基于机器学习的防御CC攻击系统与方法与流程

本发明涉及互联网信息技术领域，具体涉及一种基于机器学习的防御cc攻击系统与方法。

背景技术：

随着信息技术的不断发展，计算机的不断普及，互联网的安全问题也日益彰显。cc攻击就是其中最常见的网页攻击方式之一，在安全防护中，对它的防御措施必不可少。

目前我们在判断服务器是否遭受cc攻击的时候，通常有以下局限性：1)判断是否遭受cc攻击只能通过人工的方式进行排查，比如查看系统日志等方法，从而给工作人员带来很大的工作量；2)在遭受到cc攻击一段时间后才会开始排查，这导致费时费力效果也不佳；3)人工不可能实时监控系统日志，不能及时发现遭受cc攻击，可能导致服务器无法正常连接。因此，本发明针对日志方面的防御cc攻击的及时性需求而产生。

技术实现要素：

本发明克服了现有技术的不足，提供一种基于机器学习的防御cc攻击系统与方法，旨在实现自动学习、自动预测判断和自动防护的功能。

考虑到现有技术的上述问题，根据本发明公开的一个方面，本发明采用以下技术方案：

一种基于机器学习的防御cc攻击系统，包括：

训练样本模块，用于提供训练特征因子和训练输出结果；

机器学习算法模块，用于训练样本的分析与学习以及预测判断模块的建立与完善；

预测判断模块，用于实时监控并分析访问信息，分析得出预测结果，并将存在cc攻击风险的所述预测结果发送至cc攻击防护系统模块；

cc攻击防护系统模块，用于根据所述预测结果进行相应的防护操作。

为了更好地实现本发明，进一步的技术方案是：

根据本发明的一个实施方案，所述训练特征因子，包括：

人工提供的服务器日志。

根据本发明的另一个实施方案，所述训练输出结果，包括：

人工搜集的所述服务器日志是否遭受cc攻击的结果。

根据本发明的另一个实施方案，所述机器学习算法模块，包括：

用于获取所述训练样本模块中的训练特征因子和训练输出结果，根据获取的信息提取带有特定属性的特征值，并根据其属性对特征值进行分类管理形成cc攻击特征值库和非cc攻击特征值库，以及根据两个特征值库对已知遭受cc攻击的信息和未遭受cc攻击的信息进行是否遭受cc攻击的判断，如果判断错误，则对特征库进行修改，如果判断正确，则增加此特征权重；通过所述机器学习算法模块的学习修正，得到的两个特征值库构成预测判断模块。

根据本发明的另一个实施方案，所述预测判断模块实时监控并分析的访问信息，包括：

服务器上的访问日志。

根据本发明的另一个实施方案，所述预测判断模块发现所述访问日志异常的情况下，则将预测结果输出至所述cc攻击防护系统模块。

根据本发明的另一个实施方案，所述cc攻击防护系统模块实时监控预测判断模块的预测输出。

根据本发明的另一个实施方案，所述cc攻击防护系统模块的防护操作，包括：

屏蔽异常的ip访问权限。

根据本发明的另一个实施方案，还包括：

预测样本模块，用于准备待测试的访问信息的物理地址。

本发明还可以是：

一种基于机器学习的防御cc攻击方法，包括：

步骤一、训练样本模块中准备训练特征因子和训练输出结果；

步骤二、机器学习算法模块获取所述训练特征因子和训练输出结果；

步骤三、机器学习算法模块检测并分析访问日志信息，从而获取它的特征值，所述特征值带有特定属性；

步骤四、机器学习算法模块将特征值根据其属性进行分类管理，形成两个特征值库，包括：cc攻击特征值库、非cc攻击特征值库；

步骤五、机器学习算法模块根据两个特征值库对已知遭受cc攻击的访问日志和大量的未遭受cc攻击的访问日志进行是否遭受cc攻击的判断，如果此判断错误，则对特征库进行修改，如果判断正确，则增加此特征权重；

步骤六、机器学习算法模块经过步骤五的数据的学习修正，形成两个较为稳定的特征值库，从而构成了预测判断模块；

步骤七、预测样本模块中准备好待测试的访问日志的物理地址；

步骤八、预测判断模块实时监控并分析待测试的访问日志，得到预测结果，包括遭受cc攻击、未遭受cc攻击；

步骤九、预测判断模块将预测结果送至cc攻击防护系统模块；

步骤十、cc攻击防护系统模块对遭受cc攻击的ip地址进行屏蔽操作。

与现有技术相比，本发明的有益效果之一是：

本发明的一种基于机器学习的防御cc攻击系统与方法，其投入成本低，能从访问日志这一角度及时的阻止大部分的cc攻击，给负责安全的工作人员减少了很大的工作量，为即时发现cc攻击提供了有效手段，同时保证了系统安全，提高了用户体验。

附图说明

为了更清楚的说明本申请文件实施例或现有技术中的技术方案，下面将对实施例或现有技术的描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅是对本申请文件中一些实施例的参考，对于本领域技术人员来讲，在不付出创造性劳动的情况下，还可以根据这些附图得到其它的附图。

图1为根据本发明一个实施例的防御cc攻击系统的示意图。

图2为根据本发明一个实施例的防御cc攻击的应用环境示意图。

具体实施方式

下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。

图1示出了根据本发明一个实施例的基于机器学习的防御cc攻击系统框图，如图1所示，一种基于机器学习的防御cc攻击系统，包括：

训练样本模块，用于提供训练特征因子和与之具有一一对应关系的训练输出结果。其中，训练特征因子可为人工提供大量的服务器日志，训练输出结果可为人工搜集的该日志是否遭受cc攻击的结果。

机器学习算法模块，用于训练样本的分析与学习以及预测判断模块的建立与完善。具体可包括：用于获取所述训练样本模块中的训练特征因子和训练输出结果，根据获取的信息提取带有特定属性的特征值，并根据其属性对特征值进行分类管理形成cc攻击特征值库和非cc攻击特征值库，以及根据两个特征值库对已知遭受cc攻击的信息和未遭受cc攻击的信息进行是否遭受cc攻击的判断，如果判断错误，则对特征库进行修改，如果判断正确，则增加此特征权重；通过所述机器学习算法模块的学习修正，得到的两个特征值库构成预测判断模块。

预测样本模块，用于准备待测试的访问信息的物理地址。例如，预测样本模块中准备好待测试的访问日志的物理地址。

预测判断模块，用于实时监控并分析访问信息，如待测试的访问日志，分析得出预测结果，预测结果可包括遭受cc攻击和未遭受cc攻击，并将存在cc攻击风险的所述预测结果发送至cc攻击防护系统模块。

cc攻击防护系统模块，用于根据所述预测结果进行相应的防护操作，例如cc攻击防护系统模块对遭受cc攻击的ip地址进行屏蔽操作。以及cc攻击防护系统模块可对预测判断模块的预测输出进行实时监控。

另一实施例，结合附图2所示，一种基于机器学习的防御cc攻击方法，包括：

预置条件：被访问的服务器、操作系统为win7或win8或win10的pc；

步骤一、训练样本模块中准备好大量的训练特征因子和大量的训练输出，包括大量的遭受cc攻击的访问日志和大量的未遭受cc攻击的访问日志信息，进入步骤二；

步骤二、机器学习算法模块将大量的遭受cc攻击的访问日志和大量的未遭受cc攻击的访问日志信息放到一个待分析的文件夹下，进入步骤三；

步骤三、机器学习算法模块通过算法检测并分析访问日志信息，从而获取它的特征值，并将特征值存入文件夹内，该特征值带有特定属性，例如遭受cc攻击的特征值或者未遭受cc攻击的特征值，进入步骤四；

步骤四、机器学习算法模块将特征值根据其属性进行分类管理，形成两个特征值库，包括：cc攻击特征值库、非cc攻击特征值库，进入步骤五；

步骤五、机器学习算法模块根据两个特征库对大量的已知遭受cc攻击的访问日志和大量的未遭受cc攻击的访问日志进行是否遭受cc攻击的预测判断，如果此判断错误，则对特征库中不准确的特征进行删除修改，如果判断正确，则增加此特征权重。；

步骤六、机器学习算法模块经过步骤五的不断循环重复，用大量数据进行学习修正，最终形成两个较为稳定的特征值库，从而构成了预测判断模块；

步骤七、预测样本模块中准备好待测试的访问日志的物理地址。将新构成的预测判断模块和cc攻击防护系统模块安装在如图二的服务器上，进入步骤八；

步骤八、预测判断模块实时监控并分析待测试的访问日志，得到预测结果，包括遭受cc攻击、未遭受cc攻击；

步骤九、预测判断模块将预测结果送至cc攻击防护系统模块，进入步骤十；

步骤十、cc攻击防护系统模块在根目录的.htaccess文件中自动加入语句：<ifmodulemod_rewrite.c>rewriteengineon##blockiprewritecond％{http:x-forwarded-for}&％{remote_addr}(需屏蔽ip|需屏蔽ip|需屏蔽ip)[nc]

rewriterule(.*)–[f]</ifmodule>以此方法对遭受cc攻击的ip地址进行屏蔽操作。

综上而言，本发明通过机器学习算法模块对受到cc攻击的日志和没有受到cc攻击的日志进行分析和学习，得到训练好的预测判断模块，此模块对服务器上的日志信息进行实时监听、分析和抓取，预测出是否受到cc攻击。如果分析结果显示遭受cc攻击，则将具体信息传递至cc攻击防护系统，由此系统屏蔽该ip地址。通过此防御cc攻击的方法，会快速实时准确地预测出服务器是否受到cc攻击，极大的增强了服务器防御cc攻击的能力，更加坚固了网络安全的防护功能。本发明能较好的解决防御cc攻击实时性的问题，且在应用上不局限于某一种设备系统。

本说明书中各个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同相似部分相互参见即可。在本说明书中所谈到的“一个实施例”、“另一个实施例”、“实施例”等，指的是结合该实施例描述的具体特征、结构或者特点包括在本申请概括性描述的至少一个实施例中。在说明书中多个地方出现同种表述不是一定指的是同一个实施例。进一步来说，结合任一实施例描述一个具体特征、结构或者特点时，所要主张的是结合其他实施例来实现这种特征、结构或者特点也落在本发明的范围内。

尽管这里参照本发明的多个解释性实施例对本发明进行了描述，但是，应该理解，本领域技术人员可以设计出很多其他的修改和实施方式，这些修改和实施方式将落在本申请公开的原则范围和精神之内。更具体地说，在本申请公开和权利要求的范围内，可以对主题组合布局的组成部件和/或布局进行多种变型和改进。除了对组成部件和/或布局进行的变型和改进外，对于本领域技术人员来说，其他的用途也将是明显的。