[发明专利]一种云计算环境下HTTPDOS攻击的检测方法及系统

权利要求书

1.一种云计算环境下HTTP DOS攻击的检测方法，其特征在于：

获取对目标Web页面发起HTTP请求的源端信息，包括请求次数和速率；

判断该源端对该目标Web页面发起的HTTP请求次数和速率是否大于各自的阈值，如果是，认为该源端对该目标Web页面发起拒绝服务(DOS)攻击；

其中，获取对目标Web页面发起HTTP请求的源端信息的操作，包括以下步骤：

提取HTTP请求包中的源IP地址、用户cookie值和目标URL，其中，目标URL即为目标Web页面的地址；

根据源IP地址和用户cookie值计算得到源事件ID，根据目标URL计算得到目标事件ID；

将目标事件ID与目标事件筛选表中的所有条目的ID进行匹配，目标事件筛选表中包括目标事件ID、第一源信息、第一计数器、第一速率和第一表指针，其中，第一表指针指向源事件筛选表，源事件筛选表包括源事件ID值、第二源信息、第二计数器、第二速率和第二表指针；

如果匹配成功，即，目标事件筛选表中包括计算得到的目标事件ID，则转向第一表指针所指向的源事件筛选表，将源事件ID与源事件筛选表中的所有条目的ID进行匹配，根据匹配结果更新第二计数器的计数值，即请求次数，并计算第二速率，即源端信息中的速率。

2.如权利要求1所述云计算环境下HTTP DOS攻击的检测方法，其特征在于：

如果匹配不成功，即，目标事件筛选表中未包括计算得到的目标事件ID，则在目标事件筛选表中创建新的条目，条目ID为当前HTTP请求包的目标事件ID值，第一源信息为访问的目标URL，第一计数器置为1，第一表指针指向新创建的源事件筛选表；

创建对应的源事件筛选表，条目ID为当前HTTP请求包的源事件ID，第二源信息为当前HTTP请求包的源IP和cookie，第二计数器置为1，第二表指针为正向查询。

3.如权利要求1或2所述云计算环境下HTTP DOS攻击的检测方法，其特征在于：

源事件ID与源事件筛选表中的所有条目的ID进行匹配的操作，包括以下步骤：

源事件ID与源事件筛选表中的当前条目ID匹配，将当前条目的计数器加一，计算源事件筛选表中所有条目的速率，更新源事件筛选表所有条目的速率字段。

4.如权利要求1或2所述云计算环境下HTTP DOS攻击的检测方法，其特征在于：

源事件ID与源事件筛选表中的所有条目的ID进行匹配的操作，包括以下步骤：

源事件ID与源事件筛选表中的当前条目ID不匹配，判断当前条目是否为空；

如果当前条目为空，则将当前HTTP请求包的源事件ID插入当前条目，计数器置为1，表指针置为反向查询，计算源事件筛选表中所有条目的速率，更新源事件筛选表所有条目的速率字段，更新目标事件筛选表的计数器和速率字段；

如果当前条目非空，当前条目计数器减一，判断当前条目计数器是否为0；如果当前条目计数器为0，用新的请求包数据替换当前条目，事件ID替换为当前请求包的事件ID，源信息替换为当前请求包的源信息，计数器设为1，表指针为正向查询，计算源事件筛选表中所有条目的速率，更新源事件筛选表所有条目的速率字段，更新目标事件筛选表的计数器和速率字段；如果当前条目计数器不为0，表指针选取下一条目，初始表指针设为正向查询。

5.如权利要求1或2所述云计算环境下HTTP DOS攻击的检测方法，其特征在于：

当检测到DOS攻击时，提交攻击源IP地址和用户cookie值；

调用安全设备对攻击源IP地址进行阻断。