一种CC攻击的识别防御系统及方法技术方案

本发明专利技术实施例提供一种CC攻击的识别防御系统及方法，系统包括：依次相连的功能开启控制单元、系统参数配置单元、攻击识别功能单元、内核通信单元、攻击拦截功能单元和日志保存功能单元；功能开启控制单元控制开启或关闭识别防御功能，并将状态值发送给内核通信单元；系统参数配置单元设置识别参数、拦截参数和可信IP地址白名单；攻击识别功能单元基于识别参数监测和识别CC攻击，并将识别到的攻击源信息记录到本地文件以及发送给攻击拦截功能单元和日志保存功能单元；内核通信单元实现应用态和内核态之间的通信；攻击拦截功能单元依据拦截参数和IP白名单来控制攻击源对网络资源的访问情况；日志保存功能单元生成并保存日志信息。

【技术实现步骤摘要】
一种CC攻击的识别防御系统及方法
本专利技术涉及计算机
，尤其涉及一种CC攻击的识别防御系统及方法。
技术介绍
随着计算机信息技术的快速发展和不断进步，计算机信息系统已广泛地应用于金融、医疗、电商、政务、电力以及军事等重要领域，已成为影响国家发展和安全的重要基础设施。对于应用部门来说，一方面计算机信息系统为这些部门提供了快捷、实时、安全的信息服务，实现了信息的传输、存储、处理和管理的自动化，提高了效率，节省了大量的人力资源和其他成本。另一方面，这些计算机信息系统广泛的应用所带来的风险挑战和安全隐患也是巨大的。一旦它们遭到灾难性破坏，将会导致巨大的经济损失和信息泄露，甚至影响到社会稳定和国家安全。恶意的网络攻击是目前造成计算机信息系统崩溃或瘫痪最有效的手段，也是面临的最大的挑战，如果不能实时有效的保障计算机信息系统安全稳定地运行，那将会带来严重的后果。为了能实时有效的保障计算机信息系统的安全稳定运行，现有技术中一般采用防CC（ChallengeCollapsar）攻击的方法，包括更改Web端口、IIS屏蔽IP、域名欺骗解析、取消域名绑定、防火墙策略等。但上述防御技术依然存在不足，如误杀率高、灵活性低以及性能较差。
技术实现思路
本专利技术实施例提供一种CC攻击的识别防御系统，用以解决现有技术中误杀率高、灵活性低以及性能较差的缺陷，实现快速、精准地识别出攻击源并进行及时的拦截，具有高灵活性和高性能特点。本专利技术实施例提供一种CC攻击的识别防御系统，包括：依次相连的功能开启控制单元、系统参数配置单元、攻击识别功能单元、内核通信单元、攻击拦截功能单元以及日志保存功能单元；其中，所述功能开启控制单元，用于控制开启或关闭识别防御功能，并将开启或关闭对应的状态值发送给所述内核通信单元；所述系统参数配置单元，用于设置识别参数、拦截参数和可信IP地址白名单；所述攻击识别功能单元，用于基于所述识别参数监测和识别CC攻击，并将识别到的攻击源信息记录到本地文件以及发送给所述攻击拦截功能单元和所述日志保存功能单元；所述内核通信单元，用于实现应用态和处于内核态的所述攻击拦截功能单元之间的通信；所述攻击拦截功能单元，用于依据所述拦截参数和所述可信IP地址白名单来控制所述攻击源对网络资源的访问情况，并将控制过程中生成的拦截信息发送给所述日志保存功能单元；所述日志保存功能单元，用于基于所述攻击源信息和所述拦截信息生成日志信息，并保存所述日志信息。根据本专利技术一个实施例的CC攻击的识别防御系统，所述系统参数配置单元包括：识别参数设置模块，用于在所述识别防御功能开启后设置用于所述监测的监测阈值和用于所述识别的识别阈值；拦截参数设置模块，用于在所述识别防御功能开启后设置用于限制网络资源访问的限制参数，并将所述限制参数发送给所述内核通信单元；可信IP地址白名单设置模块，用于在所述识别防御功能开启后设置可信IP地址访问源的可信白名单，并将所述白名单发送给所述内核通信单元。根据本专利技术一个实施例的CC攻击的识别防御系统，所述攻击识别功能单元包括：网络资源监控模块，用于监控和检测网络链接使用情况，并依据所述监测阈值判断所述系统是否受到CC攻击；网络链接抓取模块，用于当所述网络资源监控模块检测到所述系统受到CC攻击后，开始进行网络包的抓取，并将抓取到的网络包信息发送给网络资源解析模块；网络资源解析模块，用于解析所述网络包信息，依据所述识别阈值和所述可信白名单计算得到攻击源信息，并将所述攻击源信息和所述限制参数发送给所述内核通信单元以及记录到所述本地文件中；状态自控模块，用于当所述系统受到CC攻击时，保证所述网络链接抓取模块和所述网络资源解析模块仅被启动一次，且当所述系统在预设时长内不受CC攻击时，控制所述网络链接抓取模块和所述网络资源解析模块自动退出。根据本专利技术一个实施例的CC攻击的识别防御系统，所述攻击拦截功能单元包括：初始化模块，用于在动态加载内核后，基于所述本地文件初始化内核哈希HASH表，并移除所述本地文件中已过期的攻击源信息；网络包截获模块，用于实时截获网络包，从截获的网络包中获取访问者信息，并将所述访问者信息发送给访问限制模块；访问限制模块，用于从所述内核HASH表中查找所述访问者所对应的限制时长和限制频率，并判断所述访问者当前的访问限制时长是否已到期，若到期，则允许本次访问，否则再判断所述访问者在单位时间内的访问频率，若所述访问频率大于所述限制频率，则拦截本次访问，否则允许本次访问。根据本专利技术一个实施例的CC攻击的识别防御系统，所述内核通信单元，还用于将攻击源信息添加进所述内核HASH表中。本专利技术实施例还提供一种CC攻击的识别防御方法，包括：获取系统的网络资源使用情况，并基于所述网络资源使用情况以及预配置的监测阈值判断所述系统是否被CC攻击；若确定所述系统被CC攻击，则抓取所有访问者的请求包，并依据预配置的识别阈值和可信白名单计算出具体的攻击源；劫持所述攻击源从预配置的限制起始时间点至预配置的限制截止时间点之间各网络请求；依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求。根据本专利技术一个实施例的CC攻击的识别防御方法，所述获取系统的网络资源使用情况，并基于所述网络资源使用情况以及预配置的监测阈值判断所述系统是否被CC攻击，包括：实时间隔性的获取系统的网络资源使用情况；实时判断所述网络资源使用情况是否大于预配置的监测阈值，若是，则判定所述系统受到CC攻击。根据本专利技术一个实施例的CC攻击的识别防御方法，所述抓取所有访问者请求包，并依据预配置的识别阈值和可信白名单计算出具体的攻击源，包括：在预设时长内持续抓取所有访问者的请求包，以计算出每个访问者在单位时间内的链接频率和访问频率；针对任何一个访问者，判断所述访问者的链接频率或访问频率是否大于预配置的识别阈值，若是，则判定为可疑访问者，否则判定为正常访问者；判断所述可疑访问者是否位于预配置的可信IP地址白名单中，若是，则判定为正常访问者，否则判定为攻击源。根据本专利技术一个实施例的CC攻击的识别防御方法，所述依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求，包括：针对任何一个网络请求，判断所述网络请求是否在预设内核HASH表中，若是，则判定所述网络请求为攻击请求，若否，则允许所述网络请求；若判定所述网络请求为攻击请求，则获取预配置的限制起始时间和预配置的限制时长以及当前时间戳；若所述当前时间戳大于所述限制起始时间和所述限制时长的和，则允许所述网络请求，否则判定为待拦截的网络请求。根据本专利技术一个实施例的CC攻击的识别防御方法，所述依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求，包括：针对任何一个网络请求，获取预设内核HASH表中的上次访问时间、预配置的限制频率以及当前时间戳；...

【技术保护点】
1.一种CC攻击的识别防御系统，其特征在于，包括：/n依次相连的功能开启控制单元、系统参数配置单元、攻击识别功能单元、内核通信单元、攻击拦截功能单元以及日志保存功能单元；/n其中，所述功能开启控制单元，用于控制开启或关闭识别防御功能，并将开启或关闭对应的状态值发送给所述内核通信单元；/n所述系统参数配置单元，用于设置识别参数、拦截参数和可信IP地址白名单；/n所述攻击识别功能单元，用于基于所述识别参数监测和识别CC攻击，并将识别到的攻击源信息记录到本地文件以及发送给所述攻击拦截功能单元和所述日志保存功能单元；/n所述内核通信单元，用于实现应用态和处于内核态的所述攻击拦截功能单元之间的通信；/n所述攻击拦截功能单元，用于依据所述拦截参数和所述可信IP地址白名单来控制所述攻击源对网络资源的访问情况，并将控制过程中生成的拦截信息发送给所述日志保存功能单元；/n所述日志保存功能单元，用于基于所述攻击源信息和所述拦截信息生成日志信息，并保存所述日志信息。/n

【技术特征摘要】
1.一种CC攻击的识别防御系统，其特征在于，包括：
依次相连的功能开启控制单元、系统参数配置单元、攻击识别功能单元、内核通信单元、攻击拦截功能单元以及日志保存功能单元；
其中，所述功能开启控制单元，用于控制开启或关闭识别防御功能，并将开启或关闭对应的状态值发送给所述内核通信单元；
所述系统参数配置单元，用于设置识别参数、拦截参数和可信IP地址白名单；
所述攻击识别功能单元，用于基于所述识别参数监测和识别CC攻击，并将识别到的攻击源信息记录到本地文件以及发送给所述攻击拦截功能单元和所述日志保存功能单元；
所述内核通信单元，用于实现应用态和处于内核态的所述攻击拦截功能单元之间的通信；
所述攻击拦截功能单元，用于依据所述拦截参数和所述可信IP地址白名单来控制所述攻击源对网络资源的访问情况，并将控制过程中生成的拦截信息发送给所述日志保存功能单元；
所述日志保存功能单元，用于基于所述攻击源信息和所述拦截信息生成日志信息，并保存所述日志信息。


2.根据权利要求1所述的CC攻击的识别防御系统，其特征在于，所述系统参数配置单元包括：
识别参数设置模块，用于在所述识别防御功能开启后设置用于所述监测的监测阈值和用于所述识别的识别阈值；
拦截参数设置模块，用于在所述识别防御功能开启后设置用于限制网络资源访问的限制参数，并将所述限制参数发送给所述内核通信单元；
可信IP地址白名单设置模块，用于在所述识别防御功能开启后设置可信IP地址访问源的可信IP地址白名单，并将所述可信IP地址白名单发送给所述内核通信单元。


3.根据权利要求2所述的CC攻击的识别防御系统，其特征在于，所述攻击识别功能单元包括：
网络资源监控模块，用于监控和检测网络链接使用情况，并依据所述监测阈值判断所述系统是否受到CC攻击；
网络链接抓取模块，用于当所述网络资源监控模块检测到所述系统受到CC攻击后，开始进行网络包的抓取，并将抓取到的网络包信息发送给网络资源解析模块；
网络资源解析模块，用于解析所述网络包信息，依据所述识别阈值和所述可信IP地址白名单计算得到攻击源信息，并将所述攻击源信息和所述限制参数发送给所述内核通信单元以及记录到所述本地文件中；
状态自控模块，用于当所述系统受到CC攻击时，保证所述网络链接抓取模块和所述网络资源解析模块仅被启动一次，且当所述系统在预设时长内不受CC攻击时，控制所述网络链接抓取模块和所述网络资源解析模块自动退出。


4.根据权利要求1所述的CC攻击的识别防御系统，其特征在于，所述攻击拦截功能单元包括：
初始化模块，用于在动态加载内核后，基于所述本地文件初始化内核哈希HASH表，并移除所述本地文件中已过期的攻击源信息；
网络包截获模块，用于实时截获网络包，从截获的网络包中获取访问者信息，并将所述访问者信息发送给访问限制模块；
访问限制模块，用于从所述内核哈希HASH表中查找所述访问者所对应的限制时长和限制频...

【专利技术属性】
技术研发人员：彭昇，马骅，夏攀，陈柯，窦雯，倪鹏，晁蒙，李瑞玲，逯瑶，
申请(专利权)人：北京优炫软件股份有限公司，
类型：发明
国别省市：北京;11