CN103685294B - 拒绝服务攻击的攻击源的识别方法和装置 - Google Patents
拒绝服务攻击的攻击源的识别方法和装置 Download PDFInfo
- Publication number
- CN103685294B CN103685294B CN201310713401.7A CN201310713401A CN103685294B CN 103685294 B CN103685294 B CN 103685294B CN 201310713401 A CN201310713401 A CN 201310713401A CN 103685294 B CN103685294 B CN 103685294B
- Authority
- CN
- China
- Prior art keywords
- request
- url
- attack
- source
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种拒绝服务攻击的攻击源的识别方法和装置。其中,拒绝服务攻击的攻击源的识别方法包括以下步骤:获取目标主机的多个统一资源定位符URL的访问请求的列表;利用列表查询得出第一URL,该第一URL为在第一预定时间段内访问请求量最大的统一资源定位符;利用列表查询得出在第一预定时间段内向第一URL发出最多请求的一个或多个请求源;分别判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及请求源的请求量是否超过请求阈值;若以上两个判断结果均为是,将请求量超过请求阈值的请求源列为可疑攻击源。利用本发明的技术方案,经过判断精确地得出拒绝服务攻击的攻击源,提高了网络安全性。
Description
技术领域
本发明涉及互联网安全领域,特别是涉及一种拒绝服务攻击的攻击源的识别方法和装置。
背景技术
拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。利用大量超出响应能力的请求消耗大量攻击目标的资源,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。严重时可以使某些服务被暂停甚至主机死机。
作为拒绝服务攻击的一种,CC攻击(Challenge Collapsar,挑战黑洞攻击),是利用不断对网站发送连接请求致使形成拒绝服务的目的的一种恶意攻击手段。其原理为模拟多个用户不停地进行访问那些需要大量数据操作的页面,造成目标主机服务器资源耗尽,一直到宕机崩溃。
由于CC攻击的攻击方式是通过模拟用户的访问请求,难以进行区分,而且CC攻击的技术门槛较低,利用一些工具和一定熟练数量的代理IP就可以进行攻击,而且CC攻击的攻击效果明显。
现有技术中针对拒绝服务攻击,特别是CC攻击的处理方案,主要禁止网站代理访问,限制连接数量,尽量将网站做成静态页面等方法进行,然而以上禁止代理访问和限制连接数量的方法会影响正常用户访问网站,另外由于网页的类型和内容的限制,也无法将网页全部设置为静态页面,而且这种方式也不能消除CC攻击的效果。因此,为了对CC攻击进行合理有效的防护,需要首先识别出进行CC攻击的攻击源。但是针对现有技术中无法准确识别拒绝服务攻击的攻击源的问题,目前尚未提出有效的解决方案。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的拒绝服务攻击的攻击源的识别装置和相应的拒绝服务攻击的攻击源的识别方法。本发明一个进一步的目的是要准确识别出拒绝服务攻击的 攻击源,以便有针对性地进行安全防护。
依据本发明的一个方面,提供了一种拒绝服务攻击的攻击源的识别方法。该拒绝服务攻击的攻击源的识别方法包括以下步骤:获取目标主机的多个统一资源定位符URL的访问请求的列表;利用列表查询得出第一URL,该第一URL为在第一预定时间段内访问请求量最大的统一资源定位符;利用列表查询得出在第一预定时间段内向第一URL发出最多请求的一个或多个请求源;分别判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及请求源的请求量是否超过请求阈值;若以上两个判断结果均为是,将请求量超过请求阈值的请求源列为可疑攻击源。
可选地,获取目标主机的多个统一资源定位符URL的访问请求的列表包括:读取与目标主机数据连接的网页应用防护***的运行日志文件;对运行日志文件文件进行分析,得到列表,列表中记录了目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。
可选地,请求阈值通过占比动态计算得出,请求阈值的计算步骤包括:使用预设基础值除以占比,将得到的除商与预设的误拦裕量相加;将相加得到的加和作为请求阈值。
可选地,将请求量超过请求阈值的请求源列为可疑攻击源之后还包括:对可疑攻击源的访问请求进行分析,根据分析结果选择是否开启对可疑攻击源的攻击防护机制。
可选地,对可疑攻击源的访问请求进行分析包括:判断可疑攻击源向目标主机发出访问请求的目标URL是否仅为第一URL;若是,开启对可疑攻击源的攻击防护机制。
可选地,开启对可疑攻击源的攻击防护机制包括:过滤掉可疑攻击源向目标主机发送的访问请求。
可选地,获取目标主机的多个统一资源定位符URL的访问请求的列表之前还包括:判断向目标主机发出的访问请求总量是否超过预设的网站安全响应阈值;若是,执行获取目标主机的多个统一资源定位符URL的访问请求的列表的步骤。
根据本发明的另一个方面,提供了一种拒绝服务攻击的攻击源的识别装置包括:列表获取模块,用于获取目标主机的多个统一资源定位符URL的访问请求的列表;URL分析模块,用于利用列表查询得出第一URL,该第一URL为在第一预定时间段内访问请求量最大的统一资源定位符;请求源分析模块, 用于利用列表查询得出在第一预定时间段内向第一URL发出最多请求的一个或多个请求源;判断模块,用于分别判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及请求源的请求量是否超过请求阈值;攻击源确定模块,用于在判断模块的两个判断结果均为是的情况下,将请求量超过请求阈值的请求源列为可疑攻击源。
可选地,列表获取模块被配置为:读取与目标主机数据连接的网页应用防护***的运行日志文件;对运行日志文件文件进行分析,得到列表,列表中记录了目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。
可选地,上述拒绝服务攻击的攻击源的识别装置还包括:请求阈值计算模块,用于使用预设基础值除以占比,将得到的除商与预设的误拦裕量相加;将相加得到的加和作为请求阈值。
可选地,上述拒绝服务攻击的攻击源的识别装置还包括:攻击源分析模块,用于对可疑攻击源的访问请求进行分析,根据分析结果选择是否开启对可疑攻击源的攻击防护机制。
可选地,上述拒绝服务攻击的攻击源的识别装置还包括:安全响应判断模块,用于判断向目标主机发出的访问请求总量是否超过预设的网站安全响应阈值;上述列表获取模块被配置为:在安全响应判断模块的判断结果为是的情况下,执行获取所述目标主机的多个统一资源定位符URL的访问请求的列表的步骤。
本发明的拒绝服务攻击的攻击源的识别方法和拒绝服务攻击的攻击源识别的装置在目标主机出现访问量出现异常等异常情况后,对目标主机的多个URL中的接收到请求最多的URL进行分析,分析对该请求最多的URL发送的请求是否符合多攻击源攻击单一URL的攻击特征,经过判断精确地得出可疑攻击源,以便进行进一步分析和安全防护,提高了网络安全性。
进一步地,本发明的技术方案根据多攻击源攻击单一URL的攻击特征对判断拒绝服务攻击的判断阈值进行计算,可根据目标主机的访问特点进行灵活设置,符合对不同目标主机的攻击防护要求。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会 更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是根据本发明一个实施例的拒绝服务攻击的攻击源的识别装置200的网络应用环境的示意图;
图2是根据本发明一个实施例的拒绝服务攻击的攻击源的识别装置200示意图;以及
图3是根据本发明一个实施例的拒绝服务攻击的攻击源的识别方法的示意图。
具体实施方式
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
图1是根据本发明一个实施例的拒绝服务攻击的攻击源的识别装置200的网络应用环境的示意图,在图中,网页客户端110访问目标网站时,经过域名解析***的解析,将输入的域名解析为网页防护***分布在各地机房的节点服务器120对应的地址,节点服务器120通过互联网向目标网站的主机(host)140发出访问请求,在目标主机host140之前设置了网页应用防护***130(WebApplication Firewall,简称WAF),向目标主机140发出的访问请求必须经过WAF130才能到达目标主机140,WAF130作为网站防火防火墙,提供网站的加速和缓存服务,可防止黑客利用跨站注入等漏洞对网站进行入侵,保护网站不被篡改和入侵,提高网站主机的安全性。本发明实施例的拒绝服务攻击的攻击源的识别装置200与多个WAF130数据连接,根据WAF130收到的向目标主机140发送的访问请求进行拒绝服务攻击的攻击源识别。
拒绝服务攻击的方式包含以下多种方式:使用单一互联网协议地址 (InternetProtocol,进程IP地址)对某一host的单个URL进行攻击、使用多个IP对单个URL进行攻击、使用单一IP对多个URL进行攻击、使用多个IP对多个URL进行攻击,由于对多个URL进行攻击需要使用网络爬虫技术抽取URL攻击的难度较大,因此,一般进行拒绝服务攻击大多使用对单一URL进行攻击的方式。
本发明实施例的拒绝服务攻击的攻击源的识别装置200及其相应的方法可以有效地对单一URL的攻击源进行识别。
图2是根据本发明一个实施例的拒绝服务攻击的攻击源的识别装置200示意图。该拒绝服务攻击的攻击源的识别装置200一般性地可以包括:列表获取模块210、URL分析模块220、请求源分析模块230、判断模块240、攻击源确定模块250,在一些优化的方案中还可以增加设置有请求阈值计算模块270、攻击源分析模块280、安全响应判断模块260。
在以上部件中,列表获取模块210用于获取目标主机140的多个统一资源定位符(Uniform Resource Locator,简称URL)的访问请求的列表;URL分析模块220用于利用列表查询得出第一URL,该第一URL为在第一预定时间段内访问请求量最大的统一资源定位符;请求源分析模块230用于利用列表查询得出在第一预定时间段内向第一URL发出最多请求的一个或多个请求源;判断模块240用于分别判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及请求源的请求量是否超过请求阈值;攻击源确定模块250用于在判断模块的两个判断结果均为是的情况下,将请求量超过请求阈值的请求源列为可疑攻击源。
对于一般拒绝服务攻击,由于攻击源主要对目标主机140的某个URL集中进行请求,而一般正常访问请求,对所有URL的请求数量应该大体是平均的,本实施例的拒绝服务攻击的攻击源的识别装置200利用拒绝服务攻击的特点,利用收到请求量最大的URL是否请求量异常识别出可以攻击源。
启动以上拒绝服务攻击的攻击源的识别装置200可以由目标主机的访问量骤升或者目标主机的响应不正常的异常事件触发。例如当前目标主机140收到的请求总量远远大于正常访问量的峰值,或者目标主机140对访问请求的返回大多为无效数据(50X)时,就可以启动对攻击源的识别。
列表获取模块210可以利用WAF130的运行日志文件得到URL列表,例如列表获取模块210读取与目标主机数据连接的网页应用防护***WAF130的运行日志文件;对运行日志文件文件进行分析,得到列表,列表中记录了目 标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。表1示出了本实施例的拒绝服务攻击的攻击源的识别装置200利用WAF运行日志获取的URL列表。
表1
如表1所示,通过对日志文件的分析,某个host对应有多个URL,分别为URL1、URL2、URL3……,在第一预定时间段内,对URL1发出请求访问的请求源为IP1、IP2、IP3、IP4;对URL2发出请求访问的请求源为IP2、IP3、IP4;对URL3发出请求访问的请求源为IP2、IP3。
若在第一预定时间段内URL1的访问请求量最大,则将URL1作为第一URL,然后确定出此时请求访问URL1最大的一个或多个IP,判断URL1所占对host所有URL请求量的占比是否超过预设请求占比,以及请求访问URL1最大的一个或多个IP的访问量是否超过预设请求阈值,如果两个判断结果均为,确定请求访问URL1最大的一个或多个IP对应的请求源为可疑攻击源。
以上预设请求占比为对拒绝服务攻击的攻击行为进行分析得出的经验值,一般可以设置为80%至90%,也就说一个URL接收的请求量占host请求量的绝大部分,就可以认为该URL受到了攻击。
以上预设请求阈值可以固定设置,但是为了满足不同host的请求情况,以及动态变化的请求量的变化,可由请求阈值计算模块270进行动态计算。请求阈值计算模块270的一种配置方式为:使用预设基础值除以占比,将得到的除商与预设的误拦裕量相加;将相加得到的加和作为请求阈值。例如该预设阈值的计算公式为:
阈值=预设基础值/占比+误拦裕量
在预设基础值取值为100、预设的误拦裕量取值为100的情况下,如果第一URL接收的请求量达到host总请求量的90%,则可以得到阈值=100/90%+100=211.1,从而如果有对第一URL发出的请求量超过211次的请 求源,即认为该请求源存在攻击可疑性。
以上预设基础值和预设的误拦裕量可疑根据host的实际访问情况,进行灵活设置,以上具体取值仅为实际举例。
在确定出可疑攻击源后,可以进一步对攻击源分析,以确定可疑攻击源是否是真正攻击源,在这种情况下,攻击源分析模块280对可疑攻击源的访问请求进行分析,根据分析结果选择是否开启对可疑攻击源的攻击防护机制。具体分析的方法可以为:判断当前可疑攻击源是否除了第一URL外,是否请求了host的其他URL,如果当前可疑攻击源除第一URL还请求了其他的URL,按照拒绝服务攻击的攻击特点,该可疑攻击源并非实际的攻击源。具体进行判断时,可以判断该可以攻击源是否在一段时间内集中对host超过2个URL进行了访问,如是,可以将排除该可疑攻击源。如果可疑攻击源仅对第一URL发出了请求,就可以确定其进行了拒绝服务攻击,直接封锁该可疑攻击源对host的请求。
由于本实施例的拒绝服务攻击的攻击源的识别装置200对攻击源进行了多重判断和识别,识别的准确性好,因此对识别出的攻击源直接进行封锁,不会影响到正常用户的访问。
另外,考虑到拒绝服务攻击的攻击源的识别装置200的以上识别过程也会消耗大量的资源,因此安全响应判断模块260判断向目标主机发出的访问请求总量是否超过预设的网站安全响应阈值;上述列表获取模块210仅在安全响应判断模块260的判断结果为是的情况下,执行获取所述目标主机的多个统一资源定位符URL的访问请求的列表的步骤。安全响应判断模块260设立了一个存活机制,仅在host的访问量超过安全响应的数量时,进行启动。安全响应阈值可以根据host正常情况下可以正常响应的请求量进行设定。
为了在受到拒绝服务攻击后,尽快实现攻击源的识别,以上第一预定时间段可以设置为10秒至30秒,也就是在受到攻击后1分钟之内实现对攻击源的识别和处理,大大提高了拒绝服务攻击的安全防护效率。
本发明实施例还提供了一种拒绝服务攻击的攻击源的识别方法,该拒绝服务攻击的攻击源的识别方法可以由以上实施例中的拒绝服务攻击的攻击源的识别装置200来执行,以识别出针对目标主机的拒绝服务攻击。图3是根据本发明一个实施例的拒绝服务攻击的攻击源的识别方法的示意图,该拒绝服务攻击的攻击源的识别方法包括以下步骤:
步骤S302,获取目标主机的多个统一资源定位符URL的访问请求的列表;
步骤S304,利用列表查询得出第一URL,该第一URL为在第一预定时间段内访问请求量最大的统一资源定位符;
步骤S306,利用列表查询得出在第一预定时间段内向第一URL发出最多请求的一个或多个请求源;
步骤S308,判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比;
步骤S310,判断对第一URL访问请求量最大的请求源的请求量是否超过请求阈值;
步骤S312,若步骤S308和S310的判断结果均为是,确定请求源为拒绝服务攻击的可疑攻击源。
其中,上第一预定时间段可以设置为10秒至30秒,也就是在受到攻击后1分钟之内实现对攻击源的识别和处理,大大提高了拒绝服务攻击的安全防护效率。
步骤S302的一种列表的获得方式为:读取与目标主机数据连接的网页应用防护***的运行日志文件;对运行日志文件文件进行分析,得到列表,列表中记录了目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。
步骤S310中的请求阈值通过占比动态计算得出,请求阈值的计算步骤包括:使用预设基础值除以占比,将得到的除商与预设的误拦裕量相加;将相加得到的加和作为请求阈值。从而计算公式为:阈值=预设基础值/占比+误拦裕量。
在步骤S312之后,还可以对可疑攻击源的访问请求进行分析,根据分析结果选择是否开启对可疑攻击源的攻击防护机制。具体分析的方法可以为:判断可疑攻击源向目标主机发出访问请求的目标URL是否仅为第一URL;若是,开启对可疑攻击源的攻击防护机制。如果当前可疑攻击源除第一URL还请求了其他的URL,按照拒绝服务攻击的攻击特点,该可疑攻击源应该并非实际的攻击源。具体进行判断时,可以判断该可以攻击源是否在一段时间内集中对host超过2个URL进行了访问,如是,可以将排除该可疑攻击源。如果可疑攻击源仅对第一URL发出了请求,就可以确定其进行了拒绝服务攻击,直接封锁该可疑攻击源对host的请求。
另外,为了防止一些中小型网站自身的不稳定造成消耗识别资源的问题,在步骤S302之前还可以判断向目标主机发出的访问请求总量是否超过预设的网站安全响应阈值;若是,执行步骤S302。
以下针对一个中型网站的应用以上流程的应用实例进行介绍。
该中型网站的host包含4个URL分别为:URL1、URL2、URL3、URL4,某日的10s中之内的各URL接收的请求量如表2所示,
表2
Host接收到的请求总量为550,超过了该网站的安全响应阈值300,而且URL1接收到的请求量为500,占所有URL请求总量超过了90%,此时确定URL1为第一URL,并确定出IP1和IP4的请求量最大。
然后计算请求量阈值=100/90%+100=211,IP1的请求量超过了该阈值,被确定为可以攻击源。通过对除URL1之外的其他URL进行分析,发现IP1仅对URL1进行了访问,其余URL2、URL3、URL4均未收到IP1的访问请求,从而确定了IP1对本host发送了拒绝服务攻击,开启对IP1的拒绝服务攻击防护,封锁IP1对host的访问请求。
本发明实施例的拒绝服务攻击的攻击源的识别方法和拒绝服务攻击的攻击源识别的装置在目标主机出现访问量出现异常等异常情况后,对目标主机的多个URL中的接收到请求最多的URL进行分析,分析对该请求最多的URL发送的请求是否符合多攻击源攻击单一URL的攻击特征,经过判断精确地得出可疑攻击源,以便进行进一步分析和安全防护,提高了网络安全性。
进一步地,本发明的技术方案根据多攻击源攻击单一URL的攻击特征对判断拒绝服务攻击的判断阈值进行计算,可根据目标主机的访问特点进行灵活设置,符合对不同目标主机的攻击防护。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的拒绝服务攻击的攻击源的识别装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施 例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
Claims (12)
1.一种拒绝服务攻击的攻击源的识别方法,包括:
获取目标主机的多个统一资源定位符URL的访问请求的列表;
利用所述列表查询得出第一URL,该第一URL为在第一预定时间段内访问请求量最大的所述统一资源定位符;
利用所述列表查询得出在第一预定时间段内向所述第一URL发出最多请求的一个或多个请求源;
分别判断所述第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及所述请求源的请求量是否超过请求阈值,所述请求阈值通过所述占比动态计算得出;
若以上两个判断结果均为是,将请求量超过所述请求阈值的请求源列为可疑攻击源。
2.根据权利要求1所述的方法,其中,获取所述目标主机的多个统一资源定位符URL的访问请求的列表包括:
读取与所述目标主机数据连接的网页应用防护***的运行日志文件;
对所述运行日志文件进行分析,得到所述列表,所述列表中记录了所述目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。
3.根据权利要求1所述的方法,其中,所述请求阈值的计算步骤包括:
使用预设基础值除以所述占比,将得到的除商与预设的误拦裕量相加;
将所述相加得到的加和作为所述请求阈值。
4.根据权利要求1至3中任一项所述的方法,其中,将请求量超过所述请求阈值的请求源列为可疑攻击源之后还包括:对所述可疑攻击源的访问请求进行分析,根据分析结果选择是否开启对所述可疑攻击源的攻击防护机制。
5.根据权利要求4所述的方法,其中,对所述可疑攻击源的访问请求进行分析包括:
判断所述可疑攻击源向所述目标主机发出访问请求的目标URL是否仅为所述第一URL;
若是,开启对所述可疑攻击源的攻击防护机制。
6.根据权利要求5所述的方法,其中,开启对所述可疑攻击源的攻击防护机制包括:过滤掉所述可疑攻击源向所述目标主机发送的访问请求。
7.根据权利要求1至3中任一项所述的方法,其中,获取所述目标主机的多个统一资源定位符URL的访问请求的列表之前还包括:
判断向所述目标主机发出的访问请求总量是否超过预设的网站安全响应阈值;若是,执行获取所述目标主机的多个统一资源定位符URL的访问请求的列表的步骤。
8.一种拒绝服务攻击的攻击源的识别装置,包括:
列表获取模块,用于获取目标主机的多个统一资源定位符URL的访问请求的列表;
URL分析模块,用于利用所述列表查询得出第一URL,该第一URL为在第一预定时间段内访问请求量最大的所述统一资源定位符;
请求源分析模块,用于利用所述列表查询得出在第一预定时间段内向所述第一URL发出最多请求的一个或多个请求源;
判断模块,用于分别判断所述第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及所述请求源的请求量是否超过请求阈值,所述请求阈值通过所述占比动态计算得出;
攻击源确定模块,用于在所述判断模块的两个判断结果均为是的情况下,将请求量超过所述请求阈值的请求源列为可疑攻击源。
9.根据权利要求8所述的装置,其中,所述列表获取模块被配置为:
读取与所述目标主机数据连接的网页应用防护***的运行日志文件;
对所述运行日志文件进行分析,得到所述列表,所述列表中记录了所述目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。
10.根据权利要求9所述的装置,还包括:
请求阈值计算模块,用于使用预设基础值除以所述占比,将得到的除商与预设的误拦裕量相加;将所述相加得到的加和作为所述请求阈值。
11.根据权利要求8至10中任一项所述的装置,还包括:
攻击源分析模块,用于对所述可疑攻击源的访问请求进行分析,根据分析结果选择是否开启对所述可疑攻击源的攻击防护机制。
12.根据权利要求8至10中任一项所述的装置,还包括:
安全响应判断模块,用于判断向所述目标主机发出的访问请求总量是否超过预设的网站安全响应阈值;
所述列表获取模块被配置为:在所述安全响应判断模块的判断结果为是的情况下,执行获取所述目标主机的多个统一资源定位符URL的访问请求的列表的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310713401.7A CN103685294B (zh) | 2013-12-20 | 2013-12-20 | 拒绝服务攻击的攻击源的识别方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310713401.7A CN103685294B (zh) | 2013-12-20 | 2013-12-20 | 拒绝服务攻击的攻击源的识别方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103685294A CN103685294A (zh) | 2014-03-26 |
| CN103685294B true CN103685294B (zh) | 2017-02-22 |
Family
ID=50321608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310713401.7A Active CN103685294B (zh) | 2013-12-20 | 2013-12-20 | 拒绝服务攻击的攻击源的识别方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103685294B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104009983B (zh) * | 2014-05-14 | 2017-03-29 | 杭州安恒信息技术有限公司 | 一种cc攻击的检测方法及其检测*** |
| CN104065644B (zh) * | 2014-05-28 | 2017-11-21 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN104702623B (zh) * | 2015-03-27 | 2019-01-08 | 上海携程商务有限公司 | Ip封锁方法及*** |
| CN105323259B (zh) * | 2015-12-07 | 2018-07-31 | 上海斐讯数据通信技术有限公司 | 一种防止同步包攻击的方法和装置 |
| CN107515820B (zh) * | 2016-06-17 | 2021-02-05 | 阿里巴巴集团控股有限公司 | 服务器监测方法及装置、检测服务器 |
| CN106161451B (zh) * | 2016-07-19 | 2019-09-17 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及*** |
| CN106357628B (zh) * | 2016-08-31 | 2019-09-06 | 东软集团股份有限公司 | 攻击的防御方法及装置 |
| CN106506547B (zh) * | 2016-12-23 | 2020-07-10 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及*** |
| CN109510731A (zh) * | 2017-09-15 | 2019-03-22 | 顺丰科技有限公司 | 多维度收集url链接及参数的方法、***及设备 |
| CN107612924B (zh) * | 2017-09-30 | 2021-02-23 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
| CN108200076B (zh) * | 2018-01-17 | 2021-04-27 | 杭州迪普科技股份有限公司 | Host头域伪造攻击的防护方法和装置 |
| CN109743309B (zh) * | 2018-12-28 | 2021-09-10 | 微梦创科网络科技(中国)有限公司 | 一种非法请求识别方法、装置及电子设备 |
| CN110177096B (zh) * | 2019-05-24 | 2021-09-07 | 网易(杭州)网络有限公司 | 客户端认证方法、装置、介质和计算设备 |
| CN113452647B (zh) * | 2020-03-24 | 2022-11-29 | 百度在线网络技术(北京)有限公司 | 特征鉴定方法、装置、电子设备及计算机可读存储介质 |
| CN113660214B (zh) * | 2021-07-26 | 2023-02-28 | 杭州安恒信息技术股份有限公司 | 一种Web服务器的防护方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101329687A (zh) * | 2008-07-31 | 2008-12-24 | 清华大学 | 一种新闻网页定位方法 |
| CN101674293A (zh) * | 2008-09-11 | 2010-03-17 | 阿里巴巴集团控股有限公司 | 一种分布式应用中处理非正常请求的方法及*** |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101437030B (zh) * | 2008-11-29 | 2012-02-22 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
| KR101077135B1 (ko) * | 2009-10-22 | 2011-10-26 | 한국인터넷진흥원 | 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 |
| KR101061375B1 (ko) * | 2009-11-02 | 2011-09-02 | 한국인터넷진흥원 | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 |
| CN102271068B (zh) * | 2011-09-06 | 2015-07-15 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
| US8549645B2 (en) * | 2011-10-21 | 2013-10-01 | Mcafee, Inc. | System and method for detection of denial of service attacks |
| CN103379099B (zh) * | 2012-04-19 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 恶意攻击识别方法及*** |
| US20130291107A1 (en) * | 2012-04-27 | 2013-10-31 | The Irc Company, Inc. | System and Method for Mitigating Application Layer Distributed Denial of Service Attacks Using Human Behavior Analysis |
| CN103023924B (zh) * | 2012-12-31 | 2015-10-14 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和*** |
| CN103297435B (zh) * | 2013-06-06 | 2016-12-28 | 中国科学院信息工程研究所 | 一种基于web日志的异常访问行为检测方法与*** |
| CN103442018A (zh) * | 2013-09-17 | 2013-12-11 | 网宿科技股份有限公司 | Cc攻击的动态防御方法和*** |
-
2013
- 2013-12-20 CN CN201310713401.7A patent/CN103685294B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101329687A (zh) * | 2008-07-31 | 2008-12-24 | 清华大学 | 一种新闻网页定位方法 |
| CN101674293A (zh) * | 2008-09-11 | 2010-03-17 | 阿里巴巴集团控股有限公司 | 一种分布式应用中处理非正常请求的方法及*** |
Non-Patent Citations (1)
| Title |
|---|
| DDoS攻击检测技术研究;余双成;《中国优秀硕士学位论文全文数据库 信息科技辑》》;20131115(第11期);I139-160 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103685294A (zh) | 2014-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103685294B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN103701793B (zh) | 服务器肉鸡的识别方法和装置 | |
| CN107465651B (zh) | 网络攻击检测方法及装置 | |
| EP2715522B1 (en) | Using dns communications to filter domain names | |
| RU2495486C1 (ru) | Способ анализа и выявления вредоносных промежуточных узлов в сети | |
| US9654494B2 (en) | Detecting and marking client devices | |
| US9258289B2 (en) | Authentication of IP source addresses | |
| CN103685293B (zh) | 拒绝服务攻击的防护方法和装置 | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN105763561A (zh) | 一种攻击防御方法和装置 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN107579997A (zh) | 无线网络入侵检测*** | |
| CN103701816B (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| CN104378255B (zh) | web恶意用户的检测方法及装置 | |
| CN106685899A (zh) | 用于识别恶意访问的方法和设备 | |
| CN104967628A (zh) | 一种保护web应用安全的诱骗方法 | |
| US8856269B2 (en) | System and method for identifying a masked IP address | |
| CN103561076B (zh) | 一种基于云的网页挂马实时防护方法及*** | |
| CN107509200A (zh) | 基于无线网络入侵的设备定位方法及装置 | |
| KR20140058057A (ko) | 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법 | |
| CN115102781A (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
| CN107517226A (zh) | 基于无线网络入侵的报警方法及装置 | |
| Seifert et al. | Application of divide-and-conquer algorithm paradigm to improve the detection speed of high interaction client honeypots | |
| CN109194621B (zh) | 流量劫持的检测方法、装置及*** | |
| CN112637171A (zh) | 数据流量处理方法、装置、设备、***和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161121 Address after: 100015 Chaoyang District Road, Jiuxianqiao, No. 10, building No. 3, floor 15, floor 17, 1701-26, Applicant after: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: Beijing Qihu Technology Co., Ltd. Applicant before: Qizhi Software (Beijing) Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee after: Qianxin Technology Group Co., Ltd. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee before: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD. |