[发明专利]一种基于编辑距离的TCP CC识别方法

说明书

本发明公开了一种基于编辑距离的TCP CC识别方法，在恶意连接到达服务器时，直接分析其发送的数据内容，因其为随机数据，必然与特征字节串不匹配，从而立即识别出恶意连接，而不是放行，当同一个恶意攻击者(IP)的连接次数达到阈值后，直接封锁该攻击者(IP)，在整个过程中，服务器上层业务不会收到任何随机数据(垃圾数据)，因而不会受到任何影响。本发明方法能够精准地识别攻击，降低误报率、漏报率，同时因其直接参与连接的过程，可以攻击较早的阶段即可识别阻断，无需等待连接结束后进行分析，极大地提高了识别的效率。

技术领域

本发明涉及CC攻击识别领域，特别是一种基于编辑距离的TCP CC识别方法。

背景技术

CC是指攻击者借助代理服务器生成指向受害主机的合法请求，实现DOS和伪装。CC攻击主要针对WEB应用程序比较消耗资源的地方进行疯狂请求，比如，论坛中的搜索功能，如果不加以限制，任由人搜索，普通配置的服务器在几百个并发请求下，MYSQL服务就会瘫痪。CC攻击的种类有三个，分别为直接攻击、代理攻击和僵尸网络攻击。

防御CC攻击可以通过多种方法，禁止网站代理访问，尽量将网站做成静态页面，限制连接数量，修改最大超时时间等。传统的TCP CC攻击识别主要通过计算单位时间请求数量或者单个IP的请求频率是否达到阈值来识别。其存在以下不足：1）如果将阈值设定较高，会有很多低频攻击无法识别；2）如果将阈值设定较低，会有很多正常请求被错误识别为攻击；3）攻击识别效率较低，需要在攻击已经产生后才开始识别攻击，并需要持续一段时间才能完成识别。

CC（Challenge Collapsar）攻击：DDoS攻击的一种，通过伪装合法请求进行攻击；

编辑距离（Edit Distance）：指两个字符串之间，由一个转成另一个所需的最少编辑操作次数。

发明内容

本发明所要解决的技术问题是提供一种基于编辑距离的TCP CC识别方法，对于相同的业务来说，其TCP连接的前N个字节基本是固定或者相似的，本方法通过提取TCP第一个数据包的内容，并将该内容与历史学习到的内容进行编辑距离的计算，依据计算结果识别TCP的CC攻击，提高识别的效率。

为解决上述技术问题，本发明采用的技术方案是：

一种基于编辑距离的TCP CC识别方法，包括以下步骤：

步骤1：设定初始的特征字节串S以及特征字节串长度为M，设定编辑距离的阈值为D，且M ≥ D ≥1；

步骤2：新连接到来时，接收前M个字节的数据，存放到缓冲区B中；

步骤3：计算特征字节串与缓冲区B中存放的内容的编辑距离d；

步骤4：比较编辑距离d与阈值D；

步骤5：若编辑距离d ≥阈值D，进行如下操作：

1）查找当前连接的源 IP 地址是否被缓存，若未被缓存则进行步骤2），否则进行步骤3）；

2）缓存源 IP 地址，并记录其对应的识别失败计数为1，记录该源 IP 地址 缓存超时时间为T；

3）判断该源 IP 地址的缓存超时时间T是否已超时，若超时则进行步骤4），否则进行步骤5）；

4）设置该源 IP 地址的缓存记录中的识别失败次数为1，并重置该记录缓存超时时间为T；

5）更新源IP地址缓存记录的识别失败计数加1；

6）判断该 源IP 地址缓存记录的识别失败次数是否超过配置的阈值，若超过则进行步骤7），否则关闭该连接，结束本次识别处理；

7）关闭该连接，删除该源IP地址的缓存记录，并将该源IP地址加入系统黑名单，阻止其连接请求；