本申請?zhí)峁┮环N攻擊請求的確定方法，該方法包括：接收訪問請求；提取所述訪問請求中的第一請求信息，將所述第一請求信息分別與預(yù)設(shè)置的支持多種匹配參數(shù)的各種類型的黑名單中的信息進行匹配；在與任一類型的黑名單中的信息匹配成功時，確定所述訪問請求為攻擊請求。通過本申請的技術(shù)方案，解決了現(xiàn)有技術(shù)中僅通過IP地址的訪問次數(shù)來確定攻擊請求的方式對于IP地址訪問頻率不高的CC攻擊類型并不適用、無法精確識別各種類型的CC攻擊、誤殺率高等問題，能夠基于多種匹配參數(shù)對訪問請求進行判斷，判斷維度更廣，判斷方式更為靈活，且判斷結(jié)果更為準(zhǔn)確。

技術(shù)領(lǐng)域

本申請涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域，尤其涉及一種攻擊請求的確定方法、裝置及服務(wù)器。

背景技術(shù)

隨著互聯(lián)網(wǎng)業(yè)務(wù)的不斷發(fā)展，網(wǎng)站的頁面越來越復(fù)雜，網(wǎng)站對請求的處理也需要消耗越來越多的資源，這種情況下，訪問的用戶越多，系統(tǒng)的負(fù)載越高。網(wǎng)站易于遭受到CC(Challenge Collapsar，挑戰(zhàn)黑洞)攻擊，CC攻擊會造成巨大的資源消耗，從而導(dǎo)致頁面的打開速度變的非常慢，如果CPU(Central Processing Unit，中央處理單元)或帶寬資源被消耗盡，可能出現(xiàn)服務(wù)不可用的情況，從而影響用戶訪問網(wǎng)絡(luò)，用戶體驗較差。

現(xiàn)有技術(shù)中，主要通過對IP(Internet Protocol，互聯(lián)網(wǎng)協(xié)議)地址的訪問量進行統(tǒng)計來確定CC攻擊，如果某一IP地址在某段時間內(nèi)的訪問量超過設(shè)定閾值，則將該IP地址列入黑名單，并進行基于IP地址的阻斷。

這種方法對于使用同一IP大量訪問的情況下能夠檢測出CC攻擊，但是不能夠準(zhǔn)確識別隨機URI(Uniform Resource Identifiers，統(tǒng)一資源標(biāo)識符)攻擊類型、隨機域名類型等CC攻擊，而且僅僅通過IP的角度進行統(tǒng)計的方式比較單一，不夠靈活，攻擊者可以根據(jù)IP統(tǒng)計的規(guī)則，逐漸減少攻擊次數(shù)，繼而制造出訪問次數(shù)不超過設(shè)定閾值的惡意攻擊。如果將閾值調(diào)整的較小，則會增大誤殺率，尤其是在無線網(wǎng)絡(luò)和NAT(Network AddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)網(wǎng)絡(luò)普及的情況下，存在多個用戶使用同一個出口IP的問題，更加容易造成誤殺。

發(fā)明內(nèi)容

本申請?zhí)峁┕粽埱蟮拇_定方法及裝置，以解決現(xiàn)有技術(shù)僅通過IP地址的訪問次數(shù)來確定攻擊請求的方式對于IP地址訪問頻率不高的CC攻擊類型并不適用、無法精確識別各種類型的CC攻擊、誤殺率高等問題。

根據(jù)本申請實施例的第一方面，提供了一種攻擊請求的確定方法，應(yīng)用在服務(wù)器上，包括：

接收訪問請求；

提取所述訪問請求中的第一請求信息，將所述第一請求信息分別與預(yù)設(shè)置的支持多種匹配參數(shù)的各種類型的黑名單中的信息進行匹配；

在與任一類型的黑名單中的信息匹配成功時，確定所述訪問請求為攻擊請求。

根據(jù)本申請實施例的第二方面，提供一種攻擊請求的確定裝置，應(yīng)用在服務(wù)器上，包括：

接收單元，用于接收訪問請求；

匹配單元，用于提取所述訪問請求中的第一請求信息，將所述第一請求信息分別與預(yù)設(shè)置的支持多種匹配參數(shù)的各種類型的黑名單中的信息進行匹配；

第一確定單元，用于在與任一類型的黑名單中的信息匹配成功時，確定所述訪問請求為攻擊請求。

根據(jù)本申請實施例的第三方面，提供一種服務(wù)器，包括：

收發(fā)模塊，用于接收訪問請求，并提取所述訪問請求中的第一請求信息；

阻斷模塊，與所述執(zhí)行模塊連接，用于將所述第一請求信息與預(yù)設(shè)置的支持多種匹配參數(shù)的各種類型的黑名單中的信息進行匹配，并在與任一類型的黑名單中的信息匹配成功時，確定所述訪問請求為攻擊請求。