[发明专利]检测和防御CC攻击的方法及装置

说明书

技术领域

本发明涉及到通信领域，特别涉及到一种检测和防御CC攻击的方法及装置。 

背景技术

随着互联网技术的发展，网络安全问题越来越突出，而DDoS攻击(Distributed Denial of service，分布式拒绝服务攻击)作为网络攻击中的最常用的手段之一，近年来发展速度已经明显超过防御技术。根据ArborNetworks公司2010年的安全年报显示，DDoS攻击的流量在近年呈现几何增长趋势，从2009年的50Gbps突增到2010年的100Gbps。而2010年和2011年的很多国际大事件中都有DDoS攻击的身影。 

CC(Challenge Collapsar)攻击是DDoS攻击的一种，它主要是针对WEB页面进行攻击，攻击者一般是通过网络中的代理服务器10对目标服务器11发起大量的耗费系统资源的HTTP请求(如论坛搜索等)，使得目标服务器11的系统资源被很快耗尽，从而无法响应正常用户的请求。 

现有的针对CC攻击的检测和防御方法还比较少，并且大多数方案都具有滞后性大、误判率高的缺点。比如根据请求报文和响应报文的比值的变化来检测服务器是否受到CC攻击的方案就具有明显的滞后性，当服务器的请求响应比发生明显变化时，说明该系统可能已经受到一段时间的CC攻击，另外，该方法容易把正常的高峰访问判定为异常的CC攻击，因此误判率高。 

发明内容

本发明的主要目的为提供一种检测和防御CC攻击的方法和装置，可准确检测和防御CC攻击。 

本发明提出一种检测和防御CC攻击的方法，包括： 

当用户访问页面的请求为动态页面请求时，记录预设时间内该页面的请求次数m及该页面的相关请求次数n； 

当*m-n)/m大于或等于一预设阈值时，判定所述页面受到CC攻击。 

优选地，所述当用户访问页面的请求为动态页面请求时，记录该页面的请求次数m及该页面的相关请求次数n，包括： 

1)判断所述用户访问页面的请求是否为已记录的请求； 

2)当所述用户访问页面的请求是已记录的请求时，将该请求的次数加1，并返回步骤1)直到预设时间到达； 

3)当所述用户访问页面的请求非已记录的请求时，判断所述用户访问页面的请求是否为已记录请求的相关请求，是则将所述相关请求的次数加1，并返回步骤1)直到预设时间到达；否则将所述用户访问页面的请求记录为新请求，并返回步骤1)直到预设时间到达； 

4)统计所述用户访问页面的请求次数m及该页面的相关请求次数n。 

优选地，所述统计用户访问页面的相关请求次数n包括： 

计算所述用户访问页面的各相关请求的次数； 

将各相关请求的次数求平均值，得到相关请求次数n。 

优选地，在执行所述当用户访问页面的请求为动态页面请求时，记录该页面的请求次数m及该页面的相关请求次数n之前，包括： 

判断用户访问页面的请求是否为动态页面请求。 

优选地，在执行所述当(m-n)/m大于或等于一预设阈值时，判定所述页面受到CC攻击之后，还包括： 

将所述用户访问页面的请求进行重定向。 

本发明还提出一种检测和防御CC攻击的装置，包括： 

记录模块，用于当用户访问页面的请求为动态页面请求时，记录预设时间内该页面的请求次数m及该页面的相关请求次数n； 

判定模块，用于当(m-n)/m大于或等于一预设阈值时，判定所述页面受到CC攻击。 

优选地，所述记录模块包括： 

判断单元，用于判断所述用户访问页面的请求是否为已记录的请求； 

页面请求次数单元，用于当所述用户访问页面的请求是已记录的请求时，将该请求的次数加1，并返回步骤1)直到预设时间到达； 

相关请求次数单元，用于当所述用户访问页面的请求非已记录的请求时，判断所述用户访问页面的请求是否为已记录请求的相关请求，是则将所述相关请求的次数加1，并返回步骤1)直到预设时间到达；否则将所述用户访问页面的请求记录为新请求，并返回步骤1)直到预设时间到达； 

统计单元，用于统计所述用户访问页面的请求次数m及该页面的相关请求次数n。 

优选地，所述统计单元包括： 

计算子单元，用于计算所述用户访问页面的各相关请求的次数； 

求平均值单元，用于将各相关请求的次数求平均值，得到相关请求次数n。 

优选地，所述装置还包括：