[发明专利]基于日志分析的CC攻击识别方法和设备

说明书

技术领域

本发明总体上涉及计算机网络安全，尤其涉及一种基于日志分析的CC攻击识别方法。

背景技术

近些年，随着互联网的急速发展，各种网络应用和网络攻击也日益增长，这造成网络环境的复杂化。而且，为客户提供改善体验的各种网络架构和应用越来越多，这在方便客户的同时也方便了网络攻击者。其中，CDN(全称是Content Delivery Network，即内容分发网络)的发展逐渐加速。CDN的基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输得更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点。其目的是使用户可就近取得所需内容，解决 Internet网络拥挤的状况，提高用户访问网站的响应速度。

同网络上的其他网元一样，CDN系统节点同样易遭受网络攻击，从而导致所提供的服务质量下降甚至完全拒绝服务的后果。为此，识别并进而防止对CDN节点的攻击对于这一网络技术的应用而言是极为重要的。

在网络攻击中，分布式拒绝服务攻击(英文缩写DDOS:Distributed Denial of Service)是较为普遍并能够造出严重损失的一种攻击形式。DDOS的攻击方式有很多种，最基本的DOS攻击就是利用合理的网络攻击服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DDOS攻击手段是在传统的DOS攻击基础之上产生的一类攻击方式。单一的DOS攻击一般采用一对一方式，当攻击目标的各项性能指标不高时，诸如CPU速度低、内存小或者网络带宽小等等，它的攻击效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DOS攻击的困难程度加大-目标对恶意攻击包的"消化能力"加强了不少，例如攻击软件每秒钟可以发送3,000个攻击包，但主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

因此，分布式拒绝服务DDOS攻击就应运而生，其借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DOS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDOS主控程序安装在一个计算机上，在一个设定的时间，主控程序将与大量已经被安装在Internet上的许多计算机上的代理程序通信。代理程序收到指令时就同时发动攻击，从而利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

CC攻击是DDOS攻击的一种，相比其他的DDOS攻击CC攻击更有技术含量，其难以防范的一个主要原因在于会自我伪装。CC攻击的原理同样是攻击者控制某些主机不停地高频率访问目标网站，从而造成服务器资源耗尽，一直到宕机崩溃，从而造成拒绝服务的目的，使得被攻击网站无法正常提供服务。

目前广泛应用的CC攻击识别方法一般是通过对网站一段时间内所有IP访问者的IP进行汇总，从而将访问量过大从而明显异常的访问识别为CC攻击源IP。但是，攻击源IP会突然调频率访问，在一定时间内产生很多访问。在这种情况下，如果正常访问已经积累了很长时间，也会产生很多访问，则与攻击IP数量相比，无明显差异。这种方法的缺陷在于在大量攻击源同时攻击网站时，攻击源IP与正常请求IP差异性较小，无明显特征，从而造成无法直接识别出攻击源IP。而且，这种传统识别方法无法实时性地进行分析，从而造成当面临攻击时，不能及时响应。

另一方面，传统的CC攻击识别技术在公有CDN应用过程中无法进行有效识别。因为如果攻击者通过多攻击源同时向多个网站进行攻击，则虽然各个网站受到的攻击是相互独立的，但由于该类站点使用公有CDN，最终攻击目标实际上是公有CDN服务器。所以，在公有CDN服务器中，当攻击影响到CDN节点稳定性时，将造成源网站无法访问。这类攻击由于分散于多个网站，仅对单一网站进行统计的传统的CC攻击源IP识别技术在该类应用场景中将无法有效定位攻击者源IP，从而无法有效对攻击进行防御。

CC攻击种类繁多，攻击者为了逃避各种CC攻击识别技术的拦截，会对攻击源的请求进行伪装。针对这一伪装，虽然目前现有技术已经在通过对请求IP的访问行为进行特征匹配从而进行防护，但由于此类方法往往一次性指定好规则就长期使用，期间并不进行规则进行更新等改变，所以对于不断变化的CC攻击无法立即进行识别防护。

发明内容