本发明专利技术提供一种CC攻击的防护方法及装置,所述方法包括:获取终端访问网络过程中的流量报文;根据预设的WAF规则对所述流量报文进行筛选获得WAF日志;对所述WAF日志进行分析获得第一日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略进行比较,在确定未发生局部CC攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略进行比较,在确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源,能够做到对CC攻击的整体防护以及存储攻击情况。
【技术实现步骤摘要】
CC攻击的防护方法及装置
本专利技术涉及网络安全
,尤其涉及一种CC攻击的防护方法及装置。
技术介绍
CC攻击(ChallengeCollapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击现象。攻击者通过代理服务器向受害终端主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。CC攻击的攻击技术含量低,利用工具和一些IP代理,一个初、中级的电脑水平的用户就能够实施攻击。不过,如果了解了CC攻击的原理,那就不难针对CC攻击实施一些有效的防范措施。但目前还不存在整体防护的方法措施,以及不能进行预测攻击趋势的方法。
技术实现思路
本专利技术提供一种CC攻击的防护方法及装置,用于解决现有技术中针对CC攻击无法整体防护的问题。第一方面,本专利技术提供一种CC攻击的防护方法,包括:获取终端访问网络过程中的流量报文;根据预设的第一规则对所述流量报文进行筛选获得WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。可选地,还包括:根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果未确定发生局部CC攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。可选地,还包括:根据预设的第二规则对所述流量报文进行筛选获得LVS流量;获取预设的域名测速规则;根据所述LVS流量、日志统计参数、第一攻击源、第二攻击源和域名测速规则进行预测,获得预测结果;根据所述预测结果,在确定发生攻击时,将所述终端进行LVS封禁和/或WAF封禁。可选地,还包括:根据所述预测结果,在确定未发生攻击时,生成曲线图进行展示。可选地,还包括:根据所述LVS流量、日志统计参数、第一攻击源和第二攻击源进行分析获得分析图进行展示。第二方面,本专利技术提供一种CC攻击的防护装置,包括:获取模块,用于获取终端访问网络过程中的流量报文;WAF筛选模块,用于根据预设的WAF规则对所述流量报文进行筛选获得WAF日志;分析模块,用于对所述WAF日志进行分析获得日志统计参数;第一比较模块,用于根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;第二比较模块,用于继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。可选地,所述第一比较模块,还用于:根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果未确定发生局部CC攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。可选地,还包括LVS筛选模块和预测模块,用于:LVS筛选模块,用于根据预设的第二规则对所述流量报文进行筛选获得LVS流量;预存模块,用于:获取预设的域名测速规则;根据所述LVS流量、日志统计参数、第一攻击源、第二攻击源和域名测速规则进行预测,获得预测结果;根据所述预测结果,在确定发生攻击时,将所述终端进行LVS封禁和/或WAF封禁。可选地,还包括展示模块,用于:根据所述预测结果,在确定未发生攻击时,生成曲线图进行展示。可选地,所述展示模块,还用于:根据所述LVS流量、日志统计参数、第一攻击源和第二攻击源进行分析获得分析图进行展示。第三方面,本专利技术提供一种电子设备,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;其中,所述处理器,存储器通过所述总线完成相互间的通信;所述处理器执行所述计算机程序时实现如上述的方法。第四方面,本专利技术提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如上述的方法。由上述技术方案可知,本专利技术实施例提供的一种CC攻击的防护方法及装置,通过获取终端访问网络过程中的流量报文;根据预设规则对所述流量报文进行筛选获得LVS流量和WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略进行比较,在确定未发生局部攻击时,根据所述日志参数与预设的第二防护阈值策略进行比较,在确定发生全局攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储第二攻击源,能够做到对CC攻击的整体防护以及存储攻击情况。附图说明图1为本专利技术一实施例提供的CC攻击的防护方法的流程示意图;图2为本专利技术一实施例提供的CC攻击的防护方法的整体流程示意图;图3为本专利技术一实施例提供的CC攻击的防护方法的流程示意图;图4为本专利技术一实施例提供的CC攻击的防护装置的结构示意图;图5为本专利技术一实施例提供的CC攻击的防护装置的结构示意图;图6为本专利技术一实施例提供的CC攻击的防护装置的结构示意图;图7为本专利技术一实施例提供的电子设备的结构示意图。具体实施方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。图1示出了本专利技术一实施例提供一种CC攻击的防护方法,包括:S11、获取终端访问网络过程中的流量报文。在本步骤中,需要说明的是,在本专利技术实施例中,如终端通过网络对某一网页进行访问,服务器会获取到对该网页的访问流量。该网页的访问流量为流量报文。S12、根据预设的第一规则对所述流量报文进行筛选获得WAF日志。在本步骤中,需要说明的是,在本专利技术实施例中,所述第一规则为预设规则,该规则用于对流量报文进行筛选出WAF日志。具体可为服务器会通过内置的WAF系统(web应用防护)根据预设的第一规则对所述流量报文进行筛选获得WAF日志。S13、对所述WAF日志进行分析获得日志统计参数。S14、根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源。S15、继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。针对步骤S13-步骤S15,需要说明的是,在本专利技术实施例中,如图2所示的CC攻击的防护方法的整体的流程图,从图中可以看出,防护可分为三层防护,分别为CC-Client、CC-Agent本文档来自技高网...
【技术保护点】
一种CC攻击的防护方法,其特征在于,包括:获取终端访问网络过程中的流量报文;根据预设的第一规则对所述流量报文进行筛选获得WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
【技术特征摘要】
1.一种CC攻击的防护方法,其特征在于,包括:获取终端访问网络过程中的流量报文;根据预设的第一规则对所述流量报文进行筛选获得WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。2.根据权利要求1所述的方法,其特征在于,还包括:根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果未确定发生局部CC攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。3.根据权利要求2所述的方法,其特征在于,还包括:根据预设的第二规则对所述流量报文进行筛选获得LVS流量;获取预设的域名测速规则;根据所述LVS流量、日志统计参数、第一攻击源、第二攻击源和域名测速规则进行预测,获得预测结果;根据所述预测结果,在确定发生攻击时,将所述终端进行LVS封禁和/或WAF封禁。4.根据权利要求3所述的方法,其特征在于,还包括:根据所述预测结果,在确定未发生攻击时,生成曲线图进行展示。5.根据权利要求4所述的方法,其特征在于,还包括:根据所述LVS流量、日志统计参数、第一攻击源和第二攻击源进行分析获得分析图进行展示。6.一种CC攻击的防护装置,其特征在于,包括:获取模块,用于获取终端访问网络过程中的流量报文;WAF筛选模块,用于根据预设的第一规则对所述流量报文进行筛选获得WAF日志;分析模块,用于对所述WAF日志进行分析获得日志统计参数;第一比较模块,用于根据所述日志统计参数与预设的第一防护阈值策略获得...
【专利技术属性】
技术研发人员:王照旗,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。