一種cc攻擊的檢測(cè)方法及其檢測(cè)系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)�����,旨在提供一種CC攻擊的檢測(cè)方法及其檢測(cè)系統(tǒng)�。該種CC攻擊的檢測(cè)方法包括步驟:接受請(qǐng)求IP對(duì)網(wǎng)站頁面訪問的請(qǐng)求,統(tǒng)計(jì)請(qǐng)求IP的請(qǐng)求速率�����,計(jì)算本次請(qǐng)求集中度,統(tǒng)計(jì)請(qǐng)求IP對(duì)請(qǐng)求頁面的集中請(qǐng)求計(jì)數(shù)�,根據(jù)請(qǐng)求次數(shù)閾值判定是否為CC攻擊;該種CC攻擊的檢測(cè)系統(tǒng)包括請(qǐng)求速率統(tǒng)計(jì)裝置���、集中度計(jì)算裝置����、集中請(qǐng)求計(jì)數(shù)計(jì)算裝置��、請(qǐng)求的各項(xiàng)數(shù)值記錄裝置�、CC攻擊判定裝置。本發(fā)明提出的檢測(cè)方法和檢測(cè)系統(tǒng)具有靈敏準(zhǔn)確的優(yōu)點(diǎn)����,能夠?qū)Ψ植际降腃C攻擊方式進(jìn)行有效檢測(cè)。
【專利說明】—種CC攻擊的檢測(cè)方法及其檢測(cè)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明是關(guān)于網(wǎng)絡(luò)安全技術(shù)����,特別涉及一種CC攻擊的檢測(cè)方法及其檢測(cè)系統(tǒng)。
【背景技術(shù)】
[0002]CC(Challenge Collapsar)攻擊是一種針對(duì)應(yīng)用層WEB服務(wù)的攻擊方法�����。它與DDoS攻擊本質(zhì)上是一樣的,都是以耗盡服務(wù)器資源造成拒絕服務(wù)為目的�����。
[0003]CC攻擊的原理并不復(fù)雜���,它利用應(yīng)用層的弱點(diǎn)進(jìn)行攻擊����。網(wǎng)站中性能不優(yōu)的數(shù)據(jù)查詢�����,不良的程序執(zhí)行結(jié)構(gòu)�,以及比較消耗資源的功能等,都可能成為CC攻擊的目標(biāo)����。例如�,論壇的搜索功能,需要消耗大量的數(shù)據(jù)庫查詢時(shí)間和系統(tǒng)資源�����。攻擊者通過頻繁調(diào)用搜索功能,使查詢請(qǐng)求累積不能立即完成�����,資源無法釋放����,導(dǎo)致數(shù)據(jù)庫請(qǐng)求連接過多,數(shù)據(jù)庫阻塞��,網(wǎng)站無法正常打開��。
[0004]目前對(duì)CC攻擊的檢測(cè)大多是通過測(cè)量IP的請(qǐng)求速率實(shí)現(xiàn)��,當(dāng)IP的請(qǐng)求速率達(dá)到設(shè)定閾值時(shí)����,判定為攻擊。然而����,現(xiàn)在的CC攻擊方式,一般是利用分布式的代理服務(wù)器或僵尸網(wǎng)絡(luò)制造大量請(qǐng)求發(fā)向受害網(wǎng)站����。每個(gè)代理或僵尸IP發(fā)送的請(qǐng)求速率不一定很高���。例如,CC攻擊者操控100個(gè)代理時(shí)�����,要制造1000的并發(fā)請(qǐng)求�,平均到每個(gè)代理只需要10個(gè)并發(fā),在請(qǐng)求速率上不會(huì)表現(xiàn)出明顯的異常���。所以通過IP請(qǐng)求速率檢測(cè)CC攻擊往往很難湊效�����。因此��,需要一種更加準(zhǔn)確有效的CC攻擊檢測(cè)方法��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的在于克服現(xiàn)有技術(shù)中的不足���,提供一種能夠靈敏準(zhǔn)確檢測(cè)CC攻擊的檢測(cè)方法及其檢測(cè)系統(tǒng)。為解決上述技術(shù)問題����,本發(fā)明的解決方案是:
[0006]提供一種CC攻擊的檢測(cè)方法,用于判斷請(qǐng)求IP對(duì)網(wǎng)站頁面訪問的請(qǐng)求是否為非CC攻擊,具體包括下述步驟:
[0007](I)接受請(qǐng)求IP對(duì)網(wǎng)站頁面訪問的請(qǐng)求��;
[0008](2)統(tǒng)計(jì)請(qǐng)求IP的請(qǐng)求速率�����;
[0009](3)計(jì)算本次請(qǐng)求集中度�����;
[0010](4)統(tǒng)計(jì)請(qǐng)求IP對(duì)請(qǐng)求頁面的集中請(qǐng)求計(jì)數(shù)�����;
[0011](5)根據(jù)請(qǐng)求次數(shù)閾值判定是否為CC攻擊�;
[0012]所述步驟(2)具體包括:分別計(jì)算請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率;
[0013]所述步驟(3)具體包括:將步驟(2)中得到的請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率除以請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率����,得到本次請(qǐng)求集中度;
[0014]所述步驟(4)具體包括:設(shè)集中請(qǐng)求計(jì)數(shù)���,并設(shè)定每個(gè)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)的初始值為0����,請(qǐng)求IP對(duì)網(wǎng)站頁面發(fā)出請(qǐng)求,當(dāng)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)發(fā)生改變后,請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)進(jìn)行更新存儲(chǔ)�;判斷步驟(3)中得到的本次請(qǐng)求集中度是否大于集中度閾值,若本次請(qǐng)求集中度大于集中度閾值�����,則將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)加I ;若本次請(qǐng)求集中度不大于集中度閾值�����,則將請(qǐng)求IP對(duì)請(qǐng)求頁面的集中請(qǐng)求計(jì)數(shù)清零��;所述集中度閾值是用于判斷請(qǐng)求是否為集中請(qǐng)求的閾值��,集中度閾值的取值范圍在O?100%之間�;
[0015]所述步驟(5)具體包括:如果步驟(4)中得到的請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)不超過集中請(qǐng)求次數(shù)閾值,則判定本次請(qǐng)求為非CC攻擊����;如果請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)超過集中請(qǐng)求次數(shù)閾值,則判定本次請(qǐng)求為CC攻擊����;所述集中請(qǐng)求次數(shù)閾值是預(yù)先設(shè)定的數(shù)值(由經(jīng)驗(yàn)得到的正常請(qǐng)求IP的集中請(qǐng)求次數(shù)的上限值)。
[0016]提供用于進(jìn)行所述的一種CC攻擊的檢測(cè)方法的檢測(cè)系統(tǒng),用于判斷請(qǐng)求IP對(duì)網(wǎng)站頁面訪問的請(qǐng)求是否為非CC攻擊�,一種CC攻擊的檢測(cè)系統(tǒng)包括請(qǐng)求速率統(tǒng)計(jì)裝置、集中度計(jì)算裝置�����、集中請(qǐng)求計(jì)數(shù)計(jì)算裝置�、請(qǐng)求的各項(xiàng)數(shù)值記錄裝置��、CC攻擊判定裝置��;
[0017]所述請(qǐng)求的各項(xiàng)數(shù)值記錄裝置包括IP記錄表和IP/URL記錄表�����;所述IP記錄表中存放的數(shù)據(jù)包括每個(gè)請(qǐng)求IP的請(qǐng)求次數(shù)以及每個(gè)請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率��,用于記錄每個(gè)請(qǐng)求IP的相關(guān)數(shù)值�����,當(dāng)需要查詢請(qǐng)求IP相關(guān)記錄時(shí)���,通過將IP散列作為索引在IP記錄表中查找�;所述IP/URL記錄表中存放的數(shù)據(jù)包括每個(gè)請(qǐng)求IP對(duì)每個(gè)URL的請(qǐng)求次數(shù)、請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率以及集中請(qǐng)求計(jì)數(shù)��,用于記錄每個(gè)請(qǐng)求IP對(duì)每個(gè)請(qǐng)求頁面的訪問相關(guān)數(shù)值���,當(dāng)需要查詢請(qǐng)求IP對(duì)請(qǐng)求URL訪問的相關(guān)記錄時(shí)�,通過將IP和URL結(jié)合再取散列值作為索引在IP/URL記錄表中查找��;其中�����,設(shè)定每個(gè)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)的初始值為0��,請(qǐng)求IP對(duì)網(wǎng)站頁面發(fā)出請(qǐng)求��,當(dāng)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)發(fā)生改變后,請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)進(jìn)行更新存儲(chǔ)����;
[0018]所述請(qǐng)求速率統(tǒng)計(jì)裝置用于根據(jù)請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求次數(shù)和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求次數(shù),分別計(jì)算在設(shè)定時(shí)間長度(速率的計(jì)算時(shí)間間隔預(yù)先設(shè)定)內(nèi)�,請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率,并在請(qǐng)求的各項(xiàng)數(shù)據(jù)記錄裝置中��,對(duì)請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率進(jìn)行更新��;
[0019]所述集中度計(jì)算裝置從請(qǐng)求的各項(xiàng)數(shù)據(jù)記錄裝置中,獲取請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率,計(jì)算請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率除以請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率的值��,得到本次請(qǐng)求集中度�;
[0020]所述集中請(qǐng)求計(jì)數(shù)計(jì)算裝置用于根據(jù)集中度計(jì)算裝置計(jì)算得到的本次請(qǐng)求集中度,判斷本次請(qǐng)求是否為集中請(qǐng)求���;具體判斷方法為:首先從請(qǐng)求的各項(xiàng)數(shù)值記錄裝置中讀取請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)����,然后判斷集中度計(jì)算裝置計(jì)算得到的本次請(qǐng)求集中度是否大于集中度閾值�����,若本次請(qǐng)求集中度大于集中度閾值����,則將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)加1���,若本次請(qǐng)求集中度不大于集中度閾值���,則將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)清零,并將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)在請(qǐng)求的各項(xiàng)數(shù)值記錄裝置中進(jìn)行更新����;所述集中度閾值是用于判斷請(qǐng)求是否為集中請(qǐng)求的閾值���,集中度閾值的取值范圍在O?100%之間;
[0021]所述CC攻擊判定裝置用于從請(qǐng)求的各項(xiàng)數(shù)值記錄裝置中讀取請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)�,判斷本次請(qǐng)求是否為CC攻擊,具體判斷方法為:如果請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)不超過集中請(qǐng)求次數(shù)閾值�,則判定本次請(qǐng)求為非CC攻擊;如果請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)超過集中請(qǐng)求次數(shù)閾值�����,則說明請(qǐng)求IP對(duì)請(qǐng)求頁面的訪問是集中請(qǐng)求��,判定本次請(qǐng)求為CC攻擊��。
[0022]本發(fā)明的工作原理:利用CC攻擊的攻擊對(duì)象具有針對(duì)性的特點(diǎn)�����,CC攻擊往往針對(duì)網(wǎng)站上脆弱或者資源消耗較大的固定一個(gè)或少數(shù)幾個(gè)頁面持續(xù)攻擊�,因此CC攻擊請(qǐng)求的請(qǐng)求頁面是很集中的。當(dāng)CC攻擊者控制大量代理IP訪問被攻擊頁面時(shí)��,每個(gè)IP的請(qǐng)求速率不會(huì)很高���,但是這些IP對(duì)被攻擊頁面的請(qǐng)求的集中度和集中訪問次數(shù)會(huì)比正常IP的請(qǐng)求高很多�。
[0023]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:
[0024]本發(fā)明提出的檢測(cè)方法和檢測(cè)系統(tǒng)具有靈敏準(zhǔn)確的優(yōu)點(diǎn)���,能夠?qū)Ψ植际降腃C攻擊方式進(jìn)行有效檢測(cè)����。
【專利附圖】
【附圖說明】
[0025]圖1為采用代理的分布式CC攻擊原理圖���。
[0026]圖2為本發(fā)明檢測(cè)CC攻擊的實(shí)施例流程圖��。
[0027]圖3為本發(fā)明檢測(cè)CC攻擊的系統(tǒng)裝置圖。
【具體實(shí)施方式】
[0028]首先需要說明的是����,本發(fā)明涉及數(shù)據(jù)庫技術(shù),是計(jì)算機(jī)技術(shù)在信息安全【技術(shù)領(lǐng)域】的一種應(yīng)用��。在本發(fā)明的實(shí)現(xiàn)過程中���,會(huì)涉及到多個(gè)軟件功能模塊的應(yīng)用����。 申請(qǐng)人:認(rèn)為,如在仔細(xì)閱讀申請(qǐng)文件�、準(zhǔn)確理解本發(fā)明的實(shí)現(xiàn)原理和發(fā)明目的以后,在結(jié)合現(xiàn)有公知技術(shù)的情況下�,本領(lǐng)域技術(shù)人員完全可以運(yùn)用其掌握的軟件編程技能實(shí)現(xiàn)本發(fā)明。前述軟件功能模塊包括但不限于:請(qǐng)求速率統(tǒng)計(jì)裝置�、集中度計(jì)算裝置、集中請(qǐng)求計(jì)數(shù)計(jì)算裝置��、請(qǐng)求的各項(xiàng)數(shù)值記錄裝置����、CC攻擊判定裝置等,凡本發(fā)明申請(qǐng)文件提及的均屬此范疇��, 申請(qǐng)人:不再 列舉���。
[0029]下面結(jié)合附圖與【具體實(shí)施方式】對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述:
[0030]本發(fā)明的技術(shù)方案在檢測(cè)CC攻擊時(shí)���,主要利用的是CC攻擊IP與正常訪問IP對(duì)網(wǎng)站各個(gè)頁面的訪問的集中程度不同的特點(diǎn)。正常訪問IP在瀏覽網(wǎng)站時(shí)����,會(huì)分散的請(qǐng)求多個(gè)頁面,不會(huì)集中訪問一個(gè)頁面�,特別是不會(huì)長期一直集中在一個(gè)頁面上���;而CC攻擊者在發(fā)動(dòng)攻擊時(shí),會(huì)提前設(shè)定要攻擊的頁面(往往是資源消耗較大的動(dòng)態(tài)頁面)�����,之后攻擊者操控的代理或僵尸網(wǎng)絡(luò)會(huì)持續(xù)的向設(shè)定的頁面發(fā)送請(qǐng)求�,因此攻擊IP的請(qǐng)求是集中在設(shè)定的頁面上的,尤其會(huì)在CC攻擊的很長的期間內(nèi)持續(xù)這樣的集中請(qǐng)求�����,可參考圖1�。
[0031]因此,在檢測(cè)CC攻擊時(shí)����,通過統(tǒng)計(jì)和計(jì)算請(qǐng)求IP對(duì)請(qǐng)求頁面的訪問集中度�����,特別是集中度較高的請(qǐng)求的持續(xù)次數(shù)�,能夠有效區(qū)分正常請(qǐng)求IP和CC攻擊IP,并且能夠?qū)Ψ植际降牡驼?qǐng)求速率的CC攻擊依然保持很高的靈敏度和準(zhǔn)確度
[0032]如圖3所示的一種CC攻擊的檢測(cè)系統(tǒng)�����,用于請(qǐng)求IP對(duì)網(wǎng)站頁面訪問的請(qǐng)求是否為非CC攻擊,包括請(qǐng)求速率統(tǒng)計(jì)裝置����、集中度計(jì)算裝置、集中請(qǐng)求計(jì)數(shù)計(jì)算裝置�、請(qǐng)求的各項(xiàng)數(shù)值記錄裝置、CC攻擊判定裝置����。
[0033]請(qǐng)求速率統(tǒng)計(jì)裝置用于根據(jù)請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求次數(shù)和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求次數(shù),分別計(jì)算在設(shè)定時(shí)間長度(速率的計(jì)算時(shí)間間隔預(yù)先設(shè)定)內(nèi)�����,請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率����,并在請(qǐng)求的各項(xiàng)數(shù)據(jù)記錄裝置中,對(duì)請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率進(jìn)行更新��。
[0034]集中度計(jì)算裝置從請(qǐng)求的各項(xiàng)數(shù)據(jù)記錄裝置中����,獲取請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率����,計(jì)算請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率除以請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率的值����,得到本次請(qǐng)求集中度。[0035]集中請(qǐng)求計(jì)數(shù)計(jì)算裝置用于根據(jù)集中度計(jì)算裝置計(jì)算得到的本次請(qǐng)求集中度��,判斷本次請(qǐng)求是否為集中請(qǐng)求��;具體判斷方法為:首先從請(qǐng)求的各項(xiàng)數(shù)值記錄裝置中讀取請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)���,然后判斷集中度計(jì)算裝置計(jì)算得到的本次請(qǐng)求集中度是否大于集中度閾值�,若本次請(qǐng)求集中度大于集中度閾值�,則將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)加I,若本次請(qǐng)求集中度不大于集中度閾值�����,則將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)清零����,并將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)在請(qǐng)求的各項(xiàng)數(shù)值記錄裝置中進(jìn)行更新;所述集中度閾值是用于判斷請(qǐng)求是否為集中請(qǐng)求的閾值�,集中度閾值的取值范圍在O?100%之間。
[0036]CC攻擊判定裝置用于從請(qǐng)求的各項(xiàng)數(shù)值記錄裝置中讀取請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)����,判斷本次請(qǐng)求是否為CC攻擊,具體判斷方法為:如果請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)不超過集中請(qǐng)求次數(shù)閾值����,則判定本次請(qǐng)求為肖_ CC攻擊;如果請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)超過集中請(qǐng)求次數(shù)閾值����,則說明請(qǐng)求IP對(duì)請(qǐng)求頁面的訪問是集中請(qǐng)求,判定本次請(qǐng)求為CC攻擊���。
[0037]請(qǐng)求的各項(xiàng)數(shù)值記錄裝置包括IP記錄表和IP/URL記錄表��;所述IP記錄表中存放的數(shù)據(jù)包括每個(gè)請(qǐng)求IP的請(qǐng)求次數(shù)以及每個(gè)請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率���,用于記錄每個(gè)請(qǐng)求IP的相關(guān)數(shù)值,當(dāng)需要查詢請(qǐng)求IP相關(guān)記錄時(shí)�����,通過將IP散列作為索引在IP記錄表中查找;所述IP/URL記錄表中存放的數(shù)據(jù)包括每個(gè)請(qǐng)求IP對(duì)每個(gè)URL的請(qǐng)求次數(shù)�����、請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率以及集中請(qǐng)求計(jì)數(shù)����,用于記錄每個(gè)請(qǐng)求IP對(duì)每個(gè)請(qǐng)求頁面的訪問相關(guān)數(shù)值,當(dāng)需要查詢請(qǐng)求IP對(duì)請(qǐng)求URL訪問的相關(guān)記錄時(shí)���,通過將IP和URL結(jié)合再取散列值作為索引在IP/URL記錄表中查找���;其中,設(shè)定每個(gè)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)的初始值為0����,請(qǐng)求IP對(duì)網(wǎng)站頁面發(fā)出請(qǐng)求,當(dāng)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)發(fā)生改變后,請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)進(jìn)行更新存儲(chǔ)�����。在請(qǐng)求到達(dá)時(shí)�,從表中找到請(qǐng)求IP以及請(qǐng)求頁面對(duì)應(yīng)的記錄,并更新各項(xiàng)數(shù)值����。
[0038]一種CC攻擊的檢測(cè)方法,具體包括下述步驟:
[0039](I)接受請(qǐng)求IP對(duì)網(wǎng)站頁面訪問的請(qǐng)求���;
[0040](2)統(tǒng)計(jì)請(qǐng)求IP的請(qǐng)求速率�;
[0041](3)計(jì)算本次請(qǐng)求集中度��;
[0042](4)統(tǒng)計(jì)請(qǐng)求IP對(duì)請(qǐng)求頁面的集中請(qǐng)求計(jì)數(shù)��;
[0043](5)根據(jù)請(qǐng)求次數(shù)閾值判定是否為CC攻擊����。
[0044]所述步驟(2)具體包括:分別計(jì)算請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率。
[0045]所述步驟(3)具體包括:將步驟(2)中得到的請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率除以請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率���,得到本次請(qǐng)求集中度����。
[0046]所述步驟(4)具體包括:設(shè)集中請(qǐng)求計(jì)數(shù)�����,并設(shè)定每個(gè)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)的初始值為0��,請(qǐng)求IP對(duì)網(wǎng)站頁面發(fā)出請(qǐng)求,當(dāng)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)發(fā)生改變后,請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)進(jìn)行更新存儲(chǔ)��;判斷步驟(3)中得到的本次請(qǐng)求集中度是否大于集中度閾值����,若本次請(qǐng)求集中度大于集中度閾值,則將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)加I ;若本次請(qǐng)求集中度不大于集中度閾值���,則將請(qǐng)求IP對(duì)請(qǐng)求頁面的集中請(qǐng)求計(jì)數(shù)清零����;所述集中度閾值是用于判斷請(qǐng)求是否為集中請(qǐng)求的閾值����,集中度閾值的取值范圍在O?100%之間。
[0047]所述步驟(5)具體包括:如果步驟(4)中得到的請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)不超過集中請(qǐng)求次數(shù)閾值����,則判定本次請(qǐng)求為非CC攻擊;如果請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)超過集中請(qǐng)求次數(shù)閾值��,則判定本次請(qǐng)求為CC攻擊���;所述集中請(qǐng)求次數(shù)閾值是預(yù)先設(shè)定的數(shù)值�����,它是由經(jīng)驗(yàn)得到的正常請(qǐng)求IP的集中請(qǐng)求次數(shù)的上限值���。
[0048]下面的實(shí)施例可以使本專業(yè)的專業(yè)技術(shù)人員更全面地理解本發(fā)明,但不以任何方式限制本發(fā)明����。
[0049]如圖2所示,本實(shí)施例的CC攻擊檢測(cè)方法的實(shí)施步驟如下:
[0050]步驟S10:獲取一個(gè)請(qǐng)求���。
[0051]步驟Sll:從請(qǐng)求中得到請(qǐng)求IP��。
[0052]步驟S12:從請(qǐng)求中得到請(qǐng)求URL��,即請(qǐng)求頁面的地址��。
[0053]步驟S13:計(jì)算請(qǐng)求IP的散列值�。
[0054]檢測(cè)系統(tǒng)維持一個(gè)IP記錄表�����,記錄每個(gè)IP及其相關(guān)數(shù)值項(xiàng)�,通過IP散列值可以在IP記錄表中得到本次請(qǐng)求IP對(duì)應(yīng)的條目�����。
[0055]步驟S14:由請(qǐng)求IP值和請(qǐng)求URL組合計(jì)算得出一個(gè)散列值��,即IP/URL散列值�,不同的請(qǐng)求IP或不同的請(qǐng)求URL組合都生成不同的散列值��,即每個(gè)散列值代表著特定IP對(duì)特定URL的請(qǐng)求�����。
[0056]檢測(cè)系統(tǒng)維持一個(gè)IP/URL記錄表�,記錄請(qǐng)求IP對(duì)請(qǐng)求URL的請(qǐng)求的相關(guān)數(shù)值項(xiàng),通過IP/URL散列值可以在IP/URL記錄表中得到本次請(qǐng)求對(duì)應(yīng)的條目���。
[0057]步驟S15:根據(jù)本次請(qǐng)求的IP/URL散列值����,在IP/URL記錄表中找到對(duì)應(yīng)條目�。
[0058]步驟S16:根據(jù)本次請(qǐng)求的請(qǐng)求IP散列值,在IP記錄表中找到對(duì)應(yīng)條目���。
[0059]步驟S17:計(jì)算和更新IP/URL記錄表中本請(qǐng)求對(duì)應(yīng)的條目�,得到此條目中最近一段時(shí)間內(nèi)的請(qǐng)求速率項(xiàng)U。
[0060]步驟S18:計(jì)算和更新IP記錄表中本請(qǐng)求IP對(duì)應(yīng)的條目���,得到此條目中最近一段時(shí)間內(nèi)的請(qǐng)求速率項(xiàng)V�。
[0061]步驟S19:將步驟S17得到的u除以步驟S18中得到的V�,其結(jié)果為本此請(qǐng)求的集中度。
[0062]步驟S20:判斷本次請(qǐng)求的集中度是否超過了設(shè)定的集中度閾值��,如果判定為真�,執(zhí)行步驟S22��,否則執(zhí)行步驟S21�����。
[0063]步驟S21:由步驟S20判定�,本次請(qǐng)求不是集中請(qǐng)求,那么更新步驟S15中得到的IP/URL表中本次請(qǐng)求對(duì)應(yīng)的條目���,將條目中集中請(qǐng)求計(jì)數(shù)項(xiàng)清零,并且判定此請(qǐng)求非CC攻擊�。
[0064]步驟S22:由步驟S20判定�,本次請(qǐng)求的集中度超過了設(shè)定閾值,也即本次請(qǐng)求是集中請(qǐng)求,那么更新步驟S15中得到的IP/URL表中本次請(qǐng)求對(duì)應(yīng)的條目���,將條目中的集中請(qǐng)求計(jì)數(shù)項(xiàng)加I�。
[0065]步驟S23:判斷步驟S22更新之后的集中請(qǐng)求計(jì)數(shù)項(xiàng)是否超過了集中請(qǐng)求次數(shù)閾值,如果未超過閾值����,那么判定此請(qǐng)求非CC攻擊;如果超過閾值����,那么判定此請(qǐng)求是請(qǐng)求IP對(duì)請(qǐng)求URL的CC攻擊。
[0066]最后�,需要注意的是,以上列舉的僅是本發(fā)明的具體實(shí)施例��。顯然����,本發(fā)明不限于以上實(shí)施例,還可以有很多變形���。本領(lǐng)域的普通技術(shù)人員能從本發(fā)明公開的內(nèi)容中直接導(dǎo)出或聯(lián)想到的所有變形�,均應(yīng)認(rèn)為是本發(fā)明的保護(hù)范圍����。
【權(quán)利要求】
1.一種CC攻擊的檢測(cè)方法���,用于判斷請(qǐng)求IP對(duì)網(wǎng)站頁面訪問的請(qǐng)求是否為非CC攻擊,其特征在于����,具體包括下述步驟: (1)接受請(qǐng)求IP對(duì)網(wǎng)站頁面訪問的請(qǐng)求; (2)統(tǒng)計(jì)請(qǐng)求IP的請(qǐng)求速率��; (3)計(jì)算本次請(qǐng)求集中度�; (4)統(tǒng)計(jì)請(qǐng)求IP對(duì)請(qǐng)求頁面的集中請(qǐng)求計(jì)數(shù); (5)根據(jù)請(qǐng)求次數(shù)閾值判定是否為CC攻擊��; 所述步驟(2)具體包括:分別計(jì)算請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率�; 所述步驟(3)具體包括:將步驟(2)中得到的請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率除以請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率���,得到本次請(qǐng)求集中度����; 所述步驟(4)具體包括:設(shè)集中請(qǐng)求計(jì)數(shù)���,并設(shè)定每個(gè)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)的初始值為O���,請(qǐng)求IP對(duì)網(wǎng)站頁面發(fā)出請(qǐng)求��,當(dāng)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)發(fā)生改變后,請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)進(jìn)行更新存儲(chǔ)�;判斷步驟(3)中得到的本次請(qǐng)求集中度是否大于集中度閾值��,若本次請(qǐng)求集中度大于集中度閾值���,則將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)加I ;若本次請(qǐng)求集中度不大于集中度閾值�����,則將請(qǐng)求IP對(duì)請(qǐng)求頁面的集中請(qǐng)求計(jì)數(shù)清零�;所述集中度閾值是用于判斷請(qǐng)求是否為集中 請(qǐng)求的閾值���,集中度閾值的取值范圍在O~100%之間��; 所述步驟(5)具體包括:如果步驟⑷中得到的請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)不超過集中請(qǐng)求次數(shù)閾值�����,則判定本次請(qǐng)求為非CC攻擊��;如果請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)超過集中請(qǐng)求次數(shù)閾值����,則判定本次請(qǐng)求為CC攻擊;所述集中請(qǐng)求次數(shù)閾值是預(yù)先設(shè)定的數(shù)值��。
2.用于進(jìn)行權(quán)利要求1所述的一種CC攻擊的檢測(cè)方法的檢測(cè)系統(tǒng)���,用于判斷請(qǐng)求IP對(duì)網(wǎng)站頁面訪問的請(qǐng)求是否為非CC攻擊��,其特征在于��,一種CC攻擊的檢測(cè)系統(tǒng)包括請(qǐng)求速率統(tǒng)計(jì)裝置�����、集中度計(jì)算裝置�、集中請(qǐng)求計(jì)數(shù)計(jì)算裝置��、請(qǐng)求的各項(xiàng)數(shù)值記錄裝置�����、CC攻擊判定裝置��; 所述請(qǐng)求的各項(xiàng)數(shù)值記錄裝置包括IP記錄表和IP/URL記錄表�;所述IP記錄表中存放的數(shù)據(jù)包括每個(gè)請(qǐng)求IP的請(qǐng)求次數(shù)以及每個(gè)請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率,用于記錄每個(gè)請(qǐng)求IP的相關(guān)數(shù)值�����,當(dāng)需要查詢請(qǐng)求IP相關(guān)記錄時(shí)���,通過將IP散列作為索引在IP記錄表中查找�����;所述IP/URL記錄表中存放的數(shù)據(jù)包括每個(gè)請(qǐng)求IP對(duì)每個(gè)URL的請(qǐng)求次數(shù)����、請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率以及集中請(qǐng)求計(jì)數(shù)���,用于記錄每個(gè)請(qǐng)求IP對(duì)每個(gè)請(qǐng)求頁面的訪問相關(guān)數(shù)值�����,當(dāng)需要查詢請(qǐng)求IP對(duì)請(qǐng)求URL訪問的相關(guān)記錄時(shí)��,通過將IP和URL結(jié)合再取散列值作為索引在IP/URL記錄表中查找����;其中,設(shè)定每個(gè)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)的初始值為.0����,請(qǐng)求IP對(duì)網(wǎng)站頁面發(fā)出請(qǐng)求,當(dāng)請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)發(fā)生改變后,請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)進(jìn)行更新存儲(chǔ)��; 所述請(qǐng)求速率統(tǒng)計(jì)裝置用于根據(jù)請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求次數(shù)和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求次數(shù)��,分別計(jì)算在設(shè)定時(shí)間長度(速率的計(jì)算時(shí)間間隔預(yù)先設(shè)定)內(nèi)��,請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率�����,并在請(qǐng)求的各項(xiàng)數(shù)據(jù)記錄裝置中�,對(duì)請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率進(jìn)行更新; 所述集中度計(jì)算裝置從請(qǐng)求的各項(xiàng)數(shù)據(jù)記錄裝置中���,獲取請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率和請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率����,計(jì)算請(qǐng)求IP對(duì)請(qǐng)求頁面的請(qǐng)求速率除以請(qǐng)求IP對(duì)網(wǎng)站的請(qǐng)求速率的值�����,得到本次請(qǐng)求集中度��; 所述集中請(qǐng)求計(jì)數(shù)計(jì)算裝置用于根據(jù)集中度計(jì)算裝置計(jì)算得到的本次請(qǐng)求集中度���,判斷本次請(qǐng)求是否為集中請(qǐng)求���;具體判斷方法為:首先從請(qǐng)求的各項(xiàng)數(shù)值記錄裝置中讀取請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù),然后判斷集中度計(jì)算裝置計(jì)算得到的本次請(qǐng)求集中度是否大于集中度閾值��,若本次請(qǐng)求集中度大于集中度閾值��,則將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)加I���,若本次請(qǐng)求集中度不大于集中度閾值�����,則將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)清零�,并將請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)在請(qǐng)求的各項(xiàng)數(shù)值記錄裝置中進(jìn)行更新�;所述集中度閾值是用于判斷請(qǐng)求是否為集中請(qǐng)求的閾值,集中度閾值的取值范圍在O~100%之間��; 所述CC攻擊判定裝置用于從請(qǐng)求的各項(xiàng)數(shù)值記錄裝置中讀取請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)����,判斷本次請(qǐng)求是否為CC攻擊�����,具體判斷方法為:如果請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)不超過集中請(qǐng)求次數(shù)閾值��,則判定本次請(qǐng)求為非CC攻擊�����;如果請(qǐng)求IP的集中請(qǐng)求計(jì)數(shù)超過集中請(qǐng)求次數(shù)閾值����, 則說明請(qǐng)求IP對(duì)請(qǐng)求頁面的訪問是集中請(qǐng)求��,判定本次請(qǐng)求為CC攻擊����。
【文檔編號(hào)】H04L12/26GK104009983SQ201410205916
【公開日】2014年8月27日 申請(qǐng)日期:2014年5月14日 優(yōu)先權(quán)日:2014年5月14日
【發(fā)明者】郭曉, 徐長明, 范淵 申請(qǐng)人:杭州安恒信息技術(shù)有限公司