亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于積分策略的網(wǎng)站ddos攻擊防御系統(tǒng)及方法

文檔序號(hào):7779235閱讀:370來(lái)源:國(guó)知局
一種基于積分策略的網(wǎng)站ddos攻擊防御系統(tǒng)及方法
【專利摘要】本發(fā)明公開(kāi)了一種基于“積分策略”的網(wǎng)站DDOS攻擊防御系統(tǒng),包括客戶端、防火墻、入侵檢測(cè)系統(tǒng)以及Web服務(wù)器,在所述入侵檢測(cè)系統(tǒng)與web服務(wù)器之間還包括攻擊IP過(guò)濾單元,所述防火墻除用于防御已知網(wǎng)絡(luò)攻擊外,還根據(jù)攻擊IP過(guò)濾單元的過(guò)濾指令進(jìn)行防御處理;所述入侵檢測(cè)系統(tǒng)以所述防火墻的防御處理結(jié)果作為輸入,用于檢測(cè)已知的DDOS攻擊;所述攻擊IP過(guò)濾單元,用于對(duì)被判定為具有攻擊行為的用戶IP進(jìn)行過(guò)濾,所述過(guò)濾為阻止該用戶IP對(duì)Web服務(wù)器的正常訪問(wèn),判定結(jié)果經(jīng)積分累計(jì)及緩存,對(duì)于緩存結(jié)果實(shí)現(xiàn)動(dòng)態(tài)評(píng)估,據(jù)此評(píng)估結(jié)果判定該用戶IP是否需被過(guò)濾或者重新獲得登錄資格。本發(fā)明應(yīng)用簡(jiǎn)便,不僅可以最大限度的保證正常用戶的訪問(wèn),還可以快速屏蔽出攻擊。
【專利說(shuō)明】—種基于積分策略的網(wǎng)站DDOS攻擊防御系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種企業(yè)門戶網(wǎng)站攻擊的防御方法,特別是涉及一種針對(duì)應(yīng)用層DDOS攻擊的防御系統(tǒng)及方法。
【背景技術(shù)】
[0002]DDOS全稱為分布式拒絕服務(wù)。DDOS攻擊表現(xiàn)為攻擊者利用某種方法使得目標(biāo)主機(jī)的系統(tǒng)資源被大量占用,或者目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬擁塞,最終使得合法用戶得不到服務(wù)。與傳統(tǒng)采用洪泛攻擊方式的DDOS攻擊不同,APP-DDOS 一般是通過(guò)正常訪問(wèn)的方式發(fā)送合法請(qǐng)求占用大量服務(wù)資源,從而讓合法用戶無(wú)法訪問(wèn),其代表的攻擊為CC攻擊、HTTP風(fēng)暴攻擊等。當(dāng)發(fā)起攻擊時(shí),攻擊者不斷地請(qǐng)求計(jì)算開(kāi)銷較大的頁(yè)面,如查詢數(shù)據(jù)庫(kù)、下載文件等。由于提供服務(wù)的一般都是普通服務(wù)器,只要請(qǐng)求足夠多,就可以使服務(wù)器癱瘓,網(wǎng)站被迫關(guān)閉。
[0003]目前廣泛使用的防御方法往往會(huì)干擾訪問(wèn)者對(duì)服務(wù)器的正常訪問(wèn),影響用戶的用戶體驗(yàn);又或者不能在短時(shí)間內(nèi)有效的抑制攻擊,導(dǎo)致在識(shí)別出合法用戶之前服務(wù)器可能已經(jīng)崩潰。

【發(fā)明內(nèi)容】

[0004]為了克服現(xiàn)有技術(shù)存在的問(wèn)題,本發(fā)明提出了一種基于挑戰(zhàn)應(yīng)答和指紋識(shí)別的身份驗(yàn)證方法,身份驗(yàn)證時(shí),主機(jī)和用戶之間通過(guò)挑戰(zhàn)應(yīng)答、指紋識(shí)別及非對(duì)稱加密技術(shù)實(shí)現(xiàn)身份識(shí)別,每次身份識(shí)別都需要進(jìn)行“挑戰(zhàn)”、“應(yīng)答”、“置舌L”和“加密處理”,且每次發(fā)送的挑戰(zhàn)字串都不重復(fù),不可推算,監(jiān)聽(tīng)者在一次識(shí)別時(shí)截獲的“應(yīng)答”不適用于下次身份識(shí)別,有效防止了冒充身份的發(fā)生。
[0005]本發(fā)明提出了一種基于“積分策略”的網(wǎng)站DDOS攻擊防御系統(tǒng),該系統(tǒng)包括客戶端、防火墻、入侵檢測(cè)系統(tǒng)以及Web服務(wù)器,在所述入侵檢測(cè)系統(tǒng)與web服務(wù)器之間還包括攻擊IP過(guò)濾單元,其中:
[0006]所述防火墻,除用于防御已知網(wǎng)絡(luò)攻擊外,在該防御系統(tǒng)中還用于根據(jù)攻擊IP過(guò)濾單元的過(guò)濾指令進(jìn)行防御處理;
[0007]所述入侵檢測(cè)系統(tǒng),以所述防火墻的防御處理結(jié)果作為輸入,用于檢測(cè)出已知的DDOS攻擊;
[0008]所述攻擊IP過(guò)濾單元,用于對(duì)被判定為具有攻擊行為的用戶IP進(jìn)行過(guò)濾,所述過(guò)濾的具體處理為阻止該用戶IP對(duì)Web服務(wù)器的正常訪問(wèn),判定結(jié)果經(jīng)積分累計(jì)及緩存,對(duì)于積分緩存結(jié)果實(shí)現(xiàn)動(dòng)態(tài)評(píng)估,據(jù)此評(píng)估結(jié)果判定該用戶IP是否需被過(guò)濾或者重新獲得登錄進(jìn)入系統(tǒng)的資格。
[0009]本發(fā)明還提出了一種基于“積分策略”的網(wǎng)站DDOS攻擊防御方法,該方法包括以下步驟:
[0010]由防火墻實(shí)現(xiàn)防御已知網(wǎng)絡(luò)攻擊,以及根據(jù)攻擊IP過(guò)濾單元的過(guò)濾指令進(jìn)行防御處理;
[0011]由入侵檢測(cè)系統(tǒng)以所述防火墻的防御處理結(jié)果作為輸入,進(jìn)一步用于檢測(cè)出已知的DDOS攻擊;
[0012]由攻擊IP過(guò)濾單元對(duì)被判定為具有攻擊行為的用戶IP進(jìn)行過(guò)濾,所述過(guò)濾的具體處理為阻止該用戶IP對(duì)Web服務(wù)器的正常訪問(wèn),判定結(jié)果經(jīng)積分累計(jì)及緩存,對(duì)于積分緩存結(jié)果實(shí)現(xiàn)動(dòng)態(tài)評(píng)估,據(jù)此評(píng)估結(jié)果判定該用戶IP是否需被過(guò)濾或者重新獲得登錄進(jìn)入系統(tǒng)的資格。
[0013]與現(xiàn)有技術(shù)相比,本發(fā)明應(yīng)用簡(jiǎn)便,與傳統(tǒng)方案相比,不僅可以最大限度的保證正常用戶的訪問(wèn),還可以快速屏蔽出攻擊。
【專利附圖】

【附圖說(shuō)明】
[0014]圖1為本發(fā)明的一種基于“積分策略”的網(wǎng)站防御DDOS攻擊系統(tǒng)結(jié)構(gòu)框圖;
[0015]圖2為本發(fā)明的一種基于“積分策略”的網(wǎng)站防御DDOS攻擊方法運(yùn)行時(shí)訪問(wèn)流程圖。
【具體實(shí)施方式】
[0016]下面結(jié)合附圖和實(shí)施例,進(jìn)一步詳細(xì)說(shuō)明本發(fā)明的【具體實(shí)施方式】。
[0017]如圖1-2所示,為本發(fā)明的一`種基于“積分策略”的網(wǎng)站防御DDOS攻擊系統(tǒng)的結(jié)構(gòu)框圖和運(yùn)行訪問(wèn)流程。`
[0018]1、相關(guān)定義。
[0019](I)服務(wù)價(jià)格:該值代表了用戶使用某服務(wù)或訪問(wèn)某頁(yè)面需付出的積分值,其中每個(gè)服務(wù)價(jià)格X i = c i ? Q i,C i代表每個(gè)服務(wù)或頁(yè)面的收益權(quán)重(如一個(gè)提供數(shù)據(jù)庫(kù)查詢?yōu)橹鞯木W(wǎng)站其數(shù)據(jù)庫(kù)服務(wù)所占權(quán)重最大,其他依次類推減少),Q 表服務(wù)所需的資源成本,綜合了每個(gè)服務(wù)或頁(yè)面所消耗的CPU計(jì)算開(kāi)銷、內(nèi)存、帶寬、I/O速率等得出的一個(gè)值。
[0020](2)積分:該值是用來(lái)獲得服務(wù)或訪問(wèn)某頁(yè)面的消耗品,如果把服務(wù)或頁(yè)面視為商品的話則積分就是購(gòu)買商品的貨幣。積分值的多少還是衡量一個(gè)用戶是否為正常用戶的重要標(biāo)志。
[0021]2、具體方法
[0022]本發(fā)明的系統(tǒng)由以下幾個(gè)模塊組成:
[0023](I)防火墻:防火墻不僅可以防御已知的、常見(jiàn)的攻擊之外,還通過(guò)接收模型內(nèi)部排隊(duì)模塊中維護(hù)的黑名單IP進(jìn)行包過(guò)濾。防火墻還有日志記錄功能,可以記錄網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)等,對(duì)于分析網(wǎng)絡(luò)攻擊有一定的幫助。
[0024](2)入侵檢測(cè)系統(tǒng):該系統(tǒng)運(yùn)行規(guī)則匹配程序,可以檢測(cè)出已知規(guī)則的DDOS攻擊,減輕服務(wù)器的負(fù)擔(dān)。
[0025](3)積分計(jì)算模塊:
[0026]若請(qǐng)求IP不在用戶控制模塊中的白名單中時(shí),則將該IP認(rèn)定為新用戶;對(duì)于新用戶新IP來(lái)說(shuō),每個(gè)IP初始化積分值為a(該值足夠一個(gè)正常用戶在足夠長(zhǎng)的時(shí)間里完成訪問(wèn)或享用服務(wù),但是對(duì)于高頻率訪問(wèn)的攻擊IP來(lái)說(shuō)遠(yuǎn)遠(yuǎn)不夠);每次請(qǐng)求一項(xiàng)服務(wù)或訪問(wèn)一個(gè)頁(yè)面時(shí),會(huì)根據(jù)消費(fèi)模塊中的服務(wù)價(jià)格表扣除相應(yīng)的積分值,并返回積分計(jì)算模塊進(jìn)行結(jié)算;當(dāng)用戶通過(guò)獎(jiǎng)勵(lì)模塊的某些測(cè)試時(shí),為該用戶IP加上相應(yīng)的獎(jiǎng)勵(lì)積分;
[0027]當(dāng)積分累計(jì)超過(guò)閥值Bmax的時(shí)候,則認(rèn)為是正常用戶,將該IP放入用戶控制模塊,并且之后請(qǐng)求的各種服務(wù)或頁(yè)面不再消耗積分;若積分值小于最小閥值Bmin時(shí),則將該IP放入排隊(duì)模塊做進(jìn)一步處理;當(dāng)排隊(duì)模塊中的某個(gè)IP的積分重新大于閥值Bniin的時(shí)候重新取出放入積分計(jì)算模塊為之提供消費(fèi)資格。
[0028](4)獎(jiǎng)勵(lì)模塊:該模塊是判斷是否為正常用戶的關(guān)鍵模塊,但如果該IP已經(jīng)認(rèn)證為正常用戶則該模塊不起作用。它負(fù)責(zé)向客戶端發(fā)送一些測(cè)試(比如圖靈測(cè)試或一些簡(jiǎn)單邏輯測(cè)試),并收集客戶端的回應(yīng),根據(jù)客戶端表現(xiàn)獎(jiǎng)勵(lì)積分。
[0029](5)消費(fèi)模塊:該模塊負(fù)責(zé)維護(hù)一個(gè)服務(wù)(或叫頁(yè)面)價(jià)格表,每當(dāng)接收到請(qǐng)求時(shí),該模塊從表中查到相應(yīng)的服務(wù)價(jià)格然后將價(jià)格信息傳遞給積分計(jì)算模塊進(jìn)行積分計(jì)算。當(dāng)請(qǐng)求的用戶被認(rèn)證為正常用戶時(shí),該模塊傳遞給積分計(jì)算模塊中的服務(wù)價(jià)格一律為O。
[0030](6)排隊(duì)模塊:該模塊負(fù)責(zé)維護(hù)一個(gè)疑似黑名單積分表,負(fù)責(zé)接受從積分計(jì)算模塊傳來(lái)的疑似攻擊IP。在排隊(duì)模塊中的IP無(wú)法發(fā)送服務(wù)請(qǐng)求,但會(huì)出現(xiàn)一個(gè)提示登錄/注冊(cè)的小頁(yè)面(若登陸成功則直接認(rèn)證為正常用戶),或以一定概率獲得用戶檢測(cè)場(chǎng)景從而獲得獎(jiǎng)勵(lì)積分。當(dāng)積分超過(guò)閥值Bmin時(shí)將該IP重新送回至積分計(jì)算模塊。該模塊還負(fù)責(zé)記錄一個(gè)IP在黑名單中的存在時(shí)間,存在時(shí)間越長(zhǎng),表明該IP越可疑,最后將時(shí)間累計(jì)值超過(guò)閥值T的IP發(fā)到防火墻進(jìn)行過(guò)濾。
[0031](7)用戶控制模塊:該模塊中維護(hù)著一張認(rèn)證用戶表(即白名單)。白名單的用戶可以享受免費(fèi)消費(fèi)的待遇。
[0032]當(dāng)本發(fā)明的一種基于“積分策略”的網(wǎng)站防御DDOS攻擊方法運(yùn)行時(shí):
[0033]①對(duì)于新用戶新IP來(lái)說(shuō),每個(gè)IP初始化積分值為a ;
[0034]②用戶在訪問(wèn)網(wǎng)頁(yè)或請(qǐng)求服務(wù)的之前會(huì)以不同概率遇到不同的用戶行為測(cè)試,通過(guò)獎(jiǎng)勵(lì)模塊的這些測(cè)試時(shí),系統(tǒng)會(huì)為該用戶IP加上相應(yīng)的獎(jiǎng)勵(lì)積分;
[0035]③若積分值小于最小閥值Bmin時(shí),則將該IP放入排隊(duì)模塊;
[0036]④在排隊(duì)模塊中的IP不能獲得服務(wù),但會(huì)得到登陸/注冊(cè)的提示或獎(jiǎng)勵(lì)模塊的其他測(cè)試,從而獲得正常用戶的認(rèn)證或得到些許獎(jiǎng)勵(lì)積分;
[0037]⑤當(dāng)排隊(duì)模塊中的某個(gè)IP的積分重新大于閥值Bniin的時(shí)候重新取出放入積分計(jì)算模塊,可重新獲得消費(fèi)資格。
[0038]⑥當(dāng)積分累計(jì)超過(guò)閥值Bmax的時(shí)候,則認(rèn)為是正常用戶,將該IP加入用戶控制模塊中的白名單,并且之后請(qǐng)求的各種服務(wù)或頁(yè)面不再消耗積分;
[0039]⑦每次請(qǐng)求一項(xiàng)服務(wù)或訪問(wèn)一個(gè)頁(yè)面會(huì)扣除相應(yīng)的服務(wù)價(jià)格,并返回至積分計(jì)算模塊進(jìn)行結(jié)算;
[0040]⑧排隊(duì)模塊將時(shí)間累計(jì)值超過(guò)Tbad的IP作為黑名單發(fā)到防火墻進(jìn)行過(guò)濾。
【權(quán)利要求】
1.一種基于“積分策略”的網(wǎng)站DDOS攻擊防御系統(tǒng),該系統(tǒng)包括客戶端、防火墻、入侵檢測(cè)系統(tǒng)以及Web服務(wù)器,其特征在于,在所述入侵檢測(cè)系統(tǒng)與web服務(wù)器之間還包括攻擊IP過(guò)濾單元,其中: 所述防火墻,除用于防御已知網(wǎng)絡(luò)攻擊外,在該防御系統(tǒng)中還用于根據(jù)攻擊IP過(guò)濾單元的過(guò)濾指令進(jìn)行防御處理; 所述入侵檢測(cè)系統(tǒng),以所述防火墻的防御處理結(jié)果作為輸入,用于檢測(cè)出已知的DDOS攻擊; 所述攻擊IP過(guò)濾單元,用于對(duì)被判定為具有攻擊行為的用戶IP進(jìn)行過(guò)濾,所述過(guò)濾的具體處理為阻止該用戶IP對(duì)Web服務(wù)器的正常訪問(wèn),判定結(jié)果經(jīng)積分累計(jì)及緩存,對(duì)于積分緩存結(jié)果實(shí)現(xiàn)動(dòng)態(tài)評(píng)估,據(jù)此評(píng)估結(jié)果判定該用戶IP是否需被過(guò)濾或者重新獲得登錄進(jìn)入系統(tǒng)的資格。
2.一種基于“積分策略”的網(wǎng)站DDOS攻擊防御方法,其特征在于,該方法包括以下步驟: 由防火墻實(shí)現(xiàn)防御已知網(wǎng)絡(luò)攻擊,以及根據(jù)攻擊IP過(guò)濾單元的過(guò)濾指令進(jìn)行防御處理; 由入侵檢測(cè)系統(tǒng)以所述防火墻的防御處理結(jié)果作為輸入,進(jìn)一步用于檢測(cè)出已知的DDOS攻擊;; 由攻擊IP過(guò)濾單元對(duì)被判定為具有攻擊行為的用戶IP進(jìn)行過(guò)濾,所述過(guò)濾的具體處理為阻止該用戶IP對(duì)Web服務(wù)器的正常訪問(wèn),判定結(jié)果經(jīng)積分累計(jì)及緩存,對(duì)于積分緩存結(jié)果實(shí)現(xiàn)動(dòng)態(tài)評(píng)估,據(jù)此評(píng)估結(jié)果判定該用戶IP是否需被過(guò)濾或者重新獲得登錄進(jìn)入系統(tǒng)的資格。
【文檔編號(hào)】H04L29/06GK103618730SQ201310651436
【公開(kāi)日】2014年3月5日 申請(qǐng)日期:2013年12月4日 優(yōu)先權(quán)日:2013年12月4日
【發(fā)明者】張亞平, 李展歌 申請(qǐng)人:天津大學(xué)
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1