基于ip和host的攻擊檢測方法和裝置制造方法
【專利摘要】本發(fā)明公開了一種基于IP和HOST的攻擊檢測方法和裝置��,以及一種基于IP和HOST的攻擊攔截方法和裝置�。其中,基于IP和HOST的攻擊檢測方法包括如下步驟:獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包�,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST,其中���,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址�,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名;以及����,在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量;以及����,若所述第一數(shù)量達到預(yù)定閾值,則將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊�����。因此����,使用本發(fā)明的技術(shù)方案,不會誤攔截該特定IP對應(yīng)的單個主機或者局域網(wǎng)的部分主機對其余的HOST對應(yīng)的互聯(lián)網(wǎng)服務(wù)器進行網(wǎng)絡(luò)訪問所發(fā)出的網(wǎng)絡(luò)訪問數(shù)據(jù)包��。
【專利說明】基于IP和HOST的攻擊檢測方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�����,具體涉及一種基于IP和HOST的攻擊檢測方法和裝置���,以及一種基于IP和HOST的攻擊攔截方法和裝置��。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展����,網(wǎng)絡(luò)上的攻擊行為越來越多,給互聯(lián)網(wǎng)服務(wù)器帶來很多不利的影響���。其中DOS(Denial Of Service�,拒絕服務(wù))和信息炸彈是兩種比較常見的攻擊方法����。攻擊方的機器通過向目標機器發(fā)送大量的請求����,以消耗目標機器的系統(tǒng)資源和帶寬資源,導(dǎo)致目標服務(wù)器超負荷��,網(wǎng)絡(luò)擁塞�����,而影響網(wǎng)絡(luò)業(yè)務(wù)的正常使用����。
[0003]而目前大多互聯(lián)網(wǎng)服務(wù)器防攻擊手段都是基于IPdnternet Protocol�,網(wǎng)絡(luò)互連協(xié)議)地址進行攔截�,這種防御方案的粒度比較粗糙,無法實現(xiàn)針對某個IP對某個互聯(lián)網(wǎng)服務(wù)器的網(wǎng)絡(luò)訪問數(shù)據(jù)包進行針對性強的攔截��。
[0004]例如����,當(dāng)用戶因為感染木馬等原因,對部分特定的網(wǎng)絡(luò)服務(wù)器進行網(wǎng)絡(luò)攻擊��,而用戶本身��,對于其余的網(wǎng)絡(luò)服務(wù)器的網(wǎng)絡(luò)訪問屬于正常訪問����,此時采用上述基于IP的攔截手段,用戶對其余的網(wǎng)絡(luò)服務(wù)器的訪問也容易被誤認為是網(wǎng)絡(luò)攻擊而被網(wǎng)絡(luò)安全服務(wù)器所攔截����。
[0005]或者,現(xiàn)有技術(shù)中��,局域網(wǎng)內(nèi)多個用戶經(jīng)常會共享同樣的網(wǎng)關(guān)和出口 IP�,當(dāng)局域網(wǎng)內(nèi)部分用戶對特定的某些網(wǎng)絡(luò)服務(wù)器進行網(wǎng)絡(luò)攻擊時��,局域網(wǎng)內(nèi)其他用戶對其余的互聯(lián)網(wǎng)服務(wù)器進行的正常訪問�����,也會被攔截下來���。比較常見的一個場景是,某個局域網(wǎng)的部分用戶對一個互聯(lián)網(wǎng)服務(wù)器(例如���,域名為WWW.sina.com)發(fā)起攻擊時����,互聯(lián)網(wǎng)安全服務(wù)器對該局域網(wǎng)用戶的IP進行攔截�����,由于使用同樣的網(wǎng)關(guān)和出口 IP�����,局域網(wǎng)的其他用戶對其余的互聯(lián)網(wǎng)服務(wù)器(例如�,域名為WWW.sohu.com)的正常訪問請求也會被攔截下來���。
【發(fā)明內(nèi)容】
[0006]鑒于上述問題����,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種基于IP和HOST的攻擊檢測方法和裝置,以及一種基于IP和HOST的攻擊攔截方法和裝置����。
[0007]依據(jù)本發(fā)明的一個方面,提供了一種基于IP和HOST的攻擊檢測方法�,包括:獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST�����,其中��,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址�����,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名�;在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量;若所述第一數(shù)量達到預(yù)定閾值����,則將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊����。
[0008]其中��,所述從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST���,包括:從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息�����,從IP頭信息抓取IP字段����;以及����,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部,從http頭部抓取HOST頭域字段�����。
[0009]根據(jù)本發(fā)明的另一方面����,提供了一種基于IP和HOST的攻擊攔截方法,包括:獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包��,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST��,其中����,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名�����;在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量�����;若所述第一數(shù)量達到預(yù)定閾值�����,則將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊��;將所述IP和HOST加入IP-HOST黑名單���;根據(jù)所述IP-HOST黑名單對所述網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截���。
[0010]其中�,所述從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和H0ST���,包括:從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息���,從IP頭信息抓取IP字段;以及��,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部��,從http頭部抓取HOST頭域字段���。
[0011]其中����,所述根據(jù)所述IP-HOST黑名單對所述網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截���,包括以下步驟:S1���、獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP是否命中IP-HOST黑名單中記錄的IP ;若是則執(zhí)行步驟S2 ;S2����、獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的H0ST,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與所述網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若是則執(zhí)行步驟S3 ;S3���、攔截所述網(wǎng)絡(luò)訪問數(shù)據(jù)包�。
[0012]其中��,所述步驟SI和S2之間還包括以下步驟:S21�、判斷攔截規(guī)則是基于IP的攔截規(guī)則還是基于IP和HOST的攔截規(guī)則;若是基于IP的攔截規(guī)則����,則執(zhí)行所述步驟S3并且不執(zhí)行所述步驟S2,若是基于IP和HOST的攔截規(guī)則�����,則執(zhí)行所述步驟S2�。
[0013]其中,該方法還包括:在獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包之前��,讀取通過離線學(xué)習(xí)而得到的IP-HOST黑名單�。
[0014]根據(jù)本發(fā)明的另一方面�����,提供了一種基于IP和HOST的攻擊檢測裝置�,該裝置包括:解析單元�����,適于獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包��,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和H0ST�����,其中��,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址����,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名;統(tǒng)計單元���,適于在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量��;檢測單元�,適于在所述第一數(shù)量達到預(yù)定閾值時,將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊�。
[0015]其中,所述解析單元����,適于從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息�����,從IP頭信息抓取IP字段�;以及,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部�,從http頭部抓取HOST頭域字段。
[0016]根據(jù)本發(fā)明的另一方面���,提供了一種基于IP和HOST的攻擊攔截裝置����,該裝置包括:解析單元����,適于獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和H0ST��,其中,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址��,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名�����;統(tǒng)計單元����,適于在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量;檢測單元�����,適于在所述第一數(shù)量達到預(yù)定閾值時,將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊;維護單元���,適于將所述IP和HOST加入IP-HOST黑名單;攔截單元,適于根據(jù)所述IP-HOST黑名單對所述網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截��。
[0017]其中�����,所述解析單元�,適于從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息,從IP頭信息抓取IP字段���;以及�,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部�����,從http頭部抓取HOST頭域字段��。
[0018]其中�����,所述攔截單元�,適于獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP�,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP是否命中IP-HOST黑名單中記錄的IP,若判斷為是則獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的H0ST�����,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與所述網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若判斷為是則攔截所述網(wǎng)絡(luò)訪問數(shù)據(jù)包�����。
[0019]其中,所述攔截單元��,適于在判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP命中IP-HOST黑名單中記錄的IP時����,判斷攔截規(guī)則是基于IP的攔截規(guī)則還是基于IP和HOST的攔截規(guī)則;若是基于IP的攔截規(guī)則����,則攔截所述網(wǎng)絡(luò)訪問數(shù)據(jù)包,若是基于IP和HOST的攔截規(guī)則�,則獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與所述網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若判斷為是則攔截所述網(wǎng)絡(luò)訪問數(shù)據(jù)包�。
[0020]其中,所述維護單元���,進一步適于在獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包之前�����,讀取通過離線學(xué)習(xí)而得到的IP-HOST黑名單��。
[0021]根據(jù)本發(fā)明的基于IP和HOST的攻擊檢測方法和裝置以及基于IP和HOST的攻擊攔截方法和裝置���,可以通過解析網(wǎng)絡(luò)訪問數(shù)據(jù)包得到IP和H0ST��,在預(yù)定時間段內(nèi)統(tǒng)計得到的IP和HOST組����,得到在預(yù)定時間段內(nèi)特定的用戶(即特定IP對應(yīng)的主機或者局域網(wǎng))對特定的互聯(lián)網(wǎng)服務(wù)器(即特定HOST對應(yīng)的服務(wù)器)發(fā)出訪問請求的次數(shù)��,并且如果訪問請求的數(shù)目過大則認為該用戶對該互聯(lián)網(wǎng)服務(wù)器的網(wǎng)絡(luò)訪問是網(wǎng)絡(luò)攻擊�,從而攔截包含該IP和HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包。由此解決了使用現(xiàn)有技術(shù)的基于IP進行攔截所導(dǎo)致的容易誤攔截網(wǎng)絡(luò)用戶對其余互聯(lián)網(wǎng)服務(wù)器的正常訪問請求的技術(shù)問題���。
[0022]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段��,而可依照說明書的內(nèi)容予以實施�,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂�����,以下特舉本發(fā)明的【具體實施方式】����。
【專利附圖】
【附圖說明】
[0023]通過閱讀下文優(yōu)選實施方式的詳細描述,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的�����,而并不認為是對本發(fā)明的限制�。而且在整個附圖中,用相同的參考符號表示相同的部件���。在附圖中:
[0024]圖1示出了根據(jù)本發(fā)明一個實施例的基于IP和HOST的攻擊檢測方法的流程圖�����;
[0025]圖2示出了根據(jù)本發(fā)明一個實施例的基于IP和HOST的攻擊檢測裝置的框圖�;
[0026]圖3示出了根據(jù)本發(fā)明一個實施例的基于IP和HOST的攻擊攔截方法的流程圖�;
[0027]圖4示出了如圖3所示步驟S310、S320����,和S330的一個【具體實施方式】的詳細流程圖;
[0028]圖5示出了如圖3所示步驟S350的一個【具體實施方式】的詳細流程圖���;
[0029]圖6示出了如圖3所示步驟S350的另一個【具體實施方式】的詳細流程圖��;以及
[0030]圖7示出了根據(jù)本發(fā)明一個實施例的基于IP和HOST的攻擊攔截裝置的框圖�。
【具體實施方式】
[0031]下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例��,然而應(yīng)當(dāng)理解����,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反�,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整傳達給本領(lǐng)域的技術(shù)人員��。
[0032]本申請的技術(shù)構(gòu)思主要在于�����,通過從獲取的網(wǎng)絡(luò)訪問數(shù)據(jù)包解析得到IP和HOST����,在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量�,第一數(shù)量就是解析得到該IP和該HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的數(shù)目;如果第一數(shù)量達到預(yù)定的閾值�����,即該特定IP對應(yīng)的主機或者局域網(wǎng)對特定HOST對應(yīng)的互聯(lián)網(wǎng)服務(wù)器發(fā)出訪問請求的次數(shù)足夠大���,則能夠?qū)揑P和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊��。
[0033]進一步地�,如果第一數(shù)量達到預(yù)定的閾值,將上述IP和HOST加入IP-HOST黑名單��,實現(xiàn)了對黑名單的實時維護����,根據(jù)IP-HOST黑名單對接收到的網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截,從而準確地將網(wǎng)絡(luò)攻擊攔截��,而不會誤攔截該特定IP對應(yīng)的單個主機或者局域網(wǎng)的部分主機對其余的HOST對應(yīng)的互聯(lián)網(wǎng)服務(wù)器進行訪問的網(wǎng)絡(luò)訪問數(shù)據(jù)包��。
[0034]依據(jù)本申請的一個方面��,提供了一種基于IP和HOST的攻擊檢測方法���。圖1示出了根據(jù)本發(fā)明一個實施例的基于IP和HOST的攻擊檢測方法的流程圖��。其中����,如圖1所示的方法包括如下所述的步驟SI 10����、S120�����,和S130:
[0035]步驟S110�����、獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包�����,從網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST��。
[0036]其中���,IP為網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址,即發(fā)出網(wǎng)絡(luò)數(shù)據(jù)包的主機或者主機所在的局域網(wǎng)所對應(yīng)的IP地址�����,HOST為網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名����,即網(wǎng)絡(luò)數(shù)據(jù)包所需要訪問的互聯(lián)網(wǎng)服務(wù)器的域名。
[0037]則步驟SllO的從網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和H0ST�,包括:從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息,從IP頭信息抓取IP字段���;以及��,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部�����,從http頭部抓取HOST頭域字段���。
[0038]步驟S120、在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量�����。
[0039]其中���,第一數(shù)量就是在預(yù)定時間段內(nèi)解析得到該指定IP和該指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的數(shù)目�。
[0040]步驟S130���、若第一數(shù)量達到預(yù)定閾值�����,則將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊��。
[0041]即如果該特定IP對應(yīng)的主機或者局域網(wǎng)對特定HOST對應(yīng)的互聯(lián)網(wǎng)服務(wù)器發(fā)出訪問請求的次數(shù)足夠大�����,則能夠?qū)揑P和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊����。
[0042]本實施例的步驟SI 10、S120���,和S130�,分別與如圖3所示的步驟S310�、S320,以及S330相對應(yīng)����,更具體的實現(xiàn)方式,請參閱如下對圖3和圖4的說明�。
[0043]根據(jù)本申請的另外一個方面,提供了一種基于IP和HOST的攻擊檢測裝置。圖2示出了根據(jù)本發(fā)明一個實施例的基于IP和HOST的攻擊檢測裝置的框圖�����。其中���,如圖2所示的裝置,包括解析單元110�����、統(tǒng)計單元120�,以及檢測單元130。
[0044]其中����,解析單元110,適于獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包�,從網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST。
[0045]其中����,IP為網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址,即發(fā)出網(wǎng)絡(luò)數(shù)據(jù)包的主機或者主機所在的局域網(wǎng)所對應(yīng)的IP地址����,HOST為網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名���,即網(wǎng)絡(luò)數(shù)據(jù)包所需要訪問的互聯(lián)網(wǎng)服務(wù)器的域名。
[0046]則解析單元110�,適于從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息����,從IP頭信息抓取IP字段���;以及���,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部�����,從http頭部抓取HOST頭域字段。
[0047]統(tǒng)計單元120���,適于在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量��。
[0048]其中�,第一數(shù)量就是在預(yù)定時間段內(nèi)解析單元110解析得到該指定IP和該指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的數(shù)目�。
[0049]檢測單元130,適于在第一數(shù)量達到預(yù)定閾值時����,將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊�。
[0050]即如果統(tǒng)計單元120統(tǒng)計得到該特定IP對應(yīng)的主機或者局域網(wǎng)對特定HOST對應(yīng)的互聯(lián)網(wǎng)服務(wù)器發(fā)出訪問請求的次數(shù)足夠大,則能夠?qū)揑P和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊。
[0051]通過本申請的基于IP和HOST的攻擊檢測方法和裝置���,能夠檢測預(yù)定時間內(nèi)特定的用戶對特定的互聯(lián)網(wǎng)服務(wù)器發(fā)出訪問請求的次數(shù)����,如果訪問請求的數(shù)目過大則認為該用戶對該互聯(lián)網(wǎng)服務(wù)器的網(wǎng)絡(luò)訪問是網(wǎng)絡(luò)攻擊���,從而攔將包含該IP和HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包識別為網(wǎng)絡(luò)攻擊數(shù)據(jù)包。因此�����,不容易誤攔截該用戶對其余的互聯(lián)網(wǎng)服務(wù)器的網(wǎng)絡(luò)訪問(即不攔截包含該IP和其余HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包)�����。
[0052]根據(jù)本發(fā)明的另一方面���,提供了一種基于IP和HOST的攻擊攔截方法����。圖3示出了根據(jù)本發(fā)明一個實施例的基于IP和HOST的攻擊攔截方法的流程圖��。其中�����,如圖3所示的方法包括如下所述的步驟S310���、S320�、S330、S340���,和S350:
[0053]步驟S310��、獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包�����,從網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST���。
[0054]其中��,IP為網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址�����,即發(fā)出網(wǎng)絡(luò)數(shù)據(jù)包的主機或者主機所在的局域網(wǎng)所對應(yīng)的IP地址�,HOST為網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名,即網(wǎng)絡(luò)數(shù)據(jù)包所需要訪問的互聯(lián)網(wǎng)服務(wù)器的域名��。
[0055]則步驟S310的從網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST�����,包括:從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息,從IP頭信息抓取IP字段����;以及,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部����,從http頭部抓取HOST頭域字段。
[0056]步驟S320���、在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量��。
[0057]其中����,第一數(shù)量就是在預(yù)定時間段內(nèi)解析得到該指定IP和該指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的數(shù)目���。
[0058]步驟S330��、若第一數(shù)量達到預(yù)定閾值��,則將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊�����。
[0059]即如果該特定IP對應(yīng)的單個主機或者局域網(wǎng)的部分主機對特定HOST對應(yīng)的互聯(lián)網(wǎng)服務(wù)器發(fā)出訪問請求的次數(shù)足夠大����,則能夠?qū)揑P和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊。
[0060]步驟S340�����、將IP和HOST加入IP-H0ST黑名單���。
[0061]步驟S350����、根據(jù)IP-HOST黑名單對網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截�����。
[0062]因為包含該IP和HOST的網(wǎng)絡(luò)訪問為網(wǎng)絡(luò)攻擊�,因此����,通過步驟S340和S350的將IP和HOST加入IP-HOST黑名單以及根據(jù)IP-HOST黑名單對網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截�����,可以準確有效地攔截網(wǎng)絡(luò)攻擊��,而對于包含該IP但是不包含該HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包�,則不會被攔截�����。
[0063]圖4示出了如圖3所示步驟S310�����、S320��,和S330的一個【具體實施方式】的詳細流程圖����。圖4所示的流程圖,說明了一個具體的工業(yè)實現(xiàn)方案�,包括步驟S410-S480,當(dāng)然��,本申請的保護范圍,不以圖4所示的【具體實施方式】為限����。
[0064]在一個具體的工業(yè)實現(xiàn)方案之中,IP-HOST黑名單包括IP散列表���、至少一個HOST散列表�����,和至少一個輪詢指針����。
[0065]其中��,IP散列表包括至少一個IP節(jié)點���,IP節(jié)點分別保存一個IP ;H0ST散列表分別對應(yīng)于一個IP節(jié)點且包括多個保存HOST信息的HOST統(tǒng)計節(jié)點�����。進一步地���,HOST統(tǒng)計節(jié)點還分別保存有HOST統(tǒng)計信息���,具體包括熱度�、統(tǒng)計時間片和統(tǒng)計令牌。
[0066]當(dāng)然本領(lǐng)域技術(shù)人員能夠通過調(diào)整數(shù)據(jù)結(jié)構(gòu)令I(lǐng)P散列表分別對應(yīng)于一個HOST統(tǒng)計節(jié)點且保存有IP統(tǒng)計信息�����,例如熱度�、統(tǒng)計時間片和統(tǒng)計令牌等,此處不再贅述�����。
[0067]本實施例的每個輪詢指針分別對應(yīng)于一個IP節(jié)點�,指向與該輪詢指針對應(yīng)于相同IP節(jié)點的HOST散列表中的HOST統(tǒng)計節(jié)點;更具體地�,輪詢指針為round-robin-point指針,能夠游動地指向HOST統(tǒng)計節(jié)點�,根據(jù)以下的步驟S410-S480可知,通過設(shè)置輪詢指針能夠?qū)崿F(xiàn)對HOST統(tǒng)計節(jié)點的冷熱度進行調(diào)整�����。
[0068]S410�����、獲取檢測到的網(wǎng)絡(luò)數(shù)據(jù)包中包括的IP ;判斷IP散列表中是否包括對應(yīng)的IP節(jié)點;若是則執(zhí)行步驟S420�,若否則新建保存該IP的IP節(jié)點并執(zhí)行步驟S420。
[0069]S420��、從檢測到的網(wǎng)絡(luò)數(shù)據(jù)包中解析出http數(shù)據(jù)包�����,獲取http頭部���,從而得到HOST信息���,判斷與IP節(jié)點對應(yīng)的HOST散列表中是否包括對應(yīng)的HOST統(tǒng)計節(jié)點;若是則執(zhí)行步驟S430���,若否則執(zhí)行步驟S440����。
[0070]S430��、將輪詢指針指向?qū)?yīng)的HOST統(tǒng)計節(jié)點���,將HOST統(tǒng)計節(jié)點的熱度加I�����,根據(jù)統(tǒng)計時間片和統(tǒng)計令牌判斷預(yù)定的時間內(nèi)檢測到的包括特定IP和HOST信息的網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)目是否達到預(yù)設(shè)的閾值�,并執(zhí)行步驟S470���。
[0071]更具體地���,S430具體包括步驟S431和S432。其中��,步驟S431為將輪詢指針指向?qū)?yīng)的HOST統(tǒng)計節(jié)點�,將HOST統(tǒng)計節(jié)點的熱度加I ;步驟S432為根據(jù)統(tǒng)計時間片和統(tǒng)計令牌判斷預(yù)定的時間內(nèi)檢測到的包括特定IP和HOST信息的網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)目是否達到預(yù)設(shè)的閾值,若判斷為否則執(zhí)行步驟S470�����,若判斷為是�,則確定包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊從而執(zhí)行如圖3所示的步驟S340,同時也執(zhí)行步驟S470�。
[0072]較佳地,能夠通過時間片判斷統(tǒng)計的時間長度�����,例如,是統(tǒng)計了一分鐘還是十分鐘還是一個小時等等��;能夠通過統(tǒng)計令牌統(tǒng)計檢測到的包括特定IP和HOST信息的網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)目���。
[0073]S440��、判斷與IP節(jié)點對應(yīng)的該HOST散列表中的HOST統(tǒng)計節(jié)點的數(shù)目是否達到最大值����,若否則執(zhí)行步驟S450�����,若是則執(zhí)行步驟S460��。
[0074]由于存儲空間往往是有限的��,隨著時間推移�����,容易因為給特定HOST散列表分配的存儲空間不足���,造成HOST統(tǒng)計節(jié)點的數(shù)目達到最大值����。
[0075]S450、插入HOST統(tǒng)計節(jié)點�����,設(shè)置統(tǒng)計時間片和統(tǒng)計令牌���,將輪詢指針指向該HOST統(tǒng)計節(jié)點,將該HOST統(tǒng)計節(jié)點的熱度設(shè)置為I并執(zhí)行步驟S470 ;其中�,插入的HOST統(tǒng)計節(jié)點保存有檢測到的網(wǎng)絡(luò)數(shù)據(jù)包中包括的HOST統(tǒng)計信息。
[0076]如果給特定HOST散列表分配的存儲空間充足���,則通過步驟S450新建HOST統(tǒng)計節(jié)點����。其中�����,本方案能夠根據(jù)需要靈活地設(shè)置統(tǒng)計時間片和統(tǒng)計令牌���。
[0077]S460�、將該輪詢指針指向該IP節(jié)點對應(yīng)的熱度最小的HOST統(tǒng)計節(jié)點,令該HOST統(tǒng)計節(jié)點保存檢測到的網(wǎng)絡(luò)數(shù)據(jù)包中包括的HOST信息并將其熱度設(shè)置為I以及執(zhí)行步驟S470o
[0078]如果給特定HOST散列表分配的存儲空間不足���,則通過步驟S460復(fù)用熱度最小的HOST統(tǒng)計節(jié)點���。
[0079]S470、將該輪詢指針指向下一個HOST統(tǒng)計節(jié)點���;將其余IP節(jié)點對應(yīng)的輪詢指針指向的HOST統(tǒng)計節(jié)點的熱度減少一個預(yù)定值(本實施例中���,這一預(yù)定值可以是I或者小于I的數(shù)值)并指向下一個HOST統(tǒng)計節(jié)點。
[0080]S480����、選擇和刪除熱度為O的HOST統(tǒng)計節(jié)點;若IP節(jié)點對應(yīng)的HOST統(tǒng)計節(jié)點的熱度均為0�,或者對應(yīng)的多個HOST統(tǒng)計節(jié)點的熱度之和小于一個預(yù)設(shè)的閾值,刪除IP節(jié)點及對應(yīng)的HOST統(tǒng)計節(jié)點�。通過刪除部分HOST統(tǒng)計節(jié)點和IP節(jié)點,將訪問量較小的IP和HOST刪除��。
[0081]圖5示出了如圖3所示步驟S350的一個【具體實施方式】的詳細流程圖��,圖5所示的【具體實施方式】,包括在檢測到網(wǎng)絡(luò)訪問數(shù)據(jù)包時執(zhí)行以下所述的步驟S351�����、S352��,以及S353 ��;
[0082]步驟S351�����、獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP��,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP是否命中IP-HOST黑名單中記錄的IP ;若是則執(zhí)行步驟S352�,若否則退出流程繼續(xù)檢測網(wǎng)絡(luò)訪問數(shù)據(jù)包�。其中,獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP的具體方法�����,能夠是直接調(diào)用步驟S310中獲取的IP����,也能夠是從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息���,從IP頭信息抓取IP字段。
[0083]步驟S352����、獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若是則執(zhí)行步驟S353��,若否則退出流程繼續(xù)檢測網(wǎng)絡(luò)訪問數(shù)據(jù)包�����。其中���,獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST的具體方法��,能夠是直接調(diào)用步驟S310中獲取的H0ST�,也能夠是從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部����,從http頭部抓取HOST頭域字段。
[0084]步驟S353��、攔截網(wǎng)絡(luò)訪問數(shù)據(jù)包。
[0085]圖6示出了如圖3所示步驟S350的另一個【具體實施方式】的詳細流程圖�。圖6所示的【具體實施方式】與圖5所示的【具體實施方式】大致相同,不同之處在于����,還包括位于S351和S352之間的步驟S351’,即�,圖6所示的【具體實施方式】,包括以下所述的步驟S351�����、S351’����、S352 以及 S353 ��;
[0086]步驟S351�����、獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP�����,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP是否命中IP-HOST黑名單中記錄的IP ;若是則執(zhí)行步驟S351’,若否則退出流程繼續(xù)檢測網(wǎng)絡(luò)訪問數(shù)據(jù)包����。
[0087]步驟S351’、判斷攔截規(guī)則(通過預(yù)設(shè)的攔截規(guī)則標識)是基于IP的攔截規(guī)則還是基于IP和HOST的攔截規(guī)則�����;若是基于IP的攔截規(guī)則�����,則執(zhí)行所述步驟S353并且不執(zhí)行所述步驟S352�,若是基于IP和HOST的攔截規(guī)則,則執(zhí)行所述步驟S352�,換言之,判斷攔截規(guī)則是否是基于IP和HOST的攔截規(guī)則����,若判斷為是則執(zhí)行步驟S352,否則執(zhí)行步驟S353并且不執(zhí)行步驟S352�����。
[0088]步驟S352�、獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的H0ST����,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若是則執(zhí)行步驟S353����,若否則退出流程繼續(xù)檢測網(wǎng)絡(luò)訪問數(shù)據(jù)包。
[0089]步驟S353��、攔截網(wǎng)絡(luò)訪問數(shù)據(jù)包�����。
[0090]圖6所示的【具體實施方式】��,通過增設(shè)步驟S351’�����,步驟S350能夠同時適用于基于IP和HOST的攔截規(guī)則以及基于IP的攔截規(guī)則��。
[0091]因此��,本申請基于IP和HOST的攻擊攔截方法的基本技術(shù)構(gòu)思���,在于抓取網(wǎng)絡(luò)訪問數(shù)據(jù)包,分析和統(tǒng)計IP和HOST,得到特定用戶在預(yù)定時間段內(nèi)對特定的互聯(lián)網(wǎng)服務(wù)器進行訪問的次數(shù)����,如果次數(shù)足夠大表示特定用戶(單個主機或者局域網(wǎng)中的至少一個主機,簡記為A)對特定互聯(lián)網(wǎng)服務(wù)器進行網(wǎng)絡(luò)攻擊(簡記為B)�,從而創(chuàng)建或修改IP-HOST黑名單;進一步地���,對之后檢測的網(wǎng)絡(luò)訪問數(shù)據(jù)包進行分析時����,如果分析得到A對應(yīng)的IP以及B對應(yīng)的HOST�����,則將網(wǎng)絡(luò)訪問數(shù)據(jù)包攔截�����。
[0092]較佳地����,本實施例的方法還包括:在獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包之前,讀取通過離線學(xué)習(xí)而得到的IP-HOST黑名單�。即�����,在執(zhí)行如圖3所示的步驟之前����,首先載入已有的IP-HOST黑名單���,再通過如圖3所示的步驟S310���、S320、S330和S340�����,實時地更新IP-HOST黑名單�,更有效地保證網(wǎng)絡(luò)安全。
[0093]根據(jù)本發(fā)明的再一方面�����,提供了一種基于IP和HOST的攻擊攔截裝置��。圖7示出了根據(jù)本發(fā)明一個實施例的基于IP和HOST的攻擊攔截裝置的框圖���。該裝置具體包括:
[0094]其中��,解析單元710�,適于獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包�,從網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST。
[0095]其中�,解析單元710所獲取的IP為網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址,即發(fā)出網(wǎng)絡(luò)數(shù)據(jù)包的主機或者主機所在的局域網(wǎng)所對應(yīng)的IP地址��,HOST為網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名���,即網(wǎng)絡(luò)數(shù)據(jù)包所需要訪問的互聯(lián)網(wǎng)服務(wù)器的域名�。
[0096]則解析單元710����,適于從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息,從IP頭信息抓取IP字段���;以及�����,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部�,從http頭部抓取HOST頭域字段。
[0097]統(tǒng)計單元720��,適于在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量���。
[0098]其中�,第一數(shù)量就是統(tǒng)計單元720在預(yù)定時間段內(nèi)解析得到該指定IP和該指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的數(shù)目�����。
[0099]檢測單元730�����,適于在第一數(shù)量達到預(yù)定閾值時��,將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊�����。
[0100]即如果該特定IP對應(yīng)的單個主機或者局域網(wǎng)的部分主機對特定HOST對應(yīng)的互聯(lián)網(wǎng)服務(wù)器發(fā)出訪問請求的次數(shù)足夠大���,則檢測單元730能夠?qū)揑P和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊���。
[0101]維護單元740����,適于將IP和HOST加入IP-H0ST黑名單��。
[0102]攔截單元750��,適于根據(jù)IP-HOST黑名單對網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截���。
[0103]因為包含該IP和HOST的網(wǎng)絡(luò)訪問為網(wǎng)絡(luò)攻擊,因此�,通過維護單元740和攔截單元750將IP和HOST加入IP-HOST黑名單以及根據(jù)IP-HOST黑名單對網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截,可以準確有效地攔截網(wǎng)絡(luò)攻擊���,而對于包含該IP但是不包含該HOST的網(wǎng)絡(luò)訪問�,則不會被攔截�。
[0104]具體地,攔截單元750�,適于獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP是否命中IP-HOST黑名單中記錄的IP���,若判斷為是則獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的H0ST�����,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若判斷為是則攔截網(wǎng)絡(luò)訪問數(shù)據(jù)包��?��;蛘?,攔截單元750��,適于在判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP命中IP-HOST黑名單中記錄的IP時��,判斷攔截規(guī)則(通過攔截規(guī)則標識進行判斷)是基于IP的攔截規(guī)則還是基于IP和HOST的攔截規(guī)則��;若是基于IP的攔截規(guī)則���,則攔截網(wǎng)絡(luò)訪問數(shù)據(jù)包����,若是基于IP和HOST的攔截規(guī)則��,則獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST���,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若判斷為是則攔截網(wǎng)絡(luò)訪問數(shù)據(jù)包�����。更具體地�����,本實施例攔截單元750獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP和HOST的方式��,能夠是從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息��,從IP頭信息抓取IP字段�;以及��,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部�����,從http頭部抓取HOST頭域字段���;也能夠是直接調(diào)用解析單元710獲取的網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP和HOST��。
[0105]進一步地�,本實施例的維護單元710���,進一步適于在獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包之前���,讀取通過離線學(xué)習(xí)而得到的IP-HOST黑名單���。
[0106]因此,本申請基于IP和HOST的攻擊攔截裝置的基本技術(shù)構(gòu)思����,在于由維護單元710和統(tǒng)計單元720抓取網(wǎng)絡(luò)訪問數(shù)據(jù)包,分析和統(tǒng)計IP和H0ST�,得到特定用戶在預(yù)定時間段內(nèi)對特定的互聯(lián)網(wǎng)服務(wù)器進行訪問的次數(shù),如果次數(shù)足夠大表示特定用戶(單個主機或者局域網(wǎng)中的至少一個主機��,簡記為A)對特定互聯(lián)網(wǎng)服務(wù)器進行網(wǎng)絡(luò)攻擊(簡記為B)��,由檢測單元730將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊����。以及由維護單元740根據(jù)檢測單元730的檢測結(jié)果創(chuàng)建或修改IP-HOST黑名單;進一步地���,對之后檢測的網(wǎng)絡(luò)訪問數(shù)據(jù)包進行分析時����,如果分析得到A對應(yīng)的IP以及B對應(yīng)的H0ST,則攔截單元750將網(wǎng)絡(luò)訪問數(shù)據(jù)包攔截����,可以準確有效地攔截網(wǎng)絡(luò)攻擊,而對于包含該IP但是不包含該HOST的網(wǎng)絡(luò)訪問���,則不會被攔截���。
[0107]本發(fā)明的實施例公開了:
[0108]Al、一種基于IP和HOST的攻擊檢測方法����,其特征在于����,包括:
[0109]獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和H0ST���,其中���,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名��;
[0110]在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量;
[0111]若所述第一數(shù)量達到預(yù)定閾值,則將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊��。
[0112]A2���、根據(jù)Al所述的方法��,其中�����,所述從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST���,包括:
[0113]從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息,從IP頭信息抓取IP字段����;以及
[0114]從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部�,從http頭部抓取HOST頭域字段。
[0115]B3�、一種基于IP和HOST的攻擊攔截方法,其特征在于���,包括:
[0116]獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包����,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和H0ST,其中����,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名��;
[0117]在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量;
[0118]若所述第一數(shù)量達到預(yù)定閾值,則將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊;
[0119]將所述IP和HOST加入IP-HOST黑名單;
[0120]根據(jù)所述IP-HOST黑名單對所述網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截����。
[0121]B4、根據(jù)B3所述的方法�����,其中�,所述從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST,包括:
[0122]從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息�����,從IP頭信息抓取IP字段;以及
[0123]從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部�����,從http頭部抓取HOST頭域字段�。
[0124]B5�����、根據(jù)B3所述的方法����,其中,所述根據(jù)所述IP-HOST黑名單對所述網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截�,包括以下步驟:
[0125]S1、獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP���,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP是否命中IP-HOST黑名單中記錄的IP ;若是則執(zhí)行步驟S2 ;
[0126]S2�����、獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST�����,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與所述網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若是則執(zhí)行步驟S3 ;
[0127]S3���、攔截所述網(wǎng)絡(luò)訪問數(shù)據(jù)包����。
[0128]B6�、根據(jù)B5所述的方法,其中�����,所述步驟SI和S2之間還包括以下步驟:
[0129]S21����、判斷攔截規(guī)則是基于IP的攔截規(guī)則還是基于IP和HOST的攔截規(guī)則;若是基于IP的攔截規(guī)則����,則執(zhí)行所述步驟S3并且不執(zhí)行所述步驟S2���,若是基于IP和HOST的攔截規(guī)則�,則執(zhí)行所述步驟S2。
[0130]B7�����、根據(jù)B3所述的方法�,其中,該方法還包括:在獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包之前�����,讀取通過離線學(xué)習(xí)而得到的IP-HOST黑名單����。
[0131]C8、一種基于IP和HOST的攻擊檢測裝置�����,該裝置包括:
[0132]解析單元���,適于獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包���,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和H0ST,其中,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址���,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名��;
[0133]統(tǒng)計單元���,適于在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量;
[0134]檢測單元�,適于在所述第一數(shù)量達到預(yù)定閾值時,將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊��。
[0135]C9�����、根據(jù)C8所述的裝置��,其中�����,
[0136]所述解析單元�,適于從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息,從IP頭信息抓取IP字段���;以及����,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部��,從http頭部抓取HOST頭域字段��。
[0137]D10��、一種基于IP和HOST的攻擊攔截裝置�,該裝置包括:
[0138]解析單元,適于獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包��,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和H0ST���,其中��,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址��,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名��;
[0139]統(tǒng)計單元���,適于在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量;
[0140]檢測單元,適于在所述第一數(shù)量達到預(yù)定閾值時����,將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊;
[0141]維護單元��,適于將所述IP和HOST加入IP-HOST黑名單����;
[0142]攔截單元,適于根據(jù)所述IP-HOST黑名單對所述網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截����。
[0143]D11、根據(jù)DlO所述的裝置�,其中,
[0144]所述解析單元����,適于從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息,從IP頭信息抓取IP字段��;以及��,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部�,從http頭部抓取HOST頭域字段��。
[0145]D12���、根據(jù)DlO所述的裝置,其中��,所述攔截單元����,適于獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP�,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP是否命中IP-HOST黑名單中記錄的IP,若判斷為是則獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST����,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與所述網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若判斷為是則攔截所述網(wǎng)絡(luò)訪問數(shù)據(jù)包。
[0146]D13��、根據(jù)DlO所述的裝置����,其中,
[0147]所述攔截單元�����,適于在判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP命中IP-HOST黑名單中記錄的IP時,判斷攔截規(guī)則是基于IP的攔截規(guī)則還是基于IP和HOST的攔截規(guī)則��;若是基于IP的攔截規(guī)則�,則攔截所述網(wǎng)絡(luò)訪問數(shù)據(jù)包,若是基于IP和HOST的攔截規(guī)則��,則獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST��,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與所述網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若判斷為是則攔截所述網(wǎng)絡(luò)訪問數(shù)據(jù)包�。
[0148]D14、根據(jù)DlO所述的裝置��,其中���,
[0149]所述維護單元��,進一步適于在獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包之前�����,讀取通過離線學(xué)習(xí)而得到的IP-HOST黑名單��。
[0150]需要說明的是:
[0151]在此提供的算法和顯示不與任何特定計算機�、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)��。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述���,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的���。此外,本發(fā)明也不針對任何特定編程語言����。應(yīng)當(dāng)明白���,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容���,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。
[0152]在此處所提供的說明書中���,說明了大量具體細節(jié)��。然而��,能夠理解����,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中�����,并未詳細示出公知的方法�����、結(jié)構(gòu)和技術(shù)��,以便不模糊對本說明書的理解���。
[0153]類似地�����,應(yīng)當(dāng)理解���,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中���,本發(fā)明的各個特征有時被一起分組到單個實施例�、圖��、或者對其的描述中。然而���,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征��。更確切地說���,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征����。因此,遵循【具體實施方式】的權(quán)利要求書由此明確地并入該【具體實施方式】�����,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例�����。
[0154]本領(lǐng)域那些技術(shù)人員可以理解�����,可以對實施例中的設(shè)備中的模塊進行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中�。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件�,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外���,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求�����、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進行組合�����。除非另外明確陳述����,本說明書(包括伴隨的權(quán)利要求����、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替���。
[0155]此外����,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征�,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如���,在下面的權(quán)利要求書中���,所要求保護的實施例的任意之一都可以以任意的組合方式來使用。
[0156]本發(fā)明的各個部件實施例可以以硬件實現(xiàn)��,或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)��,或者以它們的組合實現(xiàn)��。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解���,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的基于IP和HOST的攻擊檢測和攻擊攔截設(shè)備中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如�,計算機程序和計算機程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上���,或者可以具有一個或者多個信號的形式����。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供��,或者以任何其他形式提供����。
[0157]應(yīng)該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例�。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制�。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中�����,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)���。單詞第一�、第二��、以及第三等的使用不表示任何順序?����?蓪⑦@些單詞解釋為名稱��。
【權(quán)利要求】
1.一種基于IP和HOST的攻擊檢測方法�,其特征在于,包括: 獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包�,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST,其中����,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名�; 在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量; 若所述第一數(shù)量達到預(yù)定閾值����,則將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊。
2.根據(jù)權(quán)利要求1所述的方法����,其中���,所述從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST�����,包括: 從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息��,從IP頭信息抓取IP字段�;以及 從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部,從http頭部抓取HOST頭域字段�。
3.一種基于IP和HOST的攻擊攔截方法,其特征在于�,包括: 獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST�,其中,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址����,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名; 在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量��; 若所述第一數(shù)量達到預(yù)定閾值���,則將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊��; 將所述IP和HOST加入IP-HOST黑名單�; 根據(jù)所述IP-HOST黑名單對所述網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截。
4.根據(jù)權(quán)利要求3所述的方法�����,其中��,所述從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST���,包括: 從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息���,從IP頭信息抓取IP字段;以及 從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部���,從http頭部抓取HOST頭域字段�����。
5.根據(jù)權(quán)利要求3所述的方法�����,其中���,所述根據(jù)所述IP-HOST黑名單對所述網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截���,包括以下步驟: 51����、獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP是否命中IP-HOST黑名單中記錄的IP ;若是則執(zhí)行步驟S2 �����; 52��、獲得網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST���,判斷網(wǎng)絡(luò)訪問數(shù)據(jù)包的HOST是否命中IP-HOST黑名單中記錄的與所述網(wǎng)絡(luò)訪問數(shù)據(jù)包的IP對應(yīng)的HOST ;若是則執(zhí)行步驟S3 ; 53����、攔截所述網(wǎng)絡(luò)訪問數(shù)據(jù)包�。
6.根據(jù)權(quán)利要求5所述的方法,其中���,所述步驟SI和S2之間還包括以下步驟: S21��、判斷攔截規(guī)則是基于IP的攔截規(guī)則還是基于IP和HOST的攔截規(guī)則��;若是基于IP的攔截規(guī)則�����,則執(zhí)行所述步驟S3并且不執(zhí)行所述步驟S2�����,若是基于IP和HOST的攔截規(guī)貝1J����,則執(zhí)行所述步驟S2。
7.根據(jù)權(quán)利要求3所述的方法�����,其中�����,該方法還包括:在獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包之前���,讀取通過離線學(xué)習(xí)而得到的IP-HOST黑名單�����。
8.一種基于IP和HOST的攻擊檢測裝置�,該裝置包括: 解析單元,適于獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包����,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和H0ST���,其中���,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名���; 統(tǒng)計單元��,適于在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量���; 檢測單元,適于在所述第一數(shù)量達到預(yù)定閾值時�,將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊。
9.根據(jù)權(quán)利要求8所述的裝置�����,其中, 所述解析單元���,適于從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取IP頭信息�����,從IP頭信息抓取IP字段��;以及�����,從網(wǎng)絡(luò)訪問數(shù)據(jù)包獲取http頭部�,從http頭部抓取HOST頭域字段�����。
10.一種基于IP和HOST的攻擊攔截裝置����,該裝置包括: 解析單元,適于獲取網(wǎng)絡(luò)訪問數(shù)據(jù)包�����,從所述網(wǎng)絡(luò)訪問數(shù)據(jù)包中解析出IP和HOST,其中���,所述IP為所述網(wǎng)絡(luò)數(shù)據(jù)包的來源IP地址���,所述HOST為所述網(wǎng)絡(luò)數(shù)據(jù)包的目的網(wǎng)站域名; 統(tǒng)計單元��,適于在預(yù)定時間段內(nèi)對于指定IP統(tǒng)計其針對指定HOST的網(wǎng)絡(luò)訪問數(shù)據(jù)包的第一數(shù)量�; 檢測單元��,適于在所述第一數(shù)量達到預(yù)定閾值時��,將包含該IP和HOST的網(wǎng)絡(luò)訪問確定為網(wǎng)絡(luò)攻擊����; 維護單元,適于將所述IP和HOST加入IP-HOST黑名單����; 攔截單元,適于根據(jù)所述IP-HOST黑名單對所述網(wǎng)絡(luò)訪問數(shù)據(jù)包進行攔截�。
【文檔編號】H04L29/06GK104468554SQ201410715281
【公開日】2015年3月25日 申請日期:2014年11月28日 優(yōu)先權(quán)日:2014年11月28日
【發(fā)明者】陳建, 陳振昌 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司