技術領域

本發明涉及互聯網安全領域，特別是涉及一種拒絕服務攻擊的識別方法和裝置。

背景技術

拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問，是黑客常用的攻擊手段之一。利用大量超出響應能力的請求消耗大量攻擊目標的資源，這些資源包括磁盤空間、內存、進程甚至網絡帶寬，從而阻止正常用戶的訪問。嚴重時可以使某些服務被暫停甚至主機死機。

作為拒絕服務攻擊的一種，CC攻擊（Challenge?Collapsar，挑戰黑洞攻擊），是利用不斷對網站發送連接請求致使形成拒絕服務的目的的一種惡意攻擊手段。其原理為模擬多個用戶不停地進行訪問那些需要大量數據操作的頁面，造成目標主機服務器資源耗盡，一直到宕機崩潰。

由于CC攻擊的攻擊方式是通過模擬用戶的訪問請求，難以進行區分，而且CC攻擊的技術門檻較低，利用一些工具和一定熟練數量的代理IP就可以進行攻擊，而且CC攻擊的攻擊效果明顯。

現有技術中針對拒絕服務攻擊，特別是CC攻擊的處理方案，主要禁止網站代理訪問，限制連接數量，盡量將網站做成靜態頁面等方法進行，然而以上禁止代理訪問和限制連接數量的方法會影響正常用戶訪問網站，另外由于網頁的類型和內容的限制，也無法將網頁全部設置為靜態頁面，而且這種方式也不能消除CC攻擊的效果。針對現有技術中無法準確識別拒絕服務攻擊的問題，目前尚未提出有效的解決方案。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的拒絕服務攻擊的識別裝置和相應的拒絕服務攻擊的識別方法。本發明一個進一步的目的是要識別出針對目標主機的拒絕服務攻擊。

依據本發明的一個方面，提供了一種拒絕服務攻擊的識別方法。該拒絕服務攻擊的識別方法包括以下步驟：獲取在第一預定時間段內向目標主機發出的訪問請求總量，記為第一請求量；判斷第一請求量是否超出閾值，閾值通過對目標主機的訪問量進行統計得出；若是，確定目標主機受到拒絕服務攻擊。

可選地，閾值的統計計算步驟包括：每間隔第一預定時間段記錄一次第一請求量，得到多個第一請求量；從多個第一請求量中按照預設規則挑選出多個樣本值；計算多個樣本值的平均值，根據平均值設定閾值。

可選地，從多個第一請求量中按照預設規則挑選出多個樣本值包括：選取在第二預定時間段內產生的多個第一請求量，第二預定時間段為第一預定時間段的整數倍，將在第二預定時間段內產生的多個第一請求量中的最大值記為第二請求量；在連續多個第二預定時間段內分別挑選得出多個第二請求量，并從多個第二請求量中濾除偏差較大的數據后，得到多個樣本值。

可選地，根據平均值設定閾值包括：計算平均值與預定系數的乘積，預定系數的取值范圍為：1.05至1.3；將乘積作為閾值。

可選地，獲取在第一預定時間段內向目標主機發出的訪問請求總量包括：讀取與目標主機數據連接的網頁應用防護系統的運行日志文件；統計在第一預定時間段內運行日志文件中記錄的向目標主機發出的訪問請求，得到第一請求量。

可選地，在確定目標主機受到拒絕服務攻擊之后還包括：對向目標主機發出訪問請求的請求方發送驗證信息，并接收請求方的后續請求信息；判斷后續請求信息是否與驗證信息匹配，若是，將請求方的訪問請求發送給目標主機。

可選地，在確定目標主機受到惡意攻擊之后還包括：對運行日志文件進行分析，得出請求量存在異常的向目標主機發出訪問請求的請求方；過濾請求方發出的訪問請求。

根據本發明的另一個方面，還提供了一種拒絕服務攻擊的識別裝置。該拒絕服務攻擊的識別裝置包括：訪問請求獲取模塊，用于獲取在第一預定時間段內向目標主機發出的訪問請求總量，記為第一請求量；判斷模塊，用于判斷第一請求量是否超出閾值，閾值通過對目標主機的訪問量進行統計得出；識別模塊，用于在判斷模塊的輸出為是的情況下，確定目標主機受到拒絕服務攻擊。

可選地，該拒絕服務攻擊的識別裝置還包括：閾值統計模塊，用于每間隔第一預定時間段記錄一次第一請求量，得到多個第一請求量；從多個第一請求量中按照預設規則挑選出多個樣本值；計算多個樣本值的平均值，根據平均值設定閾值。

閾值統計模塊被配置為：選取在第二預定時間段內產生的多個第一請求量，第二預定時間段為第一預定時間段的整數倍，將在第二預定時間段內產生的多個第一請求量中的最大值記為第二請求量；在連續多個第二預定時間段內分別挑選得出多個第二請求量，并從多個第二請求量中濾除偏差較大的數據后，得到多個樣本值；計算平均值與預定系數的乘積，預定系數的取值范圍為：1.05至1.3；將乘積作為閾值。