一種基于服務(wù)器日志的HTTP Get Flood攻擊防護方法
【專利摘要】本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)學(xué)科中網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種基于服務(wù)器日志的HTTPGetFlood攻擊防護方法���。針對攻擊源IP數(shù)量較多時現(xiàn)有技術(shù)對CC攻擊防護效果較差的問題���,本發(fā)明提供了一種基于服務(wù)器日志的HTTPGetFlood攻擊防護方法,能夠針對CC攻擊中的HTTPGetFlood攻擊提供效果更優(yōu)的防護����。通過統(tǒng)計和分析服務(wù)器日志中指定時長內(nèi)相同請求IP的數(shù)量是否超出閾值,結(jié)合該相同請求IP能否反饋符合要求的回饋響應(yīng)�,判定該IP是否為HTTPGetFlood攻擊的攻擊源IP��,對攻擊源IP進行阻斷�����。本發(fā)明設(shè)計簡潔���,易于實施,與現(xiàn)有的各類服務(wù)器均具有良好的適配性����,具有廣闊的應(yīng)用和推廣前景。
【專利說明】—種基于服務(wù)器日志的HTTP Get Flood攻擊防護方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)學(xué)科中網(wǎng)絡(luò)安全領(lǐng)域���,特別涉及一種基于服務(wù)器日志的HTTP Get Flood攻擊防護方法��。
【背景技術(shù)】
[0002]近年來中國網(wǎng)絡(luò)規(guī)模呈現(xiàn)膨脹式增長����,隨著網(wǎng)絡(luò)活動��,特別是網(wǎng)絡(luò)電商的活躍�,網(wǎng)絡(luò)交互發(fā)展迅速�����。而與此同時,針對網(wǎng)絡(luò)的攻擊形式也在巨大的利益推動下開始向新的方向改變���。目前���,CC (Challenge Collapsar)攻擊已經(jīng)成為一種被廣泛使用的典型攻擊方式,由于其實施的技術(shù)難度較低并且攻擊效果顯著���,CC攻擊已經(jīng)發(fā)展成為網(wǎng)絡(luò)安全領(lǐng)域中的一種常見攻擊方式��。CC攻擊的前身為Fatboy攻擊�,屬于DDoS (Distribut1n Denialof Service分布式拒絕服務(wù)�,簡稱DDoS)攻擊中的一種。CC攻擊以網(wǎng)站頁面為主要攻擊目標��,能夠藏匿真實的攻擊源IP����,借助代理服務(wù)器生成指向目標服務(wù)器的合法請求,在流量上不會產(chǎn)生異常的大流量數(shù)據(jù)��,但卻能造成服務(wù)器無法正常連接��。CC攻擊的攻擊原理來源于著名的木桶理論,即一個木桶所能容納水的最大容量不是由木桶最高的地方?jīng)Q定的����,而是由木桶最低的地方?jīng)Q定的。CC攻擊就是借鑒了木桶理論����,在對服務(wù)器發(fā)起攻擊時,攻擊者常常向服務(wù)器請求需要占用其較多資源開銷的應(yīng)用�����,例如訪問需要占用服務(wù)器大量CPU資源進行運算的頁面或者請求需要頻繁訪問數(shù)據(jù)庫的應(yīng)用���?�;谝陨弦蛩?�,CC攻擊的目標通常為網(wǎng)站服務(wù)器中需要動態(tài)生成的頁面和需要訪問數(shù)據(jù)庫資源的頁面���,例如asp、jsp和php等類型文件的頁面資源���。攻擊者主要通過控制大量僵尸主機或代理服務(wù)器�����,由僵尸主機或代理服務(wù)器自動向服務(wù)器發(fā)送頁面訪問請求�����。當使用具有一定規(guī)模的僵尸僵尸主機或代理服務(wù)器進行CC攻擊時���,將會對服務(wù)器頁面造成巨大的訪問流量,可導(dǎo)致服務(wù)器癱瘓�����,同時整個攻擊過程模擬了正??蛻舳嗽L問互聯(lián)網(wǎng)資源所發(fā)送的合法數(shù)據(jù)包,具有較強的隱蔽性�。CC攻擊主要有2種攻擊方式,即HTTP Get Flood (超文本傳輸協(xié)議泛洪)攻擊和鏈接耗盡型攻擊��。
[0003]目前��,常見的CC攻擊防護依靠防火墻���,通過對訪問服務(wù)器的單個IP連接數(shù)進行控制來限制CC攻擊����,在發(fā)起CC攻擊的IP數(shù)量較多的情況下依靠防火墻限制或阻止CC攻擊的效果較差。
【發(fā)明內(nèi)容】
[0004]針對攻擊源IP數(shù)量較多時現(xiàn)有技術(shù)對CC攻擊防護效果較差的問題�����,本發(fā)明提供了一種基于服務(wù)器日志的HTTP Get Flood攻擊防護方法���,能夠針對CC攻擊中的HTTP GetFlood攻擊提供效果更優(yōu)的防護�。
[0005]本發(fā)明的技術(shù)方案為:
一種基于服務(wù)器日志的HTTP Get Flood攻擊防護方法��,其特征在于包括以下步驟:
(a)查看服務(wù)器日志�����;
(b)判斷指定時長內(nèi)相同請求IP的數(shù)量是否超過閾值���; (C)若步驟b中相同請求IP的數(shù)量超過閾值則判定相同請求IP為HTTP Get Flood攻擊的攻擊源IP��,阻斷攻擊源IP��,返回步驟a �����;
(d)若步驟b中相同請求IP的數(shù)量未超過閾值則向相同請求IP發(fā)送響應(yīng)請求����,并要求相同請求IP回饋相應(yīng)的回饋響應(yīng)�;
Ce)若步驟d中相同請求IP未回饋符合要求的回饋響應(yīng)則判定相同請求IP為HTTPGet Flood攻擊的攻擊源IP,阻斷攻擊源IP���,返回步驟a ��;
(f )若步驟d中相同請求IP回饋符合要求的回饋響應(yīng)則返回步驟a��。
[0006]具體的���,步驟b中閾值由服務(wù)器工作參數(shù)判定,服務(wù)器工作參數(shù)包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量��。
[0007]具體的,步驟d中向相同請求IP發(fā)送的響應(yīng)請求為帶有tag標記的響應(yīng)請求����。
[0008]本發(fā)明的有益效果:1、執(zhí)行本發(fā)明技術(shù)方案步驟a?f能夠識別并阻斷HTTP GetFlood攻擊的IP�����,實現(xiàn)針對HTTP Get Flood攻擊的防護;2�、本發(fā)明技術(shù)方案步驟b針對相同IP發(fā)出訪問請求的數(shù)量設(shè)定閾值,以該閾值為基準判定該IP是否為HTTP Get Flood攻擊的攻擊源IP�����,即使發(fā)起HTTP Get Flood攻擊的IP數(shù)量較多���,也能夠逐一識別并阻斷攻擊源IP ;3�、依據(jù)服務(wù)器工作參數(shù)�,包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量設(shè)定該閾值,能夠滿足不同服務(wù)器針對HTTP Get Flood攻擊的防護要求�����;4���、步驟d中向相同請求IP發(fā)送的帶有tag標記的響應(yīng)請求能夠判斷該IP是否為惡意攻擊者����。本發(fā)明設(shè)計簡潔��,易于實施,與各類服務(wù)器均具有良好的適配性�,具有廣闊的應(yīng)用和推廣前景。
【專利附圖】
【附圖說明】
[0009]圖1為本發(fā)明的流程圖���。
【具體實施方式】
[0010]下面結(jié)合附圖對本發(fā)明作進一步說明���。
[0011]參照圖1���,本實施例中針對HTTP Get Flood攻擊的防護過程包括:
1.查看服務(wù)器日志��;
2.判斷指定時長內(nèi)相同請求IP的數(shù)量是否超過閾值��,該閾值由服務(wù)器工作參數(shù)判定�,服務(wù)器工作參數(shù)包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量����;
3.若步驟2中相同請求IP的數(shù)量超過閾值則判定該相同請求IP為HTTPGet Flood攻擊的攻擊源IP,阻斷攻擊源IP����,返回步驟I ;
4.若步驟2中相同請求IP的數(shù)量未超過閾值則向相同請求IP發(fā)送帶有tag標記的響應(yīng)請求,并要求該相同請求IP回饋相應(yīng)的回饋響應(yīng)����;
5.若步驟4中相同請求IP未回饋符合要求的回饋響應(yīng)則判定該相同請求IP為HTTPGet Flood攻擊的攻擊源IP����,阻斷相同請求IP�,返回步驟I ;
6.若步驟4中相同請求IP回饋符合要求的回饋響應(yīng)則返回步驟I。
[0012]本實施例中�����,服務(wù)器為IBM品牌的X3850 M2型服務(wù)器���,其正常業(yè)務(wù)流量為500Mbps��,步驟2中指定時長為60秒�,閾值為30次��。
[0013]需要說明的是��,阻斷攻擊源IP為本領(lǐng)域(網(wǎng)絡(luò)安全領(lǐng)域)的公知常識��,即使本發(fā)明未進行詳細說明���,本領(lǐng)域技術(shù)人員也應(yīng)當清楚這一步驟�����。
[0014]以上所述實施方式僅為本發(fā)明的優(yōu)選實施例�����,而并非本發(fā)明可行實施的窮舉��。對于本領(lǐng)域一般技術(shù)人員而言�,在不背離本發(fā)明原理和精神的前提下對其所作出的任何顯而易見的改動,都應(yīng)當被認為包含在本發(fā)明的權(quán)利要求保護范圍之內(nèi)�����。
【權(quán)利要求】
1.一種基于服務(wù)器日志的HTTP Get Flood攻擊防護方法�,其特征在于包括以下步驟: (a)查看服務(wù)器日志����; (b)判斷指定時長內(nèi)相同請求IP的數(shù)量是否超過閾值; (c)若步驟(b)中所述相同請求IP的數(shù)量超過閾值則判定相同請求IP為HTTPGetFlood攻擊的攻擊源IP�����,阻斷所述攻擊源IP�����,返回步驟(a); (d)若步驟(b)中所述相同請求IP的數(shù)量未超過閾值則向所述相同請求IP發(fā)送響應(yīng)請求���,并要求所述相同請求IP回饋相應(yīng)的回饋響應(yīng)���; Ce)若步驟(d)中所述相同請求IP未回饋符合要求的回饋響應(yīng)則判定相同請求IP為HTTP Get Flood攻擊的攻擊源IP,阻斷所述攻擊源IP��,返回步驟(a)�; (f)若步驟(d)中所述相同請求IP回饋符合要求的回饋響應(yīng)則返回步驟(a)。
2.根據(jù)權(quán)利要求1所述的一種基于服務(wù)器日志的HTTPGet Flood攻擊防護方法��,其特征在于步驟(b)中所述閾值由服務(wù)器工作參數(shù)判定���,所述服務(wù)器工作參數(shù)包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量�����。
3.根據(jù)權(quán)利要求2所述的一種基于服務(wù)器日志的HTTPGet Flood攻擊防護方法����,其特征在于步驟(d)中向所述相同請求IP發(fā)送的響應(yīng)請求為帶有tag標記的響應(yīng)請求��。
【文檔編號】H04L29/06GK104378358SQ201410569022
【公開日】2015年2月25日 申請日期:2014年10月23日 優(yōu)先權(quán)日:2014年10月23日
【發(fā)明者】董立勉, 左曉軍, 陳澤, 侯波濤, 盧寧, 郗波, 張君艷, 常杰, 王穎, 董娜, 劉偉娜, 王春璞, 劉惠穎 申請人:河北省電力建設(shè)調(diào)整試驗所