態(tài)加載方式��,對客戶端模塊進(jìn)行調(diào)整����,以確?����?蛻舳四K不會(huì)被攻擊者破解和利用�����。
[0040]正常的用戶瀏覽web頁面時(shí)�����,肯定會(huì)有鼠標(biāo)移動(dòng)與點(diǎn)擊行為���,以及通過鍵盤點(diǎn)擊進(jìn)行的輸入行為�。請求的產(chǎn)生�����,通過是根據(jù)鼠標(biāo)與鍵盤的點(diǎn)擊產(chǎn)生的�����,如果一個(gè)請求的發(fā)起方?jīng)]有任何的鼠標(biāo)、鍵盤行為�,卻在源源不斷的發(fā)送請求,那么它就極有可能是一個(gè)非法請求�。
[0041]用戶行為的鼠標(biāo)記錄,主要包括用戶的鼠標(biāo)移動(dòng)距離�,以及提交表單、發(fā)送請求之前的點(diǎn)擊次數(shù)(比如選中輸入表單�����、切換輸入框等)����。這樣�����,當(dāng)服務(wù)器端或服務(wù)器端的代理服務(wù)器接收到所收集的這些參數(shù)的時(shí)候���,可通過幾乎為O的點(diǎn)擊數(shù)和極低的鼠標(biāo)移動(dòng)速度�,判斷請求來自異常用戶����。
[0042]用戶行為的鍵盤記錄��,我們主要記錄的就是用戶在按下ENTER鍵提交請求申請之前所按過的鍵盤次數(shù)���。將次數(shù)記錄下來,發(fā)送給服務(wù)器端�。根據(jù)本發(fā)明,可設(shè)定一次按鍵生成一個(gè)字符長度���,服務(wù)器可以根據(jù)請求中的參數(shù)子符長度是否超過這個(gè)次數(shù)所能完成的字符長度���。若未超過,則認(rèn)定用戶的請求參數(shù)出現(xiàn)異常�����,可對請求進(jìn)行異常處理����。
[0043]在本文的各示例中,術(shù)語“服務(wù)器”應(yīng)做廣義理解�����,它指的是包括一個(gè)或多個(gè)服務(wù)器的服務(wù)器端,或是一個(gè)或多個(gè)服務(wù)器中的具體某個(gè)服務(wù)器��。本文中��,提到某單元或某模塊設(shè)置在服務(wù)器則可相應(yīng)地理解為其設(shè)置在服務(wù)器端的某個(gè)具體服務(wù)器上��。如果服務(wù)器端設(shè)置成云端�,則某單元或某模塊設(shè)置在服務(wù)器可理解為設(shè)置在形式為云端的服務(wù)器端。
[0044]根據(jù)本發(fā)明的各示例����,通過用戶動(dòng)作信息確認(rèn)用戶認(rèn)為操作的真實(shí)性,而無需用戶通過相關(guān)界面輸入信息進(jìn)行驗(yàn)證��,改善了用戶體驗(yàn)�����。此外�,根據(jù)本發(fā)明的各示例,因結(jié)合了用戶真實(shí)性的判斷��,從而彌補(bǔ)了先有的通過IP/URL訪問頻率來防范應(yīng)用層DDoS攻擊的方法在對抗離散性攻擊時(shí)的短處����,且該方法不需要耗費(fèi)大量資源來對用戶的訪問行為進(jìn)行分析。進(jìn)一步�����,為了防止所收集的用戶動(dòng)作信息在傳輸過程中被竊取或修改�,本發(fā)明的一些示例中,還對該數(shù)據(jù)進(jìn)行了加密���。根據(jù)本發(fā)明的一些示例����,在獲取密鑰的時(shí)候��,還對IP請求頻率進(jìn)行了驗(yàn)證��,將IP請求頻率的驗(yàn)證提前到客戶獲取密鑰時(shí)�����,可以避免用戶發(fā)起正常請求時(shí)進(jìn)行IP頻率驗(yàn)證而給響應(yīng)速度與用戶體驗(yàn)帶來的不良影響���。
[0045]盡管已結(jié)合上文描述了本發(fā)明���,但應(yīng)理解����,文中的各示例可相互結(jié)合���。在不背離本發(fā)明公開的范圍與精神的情況下��,對示例中各步驟或部件����、單元的修改也應(yīng)落入本申請所附的權(quán)利要求書的范圍內(nèi)��。
【主權(quán)項(xiàng)】
1.一種應(yīng)用層DDoS防御方法���,其包括: a)設(shè)置在客戶端的信息收集模塊收集客戶端web瀏覽器的用戶動(dòng)作信息�����; b)客戶端向服務(wù)器發(fā)送第一次web請求���,用以請求密鑰; c)服務(wù)器判定該第一次web請求是否合法��,在判定合法的情況下����,傳送密鑰給所述客戶端; d)客戶端向服務(wù)器發(fā)起第二次web請求,該第二次web請求由所述密鑰加密��,且該第二次web請求包含所收集的用戶動(dòng)作信息字段��; e)所述服務(wù)器接收第二次web請求��,判定該第二次web請求中是否包含用戶動(dòng)作信息字段���; f)在判定該第二次web請求中包含用戶動(dòng)作信息字段的情況下�����,確認(rèn)所述用戶動(dòng)作是否符合預(yù)定條件��; g)在確認(rèn)所述用戶動(dòng)作在預(yù)定范圍內(nèi)的情況下�,處理該第二次web請求���。2.如權(quán)利要求1所述的應(yīng)用層DDoS防御方法��,其中�����,所述用戶動(dòng)作信息包括:鼠標(biāo)單位時(shí)間的移動(dòng)距離��、提交表單之前的鼠標(biāo)確認(rèn)鍵的點(diǎn)擊次數(shù)���、按下鍵盤回車鍵以提交表單請求之前的按鍵次數(shù)�����。3.如權(quán)利要求2所述的應(yīng)用層DDoS防御方法���,其中,所述步驟f)中確定所述用戶動(dòng)作是否符合預(yù)定條件包括:確定鼠標(biāo)單位時(shí)間的移動(dòng)距離大于移動(dòng)閾值m���,所述鼠標(biāo)確認(rèn)鍵的點(diǎn)擊次數(shù)與按下鍵盤回車鍵以提交表單請求之前鍵盤Tab鍵的激活次數(shù)之和大于和閾值Cp�����,以及按下鍵盤回車鍵以提交表單請求之前字符按鍵次數(shù)大于按鍵閾值Lp����。4.如權(quán)利要求3所述的應(yīng)用層DDoS防御方法�����,其中,所述用戶動(dòng)作信息字段位于HTTP請求的頭部����。5.如權(quán)利要求1所述的應(yīng)用層DDoS防御方法����,還包括:設(shè)置動(dòng)態(tài)IP表,其包括黑名單與白名單�����,所述黑名單用于存放服務(wù)器認(rèn)為是非正常的IP地址����,所述白名單用于存放正常請求加密密鑰的IP地址。6.如權(quán)利要求5所述的應(yīng)用層DDoS防御方法�,其中,所述步驟c)中服務(wù)器判定該第一次web請求是否合法包括: cl)判斷發(fā)出第一次web請求的IP地址是否在黑名單中��,若是�,則拋棄請求,若不在黑名單中�����,則 c2)確定該IP地址是否在白名單中,若不在��,則將該IP地址增加到該白名單����,并將該第一次web請求判斷為合法,如確定該IP地址在白名單中�����,則 c3)判斷該IP地址發(fā)出web請求的頻率是否已超過白名單頻率閾值�����,如是��,則將該IP地址移到黑名單���,否則�����,將該第一次web請求判斷為合法���。7.如權(quán)利要求6所述的應(yīng)用層DDoS防御方法���,其中,在步驟c)服務(wù)器判定該第一次web請求不合法的情況下��,停止本次處理�,并將發(fā)出該請求的IP地址移至黑名單。8.如權(quán)利要求6所述的應(yīng)用層DDoS防御方法�,其中�,在步驟e)判定該第二次web請求中不包含用戶動(dòng)作信息字段的情況下,停止本次處理�����,并將發(fā)送給第二次web請求的IP地址移至黑名單�。9.如權(quán)利要求1所述的應(yīng)用層DDoS防御方法,其中�����,所述客戶端對所述服務(wù)器的請求是通過Ajax技術(shù)實(shí)現(xiàn)���。10.一種應(yīng)用層DDoS防御系統(tǒng)���,其包括: 信息收集模塊���,其設(shè)置在客戶端,用于收集客戶端瀏覽器的用戶動(dòng)作信息���; 第一請求發(fā)送單元�����,其設(shè)置在客戶端���,用于向服務(wù)器發(fā)送第一次web請求,以請求密鑰����; 第一判斷單元,其設(shè)置在服務(wù)器�,用于判定該第一次web請求是否合法,以便所述服務(wù)器在判定合法的情況下傳送密鑰給所述客戶端��; 第二請求發(fā)送單元�,其設(shè)置在客戶端,用于向所述服務(wù)器發(fā)起第二次web請求,該第二次web請求由所述密鑰加密��,且該第二次web請求包含所收集的用戶動(dòng)作信息字段�����; 第二判斷單元�,其設(shè)置在所述服務(wù)器,用于判定所述服務(wù)器所接收的該第二次web請求中是否包含用戶動(dòng)作信息字段���; 第三判斷單元�����,其設(shè)置在所述服務(wù)器,在所述第二判斷單元的判斷結(jié)果為該第二次web請求中包含用戶動(dòng)作信息字段的情況下�,確認(rèn)所述用戶動(dòng)作是否符合預(yù)定條件; 處理單元���,其設(shè)置在所述服務(wù)器����,用于在所述第三判斷單元確認(rèn)所述用戶動(dòng)作在預(yù)定范圍內(nèi)的情況下��,處理該第二次web請求。11.如權(quán)利要求10所述的應(yīng)用層DDoS防御系統(tǒng)�����,其中����,所述用戶動(dòng)作信息包括:鼠標(biāo)單位時(shí)間的移動(dòng)距離、提交表單之前的鼠標(biāo)確認(rèn)鍵的點(diǎn)擊次數(shù)����、按下鍵盤回車鍵以提交表單請求之前的按鍵次數(shù)。12.如權(quán)利要求11所述的應(yīng)用層DDoS防御系統(tǒng)��,其中�����,所述第三判斷單元根據(jù)鼠標(biāo)單位時(shí)間的移動(dòng)距離是否大于移動(dòng)閾值m�,所述鼠標(biāo)確認(rèn)鍵的點(diǎn)擊次數(shù)與按下鍵盤回車鍵以提交表單請求之前鍵盤Tab鍵的激活次數(shù)之和是否大于和閾值Cp,以及按下鍵盤回車鍵以提交表單請求之前字符按鍵次數(shù)是否大于按鍵閾值Lp來確定所述用戶動(dòng)作是否符合預(yù)定條件��。13.如權(quán)利要求10所述的應(yīng)用層DDoS防御系統(tǒng)�����,其中,還包括表單設(shè)置單元��,其用于設(shè)置動(dòng)態(tài)IP表��,該動(dòng)態(tài)IP表包括黑名單與白名單�����,所述黑名單用于存放服務(wù)器認(rèn)為是非正常的IP地址����,所述白名單用于存放正常請求加密密鑰的IP地址。14.如權(quán)利要求13所述的應(yīng)用層DDoS防御系統(tǒng)����,其中,所述第一判斷單元包括第一判斷子單元�����、第二判斷子單元以及第三判斷子單元�,且: 第一判斷子單元設(shè)置成用于判斷發(fā)出第一次web請求的IP地址是否在黑名單中���,若是��,則拋棄請求����,若不在黑名單中,則將該信息通知第二判斷子單元�, 所述第二判斷子單元用于確定該IP地址是否在白名單中,若不在�����,則將該IP地址增加到該白名單�,并將該第一次web請求判斷為合法,如確定該IP地址在白名單中�����,將該信息發(fā)送給所述第三判斷子單元�����, 所述第三判斷子單元用于判斷該IP地址發(fā)出web請求的頻率是否已超過白名單頻率閾值���,如是��,則將該IP地址移到黑名單���,否則��,將該第一次web請求判斷為合法�。
【專利摘要】本發(fā)明提供的應(yīng)用層DDoS防御方法�,其包括:a)設(shè)置在客戶端的信息收集模塊收集客戶端web瀏覽器的用戶動(dòng)作信息;b)客戶端向服務(wù)器發(fā)送第一次web請求����,用以請求密鑰;c)服務(wù)器判定該第一次web請求是否合法���,在判定合法的情況下�����,傳送密鑰給所述客戶端�����;d)客戶端向服務(wù)器發(fā)起第二次web請求���,該第二次web請求由所述密鑰加密��,且該第二次web請求包含所收集的用戶動(dòng)作信息字段;e)所述服務(wù)器接收第二次web請求�����,判定該第二次web請求中是否包含用戶動(dòng)作信息字段��;f)在判定該第二次web請求中包含用戶動(dòng)作信息字段的情況下���,確認(rèn)所述用戶動(dòng)作是否符合預(yù)定條件�����;g)在確認(rèn)所述用戶動(dòng)作在預(yù)定范圍內(nèi)的情況下��,處理該第二次web請求����。還提供相應(yīng)的系統(tǒng)�。
【IPC分類】H04L29/08, H04L29/06
【公開號】CN105592070
【申請?zhí)枴緾N201510782316
【發(fā)明人】朱浩然, 華錦芝, 楊陽
【申請人】中國銀聯(lián)股份有限公司
【公開日】2016年5月18日
【申請日】2015年11月16日