[发明专利]识别洪水攻击的方法、装置及系统

说明书

技术领域

本发明涉及计算机网络通信技术，特别涉及一种识别洪水攻击的方法、装置及系统。 

背景技术

在现有技术中，HTTP Flood(Hyper Text Transfer Protocol Flood，超文本传输协议洪水)攻击是一种主要针对服务器进行攻击的方式。目前，防御HTTP Flood攻击的方法主要为基于重定向的防御方法。具体地，在客户端与服务器中间设置一防御设备，当客户端与服务器建立TCP连接后，客户端为访问URL而开始向服务器发送HTTP请求信息，防御设备在获取到所述HTTP请求信息后，对所述HTTP请求信息进行重定向以生成重定向HTTP请求信息，并将所述重定向HTTP请求信息发送至客户端；这里需说明的是，根据HTTP的相关规定，客户端获取到防御设备发出的重定向HTTP请求信息后，会根据重定向HTTP请求信息再次发送另一HTTP请求信息，在客户端没有进行HTTP Flood攻击的前提下，防御设备所获取的来自客户端的另一HTTP请求信息正是防御设备所发送的重定向HTTP请求信息，称为重定向成功返回；在本技术方案中，防御设备判断所述重定向HTTP请求信息是否从所述客户端成功返回，若否，说明客户端正在进行HTTP Flood攻击，则由防御设备发送TCP断开信息至服务器，由服务器断开先前建立的客户端与服务器的TCP连接，以此来防御客户端对服务器所进行的HTTP Flood攻击。 

但发明人发现当黑客利用现有攻击软件进行HTTP Flood攻击时，由于现有攻击软件是利用浏览器发起HTTP Flood攻击的，浏览器会执行HTTP的相关规定，能发送具有攻击意图的HTTP请求信息，并且重定向具有攻击意图的 HTTP请求信息都是成功返回的，因此上述基于重定向的防御方法无法对类似攻击软件发起的HTTP Flood攻击进行防御。 

发明内容

本发明实施例的目的是提供一种识别HTTP Flood攻击的方法、装置及系统，有效提高识别利用浏览器而发起的HTTP Flood攻击的准确率。 

为实现上述目的，本发明实施例提供了一种识别HTTP Flood攻击的方法，包括： 

获得客户端发送的第一HTTP请求信息，在预置时间段内，客户端发送了多个相同的第一HTTP请求信息； 

根据所述第一HTTP请求信息，生成重定向HTTP请求信息和Cookie变量，并将所述重定向HTTP请求信息和Cookie变量发送至所述客户端； 

判断所述重定向HTTP请求信息是否从所述客户端成功返回，若是，则获取从所述客户端返回的所述Cookie变量，所述Cookie变量为预置时间段内每个第一HTTP请求信息在防御设备所生成的Cookie变量； 

在预置时间段内统计同一所述客户端所返回的所述Cookie变量的个数，并判断所述Cooki e变量的个数是否大于预置的阈值，若是，则识别洪水攻击发生。 

进一步地，本发明实施例还提供了一种识别HTTP Flood攻击的装置，包括： 

获得单元，用于获得客户端发送的第一HTTP请求信息，在预置时间段内，客户端发送了多个相同的第一HTTP请求信息； 

处理单元，用于根据所述第一HTTP请求信息，生成重定向HTTP请求信息和Cookie变量，并发送至所述客户端； 

第一判断单元，用于判断所述重定向HTTP请求信息是否从所述客户端成功返回； 

获取单元，用于当所述第一判断单元判断所述重定向HTTP请求信息从所述客户端成功返回时，获取从所述客户端返回的所述Cookie变量，所述Cookie变量为预置时间段内每个第一HTTP请求信息在防御设备所生成的Cookie变量； 

统计单元，用于在预置时间段内统计同一所述客户端所返回的所述 Cookie变量的个数； 

第二判断单元，用于判断所述Cookie变量的个数是否大于预置的阈值； 

识别单元，用于当所述第二判断单元判断出所述Cookie变量的个数大于所述预置的阈值时，识别HTTP Flood攻击发生。 

再进一步地，本发明实施例还提供了一种识别HTTP Flood攻击的系统，包括： 

客户端，用于发送第一HTTP请求信息，在预置时间段内，客户端发送了多个相同的第一HTTP请求信息；获得重定向HTTP请求信息和Cooki e变量；生成包含所述Cookie变量的第二HTTP请求信息发送至防御设备；