恶意攻击识别方法及系统技术方案

本申请提供了一种恶意攻击识别方法，包括以下步骤：读取最新的web访问日志；判断所述最新的web访问日志中是否包含静态资源文件，若是，则不作处理，反之，则进行下一步骤；获取所述新的web访问日志中所包含的IP地址的页面请求数，判断单个IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击。本申请还提供了一种实现前述方法的恶意攻击识别系统。本申请的恶意攻击识别方法及系统，能够提高恶意攻击识别的准确性和识别率。

【技术实现步骤摘要】
恶意攻击识别方法及系统
本申请涉及网络安全
，特别是涉及一种恶意攻击识别方法及系统。
技术介绍
目前一些比较大型的地方论坛社区由于种种原因，经常会遭受黑客的攻击，最终经常都损失惨重，有的服务器会带宽耗尽，有的服务器负载很高。其中，常见的攻击为CC(ChallengeCollapsar)攻击，可以归为DDoS攻击的一种，是一种连接攻击，原理为通过发送大量的请求数据来导致服务器拒绝服务。其中CC攻击又可分为代理CC攻击和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求，实现攻击。肉鸡就是被黑客攻破，种植了木马病毒的电脑，肉鸡CC攻击是黑客使用CC攻击软件，控制大量肉鸡，发动攻击。对于前述的连接攻击，目前的解决方案基本上都是实时获取每个IP地址的链接数，即页面请求数，将预定时间内链接数超过一定阀值的IP地址加入黑名单中，禁止该IP地址的访问。这种方法，对于普通的ddos攻击，可以取得较好的效果，但是针对黑客掌握大量肉鸡，然后通过肉鸡来攻击，并通过控制肉鸡的连接数的情况，这可能起不到任何效果，因此目前的方法具有一定的使用局限性，无法准确的识别肉鸡CC攻击。
技术实现思路
本申请提供一种恶意攻击识别方法及系统，能够解决恶意攻击识别局限性和准确性的问题。为了解决上述问题，本申请公开了一种恶意攻击识别方法，包括以下步骤：读取最新的web访问日志；判断所述最新的web访问日志中是否包含静态资源文件，若是，则不作处理，反之，则进行下一步骤；获取所述新的web访问日志中所包含的IP地址的页面请求数，判断单个IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击。进一步地，所述读取最新的web访问日志包括：间隔预定时间读取一次；或对新的web访问日志数量进行监控，若新的web访问日志数量超过预定值，则读取一次。进一步地，所述读取最新的web访问日志包括：间隔预定时间读取固定数量的web访问日志；记录每次读取的最新web访问日志产生的时间点，并进行标识；若下次读取的web访问日志中包含有前一次读取的最新web访问日志产生的时间点，则只保留该时间点之后的web访问日志。进一步地，判断所述最新的web访问日志中是否包含静态资源文件包括：获取新的web访问日志中各文件的后缀；将所述后缀与预先存储的后缀进行匹配；若新的web访问日志中任何一个文件的后缀能与预先存储的后缀中的任何一个匹配上，则确定新的web访问日志中包含有静态资源文件。进一步地，所述判断单个IP地址的页面请求数是否超过阈值包括：统计新的web访问日志中每个IP地址分别对应的页面请求数；选取页面请求数最大的IP地址；判断该IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并进行下一步骤；反之，则确定新的web访问日志中所包含的IP地址的页面请求数未超过阈值；从余下的IP地址中选取页面请求数最大的IP地址，并重复前一步骤。进一步地，所述判断单个IP地址的页面请求数是否超过阈值包括：S1，统计新的web访问日志中每个IP地址分别对应的页面请求数；S2，按照页面请求数从大到小的顺序对所有的IP地址进行排序；S3，选取序号在预定数值内的IP地址；S4，逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并进行步骤S5，反之，则不作处理；S5，对未被选取的IP地址按照页面请求数从大到小的顺序重新进行排序，并重复步骤S3和S4。进一步地，所述步骤S4包括：按照序号从大到小选取最大序号的IP地址；判断该IP地址的页面请求数是否超过阈值，若是，则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值；若否，则进行下一步骤；按照序号从大到小选取下一序号的IP地址，重复前一步骤。进一步地，所述方法还包括：禁止确定为恶意攻击的IP地址的访问。进一步地，所述禁止确定为恶意攻击的IP地址的访问包括：将确定为恶意攻击的IP地址加入软件防火墙的禁用列表中。为了解决上述问题，本申请还公开了一种恶意攻击识别系统，包括：访问日志读取模块，用于读取最新的web访问日志；静态资源文件判断模块，用于判断所述最新的web访问日志中是否包含静态资源文件；页面请求数判断模块，用于获取所述新的web访问日志中所包含的IP地址的页面请求数，判断单个IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击。进一步地，所述访问日志读取模块包括：时间单元，用于间隔预定时间触发访问日志模块读取新的web访问日志；或数量单元，用于对新的web访问日志数量进行监控，若新的web访问日志数量超过预定值，则触发访问日志模块读取新的web访问日志。进一步地，所述访问日志读取模块包括：读取单元，用于间隔预定时间读取固定数量的web访问日志；时间点标识单元，用于记录每次读取的最新web访问日志产生的时间点，并进行标识；选择单元，用于判断下次读取的web访问日志中是否包含有前一次读取的最新web访问日志产生的时间点，若有，则只保留该时间点之后的web访问日志。进一步地，所述静态资源文件判断模块包括：后缀获取单元，用于获取新的web访问日志中各文件的后缀；匹配单元，用于将所述后缀与预先存储的后缀进行匹配；确定单元，用于根据匹配结果确定新的web访问日志中是否包含静态资源文件。进一步地，所述页面请求数判断模块包括：统计单元，用于统计新的web访问日志中每个IP地址分别对应的页面请求数；最大页面请求数选取单元，用于选取页面请求数最大的IP地址；比较单元，用于判断该IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并触发最大页面请求数选取单元重新选取新的IP地址再次进行比较；反之，则确定新的web访问日志中所包含的IP地址的页面请求数未超过阈值。进一步地，所述页面请求数判断模块包括：统计单元，用于统计新的web访问日志中每个IP地址分别对应的页面请求数；排序单元，用于按照页面请求数从大到小的顺序对所有的IP地址进行排序；选取单元，用于选取序号在预定数值内的IP地址；判断单元，用于逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并触发排序单元对余下的IP地址重新排序，然后通过选取单元和判断单元重新选取和判断，反之，则不作处理。进一步地，所述判断单元包括：最大序号选取子单元，用于按照序号从大到小选取最大序号的IP地址；确定子单元，用于判断该IP地址的页面请求数是否超过阈值，若是，则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值，若否，则触发最大序号选取子单元重新选取并再次判断。进一步地，所述系统还包括：禁止访问模块，用于禁止确定为恶意攻击的IP地址的访问。与现有技术相比，本申请包括以下优点：本申请的恶意攻击识别方法及系统，通过实时监控新的web访问日志，根据新的web访问日志中所包含的文件来判断一个IP地址对服务器的访问是否为恶意访问，利用人工正常访问和恶意攻击的区别进行实时判断，同时再结合页面请求数来综合判断，可以保证判断结果的准确性，同时可以识别出恶意攻击者利用正常用户的客户端来进行的恶本文档来自技高网...

【技术保护点】
一种恶意攻击识别方法，其特征在于，包括以下步骤：读取最新的web访问日志；判断所述最新的web访问日志中是否包含静态资源文件，若是，则不作处理，反之，则进行下一步骤；获取所述新的web访问日志中所包含的IP地址的页面请求数，判断单个IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击。

【技术特征摘要】
1.一种恶意攻击识别方法，其特征在于，包括以下步骤：读取最新的web访问日志；判断所述最新的web访问日志中是否包含静态资源文件，若是，则不作处理，反之，则进行下一步骤；所述静态资源文件包含图片、css样式文件或javascript脚本文件；获取所述最新的web访问日志中所包含的IP地址的页面请求数，判断单个IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击；其中，所述读取最新的web访问日志包括：间隔预定时间读取固定数量的web访问日志；记录每次读取的最新web访问日志产生的时间点，并进行标识；若下次读取的web访问日志中包含有前一次读取的最新web访问日志产生的时间点，则只保留该时间点之后的web访问日志。2.如权利要求1所述的恶意攻击识别方法，其特征在于，所述读取最新的web访问日志包括：间隔预定时间读取一次；或对最新的web访问日志数量进行监控，若最新的web访问日志数量超过预定值，则读取一次。3.如权利要求1所述的恶意攻击识别方法，其特征在于，判断所述最新的web访问日志中是否包含静态资源文件包括：获取最新的web访问日志中各文件的后缀；将所述后缀与预先存储的后缀进行匹配；若最新的web访问日志中任何一个文件的后缀能与预先存储的后缀中的任何一个匹配上，则确定最新的web访问日志中包含有静态资源文件。4.如权利要求1所述的恶意攻击识别方法，其特征在于，所述判断单个IP地址的页面请求数是否超过阈值包括：统计最新的web访问日志中每个IP地址分别对应的页面请求数；选取页面请求数最大的IP地址；判断该IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并进行下一步骤；反之，则确定最新的web访问日志中所包含的IP地址的页面请求数未超过阈值；从余下的IP地址中选取页面请求数最大的IP地址，并重复前一步骤。5.如权利要求1所述的恶意攻击识别方法，其特征在于，所述判断单个IP地址的页面请求数是否超过阈值包括：S1，统计最新的web访问日志中每个IP地址分别对应的页面请求数；S2，按照页面请求数从大到小的顺序对所有的IP地址进行排序；S3，选取序号在预定数值内的IP地址；S4，逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并进行步骤S5，反之，则不作处理；S5，对未被选取的IP地址按照页面请求数从大到小的顺序重新进行排序，并重复步骤S3和S4。6.如权利要求5所述的恶意攻击识别方法，其特征在于，所述步骤S4包括：按照序号从大到小选取最大序号的IP地址；判断该IP地址的页面请求数是否超过阈值，若是，则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值；若否，则进行下一步骤；按照序号从大到小选取下一序号的IP地址，重复前一步骤。7.如权利要求1至6任一项所述的恶意攻击识别方法，其特征在于，所述方法还包括：禁止确定为恶意攻击的IP地址的访问。8.如权利要求7所述的恶意攻击识别方法，其特征在于，所述禁止确定为恶意攻击的IP地址的访问包括：将确定为恶意攻击的IP地址加入软件防火墙的禁用列表中。9.一...

【专利技术属性】
技术研发人员：林锦成，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：