防御cc攻擊的方法及裝置的制造方法
【專利摘要】本申請?zhí)峁┓烙鵆C攻擊的方法及裝置����,該方法包括:在接收到對一個(gè)URL地址請求訪問的HTTP請求報(bào)文時(shí),統(tǒng)計(jì)所述URL地址在預(yù)設(shè)統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量����,以及所述HTTP請求報(bào)文中的源IP地址在所述統(tǒng)計(jì)周期內(nèi)對所述URL地址的累計(jì)訪問量,所述統(tǒng)計(jì)周期不小于預(yù)設(shè)的最低閾值����;當(dāng)確定所述累計(jì)被訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系��,且確定所述累計(jì)訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大源IP地址訪問量的幅度符合第二波動關(guān)系時(shí)����,認(rèn)為存在CC攻擊��,丟棄所述HTTP請求報(bào)文�����。應(yīng)用上述方法可以實(shí)現(xiàn)有效地避免CC攻擊���,并且不需要用戶參與�����,從而不影響用戶的體驗(yàn)��。
【專利說明】
防御CC攻擊的方法及裝置
技術(shù)領(lǐng)域
[0001]本申請?jiān)O(shè)及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�����,尤其設(shè)及防御CC(ChalIenge Collapsar,挑戰(zhàn)黑 桐)攻擊的方法及裝置�����。
【背景技術(shù)】
[0002] CC攻擊是一種基于頁面的DDoS(Dist;r;Lbuted Denial of Service,分布式拒絕服 務(wù))攻擊����。CC攻擊的原理是:攻擊機(jī)可W利用多臺代理服務(wù)器�����,向目標(biāo)服務(wù)器發(fā)送大量請求 報(bào)文�����,使得目標(biāo)服務(wù)器進(jìn)行大量計(jì)算��,大量耗費(fèi)自身性能和資源�,對正常用戶的體驗(yàn)造成影 響。現(xiàn)有技術(shù)中���,為了防御CC攻擊����,通常有兩種方案��。方案一:安全設(shè)備在接收到請求報(bào)文 時(shí),對所請求訪問的U化化n i f OrmRe sour Ce Lo cator����,統(tǒng)一資源定位符)地址進(jìn)行重定向,重 定向地址攜帶cookie值���,當(dāng)安全設(shè)備再次接收到重定向的請求報(bào)文時(shí)���,通過其是否攜帶正 確的cookie值,可W確認(rèn)是否存在CC攻擊��。方案二:安全設(shè)備將所請求訪問的U化地址重定 向到一個(gè)驗(yàn)證頁面��,當(dāng)用戶在該驗(yàn)證頁面輸入正確的驗(yàn)證碼之后��,安全設(shè)備才會放行該請 求報(bào)文����,否則,認(rèn)為存在CC攻擊��,丟棄該請求報(bào)文�。
[0003] 然而,上述兩種方案由于都需要用戶參與,而且用戶每隔一段時(shí)間都需要再次進(jìn) 行認(rèn)證����,再次認(rèn)證通過后才可W繼續(xù)訪問目標(biāo)頁面,從而影響用戶體驗(yàn)���;另外,在采用上述 方案二時(shí)�,由于一些移動終端并不支持重定向技術(shù)和驗(yàn)證碼技術(shù),從而導(dǎo)致用戶使用該些 移動終端時(shí)���,將無法正常訪問目標(biāo)頁面���,影響了用戶體驗(yàn)。
【發(fā)明內(nèi)容】
[0004] 有鑒于此�,本申請?zhí)峁┮环N防御CC攻擊的方法及裝置,W實(shí)現(xiàn)有效地避免CC攻擊�����, 并且在使用該方法防御CC攻擊的過程中��,不需要用戶參與����,從而避免影響用戶的體驗(yàn)����。
[0005] 具體地�����,本申請是通過如下技術(shù)方案實(shí)現(xiàn)的:
[0006] 根據(jù)本申請實(shí)施例的第一方面��,提供一種防御挑戰(zhàn)黑桐CC攻擊的方法�,所述方法 包括:
[0007] 在接收到對一個(gè)統(tǒng)一資源定位符U化地址請求訪問的超文本傳輸協(xié)議HTTP請求報(bào) 文時(shí),統(tǒng)計(jì)所述URL地址在預(yù)設(shè)統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量����,W及所述HTTP請求報(bào)文中的源 IP地址在所述統(tǒng)計(jì)周期內(nèi)對所述TOL地址的累計(jì)訪問量,所述統(tǒng)計(jì)周期不小于預(yù)設(shè)的最低 闊值�����;
[000引當(dāng)確定所述累計(jì)被訪問量超過所述U化地址在對應(yīng)時(shí)間段的最大被訪問量的幅度 符合第一波動關(guān)系���,且確定所述累計(jì)訪問量超過所述抓L地址在對應(yīng)時(shí)間段的最大源IP地 址訪問量的幅度符合第二波動關(guān)系時(shí)�����,認(rèn)為存在CC攻擊����,丟棄所述HTTP請求報(bào)文。
[0009] 在一個(gè)實(shí)施例中��,所述方法還包括:
[0010]在所述統(tǒng)計(jì)周期內(nèi)�,根據(jù)所接收到的HTTP請求報(bào)文的URL地址W及源IP地址,統(tǒng)計(jì) 得出所述TOL地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量��,W及所述源IP地址在所述統(tǒng)計(jì)周期 內(nèi)對所述U化地址的累計(jì)訪問量����;
[0011]將所述U化地址在N個(gè)所述統(tǒng)計(jì)周期內(nèi)的所有累計(jì)被訪問量中的最大值作為所述 U化地址在對應(yīng)時(shí)間段的U化地址被訪問量��,將N個(gè)所述統(tǒng)計(jì)周期內(nèi)����,所有訪問所述U化地址 的源IP地址,所對應(yīng)的累計(jì)訪問量中的最大值�,作為所述U化地址在對應(yīng)時(shí)間段的源IP地址 訪問量,所述時(shí)間段包括N個(gè)所述統(tǒng)計(jì)周期�����,所述N為大于1的自然數(shù);
[001���。 將所述URL地址在M個(gè)所述時(shí)間段的URL地址被訪問量中的最大值���,作為所述IMi也 址在自學(xué)習(xí)周期內(nèi)的所述時(shí)間段的最大被訪問量,將所述TOL地址在M個(gè)所述時(shí)間段的源IP 地址訪問量中的最大值���,作為所述U化地址在自學(xué)習(xí)周期內(nèi)的所述時(shí)間段的最大源IP地址 訪問量�����,所述自學(xué)習(xí)周期包括M天�����,所述M為大于1的自然數(shù)�。
[0013] 在另一個(gè)實(shí)施例中�����,所述方法還包括:
[0014] 得出IMi也址在當(dāng)前自學(xué)習(xí)周期內(nèi)的每個(gè)時(shí)間段的最大被訪問量與最大源IP地址 訪問量后����,將所述每個(gè)最大被訪問量與所述U化地址在前一個(gè)自學(xué)習(xí)周期內(nèi)的對應(yīng)時(shí)間段 的最大被訪問量進(jìn)行比較����,W及將所述每個(gè)最大源IP地址訪問量與所述TOL地址在前一個(gè) 自學(xué)習(xí)周期內(nèi)的對應(yīng)時(shí)間段的最大源IP地址訪問量進(jìn)行比較����;
[0015] 根據(jù)所述比較結(jié)果,確定屬于當(dāng)前自學(xué)習(xí)周期的最大被訪問量較大時(shí)�,則根據(jù)所 述當(dāng)前自學(xué)習(xí)周期的最大被訪問量更新所述U化地址在對應(yīng)時(shí)間段的最大被訪問量;確定 屬于當(dāng)前自學(xué)習(xí)周期的最大源IP地址訪問量較大時(shí),則根據(jù)所述當(dāng)前自學(xué)習(xí)周期的最大源 IP地址訪問量更新所述ML地址在對應(yīng)時(shí)間段的最大源IP地址訪問量�����。
[0016] 在又一個(gè)實(shí)施例中��,所述確定所述累計(jì)被訪問量超過所述TOL地址在對應(yīng)時(shí)間段 的最大被訪問量的幅度符合第一波動關(guān)系���,且所述累計(jì)訪問量超過所述U化地址在對應(yīng)時(shí) 間段的最大源IP地址訪問量的幅度符合第二波動關(guān)系,包括:
[0017] 比較所述累計(jì)被訪問量與所述TOL地址在對應(yīng)時(shí)間段的最大被訪問量���,W及所述 累計(jì)訪問量與所述ML地址在對應(yīng)時(shí)間段的最大源IP地址訪問量���;
[0018] 根據(jù)比較結(jié)果,確定所述累計(jì)被訪問量超過所述對應(yīng)時(shí)間段的最大被訪問量的X 倍����,所述累計(jì)訪問量超過所述對應(yīng)時(shí)間段的最大源IP地址訪問量的Y倍��,所述X���、Y均大于1, 則確定所述累計(jì)被訪問量超過所述U化地址在對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一 波動關(guān)系�����,且所述累計(jì)訪問量超過所述抓L地址在對應(yīng)時(shí)間段的最大源IP地址訪問量的幅 度符合第二波動關(guān)系����。
[0019] 在又一個(gè)實(shí)施例中,所述方法還包括:
[0020] 在確定所述累計(jì)被訪問量超過所述TOL地址在對應(yīng)時(shí)間段的最大被訪問量的幅度 符合第一波動關(guān)系時(shí)�,將所述U化地址加入保存的灰名單;
[0021] 當(dāng)再次接收到包括所述U化地址的HTTP請求報(bào)文時(shí)�,根據(jù)所述HTTP請求報(bào)文的URL 地址在所述灰名單中,確定所述U化地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量超過對應(yīng)時(shí)間 段的最大被訪問量的幅度符合第一波動關(guān)系�����,并根據(jù)所述HTTP請求報(bào)文的源IP地址統(tǒng)計(jì)所 述源IP地址在所述統(tǒng)計(jì)周期內(nèi)對所述ML地址的累計(jì)訪問量�����。
[0022] 在又一個(gè)實(shí)施例中,所述方法還包括:
[0023] 在確定所述累計(jì)訪問量超過所述ML地址在對應(yīng)時(shí)間段的最大源IP地址訪問量的 幅度符合第二波動關(guān)系時(shí)�����,將所述源IP地址加入保存的黑名單���;
[0024] 當(dāng)再次接收到包括所述源IP地址的HTTP請求報(bào)文時(shí)���,根據(jù)所述HTT內(nèi)青求報(bào)文的源 IP地址在所述黑名單中,確定所述HTTP請求報(bào)文存在CC攻擊��,丟棄所述HTTP請求報(bào)文���。
[0025] 根據(jù)本申請實(shí)施例的第二方面���,提供一種防御CC攻擊的裝置,所述裝置包括:
[0026] 統(tǒng)計(jì)單元��,用于在接收到對一個(gè)U化地址請求訪問的HTTP請求報(bào)文時(shí)��,統(tǒng)計(jì)所述 m?L地址在預(yù)設(shè)統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量�����,W及所述HTTP請求報(bào)文中的源IP地址在所述 統(tǒng)計(jì)周期內(nèi)對所述ML地址的累計(jì)訪問量��,所述統(tǒng)計(jì)周期不小于預(yù)設(shè)的最低闊值���;
[0027] 第一處理單元��,用于在確定所述累計(jì)被訪問量超過所述TOL地址在對應(yīng)時(shí)間段的 最大被訪問量的幅度符合第一波動關(guān)系����,且確定所述累計(jì)訪問量超過所述U化地址在對應(yīng) 時(shí)間段的最大源IP地址訪問量的幅度符合第二波動關(guān)系時(shí)���,認(rèn)為存在CC攻擊��,丟棄所述 HTTP請求報(bào)文���。
[0028] 在一個(gè)實(shí)施例中,所述裝置還包括:
[0029] 第一學(xué)習(xí)單元���,用于在所述統(tǒng)計(jì)周期內(nèi)���,根據(jù)所接收到的HTT內(nèi)青求報(bào)文的U化地址 W及源IP地址,統(tǒng)計(jì)得出所述U化地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量,W及所述源IP地 址在所述統(tǒng)計(jì)周期內(nèi)對所述ML地址的累計(jì)訪問量�;
[0030] 所述第一學(xué)習(xí)單元,還用于:將所述抓L地址在N個(gè)所述統(tǒng)計(jì)周期內(nèi)的所有累計(jì)被 訪問量中的最大值作為所述U化地址在對應(yīng)時(shí)間段的U化地址被訪問量�,將N個(gè)所述統(tǒng)計(jì)周 期內(nèi),所有訪問所述U化地址的源IP地址���,所對應(yīng)的累計(jì)訪問量中的最大值����,作為所述U化地 址在對應(yīng)時(shí)間段的源IP地址訪問量��,所述時(shí)間段包括N個(gè)所述統(tǒng)計(jì)周期����,所述N為大于1的自 然數(shù);
[0031] 所述第一學(xué)習(xí)單元�����,還用于:將所述抓L地址在M個(gè)所述時(shí)間段的ML地址被訪問量 中的最大值�����,作為所述U化地址在自學(xué)習(xí)周期內(nèi)的所述時(shí)間段的最大被訪問量����,將所述URL 地址在M個(gè)所述時(shí)間段的源IP地址訪問量中的最大值,作為所述U化地址在自學(xué)習(xí)周期內(nèi)的 所述時(shí)間段的最大源IP地址訪問量�����,所述自學(xué)習(xí)周期包括M天��,所述M為大于1的自然數(shù)�����。
[0032] 在另一個(gè)實(shí)施例中�����,所述裝置還包括:
[0033] 比較單元��,用于在得出IMi也址在當(dāng)前自學(xué)習(xí)周期內(nèi)的每個(gè)時(shí)間段的最大被訪問 量與最大源IP地址訪問量后�,將所述每個(gè)最大被訪問量與所述U化地址在前一個(gè)自學(xué)習(xí)周 期內(nèi)的對應(yīng)時(shí)間段的最大被訪問量進(jìn)行比較,W及將所述每個(gè)最大源IP地址訪問量與所述 ML地址在前一個(gè)自學(xué)習(xí)周期內(nèi)的對應(yīng)時(shí)間段的最大源IP地址訪問量進(jìn)行比較�����;
[0034] 更新單元�����,用于根據(jù)所述比較結(jié)果,確定屬于當(dāng)前自學(xué)習(xí)周期的最大被訪問量較 大時(shí)���,則根據(jù)所述當(dāng)前自學(xué)習(xí)周期的最大被訪問量更新所述U化地址在對應(yīng)時(shí)間段的最大 被訪問量;確定屬于當(dāng)前自學(xué)習(xí)周期的最大源IP地址訪問量較大時(shí)�,則根據(jù)所述當(dāng)前自學(xué) 習(xí)周期的最大源IP地址訪問量更新所述ML地址在對應(yīng)時(shí)間段的最大源IP地址訪問量��。
[0035] 在又一個(gè)實(shí)施例中����,所述第一處理單元包括:
[0036] 比較子單元,用于比較所述累計(jì)被訪問量與所述TOL地址在對應(yīng)時(shí)間段的最大被 訪問量���,W及所述累計(jì)訪問量與所述U化地址在對應(yīng)時(shí)間段的最大源IP地址訪問量�����;
[0037] 確定子單元�����,用于在根據(jù)比較結(jié)果���,確定所述累計(jì)被訪問量超過所述對應(yīng)時(shí)間段 的最大被訪問量的X倍��,所述累計(jì)訪問量超過所述對應(yīng)時(shí)間段的最大源IP地址訪問量的Y倍 時(shí)�����,所述X、Y均大于1�����,則確定所述累計(jì)被訪問量超過所述ML地址在對應(yīng)時(shí)間段的最大被訪 問量的幅度符合第一波動關(guān)系����,且所述累計(jì)訪問量超過所述TOL地址在對應(yīng)時(shí)間段的最大 源IP地址訪問量的幅度符合第二波動關(guān)系。
[0038] 在又一個(gè)實(shí)施例中�����,所述裝置還包括:
[0039] 第一添加單元�,用于在確定所述累計(jì)被訪問量超過所述m?L地址在對應(yīng)時(shí)間段的 最大被訪問量的幅度符合第一波動關(guān)系時(shí),將所述U化地址加入保存的灰名單���;
[0040] 第二處理單元�����,用于當(dāng)再次接收到包括所述抓L地址的HTT內(nèi)青求報(bào)文時(shí)���,根據(jù)所述 HTT內(nèi)青求報(bào)文的U化地址在所述灰名單中��,確定所述m?L地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪 問量超過對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系�����,并根據(jù)所述HTTP請求報(bào)文 的源IP地址統(tǒng)計(jì)所述源IP地址在所述統(tǒng)計(jì)周期內(nèi)對所述ML地址的累計(jì)訪問量�����。
[0041] 在又一個(gè)實(shí)施例中���,所述裝置還包括:
[0042] 第二添加單元,用于在確定所述累計(jì)訪問量超過所述U化地址在對應(yīng)時(shí)間段的最 大源IP地址訪問量的幅度符合第二波動關(guān)系時(shí)���,將所述源IP地址加入保存的黑名單�;
[0043] 第S處理單元���,用于當(dāng)再次接收到包括所述源IP地址的HTTP請求報(bào)文時(shí)��,根據(jù)所 述HTTP請求報(bào)文的源IP地址在所述黑名單中��,確定所述HTTP請求報(bào)文存在CC攻擊�,丟棄所 述HTTP請求報(bào)文。
[0044] 由上述實(shí)施例可見��,通過在預(yù)設(shè)的統(tǒng)計(jì)周期內(nèi)�,根據(jù)接收到的HTTP請求報(bào)文進(jìn)行 統(tǒng)計(jì),將統(tǒng)計(jì)結(jié)果與當(dāng)前統(tǒng)計(jì)周期所對應(yīng)的時(shí)間段的最大被訪問量W及最大源IP地址訪問 量進(jìn)行比較����,根據(jù)比較結(jié)果�����,可W識別出是否存在CC攻擊;并且在識別出CC攻擊時(shí)����,丟棄接 收到的HTT內(nèi)青求報(bào)文,從而有效地防御了 CC攻擊�����,并且整個(gè)防御過程不需要用戶的參與�����,避 免了對用戶的體驗(yàn)造成影響。
【附圖說明】
[0045] 圖1示例了本申請實(shí)施例實(shí)現(xiàn)防御CC攻擊的方法的應(yīng)用場景示意圖�����;
[0046] 圖2示例了本申請防御CC攻擊的方法的一個(gè)實(shí)施例流程圖�����;
[0047] 圖3示例了本申請中安全設(shè)備進(jìn)行自學(xué)習(xí)的一個(gè)實(shí)施例流程圖���;
[0048] 圖4示例了本申請防御CC攻擊的方法的另一個(gè)實(shí)施例流程圖�;
[0049] 圖5為本申請防御CC攻擊的裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖��;
[0050] 圖6示例了本申請防御CC攻擊的裝置的一個(gè)實(shí)施例框圖�;
[0051] 圖7示例了本申請防御CC攻擊的裝置的另一個(gè)實(shí)施例框圖;
[0052] 圖8示例了本申請防御CC攻擊的裝置的又一個(gè)實(shí)施例框圖��。
【具體實(shí)施方式】
[0053] 運(yùn)里將詳細(xì)地對示例性實(shí)施例進(jìn)行說明�����,其示例表示在附圖中����。下面的描述設(shè)及 附圖時(shí)����,除非另有表示�����,不同附圖中的相同數(shù)字表示相同或相似的要素�����。W下示例性實(shí)施例 中所描述的實(shí)施方式并不代表與本申請相一致的所有實(shí)施方式�。相反�����,它們僅是與如所附 權(quán)利要求書中所詳述的�、本申請的一些方面相一致的裝置和方法的例子。
[0054] 在本申請使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的�,而非旨在限制本申請。 在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的"一種"����、"所述"和"該"也旨在包括多數(shù) 形式,除非上下文清楚地表示其他含義����。還應(yīng)當(dāng)理解����,本文中使用的術(shù)語"和/或"是指并包 含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合�。
[0055] 應(yīng)當(dāng)理解,盡管在本申請可能采用術(shù)語第一�、第二、第=等來描述各種信息�����,但運(yùn) 些信息不應(yīng)限于運(yùn)些術(shù)語。運(yùn)些術(shù)語僅用來將同一類型的信息彼此區(qū)分開���。例如,在不脫離 本申請范圍的情況下����,第一信息也可W被稱為第二信息,類似地,第二信息也可W被稱為第 一信息�����。取決于語境�����,如在此所使用的詞語"如果"可W被解釋成為"在……時(shí)"或"當(dāng)…… 時(shí)"或"響應(yīng)于確定"�。
[0056] 由于在采用現(xiàn)有技術(shù)方案防御CC攻擊時(shí),很有可能影響用戶的體驗(yàn)���,從而為了實(shí) 現(xiàn)有效地防御CC攻擊�,并且不影響用戶的體驗(yàn)���,本申請?zhí)岢鲆环N防御CC攻擊的方法及裝置。 如下將對該方法及裝置進(jìn)行詳細(xì)說明���。
[0057] 圖1示例了本申請實(shí)施例實(shí)現(xiàn)防御CC攻擊的方法的應(yīng)用場景示意圖�。圖1中包括: 客戶端11�����、安全設(shè)備12、服務(wù)器13�。其中,客戶端11可W為正常的客戶端����,或者為攻擊者所控 制的愧備機(jī),無論客戶端11處于何種角色�,客戶端11向服務(wù)器13發(fā)送對一個(gè)U化地址請求訪 問的HTTP請求報(bào)文時(shí),該HTT內(nèi)青求報(bào)文都將先被傳輸至安全設(shè)備12;安全設(shè)備12可W通過 執(zhí)行本申請防御CC攻擊的方法�,對接收到的HTTP請求報(bào)文進(jìn)行識別,在識別到CC攻擊時(shí)����,可 W將該HTTP請求報(bào)文作丟棄處理。從而使得該HTTP請求報(bào)文不再被傳輸至服務(wù)器13,那么 服務(wù)器13可W避免遭受到CC攻擊����,避免大量耗費(fèi)自身性能和資源,而且��,安全設(shè)備12在根據(jù) 接收到的HTTP請求報(bào)文識別CC攻擊時(shí)��,不需要正常用戶的參與�����,從而也可W避免影響正常 用戶的體驗(yàn)?���?蒞理解的是,圖1中僅W包括一個(gè)客戶端�,一個(gè)服務(wù)器為例進(jìn)行說明,在實(shí)際 應(yīng)用中�,可W包括多個(gè)客戶端,多個(gè)服務(wù)器����,本申請對此不作限制;另外�,圖1中所示的客戶 端僅W電腦為例進(jìn)行說明,實(shí)際應(yīng)用中的客戶端還可W是手機(jī)�����、平板電腦等具有資源訪問 功能的終端�����,本申請對此不作限制���。
[0058] 為了使得本領(lǐng)域技術(shù)人員可W更好地理解本申請所提供的防御CC攻擊的方法,提 供下列實(shí)施例。
[0059] 圖2示例了本申請防御CC攻擊的方法的一個(gè)實(shí)施例流程圖�����,該圖2所示的流程在上 述圖1所示應(yīng)用場景的基礎(chǔ)上�����,W安全設(shè)備12執(zhí)行該方法為例��,可W包括W下步驟:
[0060] 步驟S201:在接收到對一個(gè)U化地址請求訪問的HTTP請求報(bào)文時(shí)�����,統(tǒng)計(jì)所述抓L地 址在預(yù)設(shè)統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量���,W及所述HTTP請求報(bào)文中的源IP地址在所述統(tǒng)計(jì)周 期內(nèi)對所述ML地址的累計(jì)訪問量�,所述統(tǒng)計(jì)周期不小于預(yù)設(shè)的最低闊值��。
[0061] 本申請中����,可W預(yù)先設(shè)置一個(gè)統(tǒng)計(jì)周期,安全設(shè)備12在每個(gè)統(tǒng)計(jì)周期內(nèi)���,根據(jù)接收 到的HTTP請求報(bào)文進(jìn)行統(tǒng)計(jì)���,統(tǒng)計(jì)得出所接收到的HTTP請求報(bào)文中的U化地址���,在每個(gè)統(tǒng)計(jì) 周期內(nèi)的累計(jì)被訪問量,W及所接收到的HTTP請求報(bào)文中的源IP地址在每個(gè)統(tǒng)計(jì)周期內(nèi)對 ML地址的累計(jì)訪問量�。例如,如下表1�,為一個(gè)統(tǒng)計(jì)周期內(nèi)的統(tǒng)計(jì)結(jié)果的一種示例:
[0062] 表 1
[0063]
[0064] 如上表1中所示,U化地址與源IP地址可W為一對多的關(guān)系�����,該"一對多的關(guān)系"是 指:在一個(gè)統(tǒng)計(jì)周期內(nèi)��,不同的客戶端可W對同一個(gè)ML地址進(jìn)行訪問����,例如,正?���?蛻舳伺c 攻擊者所控制的愧備機(jī)可W同時(shí)對同一個(gè)ML地址進(jìn)行訪問。
[0065] 需要說明的是�����,通常情況下�,攻擊者通過愧備機(jī),例如�����,攻擊者控制客戶端11��,對服 務(wù)器13進(jìn)行CC攻擊時(shí)��,所發(fā)送的HTTP請求報(bào)文的數(shù)量在每秒的變化并不是很明顯����,甚至?xí)?出現(xiàn)在一秒內(nèi)所發(fā)送HTT內(nèi)青求報(bào)文的數(shù)量小于正常用戶發(fā)送的HTTP請求報(bào)文的數(shù)量,而在 較長的時(shí)間內(nèi)��,攻擊者所發(fā)送的HTT內(nèi)青求報(bào)文的數(shù)量會明顯高于正常用戶發(fā)送HTTP請求報(bào) 文的數(shù)量�,從而攻擊者的攻擊行為相對而言會比較明顯。因此���,在預(yù)設(shè)上述統(tǒng)計(jì)周期時(shí)����,可 W將該統(tǒng)計(jì)周期設(shè)置的較長一些。在本申請中���,可W預(yù)先設(shè)置一個(gè)最低闊值���,例如為15秒, 所設(shè)置的統(tǒng)計(jì)周期不低于該最低闊值��,例如����,將該統(tǒng)計(jì)周期設(shè)置為60秒。
[0066] 步驟S202:當(dāng)確定所述累計(jì)被訪問量超過所述U化地址在對應(yīng)時(shí)間段的最大被訪 問量的幅度符合第一波動關(guān)系��,且確定所述累計(jì)訪問量超過所述TOL地址在對應(yīng)時(shí)間段的 最大源IP地址訪問量的幅度符合第二波動關(guān)系時(shí)��,認(rèn)為存在CC攻擊�����,丟棄所述HTTP請求報(bào) 文��。
[0067] 根據(jù)CC攻擊的特點(diǎn):同一個(gè)TOL地址在每天同一時(shí)間段的被訪問量是有一定變化 的���,因此��,本申請中����,可W通過比較某個(gè)IMi也址在每天同一時(shí)間段的被訪問量�,發(fā)現(xiàn)異常訪 問的情況。例如�,若該U化地址在某天的一個(gè)時(shí)間段的被訪問量,相較于之前該U化地址在該 時(shí)間段的被訪問量超出的幅度較大����,可W認(rèn)為該TOL地址很可能被異常訪問。當(dāng)發(fā)現(xiàn)某個(gè) U化地址很可能被異常訪問時(shí)�,可W再確定訪問該TOL地址的每個(gè)源IP地址的訪問量,通常 情況下���,若某個(gè)源IP地址在一定時(shí)間內(nèi)訪問該U化地址的次數(shù)過于頻繁�����,可W認(rèn)為該源IP地 址很可能存在CC攻擊�����。
[0068] 基于上述描述��,本申請中�����,可W預(yù)先設(shè)置自學(xué)習(xí)周期��,該自學(xué)習(xí)周期可W包括若干 天����,例如一周或一個(gè)月,安全設(shè)備12在自學(xué)習(xí)周期內(nèi)�,可W根據(jù)接收到的HTTP請求報(bào)文進(jìn)行 統(tǒng)計(jì),根據(jù)統(tǒng)計(jì)結(jié)果得出每個(gè)被訪問到的U化地址��,在不同時(shí)間段內(nèi)的最大被訪問量�,W及 訪問該ML地址的所有源IP地址的最大源IP地址訪問量。本申請中���,安全設(shè)備12具體是如何 根據(jù)接收到的HTTP請求報(bào)文進(jìn)行統(tǒng)計(jì)的�����,可W參見下述實(shí)施例中的詳細(xì)描述����,在此先不作 詳述。
[0069] 當(dāng)執(zhí)行完步驟S201���,安全設(shè)備12根據(jù)接收到的HTTP請求報(bào)文�����,統(tǒng)計(jì)得出IMi也址在 一個(gè)統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量,W及訪問該ML地址的源IP地址的累計(jì)訪問量之后�����,安全 設(shè)備12可W將該兩個(gè)值分別與對應(yīng)時(shí)間段的最大被訪問量W及最大源IP地址訪問量進(jìn)行 比較�,其中"對應(yīng)時(shí)間段"是指當(dāng)前的統(tǒng)計(jì)周期包含在"對應(yīng)時(shí)間段"之內(nèi),例如�,假設(shè)上述時(shí) 間段為一個(gè)小時(shí),并假設(shè)當(dāng)前的統(tǒng)計(jì)周期為11:59-12:00,那么���,該統(tǒng)計(jì)周期所對應(yīng)的時(shí)間 段可 W 為 11:00-12:00�����。
[0070] 根據(jù)比較結(jié)果��,若確定所統(tǒng)計(jì)得出的某個(gè)IMi也址的累計(jì)被訪問量超過該IMi也址 在對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系���,可W認(rèn)為該U化地址被異常訪問��; 若確定所統(tǒng)計(jì)得出的訪問該U化地址的源IP地址的累計(jì)訪問量超過該U化地址在對應(yīng)時(shí)間 段的最大源IP地址訪問量的幅度符合第二波動關(guān)系�����,可W認(rèn)為該源IP地址在向該U化地址 發(fā)起CC攻擊�����,則安全設(shè)備12可W丟棄該HTTP請求報(bào)文����。
[0071] 在一個(gè)可選的實(shí)現(xiàn)方式中��,上述第一波動關(guān)系和第二波動關(guān)系可W通過倍數(shù)體 現(xiàn)����。具體地,根據(jù)比較結(jié)果���,若確定所統(tǒng)計(jì)得出的某個(gè)ML地址的累計(jì)被訪問量超過該U化地 址在對應(yīng)時(shí)間段的最大被訪問量的X(X大于I)倍����,例如1.5倍,或者2倍��,則可W認(rèn)為該URL地 址的累計(jì)被訪問量超過該TOL地址在對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān) 系���。若確定所統(tǒng)計(jì)得出的訪問該冊L地址的源IP地址的累計(jì)訪問量超過該U化地址在對應(yīng)時(shí) 間段的最大源IP地址訪問量的Y(Y大于1)倍����,例如2.5倍��,或者3倍�����,則可W認(rèn)為該源IP地址 的累計(jì)訪問量超過該ML地址在對應(yīng)時(shí)間段的最大源IP地址訪問量的幅度符合第二波動關(guān) 系�����。其中��,上述X和Y的值可W相同�����,也可W不相同�,本申請對此不作限制。
[0072] 此外����,在本申請中,當(dāng)確定抓L地址的累計(jì)被訪問量超過該U化地址在對應(yīng)時(shí)間段 的最大被訪問量的幅度符合第一波動關(guān)系時(shí)��,可W將該U化地址加入灰名單�����,如此執(zhí)行的目 的和效果�,可W參見下述實(shí)施例中的描述,在此先不作詳述�。
[0073] 另外,當(dāng)將U化地址加入灰名單之后�����,若在后續(xù)的統(tǒng)計(jì)周期內(nèi)��,發(fā)現(xiàn)該U化地址在統(tǒng) 計(jì)周期內(nèi)的累計(jì)被訪問量恢復(fù)正常�,例如,該累計(jì)被訪問量超過該ML地址在對應(yīng)時(shí)間段的 最大被訪問量的幅度不符合第一波動關(guān)系����,又例如��,該累計(jì)被訪問量小于該ML地址在統(tǒng)計(jì) 周期內(nèi)的累計(jì)被訪問量���,可W認(rèn)為該TOL地址當(dāng)前未被異常訪問,可W將該U化地址從灰名 單中刪除��。
[0074] 由上述實(shí)施例可見�����,通過在預(yù)設(shè)的統(tǒng)計(jì)周期內(nèi)����,根據(jù)接收到的HTTP請求報(bào)文進(jìn)行 統(tǒng)計(jì),將統(tǒng)計(jì)結(jié)果與當(dāng)前統(tǒng)計(jì)周期所對應(yīng)的時(shí)間段的最大被訪問量W及最大源IP地址訪問 量進(jìn)行比較��,根據(jù)比較結(jié)果����,可W識別出是否存在CC攻擊;并且在識別出CC攻擊時(shí)����,丟棄接 收到的HTT內(nèi)青求報(bào)文���,從而有效地防御了 CC攻擊,并且整個(gè)防御過程不需要用戶的參與��,避 免了對用戶的體驗(yàn)造成影響����。
[0075] 如下圖3,示例了本申請中安全設(shè)備進(jìn)行自學(xué)習(xí)的一個(gè)實(shí)施例流程圖,該圖3所示 的流程���,在上述圖1所示應(yīng)用場景W及圖2所示流程的基礎(chǔ)上���,詳細(xì)描述了安全設(shè)備是如何 通過自學(xué)習(xí)獲取到圖2所示實(shí)施例中所用到的最大源IP地址訪問量和最大被訪問量的,可 W包括W下步驟:
[0076] 步驟S301:在所述統(tǒng)計(jì)周期內(nèi)���,根據(jù)所接收到的HTTP請求報(bào)文的U化地址W及源IP 地址�����,統(tǒng)計(jì)得出所述ML地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量���,W及所述源IP地址在所述 統(tǒng)計(jì)周期內(nèi)對所述ML地址的累計(jì)訪問量。
[0077] 步驟S302:將所述U化地址在N個(gè)所述統(tǒng)計(jì)周期內(nèi)的所有累計(jì)被訪問量中的最大值 作為所述m?L地址在對應(yīng)時(shí)間段的ML地址被訪問量��,將N個(gè)所述統(tǒng)計(jì)周期內(nèi),所有訪問所述 IMi也址的源IP地址���,所對應(yīng)的累計(jì)訪問量中的最大值����,作為所述IMi也址在對應(yīng)時(shí)間段的 源IP地址訪問量��,所述時(shí)間段包括N個(gè)所述統(tǒng)計(jì)周期�����,所述N為大于1的自然數(shù)�����;
[007引步驟S303:將所述U化地址在M個(gè)所述時(shí)間段的U化地址被訪問量中的最大值����,作為 所述U化地址在自學(xué)習(xí)周期內(nèi)的所述時(shí)間段的最大被訪問量,將所述U化地址在M個(gè)所述時(shí) 間段的源IP地址訪問量中的最大值�,作為所述U化地址在自學(xué)習(xí)周期內(nèi)的所述時(shí)間段的最 大源IP地址訪問量��,所述自學(xué)習(xí)周期包括M天���,所述M為大于1的自然數(shù)�。
[0079] 在上述步驟S301至步驟S303中,預(yù)先設(shè)置的自學(xué)習(xí)周期可W包括M(M為大于1的自 然數(shù))天���,并且����,還可W將每天劃分為S(S為大于1的自然數(shù))個(gè)時(shí)間段����,每個(gè)時(shí)間段可W包括 N(N為大于1的自然數(shù))個(gè)統(tǒng)計(jì)周期。
[0080] 安全設(shè)備12在初始啟動時(shí)���,即可W開始執(zhí)行第一個(gè)自學(xué)習(xí)周期���,在該第一個(gè)自學(xué) 習(xí)周期的每個(gè)統(tǒng)計(jì)周期內(nèi),安全設(shè)備12可W根據(jù)所接收到的HTT內(nèi)青求報(bào)文的U化地址和源 IP地址�,統(tǒng)計(jì)得出被訪問的TOL地址在每個(gè)統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量,W及訪問該TOL地 址的每個(gè)源IP地址在每個(gè)統(tǒng)計(jì)周期內(nèi)的累計(jì)訪問量����。在一個(gè)例子中,統(tǒng)計(jì)結(jié)果可W如上述 表1所示。
[0081] 如下將W自學(xué)習(xí)周期包括7天�����,每天包括24個(gè)時(shí)間段��,每個(gè)時(shí)間段為一小時(shí)����,且每 個(gè)時(shí)間段包括60個(gè)統(tǒng)計(jì)周期,每個(gè)統(tǒng)計(jì)周期為一分鐘為例����,說明安全設(shè)備12是如何獲取到 一個(gè)ML地址在每個(gè)時(shí)間段的最大被訪問量和最大源IP地址訪問量的。
[0082] 每隔一個(gè)所述時(shí)間段���,即每隔一小時(shí)���,安全設(shè)備12可W將該一小時(shí)內(nèi)的60個(gè)統(tǒng)計(jì) 周期所統(tǒng)計(jì)得出的60個(gè)該TOL地址的累計(jì)被訪問量進(jìn)行比較,將其中的最大值�,作為該URL 地址在該小時(shí)的URL地址被訪問量;將該一小時(shí)內(nèi)的60個(gè)統(tǒng)計(jì)周期所統(tǒng)計(jì)得出的所有訪問 該U化地址的源IP地址的累計(jì)訪問量進(jìn)行比較,將其中的最大值�,作為該抓L地址在該小時(shí) 的源IP地址訪問量。
[0083] 當(dāng)完成一個(gè)自學(xué)習(xí)周期的統(tǒng)計(jì)��,例如,完成了 7天的統(tǒng)計(jì)���,安全設(shè)備12可W將該URL 地址在每天同一小時(shí)的U化地址被訪問量進(jìn)行比較,將其中的最大值�����,作為該U化地址在自 學(xué)習(xí)周期內(nèi)的該小時(shí)的最大被訪問量;將該U化地址在每天同一小時(shí)的源IP地址訪問量進(jìn) 行比較��,將其中的最大值����,作為該TOL地址在自學(xué)習(xí)周期內(nèi)的該小時(shí)的最大源IP地址訪問 量。如下表2,示例了安全設(shè)備12在一個(gè)自學(xué)習(xí)周期內(nèi)學(xué)習(xí)結(jié)果的示例:
[0084] 表 2
[0085]
[0086] 由上述表2所示�,在上述舉例中,對于一個(gè)U化地址�����,安全設(shè)備12在一個(gè)自學(xué)習(xí)周期 內(nèi)�����,將記錄該IMi也址的24個(gè)最大被訪問量和24個(gè)最大源IP地址訪問量�����。
[0087] 另外,需要說明的是�����,安全設(shè)備12在執(zhí)行完第一個(gè)自學(xué)習(xí)周期后��,仍繼續(xù)進(jìn)行學(xué) 習(xí)��,進(jìn)入下一個(gè)自學(xué)習(xí)周期��。當(dāng)安全設(shè)備12執(zhí)行完第二個(gè)自學(xué)習(xí)周期后�,記錄了U化地址在 每個(gè)時(shí)間段的最大被訪問量和最大源IP地址訪問量。后續(xù)�,安全設(shè)備12可W將該U化地址在 第二個(gè)自學(xué)習(xí)周期每個(gè)時(shí)間段的最大被訪問量與前一個(gè)自學(xué)習(xí)周期內(nèi)對應(yīng)時(shí)間段的最大 被訪問量進(jìn)行比較,根據(jù)比較結(jié)果���,當(dāng)屬于第二個(gè)自學(xué)習(xí)周期的最大被訪問量較大時(shí)��,則可 W根據(jù)第二個(gè)自學(xué)習(xí)周期的最大被訪問量更新該U化地址在對應(yīng)時(shí)間段的最大被訪問量�; 同理����,安全設(shè)備12可W將該U化地址在第二個(gè)自學(xué)習(xí)周期每個(gè)時(shí)間段的最大源IP地址訪問 量與前一個(gè)自學(xué)習(xí)周期內(nèi)對應(yīng)時(shí)間段的最大源IP地址訪問量進(jìn)行比較����,根據(jù)比較結(jié)果��,當(dāng) 屬于第二個(gè)自學(xué)習(xí)周期的最大源IP地址訪問量較大時(shí)�,則可W根據(jù)第二個(gè)自學(xué)習(xí)周期的最 大源IP地址訪問量更新該ML地址在對應(yīng)時(shí)間段的最大源IP地址訪問量�����。
[0088] 當(dāng)執(zhí)行完上述過程���,隨著時(shí)間的推移�����,安全設(shè)備12可W繼續(xù)進(jìn)入下一個(gè)自學(xué)習(xí)周 期�����,從而���,安全設(shè)備12通過實(shí)時(shí)的學(xué)習(xí),可W盡可能地保證所統(tǒng)計(jì)得出的數(shù)據(jù)量較為實(shí)時(shí)�����, 使得安全設(shè)備12防御CC攻擊的效果更加準(zhǔn)確。
[0089] 由上述實(shí)施例可見��,本申請通過自學(xué)習(xí)機(jī)制�,根據(jù)時(shí)間段建立被訪問的U化地址的 訪問模型,并且��,通過實(shí)時(shí)學(xué)習(xí)���,根據(jù)學(xué)習(xí)結(jié)果可W實(shí)時(shí)維護(hù)所建立的U化地址的訪問模型�����, 從而可W使得本申請防御CC攻擊的效果更佳����,而且����,本申請防御CC攻擊的過程中不需要用 戶的參與,避免了對用戶的體驗(yàn)造成影響���。
[0090] 如下的圖4,示例了本申請防御CC攻擊的方法的另一個(gè)實(shí)施例流程圖���,該圖4所示 的流程在上述圖1所示的應(yīng)用場景���,W及圖2、圖3所示流程的基礎(chǔ)上�,著重描述了在上述圖2 所示的實(shí)施例中提到的灰名單的作用,可W包括W下步驟:
[0091] 步驟S401:在接收到對一個(gè)U化地址請求訪問的HTTP請求報(bào)文時(shí)�����,根據(jù)所述抓L地 址查找保存的灰名單���,若在所述灰名單中查找到所述U化地址,則執(zhí)行步驟S402��,否則�����,執(zhí)行 步驟S404���。
[0092] 由上述對圖2所示實(shí)施例的描述可知����,灰名單中所包括的U化地址在最近的統(tǒng)計(jì)周 期內(nèi)的累計(jì)被訪問量超過對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系。那么���,本 步驟中��,安全設(shè)備12在接收到HTTP請求報(bào)文時(shí)�,則可W根據(jù)該HTTP請求報(bào)文中的U化地址查 找保存的灰名單�,若在灰名單中查找到該U化地址,可W認(rèn)為該U化地址被異常訪問�,則可W 執(zhí)行步驟S402,否則可W繼續(xù)執(zhí)行步驟S404。
[0093] 步驟S402:確定所述U化地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量超過對應(yīng)時(shí)間段 的最大被訪問量的幅度符合第一波動關(guān)系�,并根據(jù)所述HTT內(nèi)青求報(bào)文的源IP地址統(tǒng)計(jì)所述 源IP地址在所述統(tǒng)計(jì)周期對所述ML地址的累計(jì)訪問量。
[0094] 在本實(shí)施例中�,當(dāng)確定某一TOL地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量超過對應(yīng) 時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系時(shí),可W認(rèn)為該U化地址被頻繁地訪問����,有 可能遭受到CC攻擊。此時(shí)���,可W繼續(xù)根據(jù)該HTTP請求報(bào)文中的源IP地址�����,統(tǒng)計(jì)該源IP地址在 統(tǒng)計(jì)周期內(nèi)對該ML地址的累計(jì)訪問量����。
[00M]步驟S403:確定所述累計(jì)訪問量超過對應(yīng)時(shí)間段的最大源IP地址訪問量的幅度符 合第二波動關(guān)系時(shí),認(rèn)為存在CC攻擊�,丟棄所述HTTP請求報(bào)文;結(jié)束流程。
[0096] 本步驟的詳細(xì)描述可W參見上述步驟S202中的相關(guān)描述���,在此不作詳細(xì)寶述�。
[0097] 此外�,在本申請中,當(dāng)確定所述累計(jì)訪問量超過對應(yīng)時(shí)間段的最大源IP地址訪問 量的幅度符合第二波動關(guān)系時(shí)��,可W將該累計(jì)訪問量對應(yīng)的源IP地址加入黑名單���。
[0098] 后續(xù),當(dāng)安全設(shè)備12接收到HTTP請求報(bào)文時(shí)�,可W根據(jù)該HTTP請求報(bào)文的中的源 IP地址查找保存的黑名單,若在黑名單中查找到該源IP地址����,則可W直接認(rèn)為該HTTP請求 報(bào)文存在CC攻擊,丟棄該HTTP請求報(bào)文����,從而提高了本申請防御CC攻擊的效率���。
[0099] 此外,為了避免因?yàn)槟承┨厥馇闆r�����,例如在春節(jié)搶訂火車票期間��,某個(gè)IP地址頻繁 地訪問"12306網(wǎng)站"所對應(yīng)的U化地址���,造成錯(cuò)誤地將某個(gè)源IP地址保存到黑名單��,影響用 戶的體驗(yàn)����,本申請中���,還可W允許在出現(xiàn)該種情況時(shí)���,將源IP地址從黑名單中刪除。
[0100] 此外��,還可W將信任的源IP地址加入到保存的白名單中。該種情況下��,安全設(shè)備12 接收到HTTP請求報(bào)文時(shí)��,可W根據(jù)該HTTP請求報(bào)文中的源IP地址查找保存的白名單��,若在 白名單中查找到該源IP地址����,可W認(rèn)為該HTTP請求報(bào)文不存在CC攻擊,將該HTTP請求報(bào)文 轉(zhuǎn)發(fā)至服務(wù)器13,從而可W提高安全設(shè)備12處理所接收到的HTTP請求報(bào)文的效率���。需要說 明的是����,在白名單中查找到該源IP地址時(shí)�,雖然可W認(rèn)為該HTTP請求報(bào)文不存在CC攻擊,但 仍可W繼續(xù)根據(jù)該HTT內(nèi)青求報(bào)文進(jìn)行自學(xué)習(xí)�����。
[0101]步驟S404:根據(jù)所述HTT內(nèi)青求報(bào)文�����,統(tǒng)計(jì)所述HTT內(nèi)青求報(bào)文中的U化地址在所述統(tǒng) 計(jì)周期內(nèi)的累計(jì)被訪問量�����,W及所述HTT內(nèi)青求報(bào)文中的源IP地址在所述統(tǒng)計(jì)周期內(nèi)對所述 U化地址的累計(jì)訪問量�。
[0102 ] 本步驟的詳細(xì)描述可W參見上述步驟S201中的描述,在此不再詳細(xì)寶述����。
[0103] 由上述實(shí)施例可見,在接收到HTTP請求報(bào)文時(shí)����,根據(jù)該HTTP請求報(bào)文中的U化地址 查找保存的灰名單,當(dāng)在灰名單中查找到該HTTP請求報(bào)文時(shí)����,可W確定該ML地址在所述統(tǒng) 計(jì)周期內(nèi)的累計(jì)被訪問量超過對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系,繼而 再對訪問該IMi也址的源IP地址進(jìn)行統(tǒng)計(jì)����,從而提高了本申請防御CC攻擊的效率;并且,在 該實(shí)施例中�����,用戶不需要參與到防御CC攻擊的過程中,避免了對用戶的體驗(yàn)造成影響��。
[0104] 與前述防御CC攻擊的方法的實(shí)施例相對應(yīng)����,本申請還提供了防御CC攻擊的裝置的 實(shí)施例。
[0105] 本申請防御CC攻擊的裝置的實(shí)施例可W應(yīng)用在網(wǎng)絡(luò)設(shè)備����,例如安全設(shè)備上。裝置 實(shí)施例可W通過軟件實(shí)現(xiàn)�,也可W通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。W軟件實(shí)現(xiàn)為例����, 作為一個(gè)邏輯意義上的裝置,是通過其所在設(shè)備的處理器將非易失性存儲器中對應(yīng)的計(jì)算 機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的����。從硬件層面而言,如圖5所示��,為本申請防御CC攻擊 的裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖�,除了圖5所示的處理器51、內(nèi)存52��、網(wǎng)絡(luò)接口53��、W及非 易失性存儲器54之外����,實(shí)施例中裝置所在的設(shè)備通常根據(jù)該設(shè)備的實(shí)際功能,還可W包括 其他硬件����,對此不再寶述。
[0106] 請參考圖6,示例了本申請防御CC攻擊的裝置的一個(gè)實(shí)施例框圖�����,可W包括:統(tǒng)計(jì) 單元61�����、第一處理單元62���。
[01 07]其中�,該統(tǒng)計(jì)單元61����,可W用于在接收到對一個(gè)U化地址請求訪問的HTTP請求報(bào)文 時(shí)��,統(tǒng)計(jì)所述ML地址在預(yù)設(shè)統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量���,W及所述HTT內(nèi)青求報(bào)文中的源IP 地址在所述統(tǒng)計(jì)周期內(nèi)對所述URL地址的累計(jì)訪問量,所述統(tǒng)計(jì)周期不小于預(yù)設(shè)的最低闊 值��;
[0108] 該第一處理單元62,可W用于在確定所述累計(jì)被訪問量超過所述TOL地址在對應(yīng) 時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系�,且確定所述累計(jì)訪問量超過所述U化地 址在對應(yīng)時(shí)間段的最大源IP地址訪問量的幅度符合第二波動關(guān)系時(shí),認(rèn)為存在CC攻擊�,丟 棄所述HTTP請求報(bào)文。
[0109] 請參考圖7,示例了本申請防御CC攻擊的裝置的另一個(gè)實(shí)施例框圖��,該圖7所示的 裝置�,在上述圖6所示裝置的基礎(chǔ)上,還可W包括:第一學(xué)習(xí)單元63�。
[0110] 該第一學(xué)習(xí)單元63,可W用于在所述統(tǒng)計(jì)周期內(nèi),根據(jù)所接收到的HTTP請求報(bào)文 的U化地址W及源IP地址����,統(tǒng)計(jì)得出所述U化地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量,W及 所述源IP地址在所述統(tǒng)計(jì)周期內(nèi)對所述ML地址的累計(jì)訪問量����;
[0111] 該第一學(xué)習(xí)單元63,還可W用于:將所述TOL地址在N個(gè)所述統(tǒng)計(jì)周期內(nèi)的所有累 計(jì)被訪問量中的最大值作為所述抓L地址在對應(yīng)時(shí)間段的TOL地址被訪問量,將N個(gè)所述統(tǒng) 計(jì)周期內(nèi)����,所有訪問所述抓L地址的源IP地址���,所對應(yīng)的累計(jì)訪問量中的最大值���,作為所述 U化地址在對應(yīng)時(shí)間段的源IP地址訪問量�,所述時(shí)間段包括N個(gè)所述統(tǒng)計(jì)周期�����,所述N為大于 1的自然數(shù)���;
[0112] 該第一學(xué)習(xí)單元63�����,還可W用于:將所述抓L地址在M個(gè)所述時(shí)間段的U化地址被訪 問量中的最大值�����,作為所述ML地址在自學(xué)習(xí)周期內(nèi)的所述時(shí)間段的最大被訪問量�,將所述 m?L地址在M個(gè)所述時(shí)間段的源IP地址訪問量中的最大值����,作為所述U化地址在自學(xué)習(xí)周期 內(nèi)的所述時(shí)間段的最大源IP地址訪問量�����,所述自學(xué)習(xí)周期包括M天����,所述M為大于1的自然 數(shù)���。
[0113] 在一個(gè)實(shí)施例中����,該裝置還可W包括:比較單元64����、更新單元65。
[0114] 其中�����,該比較單元64,可W用于在得出U化地址在當(dāng)前自學(xué)習(xí)周期內(nèi)的每個(gè)時(shí)間段 的最大被訪問量與最大源IP地址訪問量后�����,將所述每個(gè)最大被訪問量與所述U化地址在前 一個(gè)自學(xué)習(xí)周期內(nèi)的對應(yīng)時(shí)間段的最大被訪問量進(jìn)行比較,W及將所述每個(gè)最大源IP地址 訪問量與所述ML地址在前一個(gè)自學(xué)習(xí)周期內(nèi)的對應(yīng)時(shí)間段的最大源IP地址訪問量進(jìn)行比 較����;
[0115] 該更新單元65,可W用于根據(jù)所述比較結(jié)果,確定屬于當(dāng)前自學(xué)習(xí)周期的最大被 訪問量較大時(shí)�,則根據(jù)所述當(dāng)前自學(xué)習(xí)周期的最大被訪問量更新所述
[0116] U化地址在對應(yīng)時(shí)間段的最大被訪問量;確定屬于當(dāng)前自學(xué)習(xí)周期的最大源IP地 址訪問量較大時(shí)��,則根據(jù)所述當(dāng)前自學(xué)習(xí)周期的最大源IP地址訪問量更新所述U化地址在 對應(yīng)時(shí)間段的最大源IP地址訪問量�。
[0117] 在另一個(gè)實(shí)施例中�����,第一處理單元62,可W包括:比較子單元621�、確定子單元622。
[0118] 其中���,該比較子單元621�,可W用于比較所述累計(jì)被訪問量與所述TOL地址在對應(yīng) 時(shí)間段的最大被訪問量��,W及所述累計(jì)訪問量與所述TOL地址在對應(yīng)時(shí)間段的最大源IP地 址訪問量���;
[0119] 該確定子單元622,可W用于在根據(jù)比較結(jié)果�����,確定所述累計(jì)被訪問量超過所述對 應(yīng)時(shí)間段的最大被訪問量的X倍����,所述累計(jì)訪問量超過所述對應(yīng)時(shí)間段的最大源IP地址訪 問量的Y倍時(shí),所述X�、Y均大于1,則確定所述累計(jì)被訪問量超過所述TOL地址在對應(yīng)時(shí)間段 的最大被訪問量的幅度符合第一波動關(guān)系�����,且所述累計(jì)訪問量超過所述U化地址在對應(yīng)時(shí) 間段的最大源IP地址訪問量的幅度符合第二波動關(guān)系�����。
[0120] 請參考圖8,示例了本申請防御CC攻擊的裝置的又一個(gè)實(shí)施例框圖���,該圖8所示的 裝置�����,在上述圖6和圖7所示裝置的基礎(chǔ)上�,該裝置還可W包括:第一添加單元66、第二處理 單元67�����。
[0121] 其中����,該第一添加單元66,可W用于在確定所述累計(jì)被訪問量超過所述U化地址在 對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系時(shí),將所述U化地址加入保存的灰名 單��;
[0122] 該第二處理單元67,可W用于當(dāng)再次接收到包括所述抓L地址的HTT內(nèi)青求報(bào)文時(shí)���, 根據(jù)所述HTTP請求報(bào)文的ML地址在所述灰名單中,確定所述U化地址在所述統(tǒng)計(jì)周期內(nèi)的 累計(jì)被訪問量超過對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系��,并根據(jù)所述HTTP 請求報(bào)文的源IP地址統(tǒng)計(jì)所述源IP地址在所述統(tǒng)計(jì)周期內(nèi)對所述ML地址的累計(jì)訪問量�。
[0123] 在一個(gè)實(shí)施例中,該裝置還包括:第二添加單元68��、第=處理單元69���。
[0124] 其中�,該第二添加單元68,可W用于在確定所述累計(jì)訪問量超過所述U化地址在對 應(yīng)時(shí)間段的最大源IP地址訪問量的幅度符合第二波動關(guān)系時(shí)�����,將所述源IP地址加入保存的 黑名單;
[0125] 該第S處理單元69,可W用于當(dāng)再次接收到包括所述源IP地址的HTTP請求報(bào)文 時(shí)����,根據(jù)所述HTTP請求報(bào)文的源IP地址在所述黑名單中,確定所述HTTP請求報(bào)文存在CC攻 擊���,丟棄所述HTTP請求報(bào)文��。
[0126] 在上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對應(yīng)步驟 的實(shí)現(xiàn)過程����,在此不再寶述���。
[0127] 對于裝置實(shí)施例而言���,由于其基本對應(yīng)于方法實(shí)施例,所W相關(guān)之處參見方法實(shí) 施例的部分說明即可����。W上所描述的裝置實(shí)施例僅僅是示意性的,其中所述作為分離部件 說明的單元可W是或者也可W不是物理上分開的���,作為單元顯示的部件可W是或者也可W 不是物理單元����,即可W位于一個(gè)地方,或者也可W分布到多個(gè)網(wǎng)絡(luò)單元上�。可W根據(jù)實(shí)際的 需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請方案的目的����。本領(lǐng)域普通技術(shù)人員在不付 出創(chuàng)造性勞動的情況下,即可W理解并實(shí)施��。
[0128] W上所述僅為本申請的較佳實(shí)施例而已����,并不用W限制本申請,凡在本申請的精 神和原則之內(nèi)���,所做的任何修改、等同替換�����、改進(jìn)等�����,均應(yīng)包含在本申請保護(hù)的范圍之內(nèi)。
【主權(quán)項(xiàng)】
1. 一種防御挑戰(zhàn)黑洞CC攻擊的方法���,其特征在于��,所述方法包括: 在接收到對一個(gè)統(tǒng)一資源定位符URL地址請求訪問的超文本傳輸協(xié)議HTTP請求報(bào)文 時(shí)��,統(tǒng)計(jì)所述URL地址在預(yù)設(shè)統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量�,以及所述HTTP請求報(bào)文中的源IP 地址在所述統(tǒng)計(jì)周期內(nèi)對所述URL地址的累計(jì)訪問量�����,所述統(tǒng)計(jì)周期不小于預(yù)設(shè)的最低閾 值���; 當(dāng)確定所述累計(jì)被訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大被訪問量的幅度符合 第一波動關(guān)系��,且確定所述累計(jì)訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大源IP地址訪 問量的幅度符合第二波動關(guān)系時(shí)���,認(rèn)為存在CC攻擊,丟棄所述HTTP請求報(bào)文��。2. 根據(jù)權(quán)利要求1所述的方法����,其特征在于���,所述方法還包括: 在所述統(tǒng)計(jì)周期內(nèi),根據(jù)所接收到的HTTP請求報(bào)文的URL地址以及源IP地址��,統(tǒng)計(jì)得出 所述URL地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量�,以及所述源IP地址在所述統(tǒng)計(jì)周期內(nèi)對 所述URL地址的累計(jì)訪問量; 將所述URL地址在N個(gè)所述統(tǒng)計(jì)周期內(nèi)的所有累計(jì)被訪問量中的最大值作為所述URL地 址在對應(yīng)時(shí)間段的URL地址被訪問量�����,將N個(gè)所述統(tǒng)計(jì)周期內(nèi)��,所有訪問所述URL地址的源IP 地址�����,所對應(yīng)的累計(jì)訪問量中的最大值���,作為所述URL地址在對應(yīng)時(shí)間段的源IP地址訪問 量,所述時(shí)間段包括N個(gè)所述統(tǒng)計(jì)周期��,所述N為大于1的自然數(shù)��; 將所述URL地址在Μ個(gè)所述時(shí)間段的URL地址被訪問量中的最大值,作為所述URL地址在 自學(xué)習(xí)周期內(nèi)的所述時(shí)間段的最大被訪問量��,將所述URL地址在Μ個(gè)所述時(shí)間段的源IP地址 訪問量中的最大值��,作為所述URL地址在自學(xué)習(xí)周期內(nèi)的所述時(shí)間段的最大源IP地址訪問 量����,所述自學(xué)習(xí)周期包括Μ天,所述Μ為大于1的自然數(shù)�。3. 根據(jù)權(quán)利要求2所述的方法,其特征在于��,所述方法還包括: 得出URL地址在當(dāng)前自學(xué)習(xí)周期內(nèi)的每個(gè)時(shí)間段的最大被訪問量與最大源IP地址訪問 量后��,將所述每個(gè)最大被訪問量與所述URL地址在前一個(gè)自學(xué)習(xí)周期內(nèi)的對應(yīng)時(shí)間段的最 大被訪問量進(jìn)行比較�����,以及將所述每個(gè)最大源IP地址訪問量與所述URL地址在前一個(gè)自學(xué) 習(xí)周期內(nèi)的對應(yīng)時(shí)間段的最大源IP地址訪問量進(jìn)行比較��; 根據(jù)所述比較結(jié)果��,確定屬于當(dāng)前自學(xué)習(xí)周期的最大被訪問量較大時(shí)����,則根據(jù)所述當(dāng) 前自學(xué)習(xí)周期的最大被訪問量更新所述URL地址在對應(yīng)時(shí)間段的最大被訪問量;確定屬于 當(dāng)前自學(xué)習(xí)周期的最大源IP地址訪問量較大時(shí)����,則根據(jù)所述當(dāng)前自學(xué)習(xí)周期的最大源IP地 址訪問量更新所述URL地址在對應(yīng)時(shí)間段的最大源IP地址訪問量��。4. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述確定所述累計(jì)被訪問量超過所述URL 地址在對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系�,且所述累計(jì)訪問量超過所述 URL地址在對應(yīng)時(shí)間段的最大源IP地址訪問量的幅度符合第二波動關(guān)系,包括: 比較所述累計(jì)被訪問量與所述URL地址在對應(yīng)時(shí)間段的最大被訪問量�,以及所述累計(jì) 訪問量與所述URL地址在對應(yīng)時(shí)間段的最大源IP地址訪問量; 根據(jù)比較結(jié)果��,確定所述累計(jì)被訪問量超過所述對應(yīng)時(shí)間段的最大被訪問量的X倍���,所 述累計(jì)訪問量超過所述對應(yīng)時(shí)間段的最大源IP地址訪問量的Y倍�����,所述X�、Y均大于1�,則確定 所述累計(jì)被訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān) 系,且所述累計(jì)訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大源IP地址訪問量的幅度符合 第二波動關(guān)系�。5. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括: 在確定所述累計(jì)被訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大被訪問量的幅度符合 第一波動關(guān)系時(shí)�����,將所述URL地址加入保存的灰名單��; 當(dāng)再次接收到包括所述URL地址的HTTP請求報(bào)文時(shí)���,根據(jù)所述HTTP請求報(bào)文的URL地址 在所述灰名單中,確定所述URL地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量超過對應(yīng)時(shí)間段的 最大被訪問量的幅度符合第一波動關(guān)系����,并根據(jù)所述HTTP請求報(bào)文的源IP地址統(tǒng)計(jì)所述源 IP地址在所述統(tǒng)計(jì)周期內(nèi)對所述URL地址的累計(jì)訪問量。6. 根據(jù)權(quán)利要求5所述的方法���,其特征在于���,所述方法還包括: 在確定所述累計(jì)訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大源IP地址訪問量的幅度 符合第二波動關(guān)系時(shí),將所述源IP地址加入保存的黑名單�����; 當(dāng)再次接收到包括所述源IP地址的HTTP請求報(bào)文時(shí)��,根據(jù)所述HTTP請求報(bào)文的源IP地 址在所述黑名單中�����,確定所述HTTP請求報(bào)文存在CC攻擊,丟棄所述HTTP請求報(bào)文��。7. -種防御CC攻擊的裝置����,其特征在于,所述裝置包括: 統(tǒng)計(jì)單元��,用于在接收到對一個(gè)URL地址請求訪問的HTTP請求報(bào)文時(shí)����,統(tǒng)計(jì)所述URL地 址在預(yù)設(shè)統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量,以及所述HTTP請求報(bào)文中的源IP地址在所述統(tǒng)計(jì)周 期內(nèi)對所述URL地址的累計(jì)訪問量���,所述統(tǒng)計(jì)周期不小于預(yù)設(shè)的最低閾值����; 第一處理單元��,用于在確定所述累計(jì)被訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大 被訪問量的幅度符合第一波動關(guān)系���,且確定所述累計(jì)訪問量超過所述URL地址在對應(yīng)時(shí)間 段的最大源IP地址訪問量的幅度符合第二波動關(guān)系時(shí)��,認(rèn)為存在CC攻擊����,丟棄所述HTTP請 求報(bào)文���。8. 根據(jù)權(quán)利要求7所述的裝置�,其特征在于���,所述裝置還包括: 第一學(xué)習(xí)單元����,用于在所述統(tǒng)計(jì)周期內(nèi)����,根據(jù)所接收到的HTTP請求報(bào)文的URL地址以及 源IP地址,統(tǒng)計(jì)得出所述URL地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量�����,以及所述源IP地址在 所述統(tǒng)計(jì)周期內(nèi)對所述URL地址的累計(jì)訪問量����; 所述第一學(xué)習(xí)單元�����,還用于:將所述URL地址在N個(gè)所述統(tǒng)計(jì)周期內(nèi)的所有累計(jì)被訪問 量中的最大值作為所述URL地址在對應(yīng)時(shí)間段的URL地址被訪問量�����,將N個(gè)所述統(tǒng)計(jì)周期內(nèi)����, 所有訪問所述URL地址的源IP地址���,所對應(yīng)的累計(jì)訪問量中的最大值�����,作為所述URL地址在 對應(yīng)時(shí)間段的源IP地址訪問量�,所述時(shí)間段包括N個(gè)所述統(tǒng)計(jì)周期�����,所述N為大于1的自然 數(shù)��; 所述第一學(xué)習(xí)單元,還用于:將所述URL地址在Μ個(gè)所述時(shí)間段的URL地址被訪問量中的 最大值�����,作為所述URL地址在自學(xué)習(xí)周期內(nèi)的所述時(shí)間段的最大被訪問量��,將所述URL地址 在Μ個(gè)所述時(shí)間段的源IP地址訪問量中的最大值����,作為所述URL地址在自學(xué)習(xí)周期內(nèi)的所述 時(shí)間段的最大源IP地址訪問量�,所述自學(xué)習(xí)周期包括Μ天,所述Μ為大于1的自然數(shù)�����。9. 根據(jù)權(quán)利要求8所述的裝置���,其特征在于����,所述裝置還包括: 比較單元��,用于在得出URL地址在當(dāng)前自學(xué)習(xí)周期內(nèi)的每個(gè)時(shí)間段的最大被訪問量與 最大源IP地址訪問量后���,將所述每個(gè)最大被訪問量與所述URL地址在前一個(gè)自學(xué)習(xí)周期內(nèi) 的對應(yīng)時(shí)間段的最大被訪問量進(jìn)行比較��,以及將所述每個(gè)最大源IP地址訪問量與所述URL 地址在前一個(gè)自學(xué)習(xí)周期內(nèi)的對應(yīng)時(shí)間段的最大源IP地址訪問量進(jìn)行比較��; 更新單元����,用于根據(jù)所述比較結(jié)果,確定屬于當(dāng)前自學(xué)習(xí)周期的最大被訪問量較大時(shí)���, 則根據(jù)所述當(dāng)前自學(xué)習(xí)周期的最大被訪問量更新所述URL地址在對應(yīng)時(shí)間段的最大被訪問 量;確定屬于當(dāng)前自學(xué)習(xí)周期的最大源IP地址訪問量較大時(shí)���,則根據(jù)所述當(dāng)前自學(xué)習(xí)周期 的最大源IP地址訪問量更新所述URL地址在對應(yīng)時(shí)間段的最大源IP地址訪問量。10. 根據(jù)權(quán)利要求7所述的裝置�,其特征在于,所述第一處理單元包括: 比較子單元����,用于比較所述累計(jì)被訪問量與所述URL地址在對應(yīng)時(shí)間段的最大被訪問 量,以及所述累計(jì)訪問量與所述URL地址在對應(yīng)時(shí)間段的最大源IP地址訪問量����; 確定子單元,用于在根據(jù)比較結(jié)果�,確定所述累計(jì)被訪問量超過所述對應(yīng)時(shí)間段的最 大被訪問量的X倍����,所述累計(jì)訪問量超過所述對應(yīng)時(shí)間段的最大源IP地址訪問量的Y倍時(shí)�����, 所述X�����、Y均大于1����,則確定所述累計(jì)被訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大被訪問 量的幅度符合第一波動關(guān)系�,且所述累計(jì)訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大源 IP地址訪問量的幅度符合第二波動關(guān)系。11. 根據(jù)權(quán)利要求7所述的裝置��,其特征在于�,所述裝置還包括: 第一添加單元,用于在確定所述累計(jì)被訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大 被訪問量的幅度符合第一波動關(guān)系時(shí)�����,將所述URL地址加入保存的灰名單���; 第二處理單元�����,用于當(dāng)再次接收到包括所述URL地址的HTTP請求報(bào)文時(shí)����,根據(jù)所述HTTP 請求報(bào)文的URL地址在所述灰名單中,確定所述URL地址在所述統(tǒng)計(jì)周期內(nèi)的累計(jì)被訪問量 超過對應(yīng)時(shí)間段的最大被訪問量的幅度符合第一波動關(guān)系�,并根據(jù)所述HTTP請求報(bào)文的源 IP地址統(tǒng)計(jì)所述源IP地址在所述統(tǒng)計(jì)周期內(nèi)對所述URL地址的累計(jì)訪問量。12. 根據(jù)權(quán)利要求11所述的裝置����,其特征在于,所述裝置還包括: 第二添加單元���,用于在確定所述累計(jì)訪問量超過所述URL地址在對應(yīng)時(shí)間段的最大源 IP地址訪問量的幅度符合第二波動關(guān)系時(shí)����,將所述源IP地址加入保存的黑名單���; 第三處理單元�����,用于當(dāng)再次接收到包括所述源IP地址的HTTP請求報(bào)文時(shí)����,根據(jù)所述 HTTP請求報(bào)文的源IP地址在所述黑名單中,確定所述HTTP請求報(bào)文存在CC攻擊����,丟棄所述 HTTP請求報(bào)文。
【文檔編號】H04L29/06GK105939361SQ201610474049
【公開日】2016年9月14日
【申請日】2016年6月23日
【發(fā)明人】邢濤
【申請人】杭州迪普科技有限公司