CN104009983B - 一种cc攻击的检测方法及其检测系统 - Google Patents

Abstract

本发明涉及网络安全技术，旨在提供一种CC攻击的检测方法及其检测系统。该种CC攻击的检测方法包括步骤：接受请求IP对网站页面访问的请求，统计请求IP的请求速率，计算本次请求集中度，统计请求IP对请求页面的集中请求计数，根据请求次数阈值判定是否为CC攻击；该种CC攻击的检测系统包括请求速率统计装置、集中度计算装置、集中请求计数计算装置、请求的各项数值记录装置、CC攻击判定装置。本发明提出的检测方法和检测系统具有灵敏准确的优点，能够对分布式的CC攻击方式进行有效检测。

Description

一种CC攻击的检测方法及其检测系统

技术领域

本发明是关于网络安全技术，特别涉及一种CC攻击的检测方法及其检测系统。

背景技术

CC(Challenge Collapsar)攻击是一种针对应用层WEB服务的攻击方法。它与DDoS攻击本质上是一样的，都是以耗尽服务器资源造成拒绝服务为目的。

CC攻击的原理并不复杂，它利用应用层的弱点进行攻击。网站中性能不优的数据查询，不良的程序执行结构，以及比较消耗资源的功能等，都可能成为CC攻击的目标。例如，论坛的搜索功能，需要消耗大量的数据库查询时间和系统资源。攻击者通过频繁调用搜索功能，使查询请求累积不能立即完成，资源无法释放，导致数据库请求连接过多，数据库阻塞，网站无法正常打开。

目前对CC攻击的检测大多是通过测量IP的请求速率实现，当IP的请求速率达到设定阈值时，判定为攻击。然而，现在的CC攻击方式，一般是利用分布式的代理服务器或僵尸网络制造大量请求发向受害网站。每个代理或僵尸IP发送的请求速率不一定很高。例如，CC攻击者操控100个代理时，要制造1000的并发请求，平均到每个代理只需要10个并发，在请求速率上不会表现出明显的异常。所以通过IP请求速率检测CC攻击往往很难凑效。因此，需要一种更加准确有效的CC攻击检测方法。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能够灵敏准确检测CC攻击的检测方法及其检测系统。为解决上述技术问题，本发明的解决方案是：

提供一种CC攻击的检测方法，用于判断请求IP对网站页面访问的请求是否为非CC攻击，具体包括下述步骤：

(1)接受请求IP对网站页面访问的请求；

(2)统计请求IP的请求速率；

(3)计算本次请求集中度；

(4)统计请求IP对请求页面的集中请求计数；

(5)根据请求次数阈值判定是否为CC攻击；

所述步骤(2)具体包括：分别计算请求IP对网站的请求速率和请求IP对请求页面的请求速率；

所述步骤(3)具体包括：将步骤(2)中得到的请求IP对请求页面的请求速率除以请求IP对网站的请求速率，得到本次请求集中度；

所述步骤(4)具体包括：设集中请求计数，并设定每个请求IP的集中请求计数的初始值为0，请求IP对网站页面发出请求，当请求IP的集中请求计数发生改变后，请求IP的集中请求计数进行更新存储；判断步骤(3)中得到的本次请求集中度是否大于集中度阈值，若本次请求集中度大于集中度阈值，则将请求IP的集中请求计数加1；若本次请求集中度不大于集中度阈值，则将请求IP对请求页面的集中请求计数清零；所述集中度阈值是用于判断请求是否为集中请求的阈值，集中度阈值的取值范围在0～100％之间；

所述步骤(5)具体包括：如果步骤(4)中得到的请求IP的集中请求计数不超过集中请求次数阈值，则判定本次请求为非CC攻击；如果请求IP的集中请求计数超过集中请求次数阈值，则判定本次请求为CC攻击；所述集中请求次数阈值是预先设定的数值(由经验得到的正常请求IP的集中请求次数的上限值)。

提供用于进行所述的一种CC攻击的检测方法的检测系统，用于判断请求IP对网站页面访问的请求是否为非CC攻击，一种CC攻击的检测系统包括请求速率统计装置、集中度计算装置、集中请求计数计算装置、请求的各项数值记录装置、CC攻击判定装置；

所述请求的各项数值记录装置包括IP记录表和IP/URL记录表；所述IP记录表中存放的数据包括每个请求IP的请求次数以及每个请求IP对网站的请求速率，用于记录每个请求IP的相关数值，当需要查询请求IP相关记录时，通过将IP散列作为索引在IP记录表中查找；所述IP/URL记录表中存放的数据包括每个请求IP对每个URL的请求次数、请求IP对请求页面的请求速率以及集中请求计数，用于记录每个请求IP对每个请求页面的访问相关数值，当需要查询请求IP对请求URL访问的相关记录时，通过将IP和URL结合再取散列值作为索引在IP/URL记录表中查找；其中，设定每个请求IP的集中请求计数的初始值为0，请求IP对网站页面发出请求，当请求IP的集中请求计数发生改变后，请求IP的集中请求计数进行更新存储；

所述请求速率统计装置用于根据请求IP对网站的请求次数和请求IP对请求页面的请求次数，分别计算在设定时间长度(速率的计算时间间隔预先设定)内，请求IP对网站的请求速率和请求IP对请求页面的请求速率，并在请求的各项数据记录装置中，对请求IP对网站的请求速率和请求IP对请求页面的请求速率进行更新；

所述集中度计算装置从请求的各项数据记录装置中，获取请求IP对网站的请求速率和请求IP对请求页面的请求速率，计算请求IP对请求页面的请求速率除以请求IP对网站的请求速率的值，得到本次请求集中度；

所述集中请求计数计算装置用于根据集中度计算装置计算得到的本次请求集中度，判断本次请求是否为集中请求；具体判断方法为：首先从请求的各项数值记录装置中读取请求IP的集中请求计数，然后判断集中度计算装置计算得到的本次请求集中度是否大于集中度阈值，若本次请求集中度大于集中度阈值，则将请求IP的集中请求计数加1，若本次请求集中度不大于集中度阈值，则将请求IP的集中请求计数清零，并将请求IP的集中请求计数在请求的各项数值记录装置中进行更新；所述集中度阈值是用于判断请求是否为集中请求的阈值，集中度阈值的取值范围在0～100％之间；

所述CC攻击判定装置用于从请求的各项数值记录装置中读取请求IP的集中请求计数，判断本次请求是否为CC攻击，具体判断方法为：如果请求IP的集中请求计数不超过集中请求次数阈值，则判定本次请求为非CC攻击；如果请求IP的集中请求计数超过集中请求次数阈值，则说明请求IP对请求页面的访问是集中请求，判定本次请求为CC攻击。

本发明的工作原理：利用CC攻击的攻击对象具有针对性的特点，CC攻击往往针对网站上脆弱或者资源消耗较大的固定一个或少数几个页面持续攻击，因此CC攻击请求的请求页面是很集中的。当CC攻击者控制大量代理IP访问被攻击页面时，每个IP的请求速率不会很高，但是这些IP对被攻击页面的请求的集中度和集中访问次数会比正常IP的请求高很多。

与现有技术相比，本发明的有益效果是：

本发明提出的检测方法和检测系统具有灵敏准确的优点，能够对分布式的CC攻击方式进行有效检测。

附图说明

图1为采用代理的分布式CC攻击原理图。

图2为本发明检测CC攻击的实施例流程图。

图3为本发明检测CC攻击的系统装置图。

具体实施方式

首先需要说明的是，本发明涉及数据库技术，是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于：请求速率统计装置、集中度计算装置、集中请求计数计算装置、请求的各项数值记录装置、CC攻击判定装置等，凡本发明申请文件提及的均属此范畴，申请人不再一一列举。

下面结合附图与具体实施方式对本发明作进一步详细描述：

本发明的技术方案在检测CC攻击时，主要利用的是CC攻击IP与正常访问IP对网站各个页面的访问的集中程度不同的特点。正常访问IP在浏览网站时，会分散的请求多个页面，不会集中访问一个页面，特别是不会长期一直集中在一个页面上；而CC攻击者在发动攻击时，会提前设定要攻击的页面(往往是资源消耗较大的动态页面)，之后攻击者操控的代理或僵尸网络会持续的向设定的页面发送请求，因此攻击IP的请求是集中在设定的页面上的，尤其会在CC攻击的很长的期间内持续这样的集中请求，可参考图1。

因此，在检测CC攻击时，通过统计和计算请求IP对请求页面的访问集中度，特别是集中度较高的请求的持续次数，能够有效区分正常请求IP和CC攻击IP，并且能够对分布式的低请求速率的CC攻击依然保持很高的灵敏度和准确度

如图3所示的一种CC攻击的检测系统，用于请求IP对网站页面访问的请求是否为非CC攻击，包括请求速率统计装置、集中度计算装置、集中请求计数计算装置、请求的各项数值记录装置、CC攻击判定装置。

请求速率统计装置用于根据请求IP对网站的请求次数和请求IP对请求页面的请求次数，分别计算在设定时间长度(速率的计算时间间隔预先设定)内，请求IP对网站的请求速率和请求IP对请求页面的请求速率，并在请求的各项数据记录装置中，对请求IP对网站的请求速率和请求IP对请求页面的请求速率进行更新。

集中度计算装置从请求的各项数据记录装置中，获取请求IP对网站的请求速率和请求IP对请求页面的请求速率，计算请求IP对请求页面的请求速率除以请求IP对网站的请求速率的值，得到本次请求集中度。

集中请求计数计算装置用于根据集中度计算装置计算得到的本次请求集中度，判断本次请求是否为集中请求；具体判断方法为：首先从请求的各项数值记录装置中读取请求IP的集中请求计数，然后判断集中度计算装置计算得到的本次请求集中度是否大于集中度阈值，若本次请求集中度大于集中度阈值，则将请求IP的集中请求计数加1，若本次请求集中度不大于集中度阈值，则将请求IP的集中请求计数清零，并将请求IP的集中请求计数在请求的各项数值记录装置中进行更新；所述集中度阈值是用于判断请求是否为集中请求的阈值，集中度阈值的取值范围在0～100％之间。

CC攻击判定装置用于从请求的各项数值记录装置中读取请求IP的集中请求计数，判断本次请求是否为CC攻击，具体判断方法为：如果请求IP的集中请求计数不超过集中请求次数阈值，则判定本次请求为非CC攻击；如果请求IP的集中请求计数超过集中请求次数阈值，则说明请求IP对请求页面的访问是集中请求，判定本次请求为CC攻击。

请求的各项数值记录装置包括IP记录表和IP/URL记录表；所述IP记录表中存放的数据包括每个请求IP的请求次数以及每个请求IP对网站的请求速率，用于记录每个请求IP的相关数值，当需要查询请求IP相关记录时，通过将IP散列作为索引在IP记录表中查找；所述IP/URL记录表中存放的数据包括每个请求IP对每个URL的请求次数、请求IP对请求页面的请求速率以及集中请求计数，用于记录每个请求IP对每个请求页面的访问相关数值，当需要查询请求IP对请求URL访问的相关记录时，通过将IP和URL结合再取散列值作为索引在IP/URL记录表中查找；其中，设定每个请求IP的集中请求计数的初始值为0，请求IP对网站页面发出请求，当请求IP的集中请求计数发生改变后，请求IP的集中请求计数进行更新存储。在请求到达时，从表中找到请求IP以及请求页面对应的记录，并更新各项数值。

一种CC攻击的检测方法，具体包括下述步骤：

(1)接受请求IP对网站页面访问的请求；

(2)统计请求IP的请求速率；

(3)计算本次请求集中度；

(4)统计请求IP对请求页面的集中请求计数；

(5)根据请求次数阈值判定是否为CC攻击。

所述步骤(2)具体包括：分别计算请求IP对网站的请求速率和请求IP对请求页面的请求速率。

所述步骤(3)具体包括：将步骤(2)中得到的请求IP对请求页面的请求速率除以请求IP对网站的请求速率，得到本次请求集中度。

所述步骤(4)具体包括：设集中请求计数，并设定每个请求IP的集中请求计数的初始值为0，请求IP对网站页面发出请求，当请求IP的集中请求计数发生改变后，请求IP的集中请求计数进行更新存储；判断步骤(3)中得到的本次请求集中度是否大于集中度阈值，若本次请求集中度大于集中度阈值，则将请求IP的集中请求计数加1；若本次请求集中度不大于集中度阈值，则将请求IP对请求页面的集中请求计数清零；所述集中度阈值是用于判断请求是否为集中请求的阈值，集中度阈值的取值范围在0～100％之间。

所述步骤(5)具体包括：如果步骤(4)中得到的请求IP的集中请求计数不超过集中请求次数阈值，则判定本次请求为非CC攻击；如果请求IP的集中请求计数超过集中请求次数阈值，则判定本次请求为CC攻击；所述集中请求次数阈值是预先设定的数值，它是由经验得到的正常请求IP的集中请求次数的上限值。

下面的实施例可以使本专业的专业技术人员更全面地理解本发明，但不以任何方式限制本发明。

如图2所示，本实施例的CC攻击检测方法的实施步骤如下：

步骤S10：获取一个请求。

步骤S11：从请求中得到请求IP。

步骤S12：从请求中得到请求URL，即请求页面的地址。

步骤S13：计算请求IP的散列值。

检测系统维持一个IP记录表，记录每个IP及其相关数值项，通过IP散列值可以在IP记录表中得到本次请求IP对应的条目。

步骤S14：由请求IP值和请求URL组合计算得出一个散列值，即IP/URL散列值，不同的请求IP或不同的请求URL组合都生成不同的散列值，即每个散列值代表着特定IP对特定URL的请求。

检测系统维持一个IP/URL记录表，记录请求IP对请求URL的请求的相关数值项，通过IP/URL散列值可以在IP/URL记录表中得到本次请求对应的条目。

步骤S15：根据本次请求的IP/URL散列值，在IP/URL记录表中找到对应条目。

步骤S16：根据本次请求的请求IP散列值，在IP记录表中找到对应条目。

步骤S17：计算和更新IP/URL记录表中本请求对应的条目，得到此条目中最近一段时间内的请求速率项u。

步骤S18：计算和更新IP记录表中本请求IP对应的条目，得到此条目中最近一段时间内的请求速率项v。

步骤S19：将步骤S17得到的u除以步骤S18中得到的v，其结果为本此请求的集中度。

步骤S20：判断本次请求的集中度是否超过了设定的集中度阈值，如果判定为真，执行步骤S22，否则执行步骤S21。

步骤S21：由步骤S20判定，本次请求不是集中请求，那么更新步骤S15中得到的IP/URL表中本次请求对应的条目，将条目中集中请求计数项清零，并且判定此请求非CC攻击。

步骤S22：由步骤S20判定，本次请求的集中度超过了设定阈值，也即本次请求是集中请求，那么更新步骤S15中得到的IP/URL表中本次请求对应的条目，将条目中的集中请求计数项加1。

步骤S23：判断步骤S22更新之后的集中请求计数项是否超过了集中请求次数阈值，如果未超过阈值，那么判定此请求非CC攻击；如果超过阈值，那么判定此请求是请求IP对请求URL的CC攻击。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。

Claims (2)

1.一种CC攻击的检测方法，用于判断请求IP对网站页面访问的请求是否为非CC攻击，其特征在于，具体包括下述步骤：

(1)接受请求IP对网站页面访问的请求；

(2)统计请求IP的请求速率；

(3)计算本次请求集中度；

(4)统计请求IP对请求页面的集中请求计数；

(5)根据请求次数阈值判定是否为CC攻击；

所述步骤(2)具体包括：分别计算请求IP对网站的请求速率和请求IP对请求页面的请求速率；

所述步骤(3)具体包括：将步骤(2)中得到的请求IP对请求页面的请求速率除以请求IP对网站的请求速率，得到本次请求集中度；

所述步骤(4)具体包括：设集中请求计数，并设定每个请求IP的集中请求计数的初始值为0，请求IP对网站页面发出请求，当请求IP的集中请求计数发生改变后，请求IP的集中请求计数进行更新存储；判断步骤(3)中得到的本次请求集中度是否大于集中度阈值，若本次请求集中度大于集中度阈值，则将请求IP的集中请求计数加1；若本次请求集中度不大于集中度阈值，则将请求IP对请求页面的集中请求计数清零；所述集中度阈值是用于判断请求是否为集中请求的阈值，集中度阈值的取值范围在0～100％之间；

所述步骤(5)具体包括：如果步骤(4)中得到的请求IP的集中请求计数不超过集中请求次数阈值，则判定本次请求为非CC攻击；如果请求IP的集中请求计数超过集中请求次数阈值，则判定本次请求为CC攻击；所述集中请求次数阈值是预先设定的数值。

2.用于进行权利要求1所述的一种CC攻击的检测方法的检测系统，用于判断请求IP对网站页面访问的请求是否为非CC攻击，其特征在于，一种CC攻击的检测系统包括请求速率统计装置、集中度计算装置、集中请求计数计算装置、请求的各项数值记录装置、CC攻击判定装置；

所述请求的各项数值记录装置包括IP记录表和IP/URL记录表；所述IP记录表中存放的数据包括每个请求IP的请求次数以及每个请求IP对网站的请求速率，用于记录每个请求IP的相关数值，当需要查询请求IP相关记录时，通过将IP散列作为索引在IP记录表中查找；所述IP/URL记录表中存放的数据包括每个请求IP对每个URL的请求次数、请求IP对请求页面的请求速率以及集中请求计数，用于记录每个请求IP对每个请求页面的访问相关数值，当需要查询请求IP对请求URL访问的相关记录时，通过将IP和URL结合再取散列值作为索引在IP/URL记录表中查找；其中，设定每个请求IP的集中请求计数的初始值为0，请求IP对网站页面发出请求，当请求IP的集中请求计数发生改变后，请求IP的集中请求计数进行更新存储；

所述请求速率统计装置用于根据请求IP对网站的请求次数和请求IP对请求页面的请求次数，分别计算在设定时间长度内，请求IP对网站的请求速率和请求IP对请求页面的请求速率，并在请求的各项数据记录装置中，对请求IP对网站的请求速率和请求IP对请求页面的请求速率进行更新；

所述集中度计算装置从请求的各项数据记录装置中，获取请求IP对网站的请求速率和请求IP对请求页面的请求速率，计算请求IP对请求页面的请求速率除以请求IP对网站的请求速率的值，得到本次请求集中度；

所述集中请求计数计算装置用于根据集中度计算装置计算得到的本次请求集中度，判断本次请求是否为集中请求；具体判断方法为：首先从请求的各项数值记录装置中读取请求IP的集中请求计数，然后判断集中度计算装置计算得到的本次请求集中度是否大于集中度阈值，若本次请求集中度大于集中度阈值，则将请求IP的集中请求计数加1，若本次请求集中度不大于集中度阈值，则将请求IP的集中请求计数清零，并将请求IP的集中请求计数在请求的各项数值记录装置中进行更新；所述集中度阈值是用于判断请求是否为集中请求的阈值，集中度阈值的取值范围在0～100％之间；

所述CC攻击判定装置用于从请求的各项数值记录装置中读取请求IP的集中请求计数，判断本次请求是否为CC攻击，具体判断方法为：如果请求IP的集中请求计数不超过集中请求次数阈值，则判定本次请求为非CC攻击；如果请求IP的集中请求计数超过集中请求次数阈值，则说明请求IP对请求页面的访问是集中请求，判定本次请求为CC攻击。