[发明专利]基于日志分析的CC攻击识别方法和设备有效
| 申请号: | 201410230486.8 | 申请日: | 2014-05-28 |
| 公开(公告)号: | CN104065644B | 公开(公告)日: | 2017-11-21 |
| 发明(设计)人: | 姚昌林;张永波 | 申请(专利权)人: | 北京知道创宇信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F17/30 |
| 代理公司: | 中国专利代理(香港)有限公司72001 | 代理人: | 马永利,李浩 |
| 地址: | 100044 北京市海*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种基于日志分析的CC攻击识别方法和设备,其中一种基于日志分析的CC攻击识别方法,包括获取日志中的IP请求信息;基于名单、攻击特征库对所述IP请求信息进行综合分析并输出分析结果,基于所述分析结果来进行如下识别如果所述分析结果为“正常”,则将IP请求识别为正常请求并且放行所述IP请求,否则将所述IP请求识别为CC攻击并且将所述IP请求信息中的源IP添加到黑名单中、拦截来自所述源IP的请求并且自动从所述IP请求信息中提取特征加入所述攻击特征库。 | ||
| 搜索关键词: | 基于 日志 分析 cc 攻击 识别 方法 设备 | ||
【主权项】:
一种基于日志分析的CC攻击识别方法,包括:获取日志中的IP请求信息;基于名单、攻击特征库对所述IP请求信息进行如下分析并输出分析结果:将所述IP请求信息中的源IP与黑名单进行匹配,如果所述源IP与所述黑名单中的任一源IP匹配,则输出分析结果为“匹配”;如果所述源IP与所述黑名单中的任一源IP不匹配,则统计所述源IP最近的访问频度并与源IP访问频度阈值进行比较,如果超过所述源IP访问频度阈值,则输出分析结果为“超过阈值”,如果没有超过所述源IP访问频度阈值,则从所述IP请求信息中提取HTTP头信息并且与所述HTTP头信息频度阈值进行比较;如果超过所述HTTP头信息频度阈值,则输出分析结果为“超过阈值”,如果没有超过所述HTTP头信息频度阈值,则将所述IP请求信息中的请求内容与所述攻击特征库进行匹配;如果所述请求内容与特征库匹配成功,则输出分析结果为“匹配”,否则输出分析结果为“正常”,基于所述分析结果来进行如下识别:如果所述分析结果为“正常”,则将IP请求识别为正常请求并且放行所述IP请求,否则将所述IP请求识别为CC攻击并且将所述IP请求信息中的源IP添加到黑名单中、拦截来自所述源IP的请求并且自动从所述IP请求信息中提取特征加入所述攻击特征库,所述方法进一步包括针对添加到所述黑名单中的源IP的有效性进行审核、基于审核结果向防火墙添加阻止规则来利用防火墙拦截以及在发现IP请求被错误地识别为CC时,清空针对该IP请求添加的阻止规则以便减少误报所产生的影响。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京知道创宇信息技术有限公司,未经北京知道创宇信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410230486.8/,转载请声明来源钻瓜专利网。
- 上一篇:一种张紧装置
- 下一篇:一种实现WEB应用圈子与群组消息同步的方法及系统
