[发明专利]一种CC攻击的识别防御系统及方法

权利要求书

1.一种CC攻击的识别防御系统，其特征在于，包括：

依次相连的功能开启控制单元、系统参数配置单元、攻击识别功能单元、内核通信单元、攻击拦截功能单元以及日志保存功能单元；

其中，所述功能开启控制单元，用于控制开启或关闭识别防御功能，并将开启或关闭对应的状态值发送给所述内核通信单元；

所述系统参数配置单元，用于设置识别参数、拦截参数和可信IP地址白名单；

所述攻击识别功能单元，用于基于所述识别参数监测和识别CC攻击，并将识别到的攻击源信息记录到本地文件以及发送给所述攻击拦截功能单元和所述日志保存功能单元；

所述内核通信单元，用于实现应用态和处于内核态的所述攻击拦截功能单元之间的通信；

所述攻击拦截功能单元，用于依据所述拦截参数和所述可信IP地址白名单来控制所述攻击源对网络资源的访问情况，并将控制过程中生成的拦截信息发送给所述日志保存功能单元；

所述日志保存功能单元，用于基于所述攻击源信息和所述拦截信息生成日志信息，并保存所述日志信息；

所述攻击拦截功能单元包括：

初始化模块，用于在动态加载内核后，基于所述本地文件初始化内核哈希HASH表，并移除所述本地文件中已过期的攻击源信息；

网络包截获模块，用于实时截获网络包，从截获的网络包中获取访问者信息，并将所述访问者信息发送给访问限制模块；

访问限制模块，用于从所述内核哈希HASH表中查找所述访问者所对应的限制时长和限制频率，并判断所述访问者当前的访问限制时长是否已到期，若到期，则允许本次访问，否则再判断所述访问者在单位时间内的访问频率，若所述访问频率大于所述限制频率，则拦截本次访问，否则允许本次访问。

2.根据权利要求1所述的CC攻击的识别防御系统，其特征在于，所述系统参数配置单元包括：

识别参数设置模块，用于在所述识别防御功能开启后设置用于所述监测的监测阈值和用于所述识别的识别阈值；

拦截参数设置模块，用于在所述识别防御功能开启后设置用于限制网络资源访问的限制参数，并将所述限制参数发送给所述内核通信单元；

可信IP地址白名单设置模块，用于在所述识别防御功能开启后设置可信IP地址访问源的可信IP地址白名单，并将所述可信IP地址白名单发送给所述内核通信单元。

3.根据权利要求2所述的CC攻击的识别防御系统，其特征在于，所述攻击识别功能单元包括：

网络资源监控模块，用于监控和检测网络链接使用情况，并依据所述监测阈值判断所述系统是否受到CC攻击；

网络链接抓取模块，用于当所述网络资源监控模块检测到所述系统受到CC攻击后，开始进行网络包的抓取，并将抓取到的网络包信息发送给网络资源解析模块；

网络资源解析模块，用于解析所述网络包信息，依据所述识别阈值和所述可信IP地址白名单计算得到攻击源信息，并将所述攻击源信息和所述限制参数发送给所述内核通信单元以及记录到所述本地文件中；

状态自控模块，用于当所述系统受到CC攻击时，保证所述网络链接抓取模块和所述网络资源解析模块仅被启动一次，且当所述系统在预设时长内不受CC攻击时，控制所述网络链接抓取模块和所述网络资源解析模块自动退出。

4.根据权利要求1所述的CC攻击的识别防御系统，其特征在于，所述内核通信单元，还用于将攻击源信息添加进所述内核哈希HASH表中。