[发明专利]特征鉴定方法、装置、电子设备及计算机可读存储介质

说明书

本申请公开了一种特征鉴定方法、装置、电子设备及计算机可读存储介质，涉及网络安全技术领域。具体实现方案为：根据流量异常情况，确定第一类IP地址和第二类IP地址；所述第一类IP地址为正常IP地址，所述第二类IP地址为可疑IP地址；分别统计预设时间段内所述第一类IP地址和所述第二类IP地址的流量特征数据；根据所述流量特征数据，鉴定CC攻击流量特征。根据本申请实施例，可以实现对CC攻击流量特征的高效鉴定，从而提高CC攻击的识别率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种特征鉴定方法、装置、电子设备及计算机可读存储介质。

背景技术

CC(Challenge Collapsar)攻击是DDOS攻击的一种，相比其他的DDOS攻击，CC攻击更有技术含量，其难以防范的一个主要原因在于会自我伪装。目前常用的CC攻击识别方法为：通过对一段时间内的网络流量进行汇总，将访问量过大且明显异常的互联网协议(Internet Protocol，IP)地址确定为CC攻击源IP地址。并通过对CC攻击源IP地址的流量进行封禁来实现CC攻击的防御。但是，在这种情况下，当攻击者使用多攻击源IP地址进行攻击时，攻击源IP地址和正常IP地址的差异性会较小，容易漏报或误报，从而造成CC攻击的识别率低。

发明内容

本申请实施例提供一种特征鉴定方法、装置、电子设备及计算机可读存储介质，以解决现有CC攻击的识别率低的问题。

为了解决上述技术问题，本申请是这样实现的：

第一方面，本申请实施例提供了一种特征鉴定方法，包括：

根据流量异常情况，确定第一类IP地址和第二类IP地址；所述第一类IP地址为正常IP地址，所述第二类IP地址为可疑IP地址；

分别统计预设时间段内所述第一类IP地址和所述第二类IP地址的流量特征数据；

根据所述流量特征数据，鉴定CC攻击流量特征。

这样，借助统计出的正常IP地址和可疑IP地址的流量特征数据，可以对正常IP地址的流量特征和可疑IP地址的流量特征进行区分，从而实现对CC攻击流量特征的高效鉴定，提高CC攻击的识别率。

可选的，所述流量特征数据包括以下内容：

所述第一类IP地址的第一HTTP请求次数；

所述第二类IP地址的第二HTTP请求次数；

多个HTTP特征中每个所述HTTP特征的出现次数；

其中，所述HTTP特征包括HTTP请求特征和HTTP响应特征中的至少一者；所述HTTP特征对应的IP地址为所述第一类IP地址和/或所述第二类IP地址。

这样，可以基于对HTTP请求和响应信息的解析，实现对不同类别的流量特征数据的统计。

可选的，所述根据所述流量特征数据，鉴定CC攻击流量特征，包括：

计算每个所述HTTP特征的集中度和/或可疑度；

根据每个所述HTTP特征的集中度和/或可疑度，鉴定CC攻击流量特征；

其中，所述HTTP特征的集中度包括第一集中度和第二集中度，所述第一集中度为所述HTTP特征的出现次数与所述第一HTTP请求次数的比值，所述第二集中度为所述HTTP特征的出现次数与所述第二HTTP请求次数的比值；所述HTTP特征的可疑度为所述第二集中度与所述第一集中度的比值。

这样，通过计算出的HTTP特征的集中度和/或可疑度，可以对正常IP地址的HTTP特征和可疑IP地址的HTTP特征进行有效区分，从而鉴定出CC攻击流量特征。