CN103916379B - 一种基于高频统计的cc攻击识别方法及*** - Google Patents
一种基于高频统计的cc攻击识别方法及*** Download PDFInfo
- Publication number
- CN103916379B CN103916379B CN201310640806.2A CN201310640806A CN103916379B CN 103916379 B CN103916379 B CN 103916379B CN 201310640806 A CN201310640806 A CN 201310640806A CN 103916379 B CN103916379 B CN 103916379B
- Authority
- CN
- China
- Prior art keywords
- buffering area
- count value
- statistical item
- hash values
- statistical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 230000003139 buffering effect Effects 0.000 claims abstract description 66
- 241000287828 Gallus gallus Species 0.000 description 4
- 238000007796 conventional method Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 235000013372 meat Nutrition 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了基于高频统计的CC攻击识别方法及***,首先,识别骨干网流量中的HTTP GET请求,并获取源IP、目的IP和URI,计算hash值;若缓冲区中存在与所述hash值相同的统计项目,则计数值加1,否则判断缓冲区是否已满,若否,将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则将缓冲区所有统计项目的计数值减1,并判断缓冲区中是否存在计数值为0的统计项目,若存在,则清除所述统计项目,并将所述hash值作为新的统计项目加入缓冲区;若缓冲区中存在单位时间计数值超过设定阈值的统计项目,则认为存在CC攻击,并报警。本发明克服了CC攻击被大型网站的正常访问淹没的可能性,利用高频数据统计的思想来有效识别CC攻击。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于高频统计的CC攻击识别方法及***。
背景技术
所述的CC攻击可以归为DDoS攻击的一种。即通过发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC攻击常见的有代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS和伪装。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比较而言后者比前者更难防御。因为肉鸡可以模拟正常用户访问网站的请求,伪造成合法数据包。
常规的防护DDoS主要是针对某个网站,而在骨干网中识别异常突发的CC访问流量,与传统方法不同的地方是首先有大量的正常访问流量,其次传统的访问计数统计只要针对所防护的网络的站点,不需要对其它的站点进行统计,所统计的信息是非常少的。
骨干网中进行CC攻击的识别核心在于能够对被攻击的网站进行访问统计,而建立全网全URL的统计所要消耗的资源则是不收敛的,不断有新URL加入,新的不同域名加入,需要统计的内容是***的,统计项目不固定,如何从中找到高频CC攻击,并且不被正规大型网站的正常访问淹没是目前没有解决的问题。
发明内容
针对上述技术问题,本发明提供了一种基于高频统计的CC攻击识别方法及***,该方法通过建立一个缓冲区,利用大数据高频统计的思想,抛弃准确统计的传统方法,实现有效识别CC攻击的目的。
本发明采用如下方法来实现:一种基于高频统计的CC攻击识别方法,包括:
步骤1、识别骨干网流量中的HTTP GET请求,并利用所述HTTP GET请求获取源IP、目的IP和URI;
其中,利用HTTP GET请求内容可以获取目的IP,HTTP头,URI等,所述URI(UniformResource Locator的缩写)是统一资源定位符,是HTTP协议中的字段,是URL的一部分;利用HTTP头可以获取源IP、URI、协议版本、客户端信息等内容;
步骤2、利用获取的源IP、目的IP和URI计算hash值;
步骤3、判断缓冲区中是否存在与所述hash值相同的统计项目,若存在,则该统计项目的计数值加1,并执行步骤6,否则执行步骤4;
步骤4、判断缓冲区中是否存在剩余空间,若存在,将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则将缓冲区所有统计项目的计数值减1,并执行步骤5;
步骤5、判断缓冲区中是否存在计数值为0的统计项目,若存在,则清除所述统计项目,并将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则丢弃所述hash值,结束;
步骤6、当缓冲区中存在单位时间计数值超过设定阈值的统计项目,则认为存在CC攻击,并报警。
进一步地,所述缓冲区的大小固定。形成一个稳定的统计数据库。
进一步地,所述设定阈值为常规访问量的10倍。
本发明采用如下***来实现:一种基于高频统计的CC攻击识别***,包括:
识别模块,用于识别骨干网流量中的HTTP GET请求,并利用所述HTTP GET请求获取源IP、目的IP和URI;
其中,利用HTTP GET请求内容可以获取目的IP,HTTP头,URI等,所述URI(UniformResource Locator的缩写)是统一资源定位符,是HTTP协议中的字段,是URL的一部分;利用HTTP头可以获取源IP、URI、协议版本、客户端信息等内容;
计算模块,用于利用获取的源IP、目的IP和URI计算hash值;
第一判定模块,用于判断缓冲区中是否存在与所述hash值相同的统计项目,若存在,则该统计项目的计数值加1,并由处置模块进行处理,否则由第二判定模块继续判断;
第二判定模块,用于判断缓冲区中是否存在剩余空间,若存在,将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则将缓冲区所有统计项目的计数值减1,并由第三判定模块继续判断;
第三判定模块,用于判断缓冲区中是否存在计数值为0的统计项目,若存在,则清除所述统计项目,并将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则丢弃所述hash值,结束;
处置模块,当缓冲区中存在单位时间计数值超过设定阈值的统计项目,则认为存在CC攻击,并报警。
进一步地,所述缓冲区的大小固定。
进一步地,所述设定阈值为常规访问量的10倍。
综上所述,本发明提供了一种基于高频统计的CC攻击识别方法及***,通过识别骨干网流量中的HTTP GET请求,并进一步获取源IP、目的IP和URI,利用上述内容计算hash值,并将这些hash值作为统计项目存储到缓冲区中,若hash值已经存储在缓冲区中,则相应计数值加1,否则将该hash值作为新的统计项目加入缓冲区,并设定计数值为1,若该缓冲区已满,则将所有计数值减1,将计数值为0的统计项目删除。从而保证在缓冲区中存在一定数量范围的统计项目,克服了骨干网数据流量大,做精确统计的困难,做到以极小的资源代价对海量骨干网数据进行CC攻击的识别。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于高频统计的CC攻击识别方法流程图;
图2为本发明提供的一种基于高频统计的CC攻击识别***结构图。
具体实施方式
本发明给出了一种基于高频统计的CC攻击识别方法及***,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于高频统计的CC攻击识别方法,如图1所示,包括:
S101识别骨干网流量中的HTTP GET请求,并利用所述HTTP GET请求获取源IP、目的IP和URI;
例如:源IP:113.92.175.10;
目的IP:184.51.198.33;
GET/pki/crl/products/WinIntPCA.crl HTTP/1.1;
URI:http://crl.microsoft.com/pki/crl/products/WinIntPCA.crl;
S102利用获取的源IP、目的IP和URI计算hash值;
将源IP,目的IP和URI进行拼接得到一个字符串如下:
113.92.175.10|184.51.198.33|
http://crl.microsoft.com/pki/crl/products/WinIntPCA.crl;
计算该字符串的hash值,例如:CRC64值为(3857831069L,3494489294L);
S103判断缓冲区中是否存在与所述hash值相同的统计项目,若是,则该统计项目的计数值加1,并执行S106,否则执行S104;
S104判断缓冲区中是否存在剩余空间,若是,将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则将缓冲区所有统计项目的计数值减1,并执行S105;
S105判断缓冲区中是否存在计数值为0的统计项目,若是,则清除所述统计项目,并将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则丢弃所述hash值,结束;
S106当缓冲区中存在单位时间计数值超过设定阈值的统计项目,则认为存在CC攻击,并报警。
优选地,所述缓冲区的大小固定。
优选地,所述设定阈值为常规访问量的10倍。
例如:在正常情况下,单位时间内常规访问量为20次,而目前单位时间的访问量达到200次以上,则认为存在CC攻击。
本发明还提供了一种基于高频统计的CC攻击识别***,如图2所示,包括:
识别模块201,用于识别骨干网流量中的HTTP GET请求,并利用所述HTTP GET请求获取源IP、目的IP和URI;
计算模块202,用于利用获取的源IP、目的IP和URI计算hash值;
第一判定模块203,用于判断缓冲区中是否存在与所述hash值相同的统计项目,若存在,则该统计项目的计数值加1,并由处置模块206进行处理,否则由第二判定模块204继续判断;
第二判定模块204,用于判断缓冲区中是否存在剩余空间,若存在,将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则将缓冲区所有统计项目的计数值减1,并由第三判定模块205继续判断;
第三判定模块205,用于判断缓冲区中是否存在计数值为0的统计项目,若存在,则清除所述统计项目,并将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则丢弃所述hash值,结束;
处置模块206,当缓冲区中存在单位时间计数值超过设定阈值的统计项目,则认为存在CC攻击,并报警。
优选地,所述缓冲区的大小固定。
优选地,所述设定阈值为常规访问量的10倍。
如上所述,本发明给出了一种基于高频统计的CC攻击识别方法及***的具体实施例,其与传统方法的区别在于,传统的CC攻击识别是针对某个网站而进行的访问统计;并且将传统方法用于骨干网络中的CC攻击识别,则可能有非常庞大的数据需要处理,并且CC攻击很可能被大型网站的正常访问所淹没,从而无法有效识别。本发明所提供的方法选取固定大小的缓冲区,识别骨干网中的HTTP GET请求,并利用源IP、目的IP和URI计算hash值,若缓冲区中存在相同hash值,则计数值加1,否则判定缓冲区是否还有剩余空间,若有,则将所述hash值加入缓冲区中,计数值设定为1,若没有剩余空间,则将所有统计项目的计数值减1,将出现的计数值为0的统计项目清除,将该hash值更新至缓冲区中。利用这种动态统计数据的方法,限制了缓冲区中的数据量;当某一hash值的单位时间内的计数值超过正常情况下平均计数值一定程度后,则认为发生了CC攻击。本发明所提供的方法可以利用很小的资源处理骨干网络的海量数据,有效识别单个源头的单位时间内的高频访问情况,从而及时发现CC攻击。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (6)
1.一种基于高频统计的CC攻击识别方法,其特征在于,包括:
步骤1、识别骨干网流量中的HTTP GET请求,并利用所述HTTP GET请求获取源IP、目的IP和URI;
步骤2、利用获取的源IP、目的IP和URI计算hash值;
步骤3、判断缓冲区中是否存在与所述hash值相同的统计项目,若存在,则该统计项目的计数值加1,并执行步骤6,否则执行步骤4;
步骤4、判断缓冲区中是否存在剩余空间,若存在,将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则将缓冲区所有统计项目的计数值减1,并执行步骤5;
步骤5、判断缓冲区中是否存在计数值为0的统计项目,若存在,则清除所述统计项目,并将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则丢弃所述hash值,结束;
步骤6、当缓冲区中存在单位时间计数值超过设定阈值的统计项目,则认为存在CC攻击,并报警。
2.如权利要求1所述的方法,其特征在于,所述缓冲区的大小固定。
3.如权利要求1所述的方法,其特征在于,所述设定阈值为常规访问量的10倍。
4.一种基于高频统计的CC攻击识别***,其特征在于,包括:
识别模块,用于识别骨干网流量中的HTTP GET请求,并利用所述HTTP GET请求获取源IP、目的IP和URI;
计算模块,用于利用获取的源IP、目的IP和URI计算hash值;
第一判定模块,用于判断缓冲区中是否存在与所述hash值相同的统计项目,若存在,则该统计项目的计数值加1,并由处置模块进行处理,否则由第二判定模块继续判断;
第二判定模块,用于判断缓冲区中是否存在剩余空间,若存在,将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则将缓冲区所有统计项目的计数值减1,并由第三判定模块继续判断;
第三判定模块,用于判断缓冲区中是否存在计数值为0的统计项目,若存在,则清除所述统计项目,并将所述hash值作为新的统计项目加入缓冲区,并设定计数值为1,否则丢弃所述hash值,结束;
处置模块,当缓冲区中存在单位时间计数值超过设定阈值的统计项目,则认为存在CC攻击,并报警。
5.如权利要求4所述的***,其特征在于,所述缓冲区的大小固定。
6.如权利要求4所述的***,其特征在于,所述设定阈值为常规访问量的10倍。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310640806.2A CN103916379B (zh) | 2013-12-04 | 2013-12-04 | 一种基于高频统计的cc攻击识别方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310640806.2A CN103916379B (zh) | 2013-12-04 | 2013-12-04 | 一种基于高频统计的cc攻击识别方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103916379A CN103916379A (zh) | 2014-07-09 |
| CN103916379B true CN103916379B (zh) | 2017-07-18 |
Family
ID=51041786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310640806.2A Active CN103916379B (zh) | 2013-12-04 | 2013-12-04 | 一种基于高频统计的cc攻击识别方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103916379B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539604B (zh) * | 2014-12-23 | 2017-11-24 | 北京奇安信科技有限公司 | 网站防护方法和装置 |
| CN106789849B (zh) * | 2015-11-24 | 2020-12-04 | 阿里巴巴集团控股有限公司 | Cc攻击识别方法、节点及*** |
| CN105553974A (zh) * | 2015-12-14 | 2016-05-04 | 中国电子信息产业集团有限公司第六研究所 | 一种http慢速攻击的防范方法 |
| CN108243149A (zh) * | 2016-12-23 | 2018-07-03 | 北京华为数字技术有限公司 | 一种网络攻击检测方法及装置 |
| CN110519266B (zh) * | 2019-08-27 | 2021-04-27 | 四川长虹电器股份有限公司 | 一种基于统计学方法的cc攻击检测的方法 |
| CN110808967B (zh) * | 2019-10-24 | 2022-04-08 | 新华三信息安全技术有限公司 | 挑战黑洞攻击的检测方法及相关装置 |
| CN114640504B (zh) * | 2022-02-24 | 2024-02-06 | 京东科技信息技术有限公司 | Cc攻击防护方法、装置、设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465760A (zh) * | 2007-12-17 | 2009-06-24 | 北京启明星辰信息技术股份有限公司 | 一种检测拒绝服务攻击的方法和*** |
| CN101505218A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
| CN101567815A (zh) * | 2009-05-27 | 2009-10-28 | 清华大学 | 域名服务器dns放大攻击的有效检测与抵御方法 |
| CN101729569A (zh) * | 2009-12-22 | 2010-06-09 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务ddos攻击的防护方法、设备及*** |
| CN102510385A (zh) * | 2011-12-12 | 2012-06-20 | 汉柏科技有限公司 | 防ip数据报分片攻击的方法 |
| CN103179132A (zh) * | 2013-04-09 | 2013-06-26 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和*** |
-
2013
- 2013-12-04 CN CN201310640806.2A patent/CN103916379B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465760A (zh) * | 2007-12-17 | 2009-06-24 | 北京启明星辰信息技术股份有限公司 | 一种检测拒绝服务攻击的方法和*** |
| CN101505218A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
| CN101567815A (zh) * | 2009-05-27 | 2009-10-28 | 清华大学 | 域名服务器dns放大攻击的有效检测与抵御方法 |
| CN101729569A (zh) * | 2009-12-22 | 2010-06-09 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务ddos攻击的防护方法、设备及*** |
| CN102510385A (zh) * | 2011-12-12 | 2012-06-20 | 汉柏科技有限公司 | 防ip数据报分片攻击的方法 |
| CN103179132A (zh) * | 2013-04-09 | 2013-06-26 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103916379A (zh) | 2014-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103916379B (zh) | 一种基于高频统计的cc攻击识别方法及*** | |
| Liu et al. | Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things | |
| US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| CN102291390B (zh) | 一种基于云计算平台的防御拒绝服务攻击的方法 | |
| US8943586B2 (en) | Methods of detecting DNS flooding attack according to characteristics of type of attack traffic | |
| CN103856470B (zh) | 分布式拒绝服务攻击检测方法及检测装置 | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| CN102571547B (zh) | 一种http流量的控制方法及装置 | |
| JP2012522295A (ja) | フィルタリング方法、システムおよびネットワーク機器 | |
| CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其*** | |
| CN102271068A (zh) | 一种dos/ddos攻击检测方法 | |
| EP3633948B1 (en) | Anti-attack method and device for server | |
| CN101150586A (zh) | Cc攻击防范方法及装置 | |
| CN101577644B (zh) | 一种对等网络应用流量识别方法 | |
| KR101200906B1 (ko) | 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법 | |
| CN110266650A (zh) | Conpot工控蜜罐的识别方法 | |
| CN112019533A (zh) | 一种缓解CDN***被DDoS攻击的方法及*** | |
| KR101188305B1 (ko) | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 | |
| Huang et al. | An authentication scheme to defend against UDP DrDoS attacks in 5G networks | |
| CN104580228A (zh) | 对来自网络的访问请求产生黑名单的***和方法 | |
| Lei et al. | Extracting Low‐Rate DDoS Attack Characteristics: The Case of Multipath TCP‐Based Communication Networks | |
| CN104378358A (zh) | 一种基于服务器日志的HTTP Get Flood攻击防护方法 | |
| Huang et al. | CCID: Cross‐Correlation Identity Distinction Method for Detecting Shrew DDoS | |
| US20170149821A1 (en) | Method And System For Protection From DDoS Attack For CDN Server Group |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang, China (No. 838, world Kun Road) Patentee after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162 Patentee before: Harbin Antiy Technology Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: CC attack identification method and system based on high frequency statistics Effective date of registration: 20190718 Granted publication date: 20170718 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin antiy Technology Group Limited by Share Ltd Registration number: 2019230000007 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang, China (No. 838, world Kun Road) Patentee after: Antan Technology Group Co.,Ltd. Address before: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang, China (No. 838, world Kun Road) Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20211119 Granted publication date: 20170718 Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch Pledgor: Harbin Antian Science and Technology Group Co.,Ltd. Registration number: 2019230000007 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |