技術(shù)特征:1.一種CC攻擊識別方法�����,其特征在于����,該方法包括以下步驟:
獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量����,不同源IP在所述站點的相同的訪問URL集合上的相同的訪問分布對應(yīng)所述站點的一個訪問特征�����,源IP訪問的所述站點的各個URL構(gòu)成該源IP在所述站點的訪問URL集合;
根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊�����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量的步驟之前����,該方法還包括:
獲取訪問所述站點的每個源IP在所述站點的訪問URL集合上的訪問分布�����。
3.根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述獲取訪問所述站點的每個源IP在所述站點的訪問URL集合上的訪問分布的步驟包括:
獲取所述站點的每個URL的訪問概率��,所述站點的每個URL的訪問概率由單位時間內(nèi)該URL的訪問次數(shù)及單位時間內(nèi)所述站點的各個URL的總訪問次數(shù)確定�;
根據(jù)所述站點的每個URL的訪問概率,獲取訪問所述站點的每個源IP在所述站點的訪問URL集合上的訪問分布。
4.根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量的步驟包括:
獲取所述站點的每個訪問URL集合的內(nèi)容融合值�����,訪問URL集合的內(nèi)容融合值由該訪問URL集合中的各個URL的文本內(nèi)容確定的���,不同訪問URL集合的內(nèi)容融合值不同���;
根據(jù)訪問所述站點的每個源IP在所述站點的訪問URL集合的內(nèi)容融合值和所述訪問分布,確定所述每個源IP對應(yīng)的訪問特征值�����;
統(tǒng)計取值相同的各個訪問特征值的數(shù)量作為所述站點的每個訪問特征對應(yīng)的源IP數(shù)量���。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于,所述獲取所述站點的 每個訪問URL集合的內(nèi)容融合值的步驟包括:
獲取每個訪問URL集合中的各個URL的文本內(nèi)容對應(yīng)的哈希值之和�;
分別將每個訪問URL集合的哈希值之和轉(zhuǎn)換為字符串,轉(zhuǎn)換得到的字符串為內(nèi)容融合值�;
所述根據(jù)訪問所述站點的每個源IP在所述站點的訪問URL集合的內(nèi)容融合值和所述訪問分布,確定所述每個源IP對應(yīng)的訪問特征值的步驟包括:
按照預(yù)定順序��,將所述每個源IP在所述站點的訪問URL集合的內(nèi)容融合值與所述訪問分布級聯(lián)�����,級聯(lián)結(jié)果為源IP對應(yīng)的訪問特征值���。
6.根據(jù)權(quán)利要求1~5任一項所述的方法�����,其特征在于���,所述根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊的步驟包括:
將獲取的最大源IP數(shù)量與預(yù)設(shè)的第一閾值進行比較,根據(jù)比較結(jié)果識別是否發(fā)生針對所述站點的CC攻擊����;或者,
將獲取的最大源IP數(shù)量與獲取的源IP數(shù)量總和的比值�、與預(yù)設(shè)的第二閾值進行比較,根據(jù)比較結(jié)果識別是否發(fā)生針對所述站點的CC攻擊����。
7.根據(jù)權(quán)利要求1~5任一項所述的方法�,其特征在于�����,識別到發(fā)生針對所述站點的CC攻擊后����,該方法還包括:
獲取源IP數(shù)量最大的訪問特征對應(yīng)的源IP,作為攻擊源����。
8.一種CC攻擊識別節(jié)點,其特征在于�,包括:
訪問特征統(tǒng)計單元,用于獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量��,不同源IP在所述站點的相同的訪問URL集合上的相同的訪問分布對應(yīng)所述站點的一個訪問特征����,源IP訪問的所述站點的各個URL構(gòu)成該源IP在所述站點的訪問URL集合;
攻擊識別單元��,用于根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊�。
9.根據(jù)權(quán)利要求8所述的節(jié)點���,其特征在于�,所述節(jié)點還包括:
訪問分布統(tǒng)計單元,用于獲取訪問所述站點的每個源IP在所述站點 的訪問URL集合上的訪問分布����。
10.根據(jù)權(quán)利要求9所述的節(jié)點,其特征在于����,所述節(jié)點作為CC攻擊識別系統(tǒng)中的從節(jié)點,所述訪問分布統(tǒng)計單元用于:
至少根據(jù)分流至本節(jié)點的所述站點的訪問請求中攜帶的源IP和URL�,獲取訪問所述站點的每個源IP在所述站點的訪問URL集合上的訪問分布。
11.根據(jù)權(quán)利要求10所述的節(jié)點�����,其特征在于�,所述訪問分布統(tǒng)計單元具體用于:
根據(jù)分流至本節(jié)點的所述站點的訪問請求中攜帶的URL和訪問時間,獲取所述站點的每個URL的訪問概率�,所述站點的每個URL的訪問概率由單位時間內(nèi)該URL的訪問次數(shù)及單位時間內(nèi)所述站點的各個URL的總訪問次數(shù)確定;
根據(jù)所述站點的每個URL的訪問概率及分流至本節(jié)點的所述站點的訪問請求中攜帶的源IP��,獲取訪問所述站點的每個源IP在所述站點的訪問URL集合上的訪問分布���。
12.根據(jù)權(quán)利要求9所述的節(jié)點�����,其特征在于�����,所述節(jié)點作為CC攻擊識別系統(tǒng)中的主節(jié)點�,所述訪問分布統(tǒng)計單元用于:
從所述CC攻擊識別系統(tǒng)的從節(jié)點獲取訪問所述站點的每個源IP在所述站點的訪問URL集合上的訪問分布。
13.根據(jù)權(quán)利要求9所述的節(jié)點�����,其特征在于�����,所述訪問特征統(tǒng)計單元具體用于:
獲取所述站點的每個訪問URL集合的內(nèi)容融合值�,訪問URL集合的內(nèi)容融合值由該訪問URL集合中的各個URL的文本內(nèi)容確定的,不同訪問URL集合的內(nèi)容融合值不同���;
根據(jù)訪問所述站點的每個源IP在所述站點的訪問URL集合的內(nèi)容融合值和所述訪問分布���,確定所述每個源IP對應(yīng)的訪問特征值�����;
統(tǒng)計取值相同的各個訪問特征值的數(shù)量作為所述站點的每個訪問特征對應(yīng)的源IP數(shù)量����。
14.根據(jù)權(quán)利要求13所述的節(jié)點��,其特征在于�,所述節(jié)點作為CC 攻擊識別系統(tǒng)中的從節(jié)點�����,為了獲取所述站點的每個訪問URL集合的內(nèi)容融合值�����,以及根據(jù)訪問所述站點的每個源IP在所述站點的訪問URL集合的內(nèi)容融合值和所述訪問分布���,確定所述每個源IP對應(yīng)的訪問特征值���,所述訪問特征統(tǒng)計單元具體用于:
獲取每個訪問URL集合中的各個URL的文本內(nèi)容對應(yīng)的哈希值之和;
分別將每個訪問URL集合的哈希值之和轉(zhuǎn)換為字符串��,轉(zhuǎn)換得到的字符串為內(nèi)容融合值;
按照預(yù)定順序���,將所述每個源IP在所述站點的訪問URL集合的內(nèi)容融合值與所述訪問分布級聯(lián)�,級聯(lián)結(jié)果為源IP對應(yīng)的訪問特征值���。
15.根據(jù)權(quán)利要求13所述的節(jié)點���,其特征在于,所述節(jié)點作為CC攻擊識別系統(tǒng)中的主節(jié)點�,為了獲取所述站點的每個訪問URL集合的內(nèi)容融合值,所述訪問特征統(tǒng)計單元具體用于:
從所述CC攻擊識別系統(tǒng)的從節(jié)點獲取所述站點的每個訪問URL集合的內(nèi)容融合值���。
16.根據(jù)權(quán)利要求12或15所述的節(jié)點���,其特征在于,所述節(jié)點還包括訪問請求分流單元��,用于將接收到的訪問請求按照站點分流給各個從節(jié)點���,其中����,相同站點的訪問請求分流給相同的從節(jié)點。
17.根據(jù)權(quán)利要求8~15任一項所述的節(jié)點��,其特征在于����,所述攻擊識別單元具體用于:
將獲取的最大源IP數(shù)量與預(yù)設(shè)的第一閾值進行比較,根據(jù)比較結(jié)果識別是否發(fā)生針對所述站點的CC攻擊�����;或者��,
將獲取的最大源IP數(shù)量與獲取的源IP數(shù)量總和的比值���、與預(yù)設(shè)的第二閾值進行比較,根據(jù)比較結(jié)果識別是否發(fā)生針對所述站點的CC攻擊��。
18.根據(jù)權(quán)利要求8~15任一項所述的節(jié)點���,其特征在于����,所述攻擊識別單元還用于:獲取源IP數(shù)量最大的訪問特征對應(yīng)的源IP�,作為攻擊源�����。
19.一種CC攻擊識別系統(tǒng)����,其特征在于���,包括至少一個如權(quán)利要求 8所述的節(jié)點�。
20.根據(jù)權(quán)利要求19所述的系統(tǒng)����,其特征在于,所述系統(tǒng)還包括主節(jié)點�,若干如權(quán)利要求8所述的節(jié)點作為從節(jié)點;
主節(jié)點將接收到的訪問請求分流給各個從節(jié)點����,其中,相同站點的訪問請求分流給相同的從節(jié)點����;
從節(jié)點根據(jù)分流至本節(jié)點的訪問請求獲取訪問請求對應(yīng)的站點的每個訪問特征對應(yīng)的源IP數(shù)量;根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊。