本申請(qǐng)涉及網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域:
,特別是涉及一種惡意攻擊識(shí)別方法及系統(tǒng)。
背景技術(shù):
:目前一些比較大型的地方論壇社區(qū)由于種種原因,經(jīng)常會(huì)遭受黑客的攻擊,最終經(jīng)常都損失慘重,有的服務(wù)器會(huì)帶寬耗盡,有的服務(wù)器負(fù)載很高。其中,常見的攻擊為CC(ChallengeCollapsar)攻擊,可以歸為DDoS攻擊的一種,是一種連接攻擊,原理為通過(guò)發(fā)送大量的請(qǐng)求數(shù)據(jù)來(lái)導(dǎo)致服務(wù)器拒絕服務(wù)。其中CC攻擊又可分為代理CC攻擊和肉雞CC攻擊。代理CC攻擊是黑客借助代理服務(wù)器生成指向受害主機(jī)的合法網(wǎng)頁(yè)請(qǐng)求,實(shí)現(xiàn)攻擊。肉雞就是被黑客攻破,種植了木馬病毒的電腦,肉雞CC攻擊是黑客使用CC攻擊軟件,控制大量肉雞,發(fā)動(dòng)攻擊。對(duì)于前述的連接攻擊,目前的解決方案基本上都是實(shí)時(shí)獲取每個(gè)IP地址的鏈接數(shù),即頁(yè)面請(qǐng)求數(shù),將預(yù)定時(shí)間內(nèi)鏈接數(shù)超過(guò)一定閥值的IP地址加入黑名單中,禁止該IP地址的訪問(wèn)。這種方法,對(duì)于普通的ddos攻擊,可以取得較好的效果,但是針對(duì)黑客掌握大量肉雞,然后通過(guò)肉雞來(lái)攻擊,并通過(guò)控制肉雞的連接數(shù)的情況,這可能起不到任何效果,因此目前的方法具有一定的使用局限性,無(wú)法準(zhǔn)確的識(shí)別肉雞CC攻擊。技術(shù)實(shí)現(xiàn)要素:本申請(qǐng)?zhí)峁┮环N惡意攻擊識(shí)別方法及系統(tǒng),能夠解決惡意攻擊識(shí)別局限性和準(zhǔn)確性的問(wèn)題。為了解決上述問(wèn)題,本申請(qǐng)公開了一種惡意攻擊識(shí)別方法,包括以下步驟:讀取最新的web訪問(wèn)日志;判斷所述最新的web訪問(wèn)日志中是否包含靜態(tài)資源文件,若是,則不作處理,反之,則進(jìn)行下一步驟;獲取所述新的web訪問(wèn)日志中所包含的IP地址的頁(yè)面請(qǐng)求數(shù),判斷單個(gè)IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊。進(jìn)一步地,所述讀取最新的web訪問(wèn)日志包括:間隔預(yù)定時(shí)間讀取一次;或?qū)π碌膚eb訪問(wèn)日志數(shù)量進(jìn)行監(jiān)控,若新的web訪問(wèn)日志數(shù)量超過(guò)預(yù)定值,則讀取一次。進(jìn)一步地,所述讀取最新的web訪問(wèn)日志包括:間隔預(yù)定時(shí)間讀取固定數(shù)量的web訪問(wèn)日志;記錄每次讀取的最新web訪問(wèn)日志產(chǎn)生的時(shí)間點(diǎn),并進(jìn)行標(biāo)識(shí);若下次讀取的web訪問(wèn)日志中包含有前一次讀取的最新web訪問(wèn)日志產(chǎn)生的時(shí)間點(diǎn),則只保留該時(shí)間點(diǎn)之后的web訪問(wèn)日志。進(jìn)一步地,判斷所述最新的web訪問(wèn)日志中是否包含靜態(tài)資源文件包括:獲取新的web訪問(wèn)日志中各文件的后綴;將所述后綴與預(yù)先存儲(chǔ)的后綴進(jìn)行匹配;若新的web訪問(wèn)日志中任何一個(gè)文件的后綴能與預(yù)先存儲(chǔ)的后綴中的任何一個(gè)匹配上,則確定新的web訪問(wèn)日志中包含有靜態(tài)資源文件。進(jìn)一步地,所述判斷單個(gè)IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值包括:統(tǒng)計(jì)新的web訪問(wèn)日志中每個(gè)IP地址分別對(duì)應(yīng)的頁(yè)面請(qǐng)求數(shù);選取頁(yè)面請(qǐng)求數(shù)最大的IP地址;判斷該IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊,并進(jìn)行下一步驟;反之,則確定新的web訪問(wèn)日志中所包含的IP地址的頁(yè)面請(qǐng)求數(shù)未超過(guò)閾值;從余下的IP地址中選取頁(yè)面請(qǐng)求數(shù)最大的IP地址,并重復(fù)前一步驟。進(jìn)一步地,所述判斷單個(gè)IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值包括:S1,統(tǒng)計(jì)新的web訪問(wèn)日志中每個(gè)IP地址分別對(duì)應(yīng)的頁(yè)面請(qǐng)求數(shù);S2,按照頁(yè)面請(qǐng)求數(shù)從大到小的順序?qū)λ械腎P地址進(jìn)行排序;S3,選取序號(hào)在預(yù)定數(shù)值內(nèi)的IP地址;S4,逐個(gè)判斷選取的IP地址中各IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊,并進(jìn)行步驟S5,反之,則不作處理;S5,對(duì)未被選取的IP地址按照頁(yè)面請(qǐng)求數(shù)從大到小的順序重新進(jìn)行排序,并重復(fù)步驟S3和S4。進(jìn)一步地,所述步驟S4包括:按照序號(hào)從大到小選取最大序號(hào)的IP地址;判斷該IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定序號(hào)小于和等于當(dāng)前IP地址的所有IP地址的頁(yè)面請(qǐng)求數(shù)都超過(guò)閾值;若否,則進(jìn)行下一步驟;按照序號(hào)從大到小選取下一序號(hào)的IP地址,重復(fù)前一步驟。進(jìn)一步地,所述方法還包括:禁止確定為惡意攻擊的IP地址的訪問(wèn)。進(jìn)一步地,所述禁止確定為惡意攻擊的IP地址的訪問(wèn)包括:將確定為惡意攻擊的IP地址加入軟件防火墻的禁用列表中。為了解決上述問(wèn)題,本申請(qǐng)還公開了一種惡意攻擊識(shí)別系統(tǒng),包括:訪問(wèn)日志讀取模塊,用于讀取最新的web訪問(wèn)日志;靜態(tài)資源文件判斷模塊,用于判斷所述最新的web訪問(wèn)日志中是否包含靜態(tài)資源文件;頁(yè)面請(qǐng)求數(shù)判斷模塊,用于獲取所述新的web訪問(wèn)日志中所包含的IP地址的頁(yè)面請(qǐng)求數(shù),判斷單個(gè)IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊。進(jìn)一步地,所述訪問(wèn)日志讀取模塊包括:時(shí)間單元,用于間隔預(yù)定時(shí)間觸發(fā)訪問(wèn)日志模塊讀取新的web訪問(wèn)日志;或數(shù)量單元,用于對(duì)新的web訪問(wèn)日志數(shù)量進(jìn)行監(jiān)控,若新的web訪問(wèn)日志數(shù)量超過(guò)預(yù)定值,則觸發(fā)訪問(wèn)日志模塊讀取新的web訪問(wèn)日志。進(jìn)一步地,所述訪問(wèn)日志讀取模塊包括:讀取單元,用于間隔預(yù)定時(shí)間讀取固定數(shù)量的web訪問(wèn)日志;時(shí)間點(diǎn)標(biāo)識(shí)單元,用于記錄每次讀取的最新web訪問(wèn)日志產(chǎn)生的時(shí)間點(diǎn),并進(jìn)行標(biāo)識(shí);選擇單元,用于判斷下次讀取的web訪問(wèn)日志中是否包含有前一次讀取的最新web訪問(wèn)日志產(chǎn)生的時(shí)間點(diǎn),若有,則只保留該時(shí)間點(diǎn)之后的web訪問(wèn)日志。進(jìn)一步地,所述靜態(tài)資源文件判斷模塊包括:后綴獲取單元,用于獲取新的web訪問(wèn)日志中各文件的后綴;匹配單元,用于將所述后綴與預(yù)先存儲(chǔ)的后綴進(jìn)行匹配;確定單元,用于根據(jù)匹配結(jié)果確定新的web訪問(wèn)日志中是否包含靜態(tài)資源文件。進(jìn)一步地,所述頁(yè)面請(qǐng)求數(shù)判斷模塊包括:統(tǒng)計(jì)單元,用于統(tǒng)計(jì)新的web訪問(wèn)日志中每個(gè)IP地址分別對(duì)應(yīng)的頁(yè)面請(qǐng)求數(shù);最大頁(yè)面請(qǐng)求數(shù)選取單元,用于選取頁(yè)面請(qǐng)求數(shù)最大的IP地址;比較單元,用于判斷該IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊,并觸發(fā)最大頁(yè)面請(qǐng)求數(shù)選取單元重新選取新的IP地址再次進(jìn)行比較;反之,則確定新的web訪問(wèn)日志中所包含的IP地址的頁(yè)面請(qǐng)求數(shù)未超過(guò)閾值。進(jìn)一步地,所述頁(yè)面請(qǐng)求數(shù)判斷模塊包括:統(tǒng)計(jì)單元,用于統(tǒng)計(jì)新的web訪問(wèn)日志中每個(gè)IP地址分別對(duì)應(yīng)的頁(yè)面請(qǐng)求數(shù);排序單元,用于按照頁(yè)面請(qǐng)求數(shù)從大到小的順序?qū)λ械腎P地址進(jìn)行排序;選取單元,用于選取序號(hào)在預(yù)定數(shù)值內(nèi)的IP地址;判斷單元,用于逐個(gè)判斷選取的IP地址中各IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊,并觸發(fā)排序單元對(duì)余下的IP地址重新排序,然后通過(guò)選取單元和判斷單元重新選取和判斷,反之,則不作處理。進(jìn)一步地,所述判斷單元包括:最大序號(hào)選取子單元,用于按照序號(hào)從大到小選取最大序號(hào)的IP地址;確定子單元,用于判斷該IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定序號(hào)小于和等于當(dāng)前IP地址的所有IP地址的頁(yè)面請(qǐng)求數(shù)都超過(guò)閾值,若否,則觸發(fā)最大序號(hào)選取子單元重新選取并再次判斷。進(jìn)一步地,所述系統(tǒng)還包括:禁止訪問(wèn)模塊,用于禁止確定為惡意攻擊的IP地址的訪問(wèn)。與現(xiàn)有技術(shù)相比,本申請(qǐng)包括以下優(yōu)點(diǎn):本申請(qǐng)的惡意攻擊識(shí)別方法及系統(tǒng),通過(guò)實(shí)時(shí)監(jiān)控新的web訪問(wèn)日志,根據(jù)新的web訪問(wèn)日志中所包含的文件來(lái)判斷一個(gè)IP地址對(duì)服務(wù)器的訪問(wèn)是否為惡意訪問(wèn),利用人工正常訪問(wèn)和惡意攻擊的區(qū)別進(jìn)行實(shí)時(shí)判斷,同時(shí)再結(jié)合頁(yè)面請(qǐng)求數(shù)來(lái)綜合判斷,可以保證判斷結(jié)果的準(zhǔn)確性,同時(shí)可以識(shí)別出惡意攻擊者利用正常用戶的客戶端來(lái)進(jìn)行的惡意攻擊,提高了惡意攻擊識(shí)別率。另外,在進(jìn)行新的web訪問(wèn)日志讀取的過(guò)程中,采用時(shí)間點(diǎn)和數(shù)量像結(jié)合的方式,可以實(shí)時(shí)獲取最新的web訪問(wèn)日志,又可以避免重復(fù)讀取,可以提高識(shí)別惡意攻擊的效率。進(jìn)一步地,在進(jìn)行頁(yè)面請(qǐng)求數(shù)判斷的時(shí)候,通過(guò)對(duì)新的web訪問(wèn)日志中各IP地址的頁(yè)面請(qǐng)求數(shù)進(jìn)行排序的方式來(lái)進(jìn)行是否超過(guò)閾值的比較,可以快速的得出結(jié)果,提高了識(shí)別效率。當(dāng)然,實(shí)施本申請(qǐng)的任一產(chǎn)品不一定需要同時(shí)達(dá)到以上所述的所有優(yōu)點(diǎn)。附圖說(shuō)明圖1是本申請(qǐng)的惡意攻擊識(shí)別實(shí)現(xiàn)的系統(tǒng)架構(gòu)圖;圖2是本申請(qǐng)的惡意攻擊識(shí)別方法實(shí)施例一的流程圖;圖3是本申請(qǐng)的惡意攻擊識(shí)別方法實(shí)施例二的流程圖;圖4是本申請(qǐng)的惡意攻擊識(shí)別系統(tǒng)實(shí)施例一的結(jié)構(gòu)示意圖;圖5是本申請(qǐng)的惡意攻擊識(shí)別系統(tǒng)實(shí)施例二的結(jié)構(gòu)示意圖。具體實(shí)施方式為使本申請(qǐng)的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖和具體實(shí)施方式對(duì)本申請(qǐng)作進(jìn)一步詳細(xì)的說(shuō)明。參照?qǐng)D1,示出實(shí)現(xiàn)本申請(qǐng)的惡意攻擊識(shí)別系統(tǒng)架構(gòu)圖。通過(guò)在服務(wù)器中設(shè)置惡意攻擊識(shí)別裝置來(lái)實(shí)時(shí)獲取各IP地址對(duì)網(wǎng)站的web訪問(wèn)日志,并從web訪問(wèn)日志中獲取相關(guān)信息來(lái)進(jìn)行判斷,并將實(shí)時(shí)判斷結(jié)果反饋給服務(wù)器,從而實(shí)現(xiàn)對(duì)惡意攻擊的IP地址的實(shí)時(shí)監(jiān)控。下面對(duì)本申請(qǐng)的惡意攻擊識(shí)別方法及系統(tǒng)進(jìn)行詳細(xì)的說(shuō)明。參照?qǐng)D2,示出本申請(qǐng)的一種惡意攻擊識(shí)別方法實(shí)施例一,包括以下步驟:步驟101,讀取最新的web訪問(wèn)日志。其中最新的web訪問(wèn)日志可以通過(guò)如下方式讀?。嚎梢栽O(shè)定讀取的時(shí)間,間隔預(yù)定時(shí)間讀取一次,例如每隔一分鐘讀取這一分鐘內(nèi)的所有新的web訪問(wèn)日志。也可以設(shè)定讀取的條數(shù),通過(guò)對(duì)新的web訪問(wèn)日志數(shù)量進(jìn)行實(shí)時(shí)監(jiān)控,當(dāng)新的web訪問(wèn)日志數(shù)量超過(guò)設(shè)定條數(shù)時(shí)從服務(wù)器中存儲(chǔ)web訪問(wèn)日志的數(shù)據(jù)庫(kù)中讀取,例如當(dāng)新的web訪問(wèn)日志數(shù)量超過(guò)1000時(shí),讀取一次??梢岳斫?,還可以采用間隔一定時(shí)間讀取一定數(shù)量的web訪問(wèn)日志的方式,即不對(duì)web訪問(wèn)日志數(shù)量進(jìn)行監(jiān)控,也不監(jiān)控是否是新的web訪問(wèn)日志。而是以讀取的web訪問(wèn)日志的時(shí)間點(diǎn)來(lái)進(jìn)行判斷。每隔一定時(shí)間讀取固定數(shù)量的web訪問(wèn)日志,讀取后記錄本次讀取的最新web訪問(wèn)日志產(chǎn)生的時(shí)間點(diǎn),并進(jìn)行標(biāo)識(shí),當(dāng)下次讀取出來(lái)的web訪問(wèn)日志包含有上次讀取的最新web訪問(wèn)日志產(chǎn)生的時(shí)間點(diǎn),則截止到這個(gè)時(shí)間點(diǎn),即只保留這個(gè)時(shí)間點(diǎn)以后產(chǎn)生的web訪問(wèn)日志。通過(guò)數(shù)量與時(shí)間點(diǎn)的結(jié)合,可以保證每次讀取的web訪問(wèn)日志不會(huì)重復(fù),同時(shí)無(wú)需進(jìn)行實(shí)時(shí)監(jiān)控,可以減少對(duì)服務(wù)器資源的占用??梢岳斫獾氖牵瑸榱吮苊饷看巫x取的web訪問(wèn)日志中包含較多上次讀取的時(shí)間點(diǎn)前的web訪問(wèn)日志,或者不能完全讀取新的web訪問(wèn)日志??梢灶A(yù)先對(duì)web訪問(wèn)日志產(chǎn)生的數(shù)量進(jìn)行統(tǒng)計(jì)和估計(jì),確定一個(gè)較為合適的數(shù)量。步驟102,判斷所述最新的web訪問(wèn)日志中是否包含靜態(tài)資源文件,若是,則不作處理,反之,則進(jìn)行下一步驟。判斷是否包含靜態(tài)資源文件可以通過(guò)獲取web訪問(wèn)日志中各文件的后綴,并與預(yù)先存儲(chǔ)的代表靜態(tài)資源文件的后綴進(jìn)行匹配,若新的web訪問(wèn)日志中任何一個(gè)文件的后綴能與預(yù)先存儲(chǔ)的后綴中的任何一個(gè)匹配上,則說(shuō)明最新的web訪問(wèn)日志中包含有靜態(tài)資源文件,反之,則說(shuō)明不包含。其中預(yù)先存儲(chǔ)的代表靜態(tài)資源文件的后綴可以通過(guò)實(shí)際情況分析獲取,并與記錄表等形式存儲(chǔ)在服務(wù)器中或者下載到本地客戶端。通常情況下,靜態(tài)資源文件包含圖片、css樣式文件或javascript腳本文件??梢詫?duì)這些文件的后綴進(jìn)行提取并存儲(chǔ),以供后續(xù)匹配使用。因?yàn)槭欠癜o態(tài)資源文件是正常用戶與惡意攻擊者在訪問(wèn)網(wǎng)站時(shí)的區(qū)別點(diǎn),通常情況下,惡意攻擊者為了實(shí)現(xiàn)惡意攻擊,只是不斷提出訪問(wèn)請(qǐng)求,并不會(huì)真正的去請(qǐng)求網(wǎng)站中所有頁(yè)面資源,特別是耗時(shí)的靜態(tài)頁(yè)面資源,通過(guò)此種方式,可以對(duì)惡意攻擊進(jìn)行很好的識(shí)別。步驟103,獲取所述新的web訪問(wèn)日志中所包含的IP地址的頁(yè)面請(qǐng)求數(shù),判斷單個(gè)IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊。單個(gè)IP地址的頁(yè)面請(qǐng)求數(shù)可以根據(jù)web訪問(wèn)日志的數(shù)量來(lái)確定,每個(gè)IP地址的web訪問(wèn)日志的數(shù)量即為其頁(yè)面請(qǐng)求數(shù)。優(yōu)選地,為了減少判斷次數(shù),還可以通過(guò)如下方式來(lái)對(duì)web訪問(wèn)日志所包含的IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值進(jìn)行判斷:統(tǒng)計(jì)新的web訪問(wèn)日志中每個(gè)IP地址分別對(duì)應(yīng)的頁(yè)面請(qǐng)求數(shù);選取頁(yè)面請(qǐng)求數(shù)最大的IP地址;判斷該IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊,并進(jìn)行下一步驟;反之,則確定新的web訪問(wèn)日志中所包含的IP地址的頁(yè)面請(qǐng)求數(shù)未超過(guò)閾值;從余下的IP地址中選取頁(yè)面請(qǐng)求數(shù)最大的IP地址,并重復(fù)前一步驟。閾值可以根據(jù)設(shè)定的讀取新的web訪問(wèn)日志的時(shí)間間隔等因素設(shè)定,例如,當(dāng)讀取新的web訪問(wèn)日志的時(shí)間間隔為1分鐘時(shí),可以設(shè)定閾值為100個(gè)或50個(gè),因?yàn)檎G闆r下,一個(gè)正常用戶幾乎不可能在短時(shí)間內(nèi)提出100次或50次訪問(wèn)請(qǐng)求。具體數(shù)值本申請(qǐng)對(duì)此并不限制,可以理解的是,為了避免出現(xiàn)誤判,可以在允許的情況下適當(dāng)提高閾值。可以理解,還可以通過(guò)如下方式來(lái)對(duì)web訪問(wèn)日志所包含的IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值進(jìn)行判斷:S1,統(tǒng)計(jì)新的web訪問(wèn)日志中所有的IP地址分別對(duì)應(yīng)的頁(yè)面請(qǐng)求數(shù);S2,按照頁(yè)面請(qǐng)求數(shù)從大到小的順序?qū)λ械腎P地址進(jìn)行排序;S3,選取序號(hào)在預(yù)定數(shù)值內(nèi)的IP地址;S4,逐個(gè)判斷選取的IP地址中各IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊,并進(jìn)行步驟S5,反之,則不作處理;S5,對(duì)未被選取的IP地址按照頁(yè)面請(qǐng)求數(shù)從大到小的順序重新進(jìn)行排序,并重復(fù)步驟S3和S4。其中,預(yù)定數(shù)值可以根據(jù)實(shí)際情況設(shè)定,可以考慮的因素包括但不限于服務(wù)器的運(yùn)算能力和效率、新的web訪問(wèn)日志中可能包含的IP地址數(shù)量,或者新的web訪問(wèn)日志中可能超過(guò)閾值的IP地址數(shù)量等等。其中,IP地址數(shù)量可以根據(jù)歷史數(shù)據(jù)統(tǒng)計(jì)得出,也可以根據(jù)經(jīng)驗(yàn)估計(jì)。總的來(lái)書,預(yù)定數(shù)值的設(shè)定,只要能夠快速的得出判斷結(jié)果即可,本申請(qǐng)對(duì)此并不限制。例如,每次選取50個(gè)序號(hào)等等。優(yōu)選地,因?yàn)楦鱅P地址按照頁(yè)面請(qǐng)求數(shù)的大小進(jìn)行過(guò)排序,因此步驟S4還可以通過(guò)如下方式進(jìn)行判斷,即:按照序號(hào)從大到小選取最大序號(hào)的IP地址;判斷該IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定序號(hào)小于和等于當(dāng)前IP地址的所有IP地址的頁(yè)面請(qǐng)求數(shù)都超過(guò)閾值;若否,則進(jìn)行下一步驟;按照序號(hào)從大到小選取下一序號(hào)的IP地址,重復(fù)前一步驟。參照?qǐng)D3,示出本申請(qǐng)的惡意攻擊識(shí)別方法實(shí)施例二,在實(shí)施例一的基礎(chǔ)上還包括:步驟201,禁止確定為惡意攻擊的IP地址的訪問(wèn)。禁止所述IP地址的訪問(wèn)包括將IP地址加入軟件防火墻的禁用列表中,可以理解,還可以通過(guò)其他方式來(lái)實(shí)現(xiàn),具體可以通過(guò)根據(jù)需要設(shè)定特定程序來(lái)實(shí)現(xiàn)。例如,在centos或redhat下一般為iptables,這些軟件都會(huì)提供命令來(lái)執(zhí)行將IP地址加入禁用列表的過(guò)程,例如,/sbin/iptables-AINPUT-ptcp-s192.168.1.12-jDROP。在前述方法中,通過(guò)實(shí)時(shí)監(jiān)控新的web訪問(wèn)日志,根據(jù)新的web訪問(wèn)日志中所包含的文件來(lái)判斷一個(gè)IP地址對(duì)服務(wù)器的訪問(wèn)是否為惡意訪問(wèn),利用人工正常訪問(wèn)和惡意攻擊的區(qū)別進(jìn)行實(shí)時(shí)判斷,同時(shí)再結(jié)合頁(yè)面請(qǐng)求數(shù)來(lái)綜合判斷,可以保證判斷結(jié)果的準(zhǔn)確性,同時(shí)可以識(shí)別出惡意攻擊者利用正常用戶的客戶端來(lái)進(jìn)行的惡意攻擊,提高了惡意攻擊識(shí)別率。另外,在進(jìn)行新的web訪問(wèn)日志讀取的過(guò)程中,采用時(shí)間點(diǎn)和數(shù)量像結(jié)合的方式,可以實(shí)時(shí)獲取最新的web訪問(wèn)日志,又可以避免重復(fù)讀取,可以提高識(shí)別惡意攻擊的效率。進(jìn)一步地,在進(jìn)行頁(yè)面請(qǐng)求數(shù)判斷的時(shí)候,通過(guò)對(duì)新的web訪問(wèn)日志中各IP地址的頁(yè)面請(qǐng)求數(shù)進(jìn)行排序的方式來(lái)進(jìn)行是否超過(guò)閾值的比較,可以快速的得出結(jié)果,提高了識(shí)別效率。參照?qǐng)D4,示出本申請(qǐng)的一種惡意攻擊識(shí)別系統(tǒng),包括訪問(wèn)日志讀取模塊10、靜態(tài)資源文件判斷模塊20和頁(yè)面請(qǐng)求數(shù)判斷模塊30。訪問(wèn)日志讀取模塊10,用于讀取最新的web訪問(wèn)日志。靜態(tài)資源文件判斷模塊20,用于判斷所述最新的web訪問(wèn)日志中是否包含靜態(tài)資源文件。頁(yè)面請(qǐng)求數(shù)判斷模塊30,用于獲取所述新的web訪問(wèn)日志中所包含的IP地址的頁(yè)面請(qǐng)求數(shù),判斷單個(gè)IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊。其中,訪問(wèn)日志讀取模塊10包括時(shí)間單元或數(shù)量單元。時(shí)間單元,用于間隔預(yù)定時(shí)間觸發(fā)訪問(wèn)日志模塊讀取新的web訪問(wèn)日志。數(shù)量單元,用于對(duì)新的web訪問(wèn)日志數(shù)量進(jìn)行監(jiān)控,若新的web訪問(wèn)日志數(shù)量超過(guò)預(yù)定值,則觸發(fā)訪問(wèn)日志模塊讀取新的web訪問(wèn)日志。優(yōu)選地,訪問(wèn)日志讀取模塊10也可以包括讀取單元、時(shí)間點(diǎn)標(biāo)識(shí)單元和選擇單元。讀取單元,用于間隔預(yù)定時(shí)間讀取固定數(shù)量的web訪問(wèn)日志。時(shí)間點(diǎn)標(biāo)識(shí)單元,用于記錄每次讀取的最新web訪問(wèn)日志產(chǎn)生的時(shí)間點(diǎn),并進(jìn)行標(biāo)識(shí)。選擇單元,用于判斷下次讀取的web訪問(wèn)日志中是否包含有前一次讀取的最新web訪問(wèn)日志產(chǎn)生的時(shí)間點(diǎn),若有,則只保留該時(shí)間點(diǎn)之后的web訪問(wèn)日志。優(yōu)選地,靜態(tài)資源文件判斷模塊20包括后綴獲取單元、匹配單元和確定單元。后綴獲取單元,用于獲取新的web訪問(wèn)日志中各文件的后綴。匹配單元,用于將所述后綴與預(yù)先存儲(chǔ)的后綴進(jìn)行匹配。確定單元,用于根據(jù)匹配結(jié)果確定新的web訪問(wèn)日志中是否包含靜態(tài)資源文件。優(yōu)選地,頁(yè)面請(qǐng)求數(shù)判斷模塊30包括統(tǒng)計(jì)單元、最大頁(yè)面請(qǐng)求數(shù)選取單元和比較單元。統(tǒng)計(jì)單元,用于統(tǒng)計(jì)新的web訪問(wèn)日志中每個(gè)IP地址分別對(duì)應(yīng)的頁(yè)面請(qǐng)求數(shù)。最大頁(yè)面請(qǐng)求數(shù)選取單元,用于選取頁(yè)面請(qǐng)求數(shù)最大的IP地址。比較單元,用于判斷該IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊,并觸發(fā)最大頁(yè)面請(qǐng)求數(shù)選取單元重新選取新的IP地址再次進(jìn)行比較;反之,則確定新的web訪問(wèn)日志中所包含的IP地址的頁(yè)面請(qǐng)求數(shù)未超過(guò)閾值。可以理解,頁(yè)面請(qǐng)求數(shù)判斷模塊30還可以包括統(tǒng)計(jì)單元、排序單元、選取單元和判斷單元。統(tǒng)計(jì)單元,用于統(tǒng)計(jì)新的web訪問(wèn)日志中每個(gè)IP地址分別對(duì)應(yīng)的頁(yè)面請(qǐng)求數(shù)。排序單元,用于按照頁(yè)面請(qǐng)求數(shù)從大到小的順序?qū)λ械腎P地址進(jìn)行排序。選取單元,用于選取序號(hào)在預(yù)定數(shù)值內(nèi)的IP地址。判斷單元,用于逐個(gè)判斷選取的IP地址中各IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定所述IP地址的訪問(wèn)為惡意攻擊,并觸發(fā)排序單元對(duì)余下的IP地址重新排序,然后通過(guò)選取單元和判斷單元重新選取和判斷,反之,則不作處理。優(yōu)選地,判斷單元還可以包括最大序號(hào)選取子單元和確定子單元。最大序號(hào)選取子單元,用于按照序號(hào)從大到小選取最大序號(hào)的IP地址。確定子單元,用于判斷該IP地址的頁(yè)面請(qǐng)求數(shù)是否超過(guò)閾值,若是,則確定序號(hào)小于和等于當(dāng)前IP地址的所有IP地址的頁(yè)面請(qǐng)求數(shù)都超過(guò)閾值,若否,則觸發(fā)最大序號(hào)選取子單元重新選取并再次判斷。參照?qǐng)D5,示出本申請(qǐng)的惡意攻擊識(shí)別系統(tǒng)實(shí)施例二,在實(shí)施例一的基礎(chǔ)上還包括禁止訪問(wèn)模塊40,用于禁止確定為惡意攻擊的IP地址的訪問(wèn)。其中可以通過(guò)將IP地址添加入軟件防火墻的禁用列表中的方式來(lái)實(shí)現(xiàn)禁止訪問(wèn)。本說(shuō)明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處,各個(gè)實(shí)施例之間相同相似的部分互相參見即可。對(duì)于系統(tǒng)實(shí)施例而言,由于其與方法實(shí)施例基本相似,所以描述的比較簡(jiǎn)單,相關(guān)之處參見方法實(shí)施例的部分說(shuō)明即可。以上對(duì)本申請(qǐng)所提供的惡意攻擊識(shí)別方法及系統(tǒng)進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對(duì)本申請(qǐng)的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說(shuō)明只是用于幫助理解本申請(qǐng)的方法及其核心思想;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本申請(qǐng)的思想,在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處,綜上所述,本說(shuō)明書內(nèi)容不應(yīng)理解為對(duì)本申請(qǐng)的限制。當(dāng)前第1頁(yè)1 2 3