戶動作信息����。在客戶端設置了信息收集模塊�,該信息收集模塊可以是新配置到該客戶端的軟件模塊、硬件模塊����、或軟件與硬件模塊的結合,也可以應用客戶端中原有部件或軟件模塊��。根據(jù)本發(fā)明的示例�����,用戶使用瀏覽器訪問web網站,而頁面則因此加載到該服務端的瀏覽器中����,以便用戶瀏覽。在步驟12��,客戶端向服務器發(fā)送第一次web請求���,用以請求密鑰����。在步驟14����,服務器判定該第一次web請求是否合法,在判定合法的情況下����,傳送密鑰給所述客戶端。在步驟16�����,客戶端向服務器發(fā)起第二次web請求,該第二次web請求由所述密鑰加密���,且該第二次web請求包含所收集的用戶動作信息字段����。在步驟18��,所述服務器接收第二次web請求��,判定該第二次web請求中是否包含用戶動作信息字段�����。在步驟20�����,在判定該第二次web請求中包含用戶動作信息字段的情況下����,確認所述用戶動作是否符合預定條件�����。在步驟22,在確認所述用戶動作在預定范圍內的情況下��,處理該第二次web請求��。
[0027]根據(jù)本發(fā)明的一個示例性實施方式����,用戶動作信息包括鼠標單位時間的移動距離、提交表單之前的鼠標確認鍵的點擊次數(shù)����、按下鍵盤回車鍵以提交表單請求之前的按鍵次數(shù)。據(jù)此���,在步驟20中��,在判定該第二次web請求中包含用戶動作信息字段的情況下�����,確認所述用戶動作是否符合預定條件則可實現(xiàn)為如滿足如下的條件�����,則確認該用戶動作符合預定條件���,要滿足的條件包括:鼠標單位時間的移動距離大于移動閾值m�,鼠標確認鍵的點擊次數(shù)與按下鍵盤回車鍵以提交表單請求之前鍵盤Tab鍵的激活次數(shù)之和大于和閾值Cp�,以及按下鍵盤回車鍵以提交表單請求之前字符鍵的按鍵次數(shù)大于按鍵閾值Lp。其中����,移動閾值m為用戶訪問瀏覽器時鼠標移動的最小速度,Ms通過在用戶提交表單之前總的鼠標移動距離M除以用于收集鼠標動作的收集時間t來獲得���,如果所確定的Ms小于m�����,則表明鼠標移動異常���。其中,鼠標確認鍵一般為鼠標左鍵���,根據(jù)設置,有時鼠標右鍵也可設置成選擇鍵�����,而左鍵設置成功能鍵。和閾值Cp是基于對用戶行為的一般統(tǒng)計而獲得的這兩者和的最小值�����,如果鼠標確認鍵的點擊次數(shù)11與按下鍵盤回車鍵以提交表單請求之前鍵盤Tab鍵的激活次數(shù)KTab之和小于和閾值Cp�����,則表明請求異常���。在按下鍵盤回車鍵以提交表單請求之前�,如果字符鍵的按鍵次數(shù)Ks小于按鍵閾值Lp����,則表明請求異常。按鍵閾值Lp也是基于對用戶行為的一般統(tǒng)計而獲得訪問web瀏覽器提交請求之前按壓普通按鍵的最小次數(shù)��。根據(jù)本發(fā)明的示例��,只要上述條件中有一個判定為請求異常�����,則確認所述用戶動作不符合預定條件。但是��,實際應用中�,也可是僅在上述條件中三個均判定為請求異常的情況下,才確認用戶動作不符合預定條件�����,否則符合�。
[0028]根據(jù)本發(fā)明的一個示例,用戶動作信息字段位于HTTP請求的頭部��。換句話說�,步驟16中,該第二次web請求是HTTP請求�,且在該HTTP請求的頭部插入了所收集的用戶動作信息。結合上文給出的示例���,所收集的鼠標移動距離����、整個收集過程的時間�����、提交表單之前的鼠標確認鍵的點擊次數(shù)���、按下鍵盤回車鍵以提交表單請求之前的按鍵次數(shù)等已插入到HTTP請求的頭部����。其中���,鼠標移動距離��、整個收集過程的時間也可以替換為鼠標單位時間的移動距離���。插入了用戶動作信息的該HTTP請求由通過第一次web請求獲得密鑰加密。
[0029]根據(jù)本發(fā)明的一個示例�,如圖1所示的該應用層DDoS防御方法還包括設置動態(tài)IP表,其包括黑名單與白名單����,所述黑名單用于存放服務器認為是非正常的IP地址,所述白名單用于存放正常請求加密密鑰的IP地址��。作為示例���,該動態(tài)IP表以累積的方式設置���,也就是在客戶端與服務器的不斷交互中���,通過例如根據(jù)本發(fā)明所述的方法來判斷發(fā)起請求的IP是否是合法IP而逐漸完善。根據(jù)本發(fā)明��,訪問率過高的IP地址�,一般都會將其設置在黑名單,有其他異常訪問行為的IP地址也會被放在黑名單中����,如上文所述,該名單中的IP地址是累積形成的�����,并以一個相對較高的時間閾值來進行過期取消�����,該時間閾值可由用戶配置�����,例如為I小時或更多���。根據(jù)本申請描述的上下文可知道����,本發(fā)明的各示例中����,用戶先后發(fā)起兩次web請求(兩次均可為HTTP請求),第一次用來請求加密密鑰�����,第二次用來提交正常的web請求�。白名單用來暫時存放正常請求加密密鑰的IP地址,供代理服務器在接收到web請求時���,查看該IP是否存放在白名單中�,若有則進行下一步處理�����,若無則將該IP加入黑名單���,并拋棄請求��。
[0030]根據(jù)本發(fā)明的一個示例���,在步驟14�����,服務器判定該第一次web請求是否合法包括如下步驟:首先�,判斷發(fā)出第一次web請求的IP地址是否在黑名單中��,若是��,則拋棄請求�;若不在黑名單中,則確定該IP地址是否在白名單中��,若不在�����,則將該IP地址增加到該白名單�,并將該第一次web請求判斷為合法,同時傳送密鑰給客戶端��;如確定該IP地址在白名單中�,則判斷該IP地址發(fā)出web請求的頻率是否已超過白名單頻率閾值�����,如是�����,則將該IP地址移到黑名單,否則��,將該第一次web請求判斷為合法�����,并傳送密鑰給客戶端�。其中,可根據(jù)實際情況確定白名單頻率閾值�����,例如�,根據(jù)該web網站的流量平均統(tǒng)計等。
[0031]本發(fā)明各示例中����,若服務器判定該第一次web請求不合法的情況下���,停止本次處理,并將發(fā)出該請求的IP地址移至黑名單��。類似地����,如果判定該第二次web請求中不包含用戶動作信息字段的情況下,停止本次處理���,并將發(fā)送給第二次web請求的IP地址移至黑名單��。
[0032]根據(jù)本發(fā)明各示例的應用層DDoS防御方法可通過軟件來實現(xiàn)�����。替代地����,可通過硬件來實現(xiàn)應用層DDoS防御方法�����,或通過軟件結合硬件來實現(xiàn)應用層DDoS防御方法。
[0033]本發(fā)明還提供應用層DDoS防御系統(tǒng)���。圖2是該應用層DDoS防御系統(tǒng)的結構示意圖���。如圖所示,該應用層DDoS防御系統(tǒng)包括信息收集模塊20�����、第一請求發(fā)送單元22����、第一判斷單元24����、第二請求發(fā)送單元26、第二判斷單元28��、第三判斷單元30以及處理單元32����。
[0034]信息收集模塊20設置于客戶端1,用于收集客戶端I瀏覽器的用戶動作信息���。第一請求發(fā)送單元22設置于客戶端1�����,用于向服務器2發(fā)送第一次web請求����,以請求密鑰。第一判斷單元24設置于服務器2���,用于判定該第一次web請求是否合法�,以便服務器2在判定合法的情況下傳送密鑰給客戶端I����。第二請求發(fā)送單元26設置于客戶端1,用于向服務器2發(fā)起第二次web請求���,該第二次web請求由所述密鑰加密�,且該第二次web請求包含所收集的用戶動作信息字段�。第二判斷單元28設置于服務器2,用于判定服務器2所接收的該第二次web請求中是否包含用戶動作信息字段�。第三判斷單元30設置于服務器2,在第二判斷單元28的判斷結果為該第二次web請求中包含用戶動作信息字段的情況下��,確認所述用戶動作是否符合預定條件。處理單元32設置于服務器2���,用于在所述第三判斷單元30確認所述用戶動作在預定范圍內的情況下����,處理該第二次web請求����。
[0035]用戶動作信息如上文所描述的那樣,包括鼠標單位時間的移動距離���、提交表單之前的鼠標確認鍵的點擊次數(shù)���、按下鍵盤回車鍵以提交表單請求之前的按鍵次數(shù)。在判定該第二次web請求中包含用戶動作信息字段的情況下����,第三判斷單元30根據(jù)確認所述用戶動作是否符合預定條件實現(xiàn)為第三判斷單元30確認該用戶動作是否同時滿足以下條件:鼠標單位時間的移動距離大于移動閾值m���,鼠標確認鍵的點擊次數(shù)與按下鍵盤回車鍵以提交表單請求之前鍵盤Tab鍵的激活次數(shù)之和大于和閾值Cp�����,以及按下鍵盤回車鍵以提交表單請求之前字符鍵的按鍵次數(shù)大于按鍵閾值Lp�。
[0036]根據(jù)本發(fā)明的一個示例,該應用層DDoS防御系統(tǒng)還包括表單設置單元(未圖示)���,其用于設置動態(tài)IP表���,該動態(tài)IP表包括黑名單與白名單,所述黑名單用于存放服務器認為是非正常的IP地址��,所述白名單用于存放正常請求加密密鑰的IP地址����。
[0037]根據(jù)本發(fā)明的又一個示例,第一判斷單元24可包括第一判斷子單元��、第二判斷子單元以及第三判斷子單元����。第一判斷子單元設置成用于判斷發(fā)出第一次web請求的IP地址是否在黑名單中,若是�����,則拋棄請求����,若不在黑名單中���,則將該信息通知第二判斷子單元。第二判斷子單元用于確定該IP地址是否在白名單中���,若不在�����,則將該IP地址增加到該白名單����,并將該第一次web請求判斷為合法����,如確定該IP地址在白名單中,將該信息發(fā)送給所述第三判斷子單元���。第三判斷子單元用于判斷該IP地址發(fā)出web請求的頻率是否已超過白名單頻率閾值,如是����,則將該IP地址移到黑名單��,否則��,將該第一次web請求判斷為合法����。
[0038]圖2所示的應用層DDoS防御系統(tǒng)可由軟件實現(xiàn)���,或由硬件實現(xiàn)�����、或有軟件與硬件相互結合來實現(xiàn)����。
[0039]根據(jù)本發(fā)明的一個示例��,客戶端對服務器的請求是通過Ajax技術實現(xiàn)的��。例如�����,利用Ajax技術從服務器端動態(tài)地向客戶端加載web頁面��。如本領域技術人員所知道的那樣,Javascript腳本在客戶端工作��,用戶可查閱完整的Javascript代碼��。按照本發(fā)明的示例�����,可在服務器端啟用幾套微調的客戶端模塊方案和多種混淆方案�。然后,在服務器端設定閾值�,當疑似客戶端腳本被破解,服務器端遭受DDoS攻擊時���,則利用該動