具体实施方式
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
图1是根据本发明一个实施例的服务器肉鸡的识别装置200的网络应用环境的示意图,在图中,网页客户端110访问目标网站时,经过域名解析系统DNS的解析,将输入的域名解析为网页防护系统分布在各地机房的节点服务器120对应的地址,节点服务器120通过互联网向目标网站的主机140发出访问请求,在目标主机140之前设置了网页应用防护系统130(Web ApplicationFirewall,简称WAF),向目标主机140发出的访问请求必须经过WAF130才能到达目标主机140,WAF130作为网站防火防火墙,提供网站的加速和缓存服务,可防止黑客利用跨站注入等漏洞对网站进行入侵,保护网站不被篡改和入侵,提高网站主机的安全性。本发明实施例的服务器肉鸡的识别装置200与多个WAF130数据连接,根据WAF130收到的向目标主机140发送的访问请求进行分析识别出拒绝服务攻击的攻击源,并对识别出的攻击源数据进行大数据融合,形成用于识别服务器肉鸡的数据列表,并利用列表与网络中服务器的地址进行比较,从而找出肉鸡服务器。
图2是根据本发明一个实施例的服务器肉鸡的识别装置200的示意图。该服务器肉鸡的识别装置200一般性地可以包括:攻击源识别模块210、攻击源列表生成模块220、地址获取模块230、肉鸡识别模块240。在以上部件中,攻击源识别模块210用于对向主机发送的访问请求进行拒绝服务攻击识别,确定出发起拒绝服务攻击的攻击源;攻击源列表生成模块220用于将攻击源的信息以预设的数据格式保存为生成的攻击源列表;地址获取模块230用于获取服务器的网络协议地址ip;肉鸡识别模块240用于判断ip地址是否属于攻击源列表,若是,确定服务器成为肉鸡。
拒绝服务攻击的方式包含以下多种方式:使用单一互联网协议地址(Internet Protocol,进程IP地址)对某一host的单个URL(Uniform ResourceLocator,统一资源定位符)进行攻击、使用多个IP对单个URL进行攻击、使用单一IP对多个URL进行攻击、使用多个IP对多个URL进行攻击,由于对多个URL进行攻击需要使用网络爬虫技术抽取URL攻击的难度较大,因此,一般进行拒绝服务攻击大多使用对单一URL进行攻击的方式。
根据拒绝服务攻击的不同方式,本实施例的服务器肉鸡的识别装置200中攻击源识别模块210可以利用不同的识别策略识别出拒绝服务攻击的攻击源,一种可选的方式为:攻击源识别模块210分别设置日志读取接口和攻击源确定子模块,其中日志读取接口收集进行识别的数据,攻击源确定子模块确定攻击源并获取构成攻击源列表的相关信息。
其中,日志读取接口用于读取网页应用防护系统WAF130的运行日志文件。攻击源确定子模块利用运行日志文件进行分析确定出发起拒绝服务攻击的攻击源,并获取攻击源的信息。
对于单一攻击源进行拒绝服务攻击的攻击方法,攻击源确定子模块被配置为:接收触发攻击源识别的异常事件;在运行日志文件中获取在第一预定时间段内向主机发出的访问请求总量;确定在第一预定时间段内向主机发出的访问请求量最大的请求源,并记录请求源发出的请求访问的数量为第一访问量;判断第一访问量占访问请求总量的比率是否超过预设比值,若是,确定请求源为进行拒绝服务攻击的攻击源。
对于单一攻击源向目标主机host的多个URL进行拒绝服务攻击的攻击方法,攻击源确定子模块被配置为:在运行日志文件中获取攻击目标主机的多个统一资源定位符URL的访问请求的URL列表;利用URL列表查询得出第一URL,该第一URL为在第四预定时间段内访问请求量最大的统一资源定位符;利用URL列表查询得出在第四预定时间段内向第一URL发出最多请求的一个或多个请求源;分别判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及请求源的请求量是否超过请求阈值;若以上两个判断结果均为是,将请求量超过请求阈值的请求源列为攻击源。
对于识别出的攻击源,除了利用WAF130和节点服务器120进行相应的安全防护外,攻击源识别模块210还要记录攻击源的相关信息,具体记录信息可以包括以下内容:攻击源的ip地址、所攻击的主机、所攻击的统一资源定位符、攻击次数。以上攻击源子模块中使用的预设参数均可以根据拒绝服务攻击的特点以及攻击目标主机的特点进行设定。
攻击源识别模块210积累的攻击源信息积累到一定数量,就可以由攻击源列表生成模块220生成攻击源列表。
地址获取模块利用网页应用防护系统的注册信息、互联网数据中心IDC资源服务商的服务器列表、域名解析系统(Domain Name System,简称DNS)中URL对应的服务器列表中的ip地址与攻击列表进行比对。由于一般服务器进行注册时,可能仅使用了一个ip,但是一般而言,一个服务器运营方都是注册了一段地址,而并非仅使用一个地址,因此需要对获取的地址进行适当的扩充,以免造成ip地址的遗漏。
因此地址获取模块230可以被配置为:在预先保存的服务器数据库中获取服务器注册的ip地址;将注册的ip地址扩充为预定数量的ip地址段;将ip地址段中的ip作为服务器的网络协议地址ip。本实施例的服务器肉鸡的识别装置200优先将一个ip地址扩展为一段C段ip,并将C段ip中所有的ip均作为对应服务器的地址。从而,可以保证不会遗漏掉服务器的地址。
本发明实施例还提供了一种服务器肉鸡的识别方法,该服务器肉鸡的识别方法可以由以上实施例中的服务器肉鸡的识别装置200来执行。图3是根据本发明一个实施例的服务器肉鸡的识别方法的示意图,该服务器肉鸡的识别方法包括以下步骤:
步骤S302,对向主机发送的访问请求进行拒绝服务攻击识别,确定出发起拒绝服务攻击的攻击源;
步骤S304,将攻击源的信息以预设的数据格式保存为生成的攻击源列表;
步骤S306,获取服务器的网络协议地址ip;
步骤S308,判断ip地址是否属于攻击源列表;
步骤S310,若步骤S308的判断结果为是,确定服务器成为肉鸡。
其中,步骤S302的攻击源识别结果是进行服务器肉鸡识别的数据基础,可以包括以下流程:读取网页应用防护系统的运行日志文件;对运行日志文件进行分析确定出发起拒绝服务攻击的攻击源,并获取攻击源的信息。
步骤S302获取的攻击源信息可以包括以下内容:攻击源的ip地址、所攻击的主机、所攻击的统一资源定位符、攻击次数。
对于不同的攻击方式,步骤S302需要制定不同的识别规则。
步骤S302的一种识别方式包括:对运行日志文件进行分析确定出发起拒绝服务攻击的攻击源包括:接收触发攻击源识别的异常事件;在运行日志文件中获取在第一预定时间段内向主机发出的访问请求总量;确定在第一预定时间段内向主机发出的访问请求量最大的请求源,并记录请求源发出的请求访问的数量为第一访问量;判断第一访问量占访问请求总量的比率是否超过预设比值,若是,确定请求源为进行拒绝服务攻击的攻击源。
以上触发攻击源的异常事件一般多种情况,例如目标主机的访问量骤升,目标主机的响应不正常。在出现以上异常事件后,启动对攻击源的识别。
其中目标主机的访问量骤升的事件的生成步骤为:判断在第二预定时间段内向目标主机发出的访问请求总量是否超出预设的访问量最大阈值;若是,生成触发攻击源识别的异常事件。
在受到拒绝服务攻击的情况下,在较短的时间内,访问请求的目标主机host140收到的请求量会明显高于正常的请求量,然而对于不同的网站,其访问量是不同的。为了使对目标主机140设置的异常事件判断阈值符合目标主机140的访问能力,判断阈值的生成步骤为用于每间隔第一预定时间段记录一次总请求量,得到多个总请求量;从多个总请求量中按照预设规则挑选出多个样本值;计算多个样本值的平均值,根据平均值设定阈值。
以上阈值的一种计算方式为:选取在第二预定时间段内产生的多个总请求量,第二预定时间段为第一预定时间段的整数倍,将在第二预定时间段内产生的多个总请求量中的最大值记为第二请求量;在连续多个第二预定时间段内分别挑选得出多个第二请求量,并从多个第二请求量中滤除偏差较大的数据后,得到多个样本值;计算平均值与预定系数的乘积,预定系数的取值范围为:1.05至1.3;将乘积作为阈值。
为了保证识别的准确性,以上第一预定时间和第二预定时间均经过了大量的时间进行试验,其中第一预定时间如果设定地过短,其波动性较大,容易出现误识别的情况,如果设定地过长,其波动性过于平滑,无法反映出请求量的变化;经过大量测试的结果,第一预定时间可以设置为3至8分钟,最优值为5分钟,也就是每间隔5分钟,确定在这5分钟内向目标主机140发出的访问请求总量作为第一请求量。
为了确定以上阈值,需要确定在正常访问情况下最大的访问请求量,由于一般网站的访问都是天为单位波动的,因此,选取样本值的周期,即第二预定时间可以使用一天的时间,从而选取样本值的过程可以为:获取一天时间内,每隔5分钟的总请求量,从而一天的288个总请求量中选取出最大值作为第二请求量。由于第二请求量可能受到异常因素的影响,会导致有些值明显出现较大偏差,例如某日统计出错,导致请求量为零;或者在某天内受到拒绝服务攻击,访问量大增,这种明显偏差较大的数据并非正常访问造成的,需要进行滤除。一种从第二请求量中选取样本值的简单方法可以为:挑选最近30天内的30个第二请求量,过滤掉最大的三个数据和最小的三个数据,将剩余的24个第二请求量作为样本值。这种方式计算简单,有效性较高。另外从第二请求量中选取样本值的方法还可以使用方差的方法进行统计,将方差大于一定预设值的第二请求量删除。
在得出以上样本值后,可以将样本值的加和平均值乘以预定系数得出最终阈值,以上预定系数的作用是为了给网站请求量留出一定的裕值,防止出现将正常访问增长判断为异常事件的情况,预定系数的取值范围为:1.05至1.3,一般选取的最优值可以为1.2。也就是将超出正常访问的最大访问量的20%的情况作为确定出现访问量异常的条件。
以上判断访问量异常的阈值可以是动态调整的,例如每天定时利用此前30天的访问数据进行阈值的计算,从而判断更加精确,例如在网站的访问量逐渐增长的情况下,可动态调整阈值,防止出现因业务变化导致出现拒绝服务攻击识别错误的情况发生。阈值的计算过程也并不局限于对样本值的加和平均,只要可以反映出网站正常访问量的最大值的统计计算方法均可以用于对阈值的计算,本实施例优选的加和平均仅是计算量较小的一种方式。
以上第一预设时间、第二预设时间、预定系数均是根据网络访问的情况统计得出的经验值,可以根据拒绝服务攻击的变化灵活进行调整。
目标主机的响应不正常的事件的生成步骤为:判断在第三预定时间段内目标主机根据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值;若是,生成触发攻击源识别的异常事件。
具体流程为:判断在第三预定时间段内向目标主机host140访问请求总量是否超过预设的网站安全响应阈值;若是,获取host140问请求返回的异常响应量与正常访问量,并执行判断host140根据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值的步骤。
判断在第三预定时间段内向目标主机140发出的访问请求总量是否超过预设的网站安全响应阈值的目的是,保证该目标主机140的运行稳定性,对于一些小型网站访问量较小,运行不稳定,其不正常响应一般也并非由于受到攻击的影响,如果在这些网站出现响应异常时触发拒绝服务攻击的攻击源识别步骤,会消耗拒绝服务攻击的攻击源的识别装置200资源。因此,在监控响应情况时,需要设立一个存活机制,仅对有一定访问量的目标主机14进行响应异常事件的监控。以上第三预定时间根据目标主机140的运行情况进行设定,一般而言,可以设置为10秒到30秒,最优设置为20秒,如果20秒内,目标主机140接收到的请求总量超过网站安全响应阈值,而且异常响应量与正常访问量的比值超过预设的响应比率阈值,响应比率阈值如果达到50%以上,就可以认为出现响应异常,例如异常响应量达到80%或以上,则可以判断目标主机140出现响应异常,触发拒绝服务攻击的攻击源的识别机制。
以上网站安全响应阈值对应的数值可以按照一般网站应该可以正常处理的请求量进行设置,确保网站请求量正常。
在单一攻击源进行拒绝服务攻击时,该攻击源ip对host140发送的访问请求的数量远远超过正常的访问量,所以在这种情况下,攻击源的请求数量远远超过其他正常请求源,因此在判断出第一访问量占访问请求总量的比率超过预设比值,就可以认定第一访问量对应的请求源为发出拒绝服务攻击的攻击源。以上预设比值为对拒绝服务攻击的攻击行为进行分析得出的经验值,一般可以设置为80%左右,也就是如果接收到异常事件的触发,如果在当前一段时间内,某一请求源的请求量占到所有请求量的80%,就可以认定该请求源为攻击源,将该攻击源的相关信息加入攻击源列表。
图4是根据本发明一个实施例的服务器肉鸡的识别方法中确定拒绝服务攻击的攻击源的流程图,如图所示,该拒绝服务攻击的攻击源的识别流程包括:
步骤S402,读取与目标主机数据连接的网页应用防护系统的运行日志文件;
步骤S404,从运行日志文件中获取在第一预定时间段内向主机发出的访问请求总量,并按照请求源进行分类分析,得出各请求源的ip地址、接入节点120信息、请求次数等信息;
步骤S406,判断访问请求总量是否超过预设的访问量最大阈值,若是跳转直接执行步骤S414,若否,执行步骤S410;
步骤S410,判断在第三预定时间段内访问请求总量是否超过预设的网站安全响应阈值;若是执行步骤S412,若否返回步骤S402,读取新的日志文件;
步骤S412,判断在第三预定时间段内目标主机的异常响应量的占比是否超过预设的响应比率阈值,若是执行步骤S414,若否返回步骤S402,读取新的日志文件;
步骤S414,确定在第一预定时间段内向主机发出的访问请求量最大的请求源,并记录最大访问量为第一访问量;
步骤S416,判断第一访问量占访问请求总量的比率是否超过预设比值;若是执行步骤S418,若否返回步骤S402,读取新的日志文件;
步骤S418,确定请求量最大的请求源为进行主机攻击的攻击源;
步骤S420,记录攻击源的ip地址、所攻击的主机、所攻击的统一资源定位符、攻击次数。
步骤S302的另一种识别方式包括:对运行日志文件进行分析确定出发起拒绝服务攻击的攻击源包括:在运行日志文件中获取攻击目标主机的多个统一资源定位符URL的访问请求的URL列表;利用URL列表查询得出第一URL,该第一URL为在第四预定时间段内访问请求量最大的统一资源定位符;利用URL列表查询得出在第四预定时间段内向第一URL发出最多请求的一个或多个请求源;分别判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及请求源的请求量是否超过请求阈值;若以上两个判断结果均为是,将请求量超过请求阈值的请求源列为攻击源。
对于一般拒绝服务攻击,由于攻击源主要对目标主机140的某个URL集中进行请求,而一般正常访问请求,对所有URL的请求数量应该大体是平均的,步骤S302的上述流程利用拒绝服务攻击的特点,利用收到请求量最大的URL是否请求量异常,识别出可以攻击源。
首先利用WAF130的运行日志文件得到host的所有URL列表,该列表的生成过程包括:读取与host数据连接的网页应用防护系统WAF130的运行日志文件;对运行日志文件文件进行分析,得到列表,列表中记录了目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。表1示出了本实施例的拒绝服务攻击的攻击源的识别装置200利用WAF运行日志获取的URL列表。
表1
如表1所示,通过对日志文件的分析,某个host对应有多个URL,分别为URL1、URL2、URL3……,在第四预定时间段内,对URL1发出请求访问的请求源为IP1、IP2、IP3、IP4;对URL2发出请求访问的请求源为IP2、IP3、IP4;对URL3发出请求访问的请求源为IP2、IP3。
若在第四预定时间段内URL1的访问请求量最大,则将URL1作为第一URL,然后确定出此时请求访问URL1最大的一个或多个IP,判断URL1所占对host所有URL请求量的占比是否超过预设请求占比,以及请求访问URL1最大的一个或多个IP的访问量是否超过预设请求阈值,如果两个判断结果均为,确定请求访问URL1最大的一个或多个IP对应的请求源为可疑攻击源。
以上预设请求占比为对拒绝服务攻击的攻击行为进行分析得出的经验值,一般可以设置为80%至90%,也就说一个URL接收的请求量占host请求量的绝大部分,就可以认为该URL受到了攻击。
以上预设请求阈值可以固定设置,但是为了满足不同host的请求情况,以及动态变化的请求量的变化。请求阈值计算的一种方式为:使用预设基础值除以占比,将得到的除商与预设的误拦裕量相加;将相加得到的加和作为请求阈值。例如该预设阈值的计算公式为:
阈值=预设基础值/占比+误拦裕量
在预设基础值取值为100、预设的误拦裕量取值为100的情况下,如果第一URL接收的请求量达到host总请求量的90%,则可以得到阈值=100/90%+100=211.1,从而如果有对第一URL发出的请求量超过211次的请求源,即认为该请求源存在攻击可疑性。
该方式中为了在受到拒绝服务攻击后,尽快实现攻击源的识别,以上第四预定时间段可以设置为10秒至30秒,也就是在受到攻击后1分钟之内实现对攻击源的识别和处理,大大提高了拒绝服务攻击的安全防护效率。
以上预设基础值和预设的误拦裕量可疑根据host的实际访问情况,进行灵活设置,以上具体取值仅为实际举例。
在确定出可疑攻击源后,可以进一步对攻击源分析,以确定可疑攻击源是否是真正攻击源,在这种情况下,可对可疑攻击源的访问请求进一步分析,根据分析结果选择进行确认。具体分析的方法可以为:判断当前可疑攻击源是否除了第一URL外,是否请求了host的其他URL,如果当前可疑攻击源除第一URL还请求了其他的URL,按照拒绝服务攻击的攻击特点,该可疑攻击源并非实际的攻击源。具体进行判断时,可以判断该可以攻击源是否在一段时间内集中对host超过2个URL进行了访问,如是,可以将排除该可疑攻击源。如果可疑攻击源仅对第一URL发出了请求,就可以确定其进行了拒绝服务攻击,记录该攻击源的信息。
经过步骤S302的持续识别,就可以形成大数据分析系统,经过步骤S304形成攻击源列表。
步骤S306利用网页应用防护系统的注册信息、互联网数据中心IDC资源服务商的服务器列表、域名解析系统(Domain Name System,简称DNS)中URL对应的服务器列表中的ip地址与攻击列表进行比对。由于一般服务器进行注册时,可能仅使用了一个ip,但是一般而言,一个服务器运营方都是注册了一段地址,而并非仅使用一个地址,因此需要对获取的地址进行适当的扩充,以免造成ip地址的遗漏。因此步骤S306的具体流程可以包括:在预先保存的服务器数据库中获取服务器注册的ip地址;将注册的ip地址扩充为预定数量的ip地址段;将ip地址段中的ip地址作为服务器的网络协议地址ip。从而将一个ip地址扩展为一段C段ip,并将C段ip中所有的ip均作为对应服务器的地址。从而,可以保证不会遗漏掉服务器的地址。
另外,由于DNS中包括了一些脏数据,也就是无效的DNS解析数据,因此步骤S306优先使用从网页应用防护系统的注册信息导入的服务器ip地址信息,或者从第三方的网络服务结构获取的可靠ip地址。
在步骤S310之后,可以通知以上服务器肉鸡的运行维护方,及时对服务器进行木马后门清除,从源头上实现网络安全防护。
本实施例中利用网络安全防护系统数据基础,利用大数据分析技术实现服务器肉鸡识别。将网络中服务器的IP地址与攻击源列表中的数据进行比对,从而利用大数据的优势,识别出成为肉鸡的服务器,以便服务器运营方进行处理,从源头上减小了肉鸡服务器对网络安全的威胁。
进一步地,利用多种方法积累各种形式的拒绝服务攻击,数据准确性高,为识别肉鸡服务器的提供了足够的数据要求。
本发明的实施例公开了:
A1.一种服务器肉鸡的识别方法,包括:
对向主机发送的访问请求进行拒绝服务攻击识别,确定出发起拒绝服务攻击的攻击源;
将所述攻击源的信息以预设的数据格式保存为生成的攻击源列表;
获取服务器的网络协议地址ip;
判断所述ip地址是否属于所述攻击源列表,若是,确定所述服务器成为肉鸡。
A2.根据A1所述的方法,其中,对向主机发送的访问请求进行拒绝服务攻击识别包括:
读取网页应用防护系统的运行日志文件;
对所述运行日志文件进行分析确定出发起拒绝服务攻击的攻击源,并获取所述攻击源的信息;所述攻击源的信息包括:所述攻击源的ip地址、所攻击的主机、所攻击的统一资源定位符、攻击次数。
A3.根据A2所述的方法,其中,对所述运行日志文件进行分析确定出发起拒绝服务攻击的攻击源包括:
接收触发攻击源识别的异常事件;
在所述运行日志文件中获取在第一预定时间段内向所述主机发出的访问请求总量;
确定在第一预定时间段内向所述主机发出的访问请求量最大的请求源,并记录所述请求源发出的请求访问的数量为第一访问量;
判断所述第一访问量占所述访问请求总量的比率是否超过预设比值,若是,确定所述请求源为进行拒绝服务攻击的攻击源。
A4.根据A3所述的方法,其中,接收触发攻击源识别的异常事件包括:
接收到在第二预定时间段内向所述主机发出的访问请求总量超出预设的访问量最大阈值的异常事件;或
接收到在第三预定时间段内所述主机根据所述访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值的异常事件。
A5.根据A2所述的方法,其中,对所述运行日志文件进行分析确定出发起拒绝服务攻击的攻击源包括:
在所述运行日志文件中获取攻击目标主机的多个统一资源定位符URL的访问请求的URL列表;
利用所述URL列表查询得出第一URL,该第一URL为在第四预定时间段内访问请求量最大的所述统一资源定位符;
利用所述URL列表查询得出在第四预定时间段内向所述第一URL发出最多请求的一个或多个请求源;
分别判断所述第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及所述请求源的请求量是否超过请求阈值;
若以上两个判断结果均为是,将请求量超过所述请求阈值的请求源列为攻击源。
A6.根据A1至A5中任一项所述的方法,其中,获取服务器的网络协议地址ip包括:
在预先保存的服务器数据库中获取服务器注册的ip地址;
将所述注册的ip地址扩充为预定数量的ip地址段;
将所述ip地址段中的ip地址作为所述服务器的网络协议地址ip。
A7.根据A6所述的方法,其中,预先保存的服务器数据库数据来源包括:网页应用防护系统的注册信息、互联网数据中心IDC资源服务商的服务器列表、域名解析系统中统一资源定位符对应的服务器列表。
B8.一种服务器肉鸡的识别装置,包括:
攻击源识别模块,用于对向主机发送的访问请求进行拒绝服务攻击识别,确定出发起拒绝服务攻击的攻击源;
攻击源列表生成模块,用于将所述攻击源的信息以预设的数据格式保存为生成的攻击源列表;
地址获取模块,用于获取服务器的网络协议地址ip;
肉鸡识别模块,用于判断所述ip地址是否属于所述攻击源列表,若是,确定所述服务器成为肉鸡。
B9.根据B8所述的装置,其中,所述攻击源识别模块包括:
日志读取接口,用于读取网页应用防护系统的运行日志文件;
攻击源确定子模块,用于对所述运行日志文件进行分析确定出发起拒绝服务攻击的攻击源,并获取所述攻击源的信息。
B10.根据B9所述的装置,其中,所述攻击源确定子模块被配置为:
接收触发攻击源识别的异常事件;在所述运行日志文件中获取在第一预定时间段内向所述主机发出的访问请求总量;确定在第一预定时间段内向所述主机发出的访问请求量最大的请求源,并记录所述请求源发出的请求访问的数量为第一访问量;判断所述第一访问量占所述访问请求总量的比率是否超过预设比值,若是,确定所述请求源为进行拒绝服务攻击的攻击源。
B11.根据B9所述的装置,其中,所述攻击源确定子模块被配置为:
在所述运行日志文件中获取攻击目标主机的多个统一资源定位符URL的访问请求的URL列表;利用所述URL列表查询得出第一URL,该第一URL为在第四预定时间段内访问请求量最大的所述统一资源定位符;利用所述URL列表查询得出在第四预定时间段内向所述第一URL发出最多请求的一个或多个请求源;分别判断所述第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比以及所述请求源的请求量是否超过请求阈值;若以上两个判断结果均为是,将请求量超过所述请求阈值的请求源列为攻击源。
B12.根据B8至B11中任一项所述的装置,其中,所述地址获取模块被配置为:
在预先保存的服务器数据库中获取服务器注册的ip地址;将所述注册的ip地址扩充为预定数量的ip地址段;将所述ip地址段中的ip作为所述服务器的网络协议地址ip。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的服务器肉鸡的识别装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。