一种检测cc攻击的方法及设备的制造方法

一种检测cc攻击的方法及设备的制造方法
【专利摘要】本申请提供一种检测CC攻击的方法及设备。所述方法包括：获取预设数量的第一源IP到第一目标IP的访问请求记录；统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的数量；基于所述统计的请求来源页面标识为空的访问请求记录的数量检测CC攻击。本申请实施例提供的一种检测CC攻击的方法及设备，通过分析真实用户与CC攻击者的访问行为的差异性，并基于该差异性来计算判定数值，能够有效地检测CC攻击。
【专利说明】
一种检测CC攻击的方法及设备
技术领域
[0001] 本申请涉及网络安全技术领域，特别涉及一种检测CC攻击的方法及设备。
【背景技术】
[0002] 随着网络技术的快速发展以及网络规模的急剧膨胀，网络中的安全漏洞被攻击者 越来越多的利用以攻击网络中的主机。近年来流行的CC(Challenge Collapsar)攻击属于 网络攻击的一种。
[0003] CC攻击属于一种基于页面的分布式拒绝服务（DDOS :Distributed Denial of Service)攻击。攻击者通常可以不断向目标服务器发送消耗目标服务器性能的请求报文， 导致目标服务器不断执行大量的计算或操作，耗费大量资源。当目标服务器执行的计算或 操作达到自身CPU的处理极限时，将导致正常的访问被终止处理，甚至宕机。
[0004] 针对上述情况，现有的一种检测CC攻击的方法可以通过跳转检测来实现。在该方 法中，一般会在目标服务器之前添加一个跳转检测设备以检测发送至所述目标服务器的报 文。该跳转检测设备可以在目标服务器接收到请求报文之前，代替目标服务器向请求端发 送一个验证报文。该验证报文会要求请求端再次向目标服务器发送确认信息，并且需要在 确认信息中携带只有跳转检测设备知晓的密钥。正常请求端一般会对返回的验证报文做出 响应，并会按照验证报文的要求再次向目标服务器发送确认信息。检测设备接收到正常请 求端发来的确认信息并且验证通过后，可以放行正常请求端的访问请求。而攻击请求端往 往不会对返回的验证报文做出响应，而是继续向目标服务器发起新的访问请求。检测设备 接收不到攻击请求端发来的确认信息，则不会放行攻击请求端对目标服务器的访问请求。 这样可以达到检测CC攻击的目的。
[0005] 在实施本申请的过程中，发明人发现现有技术至少存在如下问题：
[0006] 随着CC攻击方式的发展，攻击者可以通过肉鸡或者代理服务器向目标服务器发 起攻击。肉鸡或者代理服务器可以对跳转检测设备返回的验证报文进行响应，比如再次向 目标服务器发送携带只有跳转检测设备知晓的密钥的确认信息，这样便可以穿透上述现有 技术的跳转检测方式。

【发明内容】

[0007] 本申请实施例的目的在于提供一种检测CC攻击的方法及设备，以有效地检测CC 攻击。
[0008] 本申请实施例提供的一种检测CC攻击的方法及设备是这样实现的：
[0009] 一种检测CC攻击的方法，包括：
[0010] 获取预设数量的第一源IP到第一目标IP的访问请求记录；
[0011] 统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的数 量；
[0012] 基于所述统计的请求来源页面标识为空的访问请求记录的数量检测CC攻击。
[0013] -种检测CC攻击的方法，包括：
[0014] 监控预设数量的第一源IP到第一目标IP的访问请求；
[0015] 统计所述访问请求中请求来源页面标识为空的访问请求的累积数量；
[0016] 基于所述统计的请求来源页面标识为空的访问请求的累积数量检测CC攻击。
[0017] -种检测CC攻击的方法，包括：
[0018] 获取预设数量的第一源IP到第一目标IP的访问请求记录；
[0019] 统计所述获取的访问请求记录中请求来源页面标识互不相同的访问请求记录的 数量；
[0020] 基于所述统计的请求来源页面标识互不相同的访问请求记录的数量检测CC攻 击。
[0021 ] -种检测CC攻击的方法，包括：
[0022] 监控预设数量的第一源IP到第一目标IP的访问请求；
[0023] 统计请求来源页面标识互不相同的访问请求的累积数量；
[0024] 基于所述统计的请求来源页面标识互不相同的访问请求的累积数量检测CC攻 击。
[0025] -种检测CC攻击的设备，所述设备为独立于请求端和目标服务器的第三方设备， 包括访问请求记录获取单元，第一统计单元，第一判定单元以及第二判定单元，其中：
[0026] 所述访问请求记录获取单元，用来获取预设数量的第一源IP到第一目标IP的访 问请求记录；
[0027] 所述第一统计单元，用来统计所述获取的访问请求记录中请求来源页面标识为空 的访问请求记录的数量；
[0028] 所述第一判定单元，用来设置检测阈值；当所述统计的请求来源页面标识为空的 访问请求记录的数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的访问 请求为CC攻击；当所述统计的请求来源页面标识为空的访问请求记录的数量小于所述检 测阈值时，判定第一源IP到第一目标IP的访问请求不是CC攻击；
[0029] 所述第二判定单元，用来设置比例阈值；当所述统计的请求来源页面标识为空的 访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第一源 IP到第一目标IP的访问请求为CC攻击；当所述统计的请求来源页面标识为空的访问请求 记录的数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到第一目标IP 的访问请求不是CC攻击。
[0030] 一种检测CC攻击的设备，所述设备作为模块集成于目标服务器中，包括监控单 元，第二统计单元，第三判定单元以及第四判定单元，其中：
[0031] 所述监控单元，用来监控预设数量的第一源IP到第一目标IP的访问请求；
[0032] 所述第二统计单元，用来统计所述访问请求中请求来源页面标识为空的访问请求 的累积数量；
[0033] 所述第三判定单元，用来设置检测阈值；当所述统计的请求来源页面标识为空的 访问请求的累积数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的访问 请求为CC攻击；当所述统计的请求来源页面标识为空的访问请求的累积数量小于所述检 测阈值时，判定第一源IP到第一目标IP的访问请求不是CC攻击；
[0034] 所述第四判定单元，用来设置比例阈值；当所述统计的请求来源页面标识为空的 访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第一源 IP到第一目标IP的访问请求为CC攻击；当所述统计的请求来源页面标识为空的访问请求 的累积数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到第一目标IP 的访问请求不是CC攻击。
[0035] -种检测CC攻击的设备，所述设备为独立于请求端和目标服务器的第三方设备， 包括访问请求记录获取单元，第三统计单元，第五判定单元以及第六判定单元，其中：
[0036] 所述访问请求记录获取单元，用来获取预设数量的第一源IP到第一目标IP的访 问请求记录；
[0037] 所述第三统计单元，用来统计所述获取的访问请求记录中请求来源页面标识互不 相同的访问请求记录的数量；
[0038] 所述第五判定单元，用来设置检测阈值；当所述统计的请求来源页面标识互不相 同的访问请求记录的数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的 访问请求不是CC攻击；当所述统计的请求来源页面标识互不相同的访问请求记录的数量 小于所述检测阈值时，判定第一源IP到第一目标IP的访问请求为CC攻击；
[0039] 所述第六判定单元，用来设置比例阈值；当所述统计的请求来源页面标识互不相 同的访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第 一源IP到第一目标IP的访问请求不是CC攻击；当所述统计的请求来源页面标识互不相同 的访问请求记录的数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到 第一目标IP的访问请求为CC攻击。
[0040] 一种检测CC攻击的设备，所述设备作为模块集成于目标服务器中，包括监控单 元，第四统计单元，第七判定单元以及第八判定单元，其中：
[0041] 所述监控单元，用来监控预设数量的第一源IP到第一目标IP的访问请求；
[0042] 所述第四统计单元，用来统计请求来源页面标识互不相同的访问请求的累积数 量；
[0043] 所述第七判定单元，用来设置检测阈值；当所述统计的请求来源页面标识互不相 同的访问请求的累积数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的 访问请求不是CC攻击；当所述统计的请求来源页面标识互不相同的访问请求的累积数量 小于所述检测阈值时，判定第一源IP到第一目标IP的访问请求为CC攻击；
[0044] 所述第八判定单元，用来设置比例阈值；当所述统计的请求来源页面标识互不相 同的访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第 一源IP到第一目标IP的访问请求不是CC攻击；当所述统计的请求来源页面标识互不相同 的访问请求的累积数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到 第一目标IP的访问请求为CC攻击。
[0045] 本申请实施例提供的一种检测CC攻击的方法及设备，通过分析真实用户与CC攻 击者的访问行为的差异性，并基于该差异性来计算判定数值，能够有效地检测CC攻击。
【附图说明】
[0046] 图1为本申请一个例子中正常请求端发起访问请求的示意图；
[0047] 图2为本申请一个例子中攻击端发起访问请求的示意图；
[0048] 图3为本申请一实施例提供的一种检测CC攻击的方法流程图；
[0049] 图4为本申请另一实施例提供的一种检测CC攻击的方法流程图；
[0050] 图5为本申请另一实施例提供的一种检测CC攻击的方法；
[0051] 图6为本申请另一实施例提供的一种检测CC攻击的方法流程图；
[0052] 图7为本申请一实施例提供的一种检测CC攻击的设备功能模块图；
[0053] 图8为本申请另一实施例提供的一种检测CC攻击的设备功能模块图；
[0054] 图9为本申请另一实施例提供的一种检测CC攻击的设备功能模块图；
[0055] 图10为本申请另一实施例提供的一种检测CC攻击的设备功能模块图。
【具体实施方式】
[0056] 为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实 施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施 例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通 技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都应当属于本申请保护 的范围。
[0057] 图1为本申请一个例子中正常请求端发起访问请求的示意图。如图1所示，真实 用户可以通过浏览器输入网页地址，访问页面1。进而，真实用户可以通过点击页面1上的 链接浏览跳转到的其它页面，例如是真实用户感兴趣的页面2、页面3、页面4或页面5。这 里可以称页面1为前导页面。通过前导页面上的链接，可以跳转到其它页面。当真实用户 在浏览页面5时，可以通过点击页面5上的链接继续浏览页面6或页面7。当真实用户在浏 览页面7时，可以通过点击页面7上的链接继续浏览页面8、页面9或页面10。类似的，页 面5、页面7可以为前导页面，这些前导页面上可以提供跳转至其它页面的链接。可见，真实 用户在访问网站时，一般会基于一个初始的页面，逐层深入地浏览其它页面。
[0058] 图2为本申请一个例子中攻击端发起访问请求的示意图。如图2所示，攻击端会 频繁地向目标服务器发起访问页面1和页面2的访问请求。攻击端一般直接通过页面1和 页面2的网页地址向目标服务器发起访问请求。这样的攻击方式，在访问某一页面时，该页 面与其它页面之间往往不存在链接关系。
[0059] 上述真实用户与攻击者的访问行为存在区别。真实用户在浏览页面时，往往会先 访问一些前导页面，随后可以通过前导页面提供的链接访问下一个页面。而攻击者在对目 标服务器发起攻击时，往往会直接通过网页地址访问目标页面。本申请一实施例可以基于 真实用户与攻击者之间访问行为的差异性来检测CC攻击。
[0060] 图3为本申请一实施例提供的一种检测CC攻击的方法流程图。如图3所示，所述 方法包括：
[0061] S100 :获取预设数量的第一源IP到第一目标IP的访问请求记录。
[0062] 在本申请实施例中，请求端和目标服务器可以处于主干网的网络环境中，用于检 测CC攻击的检测设备可以是独立于请求端和目标服务器的第三方设备。所述源IP可以代 表发起访问的请求端的IP地址，所述目标IP可以代表被访问的目标服务器的IP地址。源 IP向目标IP发起的访问请求会在主干网中产生访问请求记录。检测设备可以从主干网中 获取预设数量的第一源IP到第一目标IP的访问请求记录以检测CC攻击。为了较准确地 检测访问请求记录中是否存在CC攻击行为，可以设置较大的预设数量，例如可以将预设数 量设置为1000,检测设备可以对这1000条第一源IP到第一目标IP的访问请求记录进行检 测。
[0063] 每个获取的访问请求记录中可以包含该访问行为的源IP、目标IP以及访问请求 页面。例如，访问请求记录1记载了源IP1向目标IP1发起访问页面1的请求，访问请求记 录2记载了 IP2向目标IP2发起访问页面2的请求。访问请求记录中还包含请求来源页面 标识。请求来源页面标识可以用来注明该访问请求的前导页面地址。例如，第一源IP向第 一目标IP发起访问页面2的请求，而该访问页面2的请求是通过点击页面1上的链接发起 的。那么在该访问请求记录的请求来源页面标识中，会写入页面1的地址，注明该访问请求 是从页面1链接过来的。在本申请具体实施例中，所述请求来源页面标识可以为访问请求 中的referer字段。该referer字段注明了该访问请求的请求来源页面的页面地址。本申 请实施例以下步骤均以referer字段进行说明。
[0064] S200 :统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的 数量。
[0065] 表1为本申请一个例子中真实用户的访问请求记录示意表。从表1可以看出，访 问请求记录可以包括源IP，目标IP，访问页面以及referer字段。其中，referer字段可以 用来注明该访问请求的前导页面的地址，表明该访问请求是从哪个页面链接过来的。例如， 页面2与页面3的referer字段中均为页面1的地址，说明访问页面2与页面3的请求是 从页面1链接过来的。页面1的referer字段为空，说明访问页面1的请求是通过页面1 的地址直接发起的。例如，可以是用户在浏览器中直接输入页面1的URL向目标服务器发 起访问请求。
[0066] 表1本申请一个例子中真实用户的访问请求记录示意表
[0067]
[0068] 表2为本申请一个例子中CC攻击者的访问请求记录示意表。CC攻击者往往通过 自动化的脚本语言，直接通过页面的地址频繁地向目标服务器发起访问请求。从表2中可 以看出，CC攻击者向目标服务器发起的访问请求中，referer字段均为空。这说明CC攻击 者往往都是直接通过页面的地址向目标服务器发起访问请求。在CC攻击者访问的页面中， 页面与页面之间往往不存在链接关系，这就导致CC攻击者的访问请求记录中referer字段 基本为空。
[0069] 表2本申请一个例子中CC攻击者的访问请求记录示意表
[0070]
[0071]
[0072] 本申请实施例可以通过分析所述获取的预设数量的第一源IP到第一目标IP的访 问请求记录中的referer字段来检测第一源IP对第一目标IP发起的访问请求是否属于CC 攻击。具体地，本申请实施例可以统计所述获取的访问请求记录中referer字段为空的访 问请求记录的数量。例如，从表1中可以得到referer字段为空的访问请求记录的数量为 1，而从表2中可以得到referer字段为空的访问请求记录的数量为6。可以看出，真实用户 的访问请求记录中referer字段为空的访问请求记录的数量明显小于CC攻击者的访问请 求记录中referer字段为空的访问请求记录的数量。
[0073] 在具体实现时，本申请实施例中的检测设备内部可以包含一个计数器。该检测 设备可以检测所述获取的访问请求记录中的referer字段。当某一访问请求记录中的 referer字段为空时，检测设备内部的计数器便可以加1。检测设备遍历所述获取的访问请 求记录后，所述计数器中的数字可以代表所述获取的访问请求记录中referer字段为空的 访问请求记录的数量。
[0074] S300 :基于所述请求来源页面标识为空的访问请求记录的数量检测CC攻击。
[0075] 检测设备获取到所述referer字段为空的访问请求记录的数量后，可以基于该获 取的数量检测第一源IP到第一目标IP的访问请求是否属于CC攻击。具体地，可以计算所 述referer字段为空的访问请求记录的数量占所述预设数量的比值。例如，表1中referer 字段为空的访问请求记录的数量为1，预设数量为6,那么referer字段为空的访问请求记 录的数量占预设数量的比值为1/6。表2中referer字段为空的访问请求记录的数量为6， 预设数量为6,那么referer字段为空的访问请求记录的数量占预设数量的比值为6/6 = 1。本申请实施例可以预先设置第一比例阈值，当所述计算的referer字段为空的访问请求 记录的数量占所述预设数量的比值大于或者等于该第一比例阈值时，就判定第一源IP到 第一目标IP的访问请求为CC攻击；本申请实施例可以预先设置第二比例阈值，当所述计算 的 referer字段为空的访问请求记录的数量占所述预设数量的比值小于该第二比例阈值 时，就判定第一源IP到第一目标IP的访问请求不是CC攻击。一般情况下，所述第一比例 阈值和第二比例阈值可以是相等的；在某些特殊情况下，所述第一比例阈值可以大于第二 比例阈值。例如，第一比例阈值为0. 95,第二比例阈值为0. 8,在0. 8至0. 95之间的情况需 要通过人工进行判断是否属于CC攻击行为。
[0076] 在实际检测过程中，可以将所述比例阈值设置为0. 95,当计算的referer字段为 空的访问请求记录的数量占所述预设数量的比值大于或者等于〇. 95时，就判定第一源IP 到第一目标IP的访问请求为CC攻击。
[0077] 另外，本申请实施例还可以设置第一检测阈值，当所述统计的referer字段为空 的访问请求记录的数量大于或者等于所述第一检测阈值时，判定第一源IP到第一目标IP 的访问请求为CC攻击；本申请实施例还可以设置第二检测阈值，当所述统计的referer字 段为空的访问请求记录的数量小于所述第二检测阈值时，判定第一源IP到第一目标IP的 访问请求不是CC攻击。同样的，第一检测阈值可以与第二检测阈值相等。在某些特殊情况 下，第一检测阈值可以大于第二检测阈值。
[0078] 在实际检测过程中，可以将预设数量设置为1000,并且可以将检测阈值设置为 950,当1000条访问请求中统计的referer字段为空的访问请求的累积数量大于或者等于 950时，判定第一源IP到第一目标IP的访问请求为CC攻击。
[0079] 在本申请另一实施例中，检测设备还可以作为一个功能模块集成于目标服务器 上，该检测设备可以实时监控发送至该目标服务器的访问请求。图4为本申请另一实施例 提供的一种检测CC攻击的方法流程图。如图4所示，所述方法包括：
[0080] S110 :监控预设数量的第一源IP到第一目标IP的访问请求。
[0081] S210:统计所述访问请求中请求来源页面标识为空的访问请求的累积数量。
[0082] 集成于目标服务器上的检测设备可以实时地监控位于第一源IP处的请求端发送 至位于第一目标IP处的该目标服务器的访问请求。由步骤S200可以看出，真实用户与CC 攻击者向目标服务器发起的访问请求中referer字段的差异较大。真实用户的访问请求 中，referer字段为空的访问请求数量较少，而CC攻击者的访问请求中，referer字段为空 的访问请求数量相当多。本申请实施例中的检测设备可以通过统计ref erer字段为空的访 问请求的累积数量，从而判断第一源IP到第一目标IP的访问请求是否为CC攻击。在具体 实施例中，为了较准确地检测CC攻击行为，可以设置较大的预设数量，例如可以将预设数 量设置为1000,检测设备可以连续监控1000条第一源IP到第一目标IP的访问请求，并统 计这1000条访问请求中referer字段为空的访问请求的累积数量。
[0083] 具体地，本申请实施例中的检测设备内部可以包含第一计数器和第二计数器。检 测设备实时监控第一源IP发送至第一目标IP的每条访问请求，每检测一条访问请求，检测 设备的第一计时器便可以加1。当检测到访问请求的referer字段为空时，第二计数器便可 以加1。当第一计数器统计达到预设数量时，检测设备可以统计第二计数器中referer字段 为空的访问请求的累积数量。
[0084] S310 :基于所述统计的请求来源页面标识为空的访问请求的累积数量检测CC攻 击。
[0085] 本申请实施例可以预先设置第三检测阈值，当所述统计的referer字段为空的访 问请求的累积数量大于或者等于所述第三检测阈值时，判定第一源IP到第一目标IP的访 问请求为CC攻击；本申请实施例可以预先设置第四检测阈值，当所述统计的referer字段 为空的访问请求的累积数量小于所述第四检测阈值时，判定第一源IP到第一目标IP的访 问请求不是CC攻击。第三检测阈值可以与第四检测阈值相等。在某些特殊情况下，第三检 测阈值可以大于第四检测阈值。
[0086] 在实际检测过程中，可以将预设数量设置为1000,并且可以将检测阈值设置为 950,当1000条访问请求中统计的referer字段为空的访问请求的累积数量大于或者等于 950时，判定第一源IP到第一目标IP的访问请求为CC攻击。
[0087] 另外，本申请同样可以计算所述统计的referer字段为空的访问请求的累积数量 占所述预设数量的比值来检测CC攻击。本申请实施例可以预先设置第三比例阈值，当所述 计算的referer字段为空的访问请求的累积数量占所述预设数量的比值大于或者等于该 第三比例阈值时，就判定第一源IP到第一目标IP的访问请求为CC攻击；本申请实施例可 以预先设置第四比例阈值，当所述计算的referer字段为空的访问请求的累积数量占所述 预设数量的比值小于该第四比例阈值时，就判定第一源IP到第一目标IP的访问请求不是 CC攻击。第三比例阈值可以与第四比例阈值相等。在某些特殊情况下，第三比例阈值可以 大于第四比例阈值。
[0088] 需要说明的是，CC攻击者往往通过代理服务器来对目标服务器进行攻击。例如CC 攻击者通过位于源IP1，源IP2和源IP3处的三台代理服务器对目标服务器发起攻击。利 用上述技术方案，可以检测出源IP1，源IP2及源IP3均存在攻击行为，并且后续可以对源 IP1，源IP2及源IP3进行封禁，但是无法对CC攻击者的真实源IP进行检测并且封禁。鉴 于此，本申请一优选实施例中，步骤S100可以具体包括：
[0089] 基于真实源IP的确定规则，获取预设数量的第一真实源IP到第一目标IP的访问 请求记录。其中，所述真实源IP的确定规则具体包括：
[0090] 当访问请求记录的x-forward-for字段为空时，将源IP字段中的IP地址作为真 实源IP ;
[0091] 当访问请求记录的x-forward-for字段为非空时，根据x-forward-for字段中的 IP地址确定真实源IP。
[0092] 本申请的优选实施例可以通过访问请求中的源IP字段和x-forward-for字段来 识别真实请求源IP。x -f〇rward-for字段的标准格式可以为：
[0093] χ-forward-for:client1，proxy1
[0094] 其中，clientl代表真实的IP地址，proxyl代表代理服务器1的IP地址。 上述x-forward-for字段的标准格式可以理解为：访问请求从clientl中发出时， x-forward-for字段中为空；该访问请求被发往proxy 1并且通过proxy 1发出去的时 候，clientl被添加到x-forward-for字段中；之后该访问请求被发往proxy2并且通过 proxy2发出去的时候，proxyl被添加到χ-forward-for字段中。可见，当x-forward-for 字段为非空时，x-f〇rward-for字段中的第一个IP地址即为该访问请求的真实源IP。当 x-forward-for字段为空时，访问请求记录中的源IP字段中的IP地址即为该访问请求记录 的真实源IP。
[0095] 对访问请求记录的真实源IP进行识别的另一个有益效果在于：可以使得获取访 问请求记录的时间缩短。例如，假设在不对访问请求记录的真实源IP进行辨识时，需要从 10000条访问请求记录中才可以筛选出5000条源IP1到目标IP1的访问请求记录（另外 5000条访问请求记录是其它源IP到目标IP1的访问请求记录）；当对访问请求记录的真 实源IP进行辨识后发现，这10000条访问请求记录中，源IP1和源IP2的真实源IP均为源 IP1，那么在这10000条访问请求记录中，应当将源IP2到目标IP1的访问请求记录也划分 到源源IP1到目标IP1的访问请求记录中。那么如果同样需要筛选出5000条源IP1到目 标IP1的访问请求记录，可能只需要读取7000条访问请求记录就可以了（另外2000条访 问请求记录是其它源IP到目标IP1的访问请求记录）。这样可以缩短获取预设数量的源 IP到目标IP的访问请求记录的时间，可以更早地检测出CC攻击行为并且更早地进行封禁。 同样的，在本申请另一优选实施例中，步骤S110可以具体包括：
[0096] 基于真实源IP的确定规则，监控预设数量的第一真实源IP到第一目标IP的访问 请求。其中，所述真实源IP的确定规则具体包括：
[0097] 当访问请求的x-forward-for字段为空时，将源IP字段中的IP地址作为真实源 IP ；
[0098] 当访问请求的x-forward-for字段为非空时，根据x-forward-for字段中的IP地 址确定真实源IP。
[0099] 对监控的访问请求进行真实源IP的辨识，同样可以缩短监控预设数量的源IP到 目标IP的访问请求的时间，从而更早地对CC攻击者所处的源IP地址进行检测和封禁。
[0100] 在实际场景中，CC攻击者还可以通过填充referer字段来伪装真实用户的访问行 为。例如，当CC攻击者准备向某一网站服务器发起攻击时，可以在访问请求中的referer 字段填充该网站的门户页面的地址，从而伪装访问的页面与页面之间的链接关系。CC攻击 者往往利用脚本语言批量地对访问请求的referer字段填充相同的页面地址，如表3所示。 从表3中可以看出，CC攻击者在发起的每次访问请求的referer字段中均填入了页面1的 页面地址。该页面1可以为网站的门户页面，也可以是虚假的页面。
[0101] 表3本申请一个例子中CC攻击者填充referer字段的访问请求记录示意表
[0102]
[0103]

[0104] 尽管CC攻击者通过批量填充referer字段来伪装页面与页面之间的链接关系，通 过对比表1和表3还是可以发现真实用户与CC攻击者访问行为的差异性。真实用户访问目 标服务器产生的访问请求中referer字段的页面地址往往不同，例如表1中，真实用户的访 问请求中referer字段的页面地址有页面1、页面3和页面4的地址。而CC攻击访问目标 服务器产生的访问请求中referer字段的页面地址往往相同，例如表3中，CC攻击者的访问 请求中referer字段的页面地址仅有页面1的地址。可以看出，真实用户与攻击者的访问请 求中，referer字段互不相同的访问请求的数量是存在差异性的。例如，表1中真实用户的 访问请求中，referer字段互不相同的访问请求的数量为4,这四个互不相同的referer字 段分别为空referer字段、页面1、页面3以及页面4 ;而攻击者的访问请求中，由于referer 字段均相同，因此referer字段互不相同的访问请求的数量仅为1。本申请实施例可以基于 这一点差异性来检测源IP到目标IP的访问请求是否属于CC攻击。图5为本申请另一实 施例提供的一种检测CC攻击的方法。如图5所示，所述方法包括：
[0105] S120 :获取预设数量的第一源IP到第一目标IP的访问请求记录。
[0106] 在本申请实施例中，请求端和目标服务器可以处于主干网的网络环境中，用于检 测CC攻击的检测设备可以是独立于请求端和目标服务器的第三方设备。该步骤与S100类 似，检测设备可以从主干网中获取预设数量的第一源IP到第一目标IP的访问请求记录以 检测CC攻击。为了较准确地检测访问请求记录中是否存在CC攻击行为，可以设置较大的 预设数量，例如可以将预设数量设置为1000,检测设备可以对这1000条第一源IP到第一目 标IP的访问请求记录进行检测。
[0107] S220 :统计所述获取的访问请求记录中请求来源页面标识互不相同的访问请求记 录的数量。
[0108] 检测设备获取到预设数量的第一源IP到第一目标IP的访问请求记录后，可以统 计所述获取的访问请求记录中referer字段互不相同的访问请求记录的数量。本申请一实 施例中检测设备可以包含一计数器。检测设备可以从第一条访问请求记录开始，获取第一 条访问请求记录中的第一 referer字段，并将第一 referer字段放入参考队列，同时计数器 中加1。接着检测设备可以获取第二条访问请求记录的第二referer字段，当第一 referer 字段与第二referer字段不同时，检测设备可以将第二referer字段页放入参考队列，同时 计数器中加1。当第一 referer字段与第二referer字段相同时，检测设备不做任何操作。 处理完第二条访问请求记录，检测设备可以继续获取第三条访问请求记录的第三referer 字段并将第三referer字段与参考队列中每一个referer字段做对比，如果第三referer 字段与参考队列中每个referer字段均不同，则检测设备将第三referer字段放入参考队 列，同时计数器加1 ;如果第三referer字段与参考队列中某个referer字段相同，则检测 设备不做任何操作。检测设备可以遍历预设数量的访问请求记录中每一条访问请求记录并 做上述相同的对比操作，最终便可以得到所述获取的访问请求记录中referer字段互不相 同的访问请求记录的数量，该数量可以为参考队列中referer字段的数量，同时也可以是 计数器所统计的数量。
[0109] 需要指出的是,若某访问请求记录的referer字段为空，并且该空referer字段是 第一次出现，那么该空referer字段也可以作为参考队列中的一个referer字段。后续出 现的空referer字段就可以视为与参考队列中的该空referer字段相同的字段，不再纳入 统计范围。
[0110] S320 :基于所述请求来源页面标识互不相同的访问请求记录的数量检测CC攻击。
[0111] 本申请实施例可以预先设置第五检测阈值，当所述referer字段互不相同的访问 请求记录的数量小于所述第五检测阈值时，判定第一源IP到第一目标IP的访问请求是CC 攻击；本申请实施例可以预先设置第六检测阈值，当referer字段互不相同的访问请求记 录的数量大于或者等于所述第六检测阈值时，判定第一源IP到第一目标IP的访问请求不 是CC攻击。第五检测阈值可以与第六检测阈值相等。在某些特殊情况下，第五检测阈值可 以小于第六检测阈值。
[0112] 在实际检测过程中，可以将预设数量设置为1000,并且可以将检测阈值设置为 50,当1000条访问请求中统计的referer字段互不相同的访问请求记录的数量小于50时， 判定第一源IP到第一目标IP的访问请求为CC攻击。
[0113] 同样的，本申请实施例还可以通过计算所述统计的referer字段互不相同的访问 请求记录的数量占所述预设数量的比值来检测CC攻击。本申请实施例可以预先设置第五 比例阈值，当所述计算的referer字段互不相同的访问请求记录的数量占所述预设数量的 比值小于该第五比例阈值时，就判定第一源IP到第一目标IP的访问请求是CC攻击；本申 请实施例可以预先设置第六比例阈值，当所述计算的referer字段互不相同的访问请求记 录的数量占所述预设数量的比值大于或者等于该第六比例阈值时，就判定第一源IP到第 一目标IP的访问请求不是CC攻击。第五比例阈值可以与第六比例阈值相等。在某些特殊 情况下，第五比例阈值可以小于第六比例阈值。
[0114] 在实际检测过程中，可以将所述预设数量设置为1000,并且将所述比例阈值设置 为0. 05,当计算的referer字段互不相同的访问请求记录的数量占所述预设数量的比值小 于0. 05时，就判定第一源IP到第一目标IP的访问请求为CC攻击。
[0115] 同样地，在本申请一优选实施例中，可以对访问请求记录的真实源IP进行辨识。 在本申请一优选实施例中，步骤S120可具体可以包括：
[0116] 基于真实源IP的确定规则，获取预设数量的第一真实源IP到第一目标IP的访问 请求记录。其中，所述真实源IP的确定规则具体包括：
[0117] 当访问请求记录的x-forward-for字段为空时，将源IP字段中的IP地址作为真 实源IP ;
[0118] 当访问请求记录的x-forward-for字段为非空时，根据x-forward-for字段中的 IP地址确定真实源IP。
[0119] 在本申请另一实施例中，检测设备还可以作为一个功能模块集成于目标服务器 上，该检测设备可以实时监控发送至该目标服务器的访问请求。图6为本申请另一实施例 提供的一种检测CC攻击的方法流程图。如图6所示，所述方法包括：
[0120] S130 :监控预设数量的第一源IP到第一目标IP的访问请求。
[0121] S230:统计所述访问请求中请求来源页面标识互不相同的访问请求的累积数量。
[0122] 集成于目标服务器上的检测设备可以实时地监控位于第一源IP处的请求端发送 至位于第一目标IP处的该目标服务器的访问请求。本申请实施例中的检测设备可以通过 监控预设数量的第一源IP到第一目标IP的访问请求，并且统计所述访问请求中referer 字段互不相同的访问请求的累积数量，从而判断第一源IP到第一目标IP的访问请求是否 为CC攻击。在具体实施例中，为了较准确地检测CC攻击行为，可以设置较大的预设数量， 例如可以将预设数量设置为1000,检测设备可以连续监控1000条第一源IP到第一目标IP 的访问请求，并统计这1000条访问请求中referer字段互不相同的访问请求的累积数量。
[0123] 具体地，本申请实施例中的检测设备内部可以包含第一计数器和第二计数器。检 测设备实时监控第一源IP发送至第一目标IP的每条访问请求，每检测一条访问请求，检测 设备的第一计时器便可以加1。检测设备可以从第一条访问请求记录开始，获取第一条访问 请求记录中的第一 referer字段，并将第一 referer字段放入参考队列，同时第二计数器中 加1。接着检测设备可以获取第二条访问请求记录的第二referer字段，当第一 referer字 段与第二referer字段不同时，检测设备可以将第二referer字段页放入参考队列，同时第 二计数器加1。当第一 referer字段与第二referer字段相同时，检测设备不做任何操作。处 理完第二条访问请求记录，检测设备可以继续获取第三条访问请求记录的第三referer字 段并将第三referer字段与参考队列中每一个referer字段做对比，如果第三referer字 段与参考队列中每个ref erer字段均不同，则检测设备将第三ref erer字段放入参考队列， 同时第二计数器加1 ;如果第三referer字段与参考队列中某个referer字段相同，则检测 设备不做任何操作。检测设备可以对监控的每条访问请求做上述相同的对比操作。当第一 计数器统计达到预设数量时，检测设备可以得到所述预设数量的访问请求中referer字段 互不相同的访问请求的累积数量，该累积数量可以为参考队列中referer字段的数量，同 时也可以是第二计数器所统计的数量。
[0124] 需要指出的是，若某访问请求的referer字段为空，并且该空referer字段是第一 次出现，那么该空referer字段也可以作为参考队列中的一个referer字段。后续出现的 空 referer字段就可以视为与参考队列中的该空referer字段相同的字段，不再纳入统计 范围。
[0125] S330:基于所述统计的请求来源页面标识互不相同的访问请求的累积数量检测 CC攻击。
[0126] 本申请实施例可以预先设置第七检测阈值，当所述referer字段互不相同的访问 请求的累积数量小于所述第七检测阈值时，判定第一源IP到第一目标IP的访问请求是CC 攻击；本申请实施例可以预先设置第八检测阈值，当referer字段互不相同的访问请求的 累积数量大于或者等于所述第八检测阈值时，判定第一源IP到第一目标IP的访问请求不 是CC攻击。第七检测阈值可以与第八检测阈值相等。在某些特殊情况下，第七检测阈值可 以小于第八检测阈值。
[0127] 在实际检测过程中，可以将预设数量设置为1000,并且可以将检测阈值设置为 50,当1000条访问请求中统计的referer字段互不相同的访问请求的累积数量小于50时， 判定第一源IP到第一目标IP的访问请求为CC攻击。
[0128] 同样的，本申请实施例还可以通过计算所述统计的referer字段互不相同的访问 请求的累积数量占所述预设数量的比值来检测CC攻击。本申请实施例可以预先设置第七 比例阈值，当所述计算的referer字段互不相同的访问请求的累积数量占所述预设数量的 比值小于该第七比例阈值时，就判定第一源IP到第一目标IP的访问请求是CC攻击；本申 请实施例可以设置第八比例阈值，当所述计算的referer字段互不相同的访问请求的累积 数量占所述预设数量的比值大于或者等于该第八比例阈值时，就判定第一源IP到第一目 标IP的访问请求不是CC攻击。第七比例阈值可以与第八比例阈值相等。在某些特殊情况 下，第七比例阈值可以小于第八比例阈值。
[0129] 在实际检测过程中，可以将所述预设数量设置为1000,并且将所述比例阈值设置 为0. 05,当计算的referer字段互不相同的访问请求的累积数量占所述预设数量的比值小 于0. 05时，就判定第一源IP到第一目标IP的访问请求为CC攻击。
[0130] 同样的，在本申请一优选实施例中，可以对访问请求的真实源IP进行辨识。在本 申请一优选实施例中，步骤S130具体可以包括 ：
[0131] 基于真实源IP的确定规则，监控预设数量的第一真实源IP到第一目标IP的访问 请求。其中，所述真实源IP的确定规则具体包括：
[0132] 当访问请求的x-forward-for字段为空时，将源IP字段中的IP地址作为真实源 IP ；
[0133] 当访问请求的x-forward-for字段为非空时，根据x-forward-for字段中的IP地 址确定真实源IP。
[0134] 本申请实施例还提供一种检测CC攻击的设备。图7为本申请一实施例提供的一 种检测CC攻击的设备功能模块图。如图7所示，所述设备包括：
[0135] 访问请求记录获取单元100,用来获取预设数量的第一源IP到第一目标IP的访问 请求记录；
[0136] 第一统计单元200,用来统计所述获取的访问请求记录中请求来源页面标识为空 的访问请求记录的数量；
[0137] 第一判定单元300,用来设置检测阈值；当所述统计的请求来源页面标识为空的 访问请求记录的数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的访问 请求为CC攻击；当所述统计的请求来源页面标识为空的访问请求记录的数量小于所述检 测阈值时，判定第一源IP到第一目标IP的访问请求不是CC攻击；
[0138] 第二判定单元400,用来设置比例阈值；当所述统计的请求来源页面标识为空的 访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第一源 IP到第一目标IP的访问请求为CC攻击；当所述统计的请求来源页面标识为空的访问请求 记录的数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到第一目标IP 的访问请求不是CC攻击。
[0139] 所述设备可以为独立于请求端和目标服务器的第三方设备。
[0140] 在本申请一优选实施例中，所述访问请求记录获取单元100具体包括：
[0141] 真实源IP访问请求记录获取模块101，用来基于真实源IP的确定规则，获取预设 数量的第一真实源IP到第一目标IP的访问请求记录。
[0142] 图8为本申请另一实施例提供的一种检测CC攻击的设备功能模块图。如图8所 示，所述设备包括：
[0143] 监控单元110,用来监控预设数量的第一源IP到第一目标IP的访问请求；
[0144] 第二统计单元210,用来统计所述访问请求中请求来源页面标识为空的访问请求 的累积数量；
[0145] 第三判定单元310,用来设置检测阈值；当所述统计的请求来源页面标识为空的 访问请求的累积数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的访问 请求为CC攻击；当所述统计的请求来源页面标识为空的访问请求的累积数量小于所述检 测阈值时，判定第一源IP到第一目标IP的访问请求不是CC攻击；
[0146] 第四判定单元410,用来设置比例阈值；当所述统计的请求来源页面标识为空的 访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第一源 IP到第一目标IP的访问请求为CC攻击；当所述统计的请求来源页面标识为空的访问请求 的累积数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到第一目标IP 的访问请求不是CC攻击。
[0147] 所述设备可以作为一个模块集成于目标服务器中。
[0148] 在本申请一优选实施例中，所述监控单元110具体包括：
[0149] 真实源IP访问请求监控模块111，用来基于真实源IP的确定规则，监控预设数量 的第一真实源IP到第一目标IP的访问请求。
[0150] 图9为本申请另一实施例提供的一种检测CC攻击的设备功能模块图。如图9所 示，所述设备包括：
[0151] 访问请求记录获取单元120,用来获取预设数量的第一源IP到第一目标IP的访问 请求记录；
[0152] 第三统计单元220,用来统计所述获取的访问请求记录中请求来源页面标识互不 相同的访问请求记录的数量；
[0153] 第五判定单元320,用来设置检测阈值；当所述统计的请求来源页面标识互不相 同的访问请求记录的数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的 访问请求不是CC攻击；当所述统计的请求来源页面标识互不相同的访问请求记录的数量 小于所述检测阈值时，判定第一源IP到第一目标IP的访问请求为CC攻击；
[0154] 第六判定单元420,用来设置比例阈值；当所述统计的请求来源页面标识互不相 同的访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第 一源IP到第一目标IP的访问请求不是CC攻击；当所述统计的请求来源页面标识互不相同 的访问请求记录的数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到 第一目标IP的访问请求为CC攻击。
[0155] 所述设备可以为独立于请求端和目标服务器的第三方设备。
[0156] 在本申请一优选实施例中，所述访问请求记录获取单元120具体包括：
[0157] 真实源IP访问请求记录获取模块121，用来基于真实源IP的确定规则，获取预设 数量的第一真实源IP到第一目标IP的访问请求记录。
[0158] 图10为本申请另一实施例提供的一种检测CC攻击的设备功能模块图。如图10 所示，所述设备包括：
[0159] 监控单元130,用来监控预设数量的第一源IP到第一目标IP的访问请求；
[0160] 第四统计单元230,用来统计请求来源页面标识互不相同的访问请求的累积数 量；
[0161] 第七判定单元330,用来设置检测阈值；当所述统计的请求来源页面标识互不相 同的访问请求的累积数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的 访问请求不是CC攻击；当所述统计的请求来源页面标识互不相同的访问请求的累积数量 小于所述检测阈值时，判定第一源IP到第一目标IP的访问请求为CC攻击；
[0162] 第八判定单元430,用来设置比例阈值；当所述统计的请求来源页面标识互不相 同的访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第 一源IP到第一目标IP的访问请求不是CC攻击；当所述统计的请求来源页面标识互不相同 的访问请求的累积数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到 第一目标IP的访问请求为CC攻击。
[0163] 所述设备可以作为一个模块集成于目标服务器中。
[0164] 在本申请一优选实施例中，所述监控单元130具体包括：
[0165] 真实源IP访问请求监控模块131，用来基于真实源IP的确定规则，监控预设数量 的第一真实源IP到第一目标IP的访问请求。
[0166] 本申请实施例提供的一种检测CC攻击的方法及设备，通过分析真实用户与CC攻 击者的访问行为的差异性，并基于该差异性来计算判定数值，能够有效地检测CC攻击。
[0167] 在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进（例 如，对二极管、晶体管、开关等电路结构的改进）还是软件上的改进（对于方法流程的改 进）。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直 接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路 结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑 器件（Programmable Logic Device, PLD)(例如现场可编程门阵列（Field Programmable Gate Array，FPGA))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设 计人员自行编程来把一个数字系统"集成"在一片PLD上，而不需要请芯片制造厂商来设 计和制作专用的集成电路芯片2。而且，如今，取代手工地制作集成电路芯片，这种编程也 多半改用"逻辑编译器（logic compiler)"软件来实现，它与程序开发撰写时所用的软件 编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描 述语言（Hardware Description Language, HDL)，而HDL也并非仅有一种，而是有许多种， 如 ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware Description Language)、Confluence、CUPL(Cornell University Programming Language)、HDCal、 JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(Ruby Hardware Description Language)等，目前最普遍使用的是 VHDL(Very-High_Speed Integrated Circuit Hardware Description Language)与 Verilog2〇 本令页域技术人员 也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路 中，就可以很容易得到实现该逻辑方法流程的硬件电路。
[0168] 控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理 器以及存储可由该（微）处理器执行的计算机可读程序代码（例如软件或固件）的计算 机可读介质、逻辑门、开关、专用集成电路（Application Specific Integrated Circuit, ASIC)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制 器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20 以及 Silicone Labs C8051F320， 存储器控制器还可以被实现为存储器的控制逻辑的一部分。
[0169] 本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完 全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程 逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种 硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者 甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部 件内的结构。
[0170] 上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现， 或者由具有某种功能的产品来实现。
[0171] 为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本 申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
[0172] 通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可 借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质 上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品 可以存储在存储介质中，如R0M/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备 (可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例或者实施例的某些 部分所述的方法。
[0173] 本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部 分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实 施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例 的部分说明即可。
[0174] 本申请可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、月艮 务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置 顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备 的分布式计算环境等等。
[0175] 本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序 模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组 件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由 通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以 位于包括存储设备在内的本地和远程计算机存储介质中。
[0176] 虽然通过实施例描绘了本申请，本领域普通技术人员知道，本申请有许多变形和 变化而不脱离本申请的精神，希望所附的权利要求包括这些变形和变化而不脱离本申请的 精神。
【主权项】
1. 一种检测CC攻击的方法，其特征在于，包括： 获取预设数量的第一源IP到第一目标IP的访问请求记录； 统计所述获取的访问请求记录中请求来源页面标识为空的访问请求记录的数量； 基于所述统计的请求来源页面标识为空的访问请求记录的数量检测CC攻击。2. 如权利要求1所述的一种检测CC攻击的方法，其特征在于，所述获取预设数量的第 一源IP到第一目标IP的访问请求记录具体包括： 基于真实源IP的确定规则，获取预设数量的第一真实源IP到第一目标IP的访问请求 记录。3. 如权利要求2所述的一种检测CC攻击的方法，其特征在于，所述真实源IP的确定规 则具体包括： 当访问请求记录的x-f〇rward-for字段为空时，将源IP字段中的IP地址作为真实源 IP ;当访问请求记录的x_f〇rward-for字段为非空时，根据x-forward-for字段中的IP地 址确定真实源IP。4. 如权利要求1所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的请 求来源页面标识为空的访问请求记录的数量检测CC攻击具体包括： 设置第一检测阈值； 当所述统计的请求来源页面标识为空的访问请求记录的数量大于或者等于所述第一 检测阈值时，判定第一源IP到第一目标IP的访问请求为CC攻击。5. 如权利要求1所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的请 求来源页面标识为空的访问请求记录的数量检测CC攻击具体包括： 设置第二检测阈值； 当所述统计的请求来源页面标识为空的访问请求记录的数量小于所述第二检测阈值 时，判定第一源IP到第一目标IP的访问请求不是CC攻击。6. 如权利要求1所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的请 求来源页面标识为空的访问请求记录的数量检测CC攻击具体包括： 设置第一比例阈值； 当所述统计的请求来源页面标识为空的访问请求记录的数量占所述预设数量的比例 值大于或者等于所述比例阈值时，判定第一源IP到第一目标IP的访问请求为CC攻击。7. 如权利要求1所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的请 求来源页面标识为空的访问请求记录的数量检测CC攻击具体包括： 设置第二比例阈值； 当所述统计的请求来源页面标识为空的访问请求记录的数量占所述预设数量的比例 值小于所述第二比例阈值时，判定第一源IP到第一目标IP的访问请求不是CC攻击。8. -种检测CC攻击的方法，其特征在于，包括： 监控预设数量的第一源IP到第一目标IP的访问请求； 统计所述访问请求中请求来源页面标识为空的访问请求的累积数量； 基于所述统计的请求来源页面标识为空的访问请求的累积数量检测CC攻击。9. 如权利要求8所述的一种检测CC攻击的方法，其特征在于，所述监控预设数量的第 一源IP到第一目标IP的访问请求具体包括： 基于真实源IP的确定规则，监控预设数量的第一真实源IP到第一目标IP的访问请 求。10. 如权利要求9所述的一种检测CC攻击的方法，其特征在于，所述真实源IP的确定 规则具体包括： 当访问请求的x-forward-for字段为空时，将源IP字段中的IP地址作为真实源IP ; 当访问请求的x_f〇rward-for字段为非空时，根据x-forward-for字段中的IP地址确 定真实源IP。11. 如权利要求8所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的请 求来源页面标识为空的访问请求的累积数量检测CC攻击具体包括： 设置第三检测阈值； 当所述统计的请求来源页面标识为空的访问请求的累积数量大于或者等于所述第三 检测阈值时，判定第一源IP到第一目标IP的访问请求为CC攻击。12. 如权利要求8所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的请 求来源页面标识为空的访问请求的累积数量检测CC攻击具体包括： 设置第四检测阈值； 当所述统计的请求来源页面标识为空的访问请求的累积数量小于所述第四检测阈值 时，判定第一源IP到第一目标IP的访问请求不是CC攻击。13. 如权利要求8所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的请 求来源页面标识为空的访问请求的累积数量检测CC攻击具体包括： 设置第三比例阈值； 当所述统计的请求来源页面标识为空的访问请求的累积数量占所述预设数量的比例 值大于或者等于所述第三比例阈值时，判定第一源IP到第一目标IP的访问请求为CC攻 击。14. 如权利要求8所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的请 求来源页面标识为空的访问请求的累积数量检测CC攻击具体包括： 设置第四比例阈值； 当所述统计的请求来源页面标识为空的访问请求的累积数量占所述预设数量的比例 值小于所述第四比例阈值时，判定第一源IP到第一目标IP的访问请求不是CC攻击。15. -种检测CC攻击的方法，其特征在于，包括： 获取预设数量的第一源IP到第一目标IP的访问请求记录； 统计所述获取的访问请求记录中请求来源页面标识互不相同的访问请求记录的数 量； 基于所述统计的请求来源页面标识互不相同的访问请求记录的数量检测CC攻击。16. 如权利要求15所述的一种检测CC攻击的方法，其特征在于，所述获取预设数量的 第一源IP到第一目标IP的访问请求记录具体包括： 基于真实源IP的确定规则，获取预设数量的第一真实源IP到第一目标IP的访问请求 记录。17. 如权利要求16所述的一种检测CC攻击的方法，其特征在于，所述真实源IP的确定 规则具体包括： 当访问请求记录的x-f〇rward-for字段为空时，将源IP字段中的IP地址作为真实源 IP ; 当访问请求记录的x_f〇rward-for字段为非空时，根据x-forward-for字段中的IP地 址确定真实源IP。18. 如权利要求15所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的 请求来源页面标识互不相同的访问请求记录的数量检测CC攻击具体包括： 设置第五检测阈值； 当所述统计的请求来源页面标识互不相同的访问请求记录的数量小于所述第五检测 阈值时，判定第一源IP到第一目标IP的访问请求是CC攻击。19. 如权利要求15所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的 请求来源页面标识互不相同的访问请求记录的数量检测CC攻击具体包括： 设置第六检测阈值 当所述统计的请求来源页面标识互不相同的访问请求记录的数量大于或者等于所述 第六检测阈值时，判定第一源IP到第一目标IP的访问请求不是CC攻击。20. 如权利要求15所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的 请求来源页面标识互不相同的访问请求记录的数量检测CC攻击具体包括： 设置第五比例阈值； 当所述统计的请求来源页面标识互不相同的访问请求记录的数量占所述预设数量的 比例值小于所述第五比例阈值时，判定第一源IP到第一目标IP的访问请求是CC攻击。21. 如权利要求15所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的 请求来源页面标识互不相同的访问请求记录的数量检测CC攻击具体包括： 设置第六比例阈值； 当所述统计的请求来源页面标识互不相同的访问请求记录的数量占所述预设数量的 比例值大于或者等于所述第六比例阈值时，判定第一源IP到第一目标IP的访问请求不是 CC攻击。22. -种检测CC攻击的方法，其特征在于，包括： 监控预设数量的第一源IP到第一目标IP的访问请求； 统计请求来源页面标识互不相同的访问请求的累积数量； 基于所述统计的请求来源页面标识互不相同的访问请求的累积数量检测CC攻击。23. 如权利要求22所述的一种检测CC攻击的方法，其特征在于，所述监控预设数量的 第一源IP到第一目标IP的访问请求具体包括： 基于真实源IP的确定规则，监控预设数量的第一真实源IP到第一目标IP的访问请 求。24. 如权利要求23所述的一种检测CC攻击的方法，其特征在于，所述真实源IP的确定 规则具体包括： 当访问请求的x-forward-for字段为空时，将源IP字段中的IP地址作为真实源IP ; 当访问请求的x_f〇rward-for字段为非空时，根据x-forward-for字段中的IP地址确 定真实源IP。25. 如权利要求22所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的 请求来源页面标识互不相同的访问请求的累积数量检测CC攻击具体包括： 设置第七检测阈值； 当所述统计的请求来源页面标识互不相同的访问请求的累积数量小于所述第七检测 阈值时，判定第一源IP到第一目标IP的访问请求是CC攻击。26. 如权利要求22所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的 请求来源页面标识互不相同的访问请求的累积数量检测CC攻击具体包括： 设置第八检测阈值； 当所述统计的请求来源页面标识互不相同的访问请求的累积数量大于或者等于所述 第八检测阈值时，判定第一源IP到第一目标IP的访问请求不是CC攻击。27. 如权利要求22所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的 请求来源页面标识互不相同的访问请求的累积数量检测CC攻击具体包括： 设置第七比例阈值； 当所述统计的请求来源页面标识互不相同的访问请求的累积数量占所述预设数量的 比例值小于所述第七比例阈值时，判定第一源IP到第一目标IP的访问请求是CC攻击。28. 如权利要求22所述的一种检测CC攻击的方法，其特征在于，所述基于所述统计的 请求来源页面标识互不相同的访问请求的累积数量检测CC攻击具体包括： 设置第八比例阈值； 当所述统计的请求来源页面标识互不相同的访问请求的累积数量占所述预设数量的 比例值大于或者等于所述第八比例阈值时，判定第一源IP到第一目标IP的访问请求不是 CC攻击。29. -种检测CC攻击的设备，其特征在于，所述设备为独立于请求端和目标服务器的 第三方设备，包括访问请求记录获取单元，第一统计单元，第一判定单元以及第二判定单 元，其中： 所述访问请求记录获取单元，用来获取预设数量的第一源IP到第一目标IP的访问请 求记录； 所述第一统计单元，用来统计所述获取的访问请求记录中请求来源页面标识为空的访 问请求记录的数量； 所述第一判定单元，用来设置检测阈值；当所述统计的请求来源页面标识为空的访问 请求记录的数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的访问请求 为CC攻击；当所述统计的请求来源页面标识为空的访问请求记录的数量小于所述检测阈 值时，判定第一源IP到第一目标IP的访问请求不是CC攻击； 所述第二判定单元，用来设置比例阈值；当所述统计的请求来源页面标识为空的访问 请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第一源IP 到第一目标IP的访问请求为CC攻击；当所述统计的请求来源页面标识为空的访问请求记 录的数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到第一目标IP的 访问请求不是CC攻击。30. 如权利要求29所述的一种检测CC攻击的设备，其特征在于，所述访问请求记录获 取单元具体包括： 真实源IP访问请求记录获取模块，用来基于真实源IP的确定规则，获取预设数量的第 一真实源IP到第一目标IP的访问请求记录。31. -种检测CC攻击的设备，其特征在于，所述设备作为模块集成于目标服务器中，包 括监控单元，第二统计单元，第三判定单元以及第四判定单元，其中： 所述监控单元，用来监控预设数量的第一源IP到第一目标IP的访问请求； 所述第二统计单元，用来统计所述访问请求中请求来源页面标识为空的访问请求的累 积数量； 所述第三判定单元，用来设置检测阈值；当所述统计的请求来源页面标识为空的访问 请求的累积数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的访问请求 为CC攻击；当所述统计的请求来源页面标识为空的访问请求的累积数量小于所述检测阈 值时，判定第一源IP到第一目标IP的访问请求不是CC攻击； 所述第四判定单元，用来设置比例阈值；当所述统计的请求来源页面标识为空的访问 请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第一源IP 到第一目标IP的访问请求为CC攻击；当所述统计的请求来源页面标识为空的访问请求的 累积数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到第一目标IP的 访问请求不是CC攻击。32. 如权利要求31所述的一种检测CC攻击的设备，其特征在于，所述监控单元具体包 括： 真实源IP访问请求监控模块，用来基于真实源IP的确定规则，监控预设数量的第一真 实源IP到第一目标IP的访问请求。33. -种检测CC攻击的设备，其特征在于，所述设备为独立于请求端和目标服务器的 第三方设备，包括访问请求记录获取单元，第三统计单元，第五判定单元以及第六判定单 元，其中： 所述访问请求记录获取单元，用来获取预设数量的第一源IP到第一目标IP的访问请 求记录； 所述第三统计单元，用来统计所述获取的访问请求记录中请求来源页面标识互不相同 的访问请求记录的数量； 所述第五判定单元，用来设置检测阈值；当所述统计的请求来源页面标识互不相同的 访问请求记录的数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的访问 请求不是CC攻击；当所述统计的请求来源页面标识互不相同的访问请求记录的数量小于 所述检测阈值时，判定第一源IP到第一目标IP的访问请求为CC攻击； 所述第六判定单元，用来设置比例阈值；当所述统计的请求来源页面标识互不相同的 访问请求记录的数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第一源 IP到第一目标IP的访问请求不是CC攻击；当所述统计的请求来源页面标识互不相同的访 问请求记录的数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到第一 目标IP的访问请求为CC攻击。34. 如权利要求33所述的一种检测CC攻击的设备，其特征在于，所述访问请求记录获 取单元具体包括： 真实源IP访问请求记录获取模块，用来基于真实源IP的确定规则，获取预设数量的第 一真实源IP到第一目标IP的访问请求记录。35. -种检测CC攻击的设备，其特征在于，所述设备作为模块集成于目标服务器中，包 括监控单元，第四统计单元，第七判定单元以及第八判定单元，其中： 所述监控单元，用来监控预设数量的第一源IP到第一目标IP的访问请求； 所述第四统计单元，用来统计请求来源页面标识互不相同的访问请求的累积数量； 所述第七判定单元，用来设置检测阈值；当所述统计的请求来源页面标识互不相同的 访问请求的累积数量大于或者等于所述检测阈值时，判定第一源IP到第一目标IP的访问 请求不是CC攻击；当所述统计的请求来源页面标识互不相同的访问请求的累积数量小于 所述检测阈值时，判定第一源IP到第一目标IP的访问请求为CC攻击； 所述第八判定单元，用来设置比例阈值；当所述统计的请求来源页面标识互不相同的 访问请求的累积数量占所述预设数量的比例值大于或者等于所述比例阈值时，判定第一源 IP到第一目标IP的访问请求不是CC攻击；当所述统计的请求来源页面标识互不相同的访 问请求的累积数量占所述预设数量的比例值小于所述比例阈值时，判定第一源IP到第一 目标IP的访问请求为CC攻击。36. 如权利要求35所述的一种检测CC攻击的设备，其特征在于，所述监控单元具体包 括： 真实源IP访问请求监控模块，用来基于真实源IP的确定规则，监控预设数量的第一真 实源IP到第一目标IP的访问请求。
【文档编号】H04L29/06GK105991511SQ201510040959
【公开日】2016年10月5日
【申请日】2015年1月27日
【发明人】宋阳阳, 祝建跃
【申请人】阿里巴巴集团控股有限公司