[发明专利]拒绝服务攻击的攻击源的识别方法和装置

权利要求书

1.一种拒绝服务攻击的攻击源的识别方法，包括：

获取目标主机的多个统一资源定位符URL的访问请求的列表；

利用所述列表查询得出第一URL，该第一URL为在第一预定时间段内访问请求量最大的所述统一资源定位符；

利用所述列表查询得出在第一预定时间段内向所述第一URL发出最多请求的一个或多个请求源；

分别判断所述第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及所述请求源的请求量是否超过请求阈值；

若以上两个判断结果均为是，将请求量超过所述请求阈值的请求源列为可疑攻击源。

2.根据权利要求1所述的方法，其中，获取所述目标主机的多个统一资源定位符URL的访问请求的列表包括：

读取与所述目标主机数据连接的网页应用防护系统的运行日志文件；

对所述运行日志文件文件进行分析，得到所述列表，所述列表中记录了所述目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。

3.根据权利要求1所述的方法，其中，所述请求阈值通过所述占比动态计算得出，所述请求阈值的计算步骤包括：

使用预设基础值除以所述占比，将得到的除商与预设的误拦裕量相加；

将所述相加得到的加和作为所述请求阈值。

4.根据权利要求1至3中任一项所述的方法，其中，将请求量超过所述请求阈值的请求源列为可疑攻击源之后还包括：对所述可疑攻击源的访问请求进行分析，根据分析结果选择是否开启对所述可疑攻击源的攻击防护机制。

5.根据权利要求4所述的方法，其中，对所述可疑攻击源的访问请求进行分析包括：

判断所述可疑攻击源向所述目标主机发出访问请求的目标URL是否仅为所述第一URL；

若是，开启对所述可疑攻击源的攻击防护机制。

6.根据权利要求5所述的方法，其中，开启对所述可疑攻击源的攻击防护机制包括：过滤掉所述可疑攻击源向所述目标主机发送的访问请求。

7.根据权利要求1至6中任一项所述的方法，其中，获取所述目标主机的多个统一资源定位符URL的访问请求的列表之前还包括：

判断向所述目标主机发出的访问请求总量是否超过预设的网站安全响应阈值；若是，执行获取所述目标主机的多个统一资源定位符URL的访问请求的列表的步骤。

8.一种拒绝服务攻击的攻击源的识别装置，包括：

列表获取模块，用于获取目标主机的多个统一资源定位符URL的访问请求的列表；

URL分析模块，用于利用所述列表查询得出第一URL，该第一URL为在第一预定时间段内访问请求量最大的所述统一资源定位符；

请求源分析模块，用于利用所述列表查询得出在第一预定时间段内向所述第一URL发出最多请求的一个或多个请求源；

判断模块，用于分别判断所述第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及所述请求源的请求量是否超过请求阈值；

攻击源确定模块，用于在所述判断模块的两个判断结果均为是的情况下，将请求量超过所述请求阈值的请求源列为可疑攻击源。

9.根据权利要求8所述的装置，其中，所述列表获取模块被配置为：

读取与所述目标主机数据连接的网页应用防护系统的运行日志文件；

对所述运行日志文件文件进行分析，得到所述列表，所述列表中记录了所述目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。

10.根据权利要求9所述的装置，还包括：

请求阈值计算模块，用于使用预设基础值除以所述占比，将得到的除商与预设的误拦裕量相加；将所述相加得到的加和作为所述请求阈值。