况,这种访问对网站服务器是一个巨大的挑战。现有的应对应用层攻击的方式主要是通过提高服务器的处理能力,从而避免在大量客户端同时访问时出现瘫痪的情况,然而,服务器的处理能力有限,对于僵尸主机控制大量傀儡机发起的攻击行为,通过提高服务器处理能力的方式往往难以奏效。申请内容有鉴于此,本申请的目的在于提供一种应用层攻击检测方法、装置和电子设备,以检测攻击客户端,提高防护服务器的能力。第一方面,本申请实施例提供了一种应用层攻击检测方法,应用于网络防护端,包括:接收客户端发送的携带有访问链接的请求消息;获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数,以及,获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述客户端的请求消息转发至所述服务器。在这里,接收客户端发送的携带有访问链接的请求消息之后,将所述客户端发送的携带有访问链接的请求消息的请求次数加1,然后保存增加后所述客户端发送的携带有访问链接的请求消息的请求次数。结合第一方面,本申请实施例提供了第一方面的第一种可能的实施方式,其中,所述基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述客户端的请求消息转发至所述服务器,包括:若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则拒绝将所述客户端的请求消息转发至所述服务器。结合第一方面,本申请实施例提供了第一方面的第二种可能的实施方式,其中,所述基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,还包括:若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则向所述客户端发送验证信息,以判断是否将所述请求消息转发至所述服务器。结合第一方面的第二种可能的实施方式,本申请实施例提供了第一方面的第三种可能的实施方式,其中,所述向所述客户端发送验证信息之后,还包括:若接收到所述客户端针对所述验证信息提交的验证应答信息,则提取所述验证应答信息中的验证码;若所述验证码与预设验证码不同,则拒绝将所述客户端请求消息转发至所述服务器;若所述验证码与预设验证码相同,则将所述客户端的请求消息转发至所述服务器。结合第一方面的第二种可能的实施方式,本申请实施例提供了第一方面的第四种可能的实施方式,其中,所述向所述客户端发送验证信息之后,还包括:若未接收到所述客户端针对所述验证信息提交的验证应答信息,则拒绝将所述请求消息转发至所述服务器。第二方面,本申请实施例还提供了一种应用层攻击检测装置,包括:接收模块:用于接收客户端发送的携带有访问链接的请求消息;第一获取模块,用于获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数;第二获取模块,用于获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;判断模块,用于基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器。结合第二方面,本申请实施例提供了第二方面的第一种可能的实施方式,其中,所述判断模块,用于根据所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,判断是否将所述请求消息转发至服务器。结合第二方面,本申请实施例提供了第二方面的第二种可能的实施方式,其中,还包括第一计数模块、第一保存模块、第二计数模块和第二保存模块,所述第一计数模块,用于在接收客户端发送的携带有访问链接的请求消息之后,将所述客户端发送的携带有访问链接的历史请求消息的请求次数加1;所述第一保存模块,用于在接收客户端发送的携带有访问链接的请求消息之后,保存增加后所述客户端发送的携带有访问链接的历史请求消息的请求次数;所述第二计数模块,用于在接收服务器针对所述请求消息返回的应答消息之后,将所述服务器针对所述历史请求消息返回的应答消息中存在异常码的次数加1;所述第二保存模块,用于在接收服务器针对所述请求消息返回的历史应答消息之后,保存增加后所述服务器针对所述请求消息返回的历史应答消息中存在异常码的次数。结合第二方面,本申请实施例提供了第二方面的第三种可能的实施方式,其中,还包括发送模块、提取模块和子判断模块,所述发送模块,若所述请求次数大于预设请求次数阈值,或者,所述历史应答消息中存在异常码的次数大于预设异常次数阈值,用于向所述客户端发送验证信息;所述提取模块,若接收到所述客户端针对所述验证信息提交的验证应答信息,用于提取所述验证应答信息中的验证码;所述子判断模块,用于根据所述验证码是否正确,判断所述是否将所述请求消息转发至所述服务器。第三方面,本申请实施例还提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当网络侧设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时,执行上述任一项所述的方法。第四方面,本申请实施例还提供了一种所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述任一所述的方法。本申请实施例提供的一种应用层攻击检测方法、装置和电子设备,应用于网络防护端,根据获取的客户端发送的携带有访问链接的历史请求消息的请求次数,以及,获取的服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,因此可以针对攻击客户端的恶意请求拒绝转发其发送的请求消息,从而达到防护服务器的目的,本申请实施例提供的应用层攻击检测方法,可以在访问链接的请求次数以及异常码的次数同时满足判断条件的情况下,判断发送请求消息的客户端是否为攻击客户端,同时可以针对请求消息中的某一特定访问链接判断发送请求消息的客户端是否为攻击客户端。相对于只根据客户端发送的请求消息次数判断其是否为攻击客户端的检测方法,不仅增加了对攻击客户端的筛选步骤,避免了非攻击客户端因请求次数过多被误判为攻击客户端的情况,还可以针对特定的访问链接对攻击客户端进行防护。本申请实施例提供的应用层攻击检测方法既可以筛选出真正的攻击客户端,也保证了非攻击客户端的正常请求需求。为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。附图说明为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以本文档来自技高网...
【技术保护点】
1.一种应用层攻击检测方法,其特征在于,应用于网络防护端,包括:接收客户端发送的携带有访问链接的请求消息;获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数,以及,获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器。
【技术特征摘要】
1.一种应用层攻击检测方法,其特征在于,应用于网络防护端,包括:接收客户端发送的携带有访问链接的请求消息;获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数,以及,获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器。2.根据权利要求1所述的方法,其特征在于,所述基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,包括:若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则拒绝将所述请求消息转发至所述服务器。3.根据权利要求1所述的方法,其特征在于,所述基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,还包括:若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则向所述客户端发送验证信息,以判断是否将所述请求消息转发至所述服务器。4.根据权利要求3所述的方法,其特征在于,所述向所述客户端发送验证信息之后,还包括:若接收到所述客户端针对所述验证信息提交的验证应答信息,则提取所述验证应答信息中的验证码;若所述验证码与预设的验证码不同,则拒绝将所述客户端的请求消息转发至所述服务器;若所述验证码与预设的验证码相同,则将所述客户端的请求消息转发至所述服务器。5.根据权利要求3所述的方法,其特征在于,所述向所述客户端发送验证信息之后,还包括:若未接收到所述客户端针对所述验证信息提交的验证应答信息,则拒绝将所述客户端的请求消息转发至所述服务器。6.一种应用层攻击检测装置,其特征在于,包括:接收模块,用于接收客户端发送的携带有访问链接的请求消息;第一获取模块,用于获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数;第二获取模块,用于获取服务器针对所述历...
【专利技术属性】
技术研发人员:汪利福,王泽,
申请(专利权)人:北京云枢网络科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。