本發(fā)明公開了一種基于編輯距離的TCP CC識別方法，在惡意連接到達服務器時，直接分析其發(fā)送的數(shù)據(jù)內(nèi)容，因其為隨機數(shù)據(jù)，必然與特征字節(jié)串不匹配，從而立即識別出惡意連接，而不是放行，當同一個惡意攻擊者(IP)的連接次數(shù)達到閾值后，直接封鎖該攻擊者(IP)，在整個過程中，服務器上層業(yè)務不會收到任何隨機數(shù)據(jù)(垃圾數(shù)據(jù))，因而不會受到任何影響。本發(fā)明方法能夠精準地識別攻擊，降低誤報率、漏報率，同時因其直接參與連接的過程，可以攻擊較早的階段即可識別阻斷，無需等待連接結束后進行分析，極大地提高了識別的效率。

技術領域

本發(fā)明涉及CC攻擊識別領域，特別是一種基于編輯距離的TCP CC識別方法。

背景技術

CC是指攻擊者借助代理服務器生成指向受害主機的合法請求，實現(xiàn)DOS和偽裝。CC攻擊主要針對WEB應用程序比較消耗資源的地方進行瘋狂請求，比如，論壇中的搜索功能，如果不加以限制，任由人搜索，普通配置的服務器在幾百個并發(fā)請求下，MYSQL服務就會癱瘓。CC攻擊的種類有三個，分別為直接攻擊、代理攻擊和僵尸網(wǎng)絡攻擊。

防御CC攻擊可以通過多種方法，禁止網(wǎng)站代理訪問，盡量將網(wǎng)站做成靜態(tài)頁面，限制連接數(shù)量，修改最大超時時間等。傳統(tǒng)的TCP CC攻擊識別主要通過計算單位時間請求數(shù)量或者單個IP的請求頻率是否達到閾值來識別。其存在以下不足：1）如果將閾值設定較高，會有很多低頻攻擊無法識別；2）如果將閾值設定較低，會有很多正常請求被錯誤識別為攻擊；3）攻擊識別效率較低，需要在攻擊已經(jīng)產(chǎn)生后才開始識別攻擊，并需要持續(xù)一段時間才能完成識別。

CC（Challenge Collapsar）攻擊：DDoS攻擊的一種，通過偽裝合法請求進行攻擊；

編輯距離（Edit Distance）：指兩個字符串之間，由一個轉成另一個所需的最少編輯操作次數(shù)。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術問題是提供一種基于編輯距離的TCP CC識別方法，對于相同的業(yè)務來說，其TCP連接的前N個字節(jié)基本是固定或者相似的，本方法通過提取TCP第一個數(shù)據(jù)包的內(nèi)容，并將該內(nèi)容與歷史學習到的內(nèi)容進行編輯距離的計算，依據(jù)計算結果識別TCP的CC攻擊，提高識別的效率。

為解決上述技術問題，本發(fā)明采用的技術方案是：

一種基于編輯距離的TCP CC識別方法，包括以下步驟：

步驟1：設定初始的特征字節(jié)串S以及特征字節(jié)串長度為M，設定編輯距離的閾值為D，且M ≥ D ≥1；

步驟2：新連接到來時，接收前M個字節(jié)的數(shù)據(jù)，存放到緩沖區(qū)B中；

步驟3：計算特征字節(jié)串與緩沖區(qū)B中存放的內(nèi)容的編輯距離d；

步驟4：比較編輯距離d與閾值D；

步驟5：若編輯距離d ≥閾值D，進行如下操作：

1）查找當前連接的源 IP 地址是否被緩存，若未被緩存則進行步驟2），否則進行步驟3）；

2）緩存源 IP 地址，并記錄其對應的識別失敗計數(shù)為1，記錄該源 IP 地址 緩存超時時間為T；

3）判斷該源 IP 地址的緩存超時時間T是否已超時，若超時則進行步驟4），否則進行步驟5）；

4）設置該源 IP 地址的緩存記錄中的識別失敗次數(shù)為1，并重置該記錄緩存超時時間為T；

5）更新源IP地址緩存記錄的識別失敗計數(shù)加1；

6）判斷該 源IP 地址緩存記錄的識別失敗次數(shù)是否超過配置的閾值，若超過則進行步驟7），否則關閉該連接，結束本次識別處理；

7）關閉該連接，刪除該源IP地址的緩存記錄，并將該源IP地址加入系統(tǒng)黑名單，阻止其連接請求；