[發(fā)明專利]網(wǎng)絡(luò)攻擊處理方法、裝置、電子設(shè)備和介質(zhì)在審
| 申請?zhí)枺?/td> | 202210833617.6 | 申請日: | 2022-07-14 |
| 公開(公告)號: | CN115102781A | 公開(公告)日: | 2022-09-23 |
| 發(fā)明(設(shè)計)人: | 李岳昆;金華敏;汪來富;劉東鑫;常力元 | 申請(專利權(quán))人: | 中國電信股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京律智知識產(chǎn)權(quán)代理有限公司 11438 | 代理人: | 孫寶海 |
| 地址: | 100033 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 網(wǎng)絡(luò) 攻擊 處理 方法 裝置 電子設(shè)備 介質(zhì) | ||
1.一種網(wǎng)絡(luò)攻擊處理方法,其特征在于,包括:
基于滑動窗口機(jī)制進(jìn)行網(wǎng)絡(luò)流量預(yù)測,得到基于預(yù)測窗口的預(yù)測流量;
監(jiān)測到所述預(yù)測窗口的實際流量大于所述預(yù)測流量,并且所述實際流量與所述預(yù)測流量之間的差值大于參考流量,基于所述實際流量確定進(jìn)行HTTP Flood攻擊的可疑源IP;
對所述可疑源IP地址進(jìn)行攻擊性篩選,基于篩選結(jié)果確定所述網(wǎng)絡(luò)攻擊的攻擊源IP。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)攻擊處理方法,其特征在于,所述基于滑動窗口機(jī)制進(jìn)行網(wǎng)絡(luò)流量預(yù)測,得到基于預(yù)測窗口的預(yù)測流量包括:
統(tǒng)計所述預(yù)測窗口內(nèi)的網(wǎng)絡(luò)流量序列;
將所述預(yù)測窗口的網(wǎng)絡(luò)流量序列輸入流量趨勢預(yù)測模型,以由所述流量趨勢預(yù)測模型輸出針對所述預(yù)測窗口的趨勢預(yù)測值;
基于所述滑動窗口機(jī)制滑動所述預(yù)測窗口,直至滑動長度達(dá)到所述預(yù)測窗口的長度,以得到多個所述趨勢預(yù)測值,并基于多個所述趨勢預(yù)測值得到所述基于預(yù)測窗口的預(yù)測流量。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)攻擊處理方法,其特征在于,所述流量趨勢預(yù)測模型為EWMA預(yù)測模型,所述將所述預(yù)測窗口的網(wǎng)絡(luò)流量序列輸入流量趨勢預(yù)測模型,以由所述流量趨勢預(yù)測模型輸出針對所述預(yù)測窗口的趨勢預(yù)測值包括:
基于所述EWMA預(yù)測模型對所述網(wǎng)絡(luò)流量序列進(jìn)行趨勢預(yù)測,得到歷史趨勢預(yù)測值;
基于所述EWMA預(yù)測模型對所述歷史趨勢預(yù)測值和預(yù)測時刻的流量值進(jìn)行指數(shù)加權(quán)移動平均運算,得到所述趨勢預(yù)測值;其中,所述指數(shù)加權(quán)移動平均運算基于公式Vt=βVt-1+(1-β)θt執(zhí)行,t為所述預(yù)測時刻,θt為所述預(yù)測時刻t的流量值,β表示加權(quán)下降速率,Vt為針對t的趨勢預(yù)測值,Vt-1為所述歷史趨勢預(yù)測值。
4.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)攻擊處理方法,其特征在于,在監(jiān)測到所述預(yù)測窗口的實際流量大于所述預(yù)測流量之前,還包括:
所述實際流量包括實際趨勢值,將所述預(yù)測時刻的所述趨勢預(yù)測值和所述實際趨勢值進(jìn)行比較,在多個所述預(yù)測時刻的所述趨勢預(yù)測值均大于所述實際趨勢值,并且所述趨勢預(yù)測值和所述實際趨勢值之間的差值大于所述參考流量,確定所述實際流量與所述預(yù)測流量之間的差值大于所述參考流量。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)攻擊處理方法,其特征在于,所述基于所述實際流量確定進(jìn)行HTTP Flood攻擊的可疑源IP包括:
基于所述實際流量獲取對統(tǒng)一資源定位符URL進(jìn)行訪問的訪問請求;
提取所述訪問請求攜帶的訪問信息,所述訪問信息包括訪問源IP、用戶代理User_Agent和HTTP Referer中的至少一種;
對所述用戶代理和所述HTTP Referer進(jìn)行相似性檢測,以檢測是否屬于同一訪問源IP;
基于所述相似性檢測的結(jié)果統(tǒng)計每個所述訪問源IP訪問每個所述URL的訪問頻度;
將所述訪問頻度大于頻度閾值的所述訪問源IP確定為所述可疑源IP,并將所述可疑源IP放入可疑源列表。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)攻擊處理方法,其特征在于,所述對所述可疑源IP地址進(jìn)行攻擊性篩選,基于篩選結(jié)果確定所述網(wǎng)絡(luò)攻擊的攻擊源IP包括:
基于白名單清洗對所述可疑源列表進(jìn)行攻擊性篩選,以將不在所述白名單中的所述可疑源IP確定為待認(rèn)證IP;
對所述待認(rèn)證IP進(jìn)行重定向認(rèn)證,以將未認(rèn)證通過的所述待認(rèn)證IP確定為所述攻擊源IP,并加入黑名單。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)攻擊處理方法,其特征在于,所述基于白名單清洗對所述可疑源列表進(jìn)行攻擊性篩選,以將不在所述白名單中的所述可疑源IP確定為待認(rèn)證IP包括:
獲取所述可疑源IP發(fā)送的訪問請求中的所述用戶代理;
檢測所述用戶代理是否為對搜索引擎蜘蛛爬蟲的模仿操作;
若不是所述模仿操作,則將所述可疑源IP放入白名單;
若是所述模仿操作,則將所述可疑源IP確定為所述待認(rèn)證IP。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國電信股份有限公司,未經(jīng)中國電信股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210833617.6/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 網(wǎng)絡(luò)和網(wǎng)絡(luò)終端
- 網(wǎng)絡(luò)DNA
- 網(wǎng)絡(luò)地址自適應(yīng)系統(tǒng)和方法及應(yīng)用系統(tǒng)和方法
- 網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)至網(wǎng)絡(luò)橋接器
- 一種電力線網(wǎng)絡(luò)中根節(jié)點網(wǎng)絡(luò)協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡(luò)定位方法、存儲介質(zhì)及移動終端
- 網(wǎng)絡(luò)裝置、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)方法以及網(wǎng)絡(luò)程序
- 從重復(fù)網(wǎng)絡(luò)地址自動恢復(fù)的方法、網(wǎng)絡(luò)設(shè)備及其存儲介質(zhì)
- 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練方法、裝置及存儲介質(zhì)
- 網(wǎng)絡(luò)管理方法和裝置
