【技术实现步骤摘要】
恶意攻击识别方法及系统
本申请涉及网络安全
,特别是涉及一种恶意攻击识别方法及系统。
技术介绍
目前一些比较大型的地方论坛社区由于种种原因,经常会遭受黑客的攻击,最终经常都损失惨重,有的服务器会带宽耗尽,有的服务器负载很高。其中,常见的攻击为CC(ChallengeCollapsar)攻击,可以归为DDoS攻击的一种,是一种连接攻击,原理为通过发送大量的请求数据来导致服务器拒绝服务。其中CC攻击又可分为代理CC攻击和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现攻击。肉鸡就是被黑客攻破,种植了木马病毒的电脑,肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击。对于前述的连接攻击,目前的解决方案基本上都是实时获取每个IP地址的链接数,即页面请求数,将预定时间内链接数超过一定阀值的IP地址加入黑名单中,禁止该IP地址的访问。这种方法,对于普通的ddos攻击,可以取得较好的效果,但是针对黑客掌握大量肉鸡,然后通过肉鸡来攻击,并通过控制肉鸡的连接数的情况,这可能起不到任何效果,因此目前的方法具有一定的使用局限性,无法准确的识别肉鸡CC攻击。
技术实现思路
本申请提供一种恶意攻击识别方法及系统,能够解决恶意攻击识别局限性和准确性的问题。为了解决上述问题,本申请公开了一种恶意攻击识别方法,包括以下步骤:读取最新的web访问日志;判断所述最新的web访问日志中是否包含静态资源文件,若是,则不作处理,反之,则进行下一步骤;获取所述新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值,若是, ...
【技术保护点】
一种恶意攻击识别方法,其特征在于,包括以下步骤:读取最新的web访问日志;判断所述最新的web访问日志中是否包含静态资源文件,若是,则不作处理,反之,则进行下一步骤;获取所述新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击。
【技术特征摘要】
1.一种恶意攻击识别方法,其特征在于,包括以下步骤:读取最新的web访问日志;判断所述最新的web访问日志中是否包含静态资源文件,若是,则不作处理,反之,则进行下一步骤;所述静态资源文件包含图片、css样式文件或javascript脚本文件;获取所述最新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击;其中,所述读取最新的web访问日志包括:间隔预定时间读取固定数量的web访问日志;记录每次读取的最新web访问日志产生的时间点,并进行标识;若下次读取的web访问日志中包含有前一次读取的最新web访问日志产生的时间点,则只保留该时间点之后的web访问日志。2.如权利要求1所述的恶意攻击识别方法,其特征在于,所述读取最新的web访问日志包括:间隔预定时间读取一次;或对最新的web访问日志数量进行监控,若最新的web访问日志数量超过预定值,则读取一次。3.如权利要求1所述的恶意攻击识别方法,其特征在于,判断所述最新的web访问日志中是否包含静态资源文件包括:获取最新的web访问日志中各文件的后缀;将所述后缀与预先存储的后缀进行匹配;若最新的web访问日志中任何一个文件的后缀能与预先存储的后缀中的任何一个匹配上,则确定最新的web访问日志中包含有静态资源文件。4.如权利要求1所述的恶意攻击识别方法,其特征在于,所述判断单个IP地址的页面请求数是否超过阈值包括:统计最新的web访问日志中每个IP地址分别对应的页面请求数;选取页面请求数最大的IP地址;判断该IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并进行下一步骤;反之,则确定最新的web访问日志中所包含的IP地址的页面请求数未超过阈值;从余下的IP地址中选取页面请求数最大的IP地址,并重复前一步骤。5.如权利要求1所述的恶意攻击识别方法,其特征在于,所述判断单个IP地址的页面请求数是否超过阈值包括:S1,统计最新的web访问日志中每个IP地址分别对应的页面请求数;S2,按照页面请求数从大到小的顺序对所有的IP地址进行排序;S3,选取序号在预定数值内的IP地址;S4,逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并进行步骤S5,反之,则不作处理;S5,对未被选取的IP地址按照页面请求数从大到小的顺序重新进行排序,并重复步骤S3和S4。6.如权利要求5所述的恶意攻击识别方法,其特征在于,所述步骤S4包括:按照序号从大到小选取最大序号的IP地址;判断该IP地址的页面请求数是否超过阈值,若是,则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值;若否,则进行下一步骤;按照序号从大到小选取下一序号的IP地址,重复前一步骤。7.如权利要求1至6任一项所述的恶意攻击识别方法,其特征在于,所述方法还包括:禁止确定为恶意攻击的IP地址的访问。8.如权利要求7所述的恶意攻击识别方法,其特征在于,所述禁止确定为恶意攻击的IP地址的访问包括:将确定为恶意攻击的IP地址加入软件防火墙的禁用列表中。9.一...
【专利技术属性】
技术研发人员:林锦成,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。