[發(fā)明專利]攻擊檢測方法和裝置有效
| 申請?zhí)枺?/td> | 201611261989.7 | 申請日: | 2016-12-31 |
| 公開(公告)號: | CN106778260B | 公開(公告)日: | 2020-03-17 |
| 發(fā)明(設(shè)計(jì))人: | 王遠(yuǎn)濤;喻立久 | 申請(專利權(quán))人: | 阿里巴巴(中國)有限公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55 |
| 代理公司: | 北京東方億思知識產(chǎn)權(quán)代理有限責(zé)任公司 11258 | 代理人: | 賀琳 |
| 地址: | 310012 浙江省杭州市西*** | 國省代碼: | 浙江;33 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 攻擊 檢測 方法 裝置 | ||
1.一種攻擊檢測方法,包括:
獲取訪問請求中的用戶標(biāo)識和統(tǒng)一資源定位符URL;
確定所述URL歸屬的預(yù)設(shè)URL分組的分組標(biāo)識;
構(gòu)建一條包含所述用戶標(biāo)識和所述分組標(biāo)識的訪問行為描述信息;
若預(yù)設(shè)時長內(nèi)包含相同用戶標(biāo)識和分組標(biāo)識的相同訪問行為描述信息的數(shù)量大于預(yù)設(shè)閾值,則確定檢測到攻擊;
其中,所述若預(yù)設(shè)時長內(nèi)包含相同用戶標(biāo)識和分組標(biāo)識的相同訪問行為描述信息的數(shù)量大于預(yù)設(shè)閾值,則確定檢測到攻擊之前,所述方法還包括:
確定構(gòu)建的所述訪問行為描述信息不在訪問行為白名單中;和/或,
確定所述用戶標(biāo)識不在攻擊者名單中;
其中,若所述用戶標(biāo)識不在所述攻擊者名單中,所述方法還包括:
將構(gòu)建的所述訪問行為描述信息提交到預(yù)置分析隊(duì)列中;
所述若預(yù)設(shè)時長內(nèi)包含相同用戶標(biāo)識和分組標(biāo)識的相同訪問行為描述信息的數(shù)量大于預(yù)設(shè)閾值,則確定檢測到攻擊,具體包括:
采用獨(dú)立的線程處理所述預(yù)置分析隊(duì)列,并若預(yù)設(shè)時長內(nèi)包含相同用戶標(biāo)識和分組標(biāo)識的相同訪問行為描述信息的數(shù)量大于預(yù)設(shè)閾值,則確定檢測到攻擊。
2.根據(jù)權(quán)利要求1所述的方法,所述方法還包括:
判斷所述預(yù)置分析隊(duì)列中的訪問行為描述信息總量是否達(dá)到指定總量;
若是,則丟棄構(gòu)建的所述訪問行為描述信息;
若否,則將構(gòu)建的所述訪問行為描述信息提交到預(yù)置分析隊(duì)列中。
3.根據(jù)權(quán)利要求1所述的方法,所述采用獨(dú)立的線程處理所述預(yù)置分析隊(duì)列,并若預(yù)設(shè)時長內(nèi)包含相同用戶標(biāo)識和分組標(biāo)識的相同訪問行為描述信息的數(shù)量大于預(yù)設(shè)閾值,則確定檢測到攻擊,具體包括:
采用獨(dú)立的線程從所述預(yù)置分析隊(duì)列中獲取構(gòu)建的所述訪問行為描述信息;并,
采用原子操作的方式將分布式內(nèi)存緩存中記錄的包含相同用戶標(biāo)識和分組標(biāo)識的相同訪問行為描述信息的數(shù)量累加1,并獲取累加結(jié)果;
若在預(yù)設(shè)時長內(nèi)所述累加結(jié)果大于所述預(yù)設(shè)閾值,則確定檢測到攻擊。
4.根據(jù)權(quán)利要求3所述的方法,所述獲取訪問請求中的用戶標(biāo)識和統(tǒng)一資源定位符URL之前,所述方法還包括:
確定自動熔斷開關(guān)處于關(guān)閉狀態(tài),所述自動熔斷開關(guān)處于關(guān)閉狀態(tài)時用于進(jìn)行攻擊檢測;所述方法還包括:
若第一指定時長內(nèi)未獲取到累加結(jié)果的次數(shù)超過第一預(yù)設(shè)次數(shù),則配置所述自動熔斷開關(guān)處于打開狀態(tài),所述自動熔斷開關(guān)處于打開狀態(tài)時用于暫停攻擊檢測。
5.根據(jù)權(quán)利要求1-4中任一所述的方法,所述確定構(gòu)建的所述訪問行為描述信息不在訪問行為白名單中,具體包括:
確定構(gòu)建的所述訪問行為描述信息不在分布式內(nèi)存緩存中存儲的訪問行為白名單中;
所述確定所述用戶標(biāo)識不在攻擊者名單中,具體包括:
確定所述用戶標(biāo)識不在分布式內(nèi)存緩存中存儲的攻擊者名單中。
6.根據(jù)權(quán)利要求5所述的方法,所述獲取訪問請求中的用戶標(biāo)識和統(tǒng)一資源定位符URL之前,所述方法還包括:
確定自動熔斷開關(guān)處于關(guān)閉狀態(tài),所述自動熔斷開關(guān)處于關(guān)閉狀態(tài)時用于進(jìn)行攻擊檢測;
所述方法還包括:
若第二指定時長內(nèi)確定訪問行為描述信息是否在訪問行為白名單中的操作和/或確定用戶標(biāo)識是否在攻擊者名單中的操作的超時的總次數(shù)超過第二預(yù)設(shè)次數(shù),則配置所述自動熔斷開關(guān)處于打開狀態(tài),所述自動熔斷開關(guān)處于打開狀態(tài)時用于暫停攻擊檢測。
7.根據(jù)權(quán)利要求1所述的方法,若預(yù)設(shè)時長內(nèi)包含相同用戶標(biāo)識和分組標(biāo)識的相同訪問行為描述信息的數(shù)量大于預(yù)設(shè)閾值,所述方法還包括:
若確定所述用戶標(biāo)識不在所述攻擊者名單中,則將所述用戶標(biāo)識添加到所述攻擊者名單中。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于阿里巴巴(中國)有限公司,未經(jīng)阿里巴巴(中國)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611261989.7/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
- 一種基于FPGA的網(wǎng)絡(luò)行為攻擊方法與裝置
- 一種網(wǎng)絡(luò)攻擊防御方法與裝置
- 一種防火墻攻擊防御方法
- 一種網(wǎng)絡(luò)行為攻擊裝置
- 一種網(wǎng)絡(luò)行為攻擊方法
- 一種網(wǎng)絡(luò)攻擊路線還原方法及系統(tǒng)
- 滲透攻擊評價(jià)方法和裝置、以及電子設(shè)備和可讀存儲介質(zhì)
- 一種攻擊檢測方法、裝置、電子設(shè)備及存儲介質(zhì)
- 一種基于攻擊者特性指標(biāo)的網(wǎng)絡(luò)攻擊路徑預(yù)測方法
- APT攻擊事件溯源分析方法、裝置和計(jì)算機(jī)可讀介質(zhì)
