[发明专利]拒绝服务攻击的攻击源的识别方法和装置

说明书

技术领域

本发明涉及互联网安全领域，特别是涉及一种拒绝服务攻击的攻击源的识别方法和装置。

背景技术

拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。利用大量超出响应能力的请求消耗大量攻击目标的资源，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。严重时可以使某些服务被暂停甚至主机死机。

作为拒绝服务攻击的一种，CC攻击（Challenge Collapsar，挑战黑洞攻击），是利用不断对网站发送连接请求致使形成拒绝服务的目的的一种恶意攻击手段。其原理为模拟多个用户不停地进行访问那些需要大量数据操作的页面，造成目标主机服务器资源耗尽，一直到宕机崩溃。

由于CC攻击的攻击方式是通过模拟用户的访问请求，难以进行区分，而且CC攻击的技术门槛较低，利用一些工具和一定熟练数量的代理IP就可以进行攻击，而且CC攻击的攻击效果明显。

现有技术中针对拒绝服务攻击，特别是CC攻击的处理方案，主要禁止网站代理访问，限制连接数量，尽量将网站做成静态页面等方法进行，然而以上禁止代理访问和限制连接数量的方法会影响正常用户访问网站，另外由于网页的类型和内容的限制，也无法将网页全部设置为静态页面，而且这种方式也不能消除CC攻击的效果。因此，为了对CC攻击进行合理有效的防护，需要首先识别出进行CC攻击的攻击源。但是针对现有技术中无法准确识别拒绝服务攻击的攻击源的问题，目前尚未提出有效的解决方案。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的拒绝服务攻击的攻击源的识别装置和相应的拒绝服务攻击的攻击源的识别方法。本发明一个进一步的目的是要准确识别出拒绝服务攻击的攻击源，以便有针对性地进行安全防护。

依据本发明的一个方面，提供了一种拒绝服务攻击的攻击源的识别方法。该拒绝服务攻击的攻击源的识别方法包括以下步骤：获取目标主机的多个统一资源定位符URL的访问请求的列表；利用列表查询得出第一URL，该第一URL为在第一预定时间段内访问请求量最大的统一资源定位符；利用列表查询得出在第一预定时间段内向第一URL发出最多请求的一个或多个请求源；分别判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及请求源的请求量是否超过请求阈值；若以上两个判断结果均为是，将请求量超过请求阈值的请求源列为可疑攻击源。

可选地，获取目标主机的多个统一资源定位符URL的访问请求的列表包括：读取与目标主机数据连接的网页应用防护系统的运行日志文件；对运行日志文件文件进行分析，得到列表，列表中记录了目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。

可选地，请求阈值通过占比动态计算得出，请求阈值的计算步骤包括：使用预设基础值除以占比，将得到的除商与预设的误拦裕量相加；将相加得到的加和作为请求阈值。

可选地，将请求量超过请求阈值的请求源列为可疑攻击源之后还包括：对可疑攻击源的访问请求进行分析，根据分析结果选择是否开启对可疑攻击源的攻击防护机制。

可选地，对可疑攻击源的访问请求进行分析包括：判断可疑攻击源向目标主机发出访问请求的目标URL是否仅为第一URL；若是，开启对可疑攻击源的攻击防护机制。

可选地，开启对可疑攻击源的攻击防护机制包括：过滤掉可疑攻击源向目标主机发送的访问请求。

可选地，获取目标主机的多个统一资源定位符URL的访问请求的列表之前还包括：判断向目标主机发出的访问请求总量是否超过预设的网站安全响应阈值；若是，执行获取目标主机的多个统一资源定位符URL的访问请求的列表的步骤。

根据本发明的另一个方面，提供了一种拒绝服务攻击的攻击源的识别装置包括：列表获取模块，用于获取目标主机的多个统一资源定位符URL的访问请求的列表；URL分析模块，用于利用列表查询得出第一URL，该第一URL为在第一预定时间段内访问请求量最大的统一资源定位符；请求源分析模块，用于利用列表查询得出在第一预定时间段内向第一URL发出最多请求的一个或多个请求源；判断模块，用于分别判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及请求源的请求量是否超过请求阈值；攻击源确定模块，用于在判断模块的两个判断结果均为是的情况下，将请求量超过请求阈值的请求源列为可疑攻击源。