本发明专利技术提供了一种拒绝服务攻击的攻击源的识别方法和装置。该拒绝服务攻击的攻击源的识别方法包括:接收触发攻击源识别的异常事件;获取在第一预定时间段内向目标主机发出的访问请求总量;确定在第一预定时间段内向目标主机发出的访问请求量最大的请求源,并记录请求源发出的请求访问的数量为第一访问量;判断第一访问量占访问请求总量的比率是否超过预设比值,若是,确定请求源为拒绝服务攻击的攻击源。利用本发明专利技术的技术方案,在对单一请求源对目标主机进行拒绝服务攻击时的识别准确性高,可以有效地对拒绝服务攻击中单攻击源的攻击方式进行识别和防护,提高了网络安全性。
【技术实现步骤摘要】
拒绝服务攻击的攻击源的识别方法和装置
本专利技术涉及互联网安全领域,特别是涉及一种拒绝服务攻击的攻击源的识别方法和装置。
技术介绍
拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。大量超出响应能力的请求会大量消耗目标主机的资源,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。严重时可以使某些服务被暂停甚至主机死机。作为拒绝服务攻击的一种,CC攻击(ChallengeCollapsar,挑战黑洞攻击),是利用不断对网站发送连接请求致使形成拒绝服务的目的的一种恶意攻击手段。其原理为模拟多个用户不停地进行访问那些需要大量数据操作的页面,造成目标主机服务器资源耗尽,一直到宕机崩溃。由于CC攻击的攻击方式是通过模拟用户的访问请求,难以进行区分,而且CC攻击的技术门槛较低,利用一些工具和一定熟练数量的代理IP就可以进行攻击,而且CC攻击的攻击效果明显。现有技术中针对拒绝服务攻击,特别是CC攻击的处理方案,主要禁止网站代理访问,限制连接数量,尽量将网站做成静态页面等方法进行,然而以上禁止代理访问和限制连接数量的方法会影响正常用户访问网站,另外由于网页的类型和内容的限制,也无法将网页全部设置为静态页面,而且这种方式也不能消除CC攻击的效果。因此,为了对CC攻击进行合理有效的防护,需要首先识别出进行CC攻击的攻击源。但是针对现有技术中无法准确识别拒绝服务攻击的攻击源的问题,目前尚未提出有效的解决方案。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的拒绝服务攻击的攻击源的识别装置和相应的拒绝服务攻击的攻击源的识别方法。本专利技术一个进一步的目的是要识别出拒绝服务攻击的攻击源,以便有针对性地进行安全防护。依据本专利技术的一个方面,提供了一种拒绝服务攻击的攻击源的识别方法。该拒绝服务攻击的攻击源的识别方法包括:接收触发攻击源识别的异常事件;获取在第一预定时间段内向目标主机发出的访问请求总量;确定在第一预定时间段内向目标主机发出的访问请求量最大的请求源,并记录请求源发出的请求访问的数量为第一访问量;判断第一访问量占访问请求总量的比率是否超过预设比值,若是,确定请求源为拒绝服务攻击的攻击源。可选地,异常事件的生成步骤包括:判断在第二预定时间段内向目标主机发出的访问请求总量是否超出预设的访问量最大阈值;若是,生成触发攻击源识别的异常事件。可选地,异常事件的生成步骤包括:判断在第三预定时间段内目标主机根据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值;若是,生成触发攻击源识别的异常事件。可选地,在判断目标主机根据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值之前还包括:判断在第三预定时间段内向目标主机发出的访问请求总量是否超过预设的网站安全响应阈值;若是,获取目标主机根据访问请求返回的异常响应量与正常访问量,并执行判断目标主机根据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值的步骤。可选地,获取在第一预定时间段内向目标主机发出的访问请求总量包括:读取与目标主机数据连接的网页应用防护系统的运行日志文件,并统计在第一预定时间段内运行日志文件中记录的向目标主机发出的访问请求总量;获取在第一预定时间段内向目标主机发出的访问请求最多的请求源包括:统计在第一预定时间段内运行日志文件中记录的向目标主机发出的访问请求的请求源,并确定出访问请求量最大的请求源。可选地,在确定请求源为进行目标主机攻击的攻击源之后还包括:开启攻击源对应的网页应用防护系统的攻击防护机制。可选地,开启攻击源对应的网页应用防护系统的攻击防护机制包括:过滤攻击源通过网页应用防护系统向目标主机发送的访问请求;或对向攻击源发送验证信息,并接收攻击源的后续请求信息;判断后续请求信息是否与验证信息匹配,若否,过滤攻击源的访问请求。根据本专利技术的另一个方面,提供了一种拒绝服务攻击的攻击源的识别装置。该拒绝服务攻击的攻击源的识别装置包括:事件触发接口,用于接收触发攻击源识别的异常事件;访问请求获取模块,用于获取在第一预定时间段内向目标主机发出的访问请求总量;请求源确定模块,用于获取在第一预定时间段内向目标主机发出的访问请求总量,并记录请求源发出的请求访问的数量为第一访问量;攻击源确定模块,用于判断第一访问量占访问请求总量的比率是否超过预设比值,若是,确定请求源为拒绝服务攻击的攻击源。可选地,上述拒绝服务攻击的攻击源的识别装置还包括:第一事件生成模块,用于判断在第二预定时间段内向目标主机发出的访问请求总量是否超出预设的访问量最大阈值;若是,生成触发攻击源识别的异常事件;第二事件生成模块,用于判断在第三预定时间段内目标主机根据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值;若是,生成触发攻击源识别的异常事件。可选地,第二事件生成模块被配置为:判断在第三预定时间段内向目标主机发出的访问请求总量是否超过预设的网站安全响应阈值;若是,获取目标主机根据访问请求返回的异常响应量与正常访问量,并执行判断目标主机根据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值的步骤。可选地,访问请求获取模块被配置为:用于读取与目标主机数据连接的网页应用防护系统的运行日志文件,并统计在第一预定时间段内运行日志文件中记录的向目标主机发出的访问请求总量;请求源确定模块被配置为:统计在第一预定时间段内运行日志文件中记录的向目标主机发出的访问请求的请求源,并确定出访问请求量最大的请求源。可选地,上述拒绝服务攻击的攻击源的识别装置还包括:第一防护模块,用于过滤攻击源通过网页应用防护系统向目标主机发送的访问请求;或第二防护模块,用于对向攻击源发送验证信息,并接收攻击源的后续请求信息;判断后续请求信息是否与验证信息匹配,若否,过滤攻击源的访问请求。本专利技术的拒绝服务攻击的攻击源的识别方法和拒绝服务攻击的攻击源识别的装置在接收到触发攻击源识别的事件后,按照单一请求源对目标主机进行拒绝服务攻击的特点利用单一请求源占所有请求源的占比进行攻击源的识别,识别准确性高,可以有效的对拒绝服务攻击中单攻击源的攻击方式进行识别和防护,提高了网络安全性。进一步地,以上识别攻击源的触发方式包括请求量异常和网站存活判断,在目标主机出现异常的情况下,及时开启攻击源识别和防护,快速有效地保护目标主机的安全性。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。根据下文结合附图对本专利技术具体实施例的详细描述,本领域技术人员将会更加明了本专利技术的上述以及其他目的、优点和特征。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1是根据本专利技术一个实施例的拒绝服务攻击的攻击源的识别装置200的网络应用环境的示意图;图2是根据本专利技术一个实施例的拒绝服务攻击的攻击源的识本文档来自技高网...
【技术保护点】
一种拒绝服务攻击的攻击源的识别方法,包括:接收触发攻击源识别的异常事件;获取在第一预定时间段内向目标主机发出的访问请求总量;确定在第一预定时间段内向所述目标主机发出的访问请求量最大的请求源,并记录所述请求源发出的请求访问的数量为第一访问量;判断所述第一访问量占所述访问请求总量的比率是否超过预设比值,若是,确定所述请求源为拒绝服务攻击的攻击源。
【技术特征摘要】
1.一种拒绝服务攻击的攻击源的识别方法,包括:接收触发攻击源识别的异常事件;获取在第一预定时间段内向目标主机发出的访问请求总量,该步骤包括:读取与所述目标主机数据连接的多个网页应用防护系统的运行日志文件,并统计在所述第一预定时间段内所述运行日志文件中记录的向所述目标主机发出的访问请求总量;确定在第一预定时间段内向所述目标主机发出的访问请求量最大的请求源,并记录所述请求源发出的请求访问的数量为第一访问量;判断所述第一访问量占所述访问请求总量的比率是否超过预设比值,若是,确定所述请求源为拒绝服务攻击的攻击源,并且所述异常事件的生成步骤包括:判断在第二预定时间段内向所述目标主机发出的访问请求总量是否超出预设的访问量最大阈值;若是,生成所述触发攻击源识别的异常事件;或者判断在第三预定时间段内所述目标主机根据所述访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值;若是,生成所述触发攻击源识别的异常事件。2.根据权利要求1所述的方法,其中,在判断所述目标主机根据所述访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值之前还包括:判断在第三预定时间段内向所述目标主机发出的访问请求总量是否超过预设的网站安全响应阈值;若是,获取所述目标主机根据所述访问请求返回的异常响应量与正常访问量,并执行判断所述目标主机根据所述访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值的步骤。3.根据权利要求1或2所述的方法,其中,获取在第一预定时间段内向所述目标主机发出的访问请求最多的请求源包括:统计在所述第一预定时间段内所述运行日志文件中记录的向所述目标主机发出的访问请求的请求源,并确定出访问请求量最大的请求源。4.根据权利要求1或2所述的方法,其中,在确定所述请求源为进行目标主机攻击的攻击源之后还包括:开启所述攻击源对应的网页应用防护系统的攻击防护机制。5.根据权利要求4所述的方法,其中,开启所述攻击源对应的网页应用防护系统的攻击防护机制包括:过滤所述攻击源通过所述网页应用防护系统向所述目标主机发送的访问请求;或对向所述攻击源发送验证信息,并接...
【专利技术属性】
技术研发人员:蒋文旭,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。