拒絕服務(wù)攻擊的識別方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種拒絕服務(wù)攻擊的識別方法和裝置���。其中���,拒絕服務(wù)攻擊的識別方法包括以下步驟:獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量,記為第一請求量���;判斷第一請求量是否超出閾值����,閾值通過對目標(biāo)主機(jī)的訪問量進(jìn)行統(tǒng)計(jì)得出���;若是�����,確定目標(biāo)主機(jī)受到拒絕服務(wù)攻擊���。利用本發(fā)明的技術(shù)方案,將預(yù)定時間內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量作為判斷目標(biāo)��,利用目標(biāo)主機(jī)的訪問量統(tǒng)計(jì)得出閾值作為是否受到拒絕服務(wù)攻擊的判斷標(biāo)準(zhǔn)�����,通過總結(jié)拒絕服務(wù)攻擊的現(xiàn)象識別出拒絕服務(wù)攻擊,以便采取相應(yīng)措施�����,大大提高了拒絕服務(wù)攻擊的識別的精確性�����,實(shí)現(xiàn)了主機(jī)的安全防護(hù)����。
【專利說明】拒絕服務(wù)攻擊的識別方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域,特別是涉及一種拒絕服務(wù)攻擊的識別方法和裝置�。【背景技術(shù)】
[0002]拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問�,是黑客常用的攻擊手段之一。利用大量超出響應(yīng)能力的請求消耗大量攻擊目標(biāo)的資源�,這些資源包括磁盤空間、內(nèi)存�、進(jìn)程甚至網(wǎng)絡(luò)帶寬,從而阻止正常用戶的訪問��。嚴(yán)重時可以使某些服務(wù)被暫停甚至主機(jī)死機(jī)��。
[0003]作為拒絕服務(wù)攻擊的一種��,CC攻擊(Challenge Collapsar,挑戰(zhàn)黑洞攻擊)���,是利用不斷對網(wǎng)站發(fā)送連接請求致使形成拒絕服務(wù)的目的的一種惡意攻擊手段��。其原理為模擬多個用戶不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作的頁面,造成目標(biāo)主機(jī)服務(wù)器資源耗盡���,一直到宕機(jī)崩潰����。
[0004]由于CC攻擊的攻擊方式是通過模擬用戶的訪問請求�,難以進(jìn)行區(qū)分,而且CC攻擊的技術(shù)門檻較低����,利用一些工具和一定熟練數(shù)量的代理IP就可以進(jìn)行攻擊,而且CC攻擊的攻擊效果明顯��。
[0005]現(xiàn)有技術(shù)中針對拒絕服務(wù)攻擊��,特別是CC攻擊的處理方案��,主要禁止網(wǎng)站代理訪問���,限制連接數(shù)量��,盡量將網(wǎng)站做成靜態(tài)頁面等方法進(jìn)行����,然而以上禁止代理訪問和限制連接數(shù)量的方法會影響正常用戶訪問網(wǎng)站,另外由于網(wǎng)頁的類型和內(nèi)容的限制����,也無法將網(wǎng)頁全部設(shè)置為靜態(tài)頁面,而且這種方式也不能消除CC攻擊的效果�。針對現(xiàn)有技術(shù)中無法準(zhǔn)確識別拒絕服務(wù)攻擊的問題,目前尚未提出有效的解決方案���。
【發(fā)明內(nèi)容】
[0006]鑒于上述問題���,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的拒絕服務(wù)攻擊的識別裝置和相應(yīng)的拒絕服務(wù)攻擊的識別方法。本發(fā)明一個進(jìn)一步的目的是要識別出針對目標(biāo)主機(jī)的拒絕服務(wù)攻擊��。
[0007]依據(jù)本發(fā)明的一個方面,提供了一種拒絕服務(wù)攻擊的識別方法。該拒絕服務(wù)攻擊的識別方法包括以下步驟:獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量���,記為第一請求量;判斷第一請求量是否超出閾值�,閾值通過對目標(biāo)主機(jī)的訪問量進(jìn)行統(tǒng)計(jì)得出��;若是����,確定目標(biāo)主機(jī)受到拒絕服務(wù)攻擊�����。
[0008]可選地�����,閾值的統(tǒng)計(jì)計(jì)算步驟包括:每間隔第一預(yù)定時間段記錄一次第一請求量����,得到多個第一請求量�;從多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值;計(jì)算多個樣本值的平均值��,根據(jù)平均值設(shè)定閾值����。
[0009]可選地,從多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值包括:選取在第二預(yù)定時間段內(nèi)產(chǎn)生的多個第一請求量����,第二預(yù)定時間段為第一預(yù)定時間段的整數(shù)倍����,將在第二預(yù)定時間段內(nèi)產(chǎn)生的多個第一請求量中的最大值記為第二請求量�;在連續(xù)多個第二預(yù)定時間段內(nèi)分別挑選得出多個第二請求量,并從多個第二請求量中濾除偏差較大的數(shù)據(jù)后����,得到多個樣本值。
[0010]可選地���,根據(jù)平均值設(shè)定閾值包括:計(jì)算平均值與預(yù)定系數(shù)的乘積���,預(yù)定系數(shù)的取值范圍為:1.05至1.3 ;將乘積作為閾值。
[0011]可選地���,獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量包括:讀取與目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件���;統(tǒng)計(jì)在第一預(yù)定時間段內(nèi)運(yùn)行日志文件中記錄的向目標(biāo)主機(jī)發(fā)出的訪問請求,得到第一請求量����。
[0012]可選地���,在確定目標(biāo)主機(jī)受到拒絕服務(wù)攻擊之后還包括:對向目標(biāo)主機(jī)發(fā)出訪問請求的請求方發(fā)送驗(yàn)證信息,并接收請求方的后續(xù)請求信息���;判斷后續(xù)請求信息是否與驗(yàn)證信息匹配�����,若是����,將請求方的訪問請求發(fā)送給目標(biāo)主機(jī)��。
[0013]可選地�����,在確定目標(biāo)主機(jī)受到惡意攻擊之后還包括:對運(yùn)行日志文件進(jìn)行分析��,得出請求量存在異常的向目標(biāo)主機(jī)發(fā)出訪問請求的請求方�;過濾請求方發(fā)出的訪問請求���。
[0014]根據(jù)本發(fā)明的另一個方面����,還提供了一種拒絕服務(wù)攻擊的識別裝置。該拒絕服務(wù)攻擊的識別裝置包括:訪問請求獲取模塊���,用于獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量�,記為第一請求量����;判斷模塊,用于判斷第一請求量是否超出閾值�����,閾值通過對目標(biāo)主機(jī)的訪問量進(jìn)行統(tǒng)計(jì)得出���;識別模塊�,用于在判斷模塊的輸出為是的情況下�,確定目標(biāo)主機(jī)受到拒絕服務(wù)攻擊。
[0015]可選地�,該拒絕服務(wù)攻擊的識別裝置還包括:閾值統(tǒng)計(jì)模塊,用于每間隔第一預(yù)定時間段記錄一次第一請求量�����,得到多個第一請求量;從多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值���;計(jì)算多個樣本值的平均值����,根據(jù)平均值設(shè)定閾值�����。
[0016]閾值統(tǒng)計(jì)模塊被配置為:選取在第二預(yù)定時間段內(nèi)產(chǎn)生的多個第一請求量�����,第二預(yù)定時間段為第一預(yù)定時間段的整數(shù)倍��,將在第二預(yù)定時間段內(nèi)產(chǎn)生的多個第一請求量中的最大值記為第二請求量�����;在連續(xù)多個第二預(yù)定時間段內(nèi)分別挑選得出多個第二請求量��,并從多個第二請求量中濾除偏差較大的數(shù)據(jù)后��,得到多個樣本值;計(jì)算平均值與預(yù)定系數(shù)的乘積���,預(yù)定系數(shù)的取值范圍為:1.05至1.3 ;將乘積作為閾值�。
[0017]可選地���,訪問請求獲取模塊被配置為:讀取與目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件��;統(tǒng)計(jì)在第一預(yù)定時間段內(nèi)運(yùn)行日志文件中記錄的向主機(jī)發(fā)出的訪問請求��,得到第一請求量��。
[0018]可選地����,以上拒絕服務(wù)攻擊的識別裝置還包括:第一防護(hù)模塊����,用于對向目標(biāo)主機(jī)發(fā)出訪問請求的請求方發(fā)送驗(yàn)證信息,并接收請求方的后續(xù)請求信息;判斷后續(xù)請求信息是否與驗(yàn)證信息匹配�,若是,將請求方的訪問請求發(fā)送給目標(biāo)主機(jī)�����,和/或第二防護(hù)模塊,用于對運(yùn)行日志文件進(jìn)行分析�,得出請求量存在異常的向目標(biāo)主機(jī)發(fā)出訪問請求的請求方;過濾請求方發(fā)出的訪問請求��。
[0019]本發(fā)明的拒絕服務(wù)攻擊的識別方法和裝置由于將預(yù)定時間內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量作為判斷目標(biāo)��,利用目標(biāo)主機(jī)的訪問量統(tǒng)計(jì)得出閾值作為是否受到拒絕服務(wù)攻擊的判斷標(biāo)準(zhǔn)���,通過總結(jié)拒絕服務(wù)攻擊的現(xiàn)象識別出拒絕服務(wù)攻擊�����,以便采取相應(yīng)措施�����,大大提高了拒絕服務(wù)攻擊的識別的精確性�,實(shí)現(xiàn)了主機(jī)的安全防護(hù)���。
[0020]進(jìn)一步地�,閾值按照一定的統(tǒng)計(jì)算法得出����,無需進(jìn)行人為干預(yù),自動匹配目標(biāo)主機(jī)處理訪問請求能力����,從而滿足不同目標(biāo)主機(jī)的防護(hù)要求。
[0021]又進(jìn)一步地�����,在識別出拒絕服務(wù)攻擊后�,開啟相應(yīng)的防護(hù)機(jī)制,保護(hù)目標(biāo)主機(jī)的安全運(yùn)行��,而且可以根據(jù)識別結(jié)果查找出進(jìn)行拒絕服務(wù)攻擊的攻擊源��,為后續(xù)安全處理提供了數(shù)據(jù)支持�����。
[0022]上述說明僅是本發(fā)明技術(shù)方案的概述��,為了能夠更清楚了解本發(fā)明的技術(shù)手段�,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的����、特征和優(yōu)點(diǎn)能夠更明顯易懂�,以下特舉本發(fā)明的【具體實(shí)施方式】����。
[0023]根據(jù)下文結(jié)合附圖對本發(fā)明具體實(shí)施例的詳細(xì)描述,本領(lǐng)域技術(shù)人員將會更加明了本發(fā)明的上述以及其他目的���、優(yōu)點(diǎn)和特征�。
【專利附圖】
【附圖說明】
[0024]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述��,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了�����。附圖僅用于示出優(yōu)選實(shí)施方式的目的��,而并不認(rèn)為是對本發(fā)明的限制��。而且在整個附圖中����,用相同的參考符號表示相同的部件。在附圖中:
[0025]圖1是根據(jù)本發(fā)明一個實(shí)施例的拒絕服務(wù)攻擊的識別裝置200的網(wǎng)絡(luò)應(yīng)用環(huán)境的示意圖��;
[0026]圖2是根據(jù)本發(fā)明一個實(shí)施例的拒絕服務(wù)攻擊的識別裝置200的示意圖;
[0027]圖3是根據(jù)本發(fā)明一個實(shí)施例的拒絕服務(wù)攻擊的識別方法的示意圖����;
[0028]圖4是根據(jù)本發(fā)明一個實(shí)施例的拒絕服務(wù)攻擊的識別方法中連續(xù)30天內(nèi)5分鐘最高訪問量的統(tǒng)計(jì)圖��;以及
[0029]圖5是根據(jù)本發(fā)明一個實(shí)施例的拒絕服務(wù)攻擊的識別方法中目標(biāo)主機(jī)接收到的請求量的統(tǒng)計(jì)圖��。
【具體實(shí)施方式】
[0030]在此提供的算法和顯示不與任何特定計(jì)算機(jī)�����、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)��。各種通用系統(tǒng)也可以與基于在此的示教一起使用���。根據(jù)上面的描述�����,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的�����。此外�,本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白�����,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容�����,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式�����。
[0031]圖1是根據(jù)本發(fā)明一個實(shí)施例的拒絕服務(wù)攻擊的識別裝置200的網(wǎng)絡(luò)應(yīng)用環(huán)境的示意圖���,在圖中����,網(wǎng)頁客戶端110訪問目標(biāo)網(wǎng)站時��,需要通過互聯(lián)網(wǎng)向目標(biāo)網(wǎng)站的主機(jī)130發(fā)出訪問請求���,在網(wǎng)頁客戶端110和目標(biāo)主機(jī)130之間設(shè)置了網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)(WebApplication Firewall,簡稱WAF),網(wǎng)頁客戶端110發(fā)出的訪問請求必須經(jīng)過WAF120才能到達(dá)目標(biāo)主機(jī)130��。WAF120作為網(wǎng)站防火防火墻�,提供網(wǎng)站的加速和緩存服務(wù),可防止黑客利用跨站注入等漏洞以入侵網(wǎng)站���,保護(hù)網(wǎng)站不被篡改和入侵�����,提高網(wǎng)站主機(jī)的安全性。本發(fā)明實(shí)施例的拒絕服務(wù)攻擊的識別裝置200與多個WAF130數(shù)據(jù)連接�����,并根據(jù)WAF130收到的向目標(biāo)主機(jī)130發(fā)送的訪問請求進(jìn)行拒絕服務(wù)攻擊的識別���。
[0032]圖2是根據(jù)本發(fā)明一個實(shí)施例的拒絕服務(wù)攻擊的識別裝置200的示意圖����。該拒絕服務(wù)攻擊的識別裝置200—般性地可以包括:訪問請求獲取模塊210�����、判斷模塊220�、識別模塊230,在一些優(yōu)化的方案中還可以增加設(shè)置有閾值統(tǒng)計(jì)模塊240、第一防護(hù)模塊250和第二防護(hù)模塊260���。[0033]在以上部件中��,訪問請求獲取模塊210用于獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量�����,記為第一請求量���;判斷模塊220用于判斷第一請求量是否超出閾值�����,該閾值通過對目標(biāo)主機(jī)的訪問量進(jìn)行統(tǒng)計(jì)得出�����;識別模塊230用于在判斷模塊的輸出為是的情況下�����,確定目標(biāo)主機(jī)受到拒絕服務(wù)攻擊�����。
[0034]本實(shí)施例的拒絕服務(wù)攻擊的識別裝置200由于將預(yù)定時間內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量作為判斷目標(biāo)���,通過總結(jié)拒絕服務(wù)攻擊的現(xiàn)象識別出拒絕服務(wù)攻擊����,以便采取相應(yīng)措施�。
[0035]在受到拒絕服務(wù)攻擊的情況下,在較短的時間內(nèi)���,訪問請求的目標(biāo)主機(jī)130收到的請求量會明顯高于正常的請求量�,然而對于不同的網(wǎng)站����,其訪問量是不同的���。為了使對目標(biāo)主機(jī)130設(shè)置的閾值符合目標(biāo)主機(jī)130的訪問能力���,本實(shí)施例的拒絕服務(wù)攻擊的識別裝置200中還可以包括有閾值統(tǒng)計(jì)模塊240。閾值統(tǒng)計(jì)模塊240用于每間隔第一預(yù)定時間段記錄一次第一請求量�,得到多個第一請求量;從多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值����;計(jì)算多個樣本值的平均值��,根據(jù)平均值設(shè)定閾值��。
[0036]閾值統(tǒng)計(jì)模塊240的一種實(shí)現(xiàn)配置方式為:選取在第二預(yù)定時間段內(nèi)產(chǎn)生的多個第一請求量��,第二預(yù)定時間段為第一預(yù)定時間段的整數(shù)倍�,將在第二預(yù)定時間段內(nèi)產(chǎn)生的多個第一請求量中的最大值記為第二請求量�;在連續(xù)多個第二預(yù)定時間段內(nèi)分別挑選得出多個第二請求量,并從多個第二請求量中濾除偏差較大的數(shù)據(jù)后���,得到多個樣本值�����;計(jì)算平均值與預(yù)定系數(shù)的乘積���,預(yù)定系數(shù)的取值范圍為:1.05至1.3 ;將乘積作為閾值。
[0037]為了保證識別的準(zhǔn)確性����,以上第一預(yù)定時間和第二預(yù)定時間均經(jīng)過了大量的時間進(jìn)行試驗(yàn),其中第一預(yù)定時間如果設(shè)定地過短�����,其波動性較大,容易出現(xiàn)誤識別的情況����,如果設(shè)定地過長,其波動性過于平滑�����,無法反映出請求量的變化���;經(jīng)過大量測試的結(jié)果��,第一預(yù)定時間可以設(shè)置為3至8分鐘����,最優(yōu)值為5分鐘�,也就是每間隔5分鐘�����,確定在這5分鐘內(nèi)向目標(biāo)主機(jī)130發(fā)出的訪問請求總量作為第一請求量���。
[0038]為了確定以上閾值�����,需要確定在正常訪問情況下最大的訪問請求量��,由于一般網(wǎng)站的訪問都是天為單位波動的����,因此,閾值統(tǒng)計(jì)模塊240選取樣本值的周期��,即第二預(yù)定時間可以使用一天的時間���,從而選取樣本值的過程可以為:獲取一天時間內(nèi)����,每隔5分鐘的第一請求量�����,從而一天的288個第一請求量中選取出最大值作為第二請求量��。由于第二請求量可能受到異常因素的影響��,會導(dǎo)致有些值明顯出現(xiàn)較大偏差��,例如某日統(tǒng)計(jì)出錯,導(dǎo)致請求量為零���;或者在某天內(nèi)受到拒絕服務(wù)攻擊�����,訪問量大增����,這種明顯偏差較大的數(shù)據(jù)并非正常訪問造成的��,需要進(jìn)行濾除�����。一種從第二請求量中選取樣本值的簡單方法可以為:挑選最近30天內(nèi)的30個第二請求量�����,過濾掉最大的三個數(shù)據(jù)和最小的三個數(shù)據(jù)�,將剩余的24個第二請求量作為樣本值��。這種方式計(jì)算簡單����,有效性較高����。另外從第二請求量中選取樣本值的方法還可以使用方差的方法進(jìn)行統(tǒng)計(jì)��,將方差大于一定預(yù)設(shè)值的第二請求量刪除���。
[0039]在本實(shí)施例的拒絕服務(wù)攻擊的識別裝置200中��,閾值統(tǒng)計(jì)模塊240可以將得出的樣本值的平均值乘以預(yù)定系數(shù)得出最終閾值��,以上預(yù)定系數(shù)的作用是為了給網(wǎng)站請求量留出一定的裕值���,防止出現(xiàn)誤攔的情況,預(yù)定系數(shù)的取值范圍為:1.05至1.3����,一般選取的最優(yōu)值可以為1.2。也就是將超出正常訪問的最大訪問量的20%的情況作為確定拒絕服務(wù)攻擊的條件��。
[0040]閾值統(tǒng)計(jì)模塊240確定出的閾值可以是動態(tài)調(diào)整的�����,例如每天定時利用此前30天的訪問數(shù)據(jù)進(jìn)行閾值的計(jì)算,從而判斷更加精確����,例如在網(wǎng)站的訪問量逐漸增長的情況下,可動態(tài)地增加閾值���,防止出現(xiàn)因業(yè)務(wù)變化導(dǎo)致出現(xiàn)拒絕服務(wù)攻擊識別錯誤的情況發(fā)生��。閾值的計(jì)算過程也并不局限于對樣本值的加和平均��,只要可以反映出網(wǎng)站正常訪問量的最大值的統(tǒng)計(jì)計(jì)算方法均可以用于對閾值的計(jì)算���,本實(shí)施例優(yōu)選的加和平均僅是計(jì)算量較小的
一種方式。
[0041]以上第一預(yù)設(shè)時間��、第二預(yù)設(shè)時間�����、預(yù)定系數(shù)均是根據(jù)網(wǎng)絡(luò)訪問的情況統(tǒng)計(jì)得出的經(jīng)驗(yàn)值����,可以根據(jù)拒絕服務(wù)攻擊的變化靈活進(jìn)行調(diào)整。
[0042]訪問請求獲取模塊210獲取的請求量數(shù)據(jù)���,是本實(shí)施例進(jìn)行拒絕服務(wù)攻擊的數(shù)據(jù)基礎(chǔ)����,由于一般WAF120保存有運(yùn)行日志���,記錄有經(jīng)過該WAF120的訪問請求���,因此訪問請求獲取模塊210可被配置為:讀取與目標(biāo)主機(jī)數(shù)據(jù)連接的WAF120的運(yùn)行日志文件;統(tǒng)計(jì)在第一預(yù)定時間段內(nèi)運(yùn)行日志文件中記錄的向主機(jī)發(fā)出的訪問請求�,得到第一請求量。例如訪問請求獲取模塊210實(shí)時從所有的WAF120中獲取運(yùn)行日志�����,并對運(yùn)行日志進(jìn)行統(tǒng)計(jì)分析既可以得到需要訪問請求數(shù)據(jù)���。
[0043]拒絕服務(wù)攻擊的識別裝置200在識別出攻擊后�,可以啟動防護(hù)機(jī)制����,對目標(biāo)主機(jī)進(jìn)行防護(hù)。在此情況下,可以配置有第一防護(hù)模塊250和/或第二防護(hù)模塊260��。第一防護(hù)模塊250用于對向目標(biāo)主機(jī)發(fā)出訪問請求的請求方發(fā)送驗(yàn)證信息���,并接收請求方的后續(xù)請求信息���;判斷后續(xù)請求信息是否與驗(yàn)證信息匹配,若是���,將請求方的訪問請求發(fā)送給目標(biāo)主機(jī)�。以上驗(yàn)證數(shù)據(jù)可以包括瀏覽器用戶信息cookie��、腳本文件JavaScript��、圖片數(shù)據(jù)�����。
[0044]在驗(yàn)證數(shù)據(jù)為瀏覽器用戶信息cookie時�,請求發(fā)送方獲取瀏覽器用戶信息cookie后,正常操作為向WAFl20重新發(fā)送帶有該cookie信息跳轉(zhuǎn)至所述主機(jī)地址的請求�����,如果請求發(fā)送方返回的請求沒有對cookie進(jìn)行處理,可以說明請求發(fā)送方的請求為攻擊行為���。
[0045]在驗(yàn)證數(shù)據(jù)為腳本文件JavaScript時,請求發(fā)送方獲取javascript后,正常操作為執(zhí)行該javascript�����,并重新返回腳本的執(zhí)行結(jié)果����,如果請求發(fā)送方返回的請求沒有執(zhí)行javascript,也可以說明請求發(fā)送方的請求為攻擊行為。
[0046]圖片驗(yàn)證數(shù)據(jù)也是一種有效的防護(hù)方法�����,例如當(dāng)前訪問量超出閾值���,可以向所有的請求發(fā)送方發(fā)送圖片�����,類似于驗(yàn)證碼的方式����,請求方需要將圖片中包含的文字或者其他內(nèi)容進(jìn)行輸入并向目標(biāo)主機(jī)反饋,如果圖片的識別結(jié)果與圖片對應(yīng)則證明當(dāng)前訪問為正常訪問�。
[0047]以上圖片驗(yàn)證方式在一定程度上會影響正常訪問用戶的體驗(yàn),因此���,第二防護(hù)模塊260可以進(jìn)一步對運(yùn)行日志文件進(jìn)行分析�����,得出請求量存在異常的向目標(biāo)主機(jī)發(fā)出訪問請求的請求方�����;過濾請求方發(fā)出的訪問請求�����。分析的原理可以包括分析是否存在某一請求源的ip明顯異常以及對目標(biāo)主機(jī)某一 url的訪問明顯異常��,通過精確識別�,可以避免開啟安全防護(hù)后對正常訪問的影響���。
[0048]本發(fā)明實(shí)施例還提供了一種拒絕服務(wù)攻擊的識別方法��,該拒絕服務(wù)攻擊的識別方法可以由以上實(shí)施例中的拒絕服務(wù)攻擊的識別裝置200來執(zhí)行���,以識別出針對目標(biāo)主機(jī)的拒絕服務(wù)攻擊��。圖3是根據(jù)本發(fā)明一個實(shí)施例的拒絕服務(wù)攻擊的識別方法的示意圖����,該拒絕服務(wù)攻擊的識別方法包括以下步驟:
[0049]步驟S302�,獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量�����,記為第一請求量�����;
[0050]步驟S304�,判斷第一請求量是否超出閾值,該閾值通過對目標(biāo)主機(jī)的訪問量進(jìn)行統(tǒng)計(jì)得出���;
[0051]步驟S306���,若是,確定目標(biāo)主機(jī)受到拒絕服務(wù)攻擊��。
[0052]以上閾值的統(tǒng)計(jì)計(jì)算步驟可以包括:每間隔第一預(yù)定時間段記錄一次第一請求量,得到多個第一請求量�����;從多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值����;計(jì)算多個樣本值的平均值,根據(jù)平均值設(shè)定閾值���。
[0053]其中��,從多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值可以包括:選取在第二預(yù)定時間段內(nèi)產(chǎn)生的多個第一請求量����,第二預(yù)定時間段為第一預(yù)定時間段的整數(shù)倍��,將在第二預(yù)定時間段內(nèi)產(chǎn)生的多個第一請求量中的最大值記為第二請求量�;在連續(xù)多個第二預(yù)定時間段內(nèi)分別挑選得出多個第二請求量,并從多個第二請求量中濾除偏差較大的數(shù)據(jù)后�����,得到多個樣本值�����。根據(jù)平均值設(shè)定閾值的過程可以包括:計(jì)算平均值與預(yù)定系數(shù)的乘積,預(yù)定系數(shù)的取值范圍為:1.05至1.3 ;將乘積作為閾值��。
[0054]步驟S302獲取數(shù)據(jù)的來源可以為網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件���,從而步驟S302可以包括:讀取與目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件���;統(tǒng)計(jì)在第一預(yù)定時間段內(nèi)運(yùn)行日志文件中記錄的向目標(biāo)主機(jī)發(fā)出的訪問請求,得到第一請求量��。
[0055]以上閾值的計(jì)算過程可以是動態(tài)調(diào)整的��,例如每天定時利用此前30天的日志運(yùn)行文件進(jìn)行計(jì)算���,從而判斷更加精確,例如在網(wǎng)站的訪問量逐漸增長的情況下���,可動態(tài)調(diào)整閾值����,防止出現(xiàn)因業(yè)務(wù)變化導(dǎo)致出現(xiàn)拒絕服務(wù)攻擊識別錯誤的情況發(fā)生��。閾值的計(jì)算過程也并不局限于對樣本值的加和平均,只要可以反映出網(wǎng)站正常訪問量的最大值的統(tǒng)計(jì)計(jì)算方法均可以用于對閾值的計(jì)算�����,本實(shí)施例優(yōu)選的加和平均僅是計(jì)算量較小的一種方式�����。
[0056]以上第一預(yù)設(shè)時間�、第二預(yù)設(shè)時間、預(yù)定系數(shù)均是根據(jù)網(wǎng)絡(luò)訪問的情況統(tǒng)計(jì)得出的經(jīng)驗(yàn)值��,可以根據(jù)拒絕服務(wù)攻擊的變化靈活進(jìn)行調(diào)整����。例如,第一預(yù)定時間可以設(shè)置為3至8分鐘���,最優(yōu)值為5分鐘��,第二預(yù)定時間可以使用一天的時間�����,預(yù)定系數(shù)的取值范圍為:
1.05至1.3����,一般選取的最優(yōu)值可以為1.2。
[0057]在識別出拒絕服務(wù)攻擊后��,可以啟動相應(yīng)的防護(hù)機(jī)制��,具體的防護(hù)機(jī)制可以為:在步驟S306之后�,對向目標(biāo)主機(jī)發(fā)出訪問請求的請求方發(fā)送驗(yàn)證信息,并接收請求方的后續(xù)請求信息�;判斷后續(xù)請求信息是否與驗(yàn)證信息匹配,若是���,將請求方的訪問請求發(fā)送給目標(biāo)主機(jī)����。
[0058]為了避免開啟安全防護(hù)后對正常訪問的影響��,在步驟S306之后還可以對訪運(yùn)行日志文件進(jìn)行分析�,得出請求量存在異常的向目標(biāo)主機(jī)發(fā)出訪問請求的請求方�;過濾請求方發(fā)出的訪問請求。
[0059]以下針對一個中型網(wǎng)站的應(yīng)用以上實(shí)施例的拒絕服務(wù)攻擊的識別方法的應(yīng)用實(shí)例進(jìn)行介紹��。
[0060]圖4是根據(jù)本發(fā)明一個實(shí)施例的拒絕服務(wù)攻擊的識別方法中連續(xù)30天內(nèi)5分鐘最高訪問量的統(tǒng)計(jì)圖,圖5是根據(jù)本發(fā)明一個實(shí)施例的拒絕服務(wù)攻擊的識別方法中目標(biāo)主機(jī)接收到的請求量的統(tǒng)計(jì)圖���。
[0061]在某一天中�,對該中型網(wǎng)站進(jìn)行防護(hù)的多臺WAF的防護(hù)日志進(jìn)行統(tǒng)計(jì)�,得出此前30天中,5分鐘訪問量最高的數(shù)值��,圖4示出了該最高訪問量中的折線圖����,從圖中可以看出,存在明顯的波動���,如在第8日出現(xiàn)了突然的高峰���,有可能是收到了 CC攻擊,而在第15日當(dāng)天無訪問量�,可能是網(wǎng)絡(luò)崩潰導(dǎo)致,在計(jì)算拒絕服務(wù)攻擊的閾值濾除30個第二訪問量中的最大的3個數(shù)值��,以及數(shù)值最小的3個數(shù)值�,剩下14個數(shù)值進(jìn)行稽核平均得到的數(shù)值為30萬,表明了一般情況下���,該中型網(wǎng)站5分鐘訪問量的峰值為30萬����,從而計(jì)算得出進(jìn)行拒絕服務(wù)攻擊的識別閾值為30萬*1.2倍=36萬。
[0062]圖5示出了當(dāng)天12點(diǎn)至12點(diǎn)半中每5分鐘的訪問量統(tǒng)計(jì)值�,得出6個第一訪問量,其中最后一個訪問量為50萬�����,超過了計(jì)算得出的閾值36萬�,在這種情況下,可以確定當(dāng)前主機(jī)受到拒絕服務(wù)攻擊��。
[0063]確定出遭受拒絕服務(wù)攻擊后���,通過WAF開啟圖片驗(yàn)證防護(hù)機(jī)制����,向所有請求訪問的請求方發(fā)送預(yù)定的圖片�����,僅允許含有與圖片內(nèi)容相匹配的請求訪問通過WAF向該中型網(wǎng)站的服務(wù)器發(fā)出訪問請求����。拒絕服務(wù)攻擊的識別裝置進(jìn)一步對進(jìn)行拒絕防護(hù)攻擊過程中產(chǎn)生的請求進(jìn)行分析,確定攻擊源����,將攻擊源的請求過濾,在訪問量降到36萬的閾值以下時�����,關(guān)閉防護(hù)�。
[0064]利用本實(shí)施例的拒絕服務(wù)攻擊的識別方法和裝置,將預(yù)定時間內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量作為判斷目標(biāo)�,利用目標(biāo)主機(jī)的訪問量統(tǒng)計(jì)得出閾值作為是否受到拒絕服務(wù)攻擊的判斷標(biāo)準(zhǔn),通過總結(jié)拒絕服務(wù)攻擊的現(xiàn)象識別出拒絕服務(wù)攻擊���,以便采取相應(yīng)措施�����,大大提高了拒絕服務(wù)攻擊的識別精確性�����,實(shí)現(xiàn)了主機(jī)的安全防護(hù)���。
[0065]進(jìn)一步地�����,閾值按照一定的統(tǒng)計(jì)算法得出�,無需進(jìn)行人為干預(yù)�����,自動匹配目標(biāo)主機(jī)處理訪問請求能力����,從而滿足不同目標(biāo)主機(jī)的防護(hù)要求。
[0066]又進(jìn)一步地�����,在識別出拒絕服務(wù)攻擊后�,開啟相應(yīng)的防護(hù)機(jī)制,保護(hù)目標(biāo)主機(jī)的安全運(yùn)行�,而且可以根據(jù)識別結(jié)果查找出進(jìn)行拒絕服務(wù)攻擊的攻擊源,為后續(xù)安全處理提供了數(shù)據(jù)支持�����。
[0067]本發(fā)明的實(shí)施例公開了:
[0068]Al.一種拒絕服務(wù)攻擊的識別方法�����,包括:
[0069]獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量�,記為第一請求量;
[0070]判斷所述第一請求量是否超出閾值����,所述閾值通過對所述目標(biāo)主機(jī)的訪問量進(jìn)行統(tǒng)計(jì)得出;
[0071]若是���,確定所述目標(biāo)主機(jī)受到拒絕服務(wù)攻擊��。
[0072]A2.根據(jù)Al所述的方法�����,其中����,所述閾值的統(tǒng)計(jì)計(jì)算步驟包括:
[0073]每間隔所述第一預(yù)定時間段記錄一次所述第一請求量��,得到多個所述第一請求量;
[0074]從所述多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值����;
[0075]計(jì)算所述多個樣本值的平均值��,根據(jù)所述平均值設(shè)定所述閾值��。
[0076]A3.根據(jù)A2所述的方法�,其中�,從所述多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值包括:
[0077]選取在第二預(yù)定時間段內(nèi)產(chǎn)生的多個所述第一請求量,所述第二預(yù)定時間段為所述第一預(yù)定時間段的整數(shù)倍��,將在所述第二預(yù)定時間段內(nèi)產(chǎn)生的多個所述第一請求量中的最大值記為第二請求量����;
[0078]在連續(xù)多個所述第二預(yù)定時間段內(nèi)分別挑選得出多個所述第二請求量,并從所述多個第二請求量中濾除偏差較大的數(shù)據(jù)后�����,得到所述多個樣本值����。
[0079]A4.根據(jù)A2或A3所述的方法,其中����,根據(jù)所述平均值設(shè)定所述閾值包括:
[0080]計(jì)算所述平均值與預(yù)定系數(shù)的乘積���,所述預(yù)定系數(shù)的取值范圍為:1.05至1.3 ;
[0081]將所述乘積作為所述閾值。
[0082]A5.根據(jù)Al至A4中任一項(xiàng)所述的方法���,其中,獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量包括:
[0083]讀取與所述目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件��;
[0084]統(tǒng)計(jì)在所述第一預(yù)定時間段內(nèi)所述運(yùn)行日志文件中記錄的向所述目標(biāo)主機(jī)發(fā)出的訪問請求�����,得到所述第一請求量�。
[0085]A6.根據(jù)A5所述的方法,其中����,在確定所述目標(biāo)主機(jī)受到拒絕服務(wù)攻擊之后還包括:
[0086]對向所述目標(biāo)主機(jī)發(fā)出訪問請求的請求方發(fā)送驗(yàn)證信息,并接收所述請求方的后續(xù)請求信息��;
[0087]判斷所述后續(xù)請求信息是否與所述驗(yàn)證信息匹配����,若是,將所述請求方的訪問請求發(fā)送給所述目標(biāo)主機(jī)�。
[0088]A7.根據(jù)A5所述的方法����,其中�����,在確定所述目標(biāo)主機(jī)受到惡意攻擊之后還包括:
[0089]對所述運(yùn)行日志文件進(jìn)行分析��,得出請求量存在異常的向所述目標(biāo)主機(jī)發(fā)出訪問請求的請求方�����;
[0090]過濾所述請求方發(fā)出的訪問請求����。
[0091]B8.一種拒絕服務(wù)攻擊的識別裝置,包括:
[0092]訪問請求獲取模塊���,用于獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總
量�����,記為第一請求量���;
[0093]判斷模塊���,用于判斷所述第一請求量是否超出閾值,所述閾值通過對所述目標(biāo)主機(jī)的訪問量進(jìn)行統(tǒng)計(jì)得出�����;
[0094]識別模塊��,用于在所述判斷模塊的輸出為是的情況下���,確定所述目標(biāo)主機(jī)受到拒絕服務(wù)攻擊。
[0095]B9.根據(jù)B8所述的裝置����,其中,還包括:
[0096]閾值統(tǒng)計(jì)模塊��,用于每間隔所述第一預(yù)定時間段記錄一次所述第一請求量�����,得到多個所述第一請求量�����;從所述多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值;計(jì)算所述多個樣本值的平均值��,根據(jù)所述平均值設(shè)定所述閾值��。
[0097]B10.根據(jù)B9所述的裝置�,其中,所述閾值統(tǒng)計(jì)模塊被配置為:
[0098]選取在第二預(yù)定時間段內(nèi)產(chǎn)生的多個所述第一請求量�,所述第二預(yù)定時間段為所述第一預(yù)定時間段的整數(shù)倍,將在所述第二預(yù)定時間段內(nèi)產(chǎn)生的多個所述第一請求量中的最大值記為第二請求量����;
[0099]在連續(xù)多個所述第二預(yù)定時間段內(nèi)分別挑選得出多個所述第二請求量,并從所述多個第二請求量中濾除偏差較大的數(shù)據(jù)后��,得到所述多個樣本值����;
[0100]計(jì)算所述平均值與預(yù)定系數(shù)的乘積,所述預(yù)定系數(shù)的取值范圍為:1.05至1.3 ;
[0101]將所述乘積作為所述閾值��。
[0102]Bll.根據(jù)B8至BlO中任一項(xiàng)所述的裝置����,其中��,所述訪問請求獲取模塊被配置為:
[0103]讀取與所述目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件����;
[0104]統(tǒng)計(jì)在所述第一預(yù)定時間段內(nèi)所述運(yùn)行日志文件中記錄的向所述主機(jī)發(fā)出的訪問請求�,得到所述第一請求量。
[0105]B12.根據(jù)Bll所述的裝置���,其中���,還包括:
[0106]第一防護(hù)模塊,用于對向所述目標(biāo)主機(jī)發(fā)出訪問請求的請求方發(fā)送驗(yàn)證信息��,并接收所述請求方的后續(xù)請求信息����;判斷所述后續(xù)請求信息是否與所述驗(yàn)證信息匹配���,若是�����,將所述請求方的訪問請求發(fā)送給所述目標(biāo)主機(jī)����,和/或
[0107]第二防護(hù)模塊,用于對所述運(yùn)行日志文件進(jìn)行分析���,得出請求量存在異常的向所述目標(biāo)主機(jī)發(fā)出訪問請求的請求方���;
[0108]過濾所述請求方發(fā)出的訪問請求。
[0109]在此處所提供的說明書中���,說明了大量具體細(xì)節(jié)���。然而,能夠理解���,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐�。在一些實(shí)例中���,并未詳細(xì)示出公知的方法���、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解�。
[0110]類似地����,應(yīng)當(dāng)理解�����,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個����,在上面對本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實(shí)施例�����、圖�����、或者對其的描述中����。然而�,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說��,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實(shí)施例的所有特征����。因此,遵循【具體實(shí)施方式】的權(quán)利要求書由此明確地并入該【具體實(shí)施方式】��,其中每個權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例�。
[0111]本領(lǐng)域那些技術(shù)人員可以理解,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個或多個設(shè)備中��?���?梢园褜?shí)施例中的模塊或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件���。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外�,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求����、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述�����,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同����、等同或相似目的的替代特征來代替。
[0112]此外���,本領(lǐng)域的技術(shù)人員能夠理解�,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征�����,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例����。例如,在權(quán)利要求書中��,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用�����。
[0113]本發(fā)明的各個部件實(shí)施例可以以硬件實(shí)現(xiàn)�,或者以在一個或者多個處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)����,或者以它們的組合實(shí)現(xiàn)�。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�����,可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP )來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的拒絕服務(wù)攻擊的裝置中的一些或者全部部件的一些或者全部功能���。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如���,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲在計(jì)算機(jī)可讀介質(zhì)上�����,或者可以具有一個或者多個信號的形式��。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到���,或者在載體信號上提供�����,或者以任何其他形式提供���。
[0114]應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制����,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例��。在權(quán)利要求中���,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制��。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟����。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件�����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)�����。在列舉了若干裝置的單元權(quán)利要求中���,這些裝置中的若干個可以是通過同一個硬件項(xiàng)來具體體現(xiàn)�����。單詞第一�、第二�、以及第三等的使用不表示任何順序?�?蓪⑦@些單詞解釋為名稱��。
[0115]至此��,本領(lǐng)域技術(shù)人員應(yīng)認(rèn)識到��,雖然本文已詳盡示出和描述了本發(fā)明的多個示例性實(shí)施例����,但是,在不脫離本發(fā)明精神和范圍的情況下���,仍可根據(jù)本發(fā)明公開的內(nèi)容直接確定或推導(dǎo)出符合本發(fā)明原理的許多其他變型或修改�����。因此���,本發(fā)明的范圍應(yīng)被理解和認(rèn)定為覆蓋了所有這些其他變型或修改�����。
【權(quán)利要求】
1.一種拒絕服務(wù)攻擊的識別方法�,包括: 獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量��,記為第一請求量�; 判斷所述第一請求量是否超出閾值,所述閾值通過對所述目標(biāo)主機(jī)的訪問量進(jìn)行統(tǒng)計(jì)得出��; 若是���,確定所述目標(biāo)主機(jī)受到拒絕服務(wù)攻擊���。
2.根據(jù)權(quán)利要求1所述的方法,其中����,所述閾值的統(tǒng)計(jì)計(jì)算步驟包括: 每間隔所述第一預(yù)定時間段記錄一次所述第一請求量,得到多個所述第一請求量���; 從所述多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值�; 計(jì)算所述多個樣本值的平均值,根據(jù)所述平均值設(shè)定所述閾值���。
3.根據(jù)權(quán)利要求2所述的方法�����,其中,從所述多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值包括: 選取在第二預(yù)定時間段內(nèi)產(chǎn)生的多個所述第一請求量�,所述第二預(yù)定時間段為所述第一預(yù)定時間段的整數(shù)倍,將在所述第二預(yù)定時間段內(nèi)產(chǎn)生的多個所述第一請求量中的最大值記為第二請求量����; 在連續(xù)多個所述第二預(yù)定時間段內(nèi)分別挑選得出多個所述第二請求量,并從所述多個第二請求量中濾除偏差較大的數(shù)據(jù)后����,得到所述多個樣本值。
4.根據(jù)權(quán)利要求2或3所述的方法����,其中,根據(jù)所述平均值設(shè)定所述閾值包括: 計(jì)算所述平均值與預(yù)定`系數(shù)的乘積�����,所述預(yù)定系數(shù)的取值范圍為:1.05至1.3 ; 將所述乘積作為所述閾值。
5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法����,其中,獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量包括: 讀取與所述目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)的運(yùn)行日志文件�; 統(tǒng)計(jì)在所述第一預(yù)定時間段內(nèi)所述運(yùn)行日志文件中記錄的向所述目標(biāo)主機(jī)發(fā)出的訪問請求,得到所述第一請求量�����。
6.根據(jù)權(quán)利要求5所述的方法���,其中���,在確定所述目標(biāo)主機(jī)受到拒絕服務(wù)攻擊之后還包括: 對向所述目標(biāo)主機(jī)發(fā)出訪問請求的請求方發(fā)送驗(yàn)證信息,并接收所述請求方的后續(xù)請求信息��; 判斷所述后續(xù)請求信息是否與所述驗(yàn)證信息匹配���,若是����,將所述請求方的訪問請求發(fā)送給所述目標(biāo)主機(jī)。
7.根據(jù)權(quán)利要求5所述的方法��,其中��,在確定所述目標(biāo)主機(jī)受到惡意攻擊之后還包括: 對所述運(yùn)行日志文件進(jìn)行分析�,得出請求量存在異常的向所述目標(biāo)主機(jī)發(fā)出訪問請求的請求方; 過濾所述請求方發(fā)出的訪問請求���。
8.—種拒絕服務(wù)攻擊的識別裝置����,包括: 訪問請求獲取模塊���,用于獲取在第一預(yù)定時間段內(nèi)向目標(biāo)主機(jī)發(fā)出的訪問請求總量,記為第一請求量���; 判斷模塊���,用于判斷所述第一請求量是否超出閾值,所述閾值通過對所述目標(biāo)主機(jī)的訪問量進(jìn)行統(tǒng)計(jì)得出����;識別模塊��,用于在所述判斷模塊的輸出為是的情況下����,確定所述目標(biāo)主機(jī)受到拒絕服務(wù)攻擊�����。
9.根據(jù)權(quán)利要求8所述的裝置���,其中��,還包括: 閾值統(tǒng)計(jì)模塊����,用于每間隔所述第一預(yù)定時間段記錄一次所述第一請求量���,得到多個所述第一請求量���;從所述多個第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個樣本值;計(jì)算所述多個樣本值的平均值�����,根據(jù)所述平均值設(shè)定所述閾值。
10.根據(jù)權(quán)利要求9所述的裝置���,其中��,所述閾值統(tǒng)計(jì)模塊被配置為: 選取在第二預(yù)定時間段內(nèi)產(chǎn)生的多個所述第一請求量��,所述第二預(yù)定時間段為所述第一預(yù)定時間段的整數(shù)倍�����,將在所述第二預(yù)定時間段內(nèi)產(chǎn)生的多個所述第一請求量中的最大值記為第二請求量���; 在連續(xù)多個所述第二預(yù)定時間段內(nèi)分別挑選得出多個所述第二請求量,并從所述多個第二請求量中濾除偏差較大的數(shù)據(jù)后���,得到所述多個樣本值; 計(jì)算所述平均值與預(yù)定系數(shù)的乘積���,所述預(yù)定系數(shù)的取值范圍為:1.05至1.3 ; 將所述乘積作為所述 閾值��。
【文檔編號】H04L29/06GK103701794SQ201310714511
【公開日】2014年4月2日 申請日期:2013年12月20日 優(yōu)先權(quán)日:2013年12月20日
【發(fā)明者】蔣文旭 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司