件,判断第二客户端是否向上述第一客户端发起访问攻击,其中,第二客户端向每个第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;若判断出第二客户端向上述第一客户端发起访问攻击,则检测出上述第二客户端为攻击客户端。通过上述方式,实现了在攻击源攻击频率较低的情况下,也可准确检测出攻击客户端的效果。
[0096]作为一种可选的方案,上述第一客户端为多个第一客户端,其中,上述判断单元504包括:
[0097]I)查找模块,用于根据上报的访问请求事件查找多个第一客户端中处于被攻击状态的第一客户端;
[0098]2)判断模块,用于判断查找到的处于被攻击状态的第一客户端的个数是否大于第二预定阈值;若查找到的处于被攻击状态的第一客户端的个数大于第二预定阈值,则判断出第二客户端向第一客户端发起访问攻击。
[0099]可选地,在本实施例中,上述第二预定阈值可以预先配置,根据不同的应用场景可以配置为不同的取值。
[0100]具体结合以下示例进行说明,结合图3所示,假设第二预定阈值为50000,第二客户端202向第一客户端206-1至第一客户端206-N发送用于请求执行访问操作的数据包,例如,N的取值为100000,服务器204经查找得到第一客户端206-1至第一客户端206-N中处于被攻击状态的第一客户端206为S,例如,S的取值为60000。进一步,判断上述处于被攻击状态的第一客户端206的数量S (例如,S的取值为60000)与第二预定阈值P (例如,P的取值为50000)进行比较,判断得出上述被攻击状态的第一客户端206的数量大于第二预定阈值,则可判断出上述第二客户端202向上述第一客户端发起了访问攻击,则需要拦截上述被检测出为攻击客户端的第二客户端202所发送的用于请求执行访问操作的数据包。
[0101]通过本申请提供的实施例,服务器通过根据访问请求事件查找多个第一客户端中处于被攻击状态的第一客户端的个数是否大于第二预定阈值,若判断出上述处于被攻击状态的第一客户端的个数大于第二预定阈值,则可以判断出上述第二客户端向上述第一客户端发起了访问攻击。通过上述对处于被攻击状态的第一客户端的数量的判断,以确定第二客户端是否向第一客户端发起了访问攻击,即检测第二客户端是否为发起攻击的攻击客户端,以实现在第二客户端的攻击频率较低的情况下,也可以确定发起攻击的攻击客户端,并对上述攻击客户端所发送的攻击数据包进行准确拦截。
[0102]作为一种可选的方案,上述查找模块包括以下之一:
[0103]I)第一查找子模块,用于在访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败时,查找出第一客户端处于被攻击状态。
[0104]具体结合以下示例进行说明,例如,结合图3所示,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206-1至第一客户端206-N请求执行访问操作失败,没有成功对上述第一客户端206-1至第一客户端206-N进行访问操作,则查找出上述第一客户端206处于被攻击的状态。
[0105]2)第二查找子模块,用于在访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败、且在失败之前的第一预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第三预定阈值时,查找出第一客户端处于被攻击状
O
[0106]具体结合以下示例进行说明,例如,结合图3所示,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206-1至第一客户端206-N请求执行访问操作失败,没有成功对上述第一客户端206-1至第一客户端206-N进行访问操作,则查找出上述第一客户端206处于被攻击的状态。
[0107]3)第三查找子模块,用于在访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作成功、且在失败之前的第二预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第四预定阈值时,查找出第一客户端处于被攻击状
O
[0108]具体结合以下示例进行说明,例如,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206请求执行访问操作成功,但是在上述成功操作之前的第二预定时间段(例如,I小时)内上述第二客户端202向上述多个第一客户端206请求执行访问操作失败的次数大于第四预定阈值(例如,第四预定阈值为3),则查找出上述第一客户端206处于被攻击状态。
[0109]通过本申请提供的实施例,通过上述至少一种判定方式判断上述多个第一客户端是否处于被攻击状态,进而检测出向上述第一客户端发送用于请求执行访问操作的数据包的第二客户端是否为发起攻击的攻击客户端,从而实现在攻击频率较低的情况下,也可对检测出的攻击客户端所发起的攻击行为进行准确拦截。
[0110]作为一种可选的方案,上述拦截单元包括:
[0111]I)选择模块,用于根据访问请求事件中指示的访问攻击信息选择对应的拦截模式,其中,访问攻击信息包括以下至少之一:第二客户端向第一客户端发送用于请求执行访问操作的数据包的时间点、数据包的类型、第二客户端停止向第一客户端发送数据包的时间点;
[0112]2)拦截模块,用于采用拦截模式拦截第二客户端发送的用于请求执行访问操作的数据包。
[0113]可选地,在本实施例中,不同的数据包的类型可以对应不同的拦截模式。其中,数据包的类型可以包括但不限于:对数据库请求执行访问操作的数据包、对网站请求执行访问操作的数据包。当收到的数据包的类型不同,服务器也将选择不同的拦截模式针对不同的数据包执行相应的拦截操作。
[0114]可选地,在本实施例中,上述对第二客户端202发送的用于请求执行访问操作的数据包的拦截时间可以根据攻击信息中的第二客户端202向上述第一客户端206发送用于请求执行访问操作的数据包的时间点Tl和第二客户端202停止向上述第一客户端206发送数据包的时间点T2确定。可选地,在本实施例中,上述用于拦截第二客户端202所发送的用于请求执行访问操作的数据包的时长t要大于第二客户端202发起攻击的时长(T2-T1)。
[0115]例如,如图3所示,第二客户端202发起攻击的时间点为8:30,停止攻击的时间点为9:00,若预先配置要再延长拦截的时长为2小时,则服务器204将控制包括多个第一客户端206以及多个第三客户端302的防火墙拦截第二客户端202所发送的用于请求执行访问操作的数据包,拦截时长t为2.5个小时。
[0116]通过本申请提供的实施例,通过采用不同的拦截模式对上述第二客户端所发送的用于请求执行访问操作的数据包进行拦截,以实现针对不同的数据包的类型进行相适应的拦截,更加提高了对攻击数据包的拦截的准确性;此外,通过延长拦截时长的方式,也实现了对攻击数据包的有效拦截。
[0117]作为一种可选的方案,上述拦截模块包括:
[0118]I)第一拦截子模块,用于拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包;和/或
[0119]可选地,在本实施例中,第一拦截子模块通过以下步骤实现对第二客户端向第一客户端发送的用于请求执行访问操作的数据包的拦截:在第一预定时间段内拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包。
[0120]2)第二拦截子模块,用于拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
[0121]可选地,在本实施例中,第二拦截子模块通过以下步骤实现对第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包的拦截:在第二预定时间段内拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
[0122]可选地,在本实施例中,拦截第二客户端发送的用于请求执行访问操作的数据包的方式,不仅针对已接收到上述第二客户端202所发送的用于请求执行访问操作的数据包的多个第一客户端206,还针对还未接收到上述第二客户端202所发送的用于请求执行访问操作的数据包,且与上述第一客户端206属于同一网络的多个第三客户端302。也就是说,服务器204将控制属于同一网络的客户端的防火墙,以实现对第二客户端202的全面拦截。例如,如图3所示,服务器204将控制拦截第二客户端202向第一客户端206-1至第一客户端206-N,以及第三客户端302-1至第三客户端302-M发送用于请求执行访问操作的数据包。
[0123]通过本申请提供的实施例,通过对网络内的客户端的全面拦截,以实现对第二客户端所发送的攻击数据包进行准确而有效地拦截。
[0124]本申请提供了一种优选的实施例来进一步对本申请进行解释,但是值得注意的是,该优选实施例只是为了更好的描述本申请,并不构成对本申请不当的限定。
[0125]从以上的描述中,可以看出,在本申请实施例中,通过根据多个第一客户端上报的访问请求事件中处于被攻击状态的第一客户端的个数是否大于第二预定阈值,来判断第二客户端是否向上述第一客户端发起访问攻击,其中,上述第二客户端向每个