056] 所述记录单元,用于在所述第一表格中记录所述第一标识以及所述第一标识在所 述第二表格中的位置,然后激活所述指针单元。
[0057] 优选的,所述第一判断单元,还用于当所述哈希值在所述第一表格对应的表项中 不存在所述第一标识时,激活所述第三判断单元包括:
[0058] 所述第一判断单元,还用于当所述第一表格中所述哈希值对应的表项为空时,激 活所述第三判断单元;
[0059] 所述记录单元,用于在所述第一表格中记录所述第一标识以及所述第一标识在所 述第二表格中的位置包括:
[0060] 所述记录单元,用于在所述哈希值对应的表项中填写所述第一标识以及所述第一 标识在所述第二表格中的位置。
[0061] 优选的,所述第一判断单元,还用于当所述哈希值对应的所述第一表格的表项中 不存在所述第一标识时,激活所述第三判断单元包括:
[0062] 所述第一判断单元,用于当第一表格中所述哈希值对应的表项不为空时,激活所 述第三判断单元;
[0063] 所述记录单元,用于在所述第一表格中记录所述第一标识以及所述第一标识在所 述第二表格中的位置包括:
[0064] 所述记录单元,用于为所述第一表格动态分配一个表项,将所述第一标识以及所 述第一标识在所述第二表格中的位置记录在所述分配的表项中,并用指针从所述哈希值对 应的表项指向所述分配的表项。
[0065] 相对于现有技术,本发明的有益效果为:
[0066] 相对于现有技术一,本发明实现了在众多与服务器连接的网络节点中,实时地监 测出黑客进行资源滥用攻击所利用的非正常网络节点的目的,提高了网络服务器防御攻击 的能力,保证服务器的正常运行。相对于现有技术二,由于本发明统计的是每个网络节点的 访问请求数量,而删除令牌的速率,因此很容易在众多网络节点中辨认出哪些网络节点是 非正常网络节点,因为无论黑客控制多少网络节点发起攻击,被控制的网络节点发送访问 请求的数量会远远大于普通用户正常发送访问请求的数量。
【附图说明】
[0067] 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下, 还可以根据这些附图获得其它的附图。
[0068] 图1为本发明提供的一种网络节点监测方法实施例一的流程图;
[0069] 图2为本发明提供的一种网络节点监测方法实施例二的流程图;
[0070] 图3为本发明提供的一种网络节点监测装置实施例一的结构框图;
[0071] 图4为本发明提供的一种网络节点监测装置实施例二的结构框图。
【具体实施方式】
[0072] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的 附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本 发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在 没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0073] 方法实施例一:
[0074] 参见图1,该图为本发明提供的一种网络节点监测方法实施例一的流程图。
[0075] 本实施例提供的网络节点监测方法包括如下步骤:
[0076] 步骤SlOl :接收网络节点发送的访问请求,获取所述网络节点区别于其他网络节 点的第一标识。
[0077] 在本发明中,所述第一标识是所述网络节点区别于其他网络节点的标识,例如 IP(International Protocol,网络之间互连的协议)地址、网站cookie、网络节点物理设 备的唯一标识等等,或者由上述至少两种标识结合构成。其中,采用IP地址作为第一标识 适用于非局域网的网络节点;采用网站cookie作为第一标识要求网站具有产生cookie的 功能,所述cookie是网站为了辨别用户身份而存储在用户终端设备上的数据。如果所述 网络节点的物理设备为计算机,那么其唯一标识可以是MAC (Media Access Control,或 Medium Access Control)地址、CPU主板ID号等;如果所述物理设备为移动终端,那么其唯 一标识可以是 IMSI (International Mobile Subscriber Identification Number,国际移 动用户识别码)、IMEI (International Mobile Equipment Identification Number,国际 移动设备识别码)、ESN(Electronic Serial Number,电子序列号)等等。
[0078] 在实际应用中,所述第一标识可以携带在所述访问请求中,通过接收所述访问请 求进行获取。
[0079] 步骤S102 :根据哈希算法计算所述第一标识对应的哈希值。
[0080] 所述哈希算法也称单向散列算法,它把某个较大的集合P映射到另一个较小的集 合Q中,假设这个算法叫H,那么就有Q = H(P)。对于P中任何一个值p都有唯一确定的 q与之对应,但是一个q可以对应多个P。本实施例利用哈希算法对所述第一标识进行计 算,得到的哈希值为所述第一标识在第一表格的位置,这种根据哈希算法得到的所述第一 表格业内称之为哈希表(或散列表)。现有技术中,所述哈希算法有很多种,例如MD4、MD5、 SHA-I 等等,其中,所述 MD4(RFC 1320)是 MIT 的 Ronald L.Rivest 在 1990 年设计的,MD 是Message Digest的缩写,是基于32为操作数的位操作实现的;所述MD5 (RFC 1321)是 Rivest于1991年对MD4改进的版本,输入以512位分组,输出也是4个32位的级联,但它 比MD4更为复杂,并且计算速度稍慢,但是更加安全;所述SHAl与MD4的原理基本相同,输 入以小于264位分组,输出长度为160bit,抗穷举性比MD4更好。
[0081] 在本实施例中,所述哈希算法为对所述第一标识进行叠加计算,然后再 根据所述第一表格的大小求余。例如,所述第一标识为16772,叠加计算结果为 1X 1+6X 13+7X 131+7X 1313+2X 13131 = 204806,其中,用于叠加的13还可以换成其他质 数,本发明不做具体限定。假设所述第一表格的总行数为204800,那么204806对204800求 余为6,因此,所述第一标识16772在所述第一表格中的位置是第6行表项。
[0082] 步骤S103 :判断所述哈希值对应的所述第一表格的表项中是否存在所述第一标 识,如果是,则执彳丁步骤S104。
[0083] 当计算出所述第一表格对应的哈希值后,在所述第一表格中找到所述哈希值对应 的表项,并判断所述表项中的标识是否与所述第一标识一致,如果是,则说明所述第一表格 中存在所述第一标识;如果否,或者该表项为空,那么说明所述第一表格中不存在所述第 一标识。以上述例子为例,当根据步骤S102计算出第一标识16772的哈希值为6时,在所 述第一表格中找到第6行表项,如果该表项中的标识也为16772,那么说明所述第一表格中 存在所述第一标识16772 ;如果该表项中的标识不为16772,或者该表项是空的,那么说明 所述第一表格中不存在所述第一标识16772。
[0084] 步骤S104 :依据所述对应关系在所述第二表格中查找所述第一标识,并在所述第 一标识对应的访问请求数量的基础上加1。
[0085] 当所述第一表格对应的表项中存在所述第一标识,由于所述第一表格中存有所述 第一标识与所述第一标识在第二表格中的位置的对应关系,因此就可以依据所述第一标识 在所述第二表格中的位置在第二表格中找到所述第一标识所在的表项,所述第二表格中保 存有所述第一标识与访问请求数量的对应关系,在所述第二表格中找到对应的表项后,在 所述第一标识对应的当前的访问请求数量的基础上加1,以将所述第一标识对应的访问请 求数量进行累加。
[0086] 例如,在第一表格中,所述第一标识16772对应的在第二表格中的位置是10,那么 指针指向第二表格中的第十个表项,由于这两个表是同步更新的,如果所述第一表格中存 在所述第一标识,那么所述第二表格中也一定存在,而且就在所述第10个表项中。如果当 前所述第一标识的访问数量为128,那么在这个数量的基础上加1,即变为129。
[0087] 步骤S105 :判断增加后的访问请求数量是否大于或等于预设请求数量,如果是, 则执行步骤S106 ;
[0088] 步骤S106 :确认所述网络节点为非正常网络节点。
[0089] 在本实施例中,当判断出所述网络节点增加后的访问请求数量大于或等于所述预 设请求数量时,认为发送所述访问请求的网络节点为非正常网络节点,即有可能为被黑客 控制用于攻击服务器的网络节点。在实际应用中,可以限制所述非正常网络节点访问服务 器的速度,或者对所述非正常网络节点之后发送的访问请求进行屏蔽等,以减小甚至避免 黑客攻击对网络服务器产生的不良影响,以保证网络服务器的正常运行。举例而言,参见表 1,该表为所述第二表格的示意图。在该表中,EVENT ID为所述第一标识,COUNT为访问请求 数量,ACTION为对所述第一标识对应的网络节点采取的措施,例如通过或屏蔽。从该表中 可以看出,EVENT ID为132、34、10932、1113、398的访问请求数量为几千甚至几万,远远超 过其他EVENT ID的访问请求数量,这些访问请求数量很高的网络节点很可能就是被黑客控 制的非正常网络节点,应当及时屏蔽,停止接收其发送的访问请求。而其他网络节点由于访 问请求数量很少,因此被黑客控制的可能性较小,网络服务器可以继续接收其发送的访问 请求。
[0090] 表1第二表格
[0091]
[0092] 本发明对所述预设请求数量的确定不做具体限定,可以是预先设置好的一个固定 值,也可以是一个不断调整的动态的值。在本实施例中,所述预设请求数量根据上一时间周 期内每个用户的平均访问请求数量与所述网络服务器当前的负载情况进行确定。
[0093] 衡量所述网络服务器当前的负载情况有很多指标,例如应答包的延迟时间、CPU内 存的占用率等等。其中,所述应答包是指服务器接收到网络节点发送的访问请求后,会有针 对该访问请求做出一个反馈,这个反馈即为应答包。服务器根据该访问请求做出反馈并生