技術領域

本發明涉及互聯網安全領域，特別是涉及一種拒絕服務攻擊的攻擊源的識別方法和裝置。

背景技術

拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問，是黑客常用的攻擊手段之一。大量超出響應能力的請求會大量消耗目標主機的資源，這些資源包括磁盤空間、內存、進程甚至網絡帶寬，從而阻止正常用戶的訪問。嚴重時可以使某些服務被暫停甚至主機死機。

作為拒絕服務攻擊的一種，CC攻擊（Challenge Collapsar，挑戰黑洞攻擊），是利用不斷對網站發送連接請求致使形成拒絕服務的目的的一種惡意攻擊手段。其原理為模擬多個用戶不停地進行訪問那些需要大量數據操作的頁面，造成目標主機服務器資源耗盡，一直到宕機崩潰。

由于CC攻擊的攻擊方式是通過模擬用戶的訪問請求，難以進行區分，而且CC攻擊的技術門檻較低，利用一些工具和一定熟練數量的代理IP就可以進行攻擊，而且CC攻擊的攻擊效果明顯。

現有技術中針對拒絕服務攻擊，特別是CC攻擊的處理方案，主要禁止網站代理訪問，限制連接數量，盡量將網站做成靜態頁面等方法進行，然而以上禁止代理訪問和限制連接數量的方法會影響正常用戶訪問網站，另外由于網頁的類型和內容的限制，也無法將網頁全部設置為靜態頁面，而且這種方式也不能消除CC攻擊的效果。因此，為了對CC攻擊進行合理有效的防護，需要首先識別出進行CC攻擊的攻擊源。但是針對現有技術中無法準確識別拒絕服務攻擊的攻擊源的問題，目前尚未提出有效的解決方案。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的拒絕服務攻擊的攻擊源的識別裝置和相應的拒絕服務攻擊的攻擊源的識別方法。本發明一個進一步的目的是要識別出拒絕服務攻擊的攻擊 源，以便有針對性地進行安全防護。

依據本發明的一個方面，提供了一種拒絕服務攻擊的攻擊源的識別方法。該拒絕服務攻擊的攻擊源的識別方法包括：接收觸發攻擊源識別的異常事件；獲取在第一預定時間段內向目標主機發出的訪問請求總量；確定在第一預定時間段內向目標主機發出的訪問請求量最大的請求源，并記錄請求源發出的請求訪問的數量為第一訪問量；判斷第一訪問量占訪問請求總量的比率是否超過預設比值，若是，確定請求源為拒絕服務攻擊的攻擊源。

可選地，異常事件的生成步驟包括：判斷在第二預定時間段內向目標主機發出的訪問請求總量是否超出預設的訪問量最大閾值；若是，生成觸發攻擊源識別的異常事件。

可選地，異常事件的生成步驟包括：判斷在第三預定時間段內目標主機根據訪問請求返回的異常響應量與正常訪問量的比值是否超過預設的響應比率閾值；若是，生成觸發攻擊源識別的異常事件。

可選地，在判斷目標主機根據訪問請求返回的異常響應量與正常訪問量的比值是否超過預設的響應比率閾值之前還包括：判斷在第三預定時間段內向目標主機發出的訪問請求總量是否超過預設的網站安全響應閾值；若是，獲取目標主機根據訪問請求返回的異常響應量與正常訪問量，并執行判斷目標主機根據訪問請求返回的異常響應量與正常訪問量的比值是否超過預設的響應比率閾值的步驟。

可選地，獲取在第一預定時間段內向目標主機發出的訪問請求總量包括：讀取與目標主機數據連接的網頁應用防護系統的運行日志文件，并統計在第一預定時間段內運行日志文件中記錄的向目標主機發出的訪問請求總量；獲取在第一預定時間段內向目標主機發出的訪問請求最多的請求源包括：統計在第一預定時間段內運行日志文件中記錄的向目標主機發出的訪問請求的請求源，并確定出訪問請求量最大的請求源。

可選地，在確定請求源為進行目標主機攻擊的攻擊源之后還包括：開啟攻擊源對應的網頁應用防護系統的攻擊防護機制。

可選地，開啟攻擊源對應的網頁應用防護系統的攻擊防護機制包括：過濾攻擊源通過網頁應用防護系統向目標主機發送的訪問請求；或對向攻擊源發送驗證信息，并接收攻擊源的后續請求信息；判斷后續請求信息是否與驗證信息匹配，若否，過濾攻擊源的訪問請求。

根據本發明的另一個方面，提供了一種拒絕服務攻擊的攻擊源的識別裝 置。該拒絕服務攻擊的攻擊源的識別裝置包括：事件觸發接口，用于接收觸發攻擊源識別的異常事件；訪問請求獲取模塊，用于獲取在第一預定時間段內向目標主機發出的訪問請求總量；請求源確定模塊，用于獲取在第一預定時間段內向目標主機發出的訪問請求總量，并記錄請求源發出的請求訪問的數量為第一訪問量；攻擊源確定模塊，用于判斷第一訪問量占訪問請求總量的比率是否超過預設比值，若是，確定請求源為拒絕服務攻擊的攻擊源。