基于日志分析的cc攻击识别方法和设备的制作方法

基于日志分析的cc攻击识别方法和设备的制作方法【专利摘要】本发明涉及一种基于日志分析的CC攻击识别方法和设备，其中一种基于日志分析的CC攻击识别方法，包括：获取日志中的IP请求信息；基于名单、攻击特征库对所述IP请求信息进行综合分析并输出分析结果，基于所述分析结果来进行如下识别：如果所述分析结果为“正常”，则将IP请求识别为正常请求并且放行所述IP请求，否则将所述IP请求识别为CC攻击并且将所述IP请求信息中的源IP添加到黑名单中、拦截来自所述源IP的请求并且自动从所述IP请求信息中提取特征加入所述攻击特征库。【专利说明】基于日志分析的cc攻击识别方法和设备【
技术领域：
】[0001]本发明总体上涉及计算机网络安全，尤其涉及一种基于日志分析的CC攻击识别方法。【
背景技术：
】[0002]近些年，随着互联网的急速发展，各种网络应用和网络攻击也日益增长，这造成网络环境的复杂化。而且，为客户提供改善体验的各种网络架构和应用越来越多，这在方便客户的同时也方便了网络攻击者。其中，⑶N(全称是ContentDeliveryNetwork,即内容分发网络）的发展逐渐加速。CDN的基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输得更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点。其目的是使用户可就近取得所需内容，解决Internet网络拥挤的状况，提高用户访问网站的响应速度。[0003]同网络上的其他网元一样，⑶N系统节点同样易遭受网络攻击，从而导致所提供的服务质量下降甚至完全拒绝服务的后果。为此，识别并进而防止对CDN节点的攻击对于这一网络技术的应用而言是极为重要的。[0004]在网络攻击中，分布式拒绝服务攻击（英文缩写DDOS:DistributedDenialofService)是较为普遍并能够造出严重损失的一种攻击形式。DD0S的攻击方式有很多种，最基本的DOS攻击就是利用合理的网络攻击服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DD0S攻击手段是在传统的DOS攻击基础之上产生的一类攻击方式。单一的DOS攻击一般采用一对一方式，当攻击目标的各项性能指标不高时，诸如CPU速度低、内存小或者网络带宽小等等，它的攻击效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DOS攻击的困难程度加大-目标对恶意攻击包的"消化能力"加强了不少，例如攻击软件每秒钟可以发送3,000个攻击包，但主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。[0005]因此，分布式拒绝服务DD0S攻击就应运而生，其借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DOS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DD0S主控程序安装在一个计算机上，在一个设定的时间，主控程序将与大量已经被安装在Internet上的许多计算机上的代理程序通信。代理程序收到指令时就同时发动攻击，从而利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。[0006]CC攻击是DD0S攻击的一种，相比其他的DD0S攻击CC攻击更有技术含量，其难以防范的一个主要原因在于会自我伪装。CC攻击的原理同样是攻击者控制某些主机不停地高频率访问目标网站，从而造成服务器资源耗尽，一直到宕机崩溃，从而造成拒绝服务的目的，使得被攻击网站无法正常提供服务。[0007]目前广泛应用的CC攻击识别方法一般是通过对网站一段时间内所有IP访问者的IP进行汇总，从而将访问量过大从而明显异常的访问识别为CC攻击源IP。但是，攻击源IP会突然调频率访问，在一定时间内产生很多访问。在这种情况下，如果正常访问已经积累了很长时间，也会产生很多访问，则与攻击IP数量相比，无明显差异。这种方法的缺陷在于在大量攻击源同时攻击网站时，攻击源IP与正常请求IP差异性较小，无明显特征，从而造成无法直接识别出攻击源IP。而且，这种传统识别方法无法实时性地进行分析，从而造成当面临攻击时，不能及时响应。[0008]另一方面，传统的CC攻击识别技术在公有CDN应用过程中无法进行有效识别。因为如果攻击者通过多攻击源同时向多个网站进行攻击，则虽然各个网站受到的攻击是相互独立的，但由于该类站点使用公有CDN，最终攻击目标实际上是公有CDN服务器。所以，在公有CDN服务器中，当攻击影响到CDN节点稳定性时，将造成源网站无法访问。这类攻击由于分散于多个网站，仅对单一网站进行统计的传统的CC攻击源IP识别技术在该类应用场景中将无法有效定位攻击者源IP，从而无法有效对攻击进行防御。[0009]CC攻击种类繁多，攻击者为了逃避各种CC攻击识别技术的拦截，会对攻击源的请求进行伪装。针对这一伪装，虽然目前现有技术已经在通过对请求IP的访问行为进行特征匹配从而进行防护，但由于此类方法往往一次性指定好规则就长期使用，期间并不进行规则进行更新等改变，所以对于不断变化的CC攻击无法立即进行识别防护。【
发明内容】[0010]本发明提供基于日志分析的CC攻击识别方法和设备。[0011]在本发明的第一方面中，基于日志分析的CC攻击识别方法包括：获取日志中的IP请求信息；基于名单、攻击特征库对所述IP请求信息进行综合分析并输出分析结果，基于所述分析结果来进行如下识别：如果所述分析结果为"正常"，则将IP请求识别为正常请求并且放行所述IP请求，否则将所述IP请求识别为CC攻击并且将所述IP请求信息中的源IP添加到黑名单中、拦截来自所述源IP的请求并且自动从所述IP请求信息中提取特征加入所述攻击特征库。[0012]根据一个优选实施例，在所述方法中，对所述IP请求信息进行综合分析包括以下步骤：将所述IP请求信息中的源IP与黑名单进行匹配，如果所述源IP与所述黑名单中的任一源IP匹配，则输出分析结果为"匹配"；如果所述源IP与所述黑名单中的任一源IP不匹配，则统计所述源IP最近的访问频度并与源IP访问频度阈值进行比较，如果超过所述源IP访问频度阈值，则输出分析结果为"超过阈值"，如果没有超过所述源IP访问频度阈值，则从所述IP请求信息中提取HTTP头信息并且与所述HTTP头信息频度阈值进行比较；如果超过所述HTTP头信息频度阈值，则输出分析结果为"超过阈值"，如果没有超过所述HTTP头信息频度阈值，则将所述IP请求信息中的请求内容与所述攻击特征库进行匹配；如果所述请求内容与特征库匹配成功，则输出分析结果为"匹配"，否则输出分析结果为"正常"。[0013]根据一个优选实施例，在所述方法中，提取的特征包括来自所述IP请求信息中的目标网站URL、浏览器标识User-Agent、访问来源Referrer以及访问IP。[0014]根据一个优选实施例，在所述方法中，所述源IP访问频度阈值由系统预先确定或者由用户预先指定。[0015]根据一个优选实施例，在所述方法中，所述HTTP头信息频度阈值由系统预先确定或者由用户预先指定。[0016]根据一个优选实施例，所述方法进一步包括针对添加到所述黑名单中的源IP的有效性进行审核。[0017]根据一个优选实施例，所述方法进一步包括基于审核结果向防火墙添加阻止规则来利用防火墙拦截。[0018]根据一个优选实施例，所述方法进一步包括定时清空添加的阻止规则以便减少误报所产生的影响。[0019]根据一个优选实施例，在所述方法中，确定频度所依据的单位时间按照需要变化。[0020]根据一个优选实施例，所述方法进一步包括对所述攻击特征库中的特征进行添力口、修改或删除。[0021]在本发明的第二方面中，本发明还提供一种基于日志分析的CC攻击识别的设备，包括：获取装置，用于获取日志中的IP请求信息；分析装置，用于基于名单、攻击特征库对所述IP请求信息进行综合分析并输出分析结果，识别装置，用于基于所述分析结果来进行如下识别：如果所述分析结果为"正常"，则将IP请求识别为正常请求并且放行所述IP请求，否则将所述IP请求识别为CC攻击并且将所述IP请求信息中的源IP添加到黑名单中、拦截来自所述源IP的请求并且自动从所述IP请求信息中提取特征加入所述攻击特征库。[0022]根据一个优选实施例，在该设备中，所述分析装置还包括：黑名单匹配装置，用于将所述IP请求信息中的源IP与黑名单进行匹配，如果所述源IP与所述黑名单中的任一源IP匹配，则输出分析结果为"匹配"；IP访问频度比较装置，用于如果所述源IP与所述黑名单中的任一源IP不匹配，则统计所述源IP最近的访问频度并与源IP访问频度阈值进行比较，如果超过所述源IP访问频度阈值，则输出分析结果为"超过阈值"，HTTP头信息比较装置，用于如果没有超过所述源IP访问频度阈值，则从所述IP请求信息中提取HTTP头信息并且与所述HTTP头信息频度阈值进行比较；如果超过所述HTTP头信息频度阈值，则输出分析结果为"超过阈值"，攻击特征库匹配装置，用于如果没有超过所述HTTP头信息频度阈值，则将所述IP请求信息中的请求内容与所述攻击特征库进行匹配；如果所述请求内容与特征库匹配成功，则输出分析结果为"匹配"，否则输出分析结果为"正常"。[0023]根据一个优选实施例，在所述设备中，提取的特征包括来自所述IP请求信息中的目标网站URL、浏览器标识User-Agent、访问来源Referrer以及访问IP。[0024]根据一个优选实施例，在所述设备中，所述源IP访问频度阈值由系统预先确定或者由用户预先指定。[0025]根据一个优选实施例，在所述设备中，所述HTTP头信息频度阈值由系统预先确定或者由用户预先指定。[0026]根据一个优选实施例，所述设备进一步包括审核装置，用于针对添加到所述黑名单中的源IP的有效性进行审核。[0027]根据一个优选实施例，所述设备进一步包括添加装置，用于基于审核结果向防火墙添加阻止规则来利用防火墙拦截。[0028]根据一个优选实施例，所述设备进一步包括清空装置，用于定时清空添加的阻止规则以便减少误报所产生的影响。[0029]根据一个优选实施例，在所述设备中，确定频度所依据的单位时间按照需要变化。[0030]根据一个优选实施例，所述设备进一步包括攻击特征库管理装置，用于对所述攻击特征库中的特征进行添加、修改或删除。[0031]本发明实现了根据日志分析识别CC攻击源，并支持学习功能以自适应地识别CC攻击源。因此，本发明具有以下优势：1)多种分析策略自动识别CC攻击内容；2)将识别出的CC攻击源添加进黑名单，防火墙自动过滤源IP;3)自动记录识别出的CC攻击特征，并供日志分析调用，达到自动学习的目的；4)人工可以操作特征库，更正自动学习内容。【专利附图】【附图说明】[0032]下面参考结合附图所进行的下列描述，以便更透彻地理解本公开内容，在附图中：图1是根据本发明实施例的基于日志分析的CC攻击识别方法的流程图；图2是识别CC攻击时综合分析的流程图；图3是根据本发明实施例的基于日志分析的CC攻击识别设备的框图。【具体实施方式】[0033]下面将详细描述本发明的具体实施例，在附图中示出了本发明的实施例。然而，可以以许多不同形式来体现本发明，并且不应将其理解为局限于本文阐述的实施例。相反，提供这些实施例使得本公开将是透彻和完整的，并将向本领域的技术人员全面传达本发明的范围。相同的附图标记自始至终指示相同的元素。[0034]应理解的是，虽然术语"第一"、"第二"等在本文中可以用来描述各种元素，但这些元素不应受到这些术语的限制。这些术语仅用来将一个元素与另一个区别开。[0035]本文所使用的术语仅仅是出于描述特定实施例的目的，并且并不意图限制本发明。除非上下文明确指明，本文所使用的单数形式"一个"、"一种"和"该"意图也包括复数形式。还应理解的是当在本文中使用时，术语"包括"和/或"包含"指定所述特征、整体、步骤、操作、元素和/或组件的存在，但是不排除一个或多个其他特征、整体、步骤、操作、元素、组件和/或其群组的存在或添加。[0036]除非另外定义，本文所使用的所有术语(包括技术和科学术语）具有与本发明所属领域的普通技术人员一般理解的相同的意义。还应理解的是应将本文所使用的术语解释为具有与其在本说明书和相关领域的上下文中的意义一致的意义，并且不应以理想化或过度形式化的意义来进行解释，除非在本文中明确地这样定义。[0037]下面结合附图对本发明的实施例进行描述。[0038]图1是根据本发明实施例的基于日志分析的CC攻击识别方法的流程图。[0039]在图1中，示出了该方法所包括的三个步骤：步骤S101，获取日志中的IP请求信息。步骤S102,基于名单、攻击特征库对IP请求信息进行综合分析并输出分析结果。步骤S103,基于分析结果来进行如下识别：如果分析结果为"正常"，则将IP请求识别为正常请求并且放行IP请求，否则将该IP请求识别为CC攻击并且将该IP请求信息中的源IP添加到黑名单中、拦截来自该源IP的请求并且自动从改IP请求信息中提取特征加入所述攻击特征库。[0040]下面对这一方法进行详细说明。一般而言，在日常访问中，访问痕迹一般由日志存储。所以在步骤S101中，需要从该日志中获取IP请求信息以便进行分析。[0041]一般的⑶N日志格式和内容如下：2011-01-0215:55:01122.245.127.73，r/down,xxxyyyy.net/xzzx/hlsp/\xb8\xdf\xd6\xd0\xc9\xfa\xce\xef\xbl\xd8\xd0\xde2\xc8\xbe\xc9\xab\xcc\xe5\xbl\xe4\xd2\xec(\xb6\xfe).avi〃206115685673316812〃http://www.xxxyyyy.com/downlist.asp?sid=12814&classid=17356&tinyclassid=l7374&dhbig=\xbb\xc6\xb8\xd4\xbf\xce\xcc\xc3&dhsmall=\xb8\xdf\xd6\xd0\xbl\xd8\xd0\xde2&dhtiny=\xc9\xfa\xce\xef&title=\xca\xd3\xc6\xb5\xdl\xa7\xcf\xb0xbb\xfaHl&mode=6846//"Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;SV1;.NETCLR1.1.4322;·NETCLR2.0·50727)"以上日志是示例性的。该日志记载了请求时间、请求IP等信息可供以后分析。[0042]在步骤S102中，根据本发明的识别CC攻击的方法可以基于名单和攻击特征库来对从日志中提取的信息进行分析，并输出分析的结果。其中，名单可以包括白名单和黑名单。一般而言，白名单可以存储不需要进行CC识别的请求特征，比如针对某网站的请求或者对指定访问来源不进行识别。相反地，黑名单可以存储被认定为是CC攻击源的IP地址，以进行过滤。攻击特征库可以存储被识别为CC攻击源IP的某些特征，以在后续过程中促进对某些特征的识别，从而提高识别效率。如本领域技术人员应该理解的那样，可以使用对访问的源IP进行各种分类的名单，而不限于白名单和黑名单。例如，可以设置有灰名单以对暂时不能处理的访问来源IP进行存储等。[0043]根据本发明的方法对CC攻击进行识别相对于现有技术具有可以自动学习，动态地自适应识别等优势。因为CC攻击种类繁多，攻击者为了逃避各种CC攻击识别技术的拦截，会进行攻击源请求的伪装，虽然目前现有技术部分已经在通过请求IP的访问行为进行特征匹配从而进行防护，但由于这种方法往往一次性规则制定完毕，长期有效，所以对于不断变化的CC攻击无法立即进行识别防护。然而，根据本发明的方法可以应付不断变化的CC攻击，而不会由于在攻击后进行人工识别、未更新的防护规则而无法第一时间防范可能已经变化的CC攻击。而且，本领域技术人员应该清楚，根据本发明的方法可以应付针对网络节点的所有类似的攻击形式，而不仅仅限于防范针对CDN节点的CC攻击。[0044]在步骤S103中，根据分析结果可以对请求信息做出最终的识别并在识别出攻击源后进行某些必要处理，以维持本方法的自我学习和进化的特点。[0045]在本实施例中，如果分析结果为"正常"，则说明方法认定所分析的IP请求信息无异常之处，也即并没有体现出一般CC攻击所应该体现出来的迹象，那么根据本方法就将该IP请求识别为"正常"请求，即非CC攻击请而放行，使其可以进行正常访问。[0046]相反，如果最终分析结果不是"正常"，则说明根据本发明的方法认为IP请求信息中存在异常之处，也即其中体现出了CC攻击所具有的特征，那么根据本发明的方法将该IP请求识别为CC攻击。并且，为了在未来可以对类似的可能CC攻击进行自动识别，或对相应的攻击源提高警惕，根据本发明的方法在将IP请求识别为CC攻击后，还可以将该IP请求信息中的源IP添加到黑名单中、拦截来自该源IP的请求并且自动从该IP请求信息中提取特征加入所述攻击特征库。[0047]注意最后一步，其可以从该被识别为CC攻击请求的IP请求的信息中提取特征加入攻击特征库。这样，攻击特征库就可以存储新近发现的攻击特征，从而具有了对攻击特征不断存储、学习的能力。这就为后续的识别提供了便利，有效地提高了识别方法的效率。[0048]本领域技术人员应该理解，本方法中的诸如白名单、黑名单以及攻击特征库等用于存储数据的形式可以采用关系数据库、文本文件、文件目录以及能够存储各种信息的任何形式。[0049]而且，本领域技术人员还应该理解，上述参考附图对本发明的描述仅为示例性而并非对本发明范围的限制。各个步骤的顺序也是示例性的而并非限制性的，甚至可以在某些情况下省略一些步骤或添加一些步骤。例如，在多个识别过程同时进行时，可以使步骤S101的获取动作与后续步骤S102和S103同时进行以提高效率。[0050]图2具体地示出了进行CC攻击识别的综合分析的流程图。[0051]在介绍具体分析流程之前，首先介绍一下识别CC攻击的基本原理。根据本发明的实施例，一般而言，可以根据以下一些方面进行CC攻击识别：1、通过请求访问响应头信息进行识别，其中请求访问响应头信息诸如是URL、User-Agent、Referrer等。[0052]-般同一种CC攻击工具发起的攻击请求包总是相同的，而且有些请求具有明显的特征，这些特征可以是URL请求地址、User-Agent、Referrer等，或者可以是HTTP请求头X-Forwarded-For等等。下面以某一次CC攻击时的User-Agent为例：Mozilla/4.0(compatible;MSIE5.01;WindowsNT5.0;MylE3.01)Cache-Control:nostore,must-revalidate从该示例User-Agent可以看出，其在最后带有must-revalidate关键字，然而，几乎没有正常的浏览器会在User-agent中带上〃must-revalidate〃这样的关键字。所以我们可以以这个为特征进行过滤，将User-agent中带有"must-revalidate〃的请求全部拒绝访问。[0053]2、通过识别访问量异常的IP来识别攻击请求。[0054]在大部分情况下，CC攻击会对某一个比较固定的URL进行攻击，少量的会通过参数自动构造URL。CC攻击所具有的比较明显的一个特征：对目标计算机发起大量连接，导致目标服务器资源枯竭造成拒绝服务。这也是CC攻击的主要目的。所以，根据这个特征，如果发现某个网站短时间内被请求数量突然增大数倍，而且请求URL相同或者类似，那这些请求很有可能就是CC攻击请求。在这种情况下，可以通过IP访问频率来筛选不正常的IP请求，例如可以计算在一段时间内IP访问请求的总次数。[0055]正常情况下，单个用户在访问一个网站的时候刷新频率不会太快，因此也可以以此为特征来识别CC攻击。例如，如果发现单位时间内（例如一分钟)的访问量大于预先设定阀值，则该访问所来自的IP就可能是攻击IP。但是，在这种识别方法下，有可能将使用NAT或者代理方式上网的用户误判为是CC攻击源，因为它们一般是通过同一个IP连接到网络，而在NAT或代理后面访问网络的可能是一个大用户群，这就造成了同一个IP产生异常大量访问的假象，看起来与CC攻击的特征类似。[0056]3、通过记录IP访问历史来识别CC攻击。对于某些经常对网站进行攻击的IP来源及特征，可以维护一个黑名单列表，限制这些来源的访问。[0057]由于在过去的持续监控和识别过程中必然会记录下一些CC攻击的来源IP，这些IP就可以被添加的黑名单中以在其下一次访问时直接加以拒绝。这样做可以利用经验数据来节省宝贵的处理资源并节省时间。[0058]下面阐述综合分析的具体流程。总体说来基本上遵从这样的流程：对于IP请求信息可以先进行名单过滤、计算该IP访问频度、提取HTTP头信息以及进行特征库匹配。在一次识别中，以上若干步骤并非都需要执行，而是一旦IP请求被识别为CC攻击就加以拦截并且不再执行之后的步骤。[0059]具体地，如图2所示，在步骤201中，可以将IP请求信息中的源IP与黑名单进行匹配，如果源IP与黑名单中的任一源IP匹配，则可以输出分析结果为"匹配"；如果源IP与黑名单中的任一源IP不匹配，则可以进入步骤S201以统计源IP最近的访问频度并可以与源IP访问频度阈值进行比较，如果超过源IP访问频度阈值，则可以输出分析结果为"超过阈值";如果没有超过源IP访问频度阈值，则可以进入步骤S203以从IP请求信息中提取HTTP头信息并且可以与HTTP头信息频度阈值进行比较；如果超过HTTP头信息频度阈值，则可以输出分析结果为"超过阈值";如果没有超过HTTP头信息频度阈值，则可以进入步骤S204以将IP请求信息中的请求内容与攻击特征库进行匹配；如果请求内容与特征库匹配成功，则可以输出分析结果为"匹配"，否则可以输出分析结果为"正常"。[0060]在执行图2的流程之前，可以添加一个可选的白名单筛选步骤。该白名单可以存储不需要进行CC识别的请求特征，例如针对某网站的请求或者对指定访问来源不进行识另IJ。添加该步骤同样可以起到节省识别时间和处理资源的作用。因为，有一些访问来源值得信任，不需要进行后续的识别过程。或者在某些情况下，用户可能不希望对某些IP访问源进行识别，也可以添加这一步骤。因此，白名单筛选步骤也可以为用户的使用添加灵活性。[0061]在执行整个流程之后，如图所示，将得出最终的分析结果。不论得到的结果是"匹配"还是"超过阈值"，都表示结果是异常的，即，如果图2所示的"是"分支所标识的那样。最终，不论结果是"异常"还是"正常"，在执行完之后，整个流程回到最初的开始，重新等待进行下一次分析。[0062]该流程得到的分析结果可以供之前讨论的图1所示的方法使用。因此，在图1的方法根据图2的综合分析完成CC攻击识别之后，对正常请求放行，对不正常请求可以将IP请求信息中的源IP添加到黑名单中、拦截来自该源IP的请求并且自动从该IP请求信息中提取特征加入所述攻击特征库。而其中提取的特征包括来自所述IP请求信息中的目标网站URL、浏览器标识User-Agent、访问来源Referrer以及访问IP。经过每次对CC攻击源IP的特征提取，就可以逐渐地形成一个攻击特征库。而且，这个特征库由于不断存储新的攻击特征，而使根据本发明的CC攻击识别方法具有了自动学习的优势，可以不断地进化得"更聪明"，以便不断地对新的攻击进行自适应地识别。这也是根据本发明的方法的优势之〇[0063]回到图2，在步骤S202中，本发明需要计算IP访问频度以与IP访问频度阈值进行比较。出于灵活性考虑，源IP访问频度阈值可以由系统预先确定或者由用户预先指定。而且，计算访问频度所采用的时间长短，例如1分钟、2分钟还是1小时等也可以按照需要来改变。例如，在一个实施例中，访问量很大，如果统计时间过长可能无意义或者纵容了攻击的继续，则这种情况就可以采用一个较短的时间段。反之，如果访问量不太大并且统计时间过短，则可能很难看出规律，这时就可以采用一个较长的时间段。该统计时间段也可以由系统或用户根据实际情况确定。[0064]类似地，在图2的步骤S203中，HTTP头信息频度阈值也可以由系统预先确定或者由用户预先指定。[0065]此外，由于黑名单中的源IP是由系统自动添加的而且在上述讨论中讨论一种利用NAT和代理上网的用户可能被误识别为CC攻击源的问题。所以，可以针对添加到黑名单中的源IP的有效性进行审核。例如，在一个实施例中，可能经过一段时间的识别后，发现某个源IP被错误地识别为CC攻击源IP，则管理员就可以将此IP从黑名单中删除以使其可以访问。在审核的基础上，可以向防火墙添加阻止规则来利用防火墙拦截。防火墙例如是Iptables防火墙。与不同的防火墙结合使用根据本发明的方法可以进一步提高防护的效率。[0066]即使有人工审核，也难免有误报的情况发生，所以为了减少误报产生的影响，同时又能有效阻止CC攻击，所以可以定时清空添加到防火墙的阻止规则以便减少误报所产生的影响。[0067]由于根据本发明的方法中，特征库可以构成本发明的方法自我学习的核心，所以对特征库的管理尤其重要。所以可以对攻击特征库中的特征进行添加、修改或删除以便获得识别上的灵活性。例如，在一个实施例中，已经在网络上出现的某种CC攻击由于尚未被识别，但是管理员已经想到如何利用其所具有的特征来识别，在这种情况下，管理员可以向该攻击特征库人工添加或者设置系统自动添加特征。同样，考虑到某些情况，可以对特征库中的特征进行修改或删除以增加灵活性。[0068]本发明还提供了一种基于日志分析的CC攻击识别的设备300,在图3中示出了该设备300的框图。[0069]如图3所示，该设备300包括3个装置，301是获取装置，可以用于获取日志中的IP请求信息；302是分析装置，可以用于基于名单、攻击特征库对IP请求信息进行综合分析并输出分析结果，303是识别装置，可以用于基于分析结果来进行如下识别：如果分析结果为"正常"，则将IP请求识别为正常请求并且放行所述IP请求，否则将IP请求识别为CC攻击并且将IP请求信息中的源IP添加到黑名单中、拦截来自源IP的请求并且自动从IP请求信息中提取特征加入攻击特征库。[0070]该设备中的分析装置还可以包括黑名单匹配装置，用于将所述IP请求信息中的源IP与黑名单进行匹配，如果所述源IP与所述黑名单中的任一源IP匹配，则输出分析结果为"匹配"；IP访问频度比较装置，用于如果所述源IP与所述黑名单中的任一源IP不匹配，则统计所述源IP最近的访问频度并与源IP访问频度阈值进行比较，如果超过所述源IP访问频度阈值，则输出分析结果为"超过阈值"，HTTP头信息比较装置，用于如果没有超过所述源IP访问频度阈值，则从所述IP请求信息中提取HTTP头信息并且与所述HTTP头信息频度阈值进行比较；如果超过所述HTTP头信息频度阈值，则输出分析结果为"超过阈值"，攻击特征库匹配装置，用于如果没有超过所述HTTP头信息频度阈值，则将所述IP请求信息中的请求内容与所述攻击特征库进行匹配；如果所述请求内容与特征库匹配成功，则输出分析结果为"匹配"，否则输出分析结果为"正常"。[0071]在该设备中提取的特征可以包括来自所述IP请求信息中的目标网站URL、浏览器标识User-Agent、访问来源Referrer以及访问IP。而且，在该设备中，所述源IP访问频度阈值可以由系统预先确定或者由用户预先指定。在该设备中，所述HTTP头信息频度阈值可以由系统预先确定或者由用户预先指定。该设备可以进一步包括审核装置，用于针对添加到所述黑名单中的源IP的有效性进行审核。该设备可以进一步包括添加装置，用于基于审核结果向防火墙添加阻止规则来利用防火墙拦截。该设备可以进一步包括清空装置，用于定时清空添加的阻止规则以便减少误报所产生的影响。在该设备中，确定频度所依据的单位时间按照需要变化。该设备可以进一步包括特征库管理装置，用于对所述特征库中的特征进行添加、修改或删除。[0072]综上所述，本发明提供的基于日志分析的CC攻击识别方法和设备利用了综合分析方法，具有自我学习、自适应识别攻击的能力。具有灵活性高、配置方便的特点。本领域技术人员应该理解，虽然本发明书结合CDN节点说明了根据本发明基于日志分析的识别CC攻击的方法和设备，但是根据本发明基于日志分析的识别CC攻击的方法和设备不限于仅用于CDN节点的CC攻击识别。而是，根据本发明的方法和设备可以用于各种网络攻击识别，只要其具有记录访问痕迹的日志或者任何记录访问痕迹的任何存储形式。[0073]虽然上述已经结合附图描述了本发明的具体实施例，但是本领域技术人员在不脱离本发明的精神和范围的情况下，可以对本发明进行各种改变、修改和等效替代。这些改变、修改和等效替代都意为落入随附的权利要求所限定的精神和范围之内。【权利要求】1.一种基于日志分析的CC攻击识别方法，包括：获取日志中的IP请求信息；基于名单、攻击特征库对所述IP请求信息进行综合分析并输出分析结果，基于所述分析结果来进行如下识别：如果所述分析结果为"正常"，则将IP请求识别为正常请求并且放行所述IP请求，否则将所述IP请求识别为CC攻击并且将所述IP请求信息中的源IP添加到黑名单中、拦截来自所述源IP的请求并且自动从所述IP请求信息中提取特征加入所述攻击特征库。2.根据权利要求1所述的方法，其中对所述IP请求信息进行综合分析包括以下步骤：将所述IP请求信息中的源IP与黑名单进行匹配，如果所述源IP与所述黑名单中的任一源IP匹配，则输出分析结果为"匹配"；如果所述源IP与所述黑名单中的任一源IP不匹配，则统计所述源IP最近的访问频度并与源IP访问频度阈值进行比较，如果超过所述源IP访问频度阈值，则输出分析结果为"超过阈值"，如果没有超过所述源IP访问频度阈值，则从所述IP请求信息中提取HTTP头信息并且与所述HTTP头信息频度阈值进行比较；如果超过所述HTTP头信息频度阈值，则输出分析结果为"超过阈值"，如果没有超过所述HTTP头信息频度阈值，则将所述IP请求信息中的请求内容与所述攻击特征库进行匹配；如果所述请求内容与特征库匹配成功，则输出分析结果为"匹配"，否则输出分析结果为"正常"。3.根据权利要求1或2所述的方法，其中提取的特征包括来自所述IP请求信息中的目标网站URL、浏览器标识User-Agent、访问来源Referrer以及访问IP。4.根据权利要求2所述的方法，其中所述源IP访问频度阈值由系统预先确定或者由用户预先指定。5.根据权利要求2所述的方法，其中所述HTTP头信息频度阈值由系统预先确定或者由用户预先指定。6.根据权利要求1或2所述的方法，进一步包括针对添加到所述黑名单中的源IP的有效性进行审核。7.根据权利要求6所述的方法，进一步包括基于审核结果向防火墙添加阻止规则来利用防火墙拦截。8.根据权利要求7所述的方法，进一步包括定时清空添加的阻止规则以便减少误报所产生的影响。9.根据权利要求2所述的方法，其中确定频度所依据的单位时间按照需要变化。10.根据权利要求1或2所述的方法，进一步包括对所述攻击特征库中的特征进行添力口、修改或删除。11.一种基于日志分析的CC攻击识别的设备，包括：获取装置，用于获取日志中的IP请求信息；分析装置，用于基于名单、攻击特征库对所述IP请求信息进行综合分析并输出分析结果，识别装置，用于基于所述分析结果来进行如下识别：如果所述分析结果为"正常"，则将IP请求识别为正常请求并且放行所述IP请求，否则将所述IP请求识别为CC攻击并且将所述IP请求信息中的源IP添加到黑名单中、拦截来自所述源IP的请求并且自动从所述IP请求信息中提取特征加入所述攻击特征库。12.根据权利要求1所述的设备，其中所述分析装置还包括：黑名单匹配装置，用于将所述IP请求信息中的源IP与黑名单进行匹配，如果所述源IP与所述黑名单中的任一源IP匹配，则输出分析结果为"匹配"；IP访问频度比较装置，用于如果所述源IP与所述黑名单中的任一源IP不匹配，则统计所述源IP最近的访问频度并与源IP访问频度阈值进行比较，如果超过所述源IP访问频度阈值，则输出分析结果为"超过阈值"，HTTP头信息比较装置，用于如果没有超过所述源IP访问频度阈值，则从所述IP请求信息中提取HTTP头信息并且与所述HTTP头信息频度阈值进行比较；如果超过所述HTTP头信息频度阈值，则输出分析结果为"超过阈值"，攻击特征库匹配装置，用于如果没有超过所述HTTP头信息频度阈值，则将所述IP请求信息中的请求内容与所述攻击特征库进行匹配；如果所述请求内容与特征库匹配成功，则输出分析结果为"匹配"，否则输出分析结果为"正常"。13.根据权利要求11或12所述的设备，其中提取的特征包括来自所述IP请求信息中的目标网站URL、浏览器标识User-Agent、访问来源Referrer以及访问IP。14.根据权利要求12所述的设备，其中所述源IP访问频度阈值由系统预先确定或者由用户预先指定。15.根据权利要求12所述的设备，其中所述HTTP头信息频度阈值由系统预先确定或者由用户预先指定。16.根据权利要求11或12所述的设备，进一步包括审核装置，用于针对添加到所述黑名单中的源IP的有效性进行审核。17.根据权利要求16所述的设备，进一步包括添加装置，用于基于审核结果向防火墙添加阻止规则来利用防火墙拦截。18.根据权利要求17所述的设备，进一步包括清空装置，用于定时清空添加的阻止规则以便减少误报所产生的影响。19.根据权利要求12所述的设备，其中确定频度所依据的单位时间按照需要变化。20.根据权利要求11或12所述的设备，进一步包括攻击特征库管理装置，用于对所述攻击特征库中的特征进行添加、修改或删除。【文档编号】G06F17/30GK104065644SQ201410230486【公开日】2014年9月24日申请日期:2014年5月28日优先权日:2014年5月28日【发明者】姚昌林,张永波申请人:北京知道创宇信息技术有限公司