技術領域

本發明總體上涉及計算機網絡安全，尤其涉及一種基于日志分析的CC攻擊識別方法。

背景技術

近些年，隨著互聯網的急速發展，各種網絡應用和網絡攻擊也日益增長，這造成網絡環境的復雜化。而且，為客戶提供改善體驗的各種網絡架構和應用越來越多，這在方便客戶的同時也方便了網絡攻擊者。其中，CDN(全稱是Content Delivery Network，即內容分發網絡)的發展逐漸加速。CDN的基本思路是盡可能避開互聯網上有可能影響數據傳輸速度和穩定性的瓶頸和環節，使內容傳輸得更快、更穩定。通過在網絡各處放置節點服務器所構成的在現有的互聯網基礎之上的一層智能虛擬網絡，CDN系統能夠實時地根據網絡流量和各節點的連接、負載狀況以及到用戶的距離和響應時間等綜合信息將用戶的請求重新導向離用戶最近的服務節點。其目的是使用戶可就近取得所需內容，解決 Internet網絡擁擠的狀況，提高用戶訪問網站的響應速度。

同網絡上的其他網元一樣，CDN系統節點同樣易遭受網絡攻擊，從而導致所提供的服務質量下降甚至完全拒絕服務的后果。為此，識別并進而防止對CDN節點的攻擊對于這一網絡技術的應用而言是極為重要的。

在網絡攻擊中，分布式拒絕服務攻擊(英文縮寫DDOS:Distributed Denial of Service)是較為普遍并能夠造出嚴重損失的一種攻擊形式。DDOS的攻擊方式有很多種，最基本的DOS攻擊就是利用合理的網絡攻擊服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。DDOS攻擊手段是在傳統的DOS攻擊基礎之上產生的一類攻擊方式。單一的DOS攻擊一般采用一對一方式，當攻擊目標的各項性能指標不高時，諸如CPU速度低、內存小或者網絡帶寬小等等，它的攻擊效果是明顯的。隨著計算機與網絡技術的發展，計算機的處理能力迅速增長，內存大大增加，同時也出現了千兆級別的網絡，這使得DOS攻擊的困難程度加大-目標對惡意攻擊包的"消化能力"加強了不少，例如攻擊軟件每秒鐘可以發送3,000個攻擊包，但主機與網絡帶寬每秒鐘可以處理10,000個攻擊包，這樣一來攻擊就不會產生什么效果。

因此，分布式拒絕服務DDOS攻擊就應運而生，其借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DOS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDOS主控程序安裝在一個計算機上，在一個設定的時間，主控程序將與大量已經被安裝在Internet上的許多計算機上的代理程序通信。代理程序收到指令時就同時發動攻擊，從而利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

CC攻擊是DDOS攻擊的一種，相比其他的DDOS攻擊CC攻擊更有技術含量，其難以防范的一個主要原因在于會自我偽裝。CC攻擊的原理同樣是攻擊者控制某些主機不停地高頻率訪問目標網站，從而造成服務器資源耗盡，一直到宕機崩潰，從而造成拒絕服務的目的，使得被攻擊網站無法正常提供服務。

目前廣泛應用的CC攻擊識別方法一般是通過對網站一段時間內所有IP訪問者的IP進行匯總，從而將訪問量過大從而明顯異常的訪問識別為CC攻擊源IP。但是，攻擊源IP會突然調頻率訪問，在一定時間內產生很多訪問。在這種情況下，如果正常訪問已經積累了很長時間，也會產生很多訪問，則與攻擊IP數量相比，無明顯差異。這種方法的缺陷在于在大量攻擊源同時攻擊網站時，攻擊源IP與正常請求IP差異性較小，無明顯特征，從而造成無法直接識別出攻擊源IP。而且，這種傳統識別方法無法實時性地進行分析，從而造成當面臨攻擊時，不能及時響應。

另一方面，傳統的CC攻擊識別技術在公有CDN應用過程中無法進行有效識別。因為如果攻擊者通過多攻擊源同時向多個網站進行攻擊，則雖然各個網站受到的攻擊是相互獨立的，但由于該類站點使用公有CDN，最終攻擊目標實際上是公有CDN服務器。所以，在公有CDN服務器中，當攻擊影響到CDN節點穩定性時，將造成源網站無法訪問。這類攻擊由于分散于多個網站，僅對單一網站進行統計的傳統的CC攻擊源IP識別技術在該類應用場景中將無法有效定位攻擊者源IP，從而無法有效對攻擊進行防御。

CC攻擊種類繁多，攻擊者為了逃避各種CC攻擊識別技術的攔截，會對攻擊源的請求進行偽裝。針對這一偽裝，雖然目前現有技術已經在通過對請求IP的訪問行為進行特征匹配從而進行防護，但由于此類方法往往一次性指定好規則就長期使用，期間并不進行規則進行更新等改變，所以對于不斷變化的CC攻擊無法立即進行識別防護。

發明內容