检测攻击客户端的方法和装置的制造方法
【技术领域】
[0001]本申请涉及计算机领域,具体而言,涉及一种检测攻击客户端的方法和装置。
【背景技术】
[0002]如今,在互联网上的云服务器、云内主机每天都要遭受数亿次的破解攻击,这样不但影响了云服务器的性能以及带宽,而且对云服务器还产生了严重的安全威胁。因此,通过检测来获知攻击的来源,以拦截攻击者发送的用于攻击的数据包,实现屏蔽攻击的效果,就显得越来越重要。
[0003]目前,在本领域现有技术中,用于执行防止破解攻击的主体通常都是个体主机。基于个体主机检测破解攻击,以拦截破解攻击的攻击数据包的方式,一般包括两种形式:
[0004](I)针对暴力破解的攻击数据包,设定对攻击数据包攻击速率的阈值,若超过一定阈值则判定为破解攻击;
[0005](2)对尝试破解的出错次数设置阈值,如果超过设置的阈值,则判定为破解攻击。
[0006]针对上述破解攻击,通常采用的拦截方式都是设定阈值,将超过阈值的攻击数据包进行拦截屏蔽。然而,目前大多数破解攻击一般针对一个或多个连续的IP段,批量大规模地循环攻击,攻击者的针对性不强。在这种情况下,如果采用上述对破解攻击的拦截方式,由于针对个体主机破解攻击的频率很低,即攻击者所发送的攻击数据包的数量过小,而无法实现利用预先设置的阈值来进行拦截。因此,在现有的技术方案中,在攻击频率较低的情况下,无法准确检测到发起攻击的攻击客户端,进而无法对破解攻击的攻击数据包进行拦截。
[0007]针对上述的问题,目前尚未提出有效的解决方案。
【发明内容】
[0008]本申请实施例提供了一种检测攻击客户端的方法和装置,以至少解决现有技术中无法在攻击频率较低的情况下检测出攻击客户端的技术问题。
[0009]根据本申请实施例的一个方面,提供了一种检测攻击客户端的方法,包括:接收第一客户端上报的访问请求事件,其中,上述访问请求事件至少用于指示第二客户端向上述第一客户端请求执行访问操作的状态,上述第二客户端向每个上述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;根据上报的上述访问请求事件判断上述第二客户端是否向上述第一客户端发起访问攻击;若判断出上述第二客户端向上述第一客户端发起访问攻击,则检测出上述第二客户端为攻击客户端。
[0010]根据本申请实施例的另一方面,还提供了一种检测攻击客户端的装置,包括:接收单元,用于接收第一客户端上报的访问请求事件,其中,上述访问请求事件至少用于指示第二客户端向上述第一客户端请求执行访问操作的状态,上述第二客户端向每个上述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;判断单元,用于根据上报的上述访问请求事件判断上述第二客户端是否向上述第一客户端发起访问攻击;拦截单元,用于在判断出上述第二客户端向上述第一客户端发起访问攻击时,检测出上述第二客户端为攻击客户端。
[0011 ] 在本申请实施例中,通过根据第一客户端上报的访问请求事件中处于被攻击状态的第一客户端的个数是否大于第二预定阈值,来判断第二客户端是否向上述第一客户端发起访问攻击,其中,上述第二客户端向每个上述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值。达到了即使在攻击客户端所发起的攻击频率较低的情况下,也可实现准确检测出攻击客户端的目的。
[0012]此外,通过针对不同的数据包设定不同的拦截模式,从而实现对攻击数据包更加准确地拦截。而且,在本申请实施例中还延长了拦截攻击数据包的时长,相比与现有技术的方案,实现了对攻击数据包更加有效地拦截的技术效果,进而解决了现有技术中无法在攻击频率较低的情况下检测出攻击客户端的技术问题。
【附图说明】
[0013]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0014]图1是根据本申请实施例的一种可选的检测攻击客户端的方法的流程图;
[0015]图2是根据本申请实施例的一种可选的检测攻击客户端的方法的应用场景的示意图;
[0016]图3是根据本申请实施例的另一种可选的检测攻击客户端的方法应用场景的示意图;
[0017]图4是根据本申请实施例的另一种可选的检测攻击客户端的方法的流程图;以及
[0018]图5是根据本申请实施例的一种可选的检测攻击客户端的装置的结构示意图。
【具体实施方式】
[0019]下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0020]实施例1
[0021]根据本申请实施例,提供了一种检测攻击客户端的方法,如图1所示,该方法包括:
[0022]S102,接收第一客户端上报的访问请求事件,其中,访问请求事件至少用于指示第二客户端向第一客户端请求执行访问操作的状态,第二客户端向每个第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;
[0023]S104,根据上报的访问请求事件判断第二客户端是否向第一客户端发起访问攻击;
[0024]S106,若判断出第二客户端向第一客户端发起访问攻击,则检测出第二客户端为攻击客户端;
[0025]S108,若判断出第二客户端并未向第一客户端发起访问攻击,则检测出第二客户端不是攻击客户端。
[0026]可选地,在本实施例中,上述检测攻击客户端的方法可以应用于防止云内主机遭受破解攻击的过程中。例如,如图2所示,第一客户端206可以为多个客户端,例如,上述多个客户端可以包括:第一客户端206-1、第一客户端206-2、第一客户端206-3,第二客户端202向上述三个第一客户端,发送了用于请求执行访问操作的数据包,上述三个第一客户端接收到上述第二客户端202发送的用于请求执行访问操作的数据包后,分别将至少用于指示第二客户端202向上述3个第一客户端206请求执行访问操作的状态的访问请求事件上报给服务器204,由服务器204根据上述访问请求事件,判断第二客户端202是否向上述第一客户端206-1、第一客户端206-2、第一客户端206-3发起访问攻击。假设若第二客户端202为向上述第一客户端206发起访问攻击的攻击客户端,则检测出上述第二客户端202为攻击客户端。上述举例只是一种示例,本实施例对此不做任何限定。
[0027]可选地,在本实施例中,上述第一预定阈值可以预先配置,根据不同的应用场景可以配置为不同的取值。可选地,在本实施例中,上述第二客户端202向上述多个第一客户端206发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值。换言之,本实施例提供的数据包的拦截方法主要应用于请求访问操作速率较低,攻击范围较广的场景中。
[0028]可选地,在本实施例中,服务器204根据上报的访问请求事件判断第二客户端202是否向上述多个第一客户端206发起访问攻击的方式包括但不限于:判断处于被攻击状态的第一客户端206的个数是否大于第二预定阈值。例如,假设第二预定阈值为50000,则在服务器204接收到多个第一客户端206所上报的访问请求事件中,由第一客户端206所上报的访问请求事件判断出第二客户端202向上述数量为50000个的第一客户端206发起了访问攻击,则需要拦截上述第二客户端202所发送的用于请求执行访问操作的数据包。
[0029]可选地,在本实施例中,第一客户端206处于被攻击状态的判定方式包括以下至少之一:
[0030]I)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败,则查找出第一客户端处于被攻击状态;
[0031]2)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败、且在失败之前的第一预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第三预定阈值,则查找出第一客户端处于被攻击状态;
[0032]3)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作成功、且在失败之前的第二预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第四预定阈值,则查找出第一客户端处于被攻击状态。
[0033]可选地,在本实施例中,在检测出上述第二客户端202为攻击客户端之后,拦截第二客户端202发送的用于请求执行访问操作的数据包的方式包括以下至少之一:
[0034]I)拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包;
[0035]2)拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
[0036]可选地,在本实施例中,服务器204在对第二客户端202所发送的用于请求执行访问操作的数据包拦截时,不仅拦截第二客户端202向上述多个第一客户端206所发送的用于请求执行访问操作的数据包,同时也会对与上述第一客户端206属于同一网络的第三客户端执行数据包拦截。