CC攻击识别方法、节点及系统技术方案

本申请提供了一种CC攻击识别方法、节点及系统。该方法包括以下步骤：获取站点的每个访问特征对应的源IP数量，不同源IP在所述站点的相同的访问URL集合上的相同的访问分布对应所述站点的一个访问特征，源IP访问的所述站点的各个URL构成该源IP在所述站点的访问URL集合；根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击。根据本申请的方案，有效提高了CC攻击识别的可靠性和安全性。

【技术实现步骤摘要】
CC攻击识别方法、节点及系统
本申请涉及计算机安全
，尤其涉及一种CC攻击识别方法、节点及系统。
技术介绍
目前，互联网发展迅猛，基于网页(Web)搭建的应用越来越多，针对网站的攻击日益频繁，成为攻击的重要目标。其中，尤以应用层网络CC(ChallengeCollapsar，挑战黑洞)攻击为甚。CC攻击即7层DDoS(DistributedDenialofService，分布式拒绝服务)攻击，目前主要的防御策略是根据统计阈值来识别CC攻击，进而采取防御措施。比如最常见的WebHttp防御策略，在协议解析后，通过多个维度统计频率：统计源IP(InternetProtocol，互联网协议)访问QPS(QueryPerSecond，每秒查询率)、统计源IP访问某个站点的QPS、统计源IP访问特定URL(UniformResourceLocator，统一资源定位符)的QPS、统计站点在单位时间内被访问的不同源IP数、统计站点在单位时间内被访问的QPS等等；针对上述各种统计数据分别进行计数，当某种或某几种统计数据的计数值达到设定的防御阈值后，视为发生CC攻击，启动防御策略，即对攻击源进行处罚，例如要求二次认证或阻断访问。上述防御方式容易被攻击者绕过，尤其是攻击者探测出防御阈值后，可以发起低速攻击，即每个攻击源IP访问频率不高(低于防御阈值)，但攻击源很多，从而绕开防御。综上，现有的CC攻击防御系统的可靠性和安全性较差。
技术实现思路
本申请的目的是提供一种CC攻击识别方法、节点及系统，以解决现有的CC攻击防御系统的可靠性和安全性较差的问题。根据本申请的一个方面，提供一种CC攻击识别方法，该方法包括以下步骤：获取站点的每个访问特征对应的源IP数量，不同源IP在所述站点的相同的访问URL集合上的相同的访问分布对应所述站点的一个访问特征，源IP访问的所述站点的各个URL构成该源IP在所述站点的访问URL集合；根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击。根据本申请的另一方面，还提供了一种CC攻击识别节点，该节点包括以下单元：访问特征统计单元，用于获取站点的每个访问特征对应的源IP数量，不同源IP在所述站点的相同的访问URL集合上的相同的访问分布对应所述站点的一个访问特征，源IP访问的所述站点的各个URL构成该源IP在所述站点的访问URL集合；攻击识别单元，用于根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击。根据本申请的又一方面，还提供了一种CC攻击识别系统，该系统包括至少一个上述节点。与现有技术相比，本申请具有以下优点：现有的CC攻击防御系统所采用的防御策略在多个维度上进行参数统计，那么攻击者一旦探测出防御阈值后，就可以通过多个攻击源IP低频率访问的方式绕开攻击。而本申请实施例提供的技术方案，针对站点的访问特征进行统计，即获取站点的每个访问特征对应的源IP数量，其中，不同源IP在所述站点的相同的访问URL集合上的相同的访问分布对应所述站点的一个访问特征。可见，即使是不同的源IP发起低频率的攻击，只要这些源IP的访问URL集合相同，且访问分布相同，则作为一个访问特征进行统计，即将这些源IP视为一个访问源进行统计，进而根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击，从而识别出CC攻击，避免攻击者通过多个攻击源IP、每个源IP低密度访问的方式绕过识别，从而提高了CC识别的稳定性和安全性。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：图1为本申请一个实施例的方法流程图；图2为本申请另一个实施例的CC攻击识别节点的结构示意图；图3为本申请另一个实施例的网络系统流程图；图4为根据本申请一个实施例的攻击分析系统的工作流程图。附图中相同或相似的附图标记代表相同或相似的部件。具体实施方式在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。在上下文中所称“节点”是一种计算机设备，指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备，其可以包括处理器与存储器，由处理器执行在存储器中预存的存续指令来执行预定处理过程，或是由ASIC、FPGA、DSP等硬件执行预定处理过程，或是由上述二者组合来实现。需要说明的是，所述计算机设备仅为举例，其他现有的或今后可能出现的计算机设备如可适用于本申请，也应包含在本申请保护范围以内，并以引用方式包含于此。后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时，用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。这里所公开的具体结构和功能细节仅仅是代表性的，并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现，并且不应当被解释成仅仅受限于这里所阐述的实施例。应当理解的是，当一个模块被称为“连接”或“耦合”到另一模块时，其可以直接连接或耦合到所述另一模块，或者可以存在中间模块。与此相对，当一个模块被称为“直接连接”或“直接耦合”到另一模块时，则不存在中间单元。应当按照类似的方式来解释被用于描述模块之间的关系的其他词语(例如“处于...之间”相比于“直接处于...之间”，“与...邻近”相比于“与...直接邻近”等等)。这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指，否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是，这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在，而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。还应当提到的是，在一些替换实现方式中，所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说，取决于所涉及的功能/动作，相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。下面结合附图对本申请作进一步详细描述。图1为本申请一个实施例的CC攻击方法的流程示意图。其中，本实施例的方法主要通过计算机设备来实现，可以由单个计算机设备实现，也可以由多个计算机设备组成的CC攻击识别系统实现。如果由CC攻击识别系统实现，该CC攻击识别系统中包括若干节点，其具体配合工作的方式有多种，将在下面的实施例中举例说明。根据本实施例的方法包括步骤S110-S120。在步骤S110中，获取站点的每个访问特征对应的源IP数量。其中，站点可以通过域名来标识。例如，域名为a.com的站点与域名为b.com的站点为不同的站点。其中，站点的每个访问特征分别反映了访问该站点的源IP的一个访问URL集合，以及这个或这些源IP在该本文档来自技高网...

【技术保护点】
一种CC攻击识别方法，其特征在于，该方法包括以下步骤：获取站点的每个访问特征对应的源IP数量，不同源IP在所述站点的相同的访问URL集合上的相同的访问分布对应所述站点的一个访问特征，源IP访问的所述站点的各个URL构成该源IP在所述站点的访问URL集合；根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击。

【技术特征摘要】
1.一种CC攻击识别方法，其特征在于，该方法包括以下步骤：获取站点的每个访问特征对应的源IP数量，不同源IP在所述站点的相同的访问URL集合上的相同的访问分布对应所述站点的一个访问特征，源IP访问的所述站点的各个URL构成该源IP在所述站点的访问URL集合；根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击。2.根据权利要求1所述的方法，其特征在于，所述获取站点的每个访问特征对应的源IP数量的步骤之前，该方法还包括：获取访问所述站点的每个源IP在所述站点的访问URL集合上的访问分布。3.根据权利要求2所述的方法，其特征在于，所述获取访问所述站点的每个源IP在所述站点的访问URL集合上的访问分布的步骤包括：获取所述站点的每个URL的访问概率，所述站点的每个URL的访问概率由单位时间内该URL的访问次数及单位时间内所述站点的各个URL的总访问次数确定；根据所述站点的每个URL的访问概率，获取访问所述站点的每个源IP在所述站点的访问URL集合上的访问分布。4.根据权利要求2所述的方法，其特征在于，所述获取站点的每个访问特征对应的源IP数量的步骤包括：获取所述站点的每个访问URL集合的内容融合值，访问URL集合的内容融合值由该访问URL集合中的各个URL的文本内容确定的，不同访问URL集合的内容融合值不同；根据访问所述站点的每个源IP在所述站点的访问URL集合的内容融合值和所述访问分布，确定所述每个源IP对应的访问特征值；统计取值相同的各个访问特征值的数量作为所述站点的每个访问特征对应的源IP数量。5.根据权利要求4所述的方法，其特征在于，所述获取所述站点的每个访问URL集合的内容融合值的步骤包括：获取每个访问URL集合中的各个URL的文本内容对应的哈希值之和；分别将每个访问URL集合的哈希值之和转换为字符串，转换得到的字符串为内容融合值；所述根据访问所述站点的每个源IP在所述站点的访问URL集合的内容融合值和所述访问分布，确定所述每个源IP对应的访问特征值的步骤包括：按照预定顺序，将所述每个源IP在所述站点的访问URL集合的内容融合值与所述访问分布级联，级联结果为源IP对应的访问特征值。6.根据权利要求1～5任一项所述的方法，其特征在于，所述根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击的步骤包括：将获取的最大源IP数量与预设的第一阈值进行比较，根据比较结果识别是否发生针对所述站点的CC攻击；或者，将获取的最大源IP数量与获取的源IP数量总和的比值、与预设的第二阈值进行比较，根据比较结果识别是否发生针对所述站点的CC攻击。7.根据权利要求1～5任一项所述的方法，其特征在于，识别到发生针对所述站点的CC攻击后，该方法还包括：获取源IP数量最大的访问特征对应的源IP，作为攻击源。8.一种CC攻击识别节点，其特征在于，包括：访问特征统计单元，用于获取站点的每个访问特征对应的源IP数量，不同源IP在所述站点的相同的访问URL集合上的相同的访问分布对应所述站点的一个访问特征，源IP访问的所述站点的各个URL构成该源IP在所述站点的访问URL集合；攻击识别单元，用于根据获取的所述源IP数量识别是否发生针对所述站点的CC攻击。9.根据权利要求8所述的节点，其特征在于，所述节点还包括：访问分布统计单元，用于获取访问所述站点的每个源IP在所述站点的访问URL集合上的访问分布。10.根据权利要求9所述的节点，其特征在于，所述节点作为CC攻击识别系统中的从节点，所述访问分布统计单元用于：至少根据分流至本节点的所述站点的访问请求中携带的源...

【专利技术属性】
技术研发人员：任宏伟，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY