本申请实施例公开了一种攻击流量确定方法,所述方法包括:根据待处理流量的特征,识别所述待处理流量中的第一用户流量和第二用户流量;所述第一用户流量为信任流量;所述第二用户流量为可疑流量;对所述第二用户流量进行鉴定,确定所述第二用户流量中的攻击流量。另外,本申请实施例还公开了一种攻击流量确定装置、设备及存储介质。设备及存储介质。设备及存储介质。
【技术实现步骤摘要】
一种攻击流量确定方法、装置、设备及存储介质
[0001]本专利技术涉及信息安全技术,尤其涉及一种攻击流量确定方法、装置、设备及存储介质。
技术介绍
[0002]计算机设备经常成为不法分子的攻击目标,他们采用以下之一的攻击方式:分布式拒绝服务(Distributed denial of service attack,DDoS)攻击、应用程序攻击和证书伪造,对计算机设备进行非法入侵,这样的方式被称为“攻击流量”,也叫机器人(bot)流量。
[0003]目前,bot流量占全网总流量的60%以上,这些bot流量有各种各样的检测形式(例如:在网络上活跃的爬虫、扫描器等),这使得通过bot流量恶意攻击相应的计算机设备的手段多种多样,从利用简单脚本工具(例如:自动化的爆破工具hydra、文件传输工具curl、网络漏洞扫描工具awvs),到真人操作(例如:真机群控),以此达到薅羊毛、恶意比价、挑战黑洞(Challenge Collapsar,CC)攻击、漏洞扫描挖掘等非法目的。因此,为了有效的防止bot流量,国内外厂商通常采用的防御方法包括:返回超文本传输协议(HyperText Transfer Protocol,HTTP)302重定向,或者通过支持简单的HTTP 404频率统计触发、陷阱诱捕,及复杂用户行为分析多种防御手段中的一种方法,对所有待处理流量进行分析检测,但只会同时运作其中一种方法对所有用户流量进行处理,因此,所有的用户流量都会被同等对待,造成设备资源浪费。
技术实现思路
[0004]有鉴于此,本申请实施例提供的一种攻击流量确定方法、装置和计算机可读存储介质,减少对计算机设备负载的压力,且有效地识别攻击流量。
[0005]本申请实施例的技术方案是这样实现的:
[0006]第一方面,本申请实施例提供一种攻击流量确定方法,包括:
[0007]根据待处理流量的特征,识别所述待处理流量中的第一用户流量和第二用户流量;所述第一用户流量为信任流量;所述第二用户流量为可疑流量;
[0008]对所述第二用户流量进行鉴定,确定所述第二用户流量中的攻击流量。
[0009]可选的,在根据待处理流量的特征,识别所述待处理流量中的第一用户流量和第二用户流量之前,所述方法还包括:
[0010]根据异常流量决策,获得所述待处理流量的特征。
[0011]可选的,根据所述待处理流量的特征,识别所述待处理流量中的第一用户流量和第二用户流量,包括:
[0012]通过所述待处理流量的特征与相应预设阈值进行比较;
[0013]将比较结果满足信任条件的待处理流量,标记为所述第一用户流量;
[0014]将比较结果不满足所述信任条件的待处理流量,标记为所述第二用户流量。
[0015]可选的,根据所述第一用户流量对应的处理逻辑对所述第一用户流量进行处理。
[0016]在一些实施例中,攻击流量确定设备根据待处理流量的特征,对所述待处理流量进行分流,所述第一用户流量为信任流量,对于识别为信任流量的第一用户流量,执行第一用户流量对应的操作,即就是将待处理流量划分成信任流量和可疑流量,起到分流的作用,从而能够减小对设备系统资源的消耗。
[0017]可选的,对所述第二用户流量进行鉴定,确定所述第二用户流量中的攻击流量,包括:
[0018]通过第一级防御策略,对所述第二用户流量进行一级防御处理,识别出所述第二用户流量中的攻击流量和第三用户流量;所述第三用户流量为待确认流量;
[0019]通过第二级防御策略,对所述第三用户流量进行二级防御处理,识别所述出所述第三用户流量中的攻击流量和第四用户流量;所述第四用户流量为信任流量。
[0020]在一些实施例中,攻击流量确定设备对第二用户流量进行鉴定,进一步地确定第二用户流量中的攻击流量,其中,依次通过第一级防御策略和第二级防御策略对第二用户流量进行渐进式的识别,以识别出第二用户流量所包括的信任流量和攻击流量,从而通过多种防御策略识别出第二用户流量中的攻击流量,有效地降低了对攻击流量的误判率,减少了对设备系统资源的消耗,增强了对攻击流量确定方式。
[0021]可选的,通过所述第一级防御策略,对所述第二用户流量进行一级防御处理,识别出所述第二用户流量中的攻击流量和第三用户流量,包括:
[0022]通过以下第一级防御策略至少之一对所述第二用户流量进行一级防御处理,识别出所述第二用户流量中的攻击流量和第三用户流量:重定向、脚本动态执行、动态令牌防重放机制和浏览器特性采集程序。
[0023]可选的,通过所述第二级防御策略,对所述第三用户流量进行二级防御处理,识别所述出所述第三用户流量中的攻击流量和第四用户流量,包括:
[0024]通过以下第二级防御策略至少之一对所述第三用户流量进行二级防御处理,识别所述出所述第三用户流量中的攻击流量和第四用户流量:行为数据采集、动态混淆加密和假数据投毒。
[0025]可选的,在确定所述第二用户流量中的攻击流量之后,所述方法还包括:
[0026]清洗所述攻击流量;或
[0027]屏蔽与所述攻击流量关联的关联流量。
[0028]第二方面,本申请实施例提供一种攻击流量确定装置,包括:
[0029]第一识别模块,用于根据所述待处理流量的特征,识别待处理流量中的第一用户流量和第二用户流量;所述第一用户流量为信任流量;所述第二用户流量为可疑流量;
[0030]第二识别模块,用于对所述第二用户流量进行鉴定,确定所述第二用户流量中的攻击流量。
[0031]第三方面,本申请实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述攻击流量确定方法
[0032]第四方面,本申请实施例提供一种存储介质,其中,所述计算机存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行时实现任一项所述的防御方法的步骤。
[0033]本申请实施例中,提供了一种攻击流量确定方法、装置、设备及存储介质,根据待处理流量的特征,识别所述待处理流量中的第一用户流量和第二用户流量;所述第一用户流量为信任流量;所述第二用户流量为可疑流量;对所述第二用户流量进行鉴定,确定所述第二用户流量中的攻击流量;本申请中根据待处理流量的特征,从待处理流量中识别出第一用户流量和第二用户流量,有效地减轻了后续处理步骤对计算机设备资源的消耗,再对第二用户流量进行鉴定,从第二用户流量中识别出攻击流量,从而能够有效的识别出待处理流量中的攻击流量,同时,降低了对计算机设备资源的消耗,且保证了计算机设备的安全性。
附图说明
[0034]图1为本申请实施例网络架构示意图;
[0035]图2为本申请实施例提供的攻击流量确定方法的可选地流程示意图;
[0036]图3为本申请实施例提供的待处理流量中不同流量占比示意图;
[0037]图4为本申请实施例提本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击流量确定方法,其特征在于,所述方法包括:根据待处理流量的特征,识别所述待处理流量中的第一用户流量和第二用户流量;所述第一用户流量为信任流量;所述第二用户流量为可疑流量;对所述第二用户流量进行鉴定,确定所述第二用户流量中的攻击流量。2.根据权利要求1所述的方法,其特征在于,在根据所述待处理流量的特征,识别待处理流量中的第一用户流量和第二用户流量之前,所述方法还包括:根据异常流量决策,获得所述待处理流量的特征。3.根据权利要求1所述的方法,其特征在于,所述根据所述待处理流量的特征,识别所述待处理流量中的第一用户流量和第二用户流量,包括:通过所述待处理流量的特征与相应预设阈值进行比较;将比较结果满足信任条件的待处理流量,标记为所述第一用户流量;将比较结果不满足所述信任条件的待处理流量,标记为所述第二用户流量。4.根据权利要求1所述的方法,其特征在于,在根据待处理流量的特征,识别所述待处理流量中的第一用户流量和第二用户流量之后,所述方法还包括:根据所述第一用户流量对应的处理逻辑对所述第一用户流量进行处理。5.根据权利要求1所述的方法,其特征在于,所述对所述第二用户流量进行鉴定,确定所述第二用户流量中的攻击流量,包括:通过第一级防御策略,对所述第二用户流量进行一级防御处理,识别出所述第二用户流量中的攻击流量和第三用户流量;所述第三用户流量为待确认流量;通过第二级防御策略,对所述第三用户流量进行二级防御处理,识别所述出所述第三用户流量中的攻击流量和第四用户流量;所述第四用户流量为信任流量。6.根据权利要求5所述的方法,其特征在于,所述通过第一级防御策略,对所述第二用户流量进行一级...
【专利技术属性】
技术研发人员:杜志荣,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。