一種雲計算環境下httpdos攻擊的檢測方法及系統的製作方法

2023-06-13 19:15:56 1

一種雲計算環境下http dos攻擊的檢測方法及系統的製作方法
【專利摘要】本發明提出一種雲計算環境下HTTP DOS攻擊的檢測方法及系統。獲取對目標Web頁面發起HTTP請求的源端信息，包括請求次數和速率；判斷該源端對該目標Web頁面發起的HTTP請求次數和速率是否大於各自的閾值，如果是，認為該源端對該目標Web頁面發起DOS攻擊。本發明能夠準確的檢測攻擊，並且，可以對多個目標系統進行統一檢測和防護。
【專利說明】-種雲計算環境下HTTP DOS攻擊的檢測方法及系統

【技術領域】
[0001] 本發明屬於雲計算網絡和信息安全領域，尤其涉及一種雲計算環境下HTTP DOS (Denial of Service,拒絕服務）攻擊的檢測方法及系統。

【背景技術】
[0002] 應用層HTTP DOS攻擊是近年來興起的一種DOS攻擊的新技術，與SYN Flooding等 傳統的網絡型DOS攻擊不同，HTTP DOS攻擊的目的是為了耗盡目標主機的資源，例如，CPU、 存儲器、Socket等。攻擊者用少量的HTTP請求促使伺服器返回大文件，例如，圖像、視頻文 件等，或促使伺服器運行一些複雜的腳本程序，例如，複雜的數據處理、密碼計算與驗證等。 這種方式不需要很高的攻擊速率就可以迅速耗盡主機的資源，而且更具有隱蔽性。
[0003] 而EDOS (Economical Denial of Service,造成經濟損失的拒絕服務）攻擊是雲 計算中特有的攻擊形式，利用雲計算服務按使用量計費的特點，使用DOS攻擊手段，導致被 攻擊系統的帶寬、CPU、存儲等資源使用量大量增加，從而導致高額帳單。HTTP EDOS攻擊將 是今後雲計算環境面臨的嚴峻安全挑戰，雲安全聯盟（CSA)也將DD0S/ED0S攻擊列為雲計 算的七大安全威脅之一。
[0004] 目前對於HTTP DOS攻擊的檢測防禦方法主要有兩種：一種是基於代理設備的解 決方案；一種是Web伺服器的安全配置技術。
[0005] 圖1所示為基於代理設備的檢測防禦的示意圖。
[0006] 以目前安全設備廠商推行的Web防火牆產品為代表，通過在Web伺服器前面部署 一臺堡壘主機，對所有的數據流量進行代理，如果流量合法則發送給Web伺服器，如果流量 異常就進行阻斷。該方案基於會話的雙向代理，中斷了用戶與伺服器的直接連接，適用於各 種加密協議，防止了入侵者的直接進入，對DDOS (Distributed Denial of Service,分布 式拒絕服務）攻擊可以抑制，對非預料的"特別"行為也有所抑制。該方案的主要問題是需 要在Web伺服器的前面部署代理設備，串行接入，不僅在硬體性能上要求高，而且不能影響 Web服務，所以HA功能(高可用性XBypass (旁路）功能都是必須的，而且還要與負載均衡、 Web Cache等Web伺服器前的常見的產品協調部署。因此該方案成本高、配置複雜，如果保 護目標過多會影響性能，不適用於雲計算環境中大量虛擬伺服器的攻擊檢測和防禦。
[0007] Web伺服器的安全配置技術是目前較為常用的針對HTTP DOS攻擊的防禦技術，可 以包括兩個層面的安全配置：
[0008] -個層面是在Web服務的人機互動層面，對於消耗伺服器資源較多的頁面引入驗 證碼等相關的Puzzle (驗證機制)，讓客戶端解析一段javascript或flash,並給出正確的 運行結果。由於大部分的攻擊自動化腳本都是直接構造 HTTP包完成的，並非在一個瀏覽器 環境中發起的請求，因此無法正確識別驗證碼，所以此方法對於DOS攻擊有所抑制。
[0009] 另外一個層面是在Web server層面做安全配置，如Apache的配置文件中，有一些 參數可以緩解DOS攻擊，如Timeout、KeepAliveTimeout、MaxClient等。WEB伺服器安全 配置技術的主要問題是只能做到攻擊防禦而無法精確的檢測和定位攻擊，並且需要在每個 Web系統中單獨配置和代碼整改，只能防禦單個系統，無法做到多個系統統一防護；此外在 人機互動層面加入驗證碼會降低Web服務的用戶體驗度，在Web server中更改配置參數可 能會影響正常業務應用。因此該技術也不適用於雲計算環境中對大量目標的統一攻擊檢測 和防禦。


【發明內容】

[0010] 鑑於以上，本發明提出一種雲計算環境下HTTP DOS攻擊的檢測方法及系統。
[0011] 根據本發明的一方面，提出一種雲計算環境下HTTP DOS攻擊的檢測方法，包括： 獲取對目標Web頁面發起HTTP請求的源端信息，包括請求次數和速率；判斷該源端對該目 標Web頁面發起的HTTP請求次數和速率是否大於各自的閾值，如果是，認為該源端對該目 標Web頁面發起DOS攻擊。
[0012] 在本發明的一個實施例中，獲取對目標Web頁面發起HTTP請求的源端信息的操 作，包括以下步驟：提取HTTP請求包中的源IP位址、用戶cookie值和目標URL，其中，目標 URL即為目標Web頁面的地址；根據源IP位址和用戶cookie值計算得到源事件ID，根據目 標URL計算得到目標事件ID ;將目標事件ID與目標事件篩選表中的所有條目的ID進行匹 配，目標事件篩選表中包括目標事件ID、第一源信息、第一計數器、第一速率和第一表指針， 其中，第一表指針指向源事件篩選表，源事件篩選表包括源事件ID值、第二源信息、第二計 數器、第二速率和第二表指針；如果匹配成功，即，目標事件篩選表中包括計算得到的目標 事件ID，則轉向第一表指針所指向的源事件篩選表，將源事件ID與源事件篩選表中的所有 條目的ID進行匹配，根據匹配結果更新第二計數器的計數值，即請求次數，並計算第二速 率，即源端信息中的速率。
[0013] 在本發明的一個實施例中，如果匹配不成功，即，目標事件篩選表中未包括計算得 到的目標事件ID，則在目標事件篩選表中創建新的條目，條目ID為當前HTTP請求包的目標 事件ID值，第一源信息為訪問的目標URL，第一計數器置為1，第一表指針指向新創建的源 事件篩選表；創建對應的源事件篩選表，條目ID為當前HTTP請求包的源事件ID，第二源信 息為當前HTTP請求包的源IP和cookie，第二計數器置為1，第二表指針為正向查詢。
[0014] 在本發明的一個實施例中，源事件ID與源事件篩選表中的所有條目的ID進行匹 配的操作，包括以下步驟：源事件ID與源事件篩選表中的當前條目ID匹配，將當前條目的 計數器加一，計算源事件篩選表中所有條目的速率，更新源事件篩選表所有條目的速率字 段。
[0015] 在本發明的一個實施例中，源事件ID與源事件篩選表中的所有條目的ID進行匹 配的操作，包括以下步驟：源事件ID與源事件篩選表中的當前條目ID不匹配，判斷當前條 目是否為空；如果當前條目為空，則將當前HTTP請求包的源事件ID插入當前條目，計數器 置為1，表指針置為反向查詢，計算源事件篩選表中所有條目的速率，更新源事件篩選表所 有條目的速率欄位，更新目標事件篩選表的計數器和速率欄位；如果當前條目非空，當前條 目計數器減一，判斷當前條目計數器是否為〇 ;如果當前條目計數器為〇,用新的請求包數 據替換當前條目，事件ID替換為當前請求包的事件ID，源信息替換為當前請求包的源信 息，計數器設為1，表指針為正向查詢，計算源事件篩選表中所有條目的速率，更新源事件篩 選表所有條目的速率欄位，更新目標事件篩選表的計數器和速率欄位；如果當前條目計數 器不為O，表指針選取下一條目，初始表指針設為正向查詢。
[0016] 在本發明的一個實施例中，當檢測到DOS攻擊時，提交攻擊源IP位址和用戶 cookie值；調用安全設備對攻擊源IP位址進行阻斷。
[0017] 根據本發明的另一方面，還提出一種雲計算環境下HTTP DOS攻擊的檢測系統，其 中：獲取單元，配置於獲取對目標Web頁面發起HTTP請求的源端信息，包括請求次數和速 率；判斷單元，配置於判斷該源端對該目標Web頁面發起的HTTP請求次數和速率是否大於 各自的閾值，如果是，認為該源端對該目標Web頁面發起DOS攻擊。
[0018] 在本發明的一個實施例中，獲取單元提取HTTP請求包中的源IP位址、用戶cookie 值和目標URL，其中，目標URL即為目標Web頁面的地址；根據源IP位址和用戶cookie值計 算得到源事件ID，根據目標URL計算得到目標事件ID ;將目標事件ID與目標事件篩選表中 的所有條目的ID進行匹配，目標事件篩選表中包括目標事件ID、第一源信息、第一計數器、 第一速率和第一表指針，其中，第一表指針指向源事件篩選表，源事件篩選表包括源事件ID 值、第二源信息、第二計數器、第二速率和第二表指針；如果匹配成功，即，目標事件篩選表 中包括計算得到的目標事件ID，則轉向第一表指針所指向的源事件篩選表，將源事件ID與 源事件篩選表中的所有條目的ID進行匹配，根據匹配結果更新第二計數器的計數值，即請 求次數，並計算第二速率，即源端信息中的速率。
[0019] 在本發明的一個實施例中，如果匹配不成功，即，目標事件篩選表中未包括計算得 到的目標事件ID，則在目標事件篩選表中創建新的條目，條目ID為當前HTTP請求包的目標 事件ID值，第一源信息為訪問的目標URL，第一計數器置為1，第一表指針指向新創建的源 事件篩選表；創建對應的源事件篩選表，條目ID為當前HTTP請求包的源事件ID，第二源信 息為當前HTTP請求包的源IP和cookie，第二計數器置為1，第二表指針為正向查詢。
[0020] 在本發明的一個實施例中，源事件ID與源事件篩選表中的當前條目ID匹配，將當 前條目的計數器加一，計算源事件篩選表中所有條目的速率，更新源事件篩選表所有條目 的速率欄位。
[0021] 在本發明的一個實施例中，源事件ID與源事件篩選表中的當前條目ID不匹配，判 斷當前條目是否為空；如果當前條目為空，則將當前HTTP請求包的源事件ID插入當前條 目，計數器置為1，表指針置為反向查詢，計算源事件篩選表中所有條目的速率，更新源事件 篩選表所有條目的速率欄位，更新目標事件篩選表的計數器和速率欄位；如果當前條目非 空，當前條目計數器減一，判斷當前條目計數器是否為〇;如果當前條目計數器為〇,用新的 請求包數據替換當前條目，事件ID替換為當前請求包的事件ID，源信息替換為當前請求包 的源信息，計數器設為1，表指針為正向查詢，計算源事件篩選表中所有條目的速率，更新源 事件篩選表所有條目的速率欄位，更新目標事件篩選表的計數器和速率欄位；如果當前條 目計數器不為〇，表指針選取下一條目，初始表指針設為正向查詢。
[0022] 在本發明的一個實施例中，判斷單元在檢測到DOS攻擊時，將攻擊源IP位址和用 戶cookie值提交給阻斷單元，阻斷單元調用安全設備對攻擊源IP位址進行阻斷。
[0023] 本發明能夠準確的檢測攻擊，並且，攻擊檢測實體可以對多個目標系統進行統一 檢測和防護，不需要用戶進行配置和變更，簡化了部署和操作。不代理數據流量處理，性 能優越、成本低，適用於雲計算環境中大規模虛擬伺服器的部署和實施，以及適用於應用層 DOS攻擊的檢測和防禦。

【專利附圖】

【附圖說明】
[0024] 此處所說明的附圖用來提供對本發明的進一步理解，構成本發明的一部分，本發 明的示意性實施例及其說明用於解釋本發明，並不構成對本發明的不當限定。在附圖中：
[0025] 圖1所示為基於代理設備的檢測防禦的示意圖。
[0026] 圖2所示為本發明一實施例中的一種雲計算環境下HTTP DOS攻擊的檢測系統的 架構示意圖。
[0027] 圖3所示為本發明一實施例中的一種雲計算環境下HTTP DOS攻擊的檢測方法的 流程圖。
[0028] 圖4所示為本發明一實施例中的一種雲計算環境下HTTP DOS攻擊的檢測方法的 流程圖。
[0029] 圖5所示為本發明一實施例中的一種雲計算環境下HTTP DOS攻擊的檢測方法的 流程圖。
[0030] 圖6所示為本發明一實施例中的一種雲計算環境下HTTP DOS攻擊的檢測方法的 流程圖。

【具體實施方式】
[0031] 現在將參照附圖來詳細描述本發明的各種示例性實施例。應注意到：除非另外具 體說明，否則在這些實施例中闡述的部件和步驟的相對布置和數值不限制本發明的範圍。
[0032] 同時，應當明白，為了便於描述，附圖中所示出的各個部分的尺寸並不是按照實際 的比例關係繪製的。
[0033] 以下對至少一個示例性實施例的描述實際上僅僅是說明性的，決不作為對本發明 及其應用或使用的任何限制。
[0034] 對於相關領域普通技術人員已知的技術、方法和設備可能不作詳細討論，但在適 當情況下，所述技術、方法和設備應當被視為授權說明書的一部分。
[0035] 在這裡示出和討論的所有示例中，任何具體值應被解釋為僅僅是示例性的，而不 是作為限制。因此，示例性實施例的其它示例可以具有不同的值。
[0036] 應注意到：相似的標號和字母在下面的附圖中表示類似項，因此，一旦某一項在一 個附圖中被定義，則在隨後的附圖中不需要對其進行進一步討論。
[0037] 本發明提出一種適用於雲計算環境下對大量目標系統的HTTP DOS攻擊的檢測方 法及系統，不影響正常業務性能。DOS攻擊會導致被攻擊用戶資源使用的持續上升，本發明 能有效的檢測到DOS攻擊，從而減少DOS攻擊對於用戶帶來的業務中斷風險和經濟損失。本 發明適用於DDOS和EDOS攻擊的檢測。
[0038] 圖2所示為本發明一實施例中的一種雲計算環境下HTTP DOS攻擊的檢測系統的 架構示意圖。該系統包括HTTP DOS攻擊檢測實體（Attack Detection Entity, ADE)。該 ADE可以單獨部署，也可以直接部署在雲管理平臺上。其中，ADE包括獲取單元和判斷單元。
[0039] 獲取單元，配置於獲取對目標Web頁面發起HTTP請求的源端信息，包括請求次數 和速率。
[0040] 判斷單元，配置於判斷該源端對該目標Web頁面發起的HTTP請求次數和速率是否 大於各自的閾值，如果是，認為該源端對該目標Web頁面發起DOS攻擊。
[0041] 在本發明的一個實施例中，判斷單元檢測到請求次數和速率小於等於各自的閾 值，則認為未發起DOS攻擊。或者，在發起DOS攻擊的情況下，判斷單元檢測到請求次數和 速率小於等於各自的閾值，則攻擊警報解除。
[0042] 目前針對HTTP協議進行DOS攻擊的主要方式是HTTP Flooding，在短時間內向消 耗大量系統資源的頁面(如資料庫交互頁面）發送大量請求，導致整個Web系統無法響應。 因此通過檢測請求的數量（即計數器的次數）和發送的速率可以發現攻擊的異常狀態，即， 速率和計數器能夠準確的匹配攻擊。因此，本發明能夠有效的進行攻擊檢測，尤其是在雲計 算環境中對大量目標的統一攻擊檢測和防禦。
[0043] 為使本發明的目的、技術方案和優點更加清楚明白，以下結合具體實施例，並參照 附圖，對本發明進一步詳細說明。
[0044] 獲取單元提取HTTP請求包中的源IP位址、用戶cookie值和目標URL，其中，目標 URL即為目標Web頁面的地址。由於一個Web系統可能有幾百萬的頁面，IP位址都是相同 的，而攻擊往往是針對特定頁面執行的，因此採用URL進行定位，以定位受到攻擊的頁面。
[0045] 根據源IP位址和用戶cookie值計算得到源事件ID，根據目標URL計算得到目標 事件ID。在本發明的一個實施例中，通過Hash算法計算ID，S卩，源IP位址和用戶cookie 值兩個欄位組合通過Hash函數計算散列值，得到源事件ID ;目標URL欄位通過Hash函數 計算散列值，得到目標事件ID。
[0046] 將目標事件ID與目標事件篩選表中的所有條目的ID進行匹配，目標事件篩選表 中包括目標事件ID、源信息，即目標URL、計數器、速率和表指針，其中，表指針指向源事件 篩選表，源事件篩選表包括源事件ID、源信息，即源IP位址和用戶Cookie值、計數器、速率 和表指針。如果匹配成功，即，目標事件篩選表中包括計算得到的目標事件ID，則轉向表指 針所指向的源事件篩選表，將源事件ID與源事件篩選表中的所有條目的ID進行匹配，根據 匹配結果更新計數器的計數值，即請求次數，並計算速率。其中，源事件ID與源事件篩選表 中的當前條目ID匹配，將當前條目的計數器加一，計算源事件篩選表中所有條目的速率， 更新源事件篩選表所有條目的速率欄位。當不匹配時執行的操作，將在下面進行詳細說明。
[0047] 如果匹配不成功，即，目標事件篩選表中未包括計算得到的目標事件ID，則在目標 事件篩選表中創建新的條目，條目ID為當前HTTP請求包的目標事件ID，源信息為訪問的 目標URL，計數器置為1，表指針指向新創建的源事件篩選表。創建對應的源事件篩選表，條 目ID為當前HTTP請求包的源事件ID，源信息為當前HTTP請求包的源IP和cookie，計數 器置為1，表指針為正向查詢。
[0048] 上面提到的目標事件篩選表和源事件篩選表，總體表結構為鍊表的形式，目標事 件篩選表中的每個條目都有一個表指針指向對應的源事件篩選表。
[0049] 對於事件篩選表中的每個條目由六元組組成，如下表所示，分別為序號、事件ID、 源信息、計數器、速率和表指針。對於目標事件和源事件篩選表中的條目含義有所不同。
[0050]

【權利要求】
1. 一種雲計算環境下HTTP DOS攻擊的檢測方法，其特徵在於： 獲取對目標Web頁面發起HTTP請求的源端信息，包括請求次數和速率； 判斷該源端對該目標Web頁面發起的HTTP請求次數和速率是否大於各自的閾值，如果 是，認為該源端對該目標Web頁面發起拒絕服務（DOS)攻擊。
2. 如權利要求1所述雲計算環境下HTTP DOS攻擊的檢測方法，其特徵在於： 獲取對目標Web頁面發起HTTP請求的源端信息的操作，包括以下步驟： 提取HTTP請求包中的源IP位址、用戶cookie值和目標URL，其中，目標URL即為目標 Web頁面的地址； 根據源IP位址和用戶cookie值計算得到源事件ID，根據目標URL計算得到目標事件 ID ； 將目標事件ID與目標事件篩選表中的所有條目的ID進行匹配，目標事件篩選表中包 括目標事件ID、第一源信息、第一計數器、第一速率和第一表指針，其中，第一表指針指向源 事件篩選表，源事件篩選表包括源事件ID值、第二源信息、第二計數器、第二速率和第二表 指針； 如果匹配成功，即，目標事件篩選表中包括計算得到的目標事件ID，則轉向第一表指針 所指向的源事件篩選表，將源事件ID與源事件篩選表中的所有條目的ID進行匹配，根據匹 配結果更新第二計數器的計數值，即請求次數，並計算第二速率，即源端信息中的速率。
3. 如權利要求2所述雲計算環境下HTTP DOS攻擊的檢測方法，其特徵在於： 如果匹配不成功，即，目標事件篩選表中未包括計算得到的目標事件ID，則在目標事件 篩選表中創建新的條目，條目ID為當前HTTP請求包的目標事件ID值，第一源信息為訪問 的目標URL，第一計數器置為1，第一表指針指向新創建的源事件篩選表； 創建對應的源事件篩選表，條目ID為當前HTTP請求包的源事件ID，第二源信息為當前 HTTP請求包的源IP和cookie，第二計數器置為1，第二表指針為正向查詢。
4. 如權利要求2或3所述雲計算環境下HTTP DOS攻擊的檢測方法，其特徵在於：源事件ID與源事件篩選表中的所有條目的ID進行匹配的操作，包括以下步驟： 源事件ID與源事件篩選表中的當前條目ID匹配，將當前條目的計數器加一，計算源事 件篩選表中所有條目的速率，更新源事件篩選表所有條目的速率欄位。
5. 如權利要求2或3所述雲計算環境下HTTP DOS攻擊的檢測方法，其特徵在於：源事件ID與源事件篩選表中的所有條目的ID進行匹配的操作，包括以下步驟： 源事件ID與源事件篩選表中的當前條目ID不匹配，判斷當前條目是否為空； 如果當前條目為空，則將當前HTTP請求包的源事件ID插入當前條目，計數器置為1，表 指針置為反向查詢，計算源事件篩選表中所有條目的速率，更新源事件篩選表所有條目的 速率欄位，更新目標事件篩選表的計數器和速率欄位； 如果當前條目非空，當前條目計數器減一，判斷當前條目計數器是否為0 ;如果當前條 目計數器為〇,用新的請求包數據替換當前條目，事件ID替換為當前請求包的事件ID，源信 息替換為當前請求包的源信息，計數器設為1，表指針為正向查詢，計算源事件篩選表中所 有條目的速率，更新源事件篩選表所有條目的速率欄位，更新目標事件篩選表的計數器和 速率欄位；如果當前條目計數器不為〇,表指針選取下一條目，初始表指針設為正向查詢。
6. 如權利要求1或2或3所述雲計算環境下HTTP DOS攻擊的檢測方法，其特徵在於： 當檢測到DOS攻擊時，提交攻擊源IP位址和用戶cookie值； 調用安全設備對攻擊源IP位址進行阻斷。
7. -種雲計算環境下HTTP DOS攻擊的檢測系統，其特徵在於： 獲取單元，配置於獲取對目標Web頁面發起HTTP請求的源端信息，包括請求次數和速 率； 判斷單元，配置於判斷該源端對該目標Web頁面發起的HTTP請求次數和速率是否大於 各自的閾值，如果是，認為該源端對該目標Web頁面發起DOS攻擊。
8. 如權利要求7所述雲計算環境下HTTP DOS攻擊的檢測系統，其特徵在於： 獲取單元提取HTTP請求包中的源IP位址、用戶cookie值和目標URL，其中，目標URL 即為目標Web頁面的地址； 根據源IP位址和用戶cookie值計算得到源事件ID，根據目標URL計算得到目標事件 ID ； 將目標事件ID與目標事件篩選表中的所有條目的ID進行匹配，目標事件篩選表中包 括目標事件ID、第一源信息、第一計數器、第一速率和第一表指針，其中，第一表指針指向源 事件篩選表，源事件篩選表包括源事件ID值、第二源信息、第二計數器、第二速率和第二表 指針； 如果匹配成功，即，目標事件篩選表中包括計算得到的目標事件ID，則轉向第一表指針 所指向的源事件篩選表，將源事件ID與源事件篩選表中的所有條目的ID進行匹配，根據匹 配結果更新第二計數器的計數值，即請求次數，並計算第二速率，即源端信息中的速率。
9. 如權利要求8所述雲計算環境下HTTP DOS攻擊的檢測系統，其特徵在於： 如果匹配不成功，即，目標事件篩選表中未包括計算得到的目標事件ID，則在目標事件 篩選表中創建新的條目，條目ID為當前HTTP請求包的目標事件ID值，第一源信息為訪問 的目標URL，第一計數器置為1，第一表指針指向新創建的源事件篩選表； 創建對應的源事件篩選表，條目ID為當前HTTP請求包的源事件ID，第二源信息為當前 HTTP請求包的源IP和cookie，第二計數器置為1，第二表指針為正向查詢。
10. 如權利要求8或9所述雲計算環境下HTTP DOS攻擊的檢測系統，其特徵在於： 源事件ID與源事件篩選表中的當前條目ID匹配，將當前條目的計數器加一，計算源事 件篩選表中所有條目的速率，更新源事件篩選表所有條目的速率欄位。
11. 如權利要求8或9所述雲計算環境下HTTP DOS攻擊的檢測方系統，其特徵在於：源事件ID與源事件篩選表中的當前條目ID不匹配，判斷當前條目是否為空； 如果當前條目為空，則將當前HTTP請求包的源事件ID插入當前條目，計數器置為1，表 指針置為反向查詢，計算源事件篩選表中所有條目的速率，更新源事件篩選表所有條目的 速率欄位，更新目標事件篩選表的計數器和速率欄位； 如果當前條目非空，當前條目計數器減一，判斷當前條目計數器是否為0 ;如果當前條 目計數器為〇,用新的請求包數據替換當前條目，事件ID替換為當前請求包的事件ID，源信 息替換為當前請求包的源信息，計數器設為1，表指針為正向查詢，計算源事件篩選表中所 有條目的速率，更新源事件篩選表所有條目的速率欄位，更新目標事件篩選表的計數器和 速率欄位；如果當前條目計數器不為〇,表指針選取下一條目，初始表指針設為正向查詢。
12. 如權利要求7或8或9所述雲計算環境下HTTP DOS攻擊的檢測系統，其特徵在於： 判斷單元在檢測到DOS攻擊時，將攻擊源IP位址和用戶cookie值提交給阻斷單元，阻 斷單元調用安全設備對攻擊源IP位址進行阻斷。
【文檔編號】H04L29/08GK104333529SQ201310306860
【公開日】2015年2月4日 申請日期:2013年7月22日 優先權日:2013年7月22日
【發明者】張鑑, 陳軍 申請人:中國電信股份有限公司