[发明专利]恶意攻击识别方法及系统

说明书

技术领域

本申请涉及网络安全技术领域，特别是涉及一种恶意攻击识别方法及系统。

背景技术

目前一些比较大型的地方论坛社区由于种种原因，经常会遭受黑客的攻击，最终经常都损失惨重，有的服务器会带宽耗尽，有的服务器负载很高。其中，常见的攻击为CC(ChallengeCollapsar)攻击，可以归为DDoS攻击的一种，是一种连接攻击，原理为通过发送大量的请求数据来导致服务器拒绝服务。其中CC攻击又可分为代理CC攻击和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求，实现攻击。肉鸡就是被黑客攻破，种植了木马病毒的电脑，肉鸡CC攻击是黑客使用CC攻击软件，控制大量肉鸡，发动攻击。

对于前述的连接攻击，目前的解决方案基本上都是实时获取每个IP地址的链接数，即页面请求数，将预定时间内链接数超过一定阀值的IP地址加入黑名单中，禁止该IP地址的访问。

这种方法，对于普通的ddos攻击，可以取得较好的效果，但是针对黑客掌握大量肉鸡，然后通过肉鸡来攻击，并通过控制肉鸡的连接数的情况，这可能起不到任何效果，因此目前的方法具有一定的使用局限性，无法准确的识别肉鸡CC攻击。

发明内容

本申请提供一种恶意攻击识别方法及系统，能够解决恶意攻击识别局限性和准确性的问题。

为了解决上述问题，本申请公开了一种恶意攻击识别方法，包括以下步骤：

读取最新的web访问日志；

判断所述最新的web访问日志中是否包含静态资源文件，若是，则不作处理，反之，则进行下一步骤；

获取所述新的web访问日志中所包含的IP地址的页面请求数，判断单个IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击。

进一步地，所述读取最新的web访问日志包括：

间隔预定时间读取一次；或

对新的web访问日志数量进行监控，若新的web访问日志数量超过预定值，则读取一次。

进一步地，所述读取最新的web访问日志包括：

间隔预定时间读取固定数量的web访问日志；

记录每次读取的最新web访问日志产生的时间点，并进行标识；

若下次读取的web访问日志中包含有前一次读取的最新web访问日志产生的时间点，则只保留该时间点之后的web访问日志。

进一步地，判断所述最新的web访问日志中是否包含静态资源文件包括：

获取新的web访问日志中各文件的后缀；

将所述后缀与预先存储的后缀进行匹配；

若新的web访问日志中任何一个文件的后缀能与预先存储的后缀中的任何一个匹配上，则确定新的web访问日志中包含有静态资源文件。

进一步地，所述判断单个IP地址的页面请求数是否超过阈值包括：

统计新的web访问日志中每个IP地址分别对应的页面请求数；

选取页面请求数最大的IP地址；

判断该IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并进行下一步骤；反之，则确定新的web访问日志中所包含的IP地址的页面请求数未超过阈值；

从余下的IP地址中选取页面请求数最大的IP地址，并重复前一步骤。

进一步地，所述判断单个IP地址的页面请求数是否超过阈值包括：

S1，统计新的web访问日志中每个IP地址分别对应的页面请求数；

S2，按照页面请求数从大到小的顺序对所有的IP地址进行排序；

S3，选取序号在预定数值内的IP地址；

S4，逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并进行步骤S5，反之，则不作处理；

S5，对未被选取的IP地址按照页面请求数从大到小的顺序重新进行排序，并重复步骤S3和S4。

进一步地，所述步骤S4包括：

按照序号从大到小选取最大序号的IP地址；

判断该IP地址的页面请求数是否超过阈值，若是，则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值；若否，则进行下一步骤；

按照序号从大到小选取下一序号的IP地址，重复前一步骤。

进一步地，所述方法还包括：

禁止确定为恶意攻击的IP地址的访问。

进一步地，所述禁止确定为恶意攻击的IP地址的访问包括：