CN103701794A - 拒绝服务攻击的识别方法和装置 - Google Patents
拒绝服务攻击的识别方法和装置 Download PDFInfo
- Publication number
- CN103701794A CN103701794A CN201310714511.5A CN201310714511A CN103701794A CN 103701794 A CN103701794 A CN 103701794A CN 201310714511 A CN201310714511 A CN 201310714511A CN 103701794 A CN103701794 A CN 103701794A
- Authority
- CN
- China
- Prior art keywords
- request
- amount
- denial
- destination host
- threshold value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种拒绝服务攻击的识别方法和装置。其中,拒绝服务攻击的识别方法包括以下步骤:获取在第一预定时间段内向目标主机发出的访问请求总量,记为第一请求量;判断第一请求量是否超出阈值,阈值通过对目标主机的访问量进行统计得出;若是,确定目标主机受到拒绝服务攻击。利用本发明的技术方案,将预定时间内向目标主机发出的访问请求总量作为判断目标,利用目标主机的访问量统计得出阈值作为是否受到拒绝服务攻击的判断标准,通过总结拒绝服务攻击的现象识别出拒绝服务攻击,以便采取相应措施,大大提高了拒绝服务攻击的识别的精确性,实现了主机的安全防护。
Description
技术领域
本发明涉及互联网安全领域,特别是涉及一种拒绝服务攻击的识别方法和装置。
背景技术
拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。利用大量超出响应能力的请求消耗大量攻击目标的资源,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。严重时可以使某些服务被暂停甚至主机死机。
作为拒绝服务攻击的一种,CC攻击(Challenge Collapsar,挑战黑洞攻击),是利用不断对网站发送连接请求致使形成拒绝服务的目的的一种恶意攻击手段。其原理为模拟多个用户不停地进行访问那些需要大量数据操作的页面,造成目标主机服务器资源耗尽,一直到宕机崩溃。
由于CC攻击的攻击方式是通过模拟用户的访问请求,难以进行区分,而且CC攻击的技术门槛较低,利用一些工具和一定熟练数量的代理IP就可以进行攻击,而且CC攻击的攻击效果明显。
现有技术中针对拒绝服务攻击,特别是CC攻击的处理方案,主要禁止网站代理访问,限制连接数量,尽量将网站做成静态页面等方法进行,然而以上禁止代理访问和限制连接数量的方法会影响正常用户访问网站,另外由于网页的类型和内容的限制,也无法将网页全部设置为静态页面,而且这种方式也不能消除CC攻击的效果。针对现有技术中无法准确识别拒绝服务攻击的问题,目前尚未提出有效的解决方案。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的拒绝服务攻击的识别装置和相应的拒绝服务攻击的识别方法。本发明一个进一步的目的是要识别出针对目标主机的拒绝服务攻击。
依据本发明的一个方面,提供了一种拒绝服务攻击的识别方法。该拒绝服务攻击的识别方法包括以下步骤:获取在第一预定时间段内向目标主机发出的访问请求总量,记为第一请求量;判断第一请求量是否超出阈值,阈值通过对目标主机的访问量进行统计得出;若是,确定目标主机受到拒绝服务攻击。
可选地,阈值的统计计算步骤包括:每间隔第一预定时间段记录一次第一请求量,得到多个第一请求量;从多个第一请求量中按照预设规则挑选出多个样本值;计算多个样本值的平均值,根据平均值设定阈值。
可选地,从多个第一请求量中按照预设规则挑选出多个样本值包括:选取在第二预定时间段内产生的多个第一请求量,第二预定时间段为第一预定时间段的整数倍,将在第二预定时间段内产生的多个第一请求量中的最大值记为第二请求量;在连续多个第二预定时间段内分别挑选得出多个第二请求量,并从多个第二请求量中滤除偏差较大的数据后,得到多个样本值。
可选地,根据平均值设定阈值包括:计算平均值与预定系数的乘积,预定系数的取值范围为:1.05至1.3;将乘积作为阈值。
可选地,获取在第一预定时间段内向目标主机发出的访问请求总量包括:读取与目标主机数据连接的网页应用防护***的运行日志文件;统计在第一预定时间段内运行日志文件中记录的向目标主机发出的访问请求,得到第一请求量。
可选地,在确定目标主机受到拒绝服务攻击之后还包括:对向目标主机发出访问请求的请求方发送验证信息,并接收请求方的后续请求信息;判断后续请求信息是否与验证信息匹配,若是,将请求方的访问请求发送给目标主机。
可选地,在确定目标主机受到恶意攻击之后还包括:对运行日志文件进行分析,得出请求量存在异常的向目标主机发出访问请求的请求方;过滤请求方发出的访问请求。
根据本发明的另一个方面,还提供了一种拒绝服务攻击的识别装置。该拒绝服务攻击的识别装置包括:访问请求获取模块,用于获取在第一预定时间段内向目标主机发出的访问请求总量,记为第一请求量;判断模块,用于判断第一请求量是否超出阈值,阈值通过对目标主机的访问量进行统计得出;识别模块,用于在判断模块的输出为是的情况下,确定目标主机受到拒绝服务攻击。
可选地,该拒绝服务攻击的识别装置还包括:阈值统计模块,用于每间隔第一预定时间段记录一次第一请求量,得到多个第一请求量;从多个第一请求量中按照预设规则挑选出多个样本值;计算多个样本值的平均值,根据平均值设定阈值。
阈值统计模块被配置为:选取在第二预定时间段内产生的多个第一请求量,第二预定时间段为第一预定时间段的整数倍,将在第二预定时间段内产生的多个第一请求量中的最大值记为第二请求量;在连续多个第二预定时间段内分别挑选得出多个第二请求量,并从多个第二请求量中滤除偏差较大的数据后,得到多个样本值;计算平均值与预定系数的乘积,预定系数的取值范围为:1.05至1.3;将乘积作为阈值。
可选地,访问请求获取模块被配置为:读取与目标主机数据连接的网页应用防护***的运行日志文件;统计在第一预定时间段内运行日志文件中记录的向主机发出的访问请求,得到第一请求量。
可选地,以上拒绝服务攻击的识别装置还包括:第一防护模块,用于对向目标主机发出访问请求的请求方发送验证信息,并接收请求方的后续请求信息;判断后续请求信息是否与验证信息匹配,若是,将请求方的访问请求发送给目标主机,和/或第二防护模块,用于对运行日志文件进行分析,得出请求量存在异常的向目标主机发出访问请求的请求方;过滤请求方发出的访问请求。
本发明的拒绝服务攻击的识别方法和装置由于将预定时间内向目标主机发出的访问请求总量作为判断目标,利用目标主机的访问量统计得出阈值作为是否受到拒绝服务攻击的判断标准,通过总结拒绝服务攻击的现象识别出拒绝服务攻击,以便采取相应措施,大大提高了拒绝服务攻击的识别的精确性,实现了主机的安全防护。
进一步地,阈值按照一定的统计算法得出,无需进行人为干预,自动匹配目标主机处理访问请求能力,从而满足不同目标主机的防护要求。
又进一步地,在识别出拒绝服务攻击后,开启相应的防护机制,保护目标主机的安全运行,而且可以根据识别结果查找出进行拒绝服务攻击的攻击源,为后续安全处理提供了数据支持。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是根据本发明一个实施例的拒绝服务攻击的识别装置200的网络应用环境的示意图;
图2是根据本发明一个实施例的拒绝服务攻击的识别装置200的示意图;
图3是根据本发明一个实施例的拒绝服务攻击的识别方法的示意图;
图4是根据本发明一个实施例的拒绝服务攻击的识别方法中连续30天内5分钟最高访问量的统计图;以及
图5是根据本发明一个实施例的拒绝服务攻击的识别方法中目标主机接收到的请求量的统计图。
具体实施方式
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
图1是根据本发明一个实施例的拒绝服务攻击的识别装置200的网络应用环境的示意图,在图中,网页客户端110访问目标网站时,需要通过互联网向目标网站的主机130发出访问请求,在网页客户端110和目标主机130之间设置了网页应用防护***(Web Application Firewall,简称WAF),网页客户端110发出的访问请求必须经过WAF120才能到达目标主机130。WAF120作为网站防火防火墙,提供网站的加速和缓存服务,可防止黑客利用跨站注入等漏洞以入侵网站,保护网站不被篡改和入侵,提高网站主机的安全性。本发明实施例的拒绝服务攻击的识别装置200与多个WAF130数据连接,并根据WAF130收到的向目标主机130发送的访问请求进行拒绝服务攻击的识别。
图2是根据本发明一个实施例的拒绝服务攻击的识别装置200的示意图。该拒绝服务攻击的识别装置200一般性地可以包括:访问请求获取模块210、判断模块220、识别模块230,在一些优化的方案中还可以增加设置有阈值统计模块240、第一防护模块250和第二防护模块260。
在以上部件中,访问请求获取模块210用于获取在第一预定时间段内向目标主机发出的访问请求总量,记为第一请求量;判断模块220用于判断第一请求量是否超出阈值,该阈值通过对目标主机的访问量进行统计得出;识别模块230用于在判断模块的输出为是的情况下,确定目标主机受到拒绝服务攻击。
本实施例的拒绝服务攻击的识别装置200由于将预定时间内向目标主机发出的访问请求总量作为判断目标,通过总结拒绝服务攻击的现象识别出拒绝服务攻击,以便采取相应措施。
在受到拒绝服务攻击的情况下,在较短的时间内,访问请求的目标主机130收到的请求量会明显高于正常的请求量,然而对于不同的网站,其访问量是不同的。为了使对目标主机130设置的阈值符合目标主机130的访问能力,本实施例的拒绝服务攻击的识别装置200中还可以包括有阈值统计模块240。阈值统计模块240用于每间隔第一预定时间段记录一次第一请求量,得到多个第一请求量;从多个第一请求量中按照预设规则挑选出多个样本值;计算多个样本值的平均值,根据平均值设定阈值。
阈值统计模块240的一种实现配置方式为:选取在第二预定时间段内产生的多个第一请求量,第二预定时间段为第一预定时间段的整数倍,将在第二预定时间段内产生的多个第一请求量中的最大值记为第二请求量;在连续多个第二预定时间段内分别挑选得出多个第二请求量,并从多个第二请求量中滤除偏差较大的数据后,得到多个样本值;计算平均值与预定系数的乘积,预定系数的取值范围为:1.05至1.3;将乘积作为阈值。
为了保证识别的准确性,以上第一预定时间和第二预定时间均经过了大量的时间进行试验,其中第一预定时间如果设定地过短,其波动性较大,容易出现误识别的情况,如果设定地过长,其波动性过于平滑,无法反映出请求量的变化;经过大量测试的结果,第一预定时间可以设置为3至8分钟,最优值为5分钟,也就是每间隔5分钟,确定在这5分钟内向目标主机130发出的访问请求总量作为第一请求量。
为了确定以上阈值,需要确定在正常访问情况下最大的访问请求量,由于一般网站的访问都是天为单位波动的,因此,阈值统计模块240选取样本值的周期,即第二预定时间可以使用一天的时间,从而选取样本值的过程可以为:获取一天时间内,每隔5分钟的第一请求量,从而一天的288个第一请求量中选取出最大值作为第二请求量。由于第二请求量可能受到异常因素的影响,会导致有些值明显出现较大偏差,例如某日统计出错,导致请求量为零;或者在某天内受到拒绝服务攻击,访问量大增,这种明显偏差较大的数据并非正常访问造成的,需要进行滤除。一种从第二请求量中选取样本值的简单方法可以为:挑选最近30天内的30个第二请求量,过滤掉最大的三个数据和最小的三个数据,将剩余的24个第二请求量作为样本值。这种方式计算简单,有效性较高。另外从第二请求量中选取样本值的方法还可以使用方差的方法进行统计,将方差大于一定预设值的第二请求量删除。
在本实施例的拒绝服务攻击的识别装置200中,阈值统计模块240可以将得出的样本值的平均值乘以预定系数得出最终阈值,以上预定系数的作用是为了给网站请求量留出一定的裕值,防止出现误拦的情况,预定系数的取值范围为:1.05至1.3,一般选取的最优值可以为1.2。也就是将超出正常访问的最大访问量的20%的情况作为确定拒绝服务攻击的条件。
阈值统计模块240确定出的阈值可以是动态调整的,例如每天定时利用此前30天的访问数据进行阈值的计算,从而判断更加精确,例如在网站的访问量逐渐增长的情况下,可动态地增加阈值,防止出现因业务变化导致出现拒绝服务攻击识别错误的情况发生。阈值的计算过程也并不局限于对样本值的加和平均,只要可以反映出网站正常访问量的最大值的统计计算方法均可以用于对阈值的计算,本实施例优选的加和平均仅是计算量较小的一种方式。
以上第一预设时间、第二预设时间、预定系数均是根据网络访问的情况统计得出的经验值,可以根据拒绝服务攻击的变化灵活进行调整。
访问请求获取模块210获取的请求量数据,是本实施例进行拒绝服务攻击的数据基础,由于一般WAF120保存有运行日志,记录有经过该WAF120的访问请求,因此访问请求获取模块210可被配置为:读取与目标主机数据连接的WAF120的运行日志文件;统计在第一预定时间段内运行日志文件中记录的向主机发出的访问请求,得到第一请求量。例如访问请求获取模块210实时从所有的WAF120中获取运行日志,并对运行日志进行统计分析既可以得到需要访问请求数据。
拒绝服务攻击的识别装置200在识别出攻击后,可以启动防护机制,对目标主机进行防护。在此情况下,可以配置有第一防护模块250和/或第二防护模块260。第一防护模块250用于对向目标主机发出访问请求的请求方发送验证信息,并接收请求方的后续请求信息;判断后续请求信息是否与验证信息匹配,若是,将请求方的访问请求发送给目标主机。以上验证数据可以包括浏览器用户信息cookie、脚本文件JavaScript、图片数据。
在验证数据为浏览器用户信息cookie时,请求发送方获取浏览器用户信息cookie后,正常操作为向WAF120重新发送带有该cookie信息跳转至所述主机地址的请求,如果请求发送方返回的请求没有对cookie进行处理,可以说明请求发送方的请求为攻击行为。
在验证数据为脚本文件JavaScript时,请求发送方获取javascript后,正常操作为执行该javascript,并重新返回脚本的执行结果,如果请求发送方返回的请求没有执行javascript,也可以说明请求发送方的请求为攻击行为。
图片验证数据也是一种有效的防护方法,例如当前访问量超出阈值,可以向所有的请求发送方发送图片,类似于验证码的方式,请求方需要将图片中包含的文字或者其他内容进行输入并向目标主机反馈,如果图片的识别结果与图片对应则证明当前访问为正常访问。
以上图片验证方式在一定程度上会影响正常访问用户的体验,因此,第二防护模块260可以进一步对运行日志文件进行分析,得出请求量存在异常的向目标主机发出访问请求的请求方;过滤请求方发出的访问请求。分析的原理可以包括分析是否存在某一请求源的ip明显异常以及对目标主机某一url的访问明显异常,通过精确识别,可以避免开启安全防护后对正常访问的影响。
本发明实施例还提供了一种拒绝服务攻击的识别方法,该拒绝服务攻击的识别方法可以由以上实施例中的拒绝服务攻击的识别装置200来执行,以识别出针对目标主机的拒绝服务攻击。图3是根据本发明一个实施例的拒绝服务攻击的识别方法的示意图,该拒绝服务攻击的识别方法包括以下步骤:
步骤S302,获取在第一预定时间段内向目标主机发出的访问请求总量,记为第一请求量;
步骤S304,判断第一请求量是否超出阈值,该阈值通过对目标主机的访问量进行统计得出;
步骤S306,若是,确定目标主机受到拒绝服务攻击。
以上阈值的统计计算步骤可以包括:每间隔第一预定时间段记录一次第一请求量,得到多个第一请求量;从多个第一请求量中按照预设规则挑选出多个样本值;计算多个样本值的平均值,根据平均值设定阈值。
其中,从多个第一请求量中按照预设规则挑选出多个样本值可以包括:选取在第二预定时间段内产生的多个第一请求量,第二预定时间段为第一预定时间段的整数倍,将在第二预定时间段内产生的多个第一请求量中的最大值记为第二请求量;在连续多个第二预定时间段内分别挑选得出多个第二请求量,并从多个第二请求量中滤除偏差较大的数据后,得到多个样本值。根据平均值设定阈值的过程可以包括:计算平均值与预定系数的乘积,预定系数的取值范围为:1.05至1.3;将乘积作为阈值。
步骤S302获取数据的来源可以为网页应用防护***的运行日志文件,从而步骤S302可以包括:读取与目标主机数据连接的网页应用防护***的运行日志文件;统计在第一预定时间段内运行日志文件中记录的向目标主机发出的访问请求,得到第一请求量。
以上阈值的计算过程可以是动态调整的,例如每天定时利用此前30天的日志运行文件进行计算,从而判断更加精确,例如在网站的访问量逐渐增长的情况下,可动态调整阈值,防止出现因业务变化导致出现拒绝服务攻击识别错误的情况发生。阈值的计算过程也并不局限于对样本值的加和平均,只要可以反映出网站正常访问量的最大值的统计计算方法均可以用于对阈值的计算,本实施例优选的加和平均仅是计算量较小的一种方式。
以上第一预设时间、第二预设时间、预定系数均是根据网络访问的情况统计得出的经验值,可以根据拒绝服务攻击的变化灵活进行调整。例如,第一预定时间可以设置为3至8分钟,最优值为5分钟,第二预定时间可以使用一天的时间,预定系数的取值范围为:1.05至1.3,一般选取的最优值可以为1.2。
在识别出拒绝服务攻击后,可以启动相应的防护机制,具体的防护机制可以为:在步骤S306之后,对向目标主机发出访问请求的请求方发送验证信息,并接收请求方的后续请求信息;判断后续请求信息是否与验证信息匹配,若是,将请求方的访问请求发送给目标主机。
为了避免开启安全防护后对正常访问的影响,在步骤S306之后还可以对访运行日志文件进行分析,得出请求量存在异常的向目标主机发出访问请求的请求方;过滤请求方发出的访问请求。
以下针对一个中型网站的应用以上实施例的拒绝服务攻击的识别方法的应用实例进行介绍。
图4是根据本发明一个实施例的拒绝服务攻击的识别方法中连续30天内5分钟最高访问量的统计图,图5是根据本发明一个实施例的拒绝服务攻击的识别方法中目标主机接收到的请求量的统计图。
在某一天中,对该中型网站进行防护的多台WAF的防护日志进行统计,得出此前30天中,5分钟访问量最高的数值,图4示出了该最高访问量中的折线图,从图中可以看出,存在明显的波动,如在第8日出现了突然的高峰,有可能是收到了CC攻击,而在第15日当天无访问量,可能是网络崩溃导致,在计算拒绝服务攻击的阈值滤除30个第二访问量中的最大的3个数值,以及数值最小的3个数值,剩下14个数值进行稽核平均得到的数值为30万,表明了一般情况下,该中型网站5分钟访问量的峰值为30万,从而计算得出进行拒绝服务攻击的识别阈值为30万*1.2倍=36万。
图5示出了当天12点至12点半中每5分钟的访问量统计值,得出6个第一访问量,其中最后一个访问量为50万,超过了计算得出的阈值36万,在这种情况下,可以确定当前主机受到拒绝服务攻击。
确定出遭受拒绝服务攻击后,通过WAF开启图片验证防护机制,向所有请求访问的请求方发送预定的图片,仅允许含有与图片内容相匹配的请求访问通过WAF向该中型网站的服务器发出访问请求。拒绝服务攻击的识别装置进一步对进行拒绝防护攻击过程中产生的请求进行分析,确定攻击源,将攻击源的请求过滤,在访问量降到36万的阈值以下时,关闭防护。
利用本实施例的拒绝服务攻击的识别方法和装置,将预定时间内向目标主机发出的访问请求总量作为判断目标,利用目标主机的访问量统计得出阈值作为是否受到拒绝服务攻击的判断标准,通过总结拒绝服务攻击的现象识别出拒绝服务攻击,以便采取相应措施,大大提高了拒绝服务攻击的识别精确性,实现了主机的安全防护。
进一步地,阈值按照一定的统计算法得出,无需进行人为干预,自动匹配目标主机处理访问请求能力,从而满足不同目标主机的防护要求。
又进一步地,在识别出拒绝服务攻击后,开启相应的防护机制,保护目标主机的安全运行,而且可以根据识别结果查找出进行拒绝服务攻击的攻击源,为后续安全处理提供了数据支持。
本发明的实施例公开了:
A1.一种拒绝服务攻击的识别方法,包括:
获取在第一预定时间段内向目标主机发出的访问请求总量,记为第一请求量;
判断所述第一请求量是否超出阈值,所述阈值通过对所述目标主机的访问量进行统计得出;
若是,确定所述目标主机受到拒绝服务攻击。
A2.根据A1所述的方法,其中,所述阈值的统计计算步骤包括:
每间隔所述第一预定时间段记录一次所述第一请求量,得到多个所述第一请求量;
从所述多个第一请求量中按照预设规则挑选出多个样本值;
计算所述多个样本值的平均值,根据所述平均值设定所述阈值。
A3.根据A2所述的方法,其中,从所述多个第一请求量中按照预设规则挑选出多个样本值包括:
选取在第二预定时间段内产生的多个所述第一请求量,所述第二预定时间段为所述第一预定时间段的整数倍,将在所述第二预定时间段内产生的多个所述第一请求量中的最大值记为第二请求量;
在连续多个所述第二预定时间段内分别挑选得出多个所述第二请求量,并从所述多个第二请求量中滤除偏差较大的数据后,得到所述多个样本值。
A4.根据A2或A3所述的方法,其中,根据所述平均值设定所述阈值包括:
计算所述平均值与预定系数的乘积,所述预定系数的取值范围为:1.05至1.3;
将所述乘积作为所述阈值。
A5.根据A1至A4中任一项所述的方法,其中,获取在第一预定时间段内向目标主机发出的访问请求总量包括:
读取与所述目标主机数据连接的网页应用防护***的运行日志文件;
统计在所述第一预定时间段内所述运行日志文件中记录的向所述目标主机发出的访问请求,得到所述第一请求量。
A6.根据A5所述的方法,其中,在确定所述目标主机受到拒绝服务攻击之后还包括:
对向所述目标主机发出访问请求的请求方发送验证信息,并接收所述请求方的后续请求信息;
判断所述后续请求信息是否与所述验证信息匹配,若是,将所述请求方的访问请求发送给所述目标主机。
A7.根据A5所述的方法,其中,在确定所述目标主机受到恶意攻击之后还包括:
对所述运行日志文件进行分析,得出请求量存在异常的向所述目标主机发出访问请求的请求方;
过滤所述请求方发出的访问请求。
B8.一种拒绝服务攻击的识别装置,包括:
访问请求获取模块,用于获取在第一预定时间段内向目标主机发出的访问请求总量,记为第一请求量;
判断模块,用于判断所述第一请求量是否超出阈值,所述阈值通过对所述目标主机的访问量进行统计得出;
识别模块,用于在所述判断模块的输出为是的情况下,确定所述目标主机受到拒绝服务攻击。
B9.根据B8所述的装置,其中,还包括:
阈值统计模块,用于每间隔所述第一预定时间段记录一次所述第一请求量,得到多个所述第一请求量;从所述多个第一请求量中按照预设规则挑选出多个样本值;计算所述多个样本值的平均值,根据所述平均值设定所述阈值。
B10.根据B9所述的装置,其中,所述阈值统计模块被配置为:
选取在第二预定时间段内产生的多个所述第一请求量,所述第二预定时间段为所述第一预定时间段的整数倍,将在所述第二预定时间段内产生的多个所述第一请求量中的最大值记为第二请求量;
在连续多个所述第二预定时间段内分别挑选得出多个所述第二请求量,并从所述多个第二请求量中滤除偏差较大的数据后,得到所述多个样本值;
计算所述平均值与预定系数的乘积,所述预定系数的取值范围为:1.05至1.3;
将所述乘积作为所述阈值。
B11.根据B8至B10中任一项所述的装置,其中,所述访问请求获取模块被配置为:
读取与所述目标主机数据连接的网页应用防护***的运行日志文件;
统计在所述第一预定时间段内所述运行日志文件中记录的向所述主机发出的访问请求,得到所述第一请求量。
B12.根据B11所述的装置,其中,还包括:
第一防护模块,用于对向所述目标主机发出访问请求的请求方发送验证信息,并接收所述请求方的后续请求信息;判断所述后续请求信息是否与所述验证信息匹配,若是,将所述请求方的访问请求发送给所述目标主机,和/或
第二防护模块,用于对所述运行日志文件进行分析,得出请求量存在异常的向所述目标主机发出访问请求的请求方;
过滤所述请求方发出的访问请求。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的拒绝服务攻击的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
Claims (10)
1.一种拒绝服务攻击的识别方法,包括:
获取在第一预定时间段内向目标主机发出的访问请求总量,记为第一请求量;
判断所述第一请求量是否超出阈值,所述阈值通过对所述目标主机的访问量进行统计得出;
若是,确定所述目标主机受到拒绝服务攻击。
2.根据权利要求1所述的方法,其中,所述阈值的统计计算步骤包括:
每间隔所述第一预定时间段记录一次所述第一请求量,得到多个所述第一请求量;
从所述多个第一请求量中按照预设规则挑选出多个样本值;
计算所述多个样本值的平均值,根据所述平均值设定所述阈值。
3.根据权利要求2所述的方法,其中,从所述多个第一请求量中按照预设规则挑选出多个样本值包括:
选取在第二预定时间段内产生的多个所述第一请求量,所述第二预定时间段为所述第一预定时间段的整数倍,将在所述第二预定时间段内产生的多个所述第一请求量中的最大值记为第二请求量;
在连续多个所述第二预定时间段内分别挑选得出多个所述第二请求量,并从所述多个第二请求量中滤除偏差较大的数据后,得到所述多个样本值。
4.根据权利要求2或3所述的方法,其中,根据所述平均值设定所述阈值包括:
计算所述平均值与预定系数的乘积,所述预定系数的取值范围为:1.05至1.3;
将所述乘积作为所述阈值。
5.根据权利要求1至4中任一项所述的方法,其中,获取在第一预定时间段内向目标主机发出的访问请求总量包括:
读取与所述目标主机数据连接的网页应用防护***的运行日志文件;
统计在所述第一预定时间段内所述运行日志文件中记录的向所述目标主机发出的访问请求,得到所述第一请求量。
6.根据权利要求5所述的方法,其中,在确定所述目标主机受到拒绝服务攻击之后还包括:
对向所述目标主机发出访问请求的请求方发送验证信息,并接收所述请求方的后续请求信息;
判断所述后续请求信息是否与所述验证信息匹配,若是,将所述请求方的访问请求发送给所述目标主机。
7.根据权利要求5所述的方法,其中,在确定所述目标主机受到恶意攻击之后还包括:
对所述运行日志文件进行分析,得出请求量存在异常的向所述目标主机发出访问请求的请求方;
过滤所述请求方发出的访问请求。
8.一种拒绝服务攻击的识别装置,包括:
访问请求获取模块,用于获取在第一预定时间段内向目标主机发出的访问请求总量,记为第一请求量;
判断模块,用于判断所述第一请求量是否超出阈值,所述阈值通过对所述目标主机的访问量进行统计得出;
识别模块,用于在所述判断模块的输出为是的情况下,确定所述目标主机受到拒绝服务攻击。
9.根据权利要求8所述的装置,其中,还包括:
阈值统计模块,用于每间隔所述第一预定时间段记录一次所述第一请求量,得到多个所述第一请求量;从所述多个第一请求量中按照预设规则挑选出多个样本值;计算所述多个样本值的平均值,根据所述平均值设定所述阈值。
10.根据权利要求9所述的装置,其中,所述阈值统计模块被配置为:
选取在第二预定时间段内产生的多个所述第一请求量,所述第二预定时间段为所述第一预定时间段的整数倍,将在所述第二预定时间段内产生的多个所述第一请求量中的最大值记为第二请求量;
在连续多个所述第二预定时间段内分别挑选得出多个所述第二请求量,并从所述多个第二请求量中滤除偏差较大的数据后,得到所述多个样本值;
计算所述平均值与预定系数的乘积,所述预定系数的取值范围为:1.05至1.3;
将所述乘积作为所述阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310714511.5A CN103701794A (zh) | 2013-12-20 | 2013-12-20 | 拒绝服务攻击的识别方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310714511.5A CN103701794A (zh) | 2013-12-20 | 2013-12-20 | 拒绝服务攻击的识别方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103701794A true CN103701794A (zh) | 2014-04-02 |
Family
ID=50363191
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310714511.5A Pending CN103701794A (zh) | 2013-12-20 | 2013-12-20 | 拒绝服务攻击的识别方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701794A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577608A (zh) * | 2014-10-08 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN105939361A (zh) * | 2016-06-23 | 2016-09-14 | 杭州迪普科技有限公司 | 防御cc攻击的方法及装置 |
| CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及*** |
| CN107360148A (zh) * | 2017-07-05 | 2017-11-17 | 深圳市卓讯信息技术有限公司 | 基于实时监测网络安全的内核设计方法及其*** |
| CN107483514A (zh) * | 2017-10-13 | 2017-12-15 | 北京知道创宇信息技术有限公司 | 攻击监控设备及智能设备 |
| CN107659454A (zh) * | 2017-10-13 | 2018-02-02 | 上海添锡信息技术有限公司 | 服务器访问预警方法及装置 |
| CN108111472A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 一种攻击特征检测方法及装置 |
| CN108961049A (zh) * | 2018-05-30 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 用于模糊匹配控制的阈值确定方法及装置、交易监控方法 |
| CN109391686A (zh) * | 2018-09-27 | 2019-02-26 | 网宿科技股份有限公司 | 访问请求的处理方法及cdn节点服务器 |
| CN110162409A (zh) * | 2018-02-11 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 控制方法和装置 |
| CN110365712A (zh) * | 2019-08-22 | 2019-10-22 | 中国工商银行股份有限公司 | 一种分布式拒绝服务攻击的防御方法及*** |
| CN110505249A (zh) * | 2019-09-30 | 2019-11-26 | 怀来斯达铭数据有限公司 | DDoS攻击的识别方法和装置 |
| CN113518057A (zh) * | 2020-04-09 | 2021-10-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
| WO2023060881A1 (zh) * | 2021-10-15 | 2023-04-20 | 华为技术有限公司 | 报文源地址识别方法及装置 |
| CN116708013A (zh) * | 2023-07-25 | 2023-09-05 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101437030A (zh) * | 2008-11-29 | 2009-05-20 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
| CN102291390A (zh) * | 2011-07-14 | 2011-12-21 | 南京邮电大学 | 一种基于云计算平台的防御拒绝服务攻击的方法 |
| CN102291411A (zh) * | 2011-08-18 | 2011-12-21 | 网宿科技股份有限公司 | 针对dns服务的防ddos攻击方法和*** |
| CN102882880A (zh) * | 2012-10-10 | 2013-01-16 | 常州大学 | 针对DNS服务的DDoS攻击的检测方法和*** |
| KR20130030086A (ko) * | 2011-09-16 | 2013-03-26 | 한국전자통신연구원 | 비정상 세션 연결 종료 행위를 통한 분산 서비스 거부 공격 방어 방법 및 장치 |
| CN103379099A (zh) * | 2012-04-19 | 2013-10-30 | 阿里巴巴集团控股有限公司 | 恶意攻击识别方法及*** |
-
2013
- 2013-12-20 CN CN201310714511.5A patent/CN103701794A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101437030A (zh) * | 2008-11-29 | 2009-05-20 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
| CN102291390A (zh) * | 2011-07-14 | 2011-12-21 | 南京邮电大学 | 一种基于云计算平台的防御拒绝服务攻击的方法 |
| CN102291411A (zh) * | 2011-08-18 | 2011-12-21 | 网宿科技股份有限公司 | 针对dns服务的防ddos攻击方法和*** |
| KR20130030086A (ko) * | 2011-09-16 | 2013-03-26 | 한국전자통신연구원 | 비정상 세션 연결 종료 행위를 통한 분산 서비스 거부 공격 방어 방법 및 장치 |
| CN103379099A (zh) * | 2012-04-19 | 2013-10-30 | 阿里巴巴集团控股有限公司 | 恶意攻击识别方法及*** |
| CN102882880A (zh) * | 2012-10-10 | 2013-01-16 | 常州大学 | 针对DNS服务的DDoS攻击的检测方法和*** |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577608A (zh) * | 2014-10-08 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN105577608B (zh) * | 2014-10-08 | 2020-02-07 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN105939361A (zh) * | 2016-06-23 | 2016-09-14 | 杭州迪普科技有限公司 | 防御cc攻击的方法及装置 |
| CN105939361B (zh) * | 2016-06-23 | 2019-06-07 | 杭州迪普科技股份有限公司 | 防御cc攻击的方法及装置 |
| CN108111472A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 一种攻击特征检测方法及装置 |
| CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及*** |
| CN107360148A (zh) * | 2017-07-05 | 2017-11-17 | 深圳市卓讯信息技术有限公司 | 基于实时监测网络安全的内核设计方法及其*** |
| CN107483514A (zh) * | 2017-10-13 | 2017-12-15 | 北京知道创宇信息技术有限公司 | 攻击监控设备及智能设备 |
| CN107659454A (zh) * | 2017-10-13 | 2018-02-02 | 上海添锡信息技术有限公司 | 服务器访问预警方法及装置 |
| CN107659454B (zh) * | 2017-10-13 | 2020-10-02 | 上海大象金泰科技有限公司 | 服务器访问预警方法及装置 |
| CN110162409A (zh) * | 2018-02-11 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 控制方法和装置 |
| CN110162409B (zh) * | 2018-02-11 | 2024-06-18 | 北京京东尚科信息技术有限公司 | 控制方法和装置 |
| CN108961049A (zh) * | 2018-05-30 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 用于模糊匹配控制的阈值确定方法及装置、交易监控方法 |
| CN109391686A (zh) * | 2018-09-27 | 2019-02-26 | 网宿科技股份有限公司 | 访问请求的处理方法及cdn节点服务器 |
| CN110365712A (zh) * | 2019-08-22 | 2019-10-22 | 中国工商银行股份有限公司 | 一种分布式拒绝服务攻击的防御方法及*** |
| CN110505249A (zh) * | 2019-09-30 | 2019-11-26 | 怀来斯达铭数据有限公司 | DDoS攻击的识别方法和装置 |
| CN113518057A (zh) * | 2020-04-09 | 2021-10-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
| CN113518057B (zh) * | 2020-04-09 | 2024-03-08 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
| WO2023060881A1 (zh) * | 2021-10-15 | 2023-04-20 | 华为技术有限公司 | 报文源地址识别方法及装置 |
| CN116708013A (zh) * | 2023-07-25 | 2023-09-05 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
| CN116708013B (zh) * | 2023-07-25 | 2024-06-11 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103701794A (zh) | 拒绝服务攻击的识别方法和装置 | |
| CN103701795A (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| CN103685293A (zh) | 拒绝服务攻击的防护方法和装置 | |
| WO2019133453A1 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
| CN103685294A (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| US20160241574A1 (en) | Systems and methods for determining trustworthiness of the signaling and data exchange between network systems | |
| EP3557843B1 (en) | Content delivery network (cdn) bot detection using compound feature sets | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| US20190306178A1 (en) | Distributed System for Adaptive Protection Against Web-Service-Targeted Vulnerability Scanners | |
| KR102024142B1 (ko) | 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템 | |
| US20140157415A1 (en) | Information security analysis using game theory and simulation | |
| CN103701793A (zh) | 服务器肉鸡的识别方法和装置 | |
| CA2934627C (en) | Communications security | |
| CN110602032A (zh) | 攻击识别方法及设备 | |
| KR20140113705A (ko) | 웹 호스트에 의해 제공된 웹 콘텐츠의 진본성을 보장하기 위한 방법, 디바이스, 시스템 및 컴퓨터 판독가능 저장 매체 | |
| CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| CN103701816A (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| US8959629B2 (en) | Preserving web document integrity through web template learning | |
| CN110545269A (zh) | 访问控制方法、设备及存储介质 | |
| CN108282446A (zh) | 识别扫描器的方法及设备 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| US11729145B2 (en) | User interface for web server risk awareness | |
| CN111131166A (zh) | 一种用户行为预判方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161212 Address after: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant after: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: Beijing Qihoo Technology Co., Ltd. Applicant before: Qizhi Software (Beijing) Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140402 |