【技术实现步骤摘要】
本专利技术涉及网络安全,具体而言,涉及一种攻击防御方法和系统。
技术介绍
1、随着网络技术的发展,网络中的恶意攻击也层出不穷,对于业务系统而言,cc攻击是较常见的攻击类型。攻击者对业务系统发起cc攻击前,通常会先对业务系统进行分析,寻找业务系统最薄弱的地方,例如数据库查询最耗时的业务接口等,然后通过大量的傀儡主机模拟业务系统的正常请求发起海量攻击。由于精心构造的cc攻击请求和正常业务请求极度相似,系统管理员或安全运维人员在制定防御策略时非常棘手,稍有差错就会对正常业务造成大量的误拦截,出现投鼠忌器的情况。因此,cc攻击特别是近几年兴起的分布式慢速cc攻击一直是当前互联网世界中广泛存在且十分具有威胁性的安全问题之一。
2、当前主流的云安全防御cc攻击的方法是将针对业务系统的所有访问请求流量通过dns(domain name system,域名系统)解析到云安全防御平台的节点。云安全防御节点上的攻击防御装置通过对所有的访客ip的请求行为诸如访问路径、访问频率、访问时间等进行监测和建模。待发现异常的访问特征后,对该ip的请求进行限速、验证码弹窗二次校验或者阻断等方式来缓解攻击造成的影响。这种防御方法比较依赖云安全cc防护自身引擎的算法质量,由于被动建模是需要时间的,这种防御方式存在一定的攻击识别拦截时间差,容易放过大量的攻击请求,对源站业务系统造成压力。并且,这种防御方法比较关注单个ip对象的请求速率,无法有效的防御分布式的低频的慢速cc攻击,同时容易对拥有高频api调用请求的业务系统造成大量误拦截,影响业务系统的访问体验
技术实现思路
1、本专利技术的目的包括,例如,提供了一种攻击防御方法和系统,其能够通过防御平台和业务系统的联动,以更客观、精准地识别攻击行为进而阻断。
2、本专利技术的实施例可以这样实现:
3、第一方面,本专利技术提供一种攻击防御方法,应用于攻击防御系统,所述攻击防御系统包括通信连接的业务系统和防御平台,所述方法包括:
4、所述防御平台在接收到访问请求时,判断发送所述访问请求的主机的主机ip是否为明显异常ip;
5、若判定所述主机ip不是明显异常ip,再基于存储的亲密度信息判断所述主机ip是否为疑似攻击ip,所述亲密度信息为所述业务系统基于来自各个主机ip的访问行为所计算得到并发送至所述防御平台的;
6、若判定所述主机ip为疑似攻击ip,则采用第一防御策略对所述访问请求进行多次校验,若判定所述主机ip不为疑似攻击ip,则采用第二防御策略对所述访问请求进行校验;
7、根据所述第一防御策略下的校验结果,或所述第二防御策略下的校验结果判定是否阻断所述访问请求。
8、在可选的实施方式中,所述基于存储的亲密度信息判断所述主机ip是否为疑似攻击ip的步骤,包括:
9、查找存储的亲密度信息中是否存在与所述主机ip对应的亲密度信息;
10、若存储的亲密度信息中不存在与所述主机ip对应的亲密度信息,或者与所述主机ip对应的亲密度信息中的亲密度值小于预设阈值,则判定所述主机ip为疑似攻击ip;
11、若所述主机ip对应的亲密度信息中的亲密度值大于或等于预设阈值,则判定所述主机ip不为疑似攻击ip。
12、在可选的实施方式中,所述业务系统基于来自各个主机ip的访问请求计算得到亲密度信息的步骤,包括:
13、针对向所述业务系统发起访问请求的各个主机ip,记录所述主机ip的访问请求的访问接口、交互操作信息以及所述主机ip的注册信息;
14、根据所述访问接口、交互操作信息和注册信息计算得到亲密度信息。
15、在可选的实施方式中,所述根据所述访问接口、交互操作信息和注册信息计算得到亲密度信息的步骤,包括:
16、检测所述访问接口为正常访问接口还是异常访问接口;
17、获得所述交互操作信息中包含的访问页面信息、页面浏览信息以及在页面上的操作信息;
18、检测所述注册信息是否具有实名认证信息;
19、结合接口检测信息、访问页面信息、页面浏览信息、操作信息以及注册信息检测结果,计算得到亲密度信息。
20、在可选的实施方式中,所述采用第一防御策略对所述访问请求进行多次校验的步骤,包括:
21、针对所述访问请求,采用人机识别校验方式进行校验;
22、在人机识别校验通过后,再采用验证码校验方式进行校验;
23、在验证码校验通过后,采用web应用程序防火墙进行防御校验。
24、在可选的实施方式中,所述采用第二防御策略对所述访问请求进行校验的步骤,包括:
25、针对所述访问请求,采用web应用程序防火墙进行防御校验。
26、在可选的实施方式中,所述方法还包括:
27、所述业务系统将计算得到的亲密度信息携带在http响应头中,并发送至所述防御平台,以使所述防御平台将所述亲密度信息进行存储。
28、在可选的实施方式中,所述根据所述第一防御策略下的校验结果,或所述第二防御策略下的校验结果判定是否阻断所述访问请求的步骤,包括:
29、在所述第一防御策略下的校验结果或所述第二防御策略下的校验结果表征校验通过时,将所述将访问请求发送至所述业务系统,并接收所述业务系统针对所述访问请求所返回的反馈信息,将所述反馈信息进行外发;
30、在所述第一防御策略下的校验结果或所述第二防御策略下的校验结果表征校验未通过时,阻断所述访问请求。
31、第二方面,本专利技术提供一种攻击防御系统,所述攻击防御系统包括通信连接的业务系统和防御平台;
32、所述防御平台用于在接收到访问请求时,判断发送所述访问请求的主机的主机ip是否为明显异常ip;
33、所述防御平台还用于在判定所述主机ip不是明显异常ip时,再基于存储的亲密度信息判断所述主机ip是否为疑似攻击ip,所述亲密度信息为所述业务系统基于来自各个主机ip的访问行为所计算得到并发送至所述防御平台的;
34、所述防御平台还用于在判定所述主机ip为疑似攻击ip时,采用第一防御策略对所述访问请求进行多次校验,若判定所述主机ip不为疑似攻击ip,则采用第二防御策略对所述访问请求进行校验;
35、所述防御平台还用于根据所述第一防御策略下的校验结果,或所述第二防御策略下的校验结果判定是否阻断所述访问请求。
36、在可选的实施方式中,所述业务系统用于基于来自各个主机ip的访问请求并通过以下方式计算得到亲密度信息:
37、针对向所述业务系统发起访问请求的各个主机ip,记录所述主机ip的访问请求的访问接口、交互操作信息以及所述主机ip的注册信息;
38、根据所述访问接口、交互操作信息和注册信息计算得到亲密度信息。
39、本专利技术实施例的有益效果包括,例如:
40、本申请提供一种攻击防御方本文档来自技高网...
【技术保护点】
1.一种攻击防御方法,其特征在于,应用于攻击防御系统,所述攻击防御系统包括通信连接的业务系统和防御平台,所述方法包括:
2.根据权利要求1所述的攻击防御方法,其特征在于,所述基于存储的亲密度信息判断所述主机IP是否为疑似攻击IP的步骤,包括:
3.根据权利要求1所述的攻击防御方法,其特征在于,所述业务系统基于来自各个主机IP的访问请求计算得到亲密度信息的步骤,包括:
4.根据权利要求3所述的攻击防御方法,其特征在于,所述根据所述访问接口、交互操作信息和注册信息计算得到亲密度信息的步骤,包括:
5.根据权利要求1所述的攻击防御方法,其特征在于,所述采用第一防御策略对所述访问请求进行多次校验的步骤,包括:
6.根据权利要求1所述的攻击防御方法,其特征在于,所述采用第二防御策略对所述访问请求进行校验的步骤,包括:
7.根据权利要求1所述的攻击防御方法,其特征在于,所述方法还包括:
8.根据权利要求1-7任意一项所述的攻击防御方法,其特征在于,所述根据所述第一防御策略下的校验结果,或所述第二防御策略下的校
9.一种攻击防御系统,其特征在于,所述攻击防御系统包括通信连接的业务系统和防御平台;
10.根据权利要求9所述的攻击防御系统,其特征在于,所述业务系统用于基于来自各个主机IP的访问请求并通过以下方式计算得到亲密度信息:
...【技术特征摘要】
1.一种攻击防御方法,其特征在于,应用于攻击防御系统,所述攻击防御系统包括通信连接的业务系统和防御平台,所述方法包括:
2.根据权利要求1所述的攻击防御方法,其特征在于,所述基于存储的亲密度信息判断所述主机ip是否为疑似攻击ip的步骤,包括:
3.根据权利要求1所述的攻击防御方法,其特征在于,所述业务系统基于来自各个主机ip的访问请求计算得到亲密度信息的步骤,包括:
4.根据权利要求3所述的攻击防御方法,其特征在于,所述根据所述访问接口、交互操作信息和注册信息计算得到亲密度信息的步骤,包括:
5.根据权利要求1所述的攻击防御方法,其特征在于,所述采用第一防御策略对所述访问请求进行多次校验...
【专利技术属性】
技术研发人员:詹科,罗立,李静,雷佳才,胡锐,黄杨,
申请(专利权)人:成都知道创宇信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。