[发明专利]一种确定DDoS攻击设备的方法及装置

权利要求书

1.一种确定分布式拒绝服务DDoS攻击设备的方法，其特征在于，包括：

在接收到N个客户端发送的超文本传输协议HTTP请求时，向所述N个客户端中的每个客户端发送第一指令，所述第一指令用于指示客户端根据自身的至少一项特征信息生成特征值，并返回生成的特征值；其中，客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征，所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征；

接收各个客户端返回的特征值，将特征值相同各个客户端划分在同一个类别中，统计各个类别的客户端在预定时间范围内的流量；

在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时，将所述任一类别的客户端确定为DDoS攻击设备。

2.如权利要求1所述的方法，其特征在于，所述在接收到N个客户端发送的超文本传输协议HTTP请求时，所述方法还包括：

向所述N个客户端中的每个客户端发送第二指令，所述第二指令用于指示客户端返回自身的至少一项特征信息；其中，客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征；

接收各个客户端返回的特征信息；

分别根据每个客户端返回的特征信息生成每个客户端对应的特征值。

3.如权利要求1或2所述的方法，其特征在于，所述特征信息包括操作系统的类型、浏览器的版本、浏览器的窗口状态、浏览器的扩展信息、浏览器的设置信息、浏览器的历史请求记录、客户端的显卡信息、客户端的声卡信息中的至少一项。

4.如权利要求1-2任一项所述的方法，其特征在于，在将所述任一类别的客户端确定为DDoS攻击设备之后，所述方法还包括：

对确定出的各个DDoS攻击设备的流量进行限制；或者

将确定出的各个DDoS攻击设备加入黑名单。

5.一种确定DDoS攻击设备的装置，其特征在于，包括：

接收单元，用于接收N个客户端发送的HTTP请求；

第一发送单元，用于向所述N个客户端中的每个客户端发送第一指令，所述第一指令用于指示客户端根据自身的至少一项特征信息生成特征值，并返回生成的特征值；其中，客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征，所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征；

处理单元，用于接收各个客户端返回的特征值，将特征值相同各个客户端划分在同一个类别中，统计各个别的客户端在预定时间范围内的流量；在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时，将所述任一类别的客户端确定为DDoS攻击装置。

6.如权利要求5所述的装置，其特征在于，所述装置还包括第二发送单元；

所述第二发送单元用于：向所述N个客户端中的每个客户端发送第二指令，所述第二指令用于指示客户端返回自身的至少一项特征信息；其中，客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征；

所述接收单元还用于：接收各个客户端返回的特征信息；

所述处理单元还用于：分别根据每个客户端返回的特征信息生成每个客户端对应的特征值。

7.如权利要求5或6所述的装置，其特征在于，所述特征信息包括操作系统的类型、浏览器的版本、浏览器的窗口状态、浏览器的扩展信息、浏览器的设置信息、浏览器的历史请求记录、客户端的显卡信息、客户端的声卡信息中的至少一项。

8.如权利要求5-6任一项所述的装置，其特征在于，所述处理单元还用于：

在将所述任一类别的客户端确定为DDoS攻击设备之后，对确定出的各个DDoS攻击设备的流量进行限制，或者，将确定出的各个DDoS攻击设备加入黑名单。