[发明专利]CC攻击的检测方法、装置及电子设备

说明书

本发明提供了一种CC攻击的检测方法、装置及电子设备，涉及网络异常检测的技术领域，其中，该CC攻击的检测方法包括：设置次数窗口尺寸和次数窗口的单次滑动距离；按照次数窗口设置依次计算次数窗口在每个滑动位置的信息熵值；若任一滑动位置的信息熵值小于预设信息熵阈值，则判定次数窗口在滑动位置处发生CC攻击。该方法通过次数窗口模型和信息熵算法，能够更快地发现网络异常状况，具备更强的实时检测能力；且该方法采用请求访问次数的维度来定义滑动窗口，可有效避免因为单位时间内请求次数不同造成的熵值差异，检测结果更加准确。

技术领域

本发明涉及CC攻击的检测领域，尤其是涉及一种CC攻击的检测方法、装置、系统及电子设备。

背景技术

CC(Challenge Collapsar)攻击是一种针对应用层WEB服务的攻击方法。CC攻击的目的是以耗尽服务器资源造成拒绝服务。

CC攻击的原理并不复杂，它利用应用层的弱点进行攻击。网站中性能不优的数据查询，不良的程序执行结构，以及比较消耗资源的功能等，都可能成为CC攻击的目标。例如，论坛的搜索功能，需要消耗大量的数据库查询时间和系统资源。攻击者通过频繁调用搜索功能，使查询请求累积不能立即完成，资源无法释放，导致数据库请求连接过多，数据库阻塞，网站无法正常打开。

目前，现有的CC攻击的检测方法主要包括以下几种：

1、采用Cookie认证检测CC攻击，缺点是无法识别改进后的攻击行为。

2、通过HTTP_X_FORWARDED_FOR变量检测，缺点是不适用于检测利用不发送HTTP_X_FORWARDED_FOR变量的代理服务器进行攻击的行为。

3、通过访问请求重定向方式进行检测，缺点是无法检测出攻击者使用可以响应页面重定向指令的攻击软件进行攻击的行为，而且也易造成误判。

4、通过阈值来进行检测，例如均值与标准差模型，但是无法检测复杂而多样的CC攻击；马尔科夫转移状态模型，适用于变量未连续参数的情况，对于样本为离散值无法获得有效结果。

综上，现有的CC攻击的检测方法存在无法识别或识别率较低的问题。

发明内容

有鉴于此，本发明的目的在于提供CC攻击的检测方法、装置及电子设备，以缓解或部分缓解了现有技术中存在的CC攻击无法识别或识别率较低的技术问题。

第一方面，本发明实施例提供了一种CC攻击的检测方法，包括：

设置次数窗口尺寸和次数窗口的单次滑动距离；

按照次数窗口设置依次计算所述次数窗口在每个滑动位置的信息熵值；

若任一滑动位置的信息熵值小于预设信息熵阈值，则判定所述次数窗口在所述滑动位置处发生CC攻击。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，

所述按照次数窗口设置依次计算所述次数窗口在每个滑动位置的信息熵值，包括：

对于每个滑动位置：

获取所述次数窗口在次数窗口尺寸范围内的各类URL请求的请求次数；

根据次数窗口尺寸、各类URL请求的请求次数，计算得到各类URL请求在次数窗口尺寸范围内的出现概率；

基于各类URL请求的出现概率计算次数窗口的信息熵值。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第二种可能的实施方式，其中，利用下列算式计算各类URL请求在次数窗口尺寸范围内的出现概率：

P_i＝T_i/A