CN113765914A - Cc攻击防护方法、系统、计算机设备及可读存储介质 - Google Patents

Cc攻击防护方法、系统、计算机设备及可读存储介质 Download PDF

Info

Publication number
CN113765914A
CN113765914A CN202111030776.4A CN202111030776A CN113765914A CN 113765914 A CN113765914 A CN 113765914A CN 202111030776 A CN202111030776 A CN 202111030776A CN 113765914 A CN113765914 A CN 113765914A
Authority
CN
China
Prior art keywords
flow
access
protection
abnormal
reference value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111030776.4A
Other languages
English (en)
Other versions
CN113765914B (zh
Inventor
毛润华
范渊
杨勃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202111030776.4A priority Critical patent/CN113765914B/zh
Publication of CN113765914A publication Critical patent/CN113765914A/zh
Application granted granted Critical
Publication of CN113765914B publication Critical patent/CN113765914B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请涉及一种CC攻击防护方法、系统、计算机设备及可读存储介质,其中,该CC攻击防护方法包括:建立整体流量模型;将整体流量模型生成第一防护基准值;将被防护网站的各个当前访问IP所产生的当前瞬时流量相加得到当前整体瞬时流量,并将所述当前整体瞬时流量与所述第一防护基准值比较,判断所述当前整体瞬时流量是否超过第一防护基准值;若是,则启动CC攻击防护策略。通过本申请,解决了对CC攻击进行防护时,误报率高影响正常访问、无法针对单个访问IP进行检测及防护效果不佳的问题,实现了针对CC攻击能够精确防护,不仅能够提升CC攻击识别率以减小攻击误报情况,同时还不影响正常IP的访问。

Description

CC攻击防护方法、系统、计算机设备及可读存储介质
技术领域
本申请涉及网站安全技术领域,特别是涉及一种CC攻击防护方法、系统、计算机设备及可读存储介质。
背景技术
挑战黑洞(Challenge Collapsar,简称为CC),其前身名为Fatboy攻击,是利用不断对网站发送连接请求致使形成拒绝服务的目的,CC攻击是分布式拒绝服务(DistributedDenial of Service,简称为DDOS)的一种,也是一种常见的网站攻击方法。
CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
传统的用于防御CC攻击的设备通常是针对所有客户端IP发起的连接进行检测,发现有CC攻击则进行拦截,这种传统的过滤手段由于缺乏对服务器流量的模型学习以及客户端的学习访问行为学习,误报率极高,不仅对流量异常的访问IP进行拦截,对正常访问的IP也会进行拦截,影响正常访问,同时传统的防护系统针对CC攻击的防护策略一般都是统一的,无法根据不同的访问IP进行针对性的检测,防护效果一般。
目前针对相关技术中对CC攻击进行防护时,误报率高影响正常访问、无法针对单个访问IP进行检测及防护效果不佳的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种CC攻击防护方法、系统、计算机设备及可读存储介质,以至少解决相关技术中对CC攻击进行防护时,误报率高影响正常访问、无法针对单个访问IP进行检测及防护效果不佳的问题。
第一方面,本申请实施例提供了一种CC攻击防护方法,包括:获取被防护网站的多个历史访问IP共同所产生的整体历史瞬时流量;根据所述整体历史瞬时流量建立整体流量模型;根据所述整体流量模型生成第一防护基准值;将被防护网站的各个当前访问IP所产生的当前瞬时流量相加得到当前整体瞬时流量,并将所述当前整体瞬时流量与所述第一防护基准值比较,判断所述当前整体瞬时流量是否超过所述第一防护基准值;若是,则启动CC攻击防护策略。
在其中一些实施例中,所述CC攻击防护方法还包括:获取各个所述历史访问IP所产生的历史瞬时流量;根据每个所述历史访问IP的历史瞬时流量建立访问IP流量监控模型;基于所述访问IP流量监控模型生成第二防护基准值;启动CC攻击防护策略之后,将各个所述当前访问IP所产生的当前瞬时流量与所述第二防护基准值比较,并将超过所述第二防护基准值的当前访问IP确认为异常流量IP。
在其中一些实施例中,在将超过所述第二防护基准值的当前访问IP确认为异常流量IP之后,所述方法还包括:建立恶意情报库,所述恶意情报库包括多个带有标记的异常访问IP;判断所述异常流量IP是否与所述恶意情报库中的异常访问IP匹配;若是,则屏蔽该异常流量IP。
在其中一些实施例中,判断所述异常流量IP是否与恶意情报库中的异常访问IP匹配的步骤还包括:在判断所述异常流量IP是否与所述恶意情报库中的异常访问IP匹配之后,所述方法还包括:若所述异常流量IP与所述异常访问IP不匹配,判断所述异常流量IP是否能识别JS脚本;若所述异常流量IP能识别JS脚本,则判定所述异常流量IP正常访问被防护网站。
在其中一些实施例中,在判断异常流量IP是否能识别JS脚本之后,所述方法还包括:若所述异常流量IP不能识别JS脚本,则屏蔽所述异常流量IP;当被屏蔽的所述异常流量IP重新访问被防护网站时,则继续屏蔽所述异常流量IP,且延长屏蔽时间。
在其中一些实施例中,所述整体流量模型包括第一瞬时宽带、第一新建连接以及第一并发连接,所述第一防护基准值的计算公式如下:
Figure BDA0003245170040000031
其中,δ代表第一防护基准值,
Figure BDA0003245170040000032
代表第一瞬时宽带平均值,a+代表第一瞬时宽带峰值,
Figure BDA0003245170040000033
代表第一新建连接平均值,b+代表第一新建连接峰值,
Figure BDA0003245170040000034
代表第一并发连接平均值,c+代表第一并发连接峰值,‖代表或运算;
所述访问IP流量监控模型包括第二瞬时宽带、第二新建连接以及第二并发连接,所述第二防护基准值的计算公式如下:
Figure BDA0003245170040000035
其中,ρ代表第二防护基准值,
Figure BDA0003245170040000036
代表第二瞬时宽带平均值,
Figure BDA0003245170040000037
代表第二新建连接平均值,
Figure BDA0003245170040000038
代表第二并发连接平均值,‖代表或运算。
第二方面,本申请实施例提供了一种CC攻击防护系统,包括:
第一获取模块,获取被防护网站的多个历史访问IP共同所产生的整体历史瞬时流量,根据所述整体历史瞬时流量建立整体流量模型,根据所述整体流量模型生成第一防护基准值;
第一判断模块,用于将被防护网站的各个当前访问IP所产生的当前瞬时流量相加得到当前整体瞬时流量,并判断所述当前整体瞬时流量是否超过所述第一防护基准值;
防护模块,用于启动CC攻击防护策略。
在其中一些实施例中,所述CC攻击防护系统还包括:
第二获取模块,用于获取各个所述历史访问IP所产生的历史瞬时流量,根据多个所述历史访问IP的历史瞬时流量建立访问IP流量监控模型,基于所述访问IP流量监控模型生成第二防护基准值;
第二判断模块,用于在启动CC攻击防护策略之后,将各个所述当前访问IP所产生的当前瞬时流量与所述第二防护基准值比较,并判断超过所述第二防护基准值的当前访问IP为异常流量IP。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的CC攻击防护方法。
第四方面,本申请实施例提供了一种可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的CC攻击防护方法。
相比于相关技术,本申请实施例提供的CC攻击防护方法、系统、计算机设备及可读存储介质,通过建立整体流量模型对被防护网站的多个当前访问IP所产生的整体流量进行监控,以此确定是否启动CC攻击防护策略,通过建立访问IP流量监控模型对每个当前访问IP的当前瞬时流量进行监控,以此对流量异常的当前访问IP进行针对性的检测,解决了对CC攻击进行防护时,误报率高影响正常访问、无法针对单个访问IP进行检测及防护效果不佳的问题,实现了当存有CC攻击时才开启防护策略,并且针对CC攻击能够精确防护,不仅能够提升CC攻击识别率以减小攻击误报情况,同时还不影响正常IP访问被防护网站。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请第一实施例的CC攻击防护方法的流程图;
图2是根据本申请第二实施例的CC攻击防护方法的流程图;
图3是根据本申请第三实施例的CC攻击防护系统的结构框图;
图4是根据本申请第四实施例的CC攻击防护系统的结构框图;
图5是根据本申请第五实施例的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本发明第一实施例提供了一种CC攻击防护方法。图1是根据本申请第一实施例的CC攻击防护方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,获取被防护网站的多个历史访问IP共同所产生的整体历史瞬时流量。
其中,每个访问网站的访问IP都会产生瞬时流量,瞬时流量包括瞬时宽带(Mbps)、新建连接以及并发连接,瞬时宽带是指单位时间(一般指的是1秒钟)内能传输的数据量,网络和高速公路类似,带宽越大,就类似高速公路的车道越多,其通行能力越强,网络带宽作为衡量网络特征的一个重要指标;并发连接数是指防火墙或服务器对其业务信息流的处理能力,是防火墙或服务器能够同时处理的点对点连接的最大数目,它反映出设备对多个连接的访问控制能力和连接状态跟踪能力;新建连接数指每秒钟可以通过防火墙或服务器建立起来的完整TCP/UDP连接,该指标主要用来衡量防火墙或服务器在处理过程中对报文连接的处理速度。
步骤S102,根据整体历史瞬时流量建立整体流量模型。
其中,基于机器学习,学习的方式就是在每分钟对整体历史瞬时流量提取特征值,然后根据现有算法指导计算机利用整体历史瞬时流量的特征值得出所需的整体流量模型,所提取的特征值包括第一瞬时宽带峰值、第一瞬时宽带平均值、第一新建连接峰值、第一新建连接平均值、第一并发连接峰值以及第一并发连接平均值等性能参数。
步骤S103,根据整体流量模型生成第一防护基准值。
其中,第一防护基准值也是根据上述中整体历史瞬时流量中所提取的特征值生成的,可以理解的,根据整体历史瞬时流量中的特征值通过特定的运算生成第一防护基准值。
步骤S104,将被防护网站的各个当前访问IP所产生的当前瞬时流量相加得到当前整体瞬时流量,并将当前整体瞬时流量与第一防护基准值比较,判断当前整体瞬时流量是否超过第一防护基准值。
步骤S105,若是,则启动CC攻击防护策略。
其中,整体流量模型是针对被防护网站所产生的总的流量进行监控的模型,如果被防护网站被CC攻击,此时网站服务器的瞬时流量、新建连接以及并发连接都会产生变化,将当前整体瞬时流量与第一防护基准值作比较,能有效地判断出是否需要启动CC攻击防护策略,当当前整体瞬时流量超过第一防护基准值时,则自动启动CC攻击防护攻略,抵御CC攻击。
在本实施例中,基于机器学习,提取整体历史瞬时流量中的特征值,根据现有算法指导计算机利用整体历史瞬时流量的特征值得出所需的整体流量模型,并通过整体流量模型生成第一防护基准值,以对被防护网站的多个当前访问IP所产生的当前整体瞬时流量进行监控,当当前整体瞬时流量超过第一防护基准值时,会自动启动CC攻击防护攻略,有效地避免了CC攻击防护过程中产生误拦截的现象,不影响访问IP对网站的正常访问。
在本申请中的另一实施例中,整体流量模型包括第一瞬时宽带、第一新建连接以及第一并发连接,第一防护基准值的计算公式如下:
Figure BDA0003245170040000071
其中,δ代表第一防护基准值,
Figure BDA0003245170040000072
代表第一瞬时宽带平均值,a+代表第一瞬时宽带峰值,
Figure BDA0003245170040000073
代表第一新建连接平均值,b+代表第一新建连接峰值,
Figure BDA0003245170040000074
代表第一并发连接平均值,c+代表第一并发连接峰值,‖代表或运算。
图2是根据本申请第二实施例的另一种CC攻击防护方法的流程图,如图2所示,该CC攻击防护方法包括如下步骤:
步骤S201,获取被防护网站的多个历史访问IP共同所产生的整体历史瞬时流量。
步骤S202,根据整体历史瞬时流量建立整体流量模型。
步骤S203,根据整体流量模型生成第一防护基准值。
步骤S204,获取各个历史访问IP所产生的历史瞬时流量。
步骤S205,根据每个历史访问IP的历史瞬时流量建立访问IP流量监控模型。
其中,被防护网站的各个历史访问IP都会产生其对应的历史瞬时流量,建立访问IP流量监控模型也是基于机器学习,学习的方式是在每分钟对网站的每个访问IP的瞬时宽带、新建连接和并发连接进行统计,并将统计数据存放起来,根据现有的算法指导计算机利用统计的数据得出所需的访问IP流量监控模型。
步骤S206,基于访问IP流量监控模型生成第二防护基准值。
其中,第二防护基准值是根据上述中的统计数据得到的特殊参数值通过特定的运算生成的,访问IP流量监控模型包括特殊参数值。
步骤S207,将被防护网站的各个当前访问IP所产生的当前瞬时流量相加得到当前整体瞬时流量,并将当前整体瞬时流量与第一防护基准值比较,判断当前整体瞬时流量是否超过第一防护基准值。
步骤S208,若是,则启动CC攻击防护策略。
步骤S209,启动CC攻击防护策略之后,将各个当前访问IP所产生的当前瞬时流量与第二防护基准值比较,并将超过第二防护基准值的当前访问IP确认为异常流量IP。
其中,访问IP流量监控模型是用于对被防护网站的单个当前访问IP所产生的当前瞬时流量进行监控的,当当前访问IP所产生的当前瞬时流量大于第二防护基准值时,则会将该当前访问IP判断为异常流量IP,然后针对异常流量IP进行检测,而不超过第二防护基准值的当前访问IP则可以正常访问被防护网站。
在本实施例中,通过建立整体流量模型对被防护网站的多个当前访问IP所产生的当前整体瞬时流量进行监控,并根据当前整体瞬时流量与第一防护基准值的比对结果,以此确定是否启动防护策略,通过建立访问IP流量监控模型对每个当前访问IP的当前瞬时流量进行监控,并将多个当前瞬时流量分别与第二防护基准值进行比较,当当前瞬时流量超过第二防护基准值时,则该当前访问IP为异常流量IP,然后针对此异常流量IP进行检测,区别于现有技术,解决了对CC攻击进行防护时,不仅误报率极高影响正常访问,且防护效果一般的问题,实现了当存有CC攻击时才开启防护策略,并且针对CC攻击能够精确防护,不仅能够提升CC攻击识别率以减小攻击误报情况,同时还不影响正常IP访问被防护网站。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。例如,如图2所示,步骤204至步骤206这三个步骤可位于步骤209之前的任意一个位置。
在本申请中的另一实施例中,访问IP流量监控模型包括第二瞬时宽带、第二新建连接以及第二并发连接,第二防护基准值的计算公式如下:
Figure BDA0003245170040000091
其中,ρ代表第二防护基准值,
Figure BDA0003245170040000092
代表第二瞬时宽带平均值,
Figure BDA0003245170040000093
代表第二新建连接平均值,
Figure BDA0003245170040000094
代表第二并发连接平均值,‖代表或运算。
下面通过优选实施例对本申请实施例进行描述和说明。
在本申请中的另一实施例中,在将超过第二防护基准值的当前访问IP确认为异常流量IP之后,还实施如下步骤:
步骤1、建立恶意情报库,恶意情报库包括多个带有标记的异常访问IP。
步骤2、判断异常流量IP是否与恶意情报库中的异常访问IP匹配。
步骤3、若是,则屏蔽该异常流量IP。
在本实施例中,通过收集已被人为标记的一些异常访问IP,或者是存储之前对被防护网站进行CC攻击的异常访问IP,以此建立恶意情报库,可以理解的,这些异常访问IP的连接会对网站产生不良的影响,甚至是造成网站的服务器瘫痪,而通过将上述中所得到的异常流量IP与所预先设有的异常访问IP进行匹配,以此筛选出用于CC攻击的攻击源,并对其直接屏蔽,同时也将此攻击源附上标记并保存至恶意情报库中,需要说明的是,首次的屏蔽时长为600秒,如果该被屏蔽的访问IP仍继续向被防护网站发起连接,则下一次屏蔽时长为上一次屏蔽时长的两倍。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。例如,步骤S211可位于步骤S210之前的任意一个位置。
在其中一些实施例中,在判断异常流量IP是否与恶意情报库中的异常访问IP匹配之后,还实施如下步骤:
步骤1、若异常流量IP与异常访问IP不匹配,判断异常流量IP是否能识别JS脚本。
步骤2、若异常流量IP能识别JS脚本,则判定异常流量IP正常访问被防护网站。
在本实施例中,当异常流量IP并不与恶意情报库中的异常访问IP的任意一个匹配时,则对该异常流量IP发起JS挑战,也就是说,将异常流量IP对JS脚本进行识别,能正常识别JS脚本并验证通过,则认为异常流量IP可以正常访问被防护网站,以此在CC攻击过程中,保证不影响正常用户的访问。
在其中一些实施例中在其中一些实施例中,在判断异常流量IP是否能识别JS脚本之后,还实施如下步骤:
步骤1、若异常流量IP不能识别JS脚本,则屏蔽异常流量IP。
步骤2、当被屏蔽的异常流量IP重新访问被防护网站时,则继续屏蔽异常流量IP,且延长屏蔽时间。
在本实施例中,当异常流量IP无法识别JS脚本,则该异常流量IP被直接屏蔽,如果异常流量IP为首次被屏蔽,则不仅会将该异常流量IP附上标记并存储至恶意情报库中,同时其首次默认的屏蔽时长为600秒,如果发现继续发起CC攻击,则继续屏蔽该异常流量IP,且下一次屏蔽时长延长为上一次屏蔽时长的两倍,以此对CC攻击源进行有效遏制。
在本实施例中,通过建立整体流量模型对被防护网站的多个当前访问IP共同所产生的当前整体瞬时流量进行监控,并根据当前整体瞬时流量与第一防护基准值的比对结果,以此确定是否启动防护策略,通过建立访问IP流量监控模型对每个当前访问IP的当前瞬时流量进行监控,并将多个当前瞬时流量分别与第二防护基准值进行比较,当当前瞬时流量超过第二防护基准值时,则判定当前访问IP为异常流量IP,然后针对此异常流量IP进行检测,将该异常流量IP与恶意情报库中的异常访问IP进行匹配,如果异常流量IP存有匹配的异常访问IP,则直接对其屏蔽,反之,当找到不与异常流量IP匹配的异常访问IP时,将该异常流量IP对JS脚本进行识别,能正常识别并验证通过则确认其可以与被防护网站正常连接,反之,若无法识别JS脚本,将其屏蔽,区别于现有技术,通过机器学习流量模型有效提升了CC攻击识别率,减小CC攻击误报率,针对CC攻击能精确防护的前提下,不影响正常访客的正常访问,同时也能对CC攻击源进行有效遏制,并且能够CC攻击源进行事前防护。
本发明第三实施例还提供了一种CC攻击防护系统,该系统用于实现上述第一实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本申请第四实施例的CC攻击防护系统的结构框图,如图3所示,该系统包括:
第一获取模块10,用于获取被防护网站的多个历史访问IP共同所产生的整体历史瞬时流量,根据整体历史瞬时流量建立整体流量模型,根据整体流量模型生成第一防护基准值;
第一判断模块20,用于将被防护网站的各个当前访问IP所产生的当前瞬时流量相加得到当前整体瞬时流量,并判断当前整体瞬时流量是否超过第一防护基准值;
防护模块30,用于启动CC攻击防护策略。
在本实施例中,基于机器学习,提取整体历史瞬时流量中的特征值,根据现有算法指导计算机利用整体历史瞬时流量的特征值得出所需的整体流量模型,并通过整体流量模型生成第一防护基准值,以对被防护网站的多个当前访问IP所产生的当前整体瞬时流量进行监控,当当前整体瞬时流量超过第一防护基准值时,会自动启动CC攻击防护攻略,有效地避免了CC攻击防护过程中产生误拦截的现象,不影响访问IP对网站的正常访问。
本发明第四实施例还提供了一种CC攻击防护系统,该系统用于实现上述第二实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请第四实施例的CC攻击防护系统的结构框图,如图4所示,该系统包括:
第一获取模块40,用于获取被防护网站的多个历史访问IP共同所产生的整体历史瞬时流量,根据整体历史瞬时流量建立整体流量模型,根据整体流量模型生成第一防护基准值;
第二获取模块50,用于获取各个历史访问IP所产生的历史瞬时流量,根据多个历史访问IP的历史瞬时流量建立访问IP流量监控模型,基于访问IP流量监控模型生成第二防护基准值;
第一判断模块60,用于将被防护网站的各个当前访问IP所产生的当前瞬时流量相加得到当前整体瞬时流量,并判断当前整体瞬时流量是否超过第一防护基准值;
防护模块70,用于启动CC攻击防护策略。
第二判断模块80,用于在启动CC攻击防护策略之后,将各个当前访问IP所产生的当前瞬时流量与第二防护基准值比较,并判断超过第二防护基准值的当前访问IP为异常流量IP。
在其中一些实施例中,整体流量模型包括第一瞬时宽带、第一新建连接以及第一并发连接,第一防护基准值的计算公式如下:
Figure BDA0003245170040000121
其中,δ代表第一防护基准值,
Figure BDA0003245170040000122
代表第一瞬时宽带平均值,a+代表第一瞬时宽带峰值,
Figure BDA0003245170040000123
代表第一新建连接平均值,b+代表第一新建连接峰值,
Figure BDA0003245170040000124
代表第一并发连接平均值,c+代表第一并发连接峰值,‖代表或运算;
访问IP流量监控模型包括第二瞬时宽带、第二新建连接以及第二并发连接,第二防护基准值的计算公式如下:
Figure BDA0003245170040000125
其中,ρ代表第二防护基准值,
Figure BDA0003245170040000126
代表第二瞬时宽带平均值,
Figure BDA0003245170040000127
代表第二新建连接平均值,
Figure BDA0003245170040000128
代表第二并发连接平均值,‖代表或运算。
在其中一些实施例中,CC攻击防护系统还包括:
准备模块,用于建立恶意情报库,恶意情报库包括多个带有标记的异常访问IP;
匹配模块,用于将异常流量IP与恶意情报库中的异常访问IP进行匹配,并屏蔽与异常访问IP匹配的异常流量IP。
在其中一些实施例其中一些实施例中,匹配模块还用于:
将与恶意情报库中的异常访问IP不匹配的异常流量IP进行JS脚本识别处理,若异常流量IP能正常识别JS脚本,则判定异常流量IP正常访问被防护网站。
在其中一些实施例其中一些实施例中,CC攻击防护系统还包括:
遏制模块,用于针对不能识别JS脚本的异常流量IP被屏蔽后,该异常流量IP仍继续访问被防护网站,则继续屏蔽该异常流量IP,且屏蔽时长延长至上一次屏蔽时长的两倍。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例CC攻击防护方法可以由计算机设备来实现。图5为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器52以及存储有计算机程序指令的存储器53。
具体地,上述处理器52可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器53可以包括用于数据或指令的大容量存储器53。举例来说而非限制,存储器53可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(Solid State Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(UniversalSerial Bus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器53可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器53可在数据处理系统的内部或外部。在特定实施例中,存储器53是非易失性(Non-Volatile)存储器。在特定实施例中,存储器53包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(Random Access Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(ErasableProgrammable Read-Only Memory,简称为EPROM)、电可擦除PROM(Electrically ErasableProgrammable Read-Only Memory,简称为EEPROM)、电可改写ROM(ElectricallyAlterable Read-Only Memory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-AccessMemory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode DynamicRandom Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(ExtendedDate Out Dynamic Random Access Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器53可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器52所执行的可能的计算机程序指令。
处理器52通过读取并执行存储器53中存储的计算机程序指令,以实现上述实施例中的任意一种CC攻击防护方法。
在其中一些实施例中,计算机设备还可包括通信接口54和总线51。其中,如图5所示,处理器52、存储器53、通信接口54通过总线51连接并完成相互间的通信。
通信接口54用于实现本申请实施例中各模块、系统、单元和/或设备之间的通信。通信接口54还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线51包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线51包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线51可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线51或者两个或更多个以上这些的组合。在合适的情况下,总线51可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线51,但本申请考虑任何合适的总线51或互连。
该计算机设备可以基于获取到的计算机程序,执行本申请实施例中的CC攻击防护方法,从而实现结合图1描述的CC攻击防护方法。
另外,结合上述实施例中的CC攻击防护方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器52执行时实现上述实施例中的任意一种CC攻击防护方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种CC攻击防护方法,其特征在于,包括:
获取被防护网站的多个历史访问IP共同所产生的整体历史瞬时流量;
根据所述整体历史瞬时流量建立整体流量模型;
根据所述整体流量模型生成第一防护基准值;
将被防护网站的各个当前访问IP所产生的当前瞬时流量相加得到当前整体瞬时流量,并将所述当前整体瞬时流量与所述第一防护基准值比较,判断所述当前整体瞬时流量是否超过所述第一防护基准值;
若是,则启动CC攻击防护策略。
2.根据权利要求1所述的CC攻击防护方法,其特征在于,所述CC攻击防护方法还包括:
获取各个所述历史访问IP所产生的历史瞬时流量;
根据每个所述历史访问IP的历史瞬时流量建立访问IP流量监控模型;
基于所述访问IP流量监控模型生成第二防护基准值;
启动CC攻击防护策略之后,将各个所述当前访问IP所产生的当前瞬时流量与所述第二防护基准值比较,并将超过所述第二防护基准值的当前访问IP确认为异常流量IP。
3.根据权利要求2所述的CC攻击防护方法,其特征在于,在将超过所述第二防护基准值的当前访问IP确认为异常流量IP之后,所述方法还包括:
建立恶意情报库,所述恶意情报库包括多个带有标记的异常访问IP;
判断所述异常流量IP是否与所述恶意情报库中的异常访问IP匹配;
若是,则屏蔽该异常流量IP。
4.根据权利要求3所述的CC攻击防护方法,其特征在于,在判断所述异常流量IP是否与所述恶意情报库中的异常访问IP匹配之后,所述方法还包括:
若所述异常流量IP与所述异常访问IP不匹配,判断所述异常流量IP是否能识别JS脚本;
若所述异常流量IP能识别JS脚本,则判定所述异常流量IP正常访问被防护网站。
5.根据权利要求4所述的CC攻击防护方法,其特征在于,在判断异常流量IP是否能识别JS脚本之后,所述方法还包括:
若所述异常流量IP不能识别JS脚本,则屏蔽所述异常流量IP;
当被屏蔽的所述异常流量IP重新访问被防护网站时,则继续屏蔽所述异常流量IP,且延长屏蔽时间。
6.根据权利要求2所述的CC攻击防护方法,其特征在于,所述整体流量模型包括第一瞬时宽带、第一新建连接以及第一并发连接,所述第一防护基准值的计算公式如下:
Figure FDA0003245170030000021
其中,δ代表第一防护基准值,
Figure FDA0003245170030000022
代表第一瞬时宽带平均值,a+代表第一瞬时宽带峰值,
Figure FDA0003245170030000023
代表第一新建连接平均值,b+代表第一新建连接峰值,
Figure FDA0003245170030000024
代表第一并发连接平均值,c+代表第一并发连接峰值,‖代表或运算;
所述访问IP流量监控模型包括第二瞬时宽带、第二新建连接以及第二并发连接,所述第二防护基准值的计算公式如下:
Figure FDA0003245170030000025
其中,ρ代表第二防护基准值,
Figure FDA0003245170030000026
代表第二瞬时宽带平均值,
Figure FDA0003245170030000027
代表第二新建连接平均值,
Figure FDA0003245170030000028
代表第二并发连接平均值,‖代表或运算。
7.一种CC攻击防护系统,其特征在于,包括:
第一获取模块,获取被防护网站的多个历史访问IP共同所产生的整体历史瞬时流量,根据所述整体历史瞬时流量建立整体流量模型,根据所述整体流量模型生成第一防护基准值;
第一判断模块,用于将被防护网站的各个当前访问IP所产生的当前瞬时流量相加得到当前整体瞬时流量,并判断所述当前整体瞬时流量是否超过所述第一防护基准值;
防护模块,用于启动CC攻击防护策略。
8.根据权利要求7所述的CC攻击防护系统,其特征在于,所述CC攻击防护系统还包括:
第二获取模块,用于获取各个所述历史访问IP所产生的历史瞬时流量,根据多个所述历史访问IP的历史瞬时流量建立访问IP流量监控模型,基于所述访问IP流量监控模型生成第二防护基准值;
第二判断模块,用于在启动CC攻击防护策略之后,将各个所述当前访问IP所产生的当前瞬时流量与所述第二防护基准值比较,并判断超过所述第二防护基准值的当前访问IP为异常流量IP。
9.一种计算机设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至6中任一项所述的CC攻击防护方法。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的CC攻击防护方法。
CN202111030776.4A 2021-09-03 2021-09-03 Cc攻击防护方法、系统、计算机设备及可读存储介质 Active CN113765914B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111030776.4A CN113765914B (zh) 2021-09-03 2021-09-03 Cc攻击防护方法、系统、计算机设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111030776.4A CN113765914B (zh) 2021-09-03 2021-09-03 Cc攻击防护方法、系统、计算机设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN113765914A true CN113765914A (zh) 2021-12-07
CN113765914B CN113765914B (zh) 2022-12-20

Family

ID=78792773

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111030776.4A Active CN113765914B (zh) 2021-09-03 2021-09-03 Cc攻击防护方法、系统、计算机设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN113765914B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114465756A (zh) * 2021-12-20 2022-05-10 中盈优创资讯科技有限公司 一种优化ddos安全防护方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109714311A (zh) * 2018-11-15 2019-05-03 北京天地和兴科技有限公司 一种基于聚类算法的异常行为检测的方法
US20190207973A1 (en) * 2016-11-23 2019-07-04 Tencent Technology (Shenzhen) Company Limited Website attack detection and protection method and system
CN110445808A (zh) * 2019-08-26 2019-11-12 杭州迪普科技股份有限公司 异常流量攻击防护方法、装置、电子设备
CN113067804A (zh) * 2021-03-15 2021-07-02 腾讯科技(深圳)有限公司 网络攻击的检测方法、装置、电子设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190207973A1 (en) * 2016-11-23 2019-07-04 Tencent Technology (Shenzhen) Company Limited Website attack detection and protection method and system
CN109714311A (zh) * 2018-11-15 2019-05-03 北京天地和兴科技有限公司 一种基于聚类算法的异常行为检测的方法
CN110445808A (zh) * 2019-08-26 2019-11-12 杭州迪普科技股份有限公司 异常流量攻击防护方法、装置、电子设备
CN113067804A (zh) * 2021-03-15 2021-07-02 腾讯科技(深圳)有限公司 网络攻击的检测方法、装置、电子设备及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114465756A (zh) * 2021-12-20 2022-05-10 中盈优创资讯科技有限公司 一种优化ddos安全防护方法及装置

Also Published As

Publication number Publication date
CN113765914B (zh) 2022-12-20

Similar Documents

Publication Publication Date Title
CN109951500B (zh) 网络攻击检测方法及装置
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
CN111010409B (zh) 加密攻击网络流量检测方法
CN109495423A (zh) 一种防止网络攻击的方法及系统
CN111565203B (zh) 业务请求的防护方法、装置、系统和计算机设备
CN106685899B (zh) 用于识别恶意访问的方法和设备
CN112165455A (zh) 数据访问控制方法、装置、计算机设备和存储介质
US11838319B2 (en) Hardware acceleration device for denial-of-service attack identification and mitigation
CN110351237B (zh) 用于数控机床的蜜罐方法及装置
CN113518064B (zh) 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质
CN106789486B (zh) 共享接入的检测方法、装置、电子设备及计算机可读存储介质
CN110858831B (zh) 安全防护方法、装置以及安全防护设备
CN109657463A (zh) 一种报文洪泛攻击的防御方法及装置
JP2018026747A (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
CN113765914B (zh) Cc攻击防护方法、系统、计算机设备及可读存储介质
CN112671736B (zh) 一种攻击流量确定方法、装置、设备及存储介质
CN108256327B (zh) 一种文件检测方法及装置
CN107528859B (zh) 一种DDoS攻击的防御方法及设备
CN112202821B (zh) 一种cc攻击的识别防御系统及方法
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
CN114679320A (zh) 一种服务器防护方法、装置及可读存储介质
CN112637171A (zh) 数据流量处理方法、装置、设备、系统和存储介质
CN111193689B (zh) 一种网络攻击处理方法、装置、电子设备及存储介质
CN111147497B (zh) 一种基于知识不对等的入侵检测方法、装置以及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant