拒絕服務(wù)攻擊的攻擊源的識(shí)別方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種拒絕服務(wù)攻擊的攻擊源的識(shí)別方法和裝置���。其中�����,拒絕服務(wù)攻擊的攻擊源的識(shí)別方法包括以下步驟:獲取目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表���;利用列表查詢得出第一URL,該第一URL為在第一預(yù)定時(shí)間段內(nèi)訪問請(qǐng)求量最大的統(tǒng)一資源定位符���;利用列表查詢得出在第一預(yù)定時(shí)間段內(nèi)向第一URL發(fā)出最多請(qǐng)求的一個(gè)或多個(gè)請(qǐng)求源�;分別判斷第一URL接收的訪問所占的總訪問請(qǐng)求量的占比是否超過預(yù)設(shè)訪問占比以及請(qǐng)求源的請(qǐng)求量是否超過請(qǐng)求閾值�����;若以上兩個(gè)判斷結(jié)果均為是,將請(qǐng)求量超過請(qǐng)求閾值的請(qǐng)求源列為可疑攻擊源����。利用本發(fā)明的技術(shù)方案,經(jīng)過判斷精確地得出拒絕服務(wù)攻擊的攻擊源����,提高了網(wǎng)絡(luò)安全性�����。
【專利說明】拒絕服務(wù)攻擊的攻擊源的識(shí)別方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域���,特別是涉及一種拒絕服務(wù)攻擊的攻擊源的識(shí)別方法和裝置����。
【背景技術(shù)】
[0002]拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問��,是黑客常用的攻擊手段之一��。利用大量超出響應(yīng)能力的請(qǐng)求消耗大量攻擊目標(biāo)的資源����,這些資源包括磁盤空間�����、內(nèi)存��、進(jìn)程甚至網(wǎng)絡(luò)帶寬�,從而阻止正常用戶的訪問�����。嚴(yán)重時(shí)可以使某些服務(wù)被暫停甚至主機(jī)死機(jī)��。
[0003]作為拒絕服務(wù)攻擊的一種��,CC攻擊(Challenge Collapsar�,挑戰(zhàn)黑洞攻擊),是利用不斷對(duì)網(wǎng)站發(fā)送連接請(qǐng)求致使形成拒絕服務(wù)的目的的一種惡意攻擊手段�。其原理為模擬多個(gè)用戶不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作的頁面,造成目標(biāo)主機(jī)服務(wù)器資源耗盡��,一直到宕機(jī)崩潰�����。
[0004]由于CC攻擊的攻擊方式是通過模擬用戶的訪問請(qǐng)求��,難以進(jìn)行區(qū)分,而且CC攻擊的技術(shù)門檻較低���,利用一些工具和一定熟練數(shù)量的代理IP就可以進(jìn)行攻擊��,而且CC攻擊的攻擊效果明顯����。
[0005]現(xiàn)有技術(shù)中針對(duì)拒絕服務(wù)攻擊����,特別是CC攻擊的處理方案,主要禁止網(wǎng)站代理訪問����,限制連接數(shù)量�����,盡量將網(wǎng)站做成靜態(tài)頁面等方法進(jìn)行�����,然而以上禁止代理訪問和限制連接數(shù)量的方法會(huì)影響正常用戶訪問網(wǎng)站�,另外由于網(wǎng)頁的類型和內(nèi)容的限制�,也無法將網(wǎng)頁全部設(shè)置為靜態(tài)頁面�����,而且這種方式也不能消除CC攻擊的效果�����。因此����,為了對(duì)CC攻擊進(jìn)行合理有效的防護(hù),需要首先識(shí)別出進(jìn)行CC攻擊的攻擊源��。但是針對(duì)現(xiàn)有技術(shù)中無法準(zhǔn)確識(shí)別拒絕服務(wù)攻擊的攻擊源的問題�,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0006]鑒于上述問題��,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置和相應(yīng)的拒絕服務(wù)攻擊的攻擊源的識(shí)別方法����。本發(fā)明一個(gè)進(jìn)一步的目的是要準(zhǔn)確識(shí)別出拒絕服務(wù)攻擊的攻擊源,以便有針對(duì)性地進(jìn)行安全防護(hù)�����。
[0007]依據(jù)本發(fā)明的一個(gè)方面,提供了一種拒絕服務(wù)攻擊的攻擊源的識(shí)別方法��。該拒絕服務(wù)攻擊的攻擊源的識(shí)別方法包括以下步驟:獲取目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表�����;利用列表查詢得出第一 URL��,該第一 URL為在第一預(yù)定時(shí)間段內(nèi)訪問請(qǐng)求量最大的統(tǒng)一資源定位符�;利用列表查詢得出在第一預(yù)定時(shí)間段內(nèi)向第一 URL發(fā)出最多請(qǐng)求的一個(gè)或多個(gè)請(qǐng)求源;分別判斷第一 URL接收的訪問所占的總訪問請(qǐng)求量的占比是否超過預(yù)設(shè)訪問占比以及請(qǐng)求源的請(qǐng)求量是否超過請(qǐng)求閾值�����;若以上兩個(gè)判斷結(jié)果均為是�,將請(qǐng)求量超過請(qǐng)求閾值的請(qǐng)求源列為可疑攻擊源。
[0008]可選地���,獲取目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表包括:讀取與目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件;對(duì)運(yùn)行日志文件文件進(jìn)行分析��,得到列表��,列表中記錄了目標(biāo)主機(jī)的每個(gè)URL接收到的請(qǐng)求源清單和清單中每個(gè)請(qǐng)求源發(fā)出的訪問請(qǐng)求量。
[0009]可選地����,請(qǐng)求閾值通過占比動(dòng)態(tài)計(jì)算得出,請(qǐng)求閾值的計(jì)算步驟包括:使用預(yù)設(shè)基礎(chǔ)值除以占比�����,將得到的除商與預(yù)設(shè)的誤攔裕量相加�����;將相加得到的加和作為請(qǐng)求閾值����。
[0010]可選地,將請(qǐng)求量超過請(qǐng)求閾值的請(qǐng)求源列為可疑攻擊源之后還包括:對(duì)可疑攻擊源的訪問請(qǐng)求進(jìn)行分析���,根據(jù)分析結(jié)果選擇是否開啟對(duì)可疑攻擊源的攻擊防護(hù)機(jī)制����。
[0011]可選地�����,對(duì)可疑攻擊源的訪問請(qǐng)求進(jìn)行分析包括:判斷可疑攻擊源向目標(biāo)主機(jī)發(fā)出訪問請(qǐng)求的目標(biāo)URL是否僅為第一 URL ;若是,開啟對(duì)可疑攻擊源的攻擊防護(hù)機(jī)制��。
[0012]可選地�����,開啟對(duì)可疑攻擊源的攻擊防護(hù)機(jī)制包括:過濾掉可疑攻擊源向目標(biāo)主機(jī)發(fā)送的訪問請(qǐng)求�����。
[0013]可選地����,獲取目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表之前還包括:判斷向目標(biāo)主機(jī)發(fā)出的訪問請(qǐng)求總量是否超過預(yù)設(shè)的網(wǎng)站安全響應(yīng)閾值;若是�����,執(zhí)行獲取目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表的步驟�。
[0014]根據(jù)本發(fā)明的另一個(gè)方面,提供了一種拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置包括:列表獲取模塊�,用于獲取目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表;URL分析模塊,用于利用列表查詢得出第一 URL��,該第一 URL為在第一預(yù)定時(shí)間段內(nèi)訪問請(qǐng)求量最大的統(tǒng)一資源定位符�;請(qǐng)求源分析模塊,用于利用列表查詢得出在第一預(yù)定時(shí)間段內(nèi)向第一URL發(fā)出最多請(qǐng)求的一個(gè)或多個(gè)請(qǐng)求源��;判斷模塊�,用于分別判斷第一 URL接收的訪問所占的總訪問請(qǐng)求量的占比是否超過預(yù)設(shè)訪問占比以及請(qǐng)求源的請(qǐng)求量是否超過請(qǐng)求閾值;攻擊源確定模塊�����,用于在判斷模塊的兩個(gè)判斷結(jié)果均為是的情況下�,將請(qǐng)求量超過請(qǐng)求閾值的請(qǐng)求源列為可疑攻擊源。
[0015]可選地��,列表獲取模塊被配置為:讀取與目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件��;對(duì)運(yùn)行日志文件文件進(jìn)行分析���,得到列表�,列表中記錄了目標(biāo)主機(jī)的每個(gè)URL接收到的請(qǐng)求源清單和清單中每個(gè)請(qǐng)求源發(fā)出的訪問請(qǐng)求量��。
[0016]可選地��,上述拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置還包括:請(qǐng)求閾值計(jì)算模塊����,用于使用預(yù)設(shè)基礎(chǔ)值除以占比���,將得到的除商與預(yù)設(shè)的誤攔裕量相加;將相加得到的加和作為請(qǐng)求閾值����。
[0017]可選地,上述拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置還包括:攻擊源分析模塊���,用于對(duì)可疑攻擊源的訪問請(qǐng)求進(jìn)行分析�����,根據(jù)分析結(jié)果選擇是否開啟對(duì)可疑攻擊源的攻擊防護(hù)機(jī)制���。
[0018]可選地,上述拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置還包括:安全響應(yīng)判斷模塊��,用于判斷向目標(biāo)主機(jī)發(fā)出的訪問請(qǐng)求總量是否超過預(yù)設(shè)的網(wǎng)站安全響應(yīng)閾值�����;上述列表獲取模塊被配置為:在安全響應(yīng)判斷模塊的判斷結(jié)果為是的情況下���,執(zhí)行獲取所述目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表的步驟����。
[0019]本發(fā)明的拒絕服務(wù)攻擊的攻擊源的識(shí)別方法和拒絕服務(wù)攻擊的攻擊源識(shí)別的裝置在目標(biāo)主機(jī)出現(xiàn)訪問量出現(xiàn)異常等異常情況后���,對(duì)目標(biāo)主機(jī)的多個(gè)URL中的接收到請(qǐng)求最多的URL進(jìn)行分析����,分析對(duì)該請(qǐng)求最多的URL發(fā)送的請(qǐng)求是否符合多攻擊源攻擊單一 URL的攻擊特征��,經(jīng)過判斷精確地得出可疑攻擊源���,以便進(jìn)行進(jìn)一步分析和安全防護(hù)���,提高了網(wǎng)絡(luò)安全性。
[0020]進(jìn)一步地�,本發(fā)明的技術(shù)方案根據(jù)多攻擊源攻擊單一 URL的攻擊特征對(duì)判斷拒絕服務(wù)攻擊的判斷閾值進(jìn)行計(jì)算,可根據(jù)目標(biāo)主機(jī)的訪問特點(diǎn)進(jìn)行靈活設(shè)置�����,符合對(duì)不同目標(biāo)主機(jī)的攻擊防護(hù)要求�。
[0021]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段�����,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的���、特征和優(yōu)點(diǎn)能夠更明顯易懂�,以下特舉本發(fā)明的【具體實(shí)施方式】����。
[0022]根據(jù)下文結(jié)合附圖對(duì)本發(fā)明具體實(shí)施例的詳細(xì)描述,本領(lǐng)域技術(shù)人員將會(huì)更加明了本發(fā)明的上述以及其他目的�、優(yōu)點(diǎn)和特征。
【專利附圖】
【附圖說明】
[0023]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述���,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了����。附圖僅用于示出優(yōu)選實(shí)施方式的目的��,而并不認(rèn)為是對(duì)本發(fā)明的限制�����。而且在整個(gè)附圖中����,用相同的參考符號(hào)表示相同的部件���。在附圖中:
[0024]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置200的網(wǎng)絡(luò)應(yīng)用環(huán)境的示意圖;
[0025]圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置200示意圖�;以及
[0026]圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識(shí)別方法的示意圖��?����!揪唧w實(shí)施方式】
[0027]在此提供的算法和顯示不與任何特定計(jì)算機(jī)����、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用��。根據(jù)上面的描述�����,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的�����。此外,本發(fā)明也不針對(duì)任何特定編程語言���。應(yīng)當(dāng)明白��,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容�����,并且上面對(duì)特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式�。
[0028]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置200的網(wǎng)絡(luò)應(yīng)用環(huán)境的示意圖�,在圖中,網(wǎng)頁客戶端110訪問目標(biāo)網(wǎng)站時(shí)����,經(jīng)過域名解析系統(tǒng)的解析,將輸入的域名解析為網(wǎng)頁防護(hù)系統(tǒng)分布在各地機(jī)房的節(jié)點(diǎn)服務(wù)器120對(duì)應(yīng)的地址����,節(jié)點(diǎn)服務(wù)器120通過互聯(lián)網(wǎng)向目標(biāo)網(wǎng)站的主機(jī)(host) 140發(fā)出訪問請(qǐng)求,在目標(biāo)主機(jī)hostl40之前設(shè)置了網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)130 (WebApplication Firewall,簡(jiǎn)稱WAF),向目標(biāo)主機(jī)140發(fā)出的訪問請(qǐng)求必須經(jīng)過WAF130才能到達(dá)目標(biāo)主機(jī)140�,WAF130作為網(wǎng)站防火防火墻,提供網(wǎng)站的加速和緩存服務(wù)�����,可防止黑客利用跨站注入等漏洞對(duì)網(wǎng)站進(jìn)行入侵,保護(hù)網(wǎng)站不被篡改和入侵�����,提高網(wǎng)站主機(jī)的安全性�。本發(fā)明實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置200與多個(gè)WAF130數(shù)據(jù)連接,根據(jù)WAF130收到的向目標(biāo)主機(jī)140發(fā)送的訪問請(qǐng)求進(jìn)行拒絕服務(wù)攻擊的攻擊源識(shí)別����。
[0029]拒絕服務(wù)攻擊的方式包含以下多種方式:使用單一互聯(lián)網(wǎng)協(xié)議地址(InternetProtocol����,進(jìn)程IP地址)對(duì)某一 host的單個(gè)URL進(jìn)行攻擊、使用多個(gè)IP對(duì)單個(gè)URL進(jìn)行攻擊���、使用單一 IP對(duì)多個(gè)URL進(jìn)行攻擊����、使用多個(gè)IP對(duì)多個(gè)URL進(jìn)行攻擊����,由于對(duì)多個(gè)URL進(jìn)行攻擊需要使用網(wǎng)絡(luò)爬蟲技術(shù)抽取URL攻擊的難度較大,因此,一般進(jìn)行拒絕服務(wù)攻擊大多使用對(duì)單一 URL進(jìn)行攻擊的方式��。
[0030]本發(fā)明實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置200及其相應(yīng)的方法可以有效地對(duì)單一 URL的攻擊源進(jìn)行識(shí)別�。
[0031]圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置200示意圖。該拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置200 —般性地可以包括:列表獲取模塊210����、URL分析模塊220、請(qǐng)求源分析模塊230���、判斷模塊240�、攻擊源確定模塊250���,在一些優(yōu)化的方案中還可以增加設(shè)置有請(qǐng)求閾值計(jì)算模塊270���、攻擊源分析模塊280、安全響應(yīng)判斷模塊260����。
[0032]在以上部件中,列表獲取模塊210用于獲取目標(biāo)主機(jī)140的多個(gè)統(tǒng)一資源定位符(Uniform Resource Locator,簡(jiǎn)稱URL)的訪問請(qǐng)求的列表���;URL分析模塊220用于利用列表查詢得出第一 URL����,該第一 URL為在第一預(yù)定時(shí)間段內(nèi)訪問請(qǐng)求量最大的統(tǒng)一資源定位符;請(qǐng)求源分析模塊230用于利用列表查詢得出在第一預(yù)定時(shí)間段內(nèi)向第一 URL發(fā)出最多請(qǐng)求的一個(gè)或多個(gè)請(qǐng)求源����;判斷模塊240用于分別判斷第一 URL接收的訪問所占的總訪問請(qǐng)求量的占比是否超過預(yù)設(shè)訪問占比以及請(qǐng)求源的請(qǐng)求量是否超過請(qǐng)求閾值;攻擊源確定模塊250用于在判斷模塊的兩個(gè)判斷結(jié)果均為是的情況下�����,將請(qǐng)求量超過請(qǐng)求閾值的請(qǐng)求源列為可疑攻擊源�。
[0033]對(duì)于一般拒絕服務(wù)攻擊,由于攻擊源主要對(duì)目標(biāo)主機(jī)140的某個(gè)URL集中進(jìn)行請(qǐng)求�����,而一般正常訪問請(qǐng)求�����,對(duì)所有URL的請(qǐng)求數(shù)量應(yīng)該大體是平均的�,本實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置200利用拒絕服務(wù)攻擊的特點(diǎn)�����,利用收到請(qǐng)求量最大的URL是否請(qǐng)求量異常識(shí)別出可以攻擊源。 [0034]啟動(dòng)以上拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置200可以由目標(biāo)主機(jī)的訪問量驟升或者目標(biāo)主機(jī)的響應(yīng)不正常的異常事件觸發(fā)����。例如當(dāng)前目標(biāo)主機(jī)140收到的請(qǐng)求總量遠(yuǎn)遠(yuǎn)大于正常訪問量的峰值,或者目標(biāo)主機(jī)140對(duì)訪問請(qǐng)求的返回大多為無效數(shù)據(jù)(50X)時(shí)�,就可以啟動(dòng)對(duì)攻擊源的識(shí)別。
[0035]列表獲取模塊210可以利用WAF130的運(yùn)行日志文件得到URL列表�����,例如列表獲取模塊210讀取與目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)WAF130的運(yùn)行日志文件����;對(duì)運(yùn)行日志文件文件進(jìn)行分析,得到列表��,列表中記錄了目標(biāo)主機(jī)的每個(gè)URL接收到的請(qǐng)求源清單和清單中每個(gè)請(qǐng)求源發(fā)出的訪問請(qǐng)求量���。表1示出了本實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置200利用WAF運(yùn)行日志獲取的URL列表�����。
[0036]表1
[0037]
【權(quán)利要求】
1.一種拒絕服務(wù)攻擊的攻擊源的識(shí)別方法�,包括:獲取目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表�;利用所述列表查詢得出第一 URL��,該第一 URL為在第一預(yù)定時(shí)間段內(nèi)訪問請(qǐng)求量最大的所述統(tǒng)一資源定位符��;利用所述列表查詢得出在第一預(yù)定時(shí)間段內(nèi)向所述第一 URL發(fā)出最多請(qǐng)求的一個(gè)或多個(gè)請(qǐng)求源��;分別判斷所述第一 URL接收的訪問所占的總訪問請(qǐng)求量的占比是否超過預(yù)設(shè)訪問占比以及所述請(qǐng)求源的請(qǐng)求量是否超過請(qǐng)求閾值�����;若以上兩個(gè)判斷結(jié)果均為是�,將請(qǐng)求量超過所述請(qǐng)求閾值的請(qǐng)求源列為可疑攻擊源�。
2.根據(jù)權(quán)利要求1所述的方法,其中�����,獲取所述目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表包括:讀取與所述目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件�����;對(duì)所述運(yùn)行日志文件文件進(jìn)行分析�����,得到所述列表���,所述列表中記錄了所述目標(biāo)主機(jī)的每個(gè)URL接收到的請(qǐng)求源清單和清單中每個(gè)請(qǐng)求源發(fā)出的訪問請(qǐng)求量�����。
3.根據(jù)權(quán)利要求1所述的方法�����,其中�����,所述請(qǐng)求閾值通過所述占比動(dòng)態(tài)計(jì)算得出���,所述請(qǐng)求閾值的計(jì)算步驟包括:使用預(yù)設(shè)基礎(chǔ)值除以所述占比,將得到的除商與預(yù)設(shè)的誤攔裕量相加����;`將所述相加得到的加和作為所述請(qǐng)求閾值。
4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法���,其中�,將請(qǐng)求量超過所述請(qǐng)求閾值的請(qǐng)求源列為可疑攻擊源之后還包括:對(duì)所述可疑攻擊源的訪問請(qǐng)求進(jìn)行分析����,根據(jù)分析結(jié)果選擇是否開啟對(duì)所述可疑攻擊源的攻擊防護(hù)機(jī)制���。
5.根據(jù)權(quán)利要求4所述的方法,其中���,對(duì)所述可疑攻擊源的訪問請(qǐng)求進(jìn)行分析包括:判斷所述可疑攻擊源向所述目標(biāo)主機(jī)發(fā)出訪問請(qǐng)求的目標(biāo)URL是否僅為所述第一URL �;若是���,開啟對(duì)所述可疑攻擊源的攻擊防護(hù)機(jī)制�。
6.根據(jù)權(quán)利要求5所述的方法�����,其中����,開啟對(duì)所述可疑攻擊源的攻擊防護(hù)機(jī)制包括:過濾掉所述可疑攻擊源向所述目標(biāo)主機(jī)發(fā)送的訪問請(qǐng)求。
7.根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的方法�,其中,獲取所述目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表之前還包括:判斷向所述目標(biāo)主機(jī)發(fā)出的訪問請(qǐng)求總量是否超過預(yù)設(shè)的網(wǎng)站安全響應(yīng)閾值��;若是��,執(zhí)行獲取所述目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表的步驟����。
8.—種拒絕服務(wù)攻擊的攻擊源的識(shí)別裝置,包括:列表獲取模塊�����,用于獲取目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請(qǐng)求的列表��;URL分析模塊�,用于利用所述列表查詢得出第一 URL,該第一 URL為在第一預(yù)定時(shí)間段內(nèi)訪問請(qǐng)求量最大的所述統(tǒng)一資源定位符�;請(qǐng)求源分析模塊,用于利用所述列表查詢得出在第一預(yù)定時(shí)間段內(nèi)向所述第一 URL發(fā)出最多請(qǐng)求的一個(gè)或多個(gè)請(qǐng)求源�;判斷模塊,用于分別判斷所述第一 URL接收的訪問所占的總訪問請(qǐng)求量的占比是否超過預(yù)設(shè)訪問占比以及所述請(qǐng)求源的請(qǐng)求量是否超過請(qǐng)求閾值����;攻擊源確定模塊,用于在所述判斷模塊的兩個(gè)判斷結(jié)果均為是的情況下����,將請(qǐng)求量超過所述請(qǐng)求閾值的請(qǐng)求源列為可疑攻擊源。
9.根據(jù)權(quán)利要求8所述的裝置,其中���,所述列表獲取模塊被配置為:讀取與所述目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件�����;對(duì)所述運(yùn)行日志文件文件進(jìn)行分析����,得到所述列表�����,所述列表中記錄了所述目標(biāo)主機(jī)的每個(gè)URL接收到的請(qǐng)求源清單和清單中每個(gè)請(qǐng)求源發(fā)出的訪問請(qǐng)求量����。
10.根據(jù)權(quán)利要求9所述的裝置,還包括:請(qǐng)求閾值計(jì)算模塊����,用于使用預(yù)設(shè)基礎(chǔ)值除以所述占比,將得到的除商與預(yù)設(shè)的誤攔裕量相加���; 將所述相加得到的加和作為所述請(qǐng)求閾值����。
【文檔編號(hào)】G06F17/30GK103685294SQ201310713401
【公開日】2014年3月26日 申請(qǐng)日期:2013年12月20日 優(yōu)先權(quán)日:2013年12月20日
【發(fā)明者】蔣文旭 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司