Ip防御方法
【技術領域】
[0001]本發(fā)明涉及一種網絡防御方法,尤其涉及一種Ip防御方法。
【背景技術】
[0002]就現(xiàn)有的網絡技術來看,暴露在公網上的域名和接口地址,容易受到惡意的訪問攻擊或者競爭對手爬蟲抓取的行為。不僅對網站服務和接口服務帶來了不好的體驗,還給網站帶來了不穩(wěn)定性風險。針對上述的問題,常見的防火墻采用過濾攔截的方式,其手段單一,且維護復雜,對訪問速度等性能也有一定的影響,無法滿足大數(shù)據(jù)量的處理。
【發(fā)明內容】
[0003]本發(fā)明的目的就是為了解決現(xiàn)有技術中存在的上述問題,提供一種Ip防御方法。
[0004]本發(fā)明的目的通過以下技術方案來實現(xiàn):
Ip防御方法,其中:對無侵入式的訪問數(shù)據(jù)進行收集,以分鐘力度對數(shù)據(jù)進行分析,建立黑名單和白名單機制,根據(jù)http協(xié)議單獨設置規(guī)則,通過獨立的服務獲取黑名單數(shù)據(jù)分析并拒絕服務。
[0005]上述的Ip防御方法,其中:所述對無侵入式的訪問數(shù)據(jù)進行收集過程為,部署獨立于網站服務和接口的嗅探服務,嗅探服務從服務器網卡中獲取到tcp/ip數(shù)據(jù),從tcp/ip數(shù)據(jù)中分析出http請求的信息,保存到本地緩存,所述的嗅探服務設有獨立的心跳進程,每分鐘把緩存數(shù)據(jù)push到遠程的統(tǒng)一的分析隊列中。
[0006]進一步地,上述的Ip防御方法,其中:所述以分鐘力度對數(shù)據(jù)進行分析的過程為,對收集的數(shù)據(jù)通過嗅探器按照分鐘為力度推送到分析隊列中,從隊列中按照每分鐘取出所有當前分鐘的數(shù)據(jù)進行分析,采用預設的規(guī)則進行分析匹配,符合黑名單條件的加入的黑名單中。
[0007]更進一步地,上述的Ip防御方法,其中:所述的預設規(guī)則為,每分鐘單個ip訪問單一頁面超過500次即加入黑名單,和/或是,在用戶注冊頁面,針對http協(xié)議分析出host和path,設置單個ip固定訪問該host與path的路徑的訪問次數(shù)為每分鐘超過50次即加入黑名單。
[0008]更進一步地,上述的Ip防御方法,其中:所述的建立黑名單和白名單機制為,將黑名單分為永久黑名單和臨時黑名單,永久黑名單為確定是惡意ip,永久拒絕提供服務,臨時黑名單分析得到的惡意ip,臨時加入黑名單拒絕在設定時間內提供服務,所述的設定時間為20分鐘,20分鐘后自動解除,所述的白名單為永久白名單,其內容為認定安全可靠來源的ip,跳過該算法分析抓取,直接提供服務。
[0009]更進一步地,上述的Ip防御方法,其中:所述的根據(jù)http協(xié)議單獨設置規(guī)則為,從嗅探服務獲取的分http請求的信息中得到到host和path,根據(jù)請求訪問特定的host和pash制定特定規(guī)則,所述的特定規(guī)則為不同host的規(guī)則或是相同host不同path的規(guī)則。
[0010]再進一步地,上述的Ip防御方法,其中:所述的拒絕服務過程為,通過net類型網站接口服務,接入統(tǒng)一的http module組件,所述的http module組件包含獨立心跳線程,每分鐘檢測一次黑名單,http module組件發(fā)現(xiàn)黑名單數(shù)據(jù)變化,取出數(shù)據(jù)緩存到本地,當有請求通過http module組件時,對比黑名單數(shù)據(jù)是否匹配,發(fā)現(xiàn)ip存在于黑名單,立刻返回相應拒絕提供服務。
[0011]本發(fā)明技術方案的優(yōu)點主要體現(xiàn)在:在http請求進入提供服務的網站服務器被網卡嗅探服務捕獲到數(shù)據(jù)。待積攢到一定數(shù)量的數(shù)據(jù)之后,發(fā)送給分析隊列。同時,分析服務從隊列中取出數(shù)據(jù),按照預設分析邏輯和算法找到符合加入黑名單的請求ip加入到黑名單。這樣,下次該ip再次請求網站時,通過.net的Http Module中獲取到黑名單列表,判斷后,拒絕訪問,達到防御的目的。更為重要的是,采用與傳統(tǒng)防火墻所不同的處理方法,可以從最大程度上避免性能損耗,減少繁瑣的規(guī)則設置。
【具體實施方式】
[0012]Ip防御方法,其特征在于:對無侵入式的訪問數(shù)據(jù)進行收集。同時,以分鐘力度對數(shù)據(jù)進行分析,建立黑名單和白名單機制。并且,根據(jù)http協(xié)議單獨設置規(guī)則。最終,通過獨立的服務獲取黑名單數(shù)據(jù)分析并拒絕服務。
[0013]就本發(fā)明一較佳的實施方式來看,考慮到為后續(xù)建立黑名單和白名單機制提供準確的數(shù)據(jù)依據(jù),對無侵入式的訪問數(shù)據(jù)進行收集過程為,部署獨立于網站服務和接口的嗅探服務,嗅探服務從服務器網卡中獲取到tcp/ip數(shù)據(jù)。之后,從tcp/ip數(shù)據(jù)中分析出http請求的信息,保存到本地緩存。為了進行較為精確的監(jiān)測,采用的嗅探服務設有獨立的心跳進程,每分鐘把緩存數(shù)據(jù)push到遠程的統(tǒng)一的分析隊列中。這樣,真正實現(xiàn)了全過程獨立部署,獨立分析,不和網站接口服務產生任何交互和影響。
[0014]進一步來看,為了提高嗅探服務中的數(shù)據(jù)分析效果,按照設定的時間進行分析,在以分鐘力度對數(shù)據(jù)進行分析期間,對收集的數(shù)據(jù)通過嗅探器按照分鐘為力度推送到分析隊列中。之后,從隊列中按照每分鐘取出所有當前分鐘的數(shù)據(jù)進行分析,采用預設的規(guī)則進行分析匹配,符合黑名單條件的加入的黑名單中。
[0015]同時,考慮到提高黑名單捕捉的容錯率同時又能減少誤判斷,擁有較佳的判斷范疇,采用的預設規(guī)則為,每分鐘單個ip訪問單一頁面超過500次即加入黑名單。并且,結合常見的惡意注冊攻擊行為來看,可以在在用戶注冊頁面,針對http協(xié)議分析出host和path ο在此期間,設置單個ip固定訪問該host與path的路徑的訪問次數(shù),可以預設為每分鐘超過50次即加入黑名單。
[0016]具體來說,本發(fā)明所采用的黑名單和白名單機制為:將黑名單分為永久黑名單和臨時黑名單。其中,永久黑名單為確定是惡意ip,永久拒絕提供服務。臨時黑名單分析得到的惡意ip,臨時加入黑名單拒絕在設定時間內提供服務??紤]到常見的數(shù)據(jù)交互時間,采用設定時間以20分鐘為佳,20分鐘后自動解除。與之對應的是,采用的白名單可以為永久白名單,其內容為認定安全可靠來源的ip,跳過該算法分析抓取,直接提供服務。
[0017]再進一步來看,為了提升單獨設置規(guī)則的處理效率,根據(jù)http協(xié)議單獨設置規(guī)則為:從嗅探服務獲取的分http請求的信息中得到到host和path,根據(jù)請求訪問特定的host和pash制定特定規(guī)則。同時,特定規(guī)則為不同host的規(guī)則或是相同host不同path的規(guī)則。同時,考慮到Ip防御過程中能夠有效拒絕為黑名單提供各種服務,采用的拒絕服務過程為,通過net類型網站接口服務,接入統(tǒng)一的http module組件。并且,http module組件包含獨立心跳線程,每分鐘檢測一次黑名單。這樣,能夠讓http module組件發(fā)現(xiàn)黑名單數(shù)據(jù)變化,取出數(shù)據(jù)緩存到本地。當有請求通過http module組件時,對比黑名單數(shù)據(jù)是否匹配,發(fā)現(xiàn)ip存在于黑名單,立刻返回相應拒絕提供服務。
[0018]通過上述的文字表述可以看出,采用本發(fā)明后,在http請求進入提供服務的網站服務器被網卡嗅探服務捕獲到數(shù)據(jù)。待積攢到一定數(shù)量的數(shù)據(jù)之后,發(fā)送給分析隊列。同時,分析服務從隊列中取出數(shù)據(jù),按照預設分析邏輯和算法找到符合加入黑名單的請求ip加入到黑名單。這樣,下次該ip再次請求網站時,通過.net的Http Module中獲取到黑名單列表,判斷后,拒絕訪問,達到防御的目的。更為重要的是,采用與傳統(tǒng)防火墻所不同的處理方法,可以從最大程度上避免性能損耗,減少繁瑣的規(guī)則設置。
[0019]這些實施例僅是應用本發(fā)明技術方案的典型范例,凡采取等同替換或者等效變換而形成的技術方案,均落在本發(fā)明要求保護的范圍之內。
【主權項】
1.1p防御方法,其特征在于:對無侵入式的訪問數(shù)據(jù)進行收集,以分鐘力度對數(shù)據(jù)進行分析,建立黑名單和白名單機制,根據(jù)http協(xié)議單獨設置規(guī)則,通過獨立的服務獲取黑名單數(shù)據(jù)分析并拒絕服務。2.根據(jù)權利要求1所述的Ip防御方法,其特征在于:所述對無侵入式的訪問數(shù)據(jù)進行收集過程為,部署獨立于網站服務和接口的嗅探服務,嗅探服務從服務器網卡中獲取到tcp/ip數(shù)據(jù),從tcp/ip數(shù)據(jù)中分析出http請求的信息,保存到本地緩存,所述的嗅探服務設有獨立的心跳進程,每分鐘把緩存數(shù)據(jù)push到遠程的統(tǒng)一的分析隊列中。3.根據(jù)權利要求1所述的Ip防御方法,其特征在于:所述以分鐘力度對數(shù)據(jù)進行分析的過程為,對收集的數(shù)據(jù)通過嗅探器按照分鐘為力度推送到分析隊列中,從隊列中按照每分鐘取出所有當前分鐘的數(shù)據(jù)進行分析,采用預設的規(guī)則進行分析匹配,符合黑名單條件的加入的黑名單中。4.根據(jù)權利要求1所述的Ip防御方法,其特征在于:所述的預設規(guī)則為,每分鐘單個ip訪問單一頁面超過500次即加入黑名單,和/或是,在用戶注冊頁面,針對http協(xié)議分析出host和path,設置單個ip固定訪問該host與path的路徑的訪問次數(shù)為每分鐘超過50次即加入黑名單。5.根據(jù)權利要求1所述的Ip防御方法,其特征在于:所述的建立黑名單和白名單機制為,將黑名單分為永久黑名單和臨時黑名單,永久黑名單為確定是惡意ip,永久拒絕提供服務,臨時黑名單分析得到的惡意ip,臨時加入黑名單拒絕在設定時間內提供服務,所述的設定時間為20分鐘,20分鐘后自動解除,所述的白名單為永久白名單,其內容為認定安全可靠來源的ip,跳過該算法分析抓取,直接提供服務。6.根據(jù)權利要求1所述的Ip防御方法,其特征在于:所述的根據(jù)http協(xié)議單獨設置規(guī)則為,從嗅探服務獲取的分http請求的信息中得到到host和path,根據(jù)請求訪問特定的host和pash制定特定規(guī)則,所述的特定規(guī)則為不同host的規(guī)則或是相同host不同path的規(guī)則。7.根據(jù)權利要求1所述的Ip防御方法,其特征在于:所述的拒絕服務過程為,通過net類型網站接口服務,接入統(tǒng)一的http module組件,所述的http module組件包含獨立心跳線程,每分鐘檢測一次黑名單,http module組件發(fā)現(xiàn)黑名單數(shù)據(jù)變化,取出數(shù)據(jù)緩存到本地,當有請求通過http module組件時,對比黑名單數(shù)據(jù)是否匹配,發(fā)現(xiàn)ip存在于黑名單,立刻返回相應拒絕提供服務。
【專利摘要】本發(fā)明涉及一種Ip防御方法,其特點是:對無侵入式的訪問數(shù)據(jù)進行收集,以分鐘力度對數(shù)據(jù)進行分析,建立黑名單和白名單機制,根據(jù)http協(xié)議單獨設置規(guī)則,通過獨立的服務獲取黑名單數(shù)據(jù)分析并拒絕服務。這樣,能夠在http請求進入提供服務的網站服務器被網卡嗅探服務捕獲到數(shù)據(jù),待積攢到一定數(shù)量的數(shù)據(jù)之后,發(fā)送給分析隊列。同時,分析服務從隊列中取出數(shù)據(jù)處理得到黑名單。這樣,下次該ip再次請求網站時,通過.net的HttpModule中獲取到黑名單列表,判斷后,拒絕訪問。更為重要的是,采用與傳統(tǒng)防火墻所不同的處理方法,可以從最大程度上避免性能損耗,減少繁瑣的規(guī)則設置。
【IPC分類】H04L29/06
【公開號】CN105323206
【申請?zhí)枴緾N201410243885
【發(fā)明人】王專, 吳志祥, 吳劍, 張海龍, 馬和平, 郭鳳林, 沈健, 王紀虎, 靳彩娟
【申請人】同程網絡科技股份有限公司
【公開日】2016年2月10日
【申請日】2014年6月4日