拒绝服务攻击的攻击源的识别方法和装置

摘要

本发明提供了一种拒绝服务攻击的攻击源的识别方法和装置。该拒绝服务攻击的攻击源的识别方法包括：接收触发攻击源识别的异常事件；获取在第一预定时间段内向目标主机发出的访问请求总量；确定在第一预定时间段内向目标主机发出的访问请求量最大的请求源，并记录请求源发出的请求访问的数量为第一访问量；判断第一访问量占访问请求总量的比率是否超过预设比值，若是，确定请求源为拒绝服务攻击的攻击源。利用本发明的技术方案，在对单一请求源对目标主机进行拒绝服务攻击时的识别准确性高，可以有效地对拒绝服务攻击中单攻击源的攻击方式进行识别和防护，提高了网络安全性。

说明书

技术领域

本发明涉及互联网安全领域，特别是涉及一种拒绝服务攻击的攻击源的识 别方法和装置。

背景技术

拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑 客常用的攻击手段之一。大量超出响应能力的请求会大量消耗目标主机的资 源，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的 访问。严重时可以使某些服务被暂停甚至主机死机。

作为拒绝服务攻击的一种，CC攻击（Challenge Collapsar，挑战黑洞攻击）， 是利用不断对网站发送连接请求致使形成拒绝服务的目的的一种恶意攻击手 段。其原理为模拟多个用户不停地进行访问那些需要大量数据操作的页面，造 成目标主机服务器资源耗尽，一直到宕机崩溃。

由于CC攻击的攻击方式是通过模拟用户的访问请求，难以进行区分，而 且CC攻击的技术门槛较低，利用一些工具和一定熟练数量的代理IP就可以 进行攻击，而且CC攻击的攻击效果明显。

现有技术中针对拒绝服务攻击，特别是CC攻击的处理方案，主要禁止网 站代理访问，限制连接数量，尽量将网站做成静态页面等方法进行，然而以上 禁止代理访问和限制连接数量的方法会影响正常用户访问网站，另外由于网页 的类型和内容的限制，也无法将网页全部设置为静态页面，而且这种方式也不 能消除CC攻击的效果。因此，为了对CC攻击进行合理有效的防护，需要首 先识别出进行CC攻击的攻击源。但是针对现有技术中无法准确识别拒绝服务 攻击的攻击源的问题，目前尚未提出有效的解决方案。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地 解决上述问题的拒绝服务攻击的攻击源的识别装置和相应的拒绝服务攻击的 攻击源的识别方法。本发明一个进一步的目的是要识别出拒绝服务攻击的攻击 源，以便有针对性地进行安全防护。

依据本发明的一个方面，提供了一种拒绝服务攻击的攻击源的识别方法。 该拒绝服务攻击的攻击源的识别方法包括：接收触发攻击源识别的异常事件； 获取在第一预定时间段内向目标主机发出的访问请求总量；确定在第一预定时 间段内向目标主机发出的访问请求量最大的请求源，并记录请求源发出的请求 访问的数量为第一访问量；判断第一访问量占访问请求总量的比率是否超过预 设比值，若是，确定请求源为拒绝服务攻击的攻击源。

可选地，异常事件的生成步骤包括：判断在第二预定时间段内向目标主机 发出的访问请求总量是否超出预设的访问量最大阈值；若是，生成触发攻击源 识别的异常事件。

可选地，异常事件的生成步骤包括：判断在第三预定时间段内目标主机根 据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率 阈值；若是，生成触发攻击源识别的异常事件。

可选地，在判断目标主机根据访问请求返回的异常响应量与正常访问量的 比值是否超过预设的响应比率阈值之前还包括：判断在第三预定时间段内向目 标主机发出的访问请求总量是否超过预设的网站安全响应阈值；若是，获取目 标主机根据访问请求返回的异常响应量与正常访问量，并执行判断目标主机根 据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率 阈值的步骤。

可选地，获取在第一预定时间段内向目标主机发出的访问请求总量包括： 读取与目标主机数据连接的网页应用防护系统的运行日志文件，并统计在第一 预定时间段内运行日志文件中记录的向目标主机发出的访问请求总量；获取在 第一预定时间段内向目标主机发出的访问请求最多的请求源包括：统计在第一 预定时间段内运行日志文件中记录的向目标主机发出的访问请求的请求源，并 确定出访问请求量最大的请求源。

可选地，在确定请求源为进行目标主机攻击的攻击源之后还包括：开启攻 击源对应的网页应用防护系统的攻击防护机制。

可选地，开启攻击源对应的网页应用防护系统的攻击防护机制包括：过滤 攻击源通过网页应用防护系统向目标主机发送的访问请求；或对向攻击源发送 验证信息，并接收攻击源的后续请求信息；判断后续请求信息是否与验证信息 匹配，若否，过滤攻击源的访问请求。

根据本发明的另一个方面，提供了一种拒绝服务攻击的攻击源的识别装 置。该拒绝服务攻击的攻击源的识别装置包括：事件触发接口，用于接收触发 攻击源识别的异常事件；访问请求获取模块，用于获取在第一预定时间段内向 目标主机发出的访问请求总量；请求源确定模块，用于获取在第一预定时间段 内向目标主机发出的访问请求总量，并记录请求源发出的请求访问的数量为第 一访问量；攻击源确定模块，用于判断第一访问量占访问请求总量的比率是否 超过预设比值，若是，确定请求源为拒绝服务攻击的攻击源。

可选地，上述拒绝服务攻击的攻击源的识别装置还包括：第一事件生成模 块，用于判断在第二预定时间段内向目标主机发出的访问请求总量是否超出预 设的访问量最大阈值；若是，生成触发攻击源识别的异常事件；第二事件生成 模块，用于判断在第三预定时间段内目标主机根据访问请求返回的异常响应量 与正常访问量的比值是否超过预设的响应比率阈值；若是，生成触发攻击源识 别的异常事件。

可选地，第二事件生成模块被配置为：判断在第三预定时间段内向目标主 机发出的访问请求总量是否超过预设的网站安全响应阈值；若是，获取目标主 机根据访问请求返回的异常响应量与正常访问量，并执行判断目标主机根据访 问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值 的步骤。

可选地，访问请求获取模块被配置为：用于读取与目标主机数据连接的网 页应用防护系统的运行日志文件，并统计在第一预定时间段内运行日志文件中 记录的向目标主机发出的访问请求总量；请求源确定模块被配置为：统计在第 一预定时间段内运行日志文件中记录的向目标主机发出的访问请求的请求源， 并确定出访问请求量最大的请求源。

可选地，上述拒绝服务攻击的攻击源的识别装置还包括：第一防护模块， 用于过滤攻击源通过网页应用防护系统向目标主机发送的访问请求；或第二防 护模块，用于对向攻击源发送验证信息，并接收攻击源的后续请求信息；判断 后续请求信息是否与验证信息匹配，若否，过滤攻击源的访问请求。

本发明的拒绝服务攻击的攻击源的识别方法和拒绝服务攻击的攻击源识 别的装置在接收到触发攻击源识别的事件后，按照单一请求源对目标主机进行 拒绝服务攻击的特点利用单一请求源占所有请求源的占比进行攻击源的识别， 识别准确性高，可以有效的对拒绝服务攻击中单攻击源的攻击方式进行识别和 防护，提高了网络安全性。

进一步地，以上识别攻击源的触发方式包括请求量异常和网站存活判断， 在目标主机出现异常的情况下，及时开启攻击源识别和防护，快速有效地保护 目标主机的安全性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术 手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、 特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

根据下文结合附图对本发明具体实施例的详细描述，本领域技术人员将会 更加明了本发明的上述以及其他目的、优点和特征。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领 域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并 不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的 部件。在附图中：

图1是根据本发明一个实施例的拒绝服务攻击的攻击源的识别装置200的 网络应用环境的示意图；

图2是根据本发明一个实施例的拒绝服务攻击的攻击源的识别装置200的 示意图；

图3是根据本发明一个实施例的拒绝服务攻击的攻击源的识别方法的示意 图；以及

图4是根据本发明一个实施例的拒绝服务攻击的攻击源的识别方法的流程 图。

具体实施方式

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有 相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构 造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程 语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且 上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

图1是根据本发明一个实施例的拒绝服务攻击的攻击源的识别装置200的 网络应用环境的示意图，在图中，网页客户端110访问目标网站时，经过域名 解析系统DNS的解析，将输入的域名解析为网页防护系统分布在各地机房的 节点服务器120对应的地址，节点服务器120通过互联网向目标网站的主机140 发出访问请求，在目标主机140之前设置了网页应用防护系统130（Web Application Firewall，简称WAF），向目标主机140发出的访问请求必须经过 WAF130才能到达目标主机140，WAF130作为网站防火防火墙，提供网站的 加速和缓存服务，可防止黑客利用跨站注入等漏洞对网站进行入侵，保护网站 不被篡改和入侵，提高网站主机的安全性。本发明实施例的拒绝服务攻击的攻 击源的识别装置200与多个WAF130数据连接，根据WAF130收到的向目标 主机140发送的访问请求进行拒绝服务攻击的攻击源识别。

图2是根据本发明一个实施例的拒绝服务攻击的攻击源的识别装置200的 示意图。该拒绝服务攻击的攻击源的识别装置200一般性地可以包括：事件触 发接口210、访问请求获取模块220、请求源确定模块230、攻击源确定模块 240，在一些优化的方案中还可以增加设置有第一防护模块250、第二防护模块 260、第一事件生成模块270和第二事件生成模块280，分别对目标主机140的 不同异常情况进行监控。

在以上部件中，事件触发接口210用于接收触发攻击源识别的异常事件； 访问请求获取模块220用于获取在第一预定时间段内向目标主机发出的访问请 求总量；请求源确定模块230用于获取在第一预定时间段内向目标主机发出的 访问请求总量，并记录请求源发出的请求访问的数量为第一访问量；攻击源确 定模块240用于判断第一访问量占访问请求总量的比率是否超过预设比值，若 是，确定请求源为拒绝服务攻击的攻击源。

以上触发攻击源的异常事件一般多种情况，例如目标主机的访问量骤升， 超过了日常最高访问量的最大值，或者目标主机的响应不正常。在出现以上异 常事件后，本实施例的拒绝服务攻击的攻击源的识别装置200启动，主要单独 攻击源对目标主机的大范围拒绝服务攻击进行识别。

对应于以上几种异常事件的触发方式，本实施例的拒绝服务攻击的攻击源 的识别装置200设置了第一事件生成模块270和/或第二事件生成模块280。其 中，第一事件生成模块270用于判断在第二预定时间段内向目标主机发出的访 问请求总量是否超出预设的访问量最大阈值；若是，生成触发攻击源识别的异 常事件。第二事件生成模块280用于判断在第三预定时间段内目标主机根据访 问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值； 若是，生成触发攻击源识别的异常事件。

以上第一事件生成模块270的进行判断并据判断结果生成异常事件的过程 主要为：

在受到拒绝服务攻击的情况下，在较短的时间内，访问请求的目标主机140 收到的请求量会明显高于正常的请求量，然而对于不同的网站，其访问量是不 同的。为了使对目标主机140设置的异常事件判断阈值符合目标主机140的访 问能力，判断阈值的生成步骤为用于每间隔第一预定时间段记录一次总请求 量，得到多个总请求量；从多个总请求量中按照预设规则挑选出多个样本值； 计算多个样本值的平均值，根据平均值设定阈值。

以上阈值的一种计算方式为：选取在第二预定时间段内产生的多个总请求 量，第二预定时间段为第一预定时间段的整数倍，将在第二预定时间段内产生 的多个总请求量中的最大值记为第二请求量；在连续多个第二预定时间段内分 别挑选得出多个第二请求量，并从多个第二请求量中滤除偏差较大的数据后， 得到多个样本值；计算平均值与预定系数的乘积，预定系数的取值范围为：1.05 至1.3；将乘积作为阈值。

为了保证识别的准确性，以上第一预定时间和第二预定时间均经过了大量 的时间进行试验，其中第一预定时间如果设定地过短，其波动性较大，容易出 现误识别的情况，如果设定地过长，其波动性过于平滑，无法反映出请求量的 变化；经过大量测试的结果，第一预定时间可以设置为3至8分钟，最优值为 5分钟，也就是每间隔5分钟，确定在这5分钟内向目标主机140发出的访问 请求总量作为第一请求量。

为了确定以上阈值，需要确定在正常访问情况下最大的访问请求量，由于 一般网站的访问都是天为单位波动的，因此，选取样本值的周期，即第二预定 时间可以使用一天的时间，从而选取样本值的过程可以为：获取一天时间内， 每隔5分钟的总请求量，从而一天的288个总请求量中选取出最大值作为第二 请求量。由于第二请求量可能受到异常因素的影响，会导致有些值明显出现较 大偏差，例如某日统计出错，导致请求量为零；或者在某天内受到拒绝服务攻 击，访问量大增，这种明显偏差较大的数据并非正常访问造成的，需要进行滤 除。一种从第二请求量中选取样本值的简单方法可以为：挑选最近30天内的 30个第二请求量，过滤掉最大的三个数据和最小的三个数据，将剩余的24个 第二请求量作为样本值。这种方式计算简单，有效性较高。另外从第二请求量 中选取样本值的方法还可以使用方差的方法进行统计，将方差大于一定预设值 的第二请求量删除。

在得出以上样本值后，可以将样本值的加和平均值乘以预定系数得出最终 阈值，以上预定系数的作用是为了给网站请求量留出一定的裕值，防止出现将 正常访问增长判断为异常事件的情况，预定系数的取值范围为：1.05至1.3， 一般选取的最优值可以为1.2。也就是将超出正常访问的最大访问量的20%的 情况作为确定出现访问量异常的条件。

以上判断访问量异常的阈值可以是动态调整的，例如每天定时利用此前30 天的访问数据进行阈值的计算，从而判断更加精确，例如在网站的访问量逐渐 增长的情况下，可动态地增加阈值，防止出现因业务变化导致出现拒绝服务攻 击识别错误的情况发生。阈值的计算过程也并不局限于对样本值的加和平均， 只要可以反映出网站正常访问量的最大值的统计计算方法均可以用于对阈值 的计算，本实施例优选的加和平均仅是计算量较小的一种方式。

以上第一预设时间、第二预设时间、预定系数均是根据网络访问的情况统 计得出的经验值，可以根据拒绝服务攻击的变化灵活进行调整。

对于目标主机140响应异常的异常事件，上述第二事件生成模块280具体 可被配置为：判断在第三预定时间段内向目标主机140访问请求总量是否超过 预设的网站安全响应阈值；若是，获取目标主机140问请求返回的异常响应量 与正常访问量，并执行判断目标主机根据访问请求返回的异常响应量与正常访 问量的比值是否超过预设的响应比率阈值的步骤。第二事件生成模块270判断 在第三预定时间段内向目标主机140发出的访问请求总量是否超过预设的网站 安全响应阈值的目的是，保证该目标主机140的运行稳定性，对于一些小型网 站访问量较小，运行不稳定，其不正常响应一般也并非由于受到攻击的影响， 如果在这些网站出现响应异常时触发拒绝服务攻击的攻击源识别步骤，会消耗 拒绝服务攻击的攻击源的识别装置200资源。因此，在监控目标主机140响应 情况时，需要设立一个存活机制，仅对有一定访问量的目标主机140进行响应 异常事件的监控。以上第三预定时间根据目标主机140的运行情况进行设定， 一般而言，可以设置为10秒到30秒，最优设置为20秒，如果20秒内，目标 主机140接收到的请求总量超过网站安全响应阈值，而且异常响应量与正常访 问量的比值超过预设的响应比率阈值，响应比率阈值如果达到50%以上，就可 以认为出现响应异常，例如异常响应量占80%，则可以判断目标主机140出现 响应异常，触发拒绝服务攻击的攻击源的识别装置200。

以上网站安全响应阈值对应的数值可以按照一般网站应该可以正常处理 的请求量进行设置，确保网站请求量正常。

访问请求获取模块210获取的请求量数据，是本实施例拒绝服务攻击的攻 击源的识别装置200的数据基础，由于一般WAF130保存有运行日志，记录有 经过该WAF130的访问请求，因此访问请求获取模块210可被配置为：读取与 目标主机140数据连接的WAF130的运行日志文件，并统计在第一预定时间段 内运行日志文件中记录的向目标主机发出的访问请求总量。例如访问请求获取 模块210实时从所有的WAF130中获取运行日志，并对运行日志进行统计分析 既可以得到需要访问请求数据。另外运行日志文件一般以条目-数值 （key-value）结构存储，通过对运行日志的文件的分析，可以从中得出请求源 的ip地址、接入节点120信息、请求次数等，请求源确定模块230和攻击源确 定模块240分别对以上数据进行处理就可以得出第一访问量、以及第一访问量 对应的请求源110对应的接入信息。

在单一攻击源进行拒绝服务攻击时，该攻击源ip对目标主机140发送的访 问请求的数量远远超过正常的访问量，所以在这种情况下，攻击源的请求数量 远远超过其他正常请求源，攻击源确定模块240在判断出第一访问量占访问请 求总量的比率超过预设比值，就可以认定第一访问量对应的请求源为发出拒绝 服务攻击的攻击源。以上预设比值为对拒绝服务攻击的攻击行为进行分析得出 的经验值，一般可以设置为80%左右，也就是如果接收到异常事件的触发，如 果在当前一段时间内，某一请求源的请求量占到所有请求量的80%，就可以认 定该请求源为攻击源。

在确定出攻击源后，本实施例的拒绝服务攻击的攻击源的识别装置200利 用第一防护模块250或第二防护模块260开启拒绝服务攻击安全防护机制，第 一防护模块250直接过滤攻击源通过网页应用防护系统向目标主机发送的访问 请求。第二防护模块260用于对向攻击源发送验证信息，并接收攻击源的后续 请求信息；判断后续请求信息是否与验证信息匹配，若否，过滤攻击源的访问 请求。以上验证数据可以包括浏览器用户信息cookie、脚本文件JavaScript、 图片数据。

在验证数据为浏览器用户信息cookie时，请求发送方获取浏览器用户信息 cookie后，正常操作为向WAF130重新发送带有该cookie信息跳转至所述主 机地址的请求，如果请求发送方返回的请求没有对cookie进行处理，可以说明 请求发送方的请求为攻击行为。

在验证数据为脚本文件JavaScript时，请求发送方获取javascript后，正 常操作为执行该javascript，并重新返回脚本的执行结果，如果请求发送方返 回的请求没有执行javascript，也可以说明请求发送方的请求为攻击行为。

图片验证数据也是一种有效的防护方法，例如当前访问量超出阈值，可以 向所有的请求发送方发送图片，类似于验证码的方式，请求方需要将图片中包 含的文字或者其他内容进行输入并向目标主机反馈，如果图片的识别结果与图 片对应则证明当前访问为正常访问。

由于本实施例的拒绝服务攻击的攻击源的识别装置200对攻击源进行了初 步识别，大大减小了因开启安全防护对正常用户的影响。

本发明实施例还提供了一种拒绝服务攻击的攻击源的识别方法，该拒绝服 务攻击的攻击源的识别方法可以由以上实施例中的拒绝服务攻击的攻击源的 识别装置200来执行，以识别出针对目标主机的拒绝服务攻击。图3是根据本 发明一个实施例的拒绝服务攻击的攻击源的识别方法的示意图，该拒绝服务攻 击的攻击源的识别方法包括以下步骤：

步骤S302，接收触发攻击源识别的异常事件；

步骤S304，获取在第一预定时间段内向目标主机发出的访问请求总量；

步骤S306，确定在第一预定时间段内向目标主机发出的访问请求量最大的 请求源，并记录最大请求源发出的请求访问的数量为第一访问量；

步骤S308，判断第一访问量占访问请求总量的比率是否超过预设比值；

步骤S310，若步骤S308的判断步骤为是，确定请求源为拒绝服务攻击的 攻击源。

以上异常事件可以包括目标主机的访问量骤升或者目标主机的响应不正 常等情况，对于目标主机的访问量骤升的异常事件的生成步骤可以包括：判断 在第二预定时间段内向目标主机发出的访问请求总量是否超出预设的访问量 最大阈值；若是，生成触发攻击源识别的异常事件。

对于目标主机的目标主机的响应不正常的异常事件的生成步骤可以包括： 判断在第三预定时间段内目标主机根据访问请求返回的异常响应量与正常访 问量的比值是否超过预设的响应比率阈值；若是，生成触发攻击源识别的异常 事件。优选地，在判断目标主机根据访问请求返回的异常响应量与正常访问量 的比值是否超过预设的响应比率阈值之前还包括：判断在第三预定时间段内向 目标主机发出的访问请求总量是否超过预设的网站安全响应阈值；若是，获取 目标主机根据访问请求返回的异常响应量与正常访问量，并执行判断目标主机 根据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比 率阈值的步骤。

以上第一预设时间、第二预设时间、第三预设时间、响应比率阈值、访问 量最大阈值、网站安全响应阈值均是根据网络访问的情况统计得出的经验值， 可以根据拒绝服务攻击的变化灵活进行调整。例如，第一预定时间可以设置为 3至8分钟，最优值为5分钟，第二预定时间可以使用一天的时间，第三预设 时间设置为20s，响应比率阈值设置为80%，访问量最大阈值、网站安全响应 阈值按照目标主机运行情况设置。

以上步骤S304中，获取在第一预定时间段内向目标主机发出的访问请求 总量包括：读取与目标主机数据连接的网页应用防护系统的运行日志文件，并 统计在第一预定时间段内运行日志文件中记录的向目标主机发出的访问请求 总量；获取在第一预定时间段内向目标主机发出的访问请求最多的请求源包 括：统计在第一预定时间段内运行日志文件中记录的向目标主机发出的访问请 求的请求源，并确定出访问请求量最大的请求源。

在步骤S310在确定出攻击源后，还可以开启攻击源对应的网页应用防护 系统的攻击防护机制。具体的防护机制可以包括：过滤攻击源通过网页应用防 护系统向目标主机发送的访问请求，或者对向攻击源发送验证信息，并接收攻 击源的后续请求信息；判断后续请求信息是否与验证信息匹配，若否，过滤攻 击源的访问请求。其中第二种方法通过WAF130的信息反弹方法，可以进一步 缩小开启安全防护后对正常用户的影响。

图4是根据本发明一个实施例的拒绝服务攻击的攻击源的识别方法的流程 图，如图所示，该拒绝服务攻击的攻击源的识别方法包括以下流程：

步骤S402，读取与目标主机数据连接的网页应用防护系统的运行日志文 件；

步骤S404，从运行日志文件中获取在第一预定时间段内向主机发出的访问 请求总量，并按照请求源进行分类分析，得出各请求源的ip地址、接入节点 120信息、请求次数等信息；

步骤S406，判断访问请求总量是否超过预设的访问量最大阈值，若是跳转 直接执行步骤S414，若否执行步骤S410；

步骤S410，判断在第三预定时间段内访问请求总量是否超过预设的网站安 全响应阈值；若是执行步骤S412，若否返回步骤S402，读取新的日志文件；

步骤S412，判断在第三预定时间段内目标主机的异常响应量的占比是否超 过预设的响应比率阈值，若是执行步骤S414，若否返回步骤S402，读取新的 日志文件；

步骤S414，确定在第一预定时间段内向主机发出的访问请求量最大的请求 源，并记录最大访问量为第一访问量；

步骤S416，判断第一访问量占访问请求总量的比率是否超过预设比值；若 是执行步骤S418，若否返回步骤S402，读取新的日志文件；

步骤S418，确定请求量最大的请求源为进行主机攻击的攻击源；

步骤S420，屏蔽攻击源对应节点服务器的请求，或者开启图片验证防护。 从而过滤掉攻击源的请求，而允许其他正常访问继续。

以下针对一个中型网站的应用以上流程的应用实例进行介绍。

该中型网站的日常正常访问5分钟内最高访问量平均值为30万，如果某 天5分钟内的访问量达到了50万，则可认定网站出现异常事件，开启对所有 请求源的安全防护机制，同时对该5分钟内的访问量进行统计，确定该50万 防护请求量中是否有40万来自同一请求源或同一访问节点服务器，如果发现 此时有超过40万请求量来自于上海电信某机房的节点服务器，则确定攻击源 来自该节点服务器的用户终端，此时将该节点服务器的请求过滤，关闭其他节 点服务器的安全防护机制，从而有针对性地对攻击源进行了屏蔽，而尽量确保 了正常的访问。

在另一种应用情况下，某一小型网站确定的安全响应阈值为3万次，也就 是该网站正常可以提供3万次的请求服务，在监控该网站的返回数据包时，发 现该网站的异常响应数超过总相应数据的80%，同时该网站的访问量超过3万 次，则认为当前网站出现了响应异常，开启对所有请求源的安全防护机制，同 时对该5分钟内的访问量进行统计，确定该所有请求量中是否有80%的访问量 来自同一请求源或同一访问节点服务器，如果发现此时有超过80%的访问量来 自于青岛电信某机房的节点服务器，则确定攻击源来自该节点服务器的用户终 端，此时向该节点服务器的请求开启图片验证安全防护，当请求中包含的图片 信息不匹配，不将请求发送给目标主机。

通过以上对实施例的描述，可以看出，利用本发明的拒绝服务攻击的攻击 源的识别方法和拒绝服务攻击的攻击源识别装置在接收到触发攻击源识别的 事件后，按照单一请求源对目标主机进行拒绝服务攻击的特点利用单一请求源 占所有请求源的占比进行攻击源的识别，识别准确性高，可以有效的对拒绝服 务攻击中单攻击源的攻击方式进行识别和防护，提高了网络安全性。

进一步地，以上识别攻击源的触发方式包括请求量异常和网站存活判断， 在目标主机出现异常的情况下，及时开启攻击源识别和防护，快速有效地保护 目标主机的安全性。

本发明的实施例公开了：

A1.一种拒绝服务攻击的攻击源的识别方法，包括：

接收触发攻击源识别的异常事件；

获取在第一预定时间段内向目标主机发出的访问请求总量；

确定在第一预定时间段内向所述目标主机发出的访问请求量最大的请求 源，并记录所述请求源发出的请求访问的数量为第一访问量；

判断所述第一访问量占所述访问请求总量的比率是否超过预设比值，若 是，确定所述请求源为拒绝服务攻击的攻击源。

A2.根据A1所述的方法，其中，所述异常事件的生成步骤包括：

判断在第二预定时间段内向所述目标主机发出的访问请求总量是否超出 预设的访问量最大阈值；

若是，生成所述触发攻击源识别的异常事件。

A3.根据A1所述的方法，其中，所述异常事件的生成步骤包括：

判断在第三预定时间段内所述目标主机根据所述访问请求返回的异常响 应量与正常访问量的比值是否超过预设的响应比率阈值；

若是，生成所述触发攻击源识别的异常事件。

A4.根据A3所述的方法，其中，在判断所述目标主机根据所述访问请求 返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值之前还 包括：

判断在第三预定时间段内向所述目标主机发出的访问请求总量是否超过 预设的网站安全响应阈值；若是，获取所述目标主机根据所述访问请求返回的 异常响应量与正常访问量，并执行判断所述目标主机根据所述访问请求返回的 异常响应量与正常访问量的比值是否超过预设的响应比率阈值的步骤。

A5.根据A1至A4中任一项所述的方法，其中，

获取在第一预定时间段内向所述目标主机发出的访问请求总量包括：读取 与所述目标主机数据连接的网页应用防护系统的运行日志文件，并统计在所述 第一预定时间段内所述运行日志文件中记录的向所述目标主机发出的访问请 求总量；

获取在第一预定时间段内向所述目标主机发出的访问请求最多的请求源 包括：统计在所述第一预定时间段内所述运行日志文件中记录的向所述目标主 机发出的访问请求的请求源，并确定出访问请求量最大的请求源。

A6.根据A1至A5中任一项所述的方法，其中，在确定所述请求源为进 行目标主机攻击的攻击源之后还包括：开启所述攻击源对应的网页应用防护系 统的攻击防护机制。

A7.根据A6所述的方法，其中，开启所述攻击源对应的网页应用防护系 统的攻击防护机制包括：

过滤所述攻击源通过所述网页应用防护系统向所述目标主机发送的访问 请求；或

对向所述攻击源发送验证信息，并接收所述攻击源的后续请求信息；判断 所述后续请求信息是否与所述验证信息匹配，若否，过滤所述攻击源的访问请 求。

B8.一种拒绝服务攻击的攻击源的识别装置，包括：

事件触发接口，用于接收触发攻击源识别的异常事件；

访问请求获取模块，用于获取在第一预定时间段内向所述目标主机发出的 访问请求总量；

请求源确定模块，用于获取在第一预定时间段内向所述目标主机发出的访 问请求总量，并记录所述请求源发出的请求访问的数量为第一访问量；

攻击源确定模块，用于判断所述第一访问量占所述访问请求总量的比率是 否超过预设比值，若是，确定所述请求源为拒绝服务攻击的攻击源。

B9.根据B8所述的装置，还包括：

第一事件生成模块，用于判断在第二预定时间段内向所述目标主机发出的 访问请求总量是否超出预设的访问量最大阈值；若是，生成所述触发攻击源识 别的异常事件；

第二事件生成模块，用于判断在第三预定时间段内所述目标主机根据所述 访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈 值；若是，生成所述触发攻击源识别的异常事件。

B10.根据B9所述的装置，其中，所述第二事件生成模块被配置为：判断 在第三预定时间段内向所述目标主机发出的访问请求总量是否超过预设的网 站安全响应阈值；若是，获取所述目标主机根据所述访问请求返回的异常响应 量与正常访问量，并执行判断所述目标主机根据所述访问请求返回的异常响应 量与正常访问量的比值是否超过预设的响应比率阈值的步骤。

B11.根据B8至B10中任一项所述的装置，其中，

所述访问请求获取模块被配置为：用于读取与所述目标主机数据连接的网 页应用防护系统的运行日志文件，并统计在所述第一预定时间段内所述运行日 志文件中记录的向所述目标主机发出的访问请求总量；

所述请求源确定模块被配置为：统计在所述第一预定时间段内所述运行日 志文件中记录的向所述目标主机发出的访问请求的请求源，并确定出访问请求 量最大的请求源。

B12.根据B8至B11中任一项所述的装置，还包括：

第一防护模块，用于过滤所述攻击源通过所述网页应用防护系统向所述目 标主机发送的访问请求；或

第二防护模块，用于对向所述攻击源发送验证信息，并接收所述攻击源的 后续请求信息；判断所述后续请求信息是否与所述验证信息匹配，若否，过滤 所述攻击源的访问请求。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发 明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细 示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或 多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一 起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法 解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确 记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发 明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式 的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为 本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适 应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实 施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它 们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的 至少一些是相互排斥之外，可以采用任何组合对本说明书（包括伴随的权利要 求、摘要和附图）中公开的所有特征以及如此公开的任何方法或者设备的所有 过程或单元进行组合。除非另外明确陈述，本说明书（包括伴随的权利要求、 摘要和附图）中公开的每个特征可以由提供相同、等同或相似目的的替代特征 来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它 实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意 味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中， 所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器 上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解， 可以在实践中使用微处理器或者数字信号处理器（DSP）来实现根据本发明实 施例的拒绝服务攻击的攻击源的识别装置中的一些或者全部部件的一些或者 全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部 的设备或者装置程序（例如，计算机程序和计算机程序产品）。这样的实现本 发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的 形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或 者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并 且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施 例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的 限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之 前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包 括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干 装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体 体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解 释为名称。

至此，本领域技术人员应认识到，虽然本文已详尽示出和描述了本发明的 多个示例性实施例，但是，在不脱离本发明精神和范围的情况下，仍可根据本 发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因 此，本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。