拒絕服務攻擊的識別方法和裝置制造方法及圖紙

本發明專利技術提供了一種拒絕服務攻擊的識別方法和裝置。其中，拒絕服務攻擊的識別方法包括以下步驟：獲取在第一預定時間段內向目標主機發出的訪問請求總量，記為第一請求量；判斷第一請求量是否超出閾值，閾值通過對目標主機的訪問量進行統計得出；若是，確定目標主機受到拒絕服務攻擊。利用本發明專利技術的技術方案，將預定時間內向目標主機發出的訪問請求總量作為判斷目標，利用目標主機的訪問量統計得出閾值作為是否受到拒絕服務攻擊的判斷標準，通過總結拒絕服務攻擊的現象識別出拒絕服務攻擊，以便采取相應措施，大大提高了拒絕服務攻擊的識別的精確性，實現了主機的安全防護。

【技術實現步驟摘要】
拒絕服務攻擊的識別方法和裝置
本專利技術涉及互聯網安全領域，特別是涉及一種拒絕服務攻擊的識別方法和裝置。
技術介紹
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問，是黑客常用的攻擊手段之一。利用大量超出響應能力的請求消耗大量攻擊目標的資源，這些資源包括磁盤空間、內存、進程甚至網絡帶寬，從而阻止正常用戶的訪問。嚴重時可以使某些服務被暫停甚至主機死機。作為拒絕服務攻擊的一種，CC攻擊(Challenge Collapsar，挑戰黑洞攻擊)，是利用不斷對網站發送連接請求致使形成拒絕服務的目的的一種惡意攻擊手段。其原理為模擬多個用戶不停地進行訪問那些需要大量數據操作的頁面，造成目標主機服務器資源耗盡，一直到宕機崩潰。由于CC攻擊的攻擊方式是通過模擬用戶的訪問請求，難以進行區分，而且CC攻擊的技術門檻較低，利用一些工具和一定熟練數量的代理IP就可以進行攻擊，而且CC攻擊的攻擊效果明顯。現有技術中針對拒絕服務攻擊，特別是CC攻擊的處理方案，主要禁止網站代理訪問，限制連接數量，盡量將網站做成靜態頁面等方法進行，然而以上禁止代理訪問和限制連接數量的方法會影響正常用戶訪問網站，另外由于網頁的類型和內容的限制，也無法將網頁全部設置為靜態頁面，而且這種方式也不能消除CC攻擊的效果。針對現有技術中無法準確識別拒絕服務攻擊的問題，目前尚未提出有效的解決方案。
技術實現思路
鑒于上述問題，提出了本專利技術以便提供一種克服上述問題或者至少部分地解決上述問題的拒絕服務攻擊的識別裝置和相應的拒絕服務攻擊的識別方法。本專利技術一個進一步的目的是要識別出針對目標主機的拒絕服務攻擊。依據本專利技術的一個方面，提供了一種拒絕服務攻擊的識別方法。該拒絕服務攻擊的識別方法包括以下步驟:獲取在第一預定時間段內向目標主機發出的訪問請求總量，記為第一請求量；判斷第一請求量是否超出閾值，閾值通過對目標主機的訪問量進行統計得出；若是，確定目標主機受到拒絕服務攻擊。可選地，閾值的統計計算步驟包括:每間隔第一預定時間段記錄一次第一請求量，得到多個第一請求量；從多個第一請求量中按照預設規則挑選出多個樣本值；計算多個樣本值的平均值，根據平均值設定閾值?？蛇x地，從多個第一請求量中按照預設規則挑選出多個樣本值包括:選取在第二預定時間段內產生的多個第一請求量，第二預定時間段為第一預定時間段的整數倍，將在第二預定時間段內產生的多個第一請求量中的最大值記為第二請求量；在連續多個第二預定時間段內分別挑選得出多個第二請求量，并從多個第二請求量中濾除偏差較大的數據后，得到多個樣本值。可選地，根據平均值設定閾值包括:計算平均值與預定系數的乘積，預定系數的取值范圍為:1.05至1.3 ;將乘積作為閾值?？蛇x地，獲取在第一預定時間段內向目標主機發出的訪問請求總量包括:讀取與目標主機數據連接的網頁應用防護系統的運行日志文件；統計在第一預定時間段內運行日志文件中記錄的向目標主機發出的訪問請求，得到第一請求量。可選地，在確定目標主機受到拒絕服務攻擊之后還包括:對向目標主機發出訪問請求的請求方發送驗證信息，并接收請求方的后續請求信息；判斷后續請求信息是否與驗證信息匹配，若是，將請求方的訪問請求發送給目標主機?？蛇x地，在確定目標主機受到惡意攻擊之后還包括:對運行日志文件進行分析，得出請求量存在異常的向目標主機發出訪問請求的請求方；過濾請求方發出的訪問請求。根據本專利技術的另一個方面，還提供了一種拒絕服務攻擊的識別裝置。該拒絕服務攻擊的識別裝置包括:訪問請求獲取模塊，用于獲取在第一預定時間段內向目標主機發出的訪問請求總量，記為第一請求量；判斷模塊，用于判斷第一請求量是否超出閾值，閾值通過對目標主機的訪問量進行統計得出；識別模塊，用于在判斷模塊的輸出為是的情況下，確定目標主機受到拒絕服務攻擊?？蛇x地，該拒絕服務攻擊的識別裝置還包括:閾值統計模塊，用于每間隔第一預定時間段記錄一次第一請求量，得到多個第一請求量；從多個第一請求量中按照預設規則挑選出多個樣本值；計算多個樣本值的平均值，根據平均值設定閾值。閾值統計模塊被配置為:選取在第二預定時間段內產生的多個第一請求量，第二預定時間段為第一預定時間段的整數倍，將在第二預定時間段內產生的多個第一請求量中的最大值記為第二請求量；在連續多個第二預定時間段內分別挑選得出多個第二請求量，并從多個第二請求量中濾除偏差較大的數據后，得到多個樣本值;計算平均值與預定系數的乘積，預定系數的取值范圍為:1.05至1.3 ;將乘積作為閾值?？蛇x地，訪問請求獲取模塊被配置為:讀取與目標主機數據連接的網頁應用防護系統的運行日志文件；統計在第一預定時間段內運行日志文件中記錄的向主機發出的訪問請求，得到第一請求量?？蛇x地，以上拒絕服務攻擊的識別裝置還包括:第一防護模塊，用于對向目標主機發出訪問請求的請求方發送驗證信息,并接收請求方的后續請求信息；判斷后續請求信息是否與驗證信息匹配，若是，將請求方的訪問請求發送給目標主機，和/或第二防護模塊，用于對運行日志文件進行分析，得出請求量存在異常的向目標主機發出訪問請求的請求方；過濾請求方發出的訪問請求。本專利技術的拒絕服務攻擊的識別方法和裝置由于將預定時間內向目標主機發出的訪問請求總量作為判斷目標，利用目標主機的訪問量統計得出閾值作為是否受到拒絕服務攻擊的判斷標準，通過總結拒絕服務攻擊的現象識別出拒絕服務攻擊，以便采取相應措施，大大提高了拒絕服務攻擊的識別的精確性，實現了主機的安全防護。進一步地，閾值按照一定的統計算法得出，無需進行人為干預，自動匹配目標主機處理訪問請求能力，從而滿足不同目標主機的防護要求。又進一步地，在識別出拒絕服務攻擊后，開啟相應的防護機制，保護目標主機的安全運行，而且可以根據識別結果查找出進行拒絕服務攻擊的攻擊源，為后續安全處理提供了數據支持。上述說明僅是本專利技術技術方案的概述，為了能夠更清楚了解本專利技術的技術手段，而可依照說明書的內容予以實施，并且為了讓本專利技術的上述和其它目的、特征和優點能夠更明顯易懂，以下特舉本專利技術的【具體實施方式】。根據下文結合附圖對本專利技術具體實施例的詳細描述，本領域技術人員將會更加明了本專利技術的上述以及其他目的、優點和特征?！靖綀D說明】通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優選實施方式的目的，而并不認為是對本專利技術的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中:圖1是根據本專利技術一個實施例的拒絕服務攻擊的識別裝置200的網絡應用環境的示意圖；圖2是根據本專利技術一個實施例的拒絕服務攻擊的識別裝置200的示意圖；圖3是根據本專利技術一個實施例的拒絕服務攻擊的識別方法的示意圖；圖4是根據本專利技術一個實施例的拒絕服務攻擊的識別方法中連續30天內5分鐘最高訪問量的統計圖；以及圖5是根據本專利技術一個實施例的拒絕服務攻擊的識別方法中目標主機接收到的請求量的統計圖。【具體實施方式】在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基于在此的示教一起使用。根據上面的描述，構造這類系統所要求的結構是顯而易見的。此外，本專利技術也不針對任何特定編程語言。應當明白，可以利用各種編程語言實現在此描述的本專利技術的內本文檔來自技高網...

【技術保護點】
一種拒絕服務攻擊的識別方法，包括：獲取在第一預定時間段內向目標主機發出的訪問請求總量，記為第一請求量；判斷所述第一請求量是否超出閾值，所述閾值通過對所述目標主機的訪問量進行統計得出；若是，確定所述目標主機受到拒絕服務攻擊。

【技術特征摘要】
1.一種拒絕服務攻擊的識別方法，包括: 獲取在第一預定時間段內向目標主機發出的訪問請求總量，記為第一請求量； 判斷所述第一請求量是否超出閾值，所述閾值通過對所述目標主機的訪問量進行統計得出； 若是，確定所述目標主機受到拒絕服務攻擊。2.根據權利要求1所述的方法，其中，所述閾值的統計計算步驟包括: 每間隔所述第一預定時間段記錄一次所述第一請求量，得到多個所述第一請求量； 從所述多個第一請求量中按照預設規則挑選出多個樣本值； 計算所述多個樣本值的平均值，根據所述平均值設定所述閾值。3.根據權利要求2所述的方法，其中，從所述多個第一請求量中按照預設規則挑選出多個樣本值包括: 選取在第二預定時間段內產生的多個所述第一請求量，所述第二預定時間段為所述第一預定時間段的整數倍，將在所述第二預定時間段內產生的多個所述第一請求量中的最大值記為第二請求量； 在連續多個所述第二預定時間段內分別挑選得出多個所述第二請求量，并從所述多個第二請求量中濾除偏差較大的數據后，得到所述多個樣本值。4.根據權利要求2或3所述的方法，其中，根據所述平均值設定所述閾值包括: 計算所述平均值與預定`系數的乘積，所述預定系數的取值范圍為:1.05至1.3 ; 將所述乘積作為所述閾值。5.根據權利要求1至4中任一項所述的方法，其中，獲取在第一預定時間段內向目標主機發出的訪問請求總量包括: 讀取與所述目標主機數據連接的網頁應用防護系統的運行日志文件； 統計在所述第一預定時間段內所述運行日志文件中記錄的向所述目標主機發出的訪問請求，得到所述第一請求量。6.根據權利要求5所述的方法，其中，在確定所述目標主機受到拒絕服務攻擊之后還包...

【專利技術屬性】
技術研發人員：蔣文旭，
申請(專利權)人：北京奇虎科技有限公司， 奇智軟件北京有限公司，
類型：發明
國別省市：北京;11