【技术实现步骤摘要】
CC攻击识别方法、节点及系统
本申请涉及计算机安全
,尤其涉及一种CC攻击识别方法、节点及系统。
技术介绍
目前,互联网发展迅猛,基于网页(Web)搭建的应用越来越多,针对网站的攻击日益频繁,成为攻击的重要目标。其中,尤以应用层网络CC(ChallengeCollapsar,挑战黑洞)攻击为甚。CC攻击即7层DDoS(DistributedDenialofService,分布式拒绝服务)攻击,目前主要的防御策略是根据统计阈值来识别CC攻击,进而采取防御措施。比如最常见的WebHttp防御策略,在协议解析后,通过多个维度统计频率:统计源IP(InternetProtocol,互联网协议)访问QPS(QueryPerSecond,每秒查询率)、统计源IP访问某个站点的QPS、统计源IP访问特定URL(UniformResourceLocator,统一资源定位符)的QPS、统计站点在单位时间内被访问的不同源IP数、统计站点在单位时间内被访问的QPS等等;针对上述各种统计数据分别进行计数,当某种或某几种统计数据的计数值达到设定的防御阈值后,视为发生CC攻击,启动防御策略,即对攻击源进行处罚,例如要求二次认证或阻断访问。上述防御方式容易被攻击者绕过,尤其是攻击者探测出防御阈值后,可以发起低速攻击,即每个攻击源IP访问频率不高(低于防御阈值),但攻击源很多,从而绕开防御。综上,现有的CC攻击防御系统的可靠性和安全性较差。
技术实现思路
本申请的目的是提供一种CC攻击识别方法、节点及系统,以解决现有的CC攻击防御系统的可靠性和安全性较差的问题。根据本申请的一个方面,提 ...
【技术保护点】
一种CC攻击识别方法,其特征在于,该方法包括以下步骤:获取站点的每个访问特征对应的源IP数量,不同源IP在所述站点的相同的访问URL集合上的相同的访问分布对应所述站点的一个访问特征,源IP访问的所述站点的各个URL构成该源IP在所述站点的访问URL集合;根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击。
【技术特征摘要】
1.一种CC攻击识别方法,其特征在于,该方法包括以下步骤:获取站点的每个访问特征对应的源IP数量,不同源IP在所述站点的相同的访问URL集合上的相同的访问分布对应所述站点的一个访问特征,源IP访问的所述站点的各个URL构成该源IP在所述站点的访问URL集合;根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击。2.根据权利要求1所述的方法,其特征在于,所述获取站点的每个访问特征对应的源IP数量的步骤之前,该方法还包括:获取访问所述站点的每个源IP在所述站点的访问URL集合上的访问分布。3.根据权利要求2所述的方法,其特征在于,所述获取访问所述站点的每个源IP在所述站点的访问URL集合上的访问分布的步骤包括:获取所述站点的每个URL的访问概率,所述站点的每个URL的访问概率由单位时间内该URL的访问次数及单位时间内所述站点的各个URL的总访问次数确定;根据所述站点的每个URL的访问概率,获取访问所述站点的每个源IP在所述站点的访问URL集合上的访问分布。4.根据权利要求2所述的方法,其特征在于,所述获取站点的每个访问特征对应的源IP数量的步骤包括:获取所述站点的每个访问URL集合的内容融合值,访问URL集合的内容融合值由该访问URL集合中的各个URL的文本内容确定的,不同访问URL集合的内容融合值不同;根据访问所述站点的每个源IP在所述站点的访问URL集合的内容融合值和所述访问分布,确定所述每个源IP对应的访问特征值;统计取值相同的各个访问特征值的数量作为所述站点的每个访问特征对应的源IP数量。5.根据权利要求4所述的方法,其特征在于,所述获取所述站点的每个访问URL集合的内容融合值的步骤包括:获取每个访问URL集合中的各个URL的文本内容对应的哈希值之和;分别将每个访问URL集合的哈希值之和转换为字符串,转换得到的字符串为内容融合值;所述根据访问所述站点的每个源IP在所述站点的访问URL集合的内容融合值和所述访问分布,确定所述每个源IP对应的访问特征值的步骤包括:按照预定顺序,将所述每个源IP在所述站点的访问URL集合的内容融合值与所述访问分布级联,级联结果为源IP对应的访问特征值。6.根据权利要求1~5任一项所述的方法,其特征在于,所述根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击的步骤包括:将获取的最大源IP数量与预设的第一阈值进行比较,根据比较结果识别是否发生针对所述站点的CC攻击;或者,将获取的最大源IP数量与获取的源IP数量总和的比值、与预设的第二阈值进行比较,根据比较结果识别是否发生针对所述站点的CC攻击。7.根据权利要求1~5任一项所述的方法,其特征在于,识别到发生针对所述站点的CC攻击后,该方法还包括:获取源IP数量最大的访问特征对应的源IP,作为攻击源。8.一种CC攻击识别节点,其特征在于,包括:访问特征统计单元,用于获取站点的每个访问特征对应的源IP数量,不同源IP在所述站点的相同的访问URL集合上的相同的访问分布对应所述站点的一个访问特征,源IP访问的所述站点的各个URL构成该源IP在所述站点的访问URL集合;攻击识别单元,用于根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击。9.根据权利要求8所述的节点,其特征在于,所述节点还包括:访问分布统计单元,用于获取访问所述站点的每个源IP在所述站点的访问URL集合上的访问分布。10.根据权利要求9所述的节点,其特征在于,所述节点作为CC攻击识别系统中的从节点,所述访问分布统计单元用于:至少根据分流至本节点的所述站点的访问请求中携带的源...
【专利技术属性】
技术研发人员:任宏伟,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。