本公开提供了一种用于防御网络攻击的方法、装置、设备、存储介质及程序产品,涉及计算机技术领域,尤其涉及网络安全技术领域中的CC防御攻击技术场景。具体实现方案为:获取加密的超文本传输安全协议请求的传输层客户端握手包;解析所述传输层客户端握手包,得到服务器名称指示以及客户端字段特征;确定所述服务器名称指示下的传输层指纹特征所对应的访问请求,所述传输层指纹特征根据所述客户端字段特征生成;基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求;拦截所述传输层指纹特征所对应的异常访问请求。通过本公开能够更为有效的防御HTTPS的CC攻击。CC攻击。CC攻击。
【技术实现步骤摘要】
防御网络攻击的方法、装置、设备、存储介质及程序产品
[0001]本公开涉及计算机
,尤其涉及网络安全
中的CC防御攻击技术场景。
技术介绍
[0002]加密流量CC(Challenge Collapsar,挑战黑洞)防御攻击技术,主要是通过在大规模网络流量中发现黑客发起的加密的HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议)层DDoS(Distributed Denial of Service,分布式拒绝服务)攻击并进行阻断。
[0003]其中,为了能够准确的识别出黑客发起的CC攻击,目前的网络攻击检测中,通常将HTTPS协议下的7层流量进行HTTPS解析。通过HTTPS解析得到HTTPS的页面访问频次,将访问频次较高的IP(Internet Protocol Address,互联网协议地址)判定为CC攻击的IP,并阻断该判定为CC攻击的IP,以进行CC防御攻击。
技术实现思路
[0004]本公开提供了一种用于防御网络攻击的方法、装置、设备、存储介质及程序产品。
[0005]根据本公开的一方面,提供了一种防御网络攻击的方法,包括:
[0006]获取加密的超文本传输安全协议请求的传输层客户端握手包;解析所述传输层客户端握手包,得到服务器名称指示以及客户端字段特征;确定所述服务器名称指示下的传输层指纹特征所对应的访问请求,所述传输层指纹特征根据所述客户端字段特征生成;基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求;拦截所述传输层指纹特征所对应的异常访问请求。
[0007]根据本公开的另一方面,提供了一种防御网络攻击的装置,包括:
[0008]获取单元,用于获取加密的超文本传输安全协议请求的传输层客户端握手包;解析单元,用于解析所述传输层客户端握手包,得到服务器名称指示以及客户端字段特征;确定单元,用于确定所述服务器名称指示下的传输层指纹特征所对应的访问请求,所述传输层指纹特征根据所述客户端字段特征生成;检测单元,用于基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求,并拦截所述传输层指纹特征所对应的异常访问请求。
[0009]根据本公开的另一方面,提供一种电子设备,包括:
[0010]至少一个处理器;以及
[0011]与所述至少一个处理器通信连接的存储器;其中,
[0012]所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的方法。
[0013]根据本公开的另一方面,提供一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行上述的方法。
[0014]根据本公开的另一方面,提供一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现上述的方法。
[0015]本公开提供的防御网络攻击的方法,能够更为有效的防御HTTPS的CC攻击。
[0016]应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0017]附图用于更好地理解本方案,不构成对本公开的限定。其中:
[0018]图1是根据本公开一示例性实施方式中示出的一种防御网络攻击的方法流程图;
[0019]图2是根据本公开一示例性实施方式中示出的一种基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求的方法流程图;
[0020]图3是根据本公开一示例性实施方式中示出的一种基于TLS指纹特征所对应的访问请求,检测TLS指纹特征所对应的异常访问请求的方法流程图;
[0021]图4是根据本公开一示例性实施方式中示出的一种防御网络攻击的方法实施过程示意图;
[0022]图5是根据本公开一示例性实施方式中示出的一种防御网络攻击的装置的框图;
[0023]图6是用来实现本公开实施例的防御网络攻击的方法的电子设备的框图。
具体实施方式
[0024]以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
[0025]本公开实施例提供的防御网络攻击的方法,应用于HTTPS的CC攻击检测防御场景中,例如进行云计算平台环境下的CC攻击检测防御,大流量企业的CC攻击检测防御等。
[0026]相关技术中,HTTPS的CC攻击检测防御中,主要通过解密HTTPS的流量,进行IP访问确定,以判定访问源是否为CC攻击,并对CC攻击进行阻断。其中,判定CC攻击的方式主要包括如下几种情形:
[0027]1.确定单位时间内同一来源IP地址发出的访问请求数量。如果同一来源IP地址发出的访问请求数量大于设定的数量阀值,就判定该IP地址具备攻击行为,对这个IP地址发出的访问请求进行屏蔽。
[0028]2.确定单位时间内到达同一目标服务器相同端口或不同端口总数据包个数或访问请求数量。若单位时间内到达同一目标服务器相同端口或不同端口总数据包个数或访问请求数量达到一定的阀值,则判定该服务器出现了异常或受到攻击。
[0029]3.确定单位时间内同一来源IP地址访问同一页面的请求数量。如果单位时间内同一来源IP地址访问同一页面的请求数量达到某个阀值,就判定该IP地址具备攻击行为,对这个IP地址发出的访问请求进行屏蔽。
[0030]然而上述通过解密HTTPS的流量,需要大量机器资源。并且,单纯的确定IP地址对应的业务流量,在业务流量突发时会产生误报,例如,业务方举行活动促销之类,此判定方
式无效。进一步的,在IP共享场景中,由于同一IP地址可能对应多个访问请求,可能会将非攻击行为的访问请求进行屏蔽。
[0031]有鉴于此,本公开实施例提供一种防御网络攻击的方法,在该方法中,提取HTTPS请求的TLS(Transport Layer Security,传输层)客户端握手包。其中,客户端握手包也称为Client Hello数据包。并从TLS Client Hello数据包中提取SNI(Server Name Indication,服务器名称指示)域名以及用于生成TLS指纹特征的客户端字段特征。针对提取的SNI域名,基于客户端字段特征生成TLS指纹特征。通过HTTPS的加密流量的TLS指纹特征进行CC防御。
[0032]作为一示例性实施方式,图1是根据本公开一示例性实施方式中示出的一种防御网络攻击的方法流程图。参阅图1所示,防御网络攻击的方法包括如下步骤S101至步骤S104。<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防御网络攻击的方法,包括:获取加密的超文本传输安全协议请求的传输层客户端握手包;解析所述传输层客户端握手包,得到服务器名称指示以及客户端字段特征;确定所述服务器名称指示下的传输层指纹特征所对应的访问请求,所述传输层指纹特征根据所述客户端字段特征生成;基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求;拦截所述传输层指纹特征所对应的异常访问请求。2.根据权利要求1所述的方法,其中,所述基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求,包括:获取指定时间段内所述传输层指纹特征所对应的访问请求数量;若在指定时间段内所述传输层指纹特征所对应的访问请求数量大于数量阈值,则确定所述传输层指纹特征所对应访问请求为异常访问请求。3.根据权利要求2所述的方法,还包括:确定访问请求数量大于数量阈值的所述访问请求在单位时间的访问率大于访问率阈值。4.根据权利要求2或3所述的方法,还包括:确定所述传输层指纹特征不属于预设的传输层指纹特征白名单。5.根据权利要求1所述的方法,其中,所述基于传输层指纹特征所对应的访问请求,检测传输层指纹特征所对应的异常访问请求,包括:若检测到所述传输层指纹特征属于预设的传输层指纹特征黑名单,则确定所述传输层指纹特征所对应的访问请求为异常访问请求。6.根据权利要求1所述的方法,还包括:若检测到所述传输层指纹特征属于预设的传输层指纹特征白名单,则确定所述传输层指纹特征所对应的访问请求为正常访问请求。7.一种防御网络攻击的装置,包括:获取单元,用于获取加密的超文本传输安全协议请求的传输层客户端握手包;解析单元,用于解析所述传输层客户端握手包,得到服务器名称指示以及客户端字段特征;确定单元,用于确定所述服务器名称指示下的传输层指纹特征所对应的访问请求,所述传输层指纹特征根据所述客户端字段特征生成;检测单元,用于基于传输层指纹特征所对应的访问请求,检测传输层指...
【专利技术属性】
技术研发人员:朱利军,
申请(专利权)人:北京百度网讯科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。