一種檢測cc攻擊的方法及設備的制造方法
【專利摘要】本申請?zhí)峁┮环N檢測CC攻擊的方法及設備�����。所述方法包括:獲取預設數(shù)量的第一源IP到第一目標IP的訪問請求記錄��;統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識為空的訪問請求記錄的數(shù)量����;基于所述統(tǒng)計的請求來源頁面標識為空的訪問請求記錄的數(shù)量檢測CC攻擊。本申請實施例提供的一種檢測CC攻擊的方法及設備�����,通過分析真實用戶與CC攻擊者的訪問行為的差異性,并基于該差異性來計算判定數(shù)值����,能夠有效地檢測CC攻擊。
【專利說明】
一種檢測CC攻擊的方法及設備
技術領域
[0001] 本申請涉及網(wǎng)絡安全技術領域��,特別涉及一種檢測CC攻擊的方法及設備���。
【背景技術】
[0002] 隨著網(wǎng)絡技術的快速發(fā)展以及網(wǎng)絡規(guī)模的急劇膨脹�,網(wǎng)絡中的安全漏洞被攻擊者 越來越多的利用以攻擊網(wǎng)絡中的主機�����。近年來流行的CC(Challenge Collapsar)攻擊屬于 網(wǎng)絡攻擊的一種���。
[0003] CC攻擊屬于一種基于頁面的分布式拒絕服務(DDOS :Distributed Denial of Service)攻擊�。攻擊者通?�?梢圆粩嘞蚰繕朔掌靼l(fā)送消耗目標服務器性能的請求報文��, 導致目標服務器不斷執(zhí)行大量的計算或操作���,耗費大量資源�。當目標服務器執(zhí)行的計算或 操作達到自身CPU的處理極限時����,將導致正常的訪問被終止處理,甚至宕機�����。
[0004] 針對上述情況��,現(xiàn)有的一種檢測CC攻擊的方法可以通過跳轉檢測來實現(xiàn)����。在該方 法中,一般會在目標服務器之前添加一個跳轉檢測設備以檢測發(fā)送至所述目標服務器的報 文��。該跳轉檢測設備可以在目標服務器接收到請求報文之前�����,代替目標服務器向請求端發(fā) 送一個驗證報文���。該驗證報文會要求請求端再次向目標服務器發(fā)送確認信息�����,并且需要在 確認信息中攜帶只有跳轉檢測設備知曉的密鑰��。正常請求端一般會對返回的驗證報文做出 響應�,并會按照驗證報文的要求再次向目標服務器發(fā)送確認信息。檢測設備接收到正常請 求端發(fā)來的確認信息并且驗證通過后���,可以放行正常請求端的訪問請求��。而攻擊請求端往 往不會對返回的驗證報文做出響應�����,而是繼續(xù)向目標服務器發(fā)起新的訪問請求����。檢測設備 接收不到攻擊請求端發(fā)來的確認信息��,則不會放行攻擊請求端對目標服務器的訪問請求���。 這樣可以達到檢測CC攻擊的目的���。
[0005] 在實施本申請的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術至少存在如下問題:
[0006] 隨著CC攻擊方式的發(fā)展����,攻擊者可以通過肉雞或者代理服務器向目標服務器發(fā) 起攻擊。肉雞或者代理服務器可以對跳轉檢測設備返回的驗證報文進行響應���,比如再次向 目標服務器發(fā)送攜帶只有跳轉檢測設備知曉的密鑰的確認信息�,這樣便可以穿透上述現(xiàn)有 技術的跳轉檢測方式����。
【發(fā)明內(nèi)容】
[0007] 本申請實施例的目的在于提供一種檢測CC攻擊的方法及設備,以有效地檢測CC 攻擊�����。
[0008] 本申請實施例提供的一種檢測CC攻擊的方法及設備是這樣實現(xiàn)的:
[0009] 一種檢測CC攻擊的方法����,包括:
[0010] 獲取預設數(shù)量的第一源IP到第一目標IP的訪問請求記錄;
[0011] 統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識為空的訪問請求記錄的數(shù) 量��;
[0012] 基于所述統(tǒng)計的請求來源頁面標識為空的訪問請求記錄的數(shù)量檢測CC攻擊��。
[0013] -種檢測CC攻擊的方法��,包括:
[0014] 監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求;
[0015] 統(tǒng)計所述訪問請求中請求來源頁面標識為空的訪問請求的累積數(shù)量�;
[0016] 基于所述統(tǒng)計的請求來源頁面標識為空的訪問請求的累積數(shù)量檢測CC攻擊。
[0017] -種檢測CC攻擊的方法�,包括:
[0018] 獲取預設數(shù)量的第一源IP到第一目標IP的訪問請求記錄;
[0019] 統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識互不相同的訪問請求記錄的 數(shù)量��;
[0020] 基于所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求記錄的數(shù)量檢測CC攻 擊�。
[0021 ] -種檢測CC攻擊的方法,包括:
[0022] 監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求�����;
[0023] 統(tǒng)計請求來源頁面標識互不相同的訪問請求的累積數(shù)量�����;
[0024] 基于所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求的累積數(shù)量檢測CC攻 擊�。
[0025] -種檢測CC攻擊的設備,所述設備為獨立于請求端和目標服務器的第三方設備����, 包括訪問請求記錄獲取單元,第一統(tǒng)計單元���,第一判定單元以及第二判定單元��,其中:
[0026] 所述訪問請求記錄獲取單元���,用來獲取預設數(shù)量的第一源IP到第一目標IP的訪 問請求記錄;
[0027] 所述第一統(tǒng)計單元�,用來統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識為空 的訪問請求記錄的數(shù)量;
[0028] 所述第一判定單元�����,用來設置檢測閾值��;當所述統(tǒng)計的請求來源頁面標識為空的 訪問請求記錄的數(shù)量大于或者等于所述檢測閾值時����,判定第一源IP到第一目標IP的訪問 請求為CC攻擊;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求記錄的數(shù)量小于所述檢 測閾值時�,判定第一源IP到第一目標IP的訪問請求不是CC攻擊;
[0029] 所述第二判定單元����,用來設置比例閾值;當所述統(tǒng)計的請求來源頁面標識為空的 訪問請求記錄的數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時���,判定第一源 IP到第一目標IP的訪問請求為CC攻擊��;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求 記錄的數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時��,判定第一源IP到第一目標IP 的訪問請求不是CC攻擊�。
[0030] 一種檢測CC攻擊的設備,所述設備作為模塊集成于目標服務器中����,包括監(jiān)控單 元�����,第二統(tǒng)計單元���,第三判定單元以及第四判定單元��,其中:
[0031] 所述監(jiān)控單元��,用來監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求��;
[0032] 所述第二統(tǒng)計單元����,用來統(tǒng)計所述訪問請求中請求來源頁面標識為空的訪問請求 的累積數(shù)量;
[0033] 所述第三判定單元��,用來設置檢測閾值�����;當所述統(tǒng)計的請求來源頁面標識為空的 訪問請求的累積數(shù)量大于或者等于所述檢測閾值時���,判定第一源IP到第一目標IP的訪問 請求為CC攻擊�����;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求的累積數(shù)量小于所述檢 測閾值時,判定第一源IP到第一目標IP的訪問請求不是CC攻擊�����;
[0034] 所述第四判定單元����,用來設置比例閾值;當所述統(tǒng)計的請求來源頁面標識為空的 訪問請求的累積數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時�����,判定第一源 IP到第一目標IP的訪問請求為CC攻擊�����;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求 的累積數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時,判定第一源IP到第一目標IP 的訪問請求不是CC攻擊�。
[0035] -種檢測CC攻擊的設備,所述設備為獨立于請求端和目標服務器的第三方設備�����, 包括訪問請求記錄獲取單元��,第三統(tǒng)計單元�,第五判定單元以及第六判定單元,其中:
[0036] 所述訪問請求記錄獲取單元�����,用來獲取預設數(shù)量的第一源IP到第一目標IP的訪 問請求記錄�;
[0037] 所述第三統(tǒng)計單元,用來統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識互不 相同的訪問請求記錄的數(shù)量���;
[0038] 所述第五判定單元�,用來設置檢測閾值�;當所述統(tǒng)計的請求來源頁面標識互不相 同的訪問請求記錄的數(shù)量大于或者等于所述檢測閾值時,判定第一源IP到第一目標IP的 訪問請求不是CC攻擊;當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求記錄的數(shù)量 小于所述檢測閾值時���,判定第一源IP到第一目標IP的訪問請求為CC攻擊�;
[0039] 所述第六判定單元���,用來設置比例閾值���;當所述統(tǒng)計的請求來源頁面標識互不相 同的訪問請求記錄的數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時,判定第 一源IP到第一目標IP的訪問請求不是CC攻擊����;當所述統(tǒng)計的請求來源頁面標識互不相同 的訪問請求記錄的數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時���,判定第一源IP到 第一目標IP的訪問請求為CC攻擊����。
[0040] 一種檢測CC攻擊的設備���,所述設備作為模塊集成于目標服務器中��,包括監(jiān)控單 元��,第四統(tǒng)計單元���,第七判定單元以及第八判定單元�,其中:
[0041] 所述監(jiān)控單元�,用來監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求;
[0042] 所述第四統(tǒng)計單元�����,用來統(tǒng)計請求來源頁面標識互不相同的訪問請求的累積數(shù) 量�����;
[0043] 所述第七判定單元�,用來設置檢測閾值;當所述統(tǒng)計的請求來源頁面標識互不相 同的訪問請求的累積數(shù)量大于或者等于所述檢測閾值時����,判定第一源IP到第一目標IP的 訪問請求不是CC攻擊;當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求的累積數(shù)量 小于所述檢測閾值時�,判定第一源IP到第一目標IP的訪問請求為CC攻擊;
[0044] 所述第八判定單元���,用來設置比例閾值���;當所述統(tǒng)計的請求來源頁面標識互不相 同的訪問請求的累積數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時���,判定第 一源IP到第一目標IP的訪問請求不是CC攻擊;當所述統(tǒng)計的請求來源頁面標識互不相同 的訪問請求的累積數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時����,判定第一源IP到 第一目標IP的訪問請求為CC攻擊。
[0045] 本申請實施例提供的一種檢測CC攻擊的方法及設備�����,通過分析真實用戶與CC攻 擊者的訪問行為的差異性����,并基于該差異性來計算判定數(shù)值,能夠有效地檢測CC攻擊���。
【附圖說明】
[0046] 圖1為本申請一個例子中正常請求端發(fā)起訪問請求的示意圖;
[0047] 圖2為本申請一個例子中攻擊端發(fā)起訪問請求的示意圖�;
[0048] 圖3為本申請一實施例提供的一種檢測CC攻擊的方法流程圖;
[0049] 圖4為本申請另一實施例提供的一種檢測CC攻擊的方法流程圖��;
[0050] 圖5為本申請另一實施例提供的一種檢測CC攻擊的方法�;
[0051] 圖6為本申請另一實施例提供的一種檢測CC攻擊的方法流程圖��;
[0052] 圖7為本申請一實施例提供的一種檢測CC攻擊的設備功能模塊圖���;
[0053] 圖8為本申請另一實施例提供的一種檢測CC攻擊的設備功能模塊圖;
[0054] 圖9為本申請另一實施例提供的一種檢測CC攻擊的設備功能模塊圖����;
[0055] 圖10為本申請另一實施例提供的一種檢測CC攻擊的設備功能模塊圖。
【具體實施方式】
[0056] 為了使本技術領域的人員更好地理解本申請中的技術方案���,下面將結合本申請實 施例中的附圖��,對本申請實施例中的技術方案進行清楚����、完整地描述���,顯然�����,所描述的實施 例僅僅是本申請一部分實施例��,而不是全部的實施例�����?�;诒旧暾堉械膶嵤├?��,本領域普通 技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例���,都應當屬于本申請保護 的范圍。
[0057] 圖1為本申請一個例子中正常請求端發(fā)起訪問請求的示意圖��。如圖1所示�,真實 用戶可以通過瀏覽器輸入網(wǎng)頁地址,訪問頁面1���。進而��,真實用戶可以通過點擊頁面1上的 鏈接瀏覽跳轉到的其它頁面�����,例如是真實用戶感興趣的頁面2、頁面3����、頁面4或頁面5����。這 里可以稱頁面1為前導頁面����。通過前導頁面上的鏈接,可以跳轉到其它頁面����。當真實用戶 在瀏覽頁面5時,可以通過點擊頁面5上的鏈接繼續(xù)瀏覽頁面6或頁面7����。當真實用戶在瀏 覽頁面7時,可以通過點擊頁面7上的鏈接繼續(xù)瀏覽頁面8���、頁面9或頁面10�����。類似的��,頁 面5���、頁面7可以為前導頁面��,這些前導頁面上可以提供跳轉至其它頁面的鏈接�?��?梢?����,真實 用戶在訪問網(wǎng)站時���,一般會基于一個初始的頁面,逐層深入地瀏覽其它頁面�。
[0058] 圖2為本申請一個例子中攻擊端發(fā)起訪問請求的示意圖。如圖2所示�����,攻擊端會 頻繁地向目標服務器發(fā)起訪問頁面1和頁面2的訪問請求�。攻擊端一般直接通過頁面1和 頁面2的網(wǎng)頁地址向目標服務器發(fā)起訪問請求。這樣的攻擊方式����,在訪問某一頁面時���,該頁 面與其它頁面之間往往不存在鏈接關系����。
[0059] 上述真實用戶與攻擊者的訪問行為存在區(qū)別。真實用戶在瀏覽頁面時���,往往會先 訪問一些前導頁面��,隨后可以通過前導頁面提供的鏈接訪問下一個頁面����。而攻擊者在對目 標服務器發(fā)起攻擊時���,往往會直接通過網(wǎng)頁地址訪問目標頁面�����。本申請一實施例可以基于 真實用戶與攻擊者之間訪問行為的差異性來檢測CC攻擊���。
[0060] 圖3為本申請一實施例提供的一種檢測CC攻擊的方法流程圖。如圖3所示,所述 方法包括:
[0061] S100 :獲取預設數(shù)量的第一源IP到第一目標IP的訪問請求記錄�����。
[0062] 在本申請實施例中���,請求端和目標服務器可以處于主干網(wǎng)的網(wǎng)絡環(huán)境中����,用于檢 測CC攻擊的檢測設備可以是獨立于請求端和目標服務器的第三方設備��。所述源IP可以代 表發(fā)起訪問的請求端的IP地址�,所述目標IP可以代表被訪問的目標服務器的IP地址。源 IP向目標IP發(fā)起的訪問請求會在主干網(wǎng)中產(chǎn)生訪問請求記錄�。檢測設備可以從主干網(wǎng)中 獲取預設數(shù)量的第一源IP到第一目標IP的訪問請求記錄以檢測CC攻擊。為了較準確地 檢測訪問請求記錄中是否存在CC攻擊行為����,可以設置較大的預設數(shù)量,例如可以將預設數(shù) 量設置為1000,檢測設備可以對這1000條第一源IP到第一目標IP的訪問請求記錄進行檢 測��。
[0063] 每個獲取的訪問請求記錄中可以包含該訪問行為的源IP�、目標IP以及訪問請求 頁面。例如�,訪問請求記錄1記載了源IP1向目標IP1發(fā)起訪問頁面1的請求,訪問請求記 錄2記載了 IP2向目標IP2發(fā)起訪問頁面2的請求。訪問請求記錄中還包含請求來源頁面 標識���。請求來源頁面標識可以用來注明該訪問請求的前導頁面地址���。例如��,第一源IP向第 一目標IP發(fā)起訪問頁面2的請求���,而該訪問頁面2的請求是通過點擊頁面1上的鏈接發(fā)起 的�����。那么在該訪問請求記錄的請求來源頁面標識中�����,會寫入頁面1的地址��,注明該訪問請求 是從頁面1鏈接過來的����。在本申請具體實施例中����,所述請求來源頁面標識可以為訪問請求 中的referer字段���。該referer字段注明了該訪問請求的請求來源頁面的頁面地址。本申 請實施例以下步驟均以referer字段進行說明���。
[0064] S200 :統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識為空的訪問請求記錄的 數(shù)量��。
[0065] 表1為本申請一個例子中真實用戶的訪問請求記錄示意表�。從表1可以看出�,訪 問請求記錄可以包括源IP,目標IP����,訪問頁面以及referer字段。其中���,referer字段可以 用來注明該訪問請求的前導頁面的地址���,表明該訪問請求是從哪個頁面鏈接過來的。例如��, 頁面2與頁面3的referer字段中均為頁面1的地址���,說明訪問頁面2與頁面3的請求是 從頁面1鏈接過來的��。頁面1的referer字段為空���,說明訪問頁面1的請求是通過頁面1 的地址直接發(fā)起的��。例如��,可以是用戶在瀏覽器中直接輸入頁面1的URL向目標服務器發(fā) 起訪問請求��。
[0066] 表1本申請一個例子中真實用戶的訪問請求記錄示意表
[0067]
[0068] 表2為本申請一個例子中CC攻擊者的訪問請求記錄示意表。CC攻擊者往往通過 自動化的腳本語言���,直接通過頁面的地址頻繁地向目標服務器發(fā)起訪問請求�。從表2中可 以看出��,CC攻擊者向目標服務器發(fā)起的訪問請求中����,referer字段均為空。這說明CC攻擊 者往往都是直接通過頁面的地址向目標服務器發(fā)起訪問請求��。在CC攻擊者訪問的頁面中����, 頁面與頁面之間往往不存在鏈接關系�����,這就導致CC攻擊者的訪問請求記錄中referer字段 基本為空�。
[0069] 表2本申請一個例子中CC攻擊者的訪問請求記錄示意表
[0070]
[0071]
[0072] 本申請實施例可以通過分析所述獲取的預設數(shù)量的第一源IP到第一目標IP的訪 問請求記錄中的referer字段來檢測第一源IP對第一目標IP發(fā)起的訪問請求是否屬于CC 攻擊�����。具體地�,本申請實施例可以統(tǒng)計所述獲取的訪問請求記錄中referer字段為空的訪 問請求記錄的數(shù)量。例如�����,從表1中可以得到referer字段為空的訪問請求記錄的數(shù)量為 1���,而從表2中可以得到referer字段為空的訪問請求記錄的數(shù)量為6���。可以看出���,真實用戶 的訪問請求記錄中referer字段為空的訪問請求記錄的數(shù)量明顯小于CC攻擊者的訪問請 求記錄中referer字段為空的訪問請求記錄的數(shù)量�����。
[0073] 在具體實現(xiàn)時��,本申請實施例中的檢測設備內(nèi)部可以包含一個計數(shù)器�����。該檢測 設備可以檢測所述獲取的訪問請求記錄中的referer字段�。當某一訪問請求記錄中的 referer字段為空時,檢測設備內(nèi)部的計數(shù)器便可以加1���。檢測設備遍歷所述獲取的訪問請 求記錄后���,所述計數(shù)器中的數(shù)字可以代表所述獲取的訪問請求記錄中referer字段為空的 訪問請求記錄的數(shù)量����。
[0074] S300 :基于所述請求來源頁面標識為空的訪問請求記錄的數(shù)量檢測CC攻擊。
[0075] 檢測設備獲取到所述referer字段為空的訪問請求記錄的數(shù)量后�,可以基于該獲 取的數(shù)量檢測第一源IP到第一目標IP的訪問請求是否屬于CC攻擊。具體地��,可以計算所 述referer字段為空的訪問請求記錄的數(shù)量占所述預設數(shù)量的比值�����。例如,表1中referer 字段為空的訪問請求記錄的數(shù)量為1���,預設數(shù)量為6,那么referer字段為空的訪問請求記 錄的數(shù)量占預設數(shù)量的比值為1/6�。表2中referer字段為空的訪問請求記錄的數(shù)量為6�����, 預設數(shù)量為6,那么referer字段為空的訪問請求記錄的數(shù)量占預設數(shù)量的比值為6/6 = 1��。本申請實施例可以預先設置第一比例閾值�����,當所述計算的referer字段為空的訪問請求 記錄的數(shù)量占所述預設數(shù)量的比值大于或者等于該第一比例閾值時�,就判定第一源IP到 第一目標IP的訪問請求為CC攻擊;本申請實施例可以預先設置第二比例閾值�,當所述計算 的 referer字段為空的訪問請求記錄的數(shù)量占所述預設數(shù)量的比值小于該第二比例閾值 時,就判定第一源IP到第一目標IP的訪問請求不是CC攻擊���。一般情況下����,所述第一比例 閾值和第二比例閾值可以是相等的;在某些特殊情況下�����,所述第一比例閾值可以大于第二 比例閾值���。例如���,第一比例閾值為0. 95,第二比例閾值為0. 8,在0. 8至0. 95之間的情況需 要通過人工進行判斷是否屬于CC攻擊行為。
[0076] 在實際檢測過程中�,可以將所述比例閾值設置為0. 95,當計算的referer字段為 空的訪問請求記錄的數(shù)量占所述預設數(shù)量的比值大于或者等于〇. 95時,就判定第一源IP 到第一目標IP的訪問請求為CC攻擊�。
[0077] 另外,本申請實施例還可以設置第一檢測閾值����,當所述統(tǒng)計的referer字段為空 的訪問請求記錄的數(shù)量大于或者等于所述第一檢測閾值時,判定第一源IP到第一目標IP 的訪問請求為CC攻擊����;本申請實施例還可以設置第二檢測閾值����,當所述統(tǒng)計的referer字 段為空的訪問請求記錄的數(shù)量小于所述第二檢測閾值時�����,判定第一源IP到第一目標IP的 訪問請求不是CC攻擊��。同樣的�����,第一檢測閾值可以與第二檢測閾值相等���。在某些特殊情況 下,第一檢測閾值可以大于第二檢測閾值��。
[0078] 在實際檢測過程中��,可以將預設數(shù)量設置為1000,并且可以將檢測閾值設置為 950,當1000條訪問請求中統(tǒng)計的referer字段為空的訪問請求的累積數(shù)量大于或者等于 950時����,判定第一源IP到第一目標IP的訪問請求為CC攻擊。
[0079] 在本申請另一實施例中����,檢測設備還可以作為一個功能模塊集成于目標服務器 上,該檢測設備可以實時監(jiān)控發(fā)送至該目標服務器的訪問請求。圖4為本申請另一實施例 提供的一種檢測CC攻擊的方法流程圖����。如圖4所示,所述方法包括:
[0080] S110 :監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求����。
[0081] S210:統(tǒng)計所述訪問請求中請求來源頁面標識為空的訪問請求的累積數(shù)量。
[0082] 集成于目標服務器上的檢測設備可以實時地監(jiān)控位于第一源IP處的請求端發(fā)送 至位于第一目標IP處的該目標服務器的訪問請求����。由步驟S200可以看出,真實用戶與CC 攻擊者向目標服務器發(fā)起的訪問請求中referer字段的差異較大�。真實用戶的訪問請求 中,referer字段為空的訪問請求數(shù)量較少���,而CC攻擊者的訪問請求中����,referer字段為空 的訪問請求數(shù)量相當多�。本申請實施例中的檢測設備可以通過統(tǒng)計ref erer字段為空的訪 問請求的累積數(shù)量,從而判斷第一源IP到第一目標IP的訪問請求是否為CC攻擊�����。在具體 實施例中���,為了較準確地檢測CC攻擊行為��,可以設置較大的預設數(shù)量�����,例如可以將預設數(shù) 量設置為1000,檢測設備可以連續(xù)監(jiān)控1000條第一源IP到第一目標IP的訪問請求����,并統(tǒng) 計這1000條訪問請求中referer字段為空的訪問請求的累積數(shù)量�����。
[0083] 具體地�,本申請實施例中的檢測設備內(nèi)部可以包含第一計數(shù)器和第二計數(shù)器。檢 測設備實時監(jiān)控第一源IP發(fā)送至第一目標IP的每條訪問請求����,每檢測一條訪問請求,檢測 設備的第一計時器便可以加1�。當檢測到訪問請求的referer字段為空時,第二計數(shù)器便可 以加1���。當?shù)谝挥嫈?shù)器統(tǒng)計達到預設數(shù)量時�����,檢測設備可以統(tǒng)計第二計數(shù)器中referer字段 為空的訪問請求的累積數(shù)量��。
[0084] S310 :基于所述統(tǒng)計的請求來源頁面標識為空的訪問請求的累積數(shù)量檢測CC攻 擊�����。
[0085] 本申請實施例可以預先設置第三檢測閾值����,當所述統(tǒng)計的referer字段為空的訪 問請求的累積數(shù)量大于或者等于所述第三檢測閾值時,判定第一源IP到第一目標IP的訪 問請求為CC攻擊��;本申請實施例可以預先設置第四檢測閾值��,當所述統(tǒng)計的referer字段 為空的訪問請求的累積數(shù)量小于所述第四檢測閾值時����,判定第一源IP到第一目標IP的訪 問請求不是CC攻擊。第三檢測閾值可以與第四檢測閾值相等���。在某些特殊情況下�����,第三檢 測閾值可以大于第四檢測閾值����。
[0086] 在實際檢測過程中���,可以將預設數(shù)量設置為1000,并且可以將檢測閾值設置為 950,當1000條訪問請求中統(tǒng)計的referer字段為空的訪問請求的累積數(shù)量大于或者等于 950時�,判定第一源IP到第一目標IP的訪問請求為CC攻擊�����。
[0087] 另外�,本申請同樣可以計算所述統(tǒng)計的referer字段為空的訪問請求的累積數(shù)量 占所述預設數(shù)量的比值來檢測CC攻擊。本申請實施例可以預先設置第三比例閾值����,當所述 計算的referer字段為空的訪問請求的累積數(shù)量占所述預設數(shù)量的比值大于或者等于該 第三比例閾值時,就判定第一源IP到第一目標IP的訪問請求為CC攻擊��;本申請實施例可 以預先設置第四比例閾值����,當所述計算的referer字段為空的訪問請求的累積數(shù)量占所述 預設數(shù)量的比值小于該第四比例閾值時��,就判定第一源IP到第一目標IP的訪問請求不是 CC攻擊�。第三比例閾值可以與第四比例閾值相等���。在某些特殊情況下����,第三比例閾值可以 大于第四比例閾值�����。
[0088] 需要說明的是�,CC攻擊者往往通過代理服務器來對目標服務器進行攻擊。例如CC 攻擊者通過位于源IP1����,源IP2和源IP3處的三臺代理服務器對目標服務器發(fā)起攻擊。利 用上述技術方案����,可以檢測出源IP1,源IP2及源IP3均存在攻擊行為���,并且后續(xù)可以對源 IP1�,源IP2及源IP3進行封禁,但是無法對CC攻擊者的真實源IP進行檢測并且封禁���。鑒 于此����,本申請一優(yōu)選實施例中�,步驟S100可以具體包括:
[0089] 基于真實源IP的確定規(guī)則�����,獲取預設數(shù)量的第一真實源IP到第一目標IP的訪問 請求記錄��。其中����,所述真實源IP的確定規(guī)則具體包括:
[0090] 當訪問請求記錄的x-forward-for字段為空時,將源IP字段中的IP地址作為真 實源IP ;
[0091] 當訪問請求記錄的x-forward-for字段為非空時�,根據(jù)x-forward-for字段中的 IP地址確定真實源IP。
[0092] 本申請的優(yōu)選實施例可以通過訪問請求中的源IP字段和x-forward-for字段來 識別真實請求源IP����。x -f〇rward-for字段的標準格式可以為:
[0093] χ-forward-for:client1,proxy1
[0094] 其中����,clientl代表真實的IP地址��,proxyl代表代理服務器1的IP地址����。 上述x-forward-for字段的標準格式可以理解為:訪問請求從clientl中發(fā)出時��, x-forward-for字段中為空�;該訪問請求被發(fā)往proxy 1并且通過proxy 1發(fā)出去的時 候,clientl被添加到x-forward-for字段中�����;之后該訪問請求被發(fā)往proxy2并且通過 proxy2發(fā)出去的時候����,proxyl被添加到χ-forward-for字段中?��?梢?�,當x-forward-for 字段為非空時����,x-f〇rward-for字段中的第一個IP地址即為該訪問請求的真實源IP。當 x-forward-for字段為空時���,訪問請求記錄中的源IP字段中的IP地址即為該訪問請求記錄 的真實源IP�����。
[0095] 對訪問請求記錄的真實源IP進行識別的另一個有益效果在于:可以使得獲取訪 問請求記錄的時間縮短����。例如�����,假設在不對訪問請求記錄的真實源IP進行辨識時����,需要從 10000條訪問請求記錄中才可以篩選出5000條源IP1到目標IP1的訪問請求記錄(另外 5000條訪問請求記錄是其它源IP到目標IP1的訪問請求記錄)���;當對訪問請求記錄的真 實源IP進行辨識后發(fā)現(xiàn)�,這10000條訪問請求記錄中�,源IP1和源IP2的真實源IP均為源 IP1,那么在這10000條訪問請求記錄中���,應當將源IP2到目標IP1的訪問請求記錄也劃分 到源源IP1到目標IP1的訪問請求記錄中�。那么如果同樣需要篩選出5000條源IP1到目 標IP1的訪問請求記錄,可能只需要讀取7000條訪問請求記錄就可以了(另外2000條訪 問請求記錄是其它源IP到目標IP1的訪問請求記錄)��。這樣可以縮短獲取預設數(shù)量的源 IP到目標IP的訪問請求記錄的時間�,可以更早地檢測出CC攻擊行為并且更早地進行封禁。 同樣的����,在本申請另一優(yōu)選實施例中,步驟S110可以具體包括:
[0096] 基于真實源IP的確定規(guī)則�����,監(jiān)控預設數(shù)量的第一真實源IP到第一目標IP的訪問 請求�����。其中�����,所述真實源IP的確定規(guī)則具體包括:
[0097] 當訪問請求的x-forward-for字段為空時�,將源IP字段中的IP地址作為真實源 IP ;
[0098] 當訪問請求的x-forward-for字段為非空時,根據(jù)x-forward-for字段中的IP地 址確定真實源IP�����。
[0099] 對監(jiān)控的訪問請求進行真實源IP的辨識�����,同樣可以縮短監(jiān)控預設數(shù)量的源IP到 目標IP的訪問請求的時間�����,從而更早地對CC攻擊者所處的源IP地址進行檢測和封禁��。
[0100] 在實際場景中��,CC攻擊者還可以通過填充referer字段來偽裝真實用戶的訪問行 為����。例如�,當CC攻擊者準備向某一網(wǎng)站服務器發(fā)起攻擊時,可以在訪問請求中的referer 字段填充該網(wǎng)站的門戶頁面的地址����,從而偽裝訪問的頁面與頁面之間的鏈接關系。CC攻擊 者往往利用腳本語言批量地對訪問請求的referer字段填充相同的頁面地址,如表3所示���。 從表3中可以看出�,CC攻擊者在發(fā)起的每次訪問請求的referer字段中均填入了頁面1的 頁面地址�。該頁面1可以為網(wǎng)站的門戶頁面,也可以是虛假的頁面�。
[0101] 表3本申請一個例子中CC攻擊者填充referer字段的訪問請求記錄示意表
[0102]
[0103]
[0104] 盡管CC攻擊者通過批量填充referer字段來偽裝頁面與頁面之間的鏈接關系,通 過對比表1和表3還是可以發(fā)現(xiàn)真實用戶與CC攻擊者訪問行為的差異性�。真實用戶訪問目 標服務器產(chǎn)生的訪問請求中referer字段的頁面地址往往不同,例如表1中���,真實用戶的訪 問請求中referer字段的頁面地址有頁面1����、頁面3和頁面4的地址�。而CC攻擊訪問目標 服務器產(chǎn)生的訪問請求中referer字段的頁面地址往往相同,例如表3中����,CC攻擊者的訪問 請求中referer字段的頁面地址僅有頁面1的地址?�?梢钥闯?�,真實用戶與攻擊者的訪問請 求中,referer字段互不相同的訪問請求的數(shù)量是存在差異性的��。例如�,表1中真實用戶的 訪問請求中,referer字段互不相同的訪問請求的數(shù)量為4,這四個互不相同的referer字 段分別為空referer字段�����、頁面1����、頁面3以及頁面4 ;而攻擊者的訪問請求中,由于referer 字段均相同��,因此referer字段互不相同的訪問請求的數(shù)量僅為1���。本申請實施例可以基于 這一點差異性來檢測源IP到目標IP的訪問請求是否屬于CC攻擊��。圖5為本申請另一實 施例提供的一種檢測CC攻擊的方法����。如圖5所示����,所述方法包括:
[0105] S120 :獲取預設數(shù)量的第一源IP到第一目標IP的訪問請求記錄。
[0106] 在本申請實施例中����,請求端和目標服務器可以處于主干網(wǎng)的網(wǎng)絡環(huán)境中,用于檢 測CC攻擊的檢測設備可以是獨立于請求端和目標服務器的第三方設備���。該步驟與S100類 似��,檢測設備可以從主干網(wǎng)中獲取預設數(shù)量的第一源IP到第一目標IP的訪問請求記錄以 檢測CC攻擊���。為了較準確地檢測訪問請求記錄中是否存在CC攻擊行為,可以設置較大的 預設數(shù)量��,例如可以將預設數(shù)量設置為1000,檢測設備可以對這1000條第一源IP到第一目 標IP的訪問請求記錄進行檢測����。
[0107] S220 :統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識互不相同的訪問請求記 錄的數(shù)量。
[0108] 檢測設備獲取到預設數(shù)量的第一源IP到第一目標IP的訪問請求記錄后����,可以統(tǒng) 計所述獲取的訪問請求記錄中referer字段互不相同的訪問請求記錄的數(shù)量。本申請一實 施例中檢測設備可以包含一計數(shù)器���。檢測設備可以從第一條訪問請求記錄開始�����,獲取第一 條訪問請求記錄中的第一 referer字段�,并將第一 referer字段放入?yún)⒖缄犃校瑫r計數(shù)器 中加1�����。接著檢測設備可以獲取第二條訪問請求記錄的第二referer字段�,當?shù)谝?referer 字段與第二referer字段不同時,檢測設備可以將第二referer字段頁放入?yún)⒖缄犃?�,同時 計數(shù)器中加1��。當?shù)谝?referer字段與第二referer字段相同時���,檢測設備不做任何操作���。 處理完第二條訪問請求記錄,檢測設備可以繼續(xù)獲取第三條訪問請求記錄的第三referer 字段并將第三referer字段與參考隊列中每一個referer字段做對比�,如果第三referer 字段與參考隊列中每個referer字段均不同,則檢測設備將第三referer字段放入?yún)⒖缄?列����,同時計數(shù)器加1 ;如果第三referer字段與參考隊列中某個referer字段相同,則檢測 設備不做任何操作�。檢測設備可以遍歷預設數(shù)量的訪問請求記錄中每一條訪問請求記錄并 做上述相同的對比操作,最終便可以得到所述獲取的訪問請求記錄中referer字段互不相 同的訪問請求記錄的數(shù)量�,該數(shù)量可以為參考隊列中referer字段的數(shù)量,同時也可以是 計數(shù)器所統(tǒng)計的數(shù)量���。
[0109] 需要指出的是,若某訪問請求記錄的referer字段為空����,并且該空referer字段是 第一次出現(xiàn)����,那么該空referer字段也可以作為參考隊列中的一個referer字段。后續(xù)出 現(xiàn)的空referer字段就可以視為與參考隊列中的該空referer字段相同的字段��,不再納入 統(tǒng)計范圍���。
[0110] S320 :基于所述請求來源頁面標識互不相同的訪問請求記錄的數(shù)量檢測CC攻擊���。
[0111] 本申請實施例可以預先設置第五檢測閾值,當所述referer字段互不相同的訪問 請求記錄的數(shù)量小于所述第五檢測閾值時��,判定第一源IP到第一目標IP的訪問請求是CC 攻擊��;本申請實施例可以預先設置第六檢測閾值,當referer字段互不相同的訪問請求記 錄的數(shù)量大于或者等于所述第六檢測閾值時�,判定第一源IP到第一目標IP的訪問請求不 是CC攻擊。第五檢測閾值可以與第六檢測閾值相等�����。在某些特殊情況下�,第五檢測閾值可 以小于第六檢測閾值。
[0112] 在實際檢測過程中�����,可以將預設數(shù)量設置為1000,并且可以將檢測閾值設置為 50,當1000條訪問請求中統(tǒng)計的referer字段互不相同的訪問請求記錄的數(shù)量小于50時��, 判定第一源IP到第一目標IP的訪問請求為CC攻擊����。
[0113] 同樣的,本申請實施例還可以通過計算所述統(tǒng)計的referer字段互不相同的訪問 請求記錄的數(shù)量占所述預設數(shù)量的比值來檢測CC攻擊�����。本申請實施例可以預先設置第五 比例閾值�,當所述計算的referer字段互不相同的訪問請求記錄的數(shù)量占所述預設數(shù)量的 比值小于該第五比例閾值時,就判定第一源IP到第一目標IP的訪問請求是CC攻擊;本申 請實施例可以預先設置第六比例閾值�,當所述計算的referer字段互不相同的訪問請求記 錄的數(shù)量占所述預設數(shù)量的比值大于或者等于該第六比例閾值時,就判定第一源IP到第 一目標IP的訪問請求不是CC攻擊�。第五比例閾值可以與第六比例閾值相等。在某些特殊 情況下�����,第五比例閾值可以小于第六比例閾值����。
[0114] 在實際檢測過程中�,可以將所述預設數(shù)量設置為1000,并且將所述比例閾值設置 為0. 05,當計算的referer字段互不相同的訪問請求記錄的數(shù)量占所述預設數(shù)量的比值小 于0. 05時,就判定第一源IP到第一目標IP的訪問請求為CC攻擊��。
[0115] 同樣地��,在本申請一優(yōu)選實施例中����,可以對訪問請求記錄的真實源IP進行辨識。 在本申請一優(yōu)選實施例中����,步驟S120可具體可以包括:
[0116] 基于真實源IP的確定規(guī)則,獲取預設數(shù)量的第一真實源IP到第一目標IP的訪問 請求記錄。其中����,所述真實源IP的確定規(guī)則具體包括:
[0117] 當訪問請求記錄的x-forward-for字段為空時,將源IP字段中的IP地址作為真 實源IP ;
[0118] 當訪問請求記錄的x-forward-for字段為非空時���,根據(jù)x-forward-for字段中的 IP地址確定真實源IP��。
[0119] 在本申請另一實施例中��,檢測設備還可以作為一個功能模塊集成于目標服務器 上����,該檢測設備可以實時監(jiān)控發(fā)送至該目標服務器的訪問請求�����。圖6為本申請另一實施例 提供的一種檢測CC攻擊的方法流程圖�。如圖6所示,所述方法包括:
[0120] S130 :監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求�。
[0121] S230:統(tǒng)計所述訪問請求中請求來源頁面標識互不相同的訪問請求的累積數(shù)量。
[0122] 集成于目標服務器上的檢測設備可以實時地監(jiān)控位于第一源IP處的請求端發(fā)送 至位于第一目標IP處的該目標服務器的訪問請求�。本申請實施例中的檢測設備可以通過 監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求,并且統(tǒng)計所述訪問請求中referer 字段互不相同的訪問請求的累積數(shù)量���,從而判斷第一源IP到第一目標IP的訪問請求是否 為CC攻擊�。在具體實施例中,為了較準確地檢測CC攻擊行為����,可以設置較大的預設數(shù)量, 例如可以將預設數(shù)量設置為1000,檢測設備可以連續(xù)監(jiān)控1000條第一源IP到第一目標IP 的訪問請求�����,并統(tǒng)計這1000條訪問請求中referer字段互不相同的訪問請求的累積數(shù)量��。
[0123] 具體地�,本申請實施例中的檢測設備內(nèi)部可以包含第一計數(shù)器和第二計數(shù)器����。檢 測設備實時監(jiān)控第一源IP發(fā)送至第一目標IP的每條訪問請求,每檢測一條訪問請求�����,檢測 設備的第一計時器便可以加1�。檢測設備可以從第一條訪問請求記錄開始,獲取第一條訪問 請求記錄中的第一 referer字段�,并將第一 referer字段放入?yún)⒖缄犃校瑫r第二計數(shù)器中 加1。接著檢測設備可以獲取第二條訪問請求記錄的第二referer字段���,當?shù)谝?referer字 段與第二referer字段不同時���,檢測設備可以將第二referer字段頁放入?yún)⒖缄犃校瑫r第 二計數(shù)器加1����。當?shù)谝?referer字段與第二referer字段相同時,檢測設備不做任何操作�����。處 理完第二條訪問請求記錄����,檢測設備可以繼續(xù)獲取第三條訪問請求記錄的第三referer字 段并將第三referer字段與參考隊列中每一個referer字段做對比,如果第三referer字 段與參考隊列中每個ref erer字段均不同�,則檢測設備將第三ref erer字段放入?yún)⒖缄犃校?同時第二計數(shù)器加1 ;如果第三referer字段與參考隊列中某個referer字段相同,則檢測 設備不做任何操作��。檢測設備可以對監(jiān)控的每條訪問請求做上述相同的對比操作��。當?shù)谝?計數(shù)器統(tǒng)計達到預設數(shù)量時����,檢測設備可以得到所述預設數(shù)量的訪問請求中referer字段 互不相同的訪問請求的累積數(shù)量��,該累積數(shù)量可以為參考隊列中referer字段的數(shù)量���,同 時也可以是第二計數(shù)器所統(tǒng)計的數(shù)量。
[0124] 需要指出的是�����,若某訪問請求的referer字段為空�,并且該空referer字段是第一 次出現(xiàn),那么該空referer字段也可以作為參考隊列中的一個referer字段��。后續(xù)出現(xiàn)的 空 referer字段就可以視為與參考隊列中的該空referer字段相同的字段���,不再納入統(tǒng)計 范圍。
[0125] S330:基于所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求的累積數(shù)量檢測 CC攻擊�����。
[0126] 本申請實施例可以預先設置第七檢測閾值���,當所述referer字段互不相同的訪問 請求的累積數(shù)量小于所述第七檢測閾值時����,判定第一源IP到第一目標IP的訪問請求是CC 攻擊;本申請實施例可以預先設置第八檢測閾值����,當referer字段互不相同的訪問請求的 累積數(shù)量大于或者等于所述第八檢測閾值時,判定第一源IP到第一目標IP的訪問請求不 是CC攻擊�。第七檢測閾值可以與第八檢測閾值相等。在某些特殊情況下�,第七檢測閾值可 以小于第八檢測閾值。
[0127] 在實際檢測過程中�����,可以將預設數(shù)量設置為1000,并且可以將檢測閾值設置為 50,當1000條訪問請求中統(tǒng)計的referer字段互不相同的訪問請求的累積數(shù)量小于50時����, 判定第一源IP到第一目標IP的訪問請求為CC攻擊。
[0128] 同樣的���,本申請實施例還可以通過計算所述統(tǒng)計的referer字段互不相同的訪問 請求的累積數(shù)量占所述預設數(shù)量的比值來檢測CC攻擊���。本申請實施例可以預先設置第七 比例閾值,當所述計算的referer字段互不相同的訪問請求的累積數(shù)量占所述預設數(shù)量的 比值小于該第七比例閾值時���,就判定第一源IP到第一目標IP的訪問請求是CC攻擊��;本申 請實施例可以設置第八比例閾值�,當所述計算的referer字段互不相同的訪問請求的累積 數(shù)量占所述預設數(shù)量的比值大于或者等于該第八比例閾值時,就判定第一源IP到第一目 標IP的訪問請求不是CC攻擊�����。第七比例閾值可以與第八比例閾值相等���。在某些特殊情況 下��,第七比例閾值可以小于第八比例閾值�。
[0129] 在實際檢測過程中����,可以將所述預設數(shù)量設置為1000,并且將所述比例閾值設置 為0. 05,當計算的referer字段互不相同的訪問請求的累積數(shù)量占所述預設數(shù)量的比值小 于0. 05時�,就判定第一源IP到第一目標IP的訪問請求為CC攻擊。
[0130] 同樣的�,在本申請一優(yōu)選實施例中,可以對訪問請求的真實源IP進行辨識�����。在本 申請一優(yōu)選實施例中,步驟S130具體可以包括 :
[0131] 基于真實源IP的確定規(guī)則���,監(jiān)控預設數(shù)量的第一真實源IP到第一目標IP的訪問 請求���。其中,所述真實源IP的確定規(guī)則具體包括:
[0132] 當訪問請求的x-forward-for字段為空時��,將源IP字段中的IP地址作為真實源 IP ����;
[0133] 當訪問請求的x-forward-for字段為非空時,根據(jù)x-forward-for字段中的IP地 址確定真實源IP�����。
[0134] 本申請實施例還提供一種檢測CC攻擊的設備�����。圖7為本申請一實施例提供的一 種檢測CC攻擊的設備功能模塊圖��。如圖7所示�,所述設備包括:
[0135] 訪問請求記錄獲取單元100,用來獲取預設數(shù)量的第一源IP到第一目標IP的訪問 請求記錄;
[0136] 第一統(tǒng)計單元200,用來統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識為空 的訪問請求記錄的數(shù)量����;
[0137] 第一判定單元300,用來設置檢測閾值���;當所述統(tǒng)計的請求來源頁面標識為空的 訪問請求記錄的數(shù)量大于或者等于所述檢測閾值時,判定第一源IP到第一目標IP的訪問 請求為CC攻擊���;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求記錄的數(shù)量小于所述檢 測閾值時�,判定第一源IP到第一目標IP的訪問請求不是CC攻擊����;
[0138] 第二判定單元400,用來設置比例閾值;當所述統(tǒng)計的請求來源頁面標識為空的 訪問請求記錄的數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時����,判定第一源 IP到第一目標IP的訪問請求為CC攻擊;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求 記錄的數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時�����,判定第一源IP到第一目標IP 的訪問請求不是CC攻擊���。
[0139] 所述設備可以為獨立于請求端和目標服務器的第三方設備。
[0140] 在本申請一優(yōu)選實施例中��,所述訪問請求記錄獲取單元100具體包括:
[0141] 真實源IP訪問請求記錄獲取模塊101,用來基于真實源IP的確定規(guī)則�,獲取預設 數(shù)量的第一真實源IP到第一目標IP的訪問請求記錄。
[0142] 圖8為本申請另一實施例提供的一種檢測CC攻擊的設備功能模塊圖���。如圖8所 示���,所述設備包括:
[0143] 監(jiān)控單元110,用來監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求;
[0144] 第二統(tǒng)計單元210,用來統(tǒng)計所述訪問請求中請求來源頁面標識為空的訪問請求 的累積數(shù)量��;
[0145] 第三判定單元310,用來設置檢測閾值��;當所述統(tǒng)計的請求來源頁面標識為空的 訪問請求的累積數(shù)量大于或者等于所述檢測閾值時�,判定第一源IP到第一目標IP的訪問 請求為CC攻擊;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求的累積數(shù)量小于所述檢 測閾值時�,判定第一源IP到第一目標IP的訪問請求不是CC攻擊;
[0146] 第四判定單元410,用來設置比例閾值����;當所述統(tǒng)計的請求來源頁面標識為空的 訪問請求的累積數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時,判定第一源 IP到第一目標IP的訪問請求為CC攻擊���;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求 的累積數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時�����,判定第一源IP到第一目標IP 的訪問請求不是CC攻擊�����。
[0147] 所述設備可以作為一個模塊集成于目標服務器中�����。
[0148] 在本申請一優(yōu)選實施例中��,所述監(jiān)控單元110具體包括:
[0149] 真實源IP訪問請求監(jiān)控模塊111�,用來基于真實源IP的確定規(guī)則,監(jiān)控預設數(shù)量 的第一真實源IP到第一目標IP的訪問請求���。
[0150] 圖9為本申請另一實施例提供的一種檢測CC攻擊的設備功能模塊圖�。如圖9所 示����,所述設備包括:
[0151] 訪問請求記錄獲取單元120,用來獲取預設數(shù)量的第一源IP到第一目標IP的訪問 請求記錄;
[0152] 第三統(tǒng)計單元220,用來統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識互不 相同的訪問請求記錄的數(shù)量���;
[0153] 第五判定單元320,用來設置檢測閾值���;當所述統(tǒng)計的請求來源頁面標識互不相 同的訪問請求記錄的數(shù)量大于或者等于所述檢測閾值時��,判定第一源IP到第一目標IP的 訪問請求不是CC攻擊;當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求記錄的數(shù)量 小于所述檢測閾值時����,判定第一源IP到第一目標IP的訪問請求為CC攻擊;
[0154] 第六判定單元420,用來設置比例閾值�����;當所述統(tǒng)計的請求來源頁面標識互不相 同的訪問請求記錄的數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時�����,判定第 一源IP到第一目標IP的訪問請求不是CC攻擊��;當所述統(tǒng)計的請求來源頁面標識互不相同 的訪問請求記錄的數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時���,判定第一源IP到 第一目標IP的訪問請求為CC攻擊���。
[0155] 所述設備可以為獨立于請求端和目標服務器的第三方設備。
[0156] 在本申請一優(yōu)選實施例中�����,所述訪問請求記錄獲取單元120具體包括:
[0157] 真實源IP訪問請求記錄獲取模塊121,用來基于真實源IP的確定規(guī)則��,獲取預設 數(shù)量的第一真實源IP到第一目標IP的訪問請求記錄����。
[0158] 圖10為本申請另一實施例提供的一種檢測CC攻擊的設備功能模塊圖。如圖10 所示���,所述設備包括:
[0159] 監(jiān)控單元130,用來監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求����;
[0160] 第四統(tǒng)計單元230,用來統(tǒng)計請求來源頁面標識互不相同的訪問請求的累積數(shù) 量����;
[0161] 第七判定單元330,用來設置檢測閾值;當所述統(tǒng)計的請求來源頁面標識互不相 同的訪問請求的累積數(shù)量大于或者等于所述檢測閾值時�,判定第一源IP到第一目標IP的 訪問請求不是CC攻擊;當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求的累積數(shù)量 小于所述檢測閾值時�����,判定第一源IP到第一目標IP的訪問請求為CC攻擊��;
[0162] 第八判定單元430,用來設置比例閾值;當所述統(tǒng)計的請求來源頁面標識互不相 同的訪問請求的累積數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時��,判定第 一源IP到第一目標IP的訪問請求不是CC攻擊�;當所述統(tǒng)計的請求來源頁面標識互不相同 的訪問請求的累積數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時,判定第一源IP到 第一目標IP的訪問請求為CC攻擊����。
[0163] 所述設備可以作為一個模塊集成于目標服務器中����。
[0164] 在本申請一優(yōu)選實施例中,所述監(jiān)控單元130具體包括:
[0165] 真實源IP訪問請求監(jiān)控模塊131�����,用來基于真實源IP的確定規(guī)則��,監(jiān)控預設數(shù)量 的第一真實源IP到第一目標IP的訪問請求��。
[0166] 本申請實施例提供的一種檢測CC攻擊的方法及設備�����,通過分析真實用戶與CC攻 擊者的訪問行為的差異性���,并基于該差異性來計算判定數(shù)值����,能夠有效地檢測CC攻擊。
[0167] 在20世紀90年代�,對于一個技術的改進可以很明顯地區(qū)分是硬件上的改進(例 如,對二極管���、晶體管�����、開關等電路結構的改進)還是軟件上的改進(對于方法流程的改 進)�����。然而����,隨著技術的發(fā)展����,當今的很多方法流程的改進已經(jīng)可以視為硬件電路結構的直 接改進。設計人員幾乎都通過將改進的方法流程編程到硬件電路中來得到相應的硬件電路 結構��。因此,不能說一個方法流程的改進就不能用硬件實體模塊來實現(xiàn)���。例如����,可編程邏輯 器件(Programmable Logic Device, PLD)(例如現(xiàn)場可編程門陣列(Field Programmable Gate Array��,F(xiàn)PGA))就是這樣一種集成電路���,其邏輯功能由用戶對器件編程來確定。由設 計人員自行編程來把一個數(shù)字系統(tǒng)"集成"在一片PLD上����,而不需要請芯片制造廠商來設 計和制作專用的集成電路芯片2。而且���,如今����,取代手工地制作集成電路芯片��,這種編程也 多半改用"邏輯編譯器(logic compiler)"軟件來實現(xiàn)�����,它與程序開發(fā)撰寫時所用的軟件 編譯器相類似,而要編譯之前的原始代碼也得用特定的編程語言來撰寫�,此稱之為硬件描 述語言(Hardware Description Language, HDL),而HDL也并非僅有一種����,而是有許多種, 如 ABEL(Advanced Boolean Expression Language)��、AHDL(Altera Hardware Description Language)�、Confluence、CUPL(Cornell University Programming Language)�����、HDCal���、 JHDL(Java Hardware Description Language)��、Lava�����、Lola�、MyHDL、PALASM�����、RHDL(Ruby Hardware Description Language)等����,目前最普遍使用的是 VHDL(Very-High_Speed Integrated Circuit Hardware Description Language)與 Verilog2〇 本令頁域技術人員 也應該清楚,只需要將方法流程用上述幾種硬件描述語言稍作邏輯編程并編程到集成電路 中����,就可以很容易得到實現(xiàn)該邏輯方法流程的硬件電路。
[0168] 控制器可以按任何適當?shù)姆绞綄崿F(xiàn)���,例如,控制器可以采取例如微處理器或處理 器以及存儲可由該(微)處理器執(zhí)行的計算機可讀程序代碼(例如軟件或固件)的計算 機可讀介質(zhì)���、邏輯門���、開關、專用集成電路(Application Specific Integrated Circuit, ASIC)�����、可編程邏輯控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制 器:ARC 625D�����、Atmel AT91SAM��、Microchip PIC18F26K20 以及 Silicone Labs C8051F320�����, 存儲器控制器還可以被實現(xiàn)為存儲器的控制邏輯的一部分��。
[0169] 本領域技術人員也知道�����,除了以純計算機可讀程序代碼方式實現(xiàn)控制器以外�����,完 全可以通過將方法步驟進行邏輯編程來使得控制器以邏輯門���、開關���、專用集成電路����、可編程 邏輯控制器和嵌入微控制器等的形式來實現(xiàn)相同功能���。因此這種控制器可以被認為是一種 硬件部件����,而對其內(nèi)包括的用于實現(xiàn)各種功能的裝置也可以視為硬件部件內(nèi)的結構���?;蛘?甚至����,可以將用于實現(xiàn)各種功能的裝置視為既可以是實現(xiàn)方法的軟件模塊又可以是硬件部 件內(nèi)的結構。
[0170] 上述實施例闡明的系統(tǒng)�、裝置、模塊或單元���,具體可以由計算機芯片或實體實現(xiàn), 或者由具有某種功能的產(chǎn)品來實現(xiàn)�����。
[0171] 為了描述的方便,描述以上裝置時以功能分為各種單元分別描述���。當然��,在實施本 申請時可以把各單元的功能在同一個或多個軟件和/或硬件中實現(xiàn)�。
[0172] 通過以上的實施方式的描述可知����,本領域的技術人員可以清楚地了解到本申請可 借助軟件加必需的通用硬件平臺的方式來實現(xiàn)?����;谶@樣的理解���,本申請的技術方案本質(zhì) 上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來���,該計算機軟件產(chǎn)品 可以存儲在存儲介質(zhì)中,如R0M/RAM�、磁碟、光盤等�����,包括若干指令用以使得一臺計算機設備 (可以是個人計算機,服務器���,或者網(wǎng)絡設備等)執(zhí)行本申請各個實施例或者實施例的某些 部分所述的方法�����。
[0173] 本說明書中的各個實施例均采用遞進的方式描述����,各個實施例之間相同相似的部 分互相參見即可���,每個實施例重點說明的都是與其他實施例的不同之處���。尤其,對于系統(tǒng)實 施例而言�,由于其基本相似于方法實施例,所以描述的比較簡單��,相關之處參見方法實施例 的部分說明即可�����。
[0174] 本申請可用于眾多通用或專用的計算機系統(tǒng)環(huán)境或配置中�����。例如:個人計算機��、月艮 務器計算機����、手持設備或便攜式設備、平板型設備����、多處理器系統(tǒng)、基于微處理器的系統(tǒng)�、置 頂盒、可編程的消費電子設備����、網(wǎng)絡PC、小型計算機�、大型計算機、包括以上任何系統(tǒng)或設備 的分布式計算環(huán)境等等��。
[0175] 本申請可以在由計算機執(zhí)行的計算機可執(zhí)行指令的一般上下文中描述�����,例如程序 模塊。一般地�,程序模塊包括執(zhí)行特定任務或實現(xiàn)特定抽象數(shù)據(jù)類型的例程、程序�、對象、組 件�、數(shù)據(jù)結構等等。也可以在分布式計算環(huán)境中實踐本申請�,在這些分布式計算環(huán)境中,由 通過通信網(wǎng)絡而被連接的遠程處理設備來執(zhí)行任務�。在分布式計算環(huán)境中,程序模塊可以 位于包括存儲設備在內(nèi)的本地和遠程計算機存儲介質(zhì)中�。
[0176] 雖然通過實施例描繪了本申請,本領域普通技術人員知道��,本申請有許多變形和 變化而不脫離本申請的精神�����,希望所附的權利要求包括這些變形和變化而不脫離本申請的 精神����。
【主權項】
1. 一種檢測CC攻擊的方法,其特征在于�����,包括: 獲取預設數(shù)量的第一源IP到第一目標IP的訪問請求記錄; 統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識為空的訪問請求記錄的數(shù)量��; 基于所述統(tǒng)計的請求來源頁面標識為空的訪問請求記錄的數(shù)量檢測CC攻擊���。2. 如權利要求1所述的一種檢測CC攻擊的方法,其特征在于��,所述獲取預設數(shù)量的第 一源IP到第一目標IP的訪問請求記錄具體包括: 基于真實源IP的確定規(guī)則���,獲取預設數(shù)量的第一真實源IP到第一目標IP的訪問請求 記錄����。3. 如權利要求2所述的一種檢測CC攻擊的方法���,其特征在于����,所述真實源IP的確定規(guī) 則具體包括: 當訪問請求記錄的x-f〇rward-for字段為空時��,將源IP字段中的IP地址作為真實源 IP ;當訪問請求記錄的x_f〇rward-for字段為非空時���,根據(jù)x-forward-for字段中的IP地 址確定真實源IP��。4. 如權利要求1所述的一種檢測CC攻擊的方法���,其特征在于��,所述基于所述統(tǒng)計的請 求來源頁面標識為空的訪問請求記錄的數(shù)量檢測CC攻擊具體包括: 設置第一檢測閾值����; 當所述統(tǒng)計的請求來源頁面標識為空的訪問請求記錄的數(shù)量大于或者等于所述第一 檢測閾值時��,判定第一源IP到第一目標IP的訪問請求為CC攻擊�。5. 如權利要求1所述的一種檢測CC攻擊的方法,其特征在于��,所述基于所述統(tǒng)計的請 求來源頁面標識為空的訪問請求記錄的數(shù)量檢測CC攻擊具體包括: 設置第二檢測閾值�; 當所述統(tǒng)計的請求來源頁面標識為空的訪問請求記錄的數(shù)量小于所述第二檢測閾值 時,判定第一源IP到第一目標IP的訪問請求不是CC攻擊��。6. 如權利要求1所述的一種檢測CC攻擊的方法�,其特征在于,所述基于所述統(tǒng)計的請 求來源頁面標識為空的訪問請求記錄的數(shù)量檢測CC攻擊具體包括: 設置第一比例閾值�����; 當所述統(tǒng)計的請求來源頁面標識為空的訪問請求記錄的數(shù)量占所述預設數(shù)量的比例 值大于或者等于所述比例閾值時,判定第一源IP到第一目標IP的訪問請求為CC攻擊�。7. 如權利要求1所述的一種檢測CC攻擊的方法,其特征在于���,所述基于所述統(tǒng)計的請 求來源頁面標識為空的訪問請求記錄的數(shù)量檢測CC攻擊具體包括: 設置第二比例閾值��; 當所述統(tǒng)計的請求來源頁面標識為空的訪問請求記錄的數(shù)量占所述預設數(shù)量的比例 值小于所述第二比例閾值時,判定第一源IP到第一目標IP的訪問請求不是CC攻擊���。8. -種檢測CC攻擊的方法�����,其特征在于����,包括: 監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求�; 統(tǒng)計所述訪問請求中請求來源頁面標識為空的訪問請求的累積數(shù)量; 基于所述統(tǒng)計的請求來源頁面標識為空的訪問請求的累積數(shù)量檢測CC攻擊���。9. 如權利要求8所述的一種檢測CC攻擊的方法�,其特征在于��,所述監(jiān)控預設數(shù)量的第 一源IP到第一目標IP的訪問請求具體包括: 基于真實源IP的確定規(guī)則,監(jiān)控預設數(shù)量的第一真實源IP到第一目標IP的訪問請 求����。10. 如權利要求9所述的一種檢測CC攻擊的方法,其特征在于����,所述真實源IP的確定 規(guī)則具體包括: 當訪問請求的x-forward-for字段為空時,將源IP字段中的IP地址作為真實源IP ; 當訪問請求的x_f〇rward-for字段為非空時�����,根據(jù)x-forward-for字段中的IP地址確 定真實源IP�����。11. 如權利要求8所述的一種檢測CC攻擊的方法���,其特征在于��,所述基于所述統(tǒng)計的請 求來源頁面標識為空的訪問請求的累積數(shù)量檢測CC攻擊具體包括: 設置第三檢測閾值����; 當所述統(tǒng)計的請求來源頁面標識為空的訪問請求的累積數(shù)量大于或者等于所述第三 檢測閾值時,判定第一源IP到第一目標IP的訪問請求為CC攻擊�。12. 如權利要求8所述的一種檢測CC攻擊的方法,其特征在于���,所述基于所述統(tǒng)計的請 求來源頁面標識為空的訪問請求的累積數(shù)量檢測CC攻擊具體包括: 設置第四檢測閾值��; 當所述統(tǒng)計的請求來源頁面標識為空的訪問請求的累積數(shù)量小于所述第四檢測閾值 時�,判定第一源IP到第一目標IP的訪問請求不是CC攻擊��。13. 如權利要求8所述的一種檢測CC攻擊的方法��,其特征在于�����,所述基于所述統(tǒng)計的請 求來源頁面標識為空的訪問請求的累積數(shù)量檢測CC攻擊具體包括: 設置第三比例閾值�����; 當所述統(tǒng)計的請求來源頁面標識為空的訪問請求的累積數(shù)量占所述預設數(shù)量的比例 值大于或者等于所述第三比例閾值時���,判定第一源IP到第一目標IP的訪問請求為CC攻 擊。14. 如權利要求8所述的一種檢測CC攻擊的方法���,其特征在于�����,所述基于所述統(tǒng)計的請 求來源頁面標識為空的訪問請求的累積數(shù)量檢測CC攻擊具體包括: 設置第四比例閾值��; 當所述統(tǒng)計的請求來源頁面標識為空的訪問請求的累積數(shù)量占所述預設數(shù)量的比例 值小于所述第四比例閾值時��,判定第一源IP到第一目標IP的訪問請求不是CC攻擊��。15. -種檢測CC攻擊的方法���,其特征在于����,包括: 獲取預設數(shù)量的第一源IP到第一目標IP的訪問請求記錄�����; 統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識互不相同的訪問請求記錄的數(shù) 量���; 基于所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求記錄的數(shù)量檢測CC攻擊���。16. 如權利要求15所述的一種檢測CC攻擊的方法�,其特征在于��,所述獲取預設數(shù)量的 第一源IP到第一目標IP的訪問請求記錄具體包括: 基于真實源IP的確定規(guī)則��,獲取預設數(shù)量的第一真實源IP到第一目標IP的訪問請求 記錄�����。17. 如權利要求16所述的一種檢測CC攻擊的方法�,其特征在于,所述真實源IP的確定 規(guī)則具體包括: 當訪問請求記錄的x-f〇rward-for字段為空時����,將源IP字段中的IP地址作為真實源 IP ; 當訪問請求記錄的x_f〇rward-for字段為非空時,根據(jù)x-forward-for字段中的IP地 址確定真實源IP��。18. 如權利要求15所述的一種檢測CC攻擊的方法�,其特征在于�����,所述基于所述統(tǒng)計的 請求來源頁面標識互不相同的訪問請求記錄的數(shù)量檢測CC攻擊具體包括: 設置第五檢測閾值����; 當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求記錄的數(shù)量小于所述第五檢測 閾值時�����,判定第一源IP到第一目標IP的訪問請求是CC攻擊���。19. 如權利要求15所述的一種檢測CC攻擊的方法,其特征在于���,所述基于所述統(tǒng)計的 請求來源頁面標識互不相同的訪問請求記錄的數(shù)量檢測CC攻擊具體包括: 設置第六檢測閾值 當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求記錄的數(shù)量大于或者等于所述 第六檢測閾值時����,判定第一源IP到第一目標IP的訪問請求不是CC攻擊����。20. 如權利要求15所述的一種檢測CC攻擊的方法,其特征在于�,所述基于所述統(tǒng)計的 請求來源頁面標識互不相同的訪問請求記錄的數(shù)量檢測CC攻擊具體包括: 設置第五比例閾值; 當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求記錄的數(shù)量占所述預設數(shù)量的 比例值小于所述第五比例閾值時��,判定第一源IP到第一目標IP的訪問請求是CC攻擊�。21. 如權利要求15所述的一種檢測CC攻擊的方法,其特征在于�����,所述基于所述統(tǒng)計的 請求來源頁面標識互不相同的訪問請求記錄的數(shù)量檢測CC攻擊具體包括: 設置第六比例閾值; 當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求記錄的數(shù)量占所述預設數(shù)量的 比例值大于或者等于所述第六比例閾值時����,判定第一源IP到第一目標IP的訪問請求不是 CC攻擊。22. -種檢測CC攻擊的方法��,其特征在于�,包括: 監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求; 統(tǒng)計請求來源頁面標識互不相同的訪問請求的累積數(shù)量�����; 基于所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求的累積數(shù)量檢測CC攻擊�����。23. 如權利要求22所述的一種檢測CC攻擊的方法���,其特征在于��,所述監(jiān)控預設數(shù)量的 第一源IP到第一目標IP的訪問請求具體包括: 基于真實源IP的確定規(guī)則,監(jiān)控預設數(shù)量的第一真實源IP到第一目標IP的訪問請 求�����。24. 如權利要求23所述的一種檢測CC攻擊的方法,其特征在于�����,所述真實源IP的確定 規(guī)則具體包括: 當訪問請求的x-forward-for字段為空時����,將源IP字段中的IP地址作為真實源IP ; 當訪問請求的x_f〇rward-for字段為非空時,根據(jù)x-forward-for字段中的IP地址確 定真實源IP�。25. 如權利要求22所述的一種檢測CC攻擊的方法,其特征在于��,所述基于所述統(tǒng)計的 請求來源頁面標識互不相同的訪問請求的累積數(shù)量檢測CC攻擊具體包括: 設置第七檢測閾值�; 當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求的累積數(shù)量小于所述第七檢測 閾值時,判定第一源IP到第一目標IP的訪問請求是CC攻擊�����。26. 如權利要求22所述的一種檢測CC攻擊的方法�,其特征在于,所述基于所述統(tǒng)計的 請求來源頁面標識互不相同的訪問請求的累積數(shù)量檢測CC攻擊具體包括: 設置第八檢測閾值���; 當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求的累積數(shù)量大于或者等于所述 第八檢測閾值時��,判定第一源IP到第一目標IP的訪問請求不是CC攻擊����。27. 如權利要求22所述的一種檢測CC攻擊的方法,其特征在于�,所述基于所述統(tǒng)計的 請求來源頁面標識互不相同的訪問請求的累積數(shù)量檢測CC攻擊具體包括: 設置第七比例閾值; 當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求的累積數(shù)量占所述預設數(shù)量的 比例值小于所述第七比例閾值時�����,判定第一源IP到第一目標IP的訪問請求是CC攻擊�。28. 如權利要求22所述的一種檢測CC攻擊的方法,其特征在于�����,所述基于所述統(tǒng)計的 請求來源頁面標識互不相同的訪問請求的累積數(shù)量檢測CC攻擊具體包括: 設置第八比例閾值�; 當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求的累積數(shù)量占所述預設數(shù)量的 比例值大于或者等于所述第八比例閾值時,判定第一源IP到第一目標IP的訪問請求不是 CC攻擊����。29. -種檢測CC攻擊的設備,其特征在于��,所述設備為獨立于請求端和目標服務器的 第三方設備�����,包括訪問請求記錄獲取單元���,第一統(tǒng)計單元���,第一判定單元以及第二判定單 元,其中: 所述訪問請求記錄獲取單元�����,用來獲取預設數(shù)量的第一源IP到第一目標IP的訪問請 求記錄��; 所述第一統(tǒng)計單元�,用來統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識為空的訪 問請求記錄的數(shù)量; 所述第一判定單元����,用來設置檢測閾值;當所述統(tǒng)計的請求來源頁面標識為空的訪問 請求記錄的數(shù)量大于或者等于所述檢測閾值時��,判定第一源IP到第一目標IP的訪問請求 為CC攻擊��;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求記錄的數(shù)量小于所述檢測閾 值時��,判定第一源IP到第一目標IP的訪問請求不是CC攻擊; 所述第二判定單元�����,用來設置比例閾值�;當所述統(tǒng)計的請求來源頁面標識為空的訪問 請求記錄的數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時,判定第一源IP 到第一目標IP的訪問請求為CC攻擊�����;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求記 錄的數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時�����,判定第一源IP到第一目標IP的 訪問請求不是CC攻擊�。30. 如權利要求29所述的一種檢測CC攻擊的設備,其特征在于����,所述訪問請求記錄獲 取單元具體包括: 真實源IP訪問請求記錄獲取模塊,用來基于真實源IP的確定規(guī)則����,獲取預設數(shù)量的第 一真實源IP到第一目標IP的訪問請求記錄。31. -種檢測CC攻擊的設備���,其特征在于����,所述設備作為模塊集成于目標服務器中,包 括監(jiān)控單元����,第二統(tǒng)計單元���,第三判定單元以及第四判定單元�,其中: 所述監(jiān)控單元��,用來監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求�����; 所述第二統(tǒng)計單元���,用來統(tǒng)計所述訪問請求中請求來源頁面標識為空的訪問請求的累 積數(shù)量�����; 所述第三判定單元���,用來設置檢測閾值�����;當所述統(tǒng)計的請求來源頁面標識為空的訪問 請求的累積數(shù)量大于或者等于所述檢測閾值時�����,判定第一源IP到第一目標IP的訪問請求 為CC攻擊�����;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求的累積數(shù)量小于所述檢測閾 值時�,判定第一源IP到第一目標IP的訪問請求不是CC攻擊����; 所述第四判定單元,用來設置比例閾值�;當所述統(tǒng)計的請求來源頁面標識為空的訪問 請求的累積數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時,判定第一源IP 到第一目標IP的訪問請求為CC攻擊�����;當所述統(tǒng)計的請求來源頁面標識為空的訪問請求的 累積數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時�����,判定第一源IP到第一目標IP的 訪問請求不是CC攻擊。32. 如權利要求31所述的一種檢測CC攻擊的設備�����,其特征在于�,所述監(jiān)控單元具體包 括: 真實源IP訪問請求監(jiān)控模塊,用來基于真實源IP的確定規(guī)則���,監(jiān)控預設數(shù)量的第一真 實源IP到第一目標IP的訪問請求。33. -種檢測CC攻擊的設備���,其特征在于����,所述設備為獨立于請求端和目標服務器的 第三方設備�����,包括訪問請求記錄獲取單元�,第三統(tǒng)計單元,第五判定單元以及第六判定單 元�,其中: 所述訪問請求記錄獲取單元�����,用來獲取預設數(shù)量的第一源IP到第一目標IP的訪問請 求記錄����; 所述第三統(tǒng)計單元�����,用來統(tǒng)計所述獲取的訪問請求記錄中請求來源頁面標識互不相同 的訪問請求記錄的數(shù)量���; 所述第五判定單元�����,用來設置檢測閾值����;當所述統(tǒng)計的請求來源頁面標識互不相同的 訪問請求記錄的數(shù)量大于或者等于所述檢測閾值時����,判定第一源IP到第一目標IP的訪問 請求不是CC攻擊;當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求記錄的數(shù)量小于 所述檢測閾值時�����,判定第一源IP到第一目標IP的訪問請求為CC攻擊; 所述第六判定單元�����,用來設置比例閾值���;當所述統(tǒng)計的請求來源頁面標識互不相同的 訪問請求記錄的數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時���,判定第一源 IP到第一目標IP的訪問請求不是CC攻擊;當所述統(tǒng)計的請求來源頁面標識互不相同的訪 問請求記錄的數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時�,判定第一源IP到第一 目標IP的訪問請求為CC攻擊��。34. 如權利要求33所述的一種檢測CC攻擊的設備�,其特征在于,所述訪問請求記錄獲 取單元具體包括: 真實源IP訪問請求記錄獲取模塊����,用來基于真實源IP的確定規(guī)則,獲取預設數(shù)量的第 一真實源IP到第一目標IP的訪問請求記錄��。35. -種檢測CC攻擊的設備�,其特征在于��,所述設備作為模塊集成于目標服務器中����,包 括監(jiān)控單元����,第四統(tǒng)計單元,第七判定單元以及第八判定單元��,其中: 所述監(jiān)控單元�,用來監(jiān)控預設數(shù)量的第一源IP到第一目標IP的訪問請求; 所述第四統(tǒng)計單元��,用來統(tǒng)計請求來源頁面標識互不相同的訪問請求的累積數(shù)量����; 所述第七判定單元,用來設置檢測閾值�����;當所述統(tǒng)計的請求來源頁面標識互不相同的 訪問請求的累積數(shù)量大于或者等于所述檢測閾值時�,判定第一源IP到第一目標IP的訪問 請求不是CC攻擊;當所述統(tǒng)計的請求來源頁面標識互不相同的訪問請求的累積數(shù)量小于 所述檢測閾值時�����,判定第一源IP到第一目標IP的訪問請求為CC攻擊; 所述第八判定單元����,用來設置比例閾值;當所述統(tǒng)計的請求來源頁面標識互不相同的 訪問請求的累積數(shù)量占所述預設數(shù)量的比例值大于或者等于所述比例閾值時���,判定第一源 IP到第一目標IP的訪問請求不是CC攻擊�����;當所述統(tǒng)計的請求來源頁面標識互不相同的訪 問請求的累積數(shù)量占所述預設數(shù)量的比例值小于所述比例閾值時��,判定第一源IP到第一 目標IP的訪問請求為CC攻擊�。36. 如權利要求35所述的一種檢測CC攻擊的設備���,其特征在于,所述監(jiān)控單元具體包 括: 真實源IP訪問請求監(jiān)控模塊�����,用來基于真實源IP的確定規(guī)則��,監(jiān)控預設數(shù)量的第一真 實源IP到第一目標IP的訪問請求。
【文檔編號】H04L29/06GK105991511SQ201510040959
【公開日】2016年10月5日
【申請日】2015年1月27日
【發(fā)明人】宋陽陽, 祝建躍
【申請人】阿里巴巴集團控股有限公司