技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法及系統(tǒng)。

背景技術(shù)

所述的CC攻擊可以歸為DDoS攻擊的一種。即通過發(fā)送大量的請求數(shù)據(jù)來導(dǎo)致服務(wù)器拒絕服務(wù)，是一種連接攻擊。CC攻擊常見的有代理CC攻擊，和肉雞CC攻擊。代理CC攻擊是黑客借助代理服務(wù)器生成指向受害主機(jī)的合法網(wǎng)頁請求，實(shí)現(xiàn)DOS和偽裝。而肉雞CC攻擊是黑客使用CC攻擊軟件，控制大量肉雞，發(fā)動(dòng)攻擊，相比較而言后者比前者更難防御。因?yàn)槿怆u可以模擬正常用戶訪問網(wǎng)站的請求，偽造成合法數(shù)據(jù)包。

常規(guī)的防護(hù)DDoS主要是針對某個(gè)網(wǎng)站，而在骨干網(wǎng)中識(shí)別異常突發(fā)的CC訪問流量，與傳統(tǒng)方法不同的地方是首先有大量的正常訪問流量，其次傳統(tǒng)的訪問計(jì)數(shù)統(tǒng)計(jì)只要針對所防護(hù)的網(wǎng)絡(luò)的站點(diǎn)，不需要對其它的站點(diǎn)進(jìn)行統(tǒng)計(jì)，所統(tǒng)計(jì)的信息是非常少的。

骨干網(wǎng)中進(jìn)行CC攻擊的識(shí)別核心在于能夠?qū)Ρ还舻木W(wǎng)站進(jìn)行訪問統(tǒng)計(jì)，而建立全網(wǎng)全URL的統(tǒng)計(jì)所要消耗的資源則是不收斂的，不斷有新URL加入，新的不同域名加入，需要統(tǒng)計(jì)的內(nèi)容是千變?nèi)f化的，統(tǒng)計(jì)項(xiàng)目不固定，如何從中找到高頻CC攻擊，并且不被正規(guī)大型網(wǎng)站的正常訪問淹沒是目前沒有解決的問題。

發(fā)明內(nèi)容

針對上述技術(shù)問題，本發(fā)明提供了一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法及系統(tǒng)，該方法通過建立一個(gè)緩沖區(qū)，利用大數(shù)據(jù)高頻統(tǒng)計(jì)的思想，拋棄準(zhǔn)確統(tǒng)計(jì)的傳統(tǒng)方法，實(shí)現(xiàn)有效識(shí)別CC攻擊的目的。

本發(fā)明采用如下方法來實(shí)現(xiàn)：一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別方法，包括：

步驟1、識(shí)別骨干網(wǎng)流量中的HTTP GET請求，并利用所述HTTP GET請求獲取源IP、目的IP和URI；

其中，利用HTTP GET請求內(nèi)容可以獲取目的IP，HTTP頭，URI等，所述URI（Uniform Resource Locator的縮寫）是統(tǒng)一資源定位符，是HTTP協(xié)議中的字段，是URL的一部分；利用HTTP頭可以獲取源IP、URI、協(xié)議版本、客戶端信息等內(nèi)容；

步驟2、利用獲取的源IP、目的IP和URI計(jì)算hash值；

步驟3、判斷緩沖區(qū)中是否存在與所述hash值相同的統(tǒng)計(jì)項(xiàng)目，若存在，則該統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值加1，并執(zhí)行步驟6，否則執(zhí)行步驟4；

步驟4、判斷緩沖區(qū)中是否存在剩余空間，若存在，將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則將緩沖區(qū)所有統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值減1，并執(zhí)行步驟5；

步驟5、判斷緩沖區(qū)中是否存在計(jì)數(shù)值為0的統(tǒng)計(jì)項(xiàng)目，若存在，則清除所述統(tǒng)計(jì)項(xiàng)目，并將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則丟棄所述hash值，結(jié)束；

步驟6、當(dāng)緩沖區(qū)中存在單位時(shí)間計(jì)數(shù)值超過設(shè)定閾值的統(tǒng)計(jì)項(xiàng)目，則認(rèn)為存在CC攻擊，并報(bào)警。

進(jìn)一步地，所述緩沖區(qū)的大小固定。形成一個(gè)穩(wěn)定的統(tǒng)計(jì)數(shù)據(jù)庫。

進(jìn)一步地，所述設(shè)定閾值為常規(guī)訪問量的10倍。

本發(fā)明采用如下系統(tǒng)來實(shí)現(xiàn)：一種基于高頻統(tǒng)計(jì)的CC攻擊識(shí)別系統(tǒng)，包括：

識(shí)別模塊，用于識(shí)別骨干網(wǎng)流量中的HTTP GET請求，并利用所述HTTP GET請求獲取源IP、目的IP和URI；

其中，利用HTTP GET請求內(nèi)容可以獲取目的IP，HTTP頭，URI等，所述URI（Uniform Resource Locator的縮寫）是統(tǒng)一資源定位符，是HTTP協(xié)議中的字段，是URL的一部分；利用HTTP頭可以獲取源IP、URI、協(xié)議版本、客戶端信息等內(nèi)容；

計(jì)算模塊，用于利用獲取的源IP、目的IP和URI計(jì)算hash值；

第一判定模塊，用于判斷緩沖區(qū)中是否存在與所述hash值相同的統(tǒng)計(jì)項(xiàng)目，若存在，則該統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值加1，并由處置模塊進(jìn)行處理，否則由第二判定模塊繼續(xù)判斷；

第二判定模塊，用于判斷緩沖區(qū)中是否存在剩余空間，若存在，將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則將緩沖區(qū)所有統(tǒng)計(jì)項(xiàng)目的計(jì)數(shù)值減1，并由第三判定模塊繼續(xù)判斷；

第三判定模塊，用于判斷緩沖區(qū)中是否存在計(jì)數(shù)值為0的統(tǒng)計(jì)項(xiàng)目，若存在，則清除所述統(tǒng)計(jì)項(xiàng)目，并將所述hash值作為新的統(tǒng)計(jì)項(xiàng)目加入緩沖區(qū)，并設(shè)定計(jì)數(shù)值為1，否則丟棄所述hash值，結(jié)束；

處置模塊，當(dāng)緩沖區(qū)中存在單位時(shí)間計(jì)數(shù)值超過設(shè)定閾值的統(tǒng)計(jì)項(xiàng)目，則認(rèn)為存在CC攻擊，并報(bào)警。

進(jìn)一步地，所述緩沖區(qū)的大小固定。

進(jìn)一步地，所述設(shè)定閾值為常規(guī)訪問量的10倍。