CN105991511A - 一种检测cc攻击的方法及设备 - Google Patents
一种检测cc攻击的方法及设备 Download PDFInfo
- Publication number
- CN105991511A CN105991511A CN201510040959.2A CN201510040959A CN105991511A CN 105991511 A CN105991511 A CN 105991511A CN 201510040959 A CN201510040959 A CN 201510040959A CN 105991511 A CN105991511 A CN 105991511A
- Authority
- CN
- China
- Prior art keywords
- access request
- source
- request
- threshold value
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种检测CC攻击的方法及设备。所述方法包括:获取预设数量的第一源IP到第一目标IP的访问请求记录;统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的数量;基于所述统计的请求来源页面标识为空的访问请求记录的数量检测CC攻击。本申请实施例提供的一种检测CC攻击的方法及设备,通过分析真实用户与CC攻击者的访问行为的差异性,并基于该差异性来计算判定数值,能够有效地检测CC攻击。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种检测CC攻击的方法及设备。
背景技术
随着网络技术的快速发展以及网络规模的急剧膨胀,网络中的安全漏洞被攻击者越来越多的利用以攻击网络中的主机。近年来流行的CC(Challenge Collapsar)攻击属于网络攻击的一种。
CC攻击属于一种基于页面的分布式拒绝服务(DDOS:Distributed Denial of Service)攻击。攻击者通常可以不断向目标服务器发送消耗目标服务器性能的请求报文,导致目标服务器不断执行大量的计算或操作,耗费大量资源。当目标服务器执行的计算或操作达到自身CPU的处理极限时,将导致正常的访问被终止处理,甚至宕机。
针对上述情况,现有的一种检测CC攻击的方法可以通过跳转检测来实现。在该方法中,一般会在目标服务器之前添加一个跳转检测设备以检测发送至所述目标服务器的报文。该跳转检测设备可以在目标服务器接收到请求报文之前,代替目标服务器向请求端发送一个验证报文。该验证报文会要求请求端再次向目标服务器发送确认信息,并且需要在确认信息中携带只有跳转检测设备知晓的密钥。正常请求端一般会对返回的验证报文做出响应,并会按照验证报文的要求再次向目标服务器发送确认信息。检测设备接收到正常请求端发来的确认信息并且验证通过后,可以放行正常请求端的访问请求。而攻击请求端往往不会对返回的验证报文做出响应,而是继续向目标服务器发起新的访问请求。检测设备接收不到攻击请求端发来的确认信息,则不会放行攻击请求端对目标服务器的访问请求。这样可以达到检测CC攻击的目的。
在实施本申请的过程中,发明人发现现有技术至少存在如下问题:
随着CC攻击方式的发展,攻击者可以通过肉鸡或者代理服务器向目标服务器发起攻击。肉鸡或者代理服务器可以对跳转检测设备返回的验证报文进行响应,比如再次向目标服务器发送携带只有跳转检测设备知晓的密钥的确认信息,这样便可以穿透上述现有技术的跳转检测方式。
发明内容
本申请实施例的目的在于提供一种检测CC攻击的方法及设备,以有效地检测CC攻击。
本申请实施例提供的一种检测CC攻击的方法及设备是这样实现的:
一种检测CC攻击的方法,包括:
获取预设数量的第一源IP到第一目标IP的访问请求记录;
统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的数量;
基于所述统计的请求来源页面标识为空的访问请求记录的数量检测CC攻击。
一种检测CC攻击的方法,包括:
监控预设数量的第一源IP到第一目标IP的访问请求;
统计所述访问请求中请求来源页面标识为空的访问请求的累积数量;
基于所述统计的请求来源页面标识为空的访问请求的累积数量检测CC攻击。
一种检测CC攻击的方法,包括:
获取预设数量的第一源IP到第一目标IP的访问请求记录;
统计所述获取的访问请求记录中请求来源页面标识互不相同的访问请求记录的数量;
基于所述统计的请求来源页面标识互不相同的访问请求记录的数量检测CC攻击。
一种检测CC攻击的方法,包括:
监控预设数量的第一源IP到第一目标IP的访问请求;
统计请求来源页面标识互不相同的访问请求的累积数量;
基于所述统计的请求来源页面标识互不相同的访问请求的累积数量检测CC攻击。
一种检测CC攻击的设备,所述设备为独立于请求端和目标服务器的第三方设备,包括访问请求记录获取单元,第一统计单元,第一判定单元以及第二判定单元,其中:
所述访问请求记录获取单元,用来获取预设数量的第一源IP到第一目标IP的访问请求记录;
所述第一统计单元,用来统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的数量;
所述第一判定单元,用来设置检测阈值;当所述统计的请求来源页面标识为空的访问请求记录的数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求记录的数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;
所述第二判定单元,用来设置比例阈值;当所述统计的请求来源页面标识为空的访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求记录的数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
一种检测CC攻击的设备,所述设备作为模块集成于目标服务器中,包括监控单元,第二统计单元,第三判定单元以及第四判定单元,其中:
所述监控单元,用来监控预设数量的第一源IP到第一目标IP的访问请求;
所述第二统计单元,用来统计所述访问请求中请求来源页面标识为空的访问请求的累积数量;
所述第三判定单元,用来设置检测阈值;当所述统计的请求来源页面标识为空的访问请求的累积数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求的累积数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;
所述第四判定单元,用来设置比例阈值;当所述统计的请求来源页面标识为空的访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求的累积数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
一种检测CC攻击的设备,所述设备为独立于请求端和目标服务器的第三方设备,包括访问请求记录获取单元,第三统计单元,第五判定单元以及第六判定单元,其中:
所述访问请求记录获取单元,用来获取预设数量的第一源IP到第一目标IP的访问请求记录;
所述第三统计单元,用来统计所述获取的访问请求记录中请求来源页面标识互不相同的访问请求记录的数量;
所述第五判定单元,用来设置检测阈值;当所述统计的请求来源页面标识互不相同的访问请求记录的数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求记录的数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;
所述第六判定单元,用来设置比例阈值;当所述统计的请求来源页面标识互不相同的访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求记录的数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击。
一种检测CC攻击的设备,所述设备作为模块集成于目标服务器中,包括监控单元,第四统计单元,第七判定单元以及第八判定单元,其中:
所述监控单元,用来监控预设数量的第一源IP到第一目标IP的访问请求;
所述第四统计单元,用来统计请求来源页面标识互不相同的访问请求的累积数量;
所述第七判定单元,用来设置检测阈值;当所述统计的请求来源页面标识互不相同的访问请求的累积数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求的累积数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;
所述第八判定单元,用来设置比例阈值;当所述统计的请求来源页面标识互不相同的访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求的累积数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击。
本申请实施例提供的一种检测CC攻击的方法及设备,通过分析真实用户与CC攻击者的访问行为的差异性,并基于该差异性来计算判定数值,能够有效地检测CC攻击。
附图说明
图1为本申请一个例子中正常请求端发起访问请求的示意图;
图2为本申请一个例子中攻击端发起访问请求的示意图;
图3为本申请一实施例提供的一种检测CC攻击的方法流程图;
图4为本申请另一实施例提供的一种检测CC攻击的方法流程图;
图5为本申请另一实施例提供的一种检测CC攻击的方法;
图6为本申请另一实施例提供的一种检测CC攻击的方法流程图;
图7为本申请一实施例提供的一种检测CC攻击的设备功能模块图;
图8为本申请另一实施例提供的一种检测CC攻击的设备功能模块图;
图9为本申请另一实施例提供的一种检测CC攻击的设备功能模块图;
图10为本申请另一实施例提供的一种检测CC攻击的设备功能模块图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都应当属于本申请保护的范围。
图1为本申请一个例子中正常请求端发起访问请求的示意图。如图1所示,真实用户可以通过浏览器输入网页地址,访问页面1。进而,真实用户可以通过点击页面1上的链接浏览跳转到的其它页面,例如是真实用户感兴趣的页面2、页面3、页面4或页面5。这里可以称页面1为前导页面。通过前导页面上的链接,可以跳转到其它页面。当真实用户在浏览页面5时,可以通过点击页面5上的链接继续浏览页面6或页面7。当真实用户在浏览页面7时,可以通过点击页面7上的链接继续浏览页面8、页面9或页面10。类似的,页面5、页面7可以为前导页面,这些前导页面上可以提供跳转至其它页面的链接。可见,真实用户在访问网站时,一般会基于一个初始的页面,逐层深入地浏览其它页面。
图2为本申请一个例子中攻击端发起访问请求的示意图。如图2所示,攻击端会频繁地向目标服务器发起访问页面1和页面2的访问请求。攻击端一般直接通过页面1和页面2的网页地址向目标服务器发起访问请求。这样的攻击方式,在访问某一页面时,该页面与其它页面之间往往不存在链接关系。
上述真实用户与攻击者的访问行为存在区别。真实用户在浏览页面时,往往会先访问一些前导页面,随后可以通过前导页面提供的链接访问下一个页面。而攻击者在对目标服务器发起攻击时,往往会直接通过网页地址访问目标页面。本申请一实施例可以基于真实用户与攻击者之间访问行为的差异性来检测CC攻击。
图3为本申请一实施例提供的一种检测CC攻击的方法流程图。如图3所示,所述方法包括:
S100:获取预设数量的第一源IP到第一目标IP的访问请求记录。
在本申请实施例中,请求端和目标服务器可以处于主干网的网络环境中,用于检测CC攻击的检测设备可以是独立于请求端和目标服务器的第三方设备。所述源IP可以代表发起访问的请求端的IP地址,所述目标IP可以代表被访问的目标服务器的IP地址。源IP向目标IP发起的访问请求会在主干网中产生访问请求记录。检测设备可以从主干网中获取预设数量的第一源IP到第一目标IP的访问请求记录以检测CC攻击。为了较准确地检测访问请求记录中是否存在CC攻击行为,可以设置较大的预设数量,例如可以将预设数量设置为1000,检测设备可以对这1000条第一源IP到第一目标IP的访问请求记录进行检测。
每个获取的访问请求记录中可以包含该访问行为的源IP、目标IP以及访问请求页面。例如,访问请求记录1记载了源IP1向目标IP1发起访问页面1的请求,访问请求记录2记载了IP2向目标IP2发起访问页面2的请求。访问请求记录中还包含请求来源页面标识。请求来源页面标识可以用来注明该访问请求的前导页面地址。例如,第一源IP向第一目标IP发起访问页面2的请求,而该访问页面2的请求是通过点击页面1上的链接发起的。那么在该访问请求记录的请求来源页面标识中,会写入页面1的地址,注明该访问请求是从页面1链接过来的。在本申请具体实施例中,所述请求来源页面标识可以为访问请求中的referer字段。该referer字段注明了该访问请求的请求来源页面的页面地址。本申请实施例以下步骤均以referer字段进行说明。
S200:统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的数量。
表1为本申请一个例子中真实用户的访问请求记录示意表。从表1可以看出,访问请求记录可以包括源IP,目标IP,访问页面以及referer字段。其中,referer字段可以用来注明该访问请求的前导页面的地址,表明该访问请求是从哪个页面链接过来的。例如,页面2与页面3的referer字段中均为页面1的地址,说明访问页面2与页面3的请求是从页面1链接过来的。页面1的referer字段为空,说明访问页面1的请求是通过页面1的地址直接发起的。例如,可以是用户在浏览器中直接输入页面1的URL向目标服务器发起访问请求。
表1 本申请一个例子中真实用户的访问请求记录示意表
| 源IP | 目标IP | 访问页面 | referer字段 |
| 第一源IP | 第一目标IP | 页面1 | |
| 第一源IP | 第一目标IP | 页面2 | 页面1 |
| 第一源IP | 第一目标IP | 页面3 | 页面1 |
| 第一源IP | 第一目标IP | 页面4 | 页面3 |
| 第一源IP | 第一目标IP | 页面5 | 页面4 |
| 第一源IP | 第一目标IP | 页面6 | 页面4 |
表2为本申请一个例子中CC攻击者的访问请求记录示意表。CC攻击者往往通过自动化的脚本语言,直接通过页面的地址频繁地向目标服务器发起访问请求。从表2中可以看出,CC攻击者向目标服务器发起的访问请求中,referer字段均为空。这说明CC攻击者往往都是直接通过页面的地址向目标服务器发起访问请求。在CC攻击者访问的页面中,页面与页面之间往往不存在链接关系,这就导致CC攻击者的访问请求记录中referer字段基本为空。
表2 本申请一个例子中CC攻击者的访问请求记录示意表
| 源IP | 目标IP | 访问页面 | referer字段 |
| 第一源IP | 第一目标IP | 页面1 | |
| 第一源IP | 第一目标IP | 页面1 | |
| 第一源IP | 第一目标IP | 页面1 | |
| 第一源IP | 第一目标IP | 页面2 |
| 第一源IP | 第一目标IP | 页面2 | |
| 第一源IP | 第一目标IP | 页面2 |
本申请实施例可以通过分析所述获取的预设数量的第一源IP到第一目标IP的访问请求记录中的referer字段来检测第一源IP对第一目标IP发起的访问请求是否属于CC攻击。具体地,本申请实施例可以统计所述获取的访问请求记录中referer字段为空的访问请求记录的数量。例如,从表1中可以得到referer字段为空的访问请求记录的数量为1,而从表2中可以得到referer字段为空的访问请求记录的数量为6。可以看出,真实用户的访问请求记录中referer字段为空的访问请求记录的数量明显小于CC攻击者的访问请求记录中referer字段为空的访问请求记录的数量。
在具体实现时,本申请实施例中的检测设备内部可以包含一个计数器。该检测设备可以检测所述获取的访问请求记录中的referer字段。当某一访问请求记录中的referer字段为空时,检测设备内部的计数器便可以加1。检测设备遍历所述获取的访问请求记录后,所述计数器中的数字可以代表所述获取的访问请求记录中referer字段为空的访问请求记录的数量。
S300:基于所述请求来源页面标识为空的访问请求记录的数量检测CC攻击。
检测设备获取到所述referer字段为空的访问请求记录的数量后,可以基于该获取的数量检测第一源IP到第一目标IP的访问请求是否属于CC攻击。具体地,可以计算所述referer字段为空的访问请求记录的数量占所述预设数量的比值。例如,表1中referer字段为空的访问请求记录的数量为1,预设数量为6,那么referer字段为空的访问请求记录的数量占预设数量的比值为1/6。表2中referer字段为空的访问请求记录的数量为6,预设数量为6,那么referer字段为空的访问请求记录的数量占预设数量的比值为6/6=1。本申请实施例可以预先设置第一比例阈值,当所述计算的referer字段为空的访问请求记录的数量占所述预设数量的比值大于或者等于该第一比例阈值时,就判定第一源IP到第一目标IP的访问请求为CC攻击;本申请实施例可以预先设置第二比例阈值,当所述计算的referer字段为空的访问请求记录的数量占所述预设数量的比值小于该第二比例阈值时,就判定第一源IP到第一目标IP的访问请求不是CC攻击。一般情况下,所述第一比例阈值和第二比例阈值可以是相等的;在某些特殊情况下,所述第一比例阈值可以大于第二比例阈值。例如,第一比例阈值为0.95,第二比例阈值为0.8,在0.8至0.95之间的情况需要通过人工进行判断是否属于CC攻击行为。
在实际检测过程中,可以将所述比例阈值设置为0.95,当计算的referer字段为空的访问请求记录的数量占所述预设数量的比值大于或者等于0.95时,就判定第一源IP到第一目标IP的访问请求为CC攻击。
另外,本申请实施例还可以设置第一检测阈值,当所述统计的referer字段为空的访问请求记录的数量大于或者等于所述第一检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;本申请实施例还可以设置第二检测阈值,当所述统计的referer字段为空的访问请求记录的数量小于所述第二检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。同样的,第一检测阈值可以与第二检测阈值相等。在某些特殊情况下,第一检测阈值可以大于第二检测阈值。
在实际检测过程中,可以将预设数量设置为1000,并且可以将检测阈值设置为950,当1000条访问请求中统计的referer字段为空的访问请求的累积数量大于或者等于950时,判定第一源IP到第一目标IP的访问请求为CC攻击。
在本申请另一实施例中,检测设备还可以作为一个功能模块集成于目标服务器上,该检测设备可以实时监控发送至该目标服务器的访问请求。图4为本申请另一实施例提供的一种检测CC攻击的方法流程图。如图4所示,所述方法包括:
S110:监控预设数量的第一源IP到第一目标IP的访问请求。
S210:统计所述访问请求中请求来源页面标识为空的访问请求的累积数量。
集成于目标服务器上的检测设备可以实时地监控位于第一源IP处的请求端发送至位于第一目标IP处的该目标服务器的访问请求。由步骤S200可以看出,真实用户与CC攻击者向目标服务器发起的访问请求中referer字段的差异较大。真实用户的访问请求中,referer字段为空的访问请求数量较少,而CC攻击者的访问请求中,referer字段为空的访问请求数量相当多。本申请实施例中的检测设备可以通过统计referer字段为空的访问请求的累积数量,从而判断第一源IP到第一目标IP的访问请求是否为CC攻击。在具体实施例中,为了较准确地检测CC攻击行为,可以设置较大的预设数量,例如可以将预设数量设置为1000,检测设备可以连续监控1000条第一源IP到第一目标IP的访问请求,并统计这1000条访问请求中referer字段为空的访问请求的累积数量。
具体地,本申请实施例中的检测设备内部可以包含第一计数器和第二计数器。检测设备实时监控第一源IP发送至第一目标IP的每条访问请求,每检测一条访问请求,检测设备的第一计时器便可以加1。当检测到访问请求的referer字段为空时,第二计数器便可以加1。当第一计数器统计达到预设数量时,检测设备可以统计第二计数器中referer字段为空的访问请求的累积数量。
S310:基于所述统计的请求来源页面标识为空的访问请求的累积数量检测CC攻击。
本申请实施例可以预先设置第三检测阈值,当所述统计的referer字段为空的访问请求的累积数量大于或者等于所述第三检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;本申请实施例可以预先设置第四检测阈值,当所述统计的referer字段为空的访问请求的累积数量小于所述第四检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。第三检测阈值可以与第四检测阈值相等。在某些特殊情况下,第三检测阈值可以大于第四检测阈值。
在实际检测过程中,可以将预设数量设置为1000,并且可以将检测阈值设置为950,当1000条访问请求中统计的referer字段为空的访问请求的累积数量大于或者等于950时,判定第一源IP到第一目标IP的访问请求为CC攻击。
另外,本申请同样可以计算所述统计的referer字段为空的访问请求的累积数量占所述预设数量的比值来检测CC攻击。本申请实施例可以预先设置第三比例阈值,当所述计算的referer字段为空的访问请求的累积数量占所述预设数量的比值大于或者等于该第三比例阈值时,就判定第一源IP到第一目标IP的访问请求为CC攻击;本申请实施例可以预先设置第四比例阈值,当所述计算的referer字段为空的访问请求的累积数量占所述预设数量的比值小于该第四比例阈值时,就判定第一源IP到第一目标IP的访问请求不是CC攻击。第三比例阈值可以与第四比例阈值相等。在某些特殊情况下,第三比例阈值可以大于第四比例阈值。
需要说明的是,CC攻击者往往通过代理服务器来对目标服务器进行攻击。例如CC攻击者通过位于源IP1,源IP2和源IP3处的三台代理服务器对目标服务器发起攻击。利用上述技术方案,可以检测出源IP1,源IP2及源IP3均存在攻击行为,并且后续可以对源IP1,源IP2及源IP3进行封禁,但是无法对CC攻击者的真实源IP进行检测并且封禁。鉴于此,本申请一优选实施例中,步骤S100可以具体包括:
基于真实源IP的确定规则,获取预设数量的第一真实源IP到第一目标IP的访问请求记录。其中,所述真实源IP的确定规则具体包括:
当访问请求记录的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;
当访问请求记录的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
本申请的优选实施例可以通过访问请求中的源IP字段和x-forward-for字段来识别真实请求源IP。x-forward-for字段的标准格式可以为:
x-forward-for:client1,proxy1
其中,client1代表真实的IP地址,proxy1代表代理服务器1的IP地址。上述x-forward-for字段的标准格式可以理解为:访问请求从client1中发出时,x-forward-for字段中为空;该访问请求被发往proxy1并且通过proxy1发出去的时候,client1被添加到x-forward-for字段中;之后该访问请求被发往proxy2并且通过proxy2发出去的时候,proxy1被添加到x-forward-for字段中。可见,当x-forward-for字段为非空时,x-forward-for字段中的第一个IP地址即为该访问请求的真实源IP。当x-forward-for字段为空时,访问请求记录中的源IP字段中的IP地址即为该访问请求记录的真实源IP。
对访问请求记录的真实源IP进行识别的另一个有益效果在于:可以使得获取访问请求记录的时间缩短。例如,假设在不对访问请求记录的真实源IP进行辨识时,需要从10000条访问请求记录中才可以筛选出5000条源IP1到目标IP1的访问请求记录(另外5000条访问请求记录是其它源IP到目标IP1的访问请求记录);当对访问请求记录的真实源IP进行辨识后发现,这10000条访问请求记录中,源IP1和源IP2的真实源IP均为源IP1,那么在这10000条访问请求记录中,应当将源IP2到目标IP1的访问请求记录也划分到源源IP1到目标IP1的访问请求记录中。那么如果同样需要筛选出5000条源IP1到目标IP1的访问请求记录,可能只需要读取7000条访问请求记录就可以了(另外2000条访问请求记录是其它源IP到目标IP1的访问请求记录)。这样可以缩短获取预设数量的源IP到目标IP的访问请求记录的时间,可以更早地检测出CC攻击行为并且更早地进行封禁。同样的,在本申请另一优选实施例中,步骤S110可以具体包括:
基于真实源IP的确定规则,监控预设数量的第一真实源IP到第一目标IP的访问请求。其中,所述真实源IP的确定规则具体包括:
当访问请求的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;
当访问请求的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
对监控的访问请求进行真实源IP的辨识,同样可以缩短监控预设数量的源IP到目标IP的访问请求的时间,从而更早地对CC攻击者所处的源IP地址进行检测和封禁。
在实际场景中,CC攻击者还可以通过填充referer字段来伪装真实用户的访问行为。例如,当CC攻击者准备向某一网站服务器发起攻击时,可以在访问请求中的referer字段填充该网站的门户页面的地址,从而伪装访问的页面与页面之间的链接关系。CC攻击者往往利用脚本语言批量地对访问请求的referer字段填充相同的页面地址,如表3所示。从表3中可以看出,CC攻击者在发起的每次访问请求的referer字段中均填入了页面1的页面地址。该页面1可以为网站的门户页面,也可以是虚假的页面。
表3 本申请一个例子中CC攻击者填充referer字段的访问请求记录示意表
| 源IP | 目标IP | 访问页面 | referer字段 |
| 第一源IP | 第一目标IP | 页面1 | 页面1 |
| 第一源IP | 第一目标IP | 页面2 | 页面1 |
| 第一源IP | 第一目标IP | 页面2 | 页面1 |
| 第一源IP | 第一目标IP | 页面2 | 页面1 |
| 第一源IP | 第一目标IP | 页面2 | 页面1 |
| 第一源IP | 第一目标IP | 页面2 | 页面1 |
| 第一源IP | 第一目标IP | 页面3 | 页面1 |
| 第一源IP | 第一目标IP | 页面3 | 页面1 |
| 第一源IP | 第一目标IP | 页面3 | 页面1 |
尽管CC攻击者通过批量填充referer字段来伪装页面与页面之间的链接关系,通过对比表1和表3还是可以发现真实用户与CC攻击者访问行为的差异性。真实用户访问目标服务器产生的访问请求中referer字段的页面地址往往不同,例如表1中,真实用户的访问请求中referer字段的页面地址有页面1、页面3和页面4的地址。而CC攻击访问目标服务器产生的访问请求中referer字段的页面地址往往相同,例如表3中,CC攻击者的访问请求中referer字段的页面地址仅有页面1的地址。可以看出,真实用户与攻击者的访问请求中,referer字段互不相同的访问请求的数量是存在差异性的。例如,表1中真实用户的访问请求中,referer字段互不相同的访问请求的数量为4,这四个互不相同的referer字段分别为空referer字段、页面1、页面3以及页面4;而攻击者的访问请求中,由于referer字段均相同,因此referer字段互不相同的访问请求的数量仅为1。本申请实施例可以基于这一点差异性来检测源IP到目标IP的访问请求是否属于CC攻击。图5为本申请另一实施例提供的一种检测CC攻击的方法。如图5所示,所述方法包括:
S120:获取预设数量的第一源IP到第一目标IP的访问请求记录。
在本申请实施例中,请求端和目标服务器可以处于主干网的网络环境中,用于检测CC攻击的检测设备可以是独立于请求端和目标服务器的第三方设备。该步骤与S100类似,检测设备可以从主干网中获取预设数量的第一源IP到第一目标IP的访问请求记录以检测CC攻击。为了较准确地检测访问请求记录中是否存在CC攻击行为,可以设置较大的预设数量,例如可以将预设数量设置为1000,检测设备可以对这1000条第一源IP到第一目标IP的访问请求记录进行检测。
S220:统计所述获取的访问请求记录中请求来源页面标识互不相同的访问请求记录的数量。
检测设备获取到预设数量的第一源IP到第一目标IP的访问请求记录后,可以统计所述获取的访问请求记录中referer字段互不相同的访问请求记录的数量。本申请一实施例中检测设备可以包含一计数器。检测设备可以从第一条访问请求记录开始,获取第一条访问请求记录中的第一referer字段,并将第一referer字段放入参考队列,同时计数器中加1。接着检测设备可以获取第二条访问请求记录的第二referer字段,当第一referer字段与第二referer字段不同时,检测设备可以将第二referer字段页放入参考队列,同时计数器中加1。当第一referer字段与第二referer字段相同时,检测设备不做任何操作。处理完第二条访问请求记录,检测设备可以继续获取第三条访问请求记录的第三referer字段并将第三referer字段与参考队列中每一个referer字段做对比,如果第三referer字段与参考队列中每个referer字段均不同,则检测设备将第三referer字段放入参考队列,同时计数器加1;如果第三referer字段与参考队列中某个referer字段相同,则检测设备不做任何操作。检测设备可以遍历预设数量的访问请求记录中每一条访问请求记录并做上述相同的对比操作,最终便可以得到所述获取的访问请求记录中referer字段互不相同的访问请求记录的数量,该数量可以为参考队列中referer字段的数量,同时也可以是计数器所统计的数量。
需要指出的是,若某访问请求记录的referer字段为空,并且该空referer字段是第一次出现,那么该空referer字段也可以作为参考队列中的一个referer字段。后续出现的空referer字段就可以视为与参考队列中的该空referer字段相同的字段,不再纳入统计范围。
S320:基于所述请求来源页面标识互不相同的访问请求记录的数量检测CC攻击。
本申请实施例可以预先设置第五检测阈值,当所述referer字段互不相同的访问请求记录的数量小于所述第五检测阈值时,判定第一源IP到第一目标IP的访问请求是CC攻击;本申请实施例可以预先设置第六检测阈值,当referer字段互不相同的访问请求记录的数量大于或者等于所述第六检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。第五检测阈值可以与第六检测阈值相等。在某些特殊情况下,第五检测阈值可以小于第六检测阈值。
在实际检测过程中,可以将预设数量设置为1000,并且可以将检测阈值设置为50,当1000条访问请求中统计的referer字段互不相同的访问请求记录的数量小于50时,判定第一源IP到第一目标IP的访问请求为CC攻击。
同样的,本申请实施例还可以通过计算所述统计的referer字段互不相同的访问请求记录的数量占所述预设数量的比值来检测CC攻击。本申请实施例可以预先设置第五比例阈值,当所述计算的referer字段互不相同的访问请求记录的数量占所述预设数量的比值小于该第五比例阈值时,就判定第一源IP到第一目标IP的访问请求是CC攻击;本申请实施例可以预先设置第六比例阈值,当所述计算的referer字段互不相同的访问请求记录的数量占所述预设数量的比值大于或者等于该第六比例阈值时,就判定第一源IP到第一目标IP的访问请求不是CC攻击。第五比例阈值可以与第六比例阈值相等。在某些特殊情况下,第五比例阈值可以小于第六比例阈值。
在实际检测过程中,可以将所述预设数量设置为1000,并且将所述比例阈值设置为0.05,当计算的referer字段互不相同的访问请求记录的数量占所述预设数量的比值小于0.05时,就判定第一源IP到第一目标IP的访问请求为CC攻击。
同样地,在本申请一优选实施例中,可以对访问请求记录的真实源IP进行辨识。在本申请一优选实施例中,步骤S120可具体可以包括:
基于真实源IP的确定规则,获取预设数量的第一真实源IP到第一目标IP的访问请求记录。其中,所述真实源IP的确定规则具体包括:
当访问请求记录的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;
当访问请求记录的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
在本申请另一实施例中,检测设备还可以作为一个功能模块集成于目标服务器上,该检测设备可以实时监控发送至该目标服务器的访问请求。图6为本申请另一实施例提供的一种检测CC攻击的方法流程图。如图6所示,所述方法包括:
S130:监控预设数量的第一源IP到第一目标IP的访问请求。
S230:统计所述访问请求中请求来源页面标识互不相同的访问请求的累积数量。
集成于目标服务器上的检测设备可以实时地监控位于第一源IP处的请求端发送至位于第一目标IP处的该目标服务器的访问请求。本申请实施例中的检测设备可以通过监控预设数量的第一源IP到第一目标IP的访问请求,并且统计所述访问请求中referer字段互不相同的访问请求的累积数量,从而判断第一源IP到第一目标IP的访问请求是否为CC攻击。在具体实施例中,为了较准确地检测CC攻击行为,可以设置较大的预设数量,例如可以将预设数量设置为1000,检测设备可以连续监控1000条第一源IP到第一目标IP的访问请求,并统计这1000条访问请求中referer字段互不相同的访问请求的累积数量。
具体地,本申请实施例中的检测设备内部可以包含第一计数器和第二计数器。检测设备实时监控第一源IP发送至第一目标IP的每条访问请求,每检测一条访问请求,检测设备的第一计时器便可以加1。检测设备可以从第一条访问请求记录开始,获取第一条访问请求记录中的第一referer字段,并将第一referer字段放入参考队列,同时第二计数器中加1。接着检测设备可以获取第二条访问请求记录的第二referer字段,当第一referer字段与第二referer字段不同时,检测设备可以将第二referer字段页放入参考队列,同时第二计数器加1。当第一referer字段与第二referer字段相同时,检测设备不做任何操作。处理完第二条访问请求记录,检测设备可以继续获取第三条访问请求记录的第三referer字段并将第三referer字段与参考队列中每一个referer字段做对比,如果第三referer字段与参考队列中每个referer字段均不同,则检测设备将第三referer字段放入参考队列,同时第二计数器加1;如果第三referer字段与参考队列中某个referer字段相同,则检测设备不做任何操作。检测设备可以对监控的每条访问请求做上述相同的对比操作。当第一计数器统计达到预设数量时,检测设备可以得到所述预设数量的访问请求中referer字段互不相同的访问请求的累积数量,该累积数量可以为参考队列中referer字段的数量,同时也可以是第二计数器所统计的数量。
需要指出的是,若某访问请求的referer字段为空,并且该空referer字段是第一次出现,那么该空referer字段也可以作为参考队列中的一个referer字段。后续出现的空referer字段就可以视为与参考队列中的该空referer字段相同的字段,不再纳入统计范围。
S330:基于所述统计的请求来源页面标识互不相同的访问请求的累积数量检测CC攻击。
本申请实施例可以预先设置第七检测阈值,当所述referer字段互不相同的访问请求的累积数量小于所述第七检测阈值时,判定第一源IP到第一目标IP的访问请求是CC攻击;本申请实施例可以预先设置第八检测阈值,当referer字段互不相同的访问请求的累积数量大于或者等于所述第八检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。第七检测阈值可以与第八检测阈值相等。在某些特殊情况下,第七检测阈值可以小于第八检测阈值。
在实际检测过程中,可以将预设数量设置为1000,并且可以将检测阈值设置为50,当1000条访问请求中统计的referer字段互不相同的访问请求的累积数量小于50时,判定第一源IP到第一目标IP的访问请求为CC攻击。
同样的,本申请实施例还可以通过计算所述统计的referer字段互不相同的访问请求的累积数量占所述预设数量的比值来检测CC攻击。本申请实施例可以预先设置第七比例阈值,当所述计算的referer字段互不相同的访问请求的累积数量占所述预设数量的比值小于该第七比例阈值时,就判定第一源IP到第一目标IP的访问请求是CC攻击;本申请实施例可以设置第八比例阈值,当所述计算的referer字段互不相同的访问请求的累积数量占所述预设数量的比值大于或者等于该第八比例阈值时,就判定第一源IP到第一目标IP的访问请求不是CC攻击。第七比例阈值可以与第八比例阈值相等。在某些特殊情况下,第七比例阈值可以小于第八比例阈值。
在实际检测过程中,可以将所述预设数量设置为1000,并且将所述比例阈值设置为0.05,当计算的referer字段互不相同的访问请求的累积数量占所述预设数量的比值小于0.05时,就判定第一源IP到第一目标IP的访问请求为CC攻击。
同样的,在本申请一优选实施例中,可以对访问请求的真实源IP进行辨识。在本申请一优选实施例中,步骤S130具体可以包括:
基于真实源IP的确定规则,监控预设数量的第一真实源IP到第一目标IP的访问请求。其中,所述真实源IP的确定规则具体包括:
当访问请求的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;
当访问请求的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
本申请实施例还提供一种检测CC攻击的设备。图7为本申请一实施例提供的一种检测CC攻击的设备功能模块图。如图7所示,所述设备包括:
访问请求记录获取单元100,用来获取预设数量的第一源IP到第一目标IP的访问请求记录;
第一统计单元200,用来统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的数量;
第一判定单元300,用来设置检测阈值;当所述统计的请求来源页面标识为空的访问请求记录的数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求记录的数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;
第二判定单元400,用来设置比例阈值;当所述统计的请求来源页面标识为空的访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求记录的数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
所述设备可以为独立于请求端和目标服务器的第三方设备。
在本申请一优选实施例中,所述访问请求记录获取单元100具体包括:
真实源IP访问请求记录获取模块101,用来基于真实源IP的确定规则,获取预设数量的第一真实源IP到第一目标IP的访问请求记录。
图8为本申请另一实施例提供的一种检测CC攻击的设备功能模块图。如图8所示,所述设备包括:
监控单元110,用来监控预设数量的第一源IP到第一目标IP的访问请求;
第二统计单元210,用来统计所述访问请求中请求来源页面标识为空的访问请求的累积数量;
第三判定单元310,用来设置检测阈值;当所述统计的请求来源页面标识为空的访问请求的累积数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求的累积数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;
第四判定单元410,用来设置比例阈值;当所述统计的请求来源页面标识为空的访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求的累积数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
所述设备可以作为一个模块集成于目标服务器中。
在本申请一优选实施例中,所述监控单元110具体包括:
真实源IP访问请求监控模块111,用来基于真实源IP的确定规则,监控预设数量的第一真实源IP到第一目标IP的访问请求。
图9为本申请另一实施例提供的一种检测CC攻击的设备功能模块图。如图9所示,所述设备包括:
访问请求记录获取单元120,用来获取预设数量的第一源IP到第一目标IP的访问请求记录;
第三统计单元220,用来统计所述获取的访问请求记录中请求来源页面标识互不相同的访问请求记录的数量;
第五判定单元320,用来设置检测阈值;当所述统计的请求来源页面标识互不相同的访问请求记录的数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求记录的数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;
第六判定单元420,用来设置比例阈值;当所述统计的请求来源页面标识互不相同的访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求记录的数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击。
所述设备可以为独立于请求端和目标服务器的第三方设备。
在本申请一优选实施例中,所述访问请求记录获取单元120具体包括:
真实源IP访问请求记录获取模块121,用来基于真实源IP的确定规则,获取预设数量的第一真实源IP到第一目标IP的访问请求记录。
图10为本申请另一实施例提供的一种检测CC攻击的设备功能模块图。如图10所示,所述设备包括:
监控单元130,用来监控预设数量的第一源IP到第一目标IP的访问请求;
第四统计单元230,用来统计请求来源页面标识互不相同的访问请求的累积数量;
第七判定单元330,用来设置检测阈值;当所述统计的请求来源页面标识互不相同的访问请求的累积数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求的累积数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;
第八判定单元430,用来设置比例阈值;当所述统计的请求来源页面标识互不相同的访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求的累积数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击。
所述设备可以作为一个模块集成于目标服务器中。
在本申请一优选实施例中,所述监控单元130具体包括:
真实源IP访问请求监控模块131,用来基于真实源IP的确定规则,监控预设数量的第一真实源IP到第一目标IP的访问请求。
本申请实施例提供的一种检测CC攻击的方法及设备,通过分析真实用户与CC攻击者的访问行为的差异性,并基于该差异性来计算判定数值,能够有效地检测CC攻击。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字***“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片2。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware Description Language)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java HardwareDescription Language)、Lava、Lola、MyHDL、PALASM、RHDL(Ruby Hardware DescriptionLanguage)等,目前最普遍使用的是VHDL(Very-High-Speed Integrated Circuit HardwareDescription Language)与Verilog2。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、AtmelAT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。
本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的***、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请可用于众多通用或专用的计算机***环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器***、基于微处理器的***、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何***或设备的分布式计算环境等等。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
虽然通过实施例描绘了本申请,本领域普通技术人员知道,本申请有许多变形和变化而不脱离本申请的精神,希望所附的权利要求包括这些变形和变化而不脱离本申请的精神。
Claims (36)
1.一种检测CC攻击的方法,其特征在于,包括:
获取预设数量的第一源IP到第一目标IP的访问请求记录;
统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的数量;
基于所述统计的请求来源页面标识为空的访问请求记录的数量检测CC攻击。
2.如权利要求1所述的一种检测CC攻击的方法,其特征在于,所述获取预设数量的第一源IP到第一目标IP的访问请求记录具体包括:
基于真实源IP的确定规则,获取预设数量的第一真实源IP到第一目标IP的访问请求记录。
3.如权利要求2所述的一种检测CC攻击的方法,其特征在于,所述真实源IP的确定规则具体包括:
当访问请求记录的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;当访问请求记录的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
4.如权利要求1所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识为空的访问请求记录的数量检测CC攻击具体包括:
设置第一检测阈值;
当所述统计的请求来源页面标识为空的访问请求记录的数量大于或者等于所述第一检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击。
5.如权利要求1所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识为空的访问请求记录的数量检测CC攻击具体包括:
设置第二检测阈值;
当所述统计的请求来源页面标识为空的访问请求记录的数量小于所述第二检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
6.如权利要求1所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识为空的访问请求记录的数量检测CC攻击具体包括:
设置第一比例阈值;
当所述统计的请求来源页面标识为空的访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击。
7.如权利要求1所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识为空的访问请求记录的数量检测CC攻击具体包括:
设置第二比例阈值;
当所述统计的请求来源页面标识为空的访问请求记录的数量占所述预设数量的比例值小于所述第二比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
8.一种检测CC攻击的方法,其特征在于,包括:
监控预设数量的第一源IP到第一目标IP的访问请求;
统计所述访问请求中请求来源页面标识为空的访问请求的累积数量;
基于所述统计的请求来源页面标识为空的访问请求的累积数量检测CC攻击。
9.如权利要求8所述的一种检测CC攻击的方法,其特征在于,所述监控预设数量的第一源IP到第一目标IP的访问请求具体包括:
基于真实源IP的确定规则,监控预设数量的第一真实源IP到第一目标IP的访问请求。
10.如权利要求9所述的一种检测CC攻击的方法,其特征在于,所述真实源IP的确定规则具体包括:
当访问请求的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;
当访问请求的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
11.如权利要求8所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识为空的访问请求的累积数量检测CC攻击具体包括:
设置第三检测阈值;
当所述统计的请求来源页面标识为空的访问请求的累积数量大于或者等于所述第三检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击。
12.如权利要求8所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识为空的访问请求的累积数量检测CC攻击具体包括:
设置第四检测阈值;
当所述统计的请求来源页面标识为空的访问请求的累积数量小于所述第四检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
13.如权利要求8所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识为空的访问请求的累积数量检测CC攻击具体包括:
设置第三比例阈值;
当所述统计的请求来源页面标识为空的访问请求的累积数量占所述预设数量的比例值大于或者等于所述第三比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击。
14.如权利要求8所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识为空的访问请求的累积数量检测CC攻击具体包括:
设置第四比例阈值;
当所述统计的请求来源页面标识为空的访问请求的累积数量占所述预设数量的比例值小于所述第四比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
15.一种检测CC攻击的方法,其特征在于,包括:
获取预设数量的第一源IP到第一目标IP的访问请求记录;
统计所述获取的访问请求记录中请求来源页面标识互不相同的访问请求记录的数量;
基于所述统计的请求来源页面标识互不相同的访问请求记录的数量检测CC攻击。
16.如权利要求15所述的一种检测CC攻击的方法,其特征在于,所述获取预设数量的第一源IP到第一目标IP的访问请求记录具体包括:
基于真实源IP的确定规则,获取预设数量的第一真实源IP到第一目标IP的访问请求记录。
17.如权利要求16所述的一种检测CC攻击的方法,其特征在于,所述真实源IP的确定规则具体包括:
当访问请求记录的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;
当访问请求记录的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
18.如权利要求15所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识互不相同的访问请求记录的数量检测CC攻击具体包括:
设置第五检测阈值;
当所述统计的请求来源页面标识互不相同的访问请求记录的数量小于所述第五检测阈值时,判定第一源IP到第一目标IP的访问请求是CC攻击。
19.如权利要求15所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识互不相同的访问请求记录的数量检测CC攻击具体包括:
设置第六检测阈值
当所述统计的请求来源页面标识互不相同的访问请求记录的数量大于或者等于所述第六检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
20.如权利要求15所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识互不相同的访问请求记录的数量检测CC攻击具体包括:
设置第五比例阈值;
当所述统计的请求来源页面标识互不相同的访问请求记录的数量占所述预设数量的比例值小于所述第五比例阈值时,判定第一源IP到第一目标IP的访问请求是CC攻击。
21.如权利要求15所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识互不相同的访问请求记录的数量检测CC攻击具体包括:
设置第六比例阈值;
当所述统计的请求来源页面标识互不相同的访问请求记录的数量占所述预设数量的比例值大于或者等于所述第六比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
22.一种检测CC攻击的方法,其特征在于,包括:
监控预设数量的第一源IP到第一目标IP的访问请求;
统计请求来源页面标识互不相同的访问请求的累积数量;
基于所述统计的请求来源页面标识互不相同的访问请求的累积数量检测CC攻击。
23.如权利要求22所述的一种检测CC攻击的方法,其特征在于,所述监控预设数量的第一源IP到第一目标IP的访问请求具体包括:
基于真实源IP的确定规则,监控预设数量的第一真实源IP到第一目标IP的访问请求。
24.如权利要求23所述的一种检测CC攻击的方法,其特征在于,所述真实源IP的确定规则具体包括:
当访问请求的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;
当访问请求的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
25.如权利要求22所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识互不相同的访问请求的累积数量检测CC攻击具体包括:
设置第七检测阈值;
当所述统计的请求来源页面标识互不相同的访问请求的累积数量小于所述第七检测阈值时,判定第一源IP到第一目标IP的访问请求是CC攻击。
26.如权利要求22所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识互不相同的访问请求的累积数量检测CC攻击具体包括:
设置第八检测阈值;
当所述统计的请求来源页面标识互不相同的访问请求的累积数量大于或者等于所述第八检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
27.如权利要求22所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识互不相同的访问请求的累积数量检测CC攻击具体包括:
设置第七比例阈值;
当所述统计的请求来源页面标识互不相同的访问请求的累积数量占所述预设数量的比例值小于所述第七比例阈值时,判定第一源IP到第一目标IP的访问请求是CC攻击。
28.如权利要求22所述的一种检测CC攻击的方法,其特征在于,所述基于所述统计的请求来源页面标识互不相同的访问请求的累积数量检测CC攻击具体包括:
设置第八比例阈值;
当所述统计的请求来源页面标识互不相同的访问请求的累积数量占所述预设数量的比例值大于或者等于所述第八比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
29.一种检测CC攻击的设备,其特征在于,所述设备为独立于请求端和目标服务器的第三方设备,包括访问请求记录获取单元,第一统计单元,第一判定单元以及第二判定单元,其中:
所述访问请求记录获取单元,用来获取预设数量的第一源IP到第一目标IP的访问请求记录;
所述第一统计单元,用来统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的数量;
所述第一判定单元,用来设置检测阈值;当所述统计的请求来源页面标识为空的访问请求记录的数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求记录的数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;
所述第二判定单元,用来设置比例阈值;当所述统计的请求来源页面标识为空的访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求记录的数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
30.如权利要求29所述的一种检测CC攻击的设备,其特征在于,所述访问请求记录获取单元具体包括:
真实源IP访问请求记录获取模块,用来基于真实源IP的确定规则,获取预设数量的第一真实源IP到第一目标IP的访问请求记录。
31.一种检测CC攻击的设备,其特征在于,所述设备作为模块集成于目标服务器中,包括监控单元,第二统计单元,第三判定单元以及第四判定单元,其中:
所述监控单元,用来监控预设数量的第一源IP到第一目标IP的访问请求;
所述第二统计单元,用来统计所述访问请求中请求来源页面标识为空的访问请求的累积数量;
所述第三判定单元,用来设置检测阈值;当所述统计的请求来源页面标识为空的访问请求的累积数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求的累积数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;
所述第四判定单元,用来设置比例阈值;当所述统计的请求来源页面标识为空的访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;当所述统计的请求来源页面标识为空的访问请求的累积数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击。
32.如权利要求31所述的一种检测CC攻击的设备,其特征在于,所述监控单元具体包括:
真实源IP访问请求监控模块,用来基于真实源IP的确定规则,监控预设数量的第一真实源IP到第一目标IP的访问请求。
33.一种检测CC攻击的设备,其特征在于,所述设备为独立于请求端和目标服务器的第三方设备,包括访问请求记录获取单元,第三统计单元,第五判定单元以及第六判定单元,其中:
所述访问请求记录获取单元,用来获取预设数量的第一源IP到第一目标IP的访问请求记录;
所述第三统计单元,用来统计所述获取的访问请求记录中请求来源页面标识互不相同的访问请求记录的数量;
所述第五判定单元,用来设置检测阈值;当所述统计的请求来源页面标识互不相同的访问请求记录的数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求记录的数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;
所述第六判定单元,用来设置比例阈值;当所述统计的请求来源页面标识互不相同的访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求记录的数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击。
34.如权利要求33所述的一种检测CC攻击的设备,其特征在于,所述访问请求记录获取单元具体包括:
真实源IP访问请求记录获取模块,用来基于真实源IP的确定规则,获取预设数量的第一真实源IP到第一目标IP的访问请求记录。
35.一种检测CC攻击的设备,其特征在于,所述设备作为模块集成于目标服务器中,包括监控单元,第四统计单元,第七判定单元以及第八判定单元,其中:
所述监控单元,用来监控预设数量的第一源IP到第一目标IP的访问请求;
所述第四统计单元,用来统计请求来源页面标识互不相同的访问请求的累积数量;
所述第七判定单元,用来设置检测阈值;当所述统计的请求来源页面标识互不相同的访问请求的累积数量大于或者等于所述检测阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求的累积数量小于所述检测阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击;
所述第八判定单元,用来设置比例阈值;当所述统计的请求来源页面标识互不相同的访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时,判定第一源IP到第一目标IP的访问请求不是CC攻击;当所述统计的请求来源页面标识互不相同的访问请求的累积数量占所述预设数量的比例值小于所述比例阈值时,判定第一源IP到第一目标IP的访问请求为CC攻击。
36.如权利要求35所述的一种检测CC攻击的设备,其特征在于,所述监控单元具体包括:
真实源IP访问请求监控模块,用来基于真实源IP的确定规则,监控预设数量的第一真实源IP到第一目标IP的访问请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510040959.2A CN105991511A (zh) | 2015-01-27 | 2015-01-27 | 一种检测cc攻击的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510040959.2A CN105991511A (zh) | 2015-01-27 | 2015-01-27 | 一种检测cc攻击的方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105991511A true CN105991511A (zh) | 2016-10-05 |
Family
ID=57036350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510040959.2A Pending CN105991511A (zh) | 2015-01-27 | 2015-01-27 | 一种检测cc攻击的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105991511A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107743113A (zh) * | 2016-11-23 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种网站攻击的检测方法及*** |
| CN108632050A (zh) * | 2017-03-15 | 2018-10-09 | 阿里巴巴集团控股有限公司 | 一种记录网站访问日志的方法和装置 |
| CN108650274A (zh) * | 2018-05-21 | 2018-10-12 | 中国科学院计算机网络信息中心 | 一种网络入侵检测方法及*** |
| CN110535857A (zh) * | 2019-08-29 | 2019-12-03 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
| US10505974B2 (en) | 2016-07-22 | 2019-12-10 | Alibaba Group Holding Limited | Network attack defense system and method |
| US10715546B2 (en) | 2016-11-23 | 2020-07-14 | Tencent Technology (Shenzhen) Company Limited | Website attack detection and protection method and system |
| CN113760664A (zh) * | 2021-09-10 | 2021-12-07 | 哈尔滨工业大学 | 一种两级阈值攻击检测方法、计算机及存储介质 |
| US11323453B2 (en) | 2018-08-23 | 2022-05-03 | Alibaba Group Holding Limited | Data processing method, device, access control system, and storage media |
| CN116760649A (zh) * | 2023-08-23 | 2023-09-15 | 智联信通科技股份有限公司 | 基于大数据的数据安全保护及预警方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080320567A1 (en) * | 2007-06-20 | 2008-12-25 | Imperva, Inc. | System and method for preventing web frauds committed using client-scripting attacks |
| CN102281298A (zh) * | 2011-08-10 | 2011-12-14 | 深信服网络科技(深圳)有限公司 | 检测和防御cc攻击的方法及装置 |
| CN103179132A (zh) * | 2013-04-09 | 2013-06-26 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
| CN104092665A (zh) * | 2014-06-19 | 2014-10-08 | 小米科技有限责任公司 | 访问请求过滤方法、装置及设备 |
| CN104113525A (zh) * | 2014-05-23 | 2014-10-22 | 中国电子技术标准化研究院 | 一种防御资源消耗型Web攻击方法及装置 |
-
2015
- 2015-01-27 CN CN201510040959.2A patent/CN105991511A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080320567A1 (en) * | 2007-06-20 | 2008-12-25 | Imperva, Inc. | System and method for preventing web frauds committed using client-scripting attacks |
| CN102281298A (zh) * | 2011-08-10 | 2011-12-14 | 深信服网络科技(深圳)有限公司 | 检测和防御cc攻击的方法及装置 |
| CN103179132A (zh) * | 2013-04-09 | 2013-06-26 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
| CN104113525A (zh) * | 2014-05-23 | 2014-10-22 | 中国电子技术标准化研究院 | 一种防御资源消耗型Web攻击方法及装置 |
| CN104092665A (zh) * | 2014-06-19 | 2014-10-08 | 小米科技有限责任公司 | 访问请求过滤方法、装置及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 肖军 等: "基于会话异常度模型的应用层分布式拒绝服务攻击过滤", 《计算机学报》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10505974B2 (en) | 2016-07-22 | 2019-12-10 | Alibaba Group Holding Limited | Network attack defense system and method |
| US11184387B2 (en) | 2016-07-22 | 2021-11-23 | Alibaba Group Holding Limited | Network attack defense system and method |
| CN107743113A (zh) * | 2016-11-23 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种网站攻击的检测方法及*** |
| US10715546B2 (en) | 2016-11-23 | 2020-07-14 | Tencent Technology (Shenzhen) Company Limited | Website attack detection and protection method and system |
| CN108632050A (zh) * | 2017-03-15 | 2018-10-09 | 阿里巴巴集团控股有限公司 | 一种记录网站访问日志的方法和装置 |
| CN108632050B (zh) * | 2017-03-15 | 2021-03-02 | 阿里巴巴集团控股有限公司 | 一种记录网站访问日志的方法和装置 |
| CN108650274A (zh) * | 2018-05-21 | 2018-10-12 | 中国科学院计算机网络信息中心 | 一种网络入侵检测方法及*** |
| CN108650274B (zh) * | 2018-05-21 | 2021-07-27 | 中国科学院计算机网络信息中心 | 一种网络入侵检测方法及*** |
| US11323453B2 (en) | 2018-08-23 | 2022-05-03 | Alibaba Group Holding Limited | Data processing method, device, access control system, and storage media |
| CN110535857A (zh) * | 2019-08-29 | 2019-12-03 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
| CN110535857B (zh) * | 2019-08-29 | 2022-07-22 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
| CN113760664A (zh) * | 2021-09-10 | 2021-12-07 | 哈尔滨工业大学 | 一种两级阈值攻击检测方法、计算机及存储介质 |
| CN116760649A (zh) * | 2023-08-23 | 2023-09-15 | 智联信通科技股份有限公司 | 基于大数据的数据安全保护及预警方法 |
| CN116760649B (zh) * | 2023-08-23 | 2023-10-24 | 智联信通科技股份有限公司 | 基于大数据的数据安全保护及预警方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105991511A (zh) | 一种检测cc攻击的方法及设备 | |
| CN104391979B (zh) | 网络恶意爬虫识别方法及装置 | |
| CN104980309B (zh) | 网站安全检测方法及装置 | |
| CN108304410A (zh) | 一种异常访问页面的检测方法、装置及数据分析方法 | |
| KR20140101697A (ko) | 애플리케이션 스토어와 관련된 허위 등급들/코멘트들의 자동 검출 | |
| CN104143008B (zh) | 基于图片匹配检测钓鱼网页的方法及装置 | |
| CN102739653B (zh) | 一种针对网址的检测方法及装置 | |
| CN105022801B (zh) | 一种热门视频挖掘方法和装置 | |
| CN108334774A (zh) | 一种检测攻击的方法、第一服务器及第二服务器 | |
| CN107403251A (zh) | 风险检测方法及装置 | |
| CN105868256A (zh) | 处理用户行为数据的方法和*** | |
| CN110474900B (zh) | 一种游戏协议测试方法及装置 | |
| CN107968791A (zh) | 一种攻击报文的检测方法及装置 | |
| CN105577799B (zh) | 一种数据库集群的故障检测方法和装置 | |
| CN104954188B (zh) | 基于云的网站日志安全分析方法、装置和*** | |
| CN103701779B (zh) | 一种二次访问网站的方法、装置及防火墙设备 | |
| CN109981415A (zh) | 状态判定方法、电子设备、***及介质 | |
| CN104156487B (zh) | 网页数据统计方法及装置 | |
| CN105681124B (zh) | 一种网速检测方法及装置 | |
| CN105578434B (zh) | 一种检测伪基站运动轨迹的方法及服务器 | |
| CN104468459B (zh) | 一种漏洞检测方法及装置 | |
| US20200257711A1 (en) | User navigation in a target portal | |
| CN104618336A (zh) | 一种账号管理方法、设备及*** | |
| CN103581321B (zh) | 一种refer链的创建方法、装置及安全检测方法和客户端 | |
| CN107018039B (zh) | 测试服务器集群性能瓶颈的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161005 |