應(yīng)用層DDoS防御方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)技術(shù)�,更為具體地,涉及應(yīng)用層DDoS防御技術(shù)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展�����,大多數(shù)企業(yè)都會通過Web網(wǎng)站向用戶提供服務(wù)���。因此��,針對Web服務(wù)器的應(yīng)用層分布式拒絕服務(wù)(DDoS)攻擊就會威脅到網(wǎng)站的正常運作���,甚至造成用戶流失和利潤損失。與傳統(tǒng)的DDoS攻擊不同����,應(yīng)用層DDoS攻擊會使用真實IP與服務(wù)器建立正常TCP連接,且數(shù)據(jù)包與正常數(shù)據(jù)包格式相同�,因此,傳統(tǒng)的針對數(shù)據(jù)包的特征匹配方法難以應(yīng)對應(yīng)用層DDoS攻擊�����。
[0003]目前應(yīng)用層DDoS的防御方法主要有三種:1.對請求主體進行驗證����,該類方法的問題在于圖片驗證碼等驗證方式影響了用戶體驗的流暢度;2.針對IP和URL進行請求頻率驗證,該類方法在面對離散性DDoS攻擊時不能發(fā)現(xiàn)異常流量��;3.對用戶的訪問行為進行建模分析以發(fā)現(xiàn)異常流量�,該方法中防御所需的數(shù)據(jù)流量較大��,導(dǎo)致該方法難以應(yīng)用在訪問人員較多的網(wǎng)站上很難實現(xiàn)�����。
[0004]申請?zhí)枮镃N 201210139585.6的我國專利申請公開了一種應(yīng)用層DDoS分布式拒絕服務(wù)攻擊防御方法�。該申請的技術(shù)方案利用了針對IP和URL進行請求頻率驗證的方法,首先建立基準(zhǔn)矩陣�,然后根據(jù)基準(zhǔn)矩陣來發(fā)現(xiàn)流量的異常。該方法需進行大量的計算分析����,還需要串聯(lián)網(wǎng)絡(luò)設(shè)備的支持,且面對離散性DDoS攻擊時并不能很好的防御�����。
[0005]申請?zhí)枮镃N 201310018798.8的我國專利申請公開了一種針對網(wǎng)站的應(yīng)用層DDoS攻擊檢測方法和防御系統(tǒng)�。該申請的技術(shù)方案利用對用戶的訪問行為進行建模分析。在業(yè)務(wù)網(wǎng)站較為龐大���,訪問用戶相對復(fù)雜時��,使用該方法并不能建立一個有效的模型��,對合法用戶可能會造成誤傷���,也達(dá)不到良好的防御效果��。
【發(fā)明內(nèi)容】
[0006]有鑒于此��,本發(fā)明提供應(yīng)用層DDoS防御方法及系統(tǒng)����,以盡可能至少解決上述問題中的一部分���。
[0007]本發(fā)明提供的應(yīng)用層DDoS防御方法�����,其包括:a)設(shè)置在客戶端的信息收集模塊收集客戶端web瀏覽器的用戶動作信息�����;b)客戶端向服務(wù)器發(fā)送第一次web請求���,用以請求密鑰�����;c)服務(wù)器判定該第一次web請求是否合法�����,在判定合法的情況下,傳送密鑰給所述客戶端��;d)客戶端向服務(wù)器發(fā)起第二次web請求��,該第二次web請求由所述密鑰加密�,且該第二次web請求包含所收集的用戶動作信息字段;e)所述服務(wù)器接收第二次web請求��,判定該第二次web請求中是否包含用戶動作信息字段�;f)在判定該第二次web請求中包含用戶動作信息字段的情況下,確認(rèn)所述用戶動作是否符合預(yù)定條件����;g)在確認(rèn)所述用戶動作在預(yù)定范圍內(nèi)的情況下,處理該第二次web請求��。
[0008]可選地,所述的應(yīng)用層DDoS防御方法���,其中��,所述用戶動作信息包括:鼠標(biāo)單位時間的移動距離��、提交表單之前的鼠標(biāo)確認(rèn)鍵的點擊次數(shù)���、按下鍵盤回車鍵以提交表單請求之前的按鍵次數(shù)。
[0009]可選地����,所述的應(yīng)用層DDoS防御方法,其中�����,所述步驟f)中確定所述用戶動作是否符合預(yù)定條件包括:確定鼠標(biāo)單位時間的移動距離大于移動閾值m�,所述鼠標(biāo)確認(rèn)鍵的點擊次數(shù)與按下鍵盤回車鍵以提交表單請求之前鍵盤Tab鍵的激活次數(shù)之和大于和閾值Cp,以及按下鍵盤回車鍵以提交表單請求之前字符按鍵次數(shù)大于按鍵閾值Lp。
[0010]可選地�,所述的應(yīng)用層DDoS防御方法,其中�,所述用戶動作信息字段位于HTTP請求的頭部。
[0011 ] 可選地��,所述的應(yīng)用層DDoS防御方法,還包括:設(shè)置動態(tài)IP表�����,其包括黑名單與白名單���,所述黑名單用于存放服務(wù)器認(rèn)為是非正常的IP地址����,所述白名單用于存放正常請求加密密鑰的IP地址��。
[0012]可選地�,所述的應(yīng)用層DDoS防御方法���,其中���,所述步驟c)中服務(wù)器判定該第一次web請求是否合法包括:cl)判斷發(fā)出第一次web請求的IP地址是否在黑名單中,若是���,貝Ij拋棄請求����,若不在黑名單中,則c2)確定該IP地址是否在白名單中�����,若不在�,則將該IP地址增加到該白名單,并將該第一次web請求判斷為合法��,如確定該IP地址在白名單中����,則c3)判斷該IP地址發(fā)出web請求的頻率是否已超過白名單頻率閾值,如是���,則將該IP地址移到黑名單�����,否則��,將該第一次web請求判斷為合法��。
[0013]可選地�����,所述的應(yīng)用層DDoS防御方法����,其中,在步驟c)服務(wù)器判定該第一次web請求不合法的情況下�,停止本次處理,并將發(fā)出該請求的IP地址移至黑名單�����。
[0014]可選地��,所述的應(yīng)用層DDoS防御方法�����,其中��,在步驟e)判定該第二次web請求中不包含用戶動作信息字段的情況下�,停止本次處理��,并將發(fā)送給第二次web請求的IP地址移至黑名單�����。
[0015]可選地,所述的應(yīng)用層DDoS防御方法�����,其中�,所述客戶端對所述服務(wù)器的請求是通過Ajax技術(shù)實現(xiàn)。
[0016]根據(jù)本發(fā)明的又一方面�,還提供應(yīng)用層DDoS防御系統(tǒng),其包括:信息收集模塊���,其設(shè)置在客戶端���,用于收集客戶端瀏覽器的用戶動作信息;第一請求發(fā)送單元���,其設(shè)置在客戶端���,用于向服務(wù)器發(fā)送第一次web請求,以請求密鑰�����;第一判斷單元,其設(shè)置在服務(wù)器����,用于判定該第一次web請求是否合法,以便所述服務(wù)器在判定合法的情況下傳送密鑰給所述客戶端����;第二請求發(fā)送單元,其設(shè)置在客戶端�,用于向所述服務(wù)器發(fā)起第二次web請求,該第二次web請求由所述密鑰加密���,且該第二次web請求包含所收集的用戶動作信息字段�����;第二判斷單元���,其設(shè)置在所述服務(wù)器,用于判定所述服務(wù)器所接收的該第二次web請求中是否包含用戶動作信息字段�;第三判斷單元��,其設(shè)置在所述服務(wù)器�,在所述第二判斷單元的判斷結(jié)果為該第二次web請求中包含用戶動作信息字段的情況下,確認(rèn)所述用戶動作是否符合預(yù)定條件;處理單元�,其設(shè)置在所述服務(wù)器,用于在所述第三判斷單元確認(rèn)所述用戶動作在預(yù)定范圍內(nèi)的情況下�����,處理該第二次web請求�����。
[0017]可選地����,所述的應(yīng)用層DDoS防御系統(tǒng),其中�,所述用戶動作信息包括:鼠標(biāo)單位時間的移動距離、提交表單之前的鼠標(biāo)確認(rèn)鍵的點擊次數(shù)�����、按下鍵盤回車鍵以提交表單請求之前的按鍵次數(shù)��。
[0018]可選地�����,所述的應(yīng)用層DDoS防御系統(tǒng),其中��,所述第三判斷單元根據(jù)鼠標(biāo)單位時間的移動距離是否大于移動閾值m�����,所述鼠標(biāo)確認(rèn)鍵的點擊次數(shù)與按下鍵盤回車鍵以提交表單請求之前鍵盤Tab鍵的激活次數(shù)之和是否大于和閾值Cp��,以及按下鍵盤回車鍵以提交表單請求之前字符按鍵次數(shù)是否大于按鍵閾值Lp來確定所述用戶動作是否符合預(yù)定條件��。
[0019]可選地�,所述的應(yīng)用層DDoS防御系統(tǒng),其中����,還包括表單設(shè)置單元,其用于設(shè)置動態(tài)IP表�����,該動態(tài)IP表包括黑名單與白名單��,所述黑名單用于存放服務(wù)器認(rèn)為是非正常的IP地址����,所述白名單用于存放正常請求加密密鑰的IP地址。
[0020]可選地�,所述的應(yīng)用層DDoS防御系統(tǒng),其中��,所述第一判斷單元包括第一判斷子單元��、第二判斷子單元以及第三判斷子單元���,且:第一判斷子單元設(shè)置成用于判斷發(fā)出第一次web請求的IP地址是否在黑名單中����,若是����,則拋棄請求,若不在黑名單中��,則將該信息通知第二判斷子單元�,所述第二判斷子單元用于確定該IP地址是否在白名單中,若不在�,則將該IP地址增加到該白名單,并將該第一次web請求判斷為合法��,如確定該IP地址在白名單中�,將該信息發(fā)送給所述第三判斷子單元��,所述第三判斷子單元用于判斷該IP地址發(fā)出web請求的頻率是否已超過白名單頻率閾值��,如是����,則將該IP地址移到黑名單��,否則�,將該第一次web請求判斷為合法。
[0021]根據(jù)本發(fā)明的各示例���,可在不影響web業(yè)務(wù)���、不降低用戶體驗的情況下對DDoS攻擊進行有效防御,從而確保web網(wǎng)站的正常運行�����。
【附圖說明】
[0022]圖1是根據(jù)本發(fā)明示例的應(yīng)用層DDoS防御方法的流程圖�����。
[0023]圖2是應(yīng)用層DDoS防御系統(tǒng)的結(jié)構(gòu)示意圖�����。
【具體實施方式】
[0024]現(xiàn)在參照附圖描述本發(fā)明的示意性示例。相同的附圖標(biāo)號表示相同的元件����。下文描述的各實施例有助于本領(lǐng)域技術(shù)人員透徹理解本發(fā)明����,且意在示例而非限制。除非另有限定����,文中使用的術(shù)語(包括科學(xué)、技術(shù)和行業(yè)術(shù)語)具有與本發(fā)明所屬領(lǐng)域的技術(shù)人員普遍理解的含義相同的含義����。此外,流程圖中各步驟的先后順序也不以圖示的順序為限��。
[0025]圖1是根據(jù)本發(fā)明示例的應(yīng)用層DDoS防御方法的流程圖�。該方法執(zhí)行在包括客戶端與服務(wù)器的應(yīng)用環(huán)境中,其中該客戶端與該服務(wù)器是通信連接的����。該客戶端可通過其上的web網(wǎng)頁向web服務(wù)器發(fā)起請求�����,以要求相應(yīng)的服務(wù)���。在本文各示例中,客戶端是可接入網(wǎng)絡(luò)的�、可供用戶使用的各種電子設(shè)備,服務(wù)器則是可通過網(wǎng)絡(luò)與客戶端交互的電子設(shè)備��;其中���,該客戶端例如為手機��、平板電腦���、筆記本電腦、臺式電腦等��,而該服務(wù)器例如為臺式電腦���,也不排除服務(wù)器為筆記本電腦�����、平板電腦�、甚至手機等。這都取決于具體的應(yīng)用環(huán)境����。
[0026]如圖1所示,在步驟10�,設(shè)置在客戶端的信息收集模塊收集客戶端瀏覽器的用