CN112202821B - 一种cc攻击的识别防御系统及方法 - Google Patents

Abstract

本发明实施例提供一种CC攻击的识别防御系统及方法，系统包括：依次相连的功能开启控制单元、系统参数配置单元、攻击识别功能单元、内核通信单元、攻击拦截功能单元和日志保存功能单元；功能开启控制单元控制开启或关闭识别防御功能，并将状态值发送给内核通信单元；系统参数配置单元设置识别参数、拦截参数和可信IP地址白名单；攻击识别功能单元基于识别参数监测和识别CC攻击，并将识别到的攻击源信息记录到本地文件以及发送给攻击拦截功能单元和日志保存功能单元；内核通信单元实现应用态和内核态之间的通信；攻击拦截功能单元依据拦截参数和IP白名单来控制攻击源对网络资源的访问情况；日志保存功能单元生成并保存日志信息。

Description

一种CC攻击的识别防御系统及方法

技术领域

本发明涉及计算机技术领域，尤其涉及一种CC攻击的识别防御系统及方法。

背景技术

随着计算机信息技术的快速发展和不断进步，计算机信息系统已广泛地应用于金融、医疗、电商、政务、电力以及军事等重要领域，已成为影响国家发展和安全的重要基础设施。对于应用部门来说，一方面计算机信息系统为这些部门提供了快捷、实时、安全的信息服务，实现了信息的传输、存储、处理和管理的自动化，提高了效率，节省了大量的人力资源和其他成本。另一方面，这些计算机信息系统广泛的应用所带来的风险挑战和安全隐患也是巨大的。一旦它们遭到灾难性破坏，将会导致巨大的经济损失和信息泄露，甚至影响到社会稳定和国家安全。恶意的网络攻击是目前造成计算机信息系统崩溃或瘫痪最有效的手段，也是面临的最大的挑战，如果不能实时有效的保障计算机信息系统安全稳定地运行，那将会带来严重的后果。

为了能实时有效的保障计算机信息系统的安全稳定运行，现有技术中一般采用防CC（Challenge Collapsar）攻击的方法，包括更改Web端口、IIS屏蔽IP、域名欺骗解析、取消域名绑定、防火墙策略等。

但上述防御技术依然存在不足，如误杀率高、灵活性低以及性能较差。

发明内容

本发明实施例提供一种CC攻击的识别防御系统，用以解决现有技术中误杀率高、灵活性低以及性能较差的缺陷，实现快速、精准地识别出攻击源并进行及时的拦截，具有高灵活性和高性能特点。

本发明实施例提供一种CC攻击的识别防御系统，包括：依次相连的功能开启控制单元、系统参数配置单元、攻击识别功能单元、内核通信单元、攻击拦截功能单元以及日志保存功能单元；

其中，所述功能开启控制单元，用于控制开启或关闭识别防御功能，并将开启或关闭对应的状态值发送给所述内核通信单元；

所述系统参数配置单元，用于设置识别参数、拦截参数和可信IP地址白名单；

所述攻击识别功能单元，用于基于所述识别参数监测和识别CC攻击，并将识别到的攻击源信息记录到本地文件以及发送给所述攻击拦截功能单元和所述日志保存功能单元；

所述内核通信单元，用于实现应用态和处于内核态的所述攻击拦截功能单元之间的通信；

所述攻击拦截功能单元，用于依据所述拦截参数和所述可信IP地址白名单来控制所述攻击源对网络资源的访问情况，并将控制过程中生成的拦截信息发送给所述日志保存功能单元；

所述日志保存功能单元，用于基于所述攻击源信息和所述拦截信息生成日志信息，并保存所述日志信息。

根据本发明一个实施例的CC攻击的识别防御系统，所述系统参数配置单元包括：

识别参数设置模块，用于在所述识别防御功能开启后设置用于所述监测的监测阈值和用于所述识别的识别阈值；

拦截参数设置模块，用于在所述识别防御功能开启后设置用于限制网络资源访问的限制参数，并将所述限制参数发送给所述内核通信单元；

可信IP地址白名单设置模块，用于在所述识别防御功能开启后设置可信IP地址访问源的可信白名单，并将所述白名单发送给所述内核通信单元。

根据本发明一个实施例的CC攻击的识别防御系统，所述攻击识别功能单元包括：

网络资源监控模块，用于监控和检测网络链接使用情况，并依据所述监测阈值判断所述系统是否受到CC攻击；

网络链接抓取模块，用于当所述网络资源监控模块检测到所述系统受到CC攻击后，开始进行网络包的抓取，并将抓取到的网络包信息发送给网络资源解析模块；

网络资源解析模块，用于解析所述网络包信息，依据所述识别阈值和所述可信白名单计算得到攻击源信息，并将所述攻击源信息和所述限制参数发送给所述内核通信单元以及记录到所述本地文件中；

状态自控模块，用于当所述系统受到CC攻击时，保证所述网络链接抓取模块和所述网络资源解析模块仅被启动一次，且当所述系统在预设时长内不受CC攻击时，控制所述网络链接抓取模块和所述网络资源解析模块自动退出。

根据本发明一个实施例的CC攻击的识别防御系统，所述攻击拦截功能单元包括：初始化模块，用于在动态加载内核后，基于所述本地文件初始化内核哈希HASH表，并移除所述本地文件中已过期的攻击源信息；

网络包截获模块，用于实时截获网络包，从截获的网络包中获取访问者信息，并将所述访问者信息发送给访问限制模块；

访问限制模块，用于从所述内核HASH表中查找所述访问者所对应的限制时长和限制频率，并判断所述访问者当前的访问限制时长是否已到期，若到期，则允许本次访问，否则再判断所述访问者在单位时间内的访问频率，若所述访问频率大于所述限制频率，则拦截本次访问，否则允许本次访问。

根据本发明一个实施例的CC攻击的识别防御系统，所述内核通信单元，还用于将攻击源信息添加进所述内核HASH表中。

本发明实施例还提供一种CC攻击的识别防御方法，包括：获取系统的网络资源使用情况，并基于所述网络资源使用情况以及预配置的监测阈值判断所述系统是否被CC攻击；

若确定所述系统被CC攻击，则抓取所有访问者的请求包，并依据预配置的识别阈值和可信白名单计算出具体的攻击源；

劫持所述攻击源从预配置的限制起始时间点至预配置的限制截止时间点之间各网络请求；

依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求。

根据本发明一个实施例的CC攻击的识别防御方法，所述获取系统的网络资源使用情况，并基于所述网络资源使用情况以及预配置的监测阈值判断所述系统是否被CC攻击，包括：

实时间隔性的获取系统的网络资源使用情况；

实时判断所述网络资源使用情况是否大于预配置的监测阈值，若是，则判定所述系统受到CC攻击。

根据本发明一个实施例的CC攻击的识别防御方法，所述抓取所有访问者请求包，并依据预配置的识别阈值和可信白名单计算出具体的攻击源，包括：

在预设时长内持续抓取所有访问者的请求包，以计算出每个访问者在单位时间内的链接频率和访问频率；

针对任何一个访问者，判断所述访问者的链接频率或访问频率是否大于预配置的识别阈值，若是，则判定为可疑访问者，否则判定为正常访问者；

判断所述可疑访问者是否位于预配置的可信IP地址白名单中，若是，则判定为正常访问者，否则判定为攻击源。

根据本发明一个实施例的CC攻击的识别防御方法，所述依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求，包括：

针对任何一个网络请求，判断所述网络请求是否在预设内核HASH表中，若是，则判定所述网络请求为攻击请求，若否，则允许所述网络请求；

若判定所述网络请求为攻击请求，则获取预配置的限制起始时间和预配置的限制时长以及当前时间戳；

若所述当前时间戳大于所述限制起始时间和所述限制时长的和，则允许所述网络请求，否则判定为待拦截的网络请求。

根据本发明一个实施例的CC攻击的识别防御方法，所述依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求，包括：

针对任何一个网络请求，获取预设内核HASH表中的上次访问时间、预配置的限制频率以及当前时间戳；

若所述当前时间戳减去所述上次访问时间的差值与所述限制频率相乘后的值大于预设的单位时间，则允许所述网络请求，否则丢弃所述网络请求。

本发明实施例提供的攻击的识别防御系统及方法，通过可配置化的监测阈值、识别阈值、限制时长以及限制频率的协同作用，能够持久、快速、精准地识别出攻击源，并在识别出攻击源后能够及时的拦截攻击请求，有效改善了目前防御技术的高误杀率、低灵活性和低性能等问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种主服务器上的CC攻击的识别防御体系结构示意图；

图2是本发明实施例提供的一种CC攻击的识别防御系统的结构示意图；

图3是本发明实施例提供的一种系统参数配置单元的功能模块示意图；

图4是本发明实施例提供的一种攻击识别功能单元的功能模块示意图；

图5是本发明实施例提供的一种攻击拦截功能单元的功能模块示意图；

图6是本发明实施例提供的一种CC攻击的识别防御方法的流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种CC攻击的识别防御系统，在识别防御过程中会涉及到识别机制和识别点文件，其中，识别机制的原理是当系统受到CC攻击时，开始根据配置的间隔时间间隔性地识别攻击源，最后将攻击源信息保存为识别点文件，当系统长时间不受CC攻击时，自动停止识别攻击源。

在本发明实施例中，将主服务器定义为待防护对象，下文将对待防护对象受到CC攻击时的识别防御进行具体的说明。在说明前，对主服务器上的CC攻击的识别防御体系结构进行描述。请参阅图1，图1为本发明实施例提供的一种主服务器上的CC攻击的识别防御体系结构示意图。如图1所示，所述的识别防御体系结构包括三层：应用服务层、识别防御中间件层和支撑技术层，所述结构依次从上至下、支撑技术层直接位于操作系统上，其中：

所述应用服务层主要用于提供用户管理、站点管理和识别防御管理；

所述识别防御中间件层主要用于参数配置、攻击监控、攻击识别、攻击拦截、消息传输；

所述支撑技术层主要提供基本的识别防御和技术支撑，如心跳检测、进程检查点、内核通信、内核模块加卸载、内核HASH表构建、源攻击者保存算法、网络包抓取以及网络包劫持。

一般地，识别防御管理员可以通过所述应用服务层对站点和用户角色进行管理和查看，识别防御安全员可以通过所述应用服务层对某个站点上的识别防御进行查看和管理，识别防御审计员可以通过所述应用服务层对某个站点上的识别防御日志进行查看和管理。

CC攻击是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量貌似合法的请求。CC根据其工具命名，攻击者使用代理机制，利用众多广泛可用的免费代理服务器发起DDos攻击。许多免费代理服务器支持匿名模式，这使得追踪变得非常困难。

CC攻击的原理就是攻击者控制某些主机不断地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至网络拥塞，正常的访问被中止。

下面结合图2-图5描述本发明实施例的CC攻击的识别防御系统，请参阅图2，本发明实施例公开了一种CC攻击的识别防御系统，包括：

依次相连的功能开启控制单元201、系统参数配置单元202、攻击识别功能单元203、内核通信单元204、攻击拦截功能单元205以及日志保存功能单元206；

其中，所述功能开启控制单元201，用于控制开启或关闭识别防御功能，并将开启或关闭对应的状态值发送给所述内核通信单元204；

所述系统参数配置单元202，用于设置识别参数、拦截参数和可信网际互连协议IP白名单；

所述攻击识别功能单元203，用于基于所述识别参数监测和识别CC攻击，并将识别到的攻击源信息记录到本地文件以及发送给所述攻击拦截功能单元205和所述日志保存功能单元206；

所述内核通信单元204，用于实现应用态和处于内核态的所述攻击拦截功能单元205之间的通信；

所述攻击拦截功能单元205，用于依据所述拦截参数和可信IP地址白名单来控制所述攻击源对网络资源的访问情况，并将控制过程中生成的拦截信息发送给所述日志保存功能单元206；

所述日志保存功能单元206，用于基于所述攻击源信息和所述拦截信息生成日志信息，并保存所述日志信息。

其中，所述本地文件可以理解为上述的识别点文件。

本发明实施例提供的CC攻击的识别防御系统，通过可配置化的识别参数、拦截参数和可信IP地址白名单的协同作用，能够持久、快速、精准地识别出攻击源，并在识别出攻击源后能够及时的拦截攻击请求，有效改善了目前防御技术的高误杀率、低灵活性和低性能等问题。

在上述实施例的基础上，下面对上述各单元的操作步骤进行详述：

具体地，所述系统参数配置单元202在配置各种参数的过程中，主要通过以下模块完成，具体可参考图3，图3为本发明实施例提供的一种系统参数配置单元的功能模块示意图，如图3所示，所述系统参数配置单元202主要包括以下模块：

识别参数设置模块2021，用于在所述识别防御功能开启后设置用于所述监测的监测阈值和用于所述识别的识别阈值；

拦截参数设置模块2022，用于在所述识别防御功能开启后设置用于限制网络资源访问的限制参数，并将所述限制参数发送给所述内核通信单元；

可信IP地址白名单设置模块2023，用于在所述识别防御功能开启后设置可信IP地址访问源的可信白名单，并将所述白名单发送给所述内核通信单元。

具体地，所述攻击识别功能单元203在识别CC攻击源的过程中，主要通过以下模块完成，具体可参考图4，图4为本发明实施例提供的一种攻击识别功能单元的功能模块示意图，如图4所示，所述攻击识别功能单元203主要包括以下模块：

网络资源监控模块2031，用于监控和检测网络链接使用情况，并依据所述监测阈值判断所述系统是否受到CC攻击；

网络链接抓取模块2032，用于当所述网络资源监控模块检测到所述系统受到CC攻击后，开始进行网络包的抓取，并将抓取到的网络包信息发送给网络资源解析模块；

网络资源解析模块2033，用于解析所述网络包信息，依据所述识别阈值和所述可信白名单计算得到攻击源信息，并将所述攻击源信息和所述限制参数发送给所述内核通信单元以及记录到所述本地文件中；

状态自控模块2034，用于当所述系统受到CC攻击时，保证所述网络链接抓取模块2032和所述网络资源解析模块2033仅被启动一次，且当所述系统在预设时长内不受CC攻击时，控制所述网络链接抓取模块和所述网络资源解析模块自动退出。

具体地，所述攻击拦截功能单元205在拦截CC攻击的过程中，主要通过以下模块完成，具体可参考图5，图5为本发明实施例提供的一种攻击拦截功能单元的功能模块示意图，如图5所示，所述攻击拦截功能单元205主要包括以下模块：

初始化模块2051，用于在动态加载内核后，基于所述本地文件初始化内核哈希HASH表，并移除所述本地文件中已过期的攻击源信息；

网络包截获模块2052，用于实时截获网络包，从截获的网络包中获取访问者信息，并将所述访问者信息发送给访问限制模块；

访问限制模块2053，用于从所述内核HASH表中查找所述访问者所对应的限制时长和限制频率，并判断所述访问者当前的访问限制时长是否已到期，若到期，则允许本次访问，否则再判断所述访问者在单位时间内的访问频率，若所述访问频率大于所述限制频率，则拦截本次访问，否则允许本次访问。

具体地，所述内核通信单元204，还用于将攻击源信息添加进所述内核HASH表中。

另外，为了尽可能的满足用户的防御需求，本发明实施例提供了对配置参数（如监测阈值、识别阈值等）或可信IP地址白名单更新后的立即生效功能，具体说明如下：

当监测阈值被更新后，会使用更新后即刻生效的新的监控阈值判断系统是否受到CC攻击；

当识别阈值被更新后，会使用更新后即刻生效的新的识别阈值识别CC攻击源；

当限制阈值（如限制时长、限制频率）被更新后，会把更新后新的限制阈值通过内核通信单元204更新到内核HASH表中，从而使更新后的限制阈值即可生效拦截攻击源；

当可信IP地址白名单被更新后，会把新增的可信IP地址白名单通过内核通信单元204发送到内核，将这些新增的可信IP地址白名单从内核HASH表中移除，从而达到立即生效不再拦截的效果。

下面对本发明实施例提供的CC攻击的识别防御方法进行描述，下文描述的CC攻击的识别防御方法与上文描述的CC攻击的识别防御系统可相互对应参照。

参见图6，本发明实施例公开了一种CC攻击的识别防御方法，包括：

601、获取系统的网络资源使用情况，并基于所述网络资源使用情况以及预配置的监测阈值判断所述系统是否被CC攻击；

602、若确定所述系统被CC攻击，则抓取所有访问者的请求包，并依据预配置的识别阈值和可信白名单计算出具体的攻击源；

603、劫持所述攻击源从预配置的限制起始时间点至预配置的限制截止时间点之间各网络请求；

604、依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求。

其中，上述预配置的限制起始时间点至预配置的限制截止时间点相当于前文所述的限制起始时间加上限制时长。

本发明实施例提供的CC攻击的识别防御方法，通过可配置化的监测阈值、识别阈值、限制时长以及限制频率的协同作用，能够持久、快速、精准地识别出攻击源，并在识别出攻击源后能够及时的拦截攻击请求，有效改善了目前防御技术的高误杀率、低灵活性和低性能等问题。

在上述实施例的基础上，所述步骤601中所述获取系统的网络资源使用情况，并基于所述网络资源使用情况以及预配置的监测阈值判断所述系统是否被CC攻击，包括：

实时间隔性的获取系统的网络资源使用情况；

实时判断所述网络资源使用情况是否大于预配置的监测阈值，若是，则判定所述系统受到CC攻击。

在上述实施例的基础上，所述步骤602中所述抓取所有访问者请求包，并依据预配置的识别阈值和可信白名单计算出具体的攻击源，包括：

在预设时长内持续抓取所有访问者的请求包，以计算出每个访问者在单位时间内的链接频率和访问频率；

针对任何一个访问者，判断所述访问者的链接频率或访问频率是否大于预配置的识别阈值，若是，则判定为可疑访问者，否则判定为正常访问者；

判断所述可疑访问者是否位于预配置的可信IP地址白名单中，若是，则判定为正常访问者，否则判定为攻击源。

具体地，持续抓取所有访问者的网络请求若干秒，计算出每个访问者在单位时间内的链接频次（频率）和访问频次（频率）；判断每个访问者的链接频次或访问频次是否大于识别阈值，若是，则判定该访问者为可疑访问者，否则判定为正常访问者；判断每个可疑访问者是否位于可信IP地址白名单中，若是，则判定为正常访问者，否则判定为源攻击者；将源攻击者信息发送给相应系统的日志保存功能单元，将源攻击者信息（包括ip和start_time，ip表示源攻击者的地址，start_time表示限制起始时间）和配置的限制信息（包括limit_time和limit_access，limit_time表示限制时长，limit_access表示限制频次）重组发送给相应系统的内核通信单元。

在上述实施例的基础上，所述步骤604中所述依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求，包括：

针对任何一个网络请求，判断所述网络请求是否在预设内核HASH表中，若是，则判定所述网络请求为攻击请求，若否，则允许所述网络请求；

若判定所述网络请求为攻击请求，则获取所述攻击源信息中的限制起始时间和预配置的限制时长以及当前时间戳；

若所述当前时间戳大于所述限制起始时间和所述限制时长的和，则允许所述网络请求，否则判定为待拦截的网络请求。

具体地，劫持所有网络请求包，判断每个网络请求包是否在前文的内核HASH表中，若是则判定为攻击请求包，否则允许本次网络请求；对于判定为攻击请求的网络请求包，获取当前时间戳(current_time)；用当前时间戳(current_time)和前文的限制起始时间(start_time)和限制时长(limit_time)进行判断比较，若current_time>start_time+limit_time，则说明限制已过期，允许本次网络请求，同时将该网络请求所在的IP在内核HASH表中的信息移除掉；若current_time<=start_time+limit_time，则说明限制未过期，判定为待拦截的网络请求，将current_time 更新到HASH表中该IP节点的上次访问时间last_time上。

在上述实施例的基础上，所述步骤604中所述依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求，包括：

针对任何一个网络请求，获取预设内核HASH表中的上次访问时间、预配置的限制频率以及当前时间戳；

若所述当前时间戳减去所述上次访问时间的差值与所述限制频率相乘后的值大于预设的单位时间，则允许所述网络请求，否则丢弃所述网络请求。

具体地，利用前文所述的当前时间戳(current_time)和上次访问时间(last_time)跟前文所述的限制频次(limit_access)进行判断比较，若current_time-last_time>(limit_access/60)；则允许本次请求的访问，否则丢弃本次请求访问，从而达到拒绝访问的效果。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种CC攻击的识别防御系统，其特征在于，包括：

依次相连的功能开启控制单元、系统参数配置单元、攻击识别功能单元、内核通信单元、攻击拦截功能单元以及日志保存功能单元；

其中，所述功能开启控制单元，用于控制开启或关闭识别防御功能，并将开启或关闭对应的状态值发送给所述内核通信单元；

所述系统参数配置单元，用于设置识别参数、拦截参数和可信IP地址白名单；

所述攻击识别功能单元，用于基于所述识别参数监测和识别CC攻击，并将识别到的攻击源信息记录到本地文件以及发送给所述攻击拦截功能单元和所述日志保存功能单元；

所述内核通信单元，用于实现应用态和处于内核态的所述攻击拦截功能单元之间的通信；

所述攻击拦截功能单元，用于依据所述拦截参数和所述可信IP地址白名单来控制所述攻击源对网络资源的访问情况，并将控制过程中生成的拦截信息发送给所述日志保存功能单元；

所述日志保存功能单元，用于基于所述攻击源信息和所述拦截信息生成日志信息，并保存所述日志信息；

所述攻击拦截功能单元包括：

初始化模块，用于在动态加载内核后，基于所述本地文件初始化内核哈希HASH表，并移除所述本地文件中已过期的攻击源信息；

网络包截获模块，用于实时截获网络包，从截获的网络包中获取访问者信息，并将所述访问者信息发送给访问限制模块；

访问限制模块，用于从所述内核哈希HASH表中查找所述访问者所对应的限制时长和限制频率，并判断所述访问者当前的访问限制时长是否已到期，若到期，则允许本次访问，否则再判断所述访问者在单位时间内的访问频率，若所述访问频率大于所述限制频率，则拦截本次访问，否则允许本次访问。

2.根据权利要求1所述的CC攻击的识别防御系统，其特征在于，所述系统参数配置单元包括：

识别参数设置模块，用于在所述识别防御功能开启后设置用于所述监测的监测阈值和用于所述识别的识别阈值；

拦截参数设置模块，用于在所述识别防御功能开启后设置用于限制网络资源访问的限制参数，并将所述限制参数发送给所述内核通信单元；

可信IP地址白名单设置模块，用于在所述识别防御功能开启后设置可信IP地址访问源的可信IP地址白名单，并将所述可信IP地址白名单发送给所述内核通信单元。

3.根据权利要求2所述的CC攻击的识别防御系统，其特征在于，所述攻击识别功能单元包括：

网络资源监控模块，用于监控和检测网络链接使用情况，并依据所述监测阈值判断所述系统是否受到CC攻击；

网络链接抓取模块，用于当所述网络资源监控模块检测到所述系统受到CC攻击后，开始进行网络包的抓取，并将抓取到的网络包信息发送给网络资源解析模块；

网络资源解析模块，用于解析所述网络包信息，依据所述识别阈值和所述可信IP地址白名单计算得到攻击源信息，并将所述攻击源信息和所述限制参数发送给所述内核通信单元以及记录到所述本地文件中；

状态自控模块，用于当所述系统受到CC攻击时，保证所述网络链接抓取模块和所述网络资源解析模块仅被启动一次，且当所述系统在预设时长内不受CC攻击时，控制所述网络链接抓取模块和所述网络资源解析模块自动退出。

4.根据权利要求1所述的CC攻击的识别防御系统，其特征在于，所述内核通信单元，还用于将攻击源信息添加进所述内核哈希HASH表中。

5.一种CC攻击的识别防御方法，其特征在于，包括：

获取系统的网络资源使用情况，并基于所述网络资源使用情况以及预配置的监测阈值判断所述系统是否被CC攻击；

若确定所述系统被CC攻击，则抓取所有访问者的请求包，并依据预配置的识别阈值和可信IP地址白名单计算出具体的攻击源；

劫持所述攻击源从预配置的限制起始时间点至预配置的限制截止时间点之间各网络请求；

依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求；

所述依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求，包括：

针对任何一个网络请求，判断所述网络请求是否在预设内核哈希HASH表中，若是，则判定所述网络请求为攻击请求，若否，则允许所述网络请求；

若判定所述网络请求为攻击请求，则获取预配置的限制起始时间和预配置的限制时长以及当前时间戳；

若所述当前时间戳大于所述限制起始时间和所述限制时长的和，则允许所述网络请求，否则判定为待拦截的网络请求。

6.根据权利要求5所述的CC攻击的识别防御方法，其特征在于，所述获取系统的网络资源使用情况，并基于所述网络资源使用情况以及预配置的监测阈值判断所述系统是否被CC攻击，包括：

实时间隔性的获取系统的网络资源使用情况；

实时判断所述网络资源使用情况是否大于预配置的监测阈值，若是，则判定所述系统受到CC攻击。

7.根据权利要求5所述的CC攻击的识别防御方法，其特征在于，所述抓取所有访问者的请求包，并依据预配置的识别阈值和可信IP地址白名单计算出具体的攻击源，包括：

在预设时长内持续抓取所有访问者的请求包，以计算出每个访问者在单位时间内的链接频率和访问频率；

针对任何一个访问者，判断所述访问者的链接频率或访问频率是否大于预配置的识别阈值，若是，则判定为可疑访问者，否则判定为正常访问者；

判断所述可疑访问者是否位于预配置的可信IP地址白名单中，若是，则判定为正常访问者，否则判定为攻击源。

8.根据权利要求5所述的CC攻击的识别防御方法，其特征在于，所述依据预配置的限制时长和/或预配置的限制频率判断是否允许所述各网络请求，包括：

针对任何一个网络请求，获取预设内核哈希HASH表中的上次访问时间、预配置的限制频率以及当前时间戳；

若所述当前时间戳减去所述上次访问时间的差值与所述限制频率相乘后的值大于预设的单位时间，则允许所述网络请求，否则丢弃所述网络请求。

Images