挑战黑洞攻击的检测方法及相关装置与流程

本公开涉及网络安全领域，具体而言，涉及一种挑战黑洞攻击的检测方法及相关装置。

背景技术：

挑战黑洞cc(challengecollapsar，cc)攻击是一种以网站页面为主要攻击目标的应用层ddos攻击.攻击者在发起攻击时选择服务器开放的页面中需要较多资源开销的应用，例如需要占用服务器大量的cpu资源进行运算的页面或者需要大量访问数据库的应用，当服务器来不及处理这些访问请求时.将导致该页面不能响应正常用户的访问请求.此时正常的访问将被拒绝。

现有技术仅仅依据访问请求的速率和集中度检测是否存在cc攻击，具有较高的误报率。

技术实现要素：

本公开的目的在于提供一种挑战黑洞攻击的检测方法及相关装置，通过结合访问请求的速率、集中度及服务器的当前运行状态，可以降低误报率。

为了实现上述目的，本公开实施例采用的技术方案如下：

第一方面，本公开实施例提供一种挑战黑洞攻击的检测方法，应用于网络设备，网络设备与客户端和服务器通信连接，客户端通过网络设备向服务器发送页面访问请求，所述方法包括：依据页面访问请求对应的url的统计信息，计算url的请求速率和/或集中度；依据请求速率和/或集中度判断是否存在可疑挑战黑洞cc攻击；若存在可疑cc攻击，则获取服务器的当前运行状态信息；若当前运行状态信息满足预设条件，则判定可疑cc攻击为cc攻击。

第二方面，本公开实施例提供一种挑战黑洞攻击的检测装置，应用于网络设备，网络设备与客户端和服务器通信连接，客户端通过网络设备向服务器发送页面访问请求，所述装置包括计算模块、可疑攻击判断模块及第一攻击确定模块，其中，计算模块，用于依据页面访问请求对应的url的统计信息，计算url的请求速率和/或集中度；可疑攻击判断模块，用于依据请求速率和/或集中度判断是否存在可疑cc攻击；第一攻击确定模块，用于：若存在可疑cc攻击，则获取服务器的当前运行状态信息；若当前运行状态信息满足预设条件，则判定可疑cc攻击为cc攻击。

第三方面，本公开实施例提供一种网络设备，网络设备包括：一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如前述实施方式中任一项所述的挑战黑洞攻击的检测方法。

第四方面，本公开实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前述实施方式中任一项所述的挑战黑洞攻击的检测方法。

相对现有技术，本公开具有以下有益效果：本公开实施例提一种挑战黑洞攻击的检测方法及相关装置，首先根据url的请求速率和/或集中度判断是否存在可疑挑战黑洞cc攻击，若存在可疑cc攻击，在获取服务器的当前运行状态信息，通过判断服务器的当前运行状态信息是否满足预设条件，确定可疑cc攻击是否为真正的cc攻击，由于本公开将请求速率和/或集中度与服务器的当前运行状态信息相结合，使得cc攻击的检测更准确，降低了cc攻击检测的误报率。

为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本公开的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本公开实施例提供的应用场景示意图。

图2示出了本公开实施例提供的网络设备的示意框图。

图3示出了本公开实施例提供的一种挑战黑洞攻击的检测方法的流程图。

图4示出了本公开实施例提供的另一种挑战黑洞攻击的检测方法的流程图。

图5示出了本公开实施例提供的url的统计信息的更新方法的流程图。

图6示出了本公开实施例提供的一种挑战黑洞攻击的检测装置的功能模块框图。

图标：10-网络设备；20-客户端；30-服务器；11-存储器；12-通信接口；13-处理器；14-总线；100-挑战黑洞攻击的检测装置；110-计算模块；120-可疑攻击判断模块；130-第一攻击确定模块；140-第二攻击确定模块；150-更新模块。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围，而是仅仅表示本公开的选定实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本公开的描述中，需要说明的是，若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该发明产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本公开和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本公开的限制。

此外，若出现术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

需要说明的是，在不冲突的情况下，本公开的实施例中的特征可以相互结合。

cc攻击方式主要有3种：单主机虚拟多ip地址攻击方式、代理服务器群攻击方式和僵尸网络攻击方式。其中，在单主机虚拟多ip地址攻击方式中，攻击者利用一台主机虚构出多个ip地址向服务器的指定页面发送访问请求包，当服务器来不及处理这些访问请求时.将导致该页面不能响应正常用户的访问请求.此时正常的访问将被拒绝。在代理服务器群攻击方式中，攻击者通过攻击主机发送页面访问请求给代理服务器,然后攻击主机可以立刻断开与代理服务器的本次连接,并马上发送下一次的访问请求，由于代理服务器接受访问请求指令后一定会对应用服务器的指定页面资源进行访问，当应用服务器来不及处理大量的访问请求时，将导致该页面不能响应正常用户的访问请求，此时正常的访问将被拒绝。在僵尸网络攻击方式中，攻击者通过攻击主机发送攻击指令到僵尸主机上，由僵尸主机自动发送页面访问请求给应用服务器，当使用具有一定规模的僵尸网络进行cc攻击时，将会对应用服务器页面造成巨大的访问流量.可导致服务器瘫痪。由此可见，随着cc攻击形式的升级，越来越多的cc攻击在攻击时，通常采用的攻击流量是各不相同的、真实的lp地址和一个相对完整的访问过程，这种攻击方式高度模拟了众多用户正常访问应用服务器的过程，因此具有很强的隐蔽性，现有的单纯利用请求速率和/或集中度的检测cc攻击的方法已经不能满足检测cc攻击的精确度的要求。

有鉴于此，本公开提供了一种挑战黑洞攻击的检测方法及相关装置，可以降低cc攻击检测的误报率。下面将对其进行详细描述。

请参考图1，图1示出了本公开实施例提供的应用场景示意图，图1中，网络设备10与客户端20及服务器30均通信连接，当客户端20需要访问服务器30时，首先将页面访问请求发送至网络设备10，网络设备10将该页面访问请求转发至服务器30，服务器30将响应该页面访问请求的反馈信息发送至网络设备10，网络设备10将该反馈信息转发至客户端20，当客户端20为攻击者或者被攻击者控制时，会通过网络设备10向服务器30发送大量的页面访问请求，网络设备10对收到的页面访问请求进行cc攻击检测，当检测到来自客户端20页面访问请求为cc攻击时，就会阻断来自客户端20的页面访问请求，从而避免服务器30因遭受cc攻击不能正常提供服务。

本公开实施例提供的挑战黑洞攻击的检测方法可以应用于图1中的网络设备10，下面对网络设备10的示意框图进行介绍。

请参照图2，图2示出了本公开实施例提供的网络设备10的示意框图。网络设备10还包括存储器11、通信接口12、处理器13和总线14。存储器11、通信接口12，处理器13通过总线14连接。

存储器11用于存储程序，例如上述的挑战黑洞攻击的检测装置，挑战黑洞攻击的检测装置包括至少一个可以软件或固件(firmware)的形式存储于存储器11中的软件功能模块，处理器13在接收到执行指令后，执行所述程序以实现上述实施例揭示的挑战黑洞攻击的检测方法。

存储器11可能包括高速随机存取存储器(ram：randomaccessmemory)，也可能还包括非易失存储器(non-volatilememory)，例如至少一个磁盘存储器。可选地，存储器11可以是内置于处理器13中的存储装置，也可以是独立于处理器13的存储装置。

通过至少一个通信接口12(可以是有线或者无线)实现网络设备10与其他外部设备的通信连接。

总线14可以是isa总线、pci总线或eisa总线等。图2中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

处理器13可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器13中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器13可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本公开实施例还提供一种可以应用于图2中网络设备10的挑战黑洞攻击的检测方法的流程图，请参照图3，图3示出了本公开实施例提供的挑战黑洞攻击的检测方法的流程图，该方法包括以下步骤：

步骤s101，依据页面访问请求对应的url的统计信息，计算url的请求速率和/或集中度。

在本实施例中，可以实时计算url的请求速率和/或集中度，也可以计算一个检测周期内url的请求速率和/或集中度，检测周期为预先设置的用于判断是否存在可疑cc攻击的时间周期，每个检测周期进行一次可以cc攻击的判断，可以根据实际场景的需要对检测周期进行设置，当对cc检测的实时性要求高时，可以将检测周期设置短一些，例如，将检测周期设置为1s，当对cc检测的实时性要求低时，可以将检测周期设置长一些，例如，将检测周期设置为10s。检测周期的长短对当前网络设备的业务处理的影响也不一样，检测周期越短，对当前网络设备的业务处理影响越大，检测周期越长，对当前网络设备的业务处理影响越小，用户可以根据需求，对cc检测的实时性和对当前网络设备的业务处理的影响两个方面进行权衡后对检测周期进行设置。

在本实施例中，网络设备10在收到页面访问请求后，获取发出该页面访问请求的源ip地址，从该页面访问请求中提取出的url，即页面访问请求中需要访问的页面的地址，根据源ip地址和url对页面访问请求进行统计，对来自于同一个源ip地址、访问同一个网站的同一个网页的页面访问请求进行统计。需要说明的是，除了获取源ip地址，还可以获取该页面访问请求mdcid、vrfindex等信息，其中，mdcid用于唯一标识多租户设备环境mdc(multitenantdevicecontexts，mdc)。一个mdc是一台逻辑设备，通过虚拟化技术将一台物理设备划分多台逻辑设备，拥有自己专属的软硬件资源，独立运行。对于用户来说，每台mdc可以认为就是一台独立的物理设备。vrfindex为vpn路由转发表vrf(virtualroutingforwarding，vrf)的索引号，vrf允许一个路由表的多个实例在同一时间同一个路由器共存，提供了从一台物理路由器编程多台虚拟路由器的功能。本实施例中，还可以根据源ip地址、mdcid、vrfindex及url对页面访问请求进行统计，即对来自于同一个源ip地址、通过相同的mdc、及相同的vrfindex对同一个网站的同一个网页进行访问的页面访问请求进行统计。

在本实施例中，对于同一个源ip地址或者同一个源ip地址、同一个mdc及同一个vrfindex来说，以计算一个检测周期内的url的请求速率和/或集中度为例，其中每一个url的请求速率＝该url中的页面访问请求的次数/检测周期，集中度＝该url中页面访问请求的次数/所有url中页面访问请求的次数之和。例如，在当前检测周期内，同一个源ip地址共访问了url1和url2两个url，url1的页面访问请求的次数为10，url2的页面访问请求的次数为20，检测周期为10s，则url1的请求速率＝10/10s＝1，即每秒1的请求数为1，url1的集中度＝10/(10+20)＝1/3。

步骤s102，依据请求速率和/或集中度判断是否存在可疑挑战黑洞cc攻击。

在本实施例中，根据实际场景的需要，可以只依据请求速率判断是否存在可疑cc攻击，即当请求速率大于预设速率阈值时，判定存在可疑cc攻击，否则判定不存在可疑cc攻击。也可以只依据集中度判断是否存在可疑cc攻击，即当集中度大于预设集中度阈值时，判定存在可疑cc攻击，否则判定不存在可疑cc攻击。还可以设置请求速率和集中度的优先级，例如，设置请求速率的优先级高于集中度的优先级，当请求速率小于等于预设速率阈值时，再判断集中度是否大于预设集中度阈值，当大于预设集中度阈值时，判定存在可疑cc攻击，否则判定不存在可疑cc攻击。

步骤s103，若存在可疑cc攻击，则获取服务器的当前运行状态信息。

在本公开实施例中，当前运行状态信息为可以衡量服务器30的负载的信息，例如，服务器30的cpu的利用率，内存的利用率等等。

步骤s104，若当前运行状态信息满足预设条件，则判定可疑cc攻击为cc攻击。

在本公开实施例中，预设条件为服务器30不可以正常运行的预设范围，例如，服务器30不可以正常运行的预设范围为cpu的利用率大于70％，当cpu的利用率在此预设范围内，则认为服务器30正在遭受cc攻击，已经存在不能正常运行的风险，当前可疑cc攻击为cc攻击。另外，预设条件也可是预设非正常阈值的预设范围，例如，预设非正常阈值为10，预设范围为(-1％，+1％)，即在预设非正常阈值基础上，上浮不超过1％，下浮不超过1％，均为满足预设条件，否则为不满足预设条件。

上述实施例提供的黑洞攻击的检测方法通过结合访问请求的速率、集中度及服务器的当前运行状态，在根据请求速率和集中度判断出可疑cc攻击后，再进一步根据服务器的当前运行状态确定该可疑cc攻击是否为真正的cc攻击，由此降低了cc攻击检测的误报率。

在本公开实施例中，作为一种具体实施方式，当前运行状态信息包括cpu运行数据、内存运行数据及网络运行数据，判定可疑cc攻击为cc攻击可以通过以下方式实现：

当cpu运行数据、内存运行数据及网络运行数据中任一数据不在对应的预设范围内，则判定可疑cc攻击为cc攻击。

在本公开实施例中，此时预设条件为：cpu运行数据、内存运行数据及网络运行数据中任一数据不在对应的预设范围内，cpu运行数据包括、但不限于cpu的利用率，cpu的空闲率等、内存运行数据包括、但不限于内存的利用率，内存可用页面数等。网络运行数据包括、但不限于链路状态、网络性能、网络提供的服务及服务质量。

获取服务器的当前运行状态信息可以通过预先运行在服务器上的性能监控软件获取，也可以通过执行相关命令获取。性能监控软件包括、但不限于paesslerprtg网络监控软件、librenms监控软件、网络质量分析nqa(networkqualityanalyzer，nqa)工具等。相关命令可以是操作系统本身提供的命令，也可以是基于操作系统本身提供的命令再次开发的新命令，例如，服务器上运行的操作系统为linux，可以通过执行top命令查看cpu的利用率。

需要说明的是，当前运行状态信息并不仅限于cpu运行数据、内存运行数据及网络运行数据，还可以包括对于页面访问请求进行处理的进程的运行数据、存储资源的利用数据等信息。

本公开实施例采用服务器的运行状态信息进一步判断可疑cc攻击是否为真正的cc攻击，可以随时根据服务器的运行状况和当前的应用场景合理调节运行状态信息中每一项运行数据的预设范围，提高cc攻击的检测的准确性。

基于与上述挑战黑洞攻击的检测方法相同的发明思路，本公开实施例还提供了另一种判断可疑cc攻击是否为cc攻击的方式，请参照图4，图4示出了本公开实施例提供的另一种挑战黑洞攻击的检测方法的流程图，判断可疑cc攻击是否为cc攻击的方式还可以包括以下步骤：

步骤s105，若存在可疑cc攻击，则计算url的处理时间；其中，url的处理时间为网络设备向服务器发送与url对应的页面访问请求到网络设备接收到服务器响应页面访问请求而发送的反馈信息的平均处理时间。

在本实施例中，url的处理时间可以实时进行计算，也可以计算一个检测周期内url的处理时间。对于每一页面访问请求，网络设备10计算从将该页面访问请求转发至服务器30的转发时间至接收到服务器30响应该页面访问请求而发生的反馈信息的接收时间，将接收时间与对应的转发时间之间的时长作为该页面访问请求的处理时间，将每一url中所有页面访问请求的处理时间的平均值作为url的处理时间。例如，访问针对网站1的页面1这一url的页面访问请求共有5个，对应的处理时间分别为：1、2、1、2、1，则该url的处理时间为：(1+2+1+2+1)/5＝1.4。

步骤s106，若url的处理时间大于预设阈值，则判定可疑cc攻击为cc攻击。

在本实施例中，预设阈值为服务器30能够正常处理页面访问请求的处理时间，该预设阈值可以由用户根据实际应用场景的进行设置，例如，在服务器30的业务繁忙期间，该预设阈值可以设置稍长一些，例如5秒，在服务器30的业务空闲期间，该预设阈值可以设置稍短一些，例如1秒。

步骤s105和步骤s106可以与步骤s103和步骤s104并列的判断方法，即，两者可以取其一，也可以作为步骤s103和步骤s104的补充，即先根据步骤s103和步骤s104判断，若不满足预设条件，再判断步骤s105和步骤s106。

需要说明的是，为了保证cc攻击的检测的灵活性，一方面，可以设置一个开关，只有当开关开启时，才在当前检测周期结束判断是否存在可疑cc攻击，否则，不启动可疑cc攻击的判断，当然也不会进行后续的可疑cc攻击是否为cc攻击的判断。另一方面，也可以设置白名单，对于符合白名单的网页访问请求直接转发至服务器30，不需要依据该网页访问请求更新对应的url的统计信息。

还需要说明的是，在判定存在cc攻击后，可以配置针对cc攻击的处理动作，例如，将url对应的源ip地址加入黑名单，以使网络设备10对来自于该源ip地址的页面访问请求直接丢弃，不再转发至服务器30，避免了对服务器30的cc攻击。

还需要说明的是，为了提高判断可疑cc攻击的准确性，可以在判断请求速率和/或集中度之后，增加人机识别的测试，人机识别通常随机生成的一串字母和/或数字(显示为经过变形处理的图片)，以及一个文本框。要通过测试并以此证明您是人，只需将您在图片中看到的字符输入文本框即可。由此可以辨别出伪造的页面访问请求。

上述实施例提供的挑战黑洞攻击的检测方法通过增加页面访问请求的处理时间的判断，可以进一步降低cc攻击的检测的误报率。

在本实施例中，为了保证cc攻击的检测的准确性，需要对url进行精确的统计，因此，本公开实施例还提供了一种url的统计信息的更新方法。请参照图5，图5示出了本公开实施例提供的url的统计信息的更新方法的流程图，该更新方法包括：

步骤s201，接收客户端发送的访问服务器的页面访问请求。

步骤s202，解析页面访问请求，获取页面访问请求的url标识。

在本实施例中，url标识可以由源ip地址和url组合得到，也可以由源ip地址、mdcid、vrfindex组合得到。

需要说明的是，可以通过设置规则过滤条件，将页面访问请求先进行过滤，只对过滤后的页面访问请求进行url的统计。例如，预先设置规则，规则中包括目的ip、目的端口、过滤指标，根据解析得到的页面访问请求的目的ip、目的端口、判断页面访问请求是否满足过滤指标，将满足过滤指标的页面访问请求过滤到，不参与后续的url的统计。

步骤s203，依据url标识更新页面访问请求对应的url的统计信息。

在本实施例中，url的统计信息包括、但不限于当前时刻或者当前检测周期内页面访问请求对应的url、每一url的页面访问请求的次数、每一页面访问请求的处理时间等。例如，当前检测周期内，来自源ip地址192.168.1.10访问的页面，及每一页面的访问次数。

需要说明的是，当设置检测周期时，计算请求速率和集中度可以在每个检测周期结束进行计算，计算请求速率和集中度之后，网络设备10会将各url的统计信息删除，以保证下一个检测周期的统计信息不受当前检测周期的影响，使当前检测周期的url的统计信息可以真实地反映出当前检测周期内url的访问情况，从而保证cc攻击的检测的准确性和实时性。

为了执行上述实施例及各个可能的实施方式中的相应步骤，下面给出一种挑战黑洞攻击的检测装置的实现方式。请参阅图6，图6为本公开实施例提供的一种挑战黑洞攻击的检测装置100的功能模块图。需要说明的是，本实施例所提供的挑战黑洞攻击的检测装置100，其基本原理及产生的技术效果和上述实施例相同，为简要描述，本实施例部分未提及指出，可参考上述实施例中的相应内容。该挑战黑洞攻击的检测装置100应用于网络设备10，下面结合图2及图6对该挑战黑洞攻击的检测装置100进行介绍，该挑战黑洞攻击的检测装置100包括：计算模块110、可疑攻击判断模块120、第一攻击确定模块130、第二攻击确定模块140及更新模块150。

计算模块110，用于依据页面访问请求对应的url的统计信息，计算url的请求速率和/或集中度。

可疑攻击判断模块120，用于依据请求速率和/或集中度判断是否存在可疑挑战黑洞cc攻击。

第一攻击确定模块130，用于：若存在可疑cc攻击，则获取服务器的当前运行状态信息；若当前运行状态信息满足预设条件，则判定可疑cc攻击为cc攻击。

具体地，服务器的当前运行状态信息包括cpu运行数据、内存运行数据及网络运行数据，第一攻击确定模块130具体用于：当cpu运行数据、内存运行数据及网络运行数据中任一数据不在对应的预设范围内，则判定可疑cc攻击为cc攻击。

第二攻击确定模块140，用于：若存在可疑cc攻击，则计算url的处理时间；其中，url的处理时间为网络设备向服务器发送与url对应的页面访问请求到网络设备接收到服务器响应页面访问请求而发送的反馈信息的平均处理时间；若url的处理时间大于预设阈值，则判定可疑cc攻击为cc攻击。

更新模块150，用于：接收客户端发送的访问服务器的页面访问请求；解析页面访问请求，获取页面访问请求的url标识；依据url标识更新页面访问请求对应的url的统计信息。

图6中的挑战黑洞攻击的检测装置100可以存储于图2中的存储器11中，当图2中的处理器13在接收到执行指令后，执行挑战黑洞攻击的检测装置100的程序以实现上述实施例揭示的挑战黑洞攻击的检测方法。

本公开实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前述实施方式中任一项所述的挑战黑洞攻击的检测方法。

综上所述，本公开实施例提供一种挑战黑洞攻击的检测方法及相关装置，应用于网络设备，网络设备与客户端和服务器通信连接，客户端通过网络设备向服务器发送页面访问请求，所述方法包括：依据页面访问请求对应的url的统计信息，计算url的请求速率和/或集中度；依据请求速率和/或集中度判断是否存在可疑挑战黑洞cc攻击；若存在可疑cc攻击，则获取服务器的当前运行状态信息；若当前运行状态信息满足预设条件，则判定可疑cc攻击为cc攻击。相对于现有技术，本公开具有以下有益效果：本公开实施例通过结合访问请求的速率、集中度及被攻击者的当前运行状态检测是否存在cc攻击，降低cc攻击检测的误报率。

以上所述，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以所述权利要求的保护范围为准。