[发明专利]一种基于编辑距离的TCP CC识别方法有效
申请号: | 201710792548.8 | 申请日: | 2017-09-05 |
公开(公告)号: | CN107547547B | 公开(公告)日: | 2020-06-02 |
发明(设计)人: | 陈海洋;叶兴;张文宇;吴文林;郑斌 | 申请(专利权)人: | 成都知道创宇信息技术有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 成都禾创知家知识产权代理有限公司 51284 | 代理人: | 裴娟 |
地址: | 610000 四川省成*** | 国省代码: | 四川;51 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 基于 编辑 距离 tcp cc 识别 方法 | ||
本发明公开了一种基于编辑距离的TCP CC识别方法,在恶意连接到达服务器时,直接分析其发送的数据内容,因其为随机数据,必然与特征字节串不匹配,从而立即识别出恶意连接,而不是放行,当同一个恶意攻击者(IP)的连接次数达到阈值后,直接封锁该攻击者(IP),在整个过程中,服务器上层业务不会收到任何随机数据(垃圾数据),因而不会受到任何影响。本发明方法能够精准地识别攻击,降低误报率、漏报率,同时因其直接参与连接的过程,可以攻击较早的阶段即可识别阻断,无需等待连接结束后进行分析,极大地提高了识别的效率。
技术领域
本发明涉及CC攻击识别领域,特别是一种基于编辑距离的TCP CC识别方法。
背景技术
CC是指攻击者借助代理服务器生成指向受害主机的合法请求,实现DOS和伪装。CC攻击主要针对WEB应用程序比较消耗资源的地方进行疯狂请求,比如,论坛中的搜索功能,如果不加以限制,任由人搜索,普通配置的服务器在几百个并发请求下,MYSQL服务就会瘫痪。CC攻击的种类有三个,分别为直接攻击、代理攻击和僵尸网络攻击。
防御CC攻击可以通过多种方法,禁止网站代理访问,尽量将网站做成静态页面,限制连接数量,修改最大超时时间等。传统的TCP CC攻击识别主要通过计算单位时间请求数量或者单个IP的请求频率是否达到阈值来识别。其存在以下不足:1)如果将阈值设定较高,会有很多低频攻击无法识别;2)如果将阈值设定较低,会有很多正常请求被错误识别为攻击;3)攻击识别效率较低,需要在攻击已经产生后才开始识别攻击,并需要持续一段时间才能完成识别。
CC(Challenge Collapsar)攻击:DDoS攻击的一种,通过伪装合法请求进行攻击;
编辑距离(Edit Distance):指两个字符串之间,由一个转成另一个所需的最少编辑操作次数。
发明内容
本发明所要解决的技术问题是提供一种基于编辑距离的TCP CC识别方法,对于相同的业务来说,其TCP连接的前N个字节基本是固定或者相似的,本方法通过提取TCP第一个数据包的内容,并将该内容与历史学习到的内容进行编辑距离的计算,依据计算结果识别TCP的CC攻击,提高识别的效率。
为解决上述技术问题,本发明采用的技术方案是:
一种基于编辑距离的TCP CC识别方法,包括以下步骤:
步骤1:设定初始的特征字节串S以及特征字节串长度为M,设定编辑距离的阈值为D,且M ≥ D ≥1;
步骤2:新连接到来时,接收前M个字节的数据,存放到缓冲区B中;
步骤3:计算特征字节串与缓冲区B中存放的内容的编辑距离d;
步骤4:比较编辑距离d与阈值D;
步骤5:若编辑距离d ≥阈值D,进行如下操作:
1)查找当前连接的源 IP 地址是否被缓存,若未被缓存则进行步骤2),否则进行步骤3);
2)缓存源 IP 地址,并记录其对应的识别失败计数为1,记录该源 IP 地址 缓存超时时间为T;
3)判断该源 IP 地址的缓存超时时间T是否已超时,若超时则进行步骤4),否则进行步骤5);
4)设置该源 IP 地址的缓存记录中的识别失败次数为1,并重置该记录缓存超时时间为T;
5)更新源IP地址缓存记录的识别失败计数加1;
6)判断该 源IP 地址缓存记录的识别失败次数是否超过配置的阈值,若超过则进行步骤7),否则关闭该连接,结束本次识别处理;
7)关闭该连接,删除该源IP地址的缓存记录,并将该源IP地址加入系统黑名单,阻止其连接请求;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于成都知道创宇信息技术有限公司,未经成都知道创宇信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710792548.8/2.html,转载请声明来源钻瓜专利网。