上述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值。达到了即使在攻击客户端所发起的攻击频率较低的情况下,也可实现准确检测出攻击客户端的目的。此夕卜,通过针对不同的数据包设定不同的拦截模式,从而实现对攻击数据包更加准确地拦截。而且,在本申请实施例中还延长了拦截攻击数据包的时长,相比与现有技术的方案,实现了对攻击数据包更加有效地拦截的技术效果,进而解决了现有技术中无法在攻击频率较低的情况下检测出攻击客户端的技术问题。
[0126]以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
【主权项】
1.一种检测攻击客户端的方法,其特征在于,包括: 接收第一客户端上报的访问请求事件,其中,所述访问请求事件至少用于指示第二客户端向所述第一客户端请求执行访问操作的状态,所述第二客户端向每个所述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值; 根据上报的所述访问请求事件判断所述第二客户端是否向所述第一客户端发起访问攻击; 若判断出所述第二客户端向所述第一客户端发起访问攻击,则检测出所述第二客户端为攻击客户端。2.根据权利要求1所述的方法,其特征在于,在检测出所述第二客户端为所述攻击客户端之后,还包括: 拦截所述第二客户端发送的用于请求执行访问操作的数据包。3.根据权利要求2所述的方法,其特征在于,所述第一客户端为多个第一客户端,其中,所述根据上报的所述访问请求事件判断所述第二客户端是否向所述第一客户端发起访问攻击包括: 根据上报的所述访问请求事件查找所述多个第一客户端中处于被攻击状态的第一客户端; 判断查找到的所述处于被攻击状态的第一客户端的个数是否大于第二预定阈值; 若查找到的所述处于被攻击状态的第一客户端的个数大于所述第二预定阈值,则判断出所述第二客户端向所述第一客户端发起访问攻击。4.根据权利要求3所述的方法,其特征在于,所述根据上报的所述访问请求事件查找所述多个第一客户端中处于被攻击状态的第一客户端包括以下之一: 若所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作失败,则查找出所述第一客户端处于被攻击状态;或者, 若所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作失败、且在所述失败之前的第一预定时间段内所述第二客户端向所述第一客户端请求执行访问操作失败的次数大于第三预定阈值,则查找出所述第一客户端处于被攻击状态;或者 若所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作成功、且在所述失败之前的第二预定时间段内所述第二客户端向所述第一客户端请求执行访问操作失败的次数大于第四预定阈值,则查找出所述第一客户端处于被攻击状态。5.根据权利要求2至4中任一项所述的方法,其特征在于,所述拦截所述第二客户端发送的用于请求执行访问操作的数据包包括: 根据所述访问请求事件中指示的访问攻击信息选择对应的拦截模式,其中,所述访问攻击信息包括以下至少之一:所述第二客户端向所述第一客户端发送用于请求执行访问操作的数据包的时间点、所述数据包的类型、所述第二客户端停止向所述第一客户端发送所述数据包的时间点; 采用所述拦截模式拦截所述第二客户端发送的用于请求执行访问操作的数据包。6.根据权利要求5所述的方法,其特征在于,所述采用所述拦截模式拦截所述第二客户端发送的用于请求执行访问操作的数据包包括: 拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包;和/或 拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。7.根据权利要求6所述的方法,其特征在于, 所述拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包包括:在第一预定时间段内拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包; 所述拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包包括:在第二预定时间段内拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。8.根据权利要求1所述的方法,其特征在于,所述第二客户端包括一个或多个客户端。9.一种检测攻击客户端的装置,其特征在于,包括: 接收单元,用于接收第一客户端上报的访问请求事件,其中,所述访问请求事件至少用于指示第二客户端向所述第一客户端请求执行访问操作的状态,所述第二客户端向每个所述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值; 判断单元,用于根据上报的所述访问请求事件判断所述第二客户端是否向所述第一客户端发起访问攻击; 检测单元,用于在判断出所述第二客户端向所述第一客户端发起访问攻击时,检测出所述第二客户端为攻击客户端。10.根据权利要求9所述的装置,其特征在于,还包括: 拦截单元,用于在检测出所述第二客户端为所述攻击客户端之后,拦截所述第二客户端发送的用于请求执行访问操作的数据包。11.根据权利要求10所述的装置,其特征在于,所述第一客户端为多个第一客户端,其中,所述判断单元包括: 查找模块,用于根据上报的所述访问请求事件查找所述多个第一客户端中处于被攻击状态的第一客户端; 判断模块,用于判断查找到的所述处于被攻击状态的第一客户端的个数是否大于第二预定阈值;若查找到的所述处于被攻击状态的第一客户端的个数大于所述第二预定阈值,则判断出所述第二客户端向所述第一客户端发起访问攻击。12.根据权利要求11所述的装置,其特征在于,所述查找模块包括以下之一: 第一查找子模块,用于在所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作失败时,查找出所述第一客户端处于被攻击状态;或者, 第二查找子模块,用于在所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作失败、且在所述失败之前的第一预定时间段内所述第二客户端向所述第一客户端请求执行访问操作失败的次数大于第三预定阈值时,查找出所述第一客户端处于被攻击状态;或者 第三查找子模块,用于在所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作成功、且在所述失败之前的第二预定时间段内所述第二客户端向所述第一客户端请求执行访问操作失败的次数大于第四预定阈值时,查找出所述第一客户端处于被攻击状态。13.根据权利要求10至12中任一项所述的装置,其特征在于,所述拦截单元包括: 选择模块,用于根据所述访问请求事件中指示的访问攻击信息选择对应的拦截模式,其中,所述访问攻击信息包括以下至少之一:所述第二客户端向所述第一客户端发送用于请求执行访问操作的数据包的时间点、所述数据包的类型、所述第二客户端停止向所述第一客户端发送所述数据包的时间点; 拦截模块,用于采用所述拦截模式拦截所述第二客户端发送的用于请求执行访问操作的数据包。14.根据权利要求13所述的装置,其特征在于,所述拦截模块包括: 第一拦截子模块,用于拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包;和/或 第二拦截子模块,用于拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。15.根据权利要求14所述的装置,其特征在于, 所述第一拦截模块还用于通过执行以下步骤实现拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包包括:在第一预定时间段内拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包; 所述第二拦截模块还用于通过执行以下步骤实现拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包包括:在第二预定时间段内拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。16.根据权利要求9所述的装置,其特征在于,所述第二客户端包括一个或多个客户端。
【专利摘要】本申请公开了一种检测攻击客户端的方法和装置,其中,该方法包括:接收第一客户端上报的访问请求事件,其中,访问请求事件至少用于指示第二客户端向第一客户端请求执行访问操作的状态,第二客户端向每个第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;根据上报的访问请求事件判断第二客户端是否向第一客户端发起访问攻击;若判断出第二客户端向第一客户端发起访问攻击,则检测出第二客户端为攻击客户端。本申请解决了现有技术中无法在攻击频率较低的情况下检测出攻击客户端的技术问题,达到了即使在攻击频率较低的情况下,也可以准确检测出攻击客户端,并对上述攻击客户端所发送的数据包进行拦截的技术效果。
【IPC分类】H04L29/06
【公开号】CN105187359
【申请号】CN201410270304
【发明人】聂万泉, 王丹峰, 周来, 凌科
【申请人】阿里巴巴集团控股有限公司
【公开日】2015年12月23日
【申请日】2014年6月17日