CC攻击的检测方法、装置及电子设备制造方法及图纸

技术编号：20181961 阅读：47 留言：0更新日期：2019-01-23 02:08

本发明专利技术提供了一种CC攻击的检测方法、装置及电子设备，涉及网络异常检测的技术领域，其中，该CC攻击的检测方法包括：设置次数窗口尺寸和次数窗口的单次滑动距离；按照次数窗口设置依次计算次数窗口在每个滑动位置的信息熵值；若任一滑动位置的信息熵值小于预设信息熵阈值，则判定次数窗口在滑动位置处发生CC攻击。该方法通过次数窗口模型和信息熵算法，能够更快地发现网络异常状况，具备更强的实时检测能力；且该方法采用请求访问次数的维度来定义滑动窗口，可有效避免因为单位时间内请求次数不同造成的熵值差异，检测结果更加准确。

Detection Method, Device and Electronic Equipment of CC Attack

The invention provides a detection method, device and electronic equipment of CC attack, which relates to the technical field of network anomaly detection. The detection method of CC attack includes: setting the size of the number window and the single sliding distance of the number window; calculating the information entropy value of the number window at each sliding position in turn according to the number window setting; and if the information entropy value of any sliding position is small. When the threshold of information entropy is preset, the CC attack occurs at the sliding position of the decision window. Through the number window model and the information entropy algorithm, this method can detect network anomalies more quickly and has stronger real-time detection ability. Moreover, this method uses the dimension of the number of requests to define the sliding window, which can effectively avoid the difference of entropy values caused by the different number of requests per unit time, and the detection results are more accurate.

全部详细技术资料下载

【技术实现步骤摘要】
CC攻击的检测方法、装置及电子设备
本专利技术涉及CC攻击的检测领域，尤其是涉及一种CC攻击的检测方法、装置、系统及电子设备。
技术介绍
CC(ChallengeCollapsar)攻击是一种针对应用层WEB服务的攻击方法。CC攻击的目的是以耗尽服务器资源造成拒绝服务。CC攻击的原理并不复杂，它利用应用层的弱点进行攻击。网站中性能不优的数据查询，不良的程序执行结构，以及比较消耗资源的功能等，都可能成为CC攻击的目标。例如，论坛的搜索功能，需要消耗大量的数据库查询时间和系统资源。攻击者通过频繁调用搜索功能，使查询请求累积不能立即完成，资源无法释放，导致数据库请求连接过多，数据库阻塞，网站无法正常打开。目前，现有的CC攻击的检测方法主要包括以下几种：1、采用Cookie认证检测CC攻击，缺点是无法识别改进后的攻击行为。2、通过HTTP_X_FORWARDED_FOR变量检测，缺点是不适用于检测利用不发送HTTP_X_FORWARDED_FOR变量的代理服务器进行攻击的行为。3、通过访问请求重定向方式进行检测，缺点是无法检测出攻击者使用可以响应页面重定向指令的攻击软件进...

【技术保护点】
1.一种CC攻击的检测方法，其特征在于，包括：设置次数窗口尺寸和次数窗口的单次滑动距离；按照次数窗口设置依次计算所述次数窗口在每个滑动位置的信息熵值；若任一滑动位置的信息熵值小于预设信息熵阈值，则判定所述次数窗口在所述滑动位置处发生CC攻击。

【技术特征摘要】
1.一种CC攻击的检测方法，其特征在于，包括：设置次数窗口尺寸和次数窗口的单次滑动距离；按照次数窗口设置依次计算所述次数窗口在每个滑动位置的信息熵值；若任一滑动位置的信息熵值小于预设信息熵阈值，则判定所述次数窗口在所述滑动位置处发生CC攻击。2.根据权利要求1所述的方法，其特征在于，所述按照次数窗口设置依次计算所述次数窗口在每个滑动位置的信息熵值，包括：对于每个滑动位置：获取所述次数窗口在次数窗口尺寸范围内的各类URL请求的请求次数；根据次数窗口尺寸、各类URL请求的请求次数，计算得到各类URL请求在次数窗口尺寸范围内的出现概率；基于各类URL请求的出现概率计算次数窗口的信息熵值。3.根据权利要求2所述的方法，其特征在于，利用下列算式计算各类URL请求在次数窗口尺寸范围内的出现概率：Pi＝Ti/A其中，Pi表示第i类URL请求的出现概率，Ti表示第i类URL请求的的请求次数，A表示窗口尺寸。4.根据权利要求3所述的方法，其特征在于，利用下列算式基于各类URL请求的出现概率计算次数窗口在每个滑动位置的信息熵值：其中，H表示信息熵值，Pi表示第i类URL请求的出现概率。5.根据权利要求2所述的方法，其特征在于，获取所述次数窗口在次数窗口尺寸范围内的各类URL请求的请求次数，包括：获取所有可被请求资源的站点URL；所述站点包括静态站点和动态站点；将请求所有的静态站点页面的URL归类为静态页面URL请求，将请求同一动态站点页面的URL归类为一个动态页面URL请求；对次数窗口尺寸范围内的各类URL请求进行统计，得到各类URL请求的请求次数。6.根据权利要求...

【专利技术属性】
技术研发人员：张宁波，范渊，龙文洁，莫金友，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33

全部详细技术资料下载我是这个专利的主人