网络攻击处理方法、装置、电子设备和介质
摘要文本
本公开提供了一种网络攻击处理方法、装置、电子设备和介质,涉及网络安全技术领域。其中,网络攻击处理方法包括:基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量;监测到所述预测窗口的实际流量大于所述预测流量,并且所述实际流量与所述预测流量之间的差值大于参考流量,基于所述实际流量确定进行HTTP Flood攻击的可疑源IP;对所述可疑源IP地址进行攻击性筛选,基于筛选结果确定所述网络攻击的攻击源IP。通过本公开的技术方案,通过直接对流量数据进行监测和分析,即可有效区分HTTP Flood攻击流量和正常流量,因此能够保证对网络攻击处理的效率。
申请人信息
- 申请人:中国电信股份有限公司
- 申请人地址:100033 北京市西城区金融大街31号
- 发明人: 中国电信股份有限公司
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 网络攻击处理方法、装置、电子设备和介质 |
| 专利类型 | 发明授权 |
| 申请号 | CN202210833617.6 |
| 申请日 | 2022/7/14 |
| 公告号 | CN115102781B |
| 公开日 | 2024/1/9 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 中国电信股份有限公司 |
| 发明人 | 李岳昆; 金华敏; 汪来富; 刘东鑫; 常力元 |
| 地址 | 北京市西城区金融大街31号 |
专利主权项内容
1.一种网络攻击处理方法,其特征在于,包括:基于滑动窗口机制进行网络流量预测,得到基于预测窗口的预测流量;监测到所述预测窗口的实际流量大于所述预测流量,并且所述实际流量与所述预测流量之间的差值大于参考流量,基于所述实际流量确定进行HTTP Flood攻击的可疑源IP,包括:基于所述实际流量获取对统一资源定位符URL进行访问的访问请求;提取所述访问请求携带的访问信息,所述访问信息包括访问源IP、用户代理User_Agent和HTTP Referer中的至少一种;对所述用户代理和所述HTTP Referer进行相似性检测,以检测是否属于同一访问源IP,所述相似性检测包括字段相似性检测,其中,所述用户代理包括用于识别用户代理软件的特征字符串,所述HTTP Referer包括页面链接的来源;基于所述相似性检测的结果统计每个所述访问源IP访问每个所述URL的访问频度;将所述访问频度大于频度阈值的所述访问源IP确定为所述可疑源IP,并将所述可疑源IP放入可疑源列表;对所述可疑源IP地址进行攻击性筛选,基于筛选结果确定所述网络攻击的攻击源IP,包括:基于白名单清洗对所述可疑源列表进行攻击性筛选,以将不在白名单中的所述可疑源IP确定为待认证IP,对所述待认证IP进行重定向认证,以将未认证通过的所述待认证IP确定为所述攻击源IP,并加入黑名单,具体包括:获取所述可疑源IP发送的访问请求中的所述用户代理;检测所述用户代理是否为对搜索引擎蜘蛛爬虫的模仿操作;若不是所述模仿操作,则将所述可疑源IP放入所述白名单;若是所述模仿操作,则将所述可疑源IP确定为所述待认证IP;确定与所述待认证IP的访问请求对应的目标页面;检测到所述目标页面与页面的内嵌资源不在同一服务器上,并且所述内嵌资源的服务器异常,则对所述内嵌资源的服务器启动302重定向防御,以探测所述待认证IP的访问请求是否基于真实浏览器发送;基于探测结果确定所述待认证IP未完成重定向过程,则确认所述访问请求不是基于所述真实浏览器发送,并将所述待认证IP确定为攻击源IP,其中,所述白名单基于TCP三次握手建立。