[发明专利]一种基于统计学方法的cc攻击检测的方法

说明书

本发明公开了一种基于统计学方法的cc攻击检测的方法，包括：A.按照访问日志中的domain字段对访问请求进行分组，统计每个相同domain下每个ip的访问次数；B.设定访问上限值，判定内相同domain下访问次数超过访问上限值的ip为访问次数过多ip；C.计算该访问次数过多ip的平均访问阈值，若访问次数过多ip的的访问次数超过平均访问阈值则判定访问次数过多ip为疑似异常ip；D.对疑似异常ip的内各次访问间的间隔时间进行计算，设定间隔阈值，若疑似异常ip的访问间的间隔时间小于间隔阈值则判定该疑似异常ip为访问过快ip。本发明的方法通过对访问日志进行ip访问频率，连续时间间隔序列内访问频率进行统计，采用iqr异常检测算法进行快速高效的CC攻击检测。

技术领域

本发明涉及信息安全领域异常检测技术领域，特别涉及一种基于统计学方法的cc攻击检测的方法。

背景技术

CC(Challenge Collapsar)攻击是一种通过大量代理服务器发起的HTTP请求的应用层DDOS攻击，其原理是对一些消耗资源较高的页面不断的发起请求，以消耗服务器资源，导致Web应用访问速度慢甚至造成服务器无法正常连接，其特点是攻击源IP很分散但又是真实的，而其数据包又是正常的请求行为，所以无法通过数据包本身的分析来检测CC攻击。

现有的防CC攻击一般是通过人为统计IP的访问频率，对访问的IP频率进行限制，或者设定一个全局的IP频率阈值，当某IP访问时超过该阈值就会被认定为攻击，基于阈值防CC攻击的方法的弊端是，无法确定适当的阈值，阈值过高无法拦住攻击，阈值过低又会导致频繁误封，影响使用者的正常使用体验。

现有的基于机器学习的CC攻击检测方法，是通过积累大量的访问请求数据，使用机器学习算法训练算法模型，给定阈值进行自动检测CC攻击。但这种方法的弊端是方法成熟前需要积累大量访问数据用以训练模型，使用过程中仍需要辅助优化模型效果。结合不同的业务场景，模型需要对应的调整，普适性不足。

发明内容

本发明的目的是克服上述背景技术中不足，提供一种基于统计学方法的cc攻击检测的方法，通过对访问日志进行ip访问频率，连续时间间隔序列内访问频率进行统计，采用iqr异常检测算法进行快速高效的CC攻击检测。

为了达到上述的技术效果，本发明采取以下技术方案：

一种基于统计学方法的cc攻击检测的方法，包括以下步骤：

A.按照访问日志中的domain字段对访问请求进行分组，对于分组后的各组数据再按照客户端ip进行分组，并统计当前时间段每个相同domain下每个ip的访问次数；其中，访问日志中至少需要在单条日志数据中包含client_ip(访问客户端ip)，domain(访问域名)，timestamp(访问时间戳)，三个维度的数据，实际中也可在此基础上增加数据维度，得到更高的精度；

B.设定访问上限值，判定当前时间段内相同domain下访问次数超过访问上限值的ip为访问次数过多ip；

C.计算该访问次数过多ip的平均访问阈值，若访问次数过多ip的当前时间段的访问次数超过平均访问阈值则判定访问次数过多ip为疑似异常ip；

D.对疑似异常ip的当前时间段内各次访问间的间隔时间进行计算，设定间隔阈值，若疑似异常ip的访问间的间隔时间小于间隔阈值则判定该疑似异常ip为访问过快ip；

本发明提供的基于统计学方法的cc攻击检测的方法，可有效克服现有人工统计封禁IP方法中操作不便，需要大量人工参与的不足，而使用机器学习方法又需要做数据积累和模型调整耗时的问题，过对访问日志进行ip访问频率，连续时间间隔序列内访问频率进行统计，采用iqr异常检测算法进行快速高效的CC攻击检测。

进一步地，所述步骤B中访问上限值的设定如下：