執(zhí)行拒絕服務攻擊的服務器的掃描方法和掃描裝置制造方法
【專利摘要】本發(fā)明提供了一種執(zhí)行拒絕服務攻擊的服務器的掃描方法和掃描裝置���。其中執(zhí)行拒絕服務攻擊的服務器的掃描方法包括以下步驟:獲取并解析網(wǎng)站訪問請求;判斷解析出的請求中是否包括拒絕服務攻擊行為����;若是,對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描��,以確定服務器中是否包含與已知惡意特征匹配的文件�����。利用本發(fā)明的技術(shù)方案����,動態(tài)獲取執(zhí)行拒絕服務攻擊的服務器的攻擊行為,實現(xiàn)了服務器中惡意文件的動態(tài)行為分析����,然后對服務器中的文件利用已知的特征庫文件對服務器進行遍歷掃描����,以實現(xiàn)服務器的靜態(tài)掃描���。從而結(jié)合了動態(tài)行為分析和文件靜態(tài)掃描���,實現(xiàn)了對拒絕服務攻擊的精確查殺,提高了網(wǎng)絡的安全性��。
【專利說明】執(zhí)行拒絕服務攻擊的服務器的掃描方法和掃描裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)�,特別是涉及一種執(zhí)行拒絕服務攻擊的服務器的掃描方法和掃描裝置。
【背景技術(shù)】
[0002]拒絕服務攻擊(Denial of Service,簡稱Dos攻擊)即攻擊者想辦法讓目標機器停止提供服務或資源訪問�,是黑客常用的攻擊手段之一。利用大量超出攻擊目標的響應能力的請求消耗大量攻擊目標的資源���,這些資源包括磁盤空間�����、內(nèi)存��、進程甚至網(wǎng)絡帶寬��,從而阻止正常用戶的訪問��。嚴重時可以使某些服務被暫停甚至主機死機�����。
[0003]作為拒絕服務攻擊的一種��,CC攻擊(Challenge Collapsar�,挑戰(zhàn)黑洞攻擊),是利用不斷對網(wǎng)站發(fā)送連接請求致使形成拒絕服務的目的的一種惡意攻擊手段����。其原理為模擬多個用戶不停地進行訪問那些需要大量數(shù)據(jù)操作的頁面����,造成目標主機服務器資源耗盡,一直到宕機崩潰���。
[0004]由于服務器自身的強大性能�,其作為拒絕服務攻擊的攻擊源(S卩服務器肉雞)帶來的破壞性遠大于一般肉雞���。針對服務器進行拒絕服務攻擊的尚無有效的查殺方法�����。
【發(fā)明內(nèi)容】
[0005]鑒于上述問題���,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的執(zhí)行拒絕服務攻擊的服務器的掃描裝置和相應的執(zhí)行拒絕服務攻擊的服務器的掃描方法��。本發(fā)明一個進一步的目的是要使得提供一種針對服務器進行執(zhí)行拒絕服務攻擊的查殺方法����,保證網(wǎng)絡安全性����。
[0006]依據(jù)本發(fā)明的一個方面,提供了一種執(zhí)行拒絕服務攻擊的服務器的掃描方法��。該執(zhí)行拒絕服務攻擊的服務器的掃描方法�,包括以下步驟:獲取并解析網(wǎng)站訪問請求;判斷解析出的請求中是否包括拒絕服務攻擊行為���;若是����,對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描�����,以確定服務器中是否包含與已知惡意特征匹配的文件。
[0007]可選地��,獲取并解析網(wǎng)站訪問請求包括:獲取網(wǎng)頁應用防護系統(tǒng)的運行日志文件�;從運行日志文件中提取出網(wǎng)站訪問請求,并進行解析���。
[0008]可選地�����,判斷解析出的請求中是否包括拒絕服務攻擊行為包括:檢查解析出的請求中是否包含有目標IP���、目標端口以及攻擊次數(shù);若是�,確定解析出的請求中包括拒絕服務攻擊行為��。
[0009]可選地�����,對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描包括:由安裝在服務器上的客戶端對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描����,其中客戶端中預置有已知惡意特征��。
[0010]可選地�,在對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描之后還包括:輸出包含與已知惡意特征匹配的文件的信息�����,并提供對文件的處理選項���。
[0011]可選地����,在對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描之后還包括:上傳與已知惡意特征匹配的文件�,作為提取惡意特征的樣本。[0012]根據(jù)本發(fā)明的另一個方面����,還提供了一種執(zhí)行拒絕服務攻擊的服務器的掃描裝置。該執(zhí)行拒絕服務攻擊的服務器的掃描裝置包括:獲取模塊�����,用于獲取并解析網(wǎng)站訪問請求;判斷模塊�����,用于判斷解析出的請求中是否包括拒絕服務攻擊行為�;文件掃描模塊,用于在判斷模塊的判斷結(jié)果為是的情況下�����,對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描���,以確定服務器中是否包含與已知惡意特征匹配的文件�����。
[0013]可選地���,獲取模塊被配置為:獲取網(wǎng)頁應用防護系統(tǒng)的運行日志文件;從運行日志文件中提取出網(wǎng)站訪問請求���,并進行解析。
[0014]可選地���,判斷模塊被配置為:檢查解析出的請求中是否包含有目標IP�����、目標端口以及攻擊次數(shù)���;若是�����,確定解析出的請求中包括拒絕服務攻擊行為���。
[0015]可選地,文件掃描模塊被配置為:由安裝在服務器上的客戶端對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描�����,其中客戶端中預置有已知惡意特征����。
[0016]可選地,該執(zhí)行拒絕服務攻擊的服務器的掃描裝置還包括:信息輸出模塊�,用于輸出包含與已知惡意特征匹配的文件的信息,并提供對文件的處理選項��。
[0017]可選地,該執(zhí)行拒絕服務攻擊的服務器的掃描裝置還包括:樣本分析模塊�,用于上傳與已知惡意特征匹配的文件,作為提取惡意特征的樣本��。
[0018]本發(fā)明的執(zhí)行拒絕服務攻擊的服務器的掃描方法和掃描裝置�����,動態(tài)獲取執(zhí)行拒絕服務攻擊的服務器的攻擊行為���,實現(xiàn)了服務器中惡意文件的動態(tài)行為分析�,然后對服務器中的文件利用已知的特征庫文件對服務器進行遍歷掃描����,以實現(xiàn)服務器的靜態(tài)掃描。從而結(jié)合了動態(tài)行為分析和文件靜態(tài)掃描�����,實現(xiàn)了對拒絕服務攻擊的精確查殺���,提高了網(wǎng)絡的安全性��。
[0019]進一步地����,利用網(wǎng)頁應用防護系統(tǒng)獲取訪問請求并進行攻擊源識別���,而且用于對服務器文件進行遍歷掃描的惡意特征經(jīng)過大數(shù)據(jù)的分析積累�,提高了動態(tài)分析和靜態(tài)文件掃描的準確性����。
[0020]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段�����,而可依照說明書的內(nèi)容予以實施�����,并且為了讓本發(fā)明的上述和其它目的�、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的【具體實施方式】���。
[0021]根據(jù)下文結(jié)合附圖對本發(fā)明具體實施例的詳細描述���,本領(lǐng)域技術(shù)人員將會更加明了本發(fā)明的上述以及其他目的���、優(yōu)點和特征。
【專利附圖】
【附圖說明】
[0022]通過閱讀下文優(yōu)選實施方式的詳細描述��,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了�����。附圖僅用于示出優(yōu)選實施方式的目的�,而并不認為是對本發(fā)明的限制。而且在整個附圖中�,用相同的參考符號表示相同的部件。在附圖中:
[0023]圖1是根據(jù)本發(fā)明一個實施例的執(zhí)行拒絕服務攻擊的服務器的掃描裝置200的網(wǎng)絡應用環(huán)境的示意圖�;
[0024]圖2是根據(jù)本發(fā)明一個實施例的執(zhí)行拒絕服務攻擊的服務器的掃描裝置200的示意圖;以及
[0025]圖3是根據(jù)本發(fā)明一個實施例的執(zhí)行拒絕服務攻擊的服務器的方法的示意圖�����?����!揪唧w實施方式】
[0026]在此提供的算法和顯示不與任何特定計算機��、虛擬系統(tǒng)或者其它設備固有相關(guān)����。各種通用系統(tǒng)也可以與基于在此的示教一起使用���。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的���。此外,本發(fā)明也不針對任何特定編程語言��。應當明白����,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式���。
[0027]現(xiàn)有技術(shù)中對木馬和病毒查殺方式一般存在兩種�����,一種是提供一種按照安全策略限制程序行為的執(zhí)行環(huán)境����,監(jiān)控程序?qū)ο到y(tǒng)或資源的調(diào)用情況確定是否存在程序中是否存在惡意行為��,一般可以稱之為動態(tài)行為查殺;另一種是將文件或程序與預先確定的病毒庫的特征碼進行比較����,以判斷是否惡意文件。
[0028]以上兩種查殺方式對拒絕服務攻擊的效果有限��,這是因為首先進行拒絕服務攻擊的過程發(fā)出的訪問請求與一般請求的差異較小�����,而且很難構(gòu)造出能夠觸發(fā)拒絕服務攻擊的運行環(huán)境���。而且在大量的服務器中利用特征查殺方式找出惡意文件效率低�����,而且容易忽略變異的惡意腳本����。
[0029]針對以上問題���,本發(fā)明實施例借助于網(wǎng)頁應用防護系統(tǒng)(Web ApplicationFirewall��,簡稱WAF)分析積累的大量訪問請求數(shù)據(jù)����,結(jié)合了動態(tài)行為分析和文件靜態(tài)掃描�����,實現(xiàn)了對拒絕服務攻擊的精確查殺���,提高了網(wǎng)絡的安全性。
[0030]圖1是根據(jù)本發(fā)明一個實施例的執(zhí)行拒絕服務攻擊的服務器的掃描裝置200的網(wǎng)絡應用環(huán)境的示意圖�,網(wǎng)頁客戶端Iio訪問目標網(wǎng)站時����,經(jīng)過域名解析系統(tǒng)DNS的解析���,將輸入的域名解析為網(wǎng)頁防護系統(tǒng)分布在各地機房的節(jié)點服務器120對應的地址����,節(jié)點服務器120通過互聯(lián)網(wǎng)向目標網(wǎng)站的主機140發(fā)出訪問請求���,在目標主機140之前設置了網(wǎng)頁應用防護系統(tǒng)130 (Web Application Firewall,簡稱WAF),向目標主機140發(fā)出的訪問請求必須經(jīng)過WAF130才能到達目標主機140��,WAF130作為網(wǎng)站防火防火墻,提供網(wǎng)站的加速和緩存服務�,可防止黑客利用跨站注入等漏洞對網(wǎng)站進行入侵�,保護網(wǎng)站不被篡改和入侵,提高網(wǎng)站主機的安全性��。本發(fā)明實施例的執(zhí)行拒絕服務攻擊的服務器的掃描裝置與多個WAF130數(shù)據(jù)連接,根據(jù)WAF130收到的向目標主機140發(fā)送的訪問請求識別出拒絕服務攻擊�,并確定出執(zhí)行拒絕服務攻擊的服務器,以對該服務器進行特征掃描�����,從根本上清除惡意文件。
[0031]圖2是根據(jù)本發(fā)明一個實施例的執(zhí)行拒絕服務攻擊的服務器的掃描裝置200的示意圖�����。該拒絕服務攻擊的服務器的掃描裝置200 —般性地可包括:獲取模塊210�����、判斷模塊220�、文件掃描模塊230。在一些優(yōu)化方案中���,該拒絕服務攻擊的服務器的掃描裝置200還可以增加設置有信息輸出模塊240和樣本分析模塊250�。
[0032]在以上部件中����,獲取模塊210用于獲取并解析網(wǎng)站訪問請求��;判斷模塊220用于判斷解析出的請求中是否包括拒絕服務攻擊行為����;在判斷模塊的判斷結(jié)果為是的情況下文件掃描模塊230用于對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描����,以確定服務器中是否包含與已知惡意特征匹配的文件。
[0033]其中�����,獲取模塊210被配置為:獲取網(wǎng)頁應用防護系統(tǒng)的運行日志文件��;從運行日志文件中提取出網(wǎng)站訪問請求,并進行解析�����。一般運行日志文件中均記錄了請求源的ip地址�����、請求的目標主機的統(tǒng)一資源定位符(Universal Resource Locator,簡稱URL)、請求次數(shù)�����、請求端口等內(nèi)容�。
[0034]判斷模塊220根據(jù)對運行日志文件的解析結(jié)果進行分析����,如果發(fā)現(xiàn)有大量的有規(guī)律的數(shù)據(jù),而且檢查解析出的請求中是否包含有目標IP、目標端口以及攻擊次數(shù)等參數(shù)�,可以確定發(fā)出該請求的客戶端存在惡意文件需要進行拒絕服務攻擊的文件掃描。
[0035]文件掃描模塊230被配置為:由安裝在服務器上的客戶端對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描����,其中客戶端中預置有已知惡意特征����。以上預置惡意特征可以通過對判斷模塊220中確定出的目標IP���、目標端口以及攻擊次數(shù)等參數(shù)進行建模得到�����。而且惡意特征數(shù)據(jù)庫可以根據(jù)攻擊的變化進行更新并下發(fā)至各客戶端,以保證識別惡意文件的準確性��。
[0036]在文件掃描模塊230確定出帶有拒絕服務攻擊惡意腳本或程序的文件后�,可以由信息輸出模塊240輸出包含與已知惡意特征匹配的文件的信息����,并提供對文件的處理選項。服務器管理員可根據(jù)信息輸出模塊240輸出的信息����,對惡意文件進行處理�,或者賦予文件掃描模塊230修改或刪除文件的權(quán)限,自動進行處理���。另外本實施例的執(zhí)行拒絕服務攻擊的服務器的掃描裝置200還可以使用樣本分析模塊250上傳與已知惡意特征匹配的文件�����,作為提取惡意特征的樣本����,與請求記錄文件中的數(shù)據(jù)進行比對���,以進一步優(yōu)化惡意特征數(shù)據(jù)庫。
[0037]本發(fā)明實施例還提供了一種執(zhí)行拒絕服務攻擊的服務器的掃描方法��。該執(zhí)行拒絕服務攻擊的服務器的掃描方法可以由以上介紹的任一種掃描裝置200執(zhí)行,以實現(xiàn)對拒絕服務攻擊的精確查殺�。圖3是根據(jù)本發(fā)明一個實施例的執(zhí)行拒絕服務攻擊的服務器的方法的示意圖。該執(zhí)行拒絕服務攻擊的服務器的方法包括以下步驟:
[0038]步驟S302��,獲取并解析網(wǎng)站訪問請求���;
[0039]步驟S304�,判斷解析出的請求中是否包括拒絕服務攻擊行為�;
[0040]步驟S306,若步驟S304的判斷結(jié)果為是���,對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描,以確定服務器中是否包含與已知惡意特征匹配的文件����。
[0041]步驟S302可以網(wǎng)頁應用防護系統(tǒng)的運行日志文件中的數(shù)據(jù)獲取訪問請求,例如可以獲取網(wǎng)頁應用防護系統(tǒng)的運行日志文件�;從運行日志文件中提取出網(wǎng)站訪問請求,并進行解析�。
[0042]步驟S304可以檢查解析出的請求中是否包含有目標IP、目標端口以及攻擊次數(shù)���;若是�,確定解析出的請求中包括拒絕服務攻擊行為。
[0043]步驟S306可由安裝在服務器上的客戶端對發(fā)出網(wǎng)站訪問請求的服務器進行文件掃描��,其中客戶端中預置有已知惡意特征�����。在步驟S306掃描出惡意文件或者惡意腳本后���,可以輸出包含與已知惡意特征匹配的文件的信息����,并提供對文件的處理選項����,并且上傳與已知惡意特征匹配的文件,作為提取惡意特征的樣本�。在網(wǎng)站管理員開放文件處理權(quán)限時,可以在掃描出惡意腳本后自動進行處理���。
[0044]—般拒絕服務攻擊的惡意腳本中�,必然包括攻擊目標地址����、攻擊目標端口�、攻擊次數(shù)����,有些惡意腳本中可能還會包括有啟動密碼、啟動條件等內(nèi)容�。在確定出惡意腳本后,可以將這些內(nèi)容進行建模��,用于對惡意特征數(shù)據(jù)庫的更新��。
[0045]本實施例的執(zhí)行拒絕服務攻擊的服務器的方法通過網(wǎng)頁應用防護系統(tǒng)的大數(shù)據(jù)分析積累����、生成了用于識別進行拒絕服務攻擊的惡意腳本的特征庫,在服務器中安裝有包含以上特征庫的客戶端后����,該客戶端可以根據(jù)特征庫內(nèi)容遍歷網(wǎng)站文件��,當發(fā)現(xiàn)到可疑文件時�,將文件路徑回傳至執(zhí)行拒絕服務攻擊的服務器的掃描裝置200以利用大數(shù)據(jù)分析技術(shù),實時分析針對可疑文件的訪問請求�。當發(fā)現(xiàn)有訪問請求或者歷史記錄的訪問請求與可疑文件的攻擊特征一致時,確定當前掃描的服務器已經(jīng)被黑客利用����,通過回傳數(shù)據(jù)分析結(jié)果通知用戶�����,誰�����、什么時候���、訪問過這個惡意文件,定位黑客的行為��,以消除拒絕服務攻擊對網(wǎng)絡安全的危害��。
[0046]以下對實用本發(fā)明實施例的執(zhí)行拒絕服務攻擊的服務器的掃描方法進行進一步分析��。
[0047]首先服務器中安裝的查殺客戶端對服務器中的文件進行遍歷掃描�����,確定服務器中是否存在與惡意特征匹配的文件�����,其中查殺客戶端所按照的惡意特征數(shù)據(jù)庫是利用對大量網(wǎng)站請求數(shù)據(jù)總結(jié)得出的數(shù)據(jù)生成的。
[0048]如果發(fā)現(xiàn)了與惡意特征匹配的文件�����,向執(zhí)行拒絕服務攻擊的服務器的掃描裝置上傳該文件�,將該文件中參數(shù)與掃描裝置獲取的網(wǎng)站請求數(shù)據(jù)進行對比,判斷是否實際存在與文件中內(nèi)容對應的拒絕服務攻擊請求�����。以上文件內(nèi)容可能包括有地址�、端口、次數(shù)等參數(shù)���。掃描裝置獲取的網(wǎng)站請求數(shù)據(jù)可以從網(wǎng)頁應用防護系統(tǒng)的實時數(shù)據(jù)和歷史數(shù)據(jù)中得至IJ�����,如果確實按照文件的內(nèi)容�,產(chǎn)生了對應的大量訪問請求�����,則可以確定該惡意腳本已經(jīng)產(chǎn)生了攻擊行為����。
[0049]執(zhí)行拒絕服務攻擊的服務器的掃描裝置可以向感染該文件的服務器通知文件信息,以及時進行處理����,并通過獲取該文件的訪問記錄確定黑客的信息,為進一步追蹤黑客提供了數(shù)據(jù)����。
[0050]本發(fā)明實施例的執(zhí)行拒絕服務攻擊的服務器的掃描方法和掃描裝置,動態(tài)獲取執(zhí)行拒絕服務攻擊的服務器的攻擊行為�����,實現(xiàn)了服務器中惡意文件的動態(tài)行為分析����,然后對服務器中的文件利用已知的特征庫文件對服務器進行遍歷掃描,以實現(xiàn)服務器的靜態(tài)掃描�����。從而結(jié)合了動態(tài)行為分析和文件靜態(tài)掃描��,實現(xiàn)了對拒絕服務攻擊的精確查殺,提高了網(wǎng)絡的安全性�。
[0051]進一步地,利用網(wǎng)頁應用防護系統(tǒng)獲取訪問請求并進行攻擊源識別�����,而且用于對服務器文件進行遍歷掃描的惡意特征經(jīng)過大數(shù)據(jù)的分析積累��,提高了動態(tài)分析和靜態(tài)文件掃描的準確性�。
[0052]本發(fā)明的實施例公開了:
[0053]Al.一種執(zhí)行拒絕服務攻擊的服務器的掃描方法,包括:
[0054]獲取并解析網(wǎng)站訪問請求;
[0055]判斷解析出的請求中是否包括拒絕服務攻擊行為��;
[0056]若是��,對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描�,以確定所述服務器中是否包含與已知惡意特征匹配的文件。
[0057]A2.根據(jù)Al所述的方法�,其中,獲取并解析網(wǎng)站訪問請求包括:
[0058]獲取網(wǎng)頁應用防護系統(tǒng)的運行日志文件����;
[0059]從所述運行日志文件中提取出所述網(wǎng)站訪問請求,并進行解析����。
[0060]A3.根據(jù)Al所述的方法����,其中�,判斷解析出的請求中是否包括拒絕服務攻擊行為包括:[0061]檢查解析出的請求中是否包含有目標IP�����、目標端口以及攻擊次數(shù)�;
[0062]若是,確定解析出的請求中包括拒絕服務攻擊行為�。
[0063]A4.根據(jù)Al所述的方法,其中����,對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描包括:
[0064]由安裝在所述服務器上的客戶端對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描,其中所述客戶端中預置有所述已知惡意特征�����。
[0065]A5.根據(jù)Al至A4中任一項所述的方法���,其中���,在對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描之后還包括:
[0066]輸出包含與已知惡意特征匹配的文件的信息,并提供對所述文件的處理選項。
[0067]A6.根據(jù)A5所述的方法�,其中,在對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描之后還包括:
[0068]上傳所述與已知惡意特征匹配的文件�,作為提取所述惡意特征的樣本。
[0069]B7.一種執(zhí)行拒絕服務攻擊的服務器的掃描裝置����,包括:
[0070]獲取模塊,用于獲取并解析網(wǎng)站訪問請求���;
[0071]判斷模塊�����,用于判斷解析出的請求中是否包括拒絕服務攻擊行為����;
[0072]文件掃描模塊��,用于在所述判斷模塊的判斷結(jié)果為是的情況下�,對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描,以確定所述服務器中是否包含與已知惡意特征匹配的文件����。
[0073]B8.根據(jù)B7所述的裝置����,其中���,所述獲取模塊被配置為:
[0074]獲取網(wǎng)頁應用防護系統(tǒng)的運行日志文件;從所述運行日志文件中提取出所述網(wǎng)站訪問請求�,并進行解析。
[0075]B9.根據(jù)B7所述的裝置���,其中�,所述判斷模塊被配置為:
[0076]檢查解析出的請求中是否包含有目標IP�、目標端口以及攻擊次數(shù);若是��,確定解析出的請求中包括拒絕服務攻擊行為����。
[0077]B10.根據(jù)B7所述的裝置,其中�����,所述文件掃描模塊被配置為:
[0078]由安裝在所述服務器上的客戶端對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描,其中所述客戶端中預置有所述已知惡意特征�����。
[0079]Bll.根據(jù)B7至BlO中任一項所述的裝置����,還包括:
[0080]信息輸出模塊,用于輸出包含與已知惡意特征匹配的文件的信息�,并提供對所述文件的處理選項。
[0081]B12.根據(jù)Bll所述的裝置����,還包括:
[0082]樣本分析模塊,用于上傳所述與已知惡意特征匹配的文件�����,作為提取所述惡意特征的樣本��。
[0083]在此處所提供的說明書中�,說明了大量具體細節(jié)。然而�����,能夠理解����,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐��。在一些實例中�,并未詳細示出公知的方法�、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解����。
[0084]類似地�,應當理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個��,在上面對本發(fā)明的示例性實施例的描述中���,本發(fā)明的各個特征有時被一起分組到單個實施例����、圖���、或者對其的描述中����。然而,并不應將該公開的方法解釋成反映如下意圖:即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征��。更確切地說�,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征���。因此�,遵循【具體實施方式】的權(quán)利要求書由此明確地并入該【具體實施方式】�,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。
[0085]本領(lǐng)域那些技術(shù)人員可以理解�����,可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中���??梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件�,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外���,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求����、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述�����,本說明書(包括伴隨的權(quán)利要求�、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替���。
[0086]此外��,本領(lǐng)域的技術(shù)人員能夠理解����,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征���,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如�����,在權(quán)利要求書中�,所要求保護的實施例的任意之一都可以以任意的組合方式來使用。
[0087]本發(fā)明的各個部件實施例可以以硬件實現(xiàn)�����,或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn),或者以它們的組合實現(xiàn)��。本領(lǐng)域的技術(shù)人員應當理解�,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP )來實現(xiàn)根據(jù)本發(fā)明實施例的執(zhí)行拒絕服務攻擊的服務器的掃描裝置中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設備或者裝置程序(例如��,計算機程序和計算機程序產(chǎn)品)��。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上�����,或者可以具有一個或者多個信號的形式��。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到�,或者在載體信號上提供,或者以任何其他形式提供�����。
[0088]應該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制�,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設計出替換實施例。在權(quán)利要求中,不應將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制����。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件��。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現(xiàn)�����。在列舉了若干裝置的單元權(quán)利要求中����,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一���、第二����、以及第三等的使用不表示任何順序�?����?蓪⑦@些單詞解釋為名稱。
[0089]至此�,本領(lǐng)域技術(shù)人員應認識到,雖然本文已詳盡示出和描述了本發(fā)明的多個示例性實施例��,但是����,在不脫離本發(fā)明精神和范圍的情況下,仍可根據(jù)本發(fā)明公開的內(nèi)容直接確定或推導出符合本發(fā)明原理的許多其他變型或修改�����。因此���,本發(fā)明的范圍應被理解和認定為覆蓋了所有這些其他變型或修改����。
【權(quán)利要求】
1.一種執(zhí)行拒絕服務攻擊的服務器的掃描方法,包括: 獲取并解析網(wǎng)站訪問請求�; 判斷解析出的請求中是否包括拒絕服務攻擊行為; 若是���,對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描���,以確定所述服務器中是否包含與已知惡意特征匹配的文件。
2.根據(jù)權(quán)利要求1所述的方法,其中,獲取并解析網(wǎng)站訪問請求包括: 獲取網(wǎng)頁應用防護系統(tǒng)的運行日志文件���; 從所述運行日志文件中提取出所述網(wǎng)站訪問請求�,并進行解析����。
3.根據(jù)權(quán)利要求1所述的方法,其中��,判斷解析出的請求中是否包括拒絕服務攻擊行為包括: 檢查解析出的請求中是否包含有目標IP�����、目標端口以及攻擊次數(shù)����; 若是,確定解析出的請求中包括拒絕服務攻擊行為����。
4.根據(jù)權(quán)利要求1所述的方法,其中�,對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描包括: 由安裝在所述服務器上的客戶端對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描����,其中所述客戶端中預置有所述已知惡意特征����。
5.根據(jù)權(quán)利要求1至4中任一項所述的方法��,其中�����,在對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描之后還包括: 輸出包含與已知惡意特征匹配的文件的信息�����,并提供對所述文件的處理選項�。
6.根據(jù)權(quán)利要求5所述的方法,其中��,在對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描之后還包括: 上傳所述與已知惡意特征匹配的文件�����,作為提取所述惡意特征的樣本�。
7.一種執(zhí)行拒絕服務攻擊的服務器的掃描裝置,包括: 獲取模塊����,用于獲取并解析網(wǎng)站訪問請求���; 判斷模塊,用于判斷解析出的請求中是否包括拒絕服務攻擊行為����; 文件掃描模塊,用于在所述判斷模塊的判斷結(jié)果為是的情況下���,對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描��,以確定所述服務器中是否包含與已知惡意特征匹配的文件���。
8.根據(jù)權(quán)利要求7所述的裝置,其中�,所述獲取模塊被配置為: 獲取網(wǎng)頁應用防護系統(tǒng)的運行日志文件;從所述運行日志文件中提取出所述網(wǎng)站訪問請求�,并進行解析。
9.根據(jù)權(quán)利要求7所述的裝置����,其中,所述判斷模塊被配置為: 檢查解析出的請求中是否包含有目標IP��、目標端口以及攻擊次數(shù)�;若是,確定解析出的請求中包括拒絕服務攻擊行為�。
10.根據(jù)權(quán)利要求7所述的裝置,其中����,所述文件掃描模塊被配置為: 由安裝在所述服務器上的客戶端對發(fā)出所述網(wǎng)站訪問請求的服務器進行文件掃描,其中所述客戶端中預置有所述已知惡意特征���。
【文檔編號】H04L29/06GK103701816SQ201310741787
【公開日】2014年4月2日 申請日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
【發(fā)明者】董方 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司