[发明专利]基于日志分析的CC攻击识别方法和设备

权利要求书

1.一种基于日志分析的CC攻击识别方法，包括：

获取日志中的IP请求信息；

基于名单、攻击特征库对所述IP请求信息进行如下分析并输出分析结果：

将所述IP请求信息中的源IP与黑名单进行匹配，如果所述源IP与所述黑名单中的任一源IP匹配，则输出分析结果为“匹配”；

如果所述源IP与所述黑名单中的任一源IP不匹配，则统计所述源IP最近的访问频度并与源IP访问频度阈值进行比较，如果超过所述源IP访问频度阈值，则输出分析结果为“超过阈值”，

如果没有超过所述源IP访问频度阈值，则从所述IP请求信息中提取HTTP头信息并且与所述HTTP头信息频度阈值进行比较；如果超过所述HTTP头信息频度阈值，则输出分析结果为“超过阈值”，

如果没有超过所述HTTP头信息频度阈值，则将所述IP请求信息中的请求内容与所述攻击特征库进行匹配；如果所述请求内容与特征库匹配成功，则输出分析结果为“匹配”，否则输出分析结果为“正常”，

基于所述分析结果来进行如下识别：如果所述分析结果为“正常”，则将IP请求识别为正常请求并且放行所述IP请求，否则将所述IP请求识别为CC攻击并且将所述IP请求信息中的源IP添加到黑名单中、拦截来自所述源IP的请求并且自动从所述IP请求信息中提取特征加入所述攻击特征库，

所述方法进一步包括针对添加到所述黑名单中的源IP的有效性进行审核、基于审核结果向防火墙添加阻止规则来利用防火墙拦截以及在发现IP请求被错误地识别为CC时，清空针对该IP请求添加的阻止规则以便减少误报所产生的影响。

2.根据权利要求1所述的方法，其中提取的特征包括来自所述IP请求信息中的目标网站URL、浏览器标识User-Agent、访问来源Referrer以及访问IP。

3.根据权利要求1所述的方法，其中所述源IP访问频度阈值由系统预先确定或者由用户预先指定。

4.根据权利要求1所述的方法，其中所述HTTP头信息频度阈值由系统预先确定或者由用户预先指定。

5.根据权利要求1所述的方法，其中确定频度所依据的单位时间按照需要变化。

6.根据权利要求1所述的方法，进一步包括对所述攻击特征库中的特征进行添加、修改或删除。

7.一种基于日志分析的CC攻击识别的设备，包括：

获取装置，用于获取日志中的IP请求信息；

分析装置，用于基于名单、攻击特征库对所述IP请求信息进行综合分析并输出分析结果并且包括：

黑名单匹配装置，用于将所述IP请求信息中的源IP与黑名单进行匹配，如果所述源IP与所述黑名单中的任一源IP匹配，则输出分析结果为“匹配”；

IP访问频度比较装置，用于如果所述源IP与所述黑名单中的任一源IP不匹配，则统计所述源IP最近的访问频度并与源IP访问频度阈值进行比较，如果超过所述源IP访问频度阈值，则输出分析结果为“超过阈值”，

HTTP头信息比较装置，用于如果没有超过所述源IP访问频度阈值，则从所述IP请求信息中提取HTTP头信息并且与所述HTTP头信息频度阈值进行比较；如果超过所述HTTP头信息频度阈值，则输出分析结果为“超过阈值”，

攻击特征库匹配装置，用于如果没有超过所述HTTP头信息频度阈值，则将所述IP请求信息中的请求内容与所述攻击特征库进行匹配；如果所述请求内容与特征库匹配成功，则输出分析结果为“匹配”，否则输出分析结果为“正常”，

识别装置，用于基于所述分析结果来进行如下识别：如果所述分析结果为“正常”，则将IP请求识别为正常请求并且放行所述IP请求，否则将所述IP请求识别为CC攻击并且将所述IP请求信息中的源IP添加到黑名单中、拦截来自所述源IP的请求并且自动从所述IP请求信息中提取特征加入所述攻击特征库，

所述设备进一步包括审核装置，用于针对添加到所述黑名单中的源IP的有效性进行审核、添加装置，用于基于审核结果向防火墙添加阻止规则来利用防火墙拦截以及清空装置，用于在发现IP请求被错误地识别为CC时，清空针对该IP请求添加的阻止规则以便减少误报所产生的影响。

8.根据权利要求7所述的设备，其中提取的特征包括来自所述IP请求信息中的目标网站URL、浏览器标识User-Agent、访问来源Referrer以及访问IP。