本申請涉及計算機安全技術(shù)領(lǐng)域，尤其涉及一種CC攻擊識別方法、節(jié)點及系統(tǒng)。

背景技術(shù)：

目前，互聯(lián)網(wǎng)發(fā)展迅猛，基于網(wǎng)頁(Web)搭建的應(yīng)用越來越多，針對網(wǎng)站的攻擊日益頻繁，成為攻擊的重要目標。

其中，尤以應(yīng)用層網(wǎng)絡(luò)CC(Challenge Collapsar，挑戰(zhàn)黑洞)攻擊為甚。CC攻擊即7層DDoS(Distributed Denial of Service，分布式拒絕服務(wù))攻擊，目前主要的防御策略是根據(jù)統(tǒng)計閾值來識別CC攻擊，進而采取防御措施。比如最常見的Web Http防御策略，在協(xié)議解析后，通過多個維度統(tǒng)計頻率：統(tǒng)計源IP(Internet Protocol，互聯(lián)網(wǎng)協(xié)議)訪問QPS(Query Per Second，每秒查詢率)、統(tǒng)計源IP訪問某個站點的QPS、統(tǒng)計源IP訪問特定URL(Uniform Resource Locator，統(tǒng)一資源定位符)的QPS、統(tǒng)計站點在單位時間內(nèi)被訪問的不同源IP數(shù)、統(tǒng)計站點在單位時間內(nèi)被訪問的QPS等等；針對上述各種統(tǒng)計數(shù)據(jù)分別進行計數(shù)，當某種或某幾種統(tǒng)計數(shù)據(jù)的計數(shù)值達到設(shè)定的防御閾值后，視為發(fā)生CC攻擊，啟動防御策略，即對攻擊源進行處罰，例如要求二次認證或阻斷訪問。

上述防御方式容易被攻擊者繞過，尤其是攻擊者探測出防御閾值后，可以發(fā)起低速攻擊，即每個攻擊源IP訪問頻率不高(低于防御閾值)，但攻擊源很多，從而繞開防御。

綜上，現(xiàn)有的CC攻擊防御系統(tǒng)的可靠性和安全性較差。

技術(shù)實現(xiàn)要素：

本申請的目的是提供一種CC攻擊識別方法、節(jié)點及系統(tǒng)，以解決現(xiàn)有的CC攻擊防御系統(tǒng)的可靠性和安全性較差的問題。

根據(jù)本申請的一個方面，提供一種CC攻擊識別方法，該方法包括以下步驟：獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量，不同源IP在所述站點的相同的訪問URL集合上的相同的訪問分布對應(yīng)所述站點的一個訪問特征，源IP訪問的所述站點的各個URL構(gòu)成該源IP在所述站點的訪問URL集合；根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊。

根據(jù)本申請的另一方面，還提供了一種CC攻擊識別節(jié)點，該節(jié)點包括以下單元：訪問特征統(tǒng)計單元，用于獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量，不同源IP在所述站點的相同的訪問URL集合上的相同的訪問分布對應(yīng)所述站點的一個訪問特征，源IP訪問的所述站點的各個URL構(gòu)成該源IP在所述站點的訪問URL集合；攻擊識別單元，用于根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊。

根據(jù)本申請的又一方面，還提供了一種CC攻擊識別系統(tǒng)，該系統(tǒng)包括至少一個上述節(jié)點。

與現(xiàn)有技術(shù)相比，本申請具有以下優(yōu)點：現(xiàn)有的CC攻擊防御系統(tǒng)所采用的防御策略在多個維度上進行參數(shù)統(tǒng)計，那么攻擊者一旦探測出防御閾值后，就可以通過多個攻擊源IP低頻率訪問的方式繞開攻擊。而本申請實施例提供的技術(shù)方案，針對站點的訪問特征進行統(tǒng)計，即獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量，其中，不同源IP在所述站點的相同的訪問URL集合上的相同的訪問分布對應(yīng)所述站點的一個訪問特征?？梢姡词故遣煌脑碔P發(fā)起低頻率的攻擊，只要這些源IP的訪問URL集合相同，且訪問分布相同，則作為一個訪問特征進行統(tǒng)計，即將這些源IP視為一個訪問源進行統(tǒng)計，進而根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊，從而識別出CC攻擊，避免攻擊者通過多個攻擊源IP、每個源IP低密度訪問的方式繞過識別，從而提高了CC識別的穩(wěn)定性和安全性。

附圖說明

通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述，本申請的其它特征、目的和優(yōu)點將會變得更明顯：

圖1為本申請一個實施例的方法流程圖；

圖2為本申請另一個實施例的CC攻擊識別節(jié)點的結(jié)構(gòu)示意圖；

圖3為本申請另一個實施例的網(wǎng)絡(luò)系統(tǒng)流程圖；

圖4為根據(jù)本申請一個實施例的攻擊分析系統(tǒng)的工作流程圖。

附圖中相同或相似的附圖標記代表相同或相似的部件。

具體實施方式

在更加詳細地討論示例性實施例之前應(yīng)當提到的是，一些示例性實施例被描述成作為流程圖描繪的處理或方法。雖然流程圖將各項操作描述成順序的處理，但是其中的許多操作可以被并行地、并發(fā)地或者同時實施。此外，各項操作的順序可以被重新安排。當其操作完成時所述處理可以被終止，但是還可以具有未包括在附圖中的附加步驟。所述處理可以對應(yīng)于方法、函數(shù)、規(guī)程、子例程、子程序等等。

在上下文中所稱“節(jié)點”是一種計算機設(shè)備，指可以通過運行預定程序或指令來執(zhí)行數(shù)值計算和/或邏輯計算等預定處理過程的智能電子設(shè)備，其可以包括處理器與存儲器，由處理器執(zhí)行在存儲器中預存的存續(xù)指令來執(zhí)行預定處理過程，或是由ASIC、FPGA、DSP等硬件執(zhí)行預定處理過程，或是由上述二者組合來實現(xiàn)。

需要說明的是，所述計算機設(shè)備僅為舉例，其他現(xiàn)有的或今后可能出現(xiàn)的計算機設(shè)備如可適用于本申請，也應(yīng)包含在本申請保護范圍以內(nèi)，并以引用方式包含于此。

后面所討論的方法(其中一些通過流程圖示出)可以通過硬件、軟件、固件、中間件、微代碼、硬件描述語言或者其任意組合來實施。當用軟件、固件、中間件或微代碼來實施時，用以實施必要任務(wù)的程序代碼或代碼段可以被存儲在機器或計算機可讀介質(zhì)(比如存儲介質(zhì))中。(一個或多個)處理器可以實施必要的任務(wù)。

這里所公開的具體結(jié)構(gòu)和功能細節(jié)僅僅是代表性的，并且是用于 描述本申請的示例性實施例的目的。但是本申請可以通過許多替換形式來具體實現(xiàn)，并且不應(yīng)當被解釋成僅僅受限于這里所闡述的實施例。

應(yīng)當理解的是，當一個模塊被稱為“連接”或“耦合”到另一模塊時，其可以直接連接或耦合到所述另一模塊，或者可以存在中間模塊。與此相對，當一個模塊被稱為“直接連接”或“直接耦合”到另一模塊時，則不存在中間單元。應(yīng)當按照類似的方式來解釋被用于描述模塊之間的關(guān)系的其他詞語(例如“處于...之間”相比于“直接處于...之間”，“與...鄰近”相比于“與...直接鄰近”等等)。

這里所使用的術(shù)語僅僅是為了描述具體實施例而不意圖限制示例性實施例。除非上下文明確地另有所指，否則這里所使用的單數(shù)形式“一個”、“一項”還意圖包括復數(shù)。還應(yīng)當理解的是，這里所使用的術(shù)語“包括”和/或“包含”規(guī)定所陳述的特征、整數(shù)、步驟、操作、單元和/或組件的存在，而不排除存在或添加一個或更多其他特征、整數(shù)、步驟、操作、單元、組件和/或其組合。

還應(yīng)當提到的是，在一些替換實現(xiàn)方式中，所提到的功能/動作可以按照不同于附圖中標示的順序發(fā)生。舉例來說，取決于所涉及的功能/動作，相繼示出的兩幅圖實際上可以基本上同時執(zhí)行或者有時可以按照相反的順序來執(zhí)行。

下面結(jié)合附圖對本申請作進一步詳細描述。

圖1為本申請一個實施例的CC攻擊方法的流程示意圖。

其中，本實施例的方法主要通過計算機設(shè)備來實現(xiàn)，可以由單個計算機設(shè)備實現(xiàn)，也可以由多個計算機設(shè)備組成的CC攻擊識別系統(tǒng)實現(xiàn)。如果由CC攻擊識別系統(tǒng)實現(xiàn)，該CC攻擊識別系統(tǒng)中包括若干節(jié)點，其具體配合工作的方式有多種，將在下面的實施例中舉例說明。

根據(jù)本實施例的方法包括步驟S110-S120。

在步驟S110中，獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量。

其中，站點可以通過域名來標識。例如，域名為a.com的站點與 域名為b.com的站點為不同的站點。

其中，站點的每個訪問特征分別反映了訪問該站點的源IP的一個訪問URL集合，以及這個或這些源IP在該訪問URL集合上的訪問分布；不同源IP在該站點的相同的訪問URL集合上的相同的訪問分布對應(yīng)該站點的一個訪問特征。

其中，源IP訪問的站點的各個URL構(gòu)成該源IP在該站點的訪問URL集合。

例如，域名為a.com的站點下有URL1、URL2和URL3，共有4個源IP訪問該站點。其中，源IP_1.1.1訪問站點_a.com的URL1和URL2，則源IP_1.1.1在站點_a.com上的訪問URL集合為{URL1，URL2}，其在該訪問URL集合上的訪問分布為A；源IP_1.1.2在站點_a.com上的訪問URL集合為{URL1，URL2}，其在該訪問URL集合上的訪問分布也為A；源IP_1.1.3在站點_a.com上的訪問URL集合為{URL1，URL3}，其在該訪問URL集合上的訪問分布為B；源IP_1.1.4在站點_a.com上的訪問URL集合為{URL1，URL3}，其在該訪問URL集合上的訪問分布為C。

那么，站點_a.com有三個訪問特征。其中一個訪問特征對應(yīng)訪問URL集合{URL1，URL2}及源IP在該訪問URL集合上的訪問分布A，其對應(yīng)的源IP數(shù)量為2；另一個訪問特征對應(yīng)訪問URL集合{URL1，URL3}及源IP在該訪問URL集合上的訪問分布B，其對應(yīng)的源IP數(shù)量為1；又一個訪問特征對應(yīng)訪問URL集合{URL1，URL3}及源IP在該訪問URL集合上的訪問分布C，其對應(yīng)的源IP數(shù)量為1。

在步驟S120中，根據(jù)獲取的上述源IP數(shù)量識別是否發(fā)生針對該站點的CC攻擊。

本申請實施例提供的技術(shù)方案，針對站點的訪問特征進行統(tǒng)計，即獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量，其中，不同源IP在所述站點的相同的訪問URL集合上的相同的訪問分布對應(yīng)所述站點的一個訪問特征?？梢?，即使是不同的源IP發(fā)起低頻率的攻擊，只要這些源IP的訪問URL集合相同，且訪問分布相同，則作為一個訪問 特征進行統(tǒng)計，即將這些源IP視為一個訪問源進行統(tǒng)計，進而根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊，從而識別出CC攻擊，避免攻擊者通過多個攻擊源IP、每個源IP低密度訪問的方式繞過識別，從而提高了CC識別的穩(wěn)定性和安全性。

上述步驟S110中，既可以通過統(tǒng)計、計算的方式獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量，也可以從外部獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量。

其中，如果CC攻擊識別系統(tǒng)中的從節(jié)點從外部獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量，其可以從CC攻擊識別系統(tǒng)的主節(jié)點獲取。一種實現(xiàn)方式可以是，主節(jié)點通過統(tǒng)計、計算的方式，根據(jù)每個站點的訪問請求分別確定每個站點的每個訪問特征對應(yīng)的源IP數(shù)量，并按照站點將確定的源IP數(shù)量發(fā)送給不同的從節(jié)點，從節(jié)點從而實現(xiàn)上述步驟S110。

為了降低主節(jié)點的負荷，可以由主節(jié)點通過外部獲取的方式實現(xiàn)上述步驟S110。其中，主節(jié)點可以從CC攻擊識別系統(tǒng)的從節(jié)點獲取。一種實現(xiàn)方式可以是，主節(jié)點將接收到的訪問請求按照站點分流給各個從節(jié)點，其中，相同站點的訪問請求分流給相同的從節(jié)點，各個從節(jié)點通過統(tǒng)計、計算的方式，根據(jù)分流至本節(jié)點的訪問請求確定訪問請求所針對的站點的每個訪問特征對應(yīng)的源IP數(shù)量，并將確定的源IP數(shù)量上報給主節(jié)點，主節(jié)點從而實現(xiàn)上述步驟S110。

為了降低主節(jié)點的負荷，也可以由從節(jié)點從其他從節(jié)點處獲取的方式實現(xiàn)上述步驟S110。其中，從節(jié)點可以從用于計算上述源IP數(shù)量的從節(jié)點獲取。一種實現(xiàn)方式可以是，主節(jié)點將接收到的訪問請求按照站點分流給各個用于計算上述源IP數(shù)量的從節(jié)點，這些從節(jié)點通過統(tǒng)計、計算的方式，根據(jù)站點的訪問請求分別確定該站點的每個訪問特征對應(yīng)的源IP數(shù)量，并發(fā)送給用于該站點對應(yīng)的用于進行CC攻擊識別的從節(jié)點，該從節(jié)點從而實現(xiàn)上述步驟S110。

其中，如果通過統(tǒng)計、計算的方式實現(xiàn)步驟S110，那么，在步驟S110之前，還獲取訪問上述站點的每個源IP在該站點的訪問URL集合 上的訪問分布。為了進一步降低主節(jié)點的負荷、優(yōu)化系統(tǒng)性能，可以由從節(jié)點通過統(tǒng)計、計算的方式實現(xiàn)步驟S110。

其中，既可以通過統(tǒng)計、計算的方式獲取訪問上述站點的每個源IP在該站點的訪問URL集合上的訪問分布，也可以從外部獲取訪問上述站點的每個源IP在該站點的訪問URL集合上的訪問分布。其中，從外部獲取的實現(xiàn)方式可以參照上述實施例的描述，此處不再贅述。

如果通過統(tǒng)計、計算的方式獲取訪問上述站點的每個源IP在該站點的訪問URL集合上的訪問分布，其實現(xiàn)方式有多種。一種實現(xiàn)方式中，獲取上述站點的每個URL的訪問概率，該站點的每個URL的訪問概率由單位時間內(nèi)該URL的訪問次數(shù)及單位時間內(nèi)該站點的各個URL的總訪問次數(shù)確定；根據(jù)該站點的每個URL的訪問概率，獲取訪問該站點的每個源IP在所述站點的訪問URL集合上的訪問分布。

例如，CNTi表示單位時間內(nèi)URL_i的訪問次數(shù)，則 表示單位時間內(nèi)站點的各個URL的總訪問次數(shù)，P_i＝CNT_i/Total_CNT表示單個URL的訪問頻率，表示源IP在站點的訪問URL集合上的訪問分布

其中，可以根據(jù)最近的單位時間內(nèi)的統(tǒng)計量確定單位時間內(nèi)的訪問次數(shù)。例如，以秒為單位，則始終根據(jù)最近1秒內(nèi)的統(tǒng)計量確定1秒內(nèi)的訪問次數(shù)。也可以根據(jù)最近的單位時間內(nèi)的統(tǒng)計量以及歷史統(tǒng)計量確定單位時間內(nèi)的訪問次數(shù)。例如，以秒為單位，則根據(jù)最近1秒內(nèi)的統(tǒng)計量以及之前確定的單位時間內(nèi)的訪問次數(shù)，更新單位時間內(nèi)的訪問次數(shù)。

基于上述任意通過統(tǒng)計、計算的方式實現(xiàn)上述步驟S110的實施例。其中，步驟S110的一種具體實現(xiàn)方式如下：獲取上述站點的每個訪問URL集合的內(nèi)容融合值；根據(jù)訪問該站點的每個源IP在該站點的訪問URL集合的內(nèi)容融合值和上述訪問分布，確定上述每個源IP對應(yīng)的訪問特征值；統(tǒng)計取值相同的各個訪問特征值的數(shù)量作為該站點的每個訪問特征對應(yīng)的源IP數(shù)量。

其中，訪問URL集合的內(nèi)容融合值由該訪問URL集合中的各個 URL的文本內(nèi)容確定的，不同訪問URL集合的內(nèi)容融合值不同。

其中，內(nèi)容融合值可以是從外部獲取的，其具體獲取方式可以參照上述實施例的描述，此處不再贅述。內(nèi)容融合值也可以是通過統(tǒng)計、計算的方式確定的，一種實現(xiàn)方式中：獲取每個訪問URL集合中的各個URL的文本內(nèi)容對應(yīng)的哈希值之和；分別將每個訪問URL集合的哈希值之和轉(zhuǎn)換為字符串，轉(zhuǎn)換得到的字符串為內(nèi)容融合值。其具體實現(xiàn)可以通過如下公式表示：

其中，+代表XOR，Hash(URL1)+Hash(URL2)＝Hash(URL1)XOR Hash(URL2)；Hash函數(shù)針對URL文本內(nèi)容處理，返回二進制數(shù)組；Hash函數(shù)可以用SHA1或MD5等；H_URLS表示多個URL Hash值的和，通過Hash算法和XOR二進制運算，將任意多個URL合并為一個唯一的值，且與計算的順序無關(guān)。

C_URLS＝Hex(H_URLS)

H_URLS是二進制格式，通過Hex函數(shù)轉(zhuǎn)化成字符串，這里是16進展轉(zhuǎn)化，將1個字節(jié)轉(zhuǎn)化成0-9A-F兩位字符，也可以用Base64形式處理。

無論采用何種方式獲得內(nèi)容融合值，只要內(nèi)容融合值以字符串表示，均可以按照預定順序，將每個源IP在上述站點的訪問URL集合的內(nèi)容融合值與上述訪問分布級聯(lián)，級聯(lián)結(jié)果為源IP對應(yīng)的訪問特征值Key_URLS。其具體實現(xiàn)可以通過如下公式表示：

Key_URLS＝E_URLS||C_URLS，||代表字符串拼接

基于上述任意方法實施例，上述步驟S120的實現(xiàn)方式有多種。一種實現(xiàn)方式中預設(shè)第一閾值，將獲取的最大源IP數(shù)量與預設(shè)的第一閾值進行比較，根據(jù)比較結(jié)果識別是否發(fā)生針對上述站點的CC攻擊。例如，最大源IP數(shù)量大于預設(shè)的第一閾值則表示發(fā)生針對上述站點的CC攻擊，否則表示未發(fā)生；又例如，最大源IP數(shù)量大于或等于預設(shè)的第一閾值則表示發(fā)生針對上述站點的CC攻擊，否則表示未發(fā)生。另一種實現(xiàn)方式中預設(shè)第二閾值，將獲取的最大源IP數(shù)量與獲取的源IP數(shù)量總和 的比值(又稱最大源IP數(shù)量的占比)、與預設(shè)的第二閾值進行比較，根據(jù)比較結(jié)果識別是否發(fā)生針對上述站點的CC攻擊。例如，最大源IP數(shù)量的占比大于預設(shè)的第二閾值則表示發(fā)生針對上述站點的CC攻擊，否則表示未發(fā)生；又例如，最大源IP數(shù)量的占比大于或等于預設(shè)的第二閾值則表示發(fā)生針對上述站點的CC攻擊，否則表示未發(fā)生。

針對某個站點可能會獲取多個源IP數(shù)量，其中的最大源IP數(shù)量如果滿足CC攻擊的預判條件，則就可以表明該站點發(fā)生CC攻擊，如果最大源IP數(shù)量不滿足CC攻擊的預判條件，則其他源IP數(shù)量肯定也不滿足。因此，僅針對最大源IP數(shù)量進行判斷即可，從而減少運算量。

應(yīng)當指出的是，本申請實施例提供的方法不僅可以實現(xiàn)對CC攻擊的識別，進一步的，還可以對CC攻擊的攻擊源進行識別。那么，在上述任意實施例的基礎(chǔ)上，獲取源IP數(shù)量最大的訪問特征對應(yīng)的源IP，作為攻擊源。

圖2為本申請一個實施例的CC攻擊節(jié)點2的結(jié)構(gòu)示意圖。其中包括：

訪問特征統(tǒng)計單元201，用于獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量，不同源IP在所述站點的相同的訪問URL集合上的相同的訪問分布對應(yīng)所述站點的一個訪問特征，源IP訪問的所述站點的各個URL構(gòu)成該源IP在所述站點的訪問URL集合；

攻擊識別單元202，用于根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊。

本申請實施例提供的技術(shù)方案，針對站點的訪問特征進行統(tǒng)計，即獲取站點的每個訪問特征對應(yīng)的源IP數(shù)量，其中，不同源IP在所述站點的相同的訪問URL集合上的相同的訪問分布對應(yīng)所述站點的一個訪問特征?？梢姡词故遣煌脑碔P發(fā)起低頻率的攻擊，只要這些源IP的訪問URL集合相同，且訪問分布相同，則作為一個訪問特征進行統(tǒng)計，即將這些源IP視為一個訪問源進行統(tǒng)計，進而根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊，從而識別出CC攻擊，避免攻擊者通過多個攻擊源IP、每個源IP低密度訪問的方式繞過識別， 從而提高了CC識別的穩(wěn)定性和安全性。

可選的，所述節(jié)點還包括：

訪問分布統(tǒng)計單元，用于獲取訪問所述站點的每個源IP在所述站點的訪問URL集合上的訪問分布。

可選的，所述節(jié)點作為CC攻擊識別系統(tǒng)中的從節(jié)點，所述訪問分布統(tǒng)計單元用于：

至少根據(jù)分流至本節(jié)點的所述站點的訪問請求中攜帶的源IP和URL，獲取訪問所述站點的每個源IP在所述站點的訪問URL集合上的訪問分布。

可選的，所述訪問分布統(tǒng)計單元具體用于：

根據(jù)分流至本節(jié)點的所述站點的訪問請求中攜帶的URL和訪問時間，獲取所述站點的每個URL的訪問概率，所述站點的每個URL的訪問概率由單位時間內(nèi)該URL的訪問次數(shù)及單位時間內(nèi)所述站點的各個URL的總訪問次數(shù)確定；

根據(jù)所述站點的每個URL的訪問概率及分流至本節(jié)點的所述站點的訪問請求中攜帶的源IP，獲取訪問所述站點的每個源IP在所述站點的訪問URL集合上的訪問分布。

可選的，所述節(jié)點作為CC攻擊識別系統(tǒng)中的主節(jié)點，所述訪問分布統(tǒng)計單元用于：

從所述CC攻擊識別系統(tǒng)的從節(jié)點獲取訪問所述站點的每個源IP在所述站點的訪問URL集合上的訪問分布。

可選的，所述訪問特征統(tǒng)計單元具體用于：

獲取所述站點的每個訪問URL集合的內(nèi)容融合值，訪問URL集合的內(nèi)容融合值由該訪問URL集合中的各個URL的文本內(nèi)容確定的，不同訪問URL集合的內(nèi)容融合值不同；

根據(jù)訪問所述站點的每個源IP在所述站點的訪問URL集合的內(nèi)容融合值和所述訪問分布，確定所述每個源IP對應(yīng)的訪問特征值；

統(tǒng)計取值相同的各個訪問特征值的數(shù)量作為所述站點的每個訪問特征對應(yīng)的源IP數(shù)量。

可選的，所述節(jié)點作為CC攻擊識別系統(tǒng)中的從節(jié)點，為了獲取所述站點的每個訪問URL集合的內(nèi)容融合值，以及根據(jù)訪問所述站點的每個源IP在所述站點的訪問URL集合的內(nèi)容融合值和所述訪問分布，確定所述每個源IP對應(yīng)的訪問特征值，所述訪問特征統(tǒng)計單元具體用于：

獲取每個訪問URL集合中的各個URL的文本內(nèi)容對應(yīng)的哈希值之和；

分別將每個訪問URL集合的哈希值之和轉(zhuǎn)換為字符串，轉(zhuǎn)換得到的字符串為內(nèi)容融合值；

按照預定順序，將所述每個源IP在所述站點的訪問URL集合的內(nèi)容融合值與所述訪問分布級聯(lián)，級聯(lián)結(jié)果為源IP對應(yīng)的訪問特征值。

可選的，所述節(jié)點作為CC攻擊識別系統(tǒng)中的主節(jié)點，為了獲取所述站點的每個訪問URL集合的內(nèi)容融合值，所述訪問特征統(tǒng)計單元具體用于：

從所述CC攻擊識別系統(tǒng)的從節(jié)點獲取所述站點的每個訪問URL集合的內(nèi)容融合值。

可選的，所述節(jié)點作為主節(jié)點還包括訪問請求分流單元，用于將接收到的訪問請求按照站點分流給各個從節(jié)點，其中，相同站點的訪問請求分流給相同的從節(jié)點。

基于上述任一節(jié)點實施例，可選的，所述攻擊識別單元具體用于：

將獲取的最大源IP數(shù)量與預設(shè)的第一閾值進行比較，根據(jù)比較結(jié)果識別是否發(fā)生針對所述站點的CC攻擊；或者，

將獲取的最大源IP數(shù)量與獲取的源IP數(shù)量總和的比值、與預設(shè)的第二閾值進行比較，根據(jù)比較結(jié)果識別是否發(fā)生針對所述站點的CC攻擊。

基于上述任一節(jié)點實施例，可選的，所述攻擊識別單元還用于：獲取源IP數(shù)量最大的訪問特征對應(yīng)的源IP，作為攻擊源。

本申請實施例還提供一種CC攻擊識別系統(tǒng)，包括至少一個如上所述的節(jié)點。

其中，所述系統(tǒng)還包括主節(jié)點，若干如上所述的節(jié)點作為從節(jié)點；

主節(jié)點將接收到的訪問請求分流給各個從節(jié)點，其中，相同站點的訪問請求分流給相同的從節(jié)點；

從節(jié)點根據(jù)分流至本節(jié)點的訪問請求獲取訪問請求對應(yīng)的站點的每個訪問特征對應(yīng)的源IP數(shù)量；根據(jù)獲取的所述源IP數(shù)量識別是否發(fā)生針對所述站點的CC攻擊。

下面將結(jié)合具體應(yīng)用場景，對本申請實施例提供的方法進行詳細說明。

假設(shè)在對進行電子商務(wù)的WEB服務(wù)器進行CC攻擊識別的系統(tǒng)中，如圖3所示，WEB服務(wù)器用于處理電子商務(wù)的訪問請求，將訪問請求分發(fā)給各個站點，并返回處理結(jié)果頁面。

Web服務(wù)器需要將所有的Http請求流量數(shù)據(jù)發(fā)送給攻擊分析系統(tǒng)，包括：時間(time)、來源IP(SRC_IP)、URL等。

攻擊分析系統(tǒng)是核心系統(tǒng)，對Http請求流量實時分析，并檢測是否發(fā)生CC攻擊，若發(fā)生CC攻擊，則檢測并提取攻擊源IP，以黑名單的形式提交給攔截系統(tǒng)。

攔截系統(tǒng)用于根據(jù)攻擊分析系統(tǒng)提供的來源IP黑名單，實施訪問阻斷或二次驗證功能。一般可由應(yīng)用級防火墻或者其他可實施攔截的安全產(chǎn)品實現(xiàn)。

攻擊分析系統(tǒng)的工作流程如圖4所示，具體包括：

接收Web服務(wù)器發(fā)送的HTTP請求數(shù)據(jù)，按HOST(站點域名)分流，提交給不同的引擎處理，不同域名的流量分離檢測，比如：針對a.com和b.com的站點的檢測是分開的；

同一HOST下的請求，按來源IP(SRC_IP)分組；

統(tǒng)計同一個來源IP(SRC_IP)下單位時間內(nèi)(如：秒)，訪問不同URL的次數(shù)(CNT)，計算每個URL的頻率，得到TIME、URL、CNT列表；

計算URL分布：E_URLS，公式如下：

表示URL總的訪問次數(shù)

Pi＝CNTi/Total_CNT表示單個URL出現(xiàn)的概率

表示URLS分布值

計算URL內(nèi)容融合值：C_URLS，公式如下：

說明：

a、+代表XOR，Hash(URL1)+Hash(URL2)＝Hash(URL1)XOR Hash(URL2)

b、Hash函數(shù)針對URL文本內(nèi)容處理，返回二進制數(shù)組；Hash函數(shù)可以用SHA1或MD5等；

c、H_URLS表示多個URL Hash值的和，通過Hash算法和XOR二進制運算，將任意多個URL合并為一個唯一的值，且與計算的順序無關(guān)。

C_URLS＝Hex(H_URLS)

H_URLS是二進制格式，通過Hex函數(shù)轉(zhuǎn)化成字符串，這里是16進展轉(zhuǎn)化，將1個字節(jié)轉(zhuǎn)化成0-9A-F兩位字符，也可以用Base64形式處理。

生成Key_URLS＝E_URLS||C_URLS，||代表字符串拼接。

統(tǒng)計每個Key_URLS出現(xiàn)的次數(shù)，表示訪問的URL集合相同，且分布也相同的IP個數(shù)。

計算次數(shù)最多的Key_URLS的占比：D_KU；

若D_KU超過閾值，則檢測HOST受到CC攻擊，說明該網(wǎng)站，大量的訪問IP，請求的URL集合相同，同時訪問的頻率、分布也相同，符合機器訪問的特征，由DDos攻擊引起。

攻擊IP提取，將Key_URLS等于MAX_Key_URLS的來源IP提取出來，構(gòu)成IP列表，極為發(fā)起DDos攻擊的來源IP，同步給攔截系統(tǒng)。

需要注意的是，本申請可在軟件和/或軟件與硬件的組合體中被實施，例如，本申請的各個裝置可采用專用集成電路(ASIC)或任何其他類似硬件設(shè)備來實現(xiàn)。在一個實施例中，本申請的軟件程序可以通過處理器執(zhí)行以實現(xiàn)上文所述步驟或功能。同樣地，本申請的軟件程序(包 括相關(guān)的數(shù)據(jù)結(jié)構(gòu))可以被存儲到計算機可讀記錄介質(zhì)中，例如，RAM存儲器，磁或光驅(qū)動器或軟磁盤及類似設(shè)備。另外，本申請的一些步驟或功能可采用硬件來實現(xiàn)，例如，作為與處理器配合從而執(zhí)行各個步驟或功能的電路。

對于本領(lǐng)域技術(shù)人員而言，顯然本申請不限于上述示范性實施例的細節(jié)，而且在不背離本申請的精神或基本特征的情況下，能夠以其他的具體形式實現(xiàn)本申請。因此，無論從哪一點來看，均應(yīng)將實施例看作是示范性的，而且是非限制性的，本申請的范圍由所附權(quán)利要求而不是上述說明限定，因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化涵括在本申請內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標記視為限制所涉及的權(quán)利要求。此外，顯然“包括”一詞不排除其他單元或步驟，單數(shù)不排除復數(shù)。系統(tǒng)權(quán)利要求中陳述的多個單元或裝置也可以由一個單元或裝置通過軟件或者硬件來實現(xiàn)。第一，第二等詞語用來表示名稱，而并不表示任何特定的順序。

雖然前面特別示出并且描述了示例性實施例，但是本領(lǐng)域技術(shù)人員將會理解的是，在不背離權(quán)利要求書的精神和范圍的情況下，在其形式和細節(jié)方面可以有所變化。