一種基于高頻統(tǒng)計(jì)的cc攻擊識(shí)別方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法及系統(tǒng)，首先，識(shí)別骨干網(wǎng)流量中的HTTPGET請(qǐng)求，并獲取源IP、目的IP和URI，計(jì)算hash值；若緩沖區(qū)中存在與所述hash值相同的統(tǒng)計(jì)項(xiàng)目，則計(jì)數(shù)值加1，否則判斷緩沖區(qū)是否已滿，若否，將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則將緩沖區(qū)所有統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值減1，并判斷緩沖區(qū)中是否存在計(jì)數(shù)值為0的統(tǒng)計(jì)項(xiàng)目，若存在，則清除所述統(tǒng)計(jì)項(xiàng)目，并將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)；若緩沖區(qū)中存在單位時(shí)間計(jì)數(shù)值超過設(shè)定閾值的統(tǒng)計(jì)項(xiàng)目，則認(rèn)為存在CC攻擊，并報(bào)警。本發(fā)明克服了CC攻擊被大型網(wǎng)站的正常訪問淹沒的可能性，利用高頻數(shù)據(jù)統(tǒng)計(jì)的思想來有效識(shí)別CC攻擊。
【專利說明】一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】，尤其涉及一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法及系統(tǒng)。
【背景技術(shù)】
[0002]所述的CC攻擊可以歸為DDoS攻擊的一種。即通過發(fā)送大量的請(qǐng)求數(shù)據(jù)來導(dǎo)致服務(wù)器拒絕服務(wù)，是一種連接攻擊。CC攻擊常見的有代理CC攻擊，和肉雞CC攻擊。代理CC攻擊是黑客借助代理服務(wù)器生成指向受害主機(jī)的合法網(wǎng)頁請(qǐng)求，實(shí)現(xiàn)DOS和偽裝。而肉雞CC攻擊是黑客使用CC攻擊軟件，控制大量肉雞，發(fā)動(dòng)攻擊，相比較而言后者比前者更難防御。因?yàn)槿怆u可以模擬正常用戶訪問網(wǎng)站的請(qǐng)求，偽造成合法數(shù)據(jù)包。
[0003]常規(guī)的防護(hù)DDoS主要是針對(duì)某個(gè)網(wǎng)站，而在骨干網(wǎng)中識(shí)別異常突發(fā)的CC訪問流量，與傳統(tǒng)方法不同的地方是首先有大量的正常訪問流量，其次傳統(tǒng)的訪問計(jì)數(shù)統(tǒng)計(jì)只要針對(duì)所防護(hù)的網(wǎng)絡(luò)的站點(diǎn)，不需要對(duì)其它的站點(diǎn)進(jìn)行統(tǒng)計(jì)，所統(tǒng)計(jì)的信息是非常少的。
[0004]骨干網(wǎng)中進(jìn)行CC攻擊的識(shí)別核心在于能夠?qū)Ρ还舻木W(wǎng)站進(jìn)行訪問統(tǒng)計(jì)，而建立全網(wǎng)全URL的統(tǒng)計(jì)所要消耗的資源則是不收斂的，不斷有新URL加入，新的不同域名加入，需要統(tǒng)計(jì)的內(nèi)容是千變?nèi)f化的，統(tǒng)計(jì)項(xiàng)目不固定，如何從中找到高頻CC攻擊，并且不被正規(guī)大型網(wǎng)站的正常訪問淹沒是目前沒有解決的問題。

【發(fā)明內(nèi)容】

[0005]針對(duì)上述技術(shù)問題，本發(fā)明提供了一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法及系統(tǒng)，該方法通過建立一個(gè)緩沖區(qū)，利用大數(shù)據(jù)高頻統(tǒng)計(jì)的思想，拋棄準(zhǔn)確統(tǒng)計(jì)的傳統(tǒng)方法，實(shí)現(xiàn)有效識(shí)別CC攻擊的目的。
[0006]本發(fā)明采用如下方法來實(shí)現(xiàn):一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法，包括:
步驟1、識(shí)別骨干網(wǎng)流量中的HTTP GET請(qǐng)求，并利用所述HTTP GET請(qǐng)求獲取源IP、目
的IP和URI ；
其中，利用HTTP GET請(qǐng)求內(nèi)容可以獲取目的IP，HTTP頭，URI等，所述URI (UniformResource Locator的縮寫)是統(tǒng)一資源定位符，是HTTP協(xié)議中的字段，是URL的一部分；利用HTTP頭可以獲取源IP、UR1、協(xié)議版本、客戶端信息等內(nèi)容；
步驟2、利用獲取的源IP、目的IP和URI計(jì)算hash值；
步驟3、判斷緩沖區(qū)中是否存在與所述hash值相同的統(tǒng)計(jì)項(xiàng)目，若存在，則該統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值加1，并執(zhí)行步驟6，否則執(zhí)行步驟4 ；
步驟4、判斷緩沖區(qū)中是否存在剩余空間，若存在，將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則將緩沖區(qū)所有統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值減1，并執(zhí)行步驟5 ；步驟5、判斷緩沖區(qū)中是否存在計(jì)數(shù)值為O的統(tǒng)計(jì)項(xiàng)目，若存在，則清除所述統(tǒng)計(jì)項(xiàng)目，并將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則丟棄所述hash值，結(jié)束； 步驟6、當(dāng)緩沖區(qū)中存在單位時(shí)間計(jì)數(shù)值超過設(shè)定閾值的統(tǒng)計(jì)項(xiàng)目，則認(rèn)為存在CC攻擊，并報(bào)警。
[0007]進(jìn)一步地，所述緩沖區(qū)的大小固定。形成一個(gè)穩(wěn)定的統(tǒng)計(jì)數(shù)據(jù)庫(kù)。
[0008]進(jìn)一步地，所述設(shè)定閾值為常規(guī)訪問量的10倍。
[0009]本發(fā)明采用如下系統(tǒng)來實(shí)現(xiàn):一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別系統(tǒng)，包括:
識(shí)別模塊，用于識(shí)別骨干網(wǎng)流量中的HTTP GET請(qǐng)求，并利用所述HTTP GET請(qǐng)求獲取源IP、目的IP和URI ；
其中，利用HTTP GET請(qǐng)求內(nèi)容可以獲取目的IP，HTTP頭，URI等，所述URI (UniformResource Locator的縮寫)是統(tǒng)一資源定位符，是HTTP協(xié)議中的字段，是URL的一部分；利用HTTP頭可以獲取源IP、UR1、協(xié)議版本、客戶端信息等內(nèi)容；
計(jì)算模塊，用于利用獲取的源IP、目的IP和URI計(jì)算hash值；
第一判定模塊，用于判斷緩沖區(qū)中是否存在與所述hash值相同的統(tǒng)計(jì)項(xiàng)目，若存在，則該統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值加1，并由處置模塊進(jìn)行處理，否則由第二判定模塊繼續(xù)判斷；
第二判定模塊，用于判斷緩沖區(qū)中是否存在剩余空間，若存在，將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則將緩沖區(qū)所有統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值減1，并由第三判定模塊繼續(xù)判斷；
第三判定模塊，用于判斷緩沖區(qū)中是否存在計(jì)數(shù)值為O的統(tǒng)計(jì)項(xiàng)目，若存在，則清除所述統(tǒng)計(jì)項(xiàng)目，并將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則丟棄所述hash值,結(jié)束；
處置模塊，當(dāng)緩沖區(qū)中存在單位時(shí)間計(jì)數(shù)值超過設(shè)定閾值的統(tǒng)計(jì)項(xiàng)目，則認(rèn)為存在CC攻擊，并報(bào)警。
[0010]進(jìn)一步地，所述緩沖區(qū)的大小固定。
[0011]進(jìn)一步地，所述設(shè)定閾值為常規(guī)訪問量的10倍。
[0012]綜上所述，本發(fā)明提供了一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法及系統(tǒng)，通過識(shí)別骨干網(wǎng)流量中的HTTP GET請(qǐng)求，并進(jìn)一步獲取源IP、目的IP和URI，利用上述內(nèi)容計(jì)算hash值，并將這些hash值作為統(tǒng)計(jì)項(xiàng)目存儲(chǔ)到緩沖區(qū)中，若hash值已經(jīng)存儲(chǔ)在緩沖區(qū)中，則相應(yīng)計(jì)數(shù)值加1，否則將該hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，若該緩沖區(qū)已滿，則將所有計(jì)數(shù)值減1，將計(jì)數(shù)值為O的統(tǒng)計(jì)項(xiàng)目刪除。從而保證在緩沖區(qū)中存在一定數(shù)量范圍的統(tǒng)計(jì)項(xiàng)目，克服了骨干網(wǎng)數(shù)據(jù)流量大，做精確統(tǒng)計(jì)的困難，做到以極小的資源代價(jià)對(duì)海量骨干網(wǎng)數(shù)據(jù)進(jìn)行CC攻擊的識(shí)別。
【專利附圖】

【附圖說明】
[0013]為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0014]圖1為本發(fā)明提供的一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法流程圖；
圖2為本發(fā)明提供的一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別系統(tǒng)結(jié)構(gòu)圖。
【具體實(shí)施方式】[0015]本發(fā)明給出了一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法及系統(tǒng)，為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明:
本發(fā)明首先提供了一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法，如圖1所示，包括:
SlOl識(shí)別骨干網(wǎng)流量中的HTTP GET請(qǐng)求，并利用所述HTTP GET請(qǐng)求獲取源IP、目的IP 和 URI ；
例如-M IP:113.92.175.10 ；
目的 IP:184.51.198.33 ；
GET/pki/crl/products/ffinlntPCA.crl HTTP/1.1;
URI:http://crl.microsoft.com/pki/crl/products/ffinlntPCA.crl;
S102利用獲取的源IP、目的IP和URI計(jì)算hash值；
將源IP，目的IP和URI進(jìn)行拼接得到一個(gè)字符串如下:
113.92.175.10 1184.51.198.33
http://crl.microsoft.com/pki/crl/products/ffinlntPCA.crl ；
計(jì)算該字符串的 hash 值，例如:CRC64 值為(3857831069L，3494489294L)；
S103判斷緩沖區(qū)中是否存在與所述hash值相同的統(tǒng)計(jì)項(xiàng)目，若是，則該統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值加1，并執(zhí)行S106，否則執(zhí)行S104 ;
S104判斷緩沖區(qū)中是否存在剩余空間，若是，將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則將緩沖區(qū)所有統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值減1，并執(zhí)行S105 ；
S105判斷緩沖區(qū)中是否存在計(jì)數(shù)值為O的統(tǒng)計(jì)項(xiàng)目，若是，則清除所述統(tǒng)計(jì)項(xiàng)目，并將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則丟棄所述hash值，結(jié)束；
S106當(dāng)緩沖區(qū)中存在單位時(shí)間計(jì)數(shù)值超過設(shè)定閾值的統(tǒng)計(jì)項(xiàng)目，則認(rèn)為存在CC攻擊，
并報(bào)警。
[0016]優(yōu)選地，所述緩沖區(qū)的大小固定。
[0017]優(yōu)選地，所述設(shè)定閾值為常規(guī)訪問量的10倍。
[0018]例如:在正常情況下，單位時(shí)間內(nèi)常規(guī)訪問量為20次，而目前單位時(shí)間的訪問量達(dá)到200次以上，則認(rèn)為存在CC攻擊。
[0019]本發(fā)明還提供了一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別系統(tǒng)，如圖2所示，包括:
識(shí)別模塊201，用于識(shí)別骨干網(wǎng)流量中的HTTP GET請(qǐng)求，并利用所述HTTP GET請(qǐng)求獲取源IP、目的IP和URI ；
計(jì)算模塊202，用于利用獲取的源IP、目的IP和URI計(jì)算hash值；
第一判定模塊203，用于判斷緩沖區(qū)中是否存在與所述hash值相同的統(tǒng)計(jì)項(xiàng)目，若存在，則該統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值加I，并由處置模塊206進(jìn)行處理，否則由第二判定模塊204繼續(xù)判斷；
第二判定模塊204，用于判斷緩沖區(qū)中是否存在剩余空間，若存在，將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則將緩沖區(qū)所有統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值減1，并由第三判定模塊205繼續(xù)判斷；
第三判定模塊205，用 于判斷緩沖區(qū)中是否存在計(jì)數(shù)值為O的統(tǒng)計(jì)項(xiàng)目，若存在，則清除所述統(tǒng)計(jì)項(xiàng)目，并將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則丟棄所述hash值,結(jié)束；
處置模塊206，當(dāng)緩沖區(qū)中存在單位時(shí)間計(jì)數(shù)值超過設(shè)定閾值的統(tǒng)計(jì)項(xiàng)目，則認(rèn)為存在CC攻擊，并報(bào)警。
[0020]優(yōu)選地，所述緩沖區(qū)的大小固定。
[0021]優(yōu)選地，所述設(shè)定閾值為常規(guī)訪問量的10倍。
[0022]如上所述，本發(fā)明給出了一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法及系統(tǒng)的具體實(shí)施例，其與傳統(tǒng)方法的區(qū)別在于，傳統(tǒng)的CC攻擊識(shí)別是針對(duì)某個(gè)網(wǎng)站而進(jìn)行的訪問統(tǒng)計(jì)；并且將傳統(tǒng)方法用于骨干網(wǎng)絡(luò)中的CC攻擊識(shí)別，則可能有非常龐大的數(shù)據(jù)需要處理，并且CC攻擊很可能被大型網(wǎng)站的正常訪問所淹沒，從而無法有效識(shí)別。本發(fā)明所提供的方法選取固定大小的緩沖區(qū)，識(shí)別骨干網(wǎng)中的HTTP GET請(qǐng)求，并利用源IP、目的IP和URI計(jì)算hash值，若緩沖區(qū)中存在相同hash值，則計(jì)數(shù)值加1，否則判定緩沖區(qū)是否還有剩余空間，若有，則將所述hash值加入緩沖區(qū)中，計(jì)數(shù)值設(shè)定為1，若沒有剩余空間，則將所有統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值減1，將出現(xiàn)的計(jì)數(shù)值為O的統(tǒng)計(jì)項(xiàng)目清除，將該hash值更新至緩沖區(qū)中。利用這種動(dòng)態(tài)統(tǒng)計(jì)數(shù)據(jù)的方法，限制了緩沖區(qū)中的數(shù)據(jù)量；當(dāng)某一 hash值的單位時(shí)間內(nèi)的計(jì)數(shù)值超過正常情況下平均計(jì)數(shù)值一定程度后，則認(rèn)為發(fā)生了 CC攻擊。本發(fā)明所提供的方法可以利用很小的資源處理骨干網(wǎng)絡(luò)的海量數(shù)據(jù)，有效識(shí)別單個(gè)源頭的單位時(shí)間內(nèi)的高頻訪問情況，從而及時(shí)發(fā)現(xiàn)CC攻擊。
[0023]以上實(shí)施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
【權(quán)利要求】
1.一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法，其特征在于，包括: 步驟1、識(shí)別骨干網(wǎng)流量中的HTTP GET請(qǐng)求，并利用所述HTTP GET請(qǐng)求獲取源IP、目的IP和URI ； 步驟2、利用獲取的源IP、目的IP和URI計(jì)算hash值； 步驟3、判斷緩沖區(qū)中是否存在與所述hash值相同的統(tǒng)計(jì)項(xiàng)目，若存在，則該統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值加1，并執(zhí)行步驟6，否則執(zhí)行步驟4 ； 步驟4、判斷緩沖區(qū)中是否存在剩余空間，若存在，將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則將緩沖區(qū)所有統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值減1，并執(zhí)行步驟5 ； 步驟5、判斷緩沖區(qū)中是否存在計(jì)數(shù)值為O的統(tǒng)計(jì)項(xiàng)目，若存在，則清除所述統(tǒng)計(jì)項(xiàng)目，并將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則丟棄所述hash值，結(jié)束； 步驟6、當(dāng)緩沖區(qū)中存在單位時(shí)間計(jì)數(shù)值超過設(shè)定閾值的統(tǒng)計(jì)項(xiàng)目，則認(rèn)為存在CC攻擊，并報(bào)警。
2.如權(quán)利要求1所述的方法，其特征在于，所述緩沖區(qū)的大小固定。
3.如權(quán)利要求1所述的方法，其特征在于，所述設(shè)定閾值為常規(guī)訪問量的10倍。
4.一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別系統(tǒng)，其特征在于，包括: 識(shí)別模塊，用于識(shí)別骨干網(wǎng)流量中的HTTP GET請(qǐng)求，并利用所述HTTP GET請(qǐng)求獲取源IP、目的IP和URI ； 計(jì)算模塊，用于利用獲取的源IP、目的IP和URI計(jì)算hash值； 第一判定模塊，用于判斷緩沖區(qū)中是否存在與所述hash值相同的統(tǒng)計(jì)項(xiàng)目，若存在，則該統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值加1，并由處置模塊進(jìn)行處理，否則由第二判定模塊繼續(xù)判斷； 第二判定模塊，用于判斷緩沖區(qū)中是否存在剩余空間，若存在，將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則將緩沖區(qū)所有統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值減1，并由第三判定模塊繼續(xù)判斷； 第三判定模塊，用于判斷緩沖區(qū)中是否存在計(jì)數(shù)值為O的統(tǒng)計(jì)項(xiàng)目，若存在，則清除所述統(tǒng)計(jì)項(xiàng)目，并將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則丟棄所述hash值,結(jié)束； 處置模塊，當(dāng)緩沖區(qū)中存在單位時(shí)間計(jì)數(shù)值超過設(shè)定閾值的統(tǒng)計(jì)項(xiàng)目，則認(rèn)為存在CC攻擊，并報(bào)警。
5.如權(quán)利要求4所述的系統(tǒng)，其特征在于，所述緩沖區(qū)的大小固定。
6.如權(quán)利要求4所述的系統(tǒng)，其特征在于，所述設(shè)定閾值為常規(guī)訪問量的10倍。
【文檔編號(hào)】H04L29/06GK103916379SQ201310640806
【公開日】2014年7月9日 申請(qǐng)日期:2013年12月4日 優(yōu)先權(quán)日:2013年12月4日
【發(fā)明者】康學(xué)斌, 董建武, 張栗偉 申請(qǐng)人:哈爾濱安天科技股份有限公司