[發(fā)明專利]拒絕服務(wù)攻擊的攻擊源的識別方法和裝置有效
| 申請?zhí)枺?/td> | 201310714601.4 | 申請日: | 2013-12-20 |
| 公開(公告)號: | CN103701795B | 公開(公告)日: | 2017-11-24 |
| 發(fā)明(設(shè)計)人: | 蔣文旭 | 申請(專利權(quán))人: | 北京奇安信科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京智匯東方知識產(chǎn)權(quán)代理事務(wù)所(普通合伙)11391 | 代理人: | 康正德,薛峰 |
| 地址: | 100015 北京市朝陽區(qū)酒仙*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 拒絕服務(wù) 攻擊 識別 方法 裝置 | ||
1.一種拒絕服務(wù)攻擊的攻擊源的識別方法,包括:
接收觸發(fā)攻擊源識別的異常事件;
獲取在第一預(yù)定時間段內(nèi)向目標主機發(fā)出的訪問請求總量,該步驟包括:讀取與所述目標主機數(shù)據(jù)連接的多個網(wǎng)頁應(yīng)用防護系統(tǒng)的運行日志文件,并統(tǒng)計在所述第一預(yù)定時間段內(nèi)所述運行日志文件中記錄的向所述目標主機發(fā)出的訪問請求總量;
確定在第一預(yù)定時間段內(nèi)向所述目標主機發(fā)出的訪問請求量最大的請求源,并記錄所述請求源發(fā)出的請求訪問的數(shù)量為第一訪問量;
判斷所述第一訪問量占所述訪問請求總量的比率是否超過預(yù)設(shè)比值,若是,確定所述請求源為拒絕服務(wù)攻擊的攻擊源,并且所述異常事件的生成步驟包括:
判斷在第二預(yù)定時間段內(nèi)向所述目標主機發(fā)出的訪問請求總量是否超出預(yù)設(shè)的訪問量最大閾值;若是,生成所述觸發(fā)攻擊源識別的異常事件;或者
判斷在第三預(yù)定時間段內(nèi)所述目標主機根據(jù)所述訪問請求返回的異常響應(yīng)量與正常訪問量的比值是否超過預(yù)設(shè)的響應(yīng)比率閾值;若是,生成所述觸發(fā)攻擊源識別的異常事件。
2.根據(jù)權(quán)利要求1所述的方法,其中,在判斷所述目標主機根據(jù)所述訪問請求返回的異常響應(yīng)量與正常訪問量的比值是否超過預(yù)設(shè)的響應(yīng)比率閾值之前還包括:
判斷在第三預(yù)定時間段內(nèi)向所述目標主機發(fā)出的訪問請求總量是否超過預(yù)設(shè)的網(wǎng)站安全響應(yīng)閾值;若是,獲取所述目標主機根據(jù)所述訪問請求返回的異常響應(yīng)量與正常訪問量,并執(zhí)行判斷所述目標主機根據(jù)所述訪問請求返回的異常響應(yīng)量與正常訪問量的比值是否超過預(yù)設(shè)的響應(yīng)比率閾值的步驟。
3.根據(jù)權(quán)利要求1或2所述的方法,其中,
獲取在第一預(yù)定時間段內(nèi)向所述目標主機發(fā)出的訪問請求最多的請求源包括:統(tǒng)計在所述第一預(yù)定時間段內(nèi)所述運行日志文件中記錄的向所述目標主機發(fā)出的訪問請求的請求源,并確定出訪問請求量最大的請求源。
4.根據(jù)權(quán)利要求1或2所述的方法,其中,在確定所述請求源為進行目標主機攻擊的攻擊源之后還包括:開啟所述攻擊源對應(yīng)的網(wǎng)頁應(yīng)用防護系統(tǒng)的攻擊防護機制。
5.根據(jù)權(quán)利要求4所述的方法,其中,開啟所述攻擊源對應(yīng)的網(wǎng)頁應(yīng)用防護系統(tǒng)的攻擊防護機制包括:
過濾所述攻擊源通過所述網(wǎng)頁應(yīng)用防護系統(tǒng)向所述目標主機發(fā)送的訪問請求;或
對向所述攻擊源發(fā)送驗證信息,并接收所述攻擊源的后續(xù)請求信息;判斷所述后續(xù)請求信息是否與所述驗證信息匹配,若否,過濾所述攻擊源的訪問請求。
6.一種拒絕服務(wù)攻擊的攻擊源的識別裝置,包括:
事件觸發(fā)接口,用于接收觸發(fā)攻擊源識別的異常事件;
訪問請求獲取模塊,用于獲取在第一預(yù)定時間段內(nèi)向目標主機發(fā)出的訪問請求總量,并且讀取與所述目標主機數(shù)據(jù)連接的多個網(wǎng)頁應(yīng)用防護系統(tǒng)的運行日志文件,并統(tǒng)計在所述第一預(yù)定時間段內(nèi)所述運行日志文件中記錄的向所述目標主機發(fā)出的訪問請求總量;
請求源確定模塊,用于獲取在第一預(yù)定時間段內(nèi)向所述目標主機發(fā)出的訪問請求總量,并記錄所述請求源發(fā)出的請求訪問的數(shù)量為第一訪問量;
攻擊源確定模塊,用于判斷所述第一訪問量占所述訪問請求總量的比率是否超過預(yù)設(shè)比值,若是,確定所述請求源為拒絕服務(wù)攻擊的攻擊源;第一事件生成模塊,用于判斷在第二預(yù)定時間段內(nèi)向所述目標主機發(fā)出的訪問請求總量是否超出預(yù)設(shè)的訪問量最大閾值;若是,生成所述觸發(fā)攻擊源識別的異常事件;
第二事件生成模塊,用于判斷在第三預(yù)定時間段內(nèi)所述目標主機根據(jù)所述訪問請求返回的異常響應(yīng)量與正常訪問量的比值是否超過預(yù)設(shè)的響應(yīng)比率閾值;若是,生成所述觸發(fā)攻擊源識別的異常事件。
7.根據(jù)權(quán)利要求6所述的裝置,其中,所述第二事件生成模塊被配置為:判斷在第三預(yù)定時間段內(nèi)向所述目標主機發(fā)出的訪問請求總量是否超過預(yù)設(shè)的網(wǎng)站安全響應(yīng)閾值;若是,獲取所述目標主機根據(jù)所述訪問請求返回的異常響應(yīng)量與正常訪問量,并執(zhí)行判斷所述目標主機根據(jù)所述訪問請求返回的異常響應(yīng)量與正常訪問量的比值是否超過預(yù)設(shè)的響應(yīng)比率閾值的步驟。
8.根據(jù)權(quán)利要求6或7所述的裝置,其中,
所述請求源確定模塊被配置為:統(tǒng)計在所述第一預(yù)定時間段內(nèi)所述運行日志文件中記錄的向所述目標主機發(fā)出的訪問請求的請求源,并確定出訪問請求量最大的請求源。
9.根據(jù)權(quán)利要求6或7所述的裝置,還包括:
第一防護模塊,用于過濾所述攻擊源通過所述網(wǎng)頁應(yīng)用防護系統(tǒng)向所述目標主機發(fā)送的訪問請求;或
第二防護模塊,用于對向所述攻擊源發(fā)送驗證信息,并接收所述攻擊源的后續(xù)請求信息;判斷所述后續(xù)請求信息是否與所述驗證信息匹配,若否,過濾所述攻擊源的訪問請求。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京奇安信科技有限公司,未經(jīng)北京奇安信科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310714601.4/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
