[发明专利]CC攻击检测方法及CC攻击检测装置

说明书

本发明涉及一种CC攻击检测方法以及CC攻击检测装置。该方法包括：对于历史流量通信日志中的HTTP协议进行解析提取字段并从中提取单个URI的请求频次；从单个URI的请求频次中提取规定时间内的单个URI的请求频次的时序特征作为训练集和测试集；基于所述训练集和测试集利用机器学习算法生成预测模型；以及将根据当前时刻的单个URI的请求频次利用所述预测模型预测得到的下一时刻的单个URI的请求频次与预先设置的告警阈值进行比较，基于比较结果判断是否发出告警。根据本发明，能够实时并且准确地检测到CC攻击，由此，能够提高网络安全威胁识别和检测能力。

技术领域

本发明涉及计算机网络技术，具体地涉及一种用于检测CC攻击的CC攻击检测方法以及CC攻击检测装置。

背景技术

CC攻击是指击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装。图1表示通过多个代理服务器向目标服务器发起CC攻击的示意图。如图1所示，攻击者使用多个服务器(图1中示出代理服务器1～代理服务器4)向目标服务器发送大量合法的请求，造成服务器资源耗尽，无法正常地提供服务。

目前对CC攻击的检测存在以下几种方法：

(1)白名单判定方法：根据IP非攻击请求次数建立三级白名单模块，判断是否为CC攻击。

(2)固定阈值判断方法：接收目标服务器的实时运行数据，将所述实时运行数据与设定阈值进行比较，当所述实时运行数据超过设定阈值时，判断是否为CC攻击。

(3)基于统计学方法：计算访问次数过多ip的平均访问阈值，通过比较访问次数过多ip的当前时间段的访问次数与平均访问阈值，判断是否为CC攻击。

然而，在上述现有技术中，当固定阈值或黑白名单设置不当时，普遍存在误报率较高的问题，阈值设置过高会导致有遗漏的告警，阈值设置过低会导致大量误报；利用统计平均值和标准差进行预测时，在业务流量变化时的响应速度和准确性上存在一定局限性，无法及时、灵活地对在CC攻击发生时进行告警。

发明内容

鉴于上述问题，本发明旨在提出一种能够实时并且准确地检测到CC攻击风险的CC攻击检测方法以及CC攻击检测装置。

本发明的一方面的CC攻击检测方法，其特征在于，

流量解析步骤，对于历史流量通信日志中的HTTP协议进行解析，提取单个URI的请求频次；

特征处理步骤，从所述流量解析步骤输出的单个URI的请求频次中提取规定时间内的单个URI的请求频次的时序特征作为训练集和测试集；

机器学习步骤，基于所述训练集和测试集利用机器学习算法生成预测模型，所述预测模型用于根据当前时刻的单个URI的请求频次预测下一时刻的单个URI的请求频次；以及

实时告警步骤，将根据当前时刻的单个URI的请求频次利用所述预测模型预测得到的下一时刻的单个URI的请求频次与预先设置的告警阈值进行比较，基于比较结果判断是否发出告警。

可选地，所述流量解析步骤包括：

汇聚子步骤，汇聚历史流量通信日志；

解析子步骤，从流量通信日志中解析HTTP协议的各个字段；以及

提取子步骤，从解析出的各个字段提取单个URI的请求频次并进行汇聚。

可选地，在所述提取子步骤中，以分钟级将提取的单个URI的请求频次进行汇聚。

可选地，所述特征处理步骤包括：

获取子步骤，获取所述流量解析步骤输出的单个URI的请求频次；

第一提取子步骤，提取规定时间内的单个URI的请求频次的时序特征作为训练集和测试集；