[发明专利]一种基于高频统计的CC攻击识别方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于高频统计的CC攻击识别方法及系统。

背景技术

所述的CC攻击可以归为DDoS攻击的一种。即通过发送大量的请求数据来导致服务器拒绝服务，是一种连接攻击。CC攻击常见的有代理CC攻击，和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求，实现DOS和伪装。而肉鸡CC攻击是黑客使用CC攻击软件，控制大量肉鸡，发动攻击，相比较而言后者比前者更难防御。因为肉鸡可以模拟正常用户访问网站的请求，伪造成合法数据包。

常规的防护DDoS主要是针对某个网站，而在骨干网中识别异常突发的CC访问流量，与传统方法不同的地方是首先有大量的正常访问流量，其次传统的访问计数统计只要针对所防护的网络的站点，不需要对其它的站点进行统计，所统计的信息是非常少的。

骨干网中进行CC攻击的识别核心在于能够对被攻击的网站进行访问统计，而建立全网全URL的统计所要消耗的资源则是不收敛的，不断有新URL加入，新的不同域名加入，需要统计的内容是千变万化的，统计项目不固定，如何从中找到高频CC攻击，并且不被正规大型网站的正常访问淹没是目前没有解决的问题。

发明内容

针对上述技术问题，本发明提供了一种基于高频统计的CC攻击识别方法及系统，该方法通过建立一个缓冲区，利用大数据高频统计的思想，抛弃准确统计的传统方法，实现有效识别CC攻击的目的。

本发明采用如下方法来实现：一种基于高频统计的CC攻击识别方法，包括：

步骤1、识别骨干网流量中的HTTP GET请求，并利用所述HTTP GET请求获取源IP、目的IP和URI；

其中，利用HTTP GET请求内容可以获取目的IP，HTTP头，URI等，所述URI（Uniform Resource Locator的缩写）是统一资源定位符，是HTTP协议中的字段，是URL的一部分；利用HTTP头可以获取源IP、URI、协议版本、客户端信息等内容；

步骤2、利用获取的源IP、目的IP和URI计算hash值；

步骤3、判断缓冲区中是否存在与所述hash值相同的统计项目，若存在，则该统计项目的计数值加1，并执行步骤6，否则执行步骤4；

步骤4、判断缓冲区中是否存在剩余空间，若存在，将所述hash值作为新的统计项目加入缓冲区，并设定计数值为1，否则将缓冲区所有统计项目的计数值减1，并执行步骤5；

步骤5、判断缓冲区中是否存在计数值为0的统计项目，若存在，则清除所述统计项目，并将所述hash值作为新的统计项目加入缓冲区，并设定计数值为1，否则丢弃所述hash值，结束；

步骤6、当缓冲区中存在单位时间计数值超过设定阈值的统计项目，则认为存在CC攻击，并报警。

进一步地，所述缓冲区的大小固定。形成一个稳定的统计数据库。

进一步地，所述设定阈值为常规访问量的10倍。

本发明采用如下系统来实现：一种基于高频统计的CC攻击识别系统，包括：

识别模块，用于识别骨干网流量中的HTTP GET请求，并利用所述HTTP GET请求获取源IP、目的IP和URI；

其中，利用HTTP GET请求内容可以获取目的IP，HTTP头，URI等，所述URI（Uniform Resource Locator的缩写）是统一资源定位符，是HTTP协议中的字段，是URL的一部分；利用HTTP头可以获取源IP、URI、协议版本、客户端信息等内容；

计算模块，用于利用获取的源IP、目的IP和URI计算hash值；

第一判定模块，用于判断缓冲区中是否存在与所述hash值相同的统计项目，若存在，则该统计项目的计数值加1，并由处置模块进行处理，否则由第二判定模块继续判断；

第二判定模块，用于判断缓冲区中是否存在剩余空间，若存在，将所述hash值作为新的统计项目加入缓冲区，并设定计数值为1，否则将缓冲区所有统计项目的计数值减1，并由第三判定模块继续判断；

第三判定模块，用于判断缓冲区中是否存在计数值为0的统计项目，若存在，则清除所述统计项目，并将所述hash值作为新的统计项目加入缓冲区，并设定计数值为1，否则丢弃所述hash值，结束；

处置模块，当缓冲区中存在单位时间计数值超过设定阈值的统计项目，则认为存在CC攻击，并报警。

进一步地，所述缓冲区的大小固定。

进一步地，所述设定阈值为常规访问量的10倍。