[发明专利]一种确定DDoS攻击设备的方法及装置

说明书

本发明实施例提供一种确定DDoS攻击设备的方法及装置，用于解决现有技术中确定DDoS攻击设备的方法存在无法识别具备完整协议栈行为的DDoS攻击设备、且用户体验差的技术问题。所述方法包括：在接收到N个客户端发送的HTTP请求时，获取所述N个客户端中每个客户端的特征值，所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征；将特征值相同各个客户端划分在同一个类别中，统计各个类别的客户端在预定时间范围内的流量；在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时，将所述任一类别的客户端确定为DDoS攻击设备。

技术领域

本发明涉及计算机技术领域，特别涉及一种确定DDoS攻击设备的方法及装置。

背景技术

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

现有技术中对DDoS攻击进行防护采用的技术方案一般为检验客户端的浏览器能力是否齐全，比如采用JavaScript、cookie等验证方式，校验客户端是否具有正常的JavaScript计算能力、正常的超文本传输协议(HyperText Transfer Protocol，HTTP)响应行为等。但是，现有这些方法只能检测出具有不完整协议栈行为的DDoS攻击设备，而对具备完整协议栈行为的DDoS攻击设备无能为力，比如攻击者使用浏览器模拟合法的HTTP请求，占用大量网络资源，达到瘫痪网络的目的；并且，这类检测方法通常还需要用户参与验证过程，比如输入验证码、拖动验证图片等，会中断用户的浏览体验。可见，现有技术中确定DDoS攻击设备的方法存在无法识别具备完整协议栈行为的DDoS攻击设备、且用户体验差的技术问题。

发明内容

本发明实施例提供一种确定DDoS攻击设备的方法及装置，用于解决现有技术中确定DDoS攻击设备的方法存在无法识别具备完整协议栈行为的DDoS攻击设备、且用户体验差的技术问题。

本发明实施例第一方面提供一种确定DDoS攻击设备的方法，包括：

在接收到N个客户端发送的HTTP请求时，获取所述N个客户端中每个客户端的特征值，所述特征值表征客户端发起HTTP请求的应用和/或所述应用的运行环境和/或客户端的硬件的特征；

将特征值相同各个客户端划分在同一个类别中，统计各个类别的客户端在预定时间范围内的流量；

在确定任一类别的客户端在预定时间范围内的流量超过第一阈值时，将所述任一类别的客户端确定为DDoS攻击设备。

在上述方案中，通过对特征值相同的客户端的流量的判定，可以将由同一个DDoS攻击网络发起的DDoS攻击流量全部鉴定出来，解决了现有技术无法识别具备完整协议栈行为的DDoS攻击设备的技术问题。

可选的，所述获取所述N个客户端中每个客户端的特征值，包括：向所述N个客户端中的每个客户端发送第一指令，所述第一指令用于指示客户端：根据自身的至少一项特征信息生成特征值，并返回生成的特征值；其中，客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征；接收各个客户端返回的特征值。

通过本方式，可以直接从各个客户端获得各个客户端对应的特征值，进而实现基于特征值对客户端分类，识别DDoS攻击设备。

可选的，所述获取所述N个客户端中每个客户端的特征值，包括：向所述N个客户端中的每个客户端发送第二指令，所述第二指令用于指示客户端：返回自身的至少一项特征信息；其中，客户端的每项特征信息表征所述客户端发起HTTP请求的应用或所述应用的运行环境的一项特征；接收各个客户端返回的特征信息；分别根据每个客户端返回的特征信息生成每个客户端对应的特征值。