一種基于多重特征識(shí)別的應(yīng)用層DDoS攻擊防御系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種綜合DDoS防御算法,具體是一種基于多重特征識(shí)別的應(yīng)用層DDoS攻擊防御系統(tǒng)。
【背景技術(shù)】
[0002]傳統(tǒng)防火墻的檢測(cè)機(jī)制較為單一,對(duì)上層協(xié)議的攻擊檢測(cè)能力不足,無(wú)法阻止來(lái)自應(yīng)用層的攻擊,其計(jì)算資源有限,檢測(cè)深度不足,檢測(cè)效率緩慢,隨著攻擊者欺騙偽裝技術(shù)越來(lái)越復(fù)雜并且多樣化,完全模擬正常瀏覽器真正業(yè)務(wù)用戶訪問(wèn),傳統(tǒng)防火墻無(wú)法檢測(cè),因此將會(huì)成為網(wǎng)絡(luò)瓶頸。
[0003]隨著互聯(lián)網(wǎng)應(yīng)用特性復(fù)雜多變,衍生出更復(fù)雜的攻擊方式,用戶只能隨著廠商升級(jí);傳統(tǒng)防火墻攔截策略依然采用比較粗劣一刀切方式或隔離網(wǎng)絡(luò)機(jī)制,如附圖2所示,這對(duì)上層流量檢測(cè)分析存在嚴(yán)重不足,誤判率過(guò)高,時(shí)常過(guò)濾、攔截用戶的正常訪問(wèn),中斷用戶,這讓企業(yè)和用戶都無(wú)法接受。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種基于多重特征識(shí)別的應(yīng)用層DDoS(DistributedDenial
of Service分布式拒絕服務(wù))攻擊防御系統(tǒng),以解決上述【背景技術(shù)】中提出的問(wèn)題,為實(shí)現(xiàn)上述目的,本發(fā)明提供如下技術(shù)方案:
當(dāng)用戶發(fā)起請(qǐng)求時(shí),系統(tǒng)將該用戶數(shù)據(jù)包信息存入net-node網(wǎng)絡(luò)流表,并對(duì)所述用戶數(shù)據(jù)包進(jìn)行分析處理,記錄其最后訪問(wèn)時(shí)間、源地址、目標(biāo)地址、目標(biāo)端口、發(fā)送數(shù)據(jù)和接受的數(shù)據(jù)包大小,判定其來(lái)源是否真實(shí)可靠;在給用戶返回?cái)?shù)據(jù)的時(shí)候插入一個(gè)驗(yàn)證數(shù)據(jù),再次檢測(cè)來(lái)源是否真實(shí)可靠,當(dāng)確定來(lái)源真實(shí)之后,添加該用戶至白名單,否則列入黑名單拒絕訪問(wèn);當(dāng)用戶被添加至白名單,用戶的信任度就是閾值信任度,系統(tǒng)給該來(lái)源分配一個(gè)cookie身份標(biāo)識(shí);接著創(chuàng)建一個(gè)記錄該cookie身份標(biāo)識(shí)的data數(shù)據(jù)庫(kù),記錄存儲(chǔ)該cookie身份標(biāo)識(shí)一定時(shí)間段的訪問(wèn)信息,所述訪問(wèn)信息包括連接數(shù)、連接頻率、訪問(wèn)數(shù)、訪問(wèn)頻率、http請(qǐng)求總數(shù)、請(qǐng)求頻率和錯(cuò)誤請(qǐng)求總數(shù)、錯(cuò)誤請(qǐng)求頻率、錯(cuò)誤請(qǐng)求的數(shù)據(jù)大小,所述訪問(wèn)信息作為身份驗(yàn)證管理的依據(jù);當(dāng)用戶再次發(fā)起請(qǐng)求將不需要再次驗(yàn)證;通過(guò)對(duì)一段時(shí)間內(nèi)cookie身份標(biāo)識(shí)的data數(shù)據(jù)庫(kù)進(jìn)行分析判斷,以閾值信任度為基數(shù)進(jìn)行增加或減少,并實(shí)時(shí)更新,低于閾值信任度將觸發(fā)驗(yàn)證機(jī)制,引導(dǎo)用戶輸入驗(yàn)證碼;如果未通過(guò)驗(yàn)證,系統(tǒng)仍然會(huì)降低信任度,如果信任度降低到O,將被列入黑名單拒絕訪問(wèn);通過(guò)驗(yàn)證之后,將恢復(fù)閾值任度。
[0005]作為本發(fā)明進(jìn)一步的方案:所述cookie身份標(biāo)識(shí)是唯一的。
[0006]作為本發(fā)明再進(jìn)一步的方案:所述data數(shù)據(jù)庫(kù)分為臨時(shí)存儲(chǔ)特征數(shù)據(jù)庫(kù)和長(zhǎng)期儲(chǔ)存特征數(shù)據(jù)庫(kù)。
[0007]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是: 通過(guò)建立訪問(wèn)特征檢測(cè)分析的黑白名單,分析判斷用戶的長(zhǎng)期訪問(wèn)行為的正?;蚍欠?,在DDoS攻擊發(fā)生時(shí),保證用戶的正常流量不被攔截。
【附圖說(shuō)明】
[0008]圖1為一種基于多重特征識(shí)別的應(yīng)用層DDoS攻擊防御系統(tǒng)的流程示意圖。
[0009]圖2為傳統(tǒng)防火墻攔截策略的流程示意圖。
[0010]圖3、圖4為一種基于多重特征識(shí)別的應(yīng)用層DDoS攻擊防御系統(tǒng)的信任度判斷流程示意圖。
【具體實(shí)施方式】
[0011 ]下面結(jié)合【具體實(shí)施方式】對(duì)本發(fā)明專利的技術(shù)方案作進(jìn)一步詳細(xì)地說(shuō)明。
[0012]請(qǐng)參閱圖1和圖4,一種基于多重特征識(shí)別的應(yīng)用層DDoS攻擊防御系統(tǒng),下面結(jié)合【具體實(shí)施方式】對(duì)本專利的技術(shù)方案作進(jìn)一步詳細(xì)地說(shuō)明。
[0013]當(dāng)用戶發(fā)起請(qǐng)求時(shí),系統(tǒng)將該用戶數(shù)據(jù)包信息存入net-node網(wǎng)絡(luò)流表,并對(duì)所述用戶數(shù)據(jù)包進(jìn)行分析處理,記錄其最后訪問(wèn)時(shí)間、源地址、目標(biāo)地址、目標(biāo)端口、發(fā)送數(shù)據(jù)和接受的數(shù)據(jù)包大小,判定其來(lái)源是否真實(shí)可靠;在給用戶返回?cái)?shù)據(jù)的時(shí)候插入一個(gè)驗(yàn)證數(shù)據(jù),再次檢測(cè)來(lái)源是否真實(shí)可靠,當(dāng)確定來(lái)源真實(shí)之后,添加該用戶至白名單,否則列入黑名單拒絕訪問(wèn);當(dāng)用戶被添加至白名單,用戶的信任度就是閾值信任度,系統(tǒng)給該來(lái)源分配一個(gè)cookie身份標(biāo)識(shí),cookie身份標(biāo)識(shí)是唯一的;接著創(chuàng)建一個(gè)記錄該cookie身份標(biāo)識(shí)的data數(shù)據(jù)庫(kù),記錄存儲(chǔ)該cookie身份標(biāo)識(shí)一定時(shí)間段的訪問(wèn)信息,所述訪問(wèn)信息包括連接數(shù)、連接頻率、訪問(wèn)數(shù)、訪問(wèn)頻率、http請(qǐng)求總數(shù)、請(qǐng)求頻率和錯(cuò)誤請(qǐng)求總數(shù)、錯(cuò)誤請(qǐng)求頻率、錯(cuò)誤請(qǐng)求的數(shù)據(jù)大小,所述訪問(wèn)信息作為身份驗(yàn)證管理的依據(jù);當(dāng)用戶再次發(fā)起請(qǐng)求將不需要再次驗(yàn)證;通過(guò)對(duì)一段時(shí)間內(nèi)cookie身份標(biāo)識(shí)的data數(shù)據(jù)庫(kù)進(jìn)行分析判斷,以閾值信任度為基數(shù)進(jìn)行增加或減少,data數(shù)據(jù)庫(kù)通過(guò)身份管理調(diào)度實(shí)時(shí)更新,data數(shù)據(jù)庫(kù)分為臨時(shí)存儲(chǔ)特征數(shù)據(jù)庫(kù)和長(zhǎng)期儲(chǔ)存特征數(shù)據(jù)庫(kù),長(zhǎng)期存儲(chǔ)特征數(shù)據(jù)庫(kù)包括互聯(lián)網(wǎng)常見(jiàn)的一些正常/非法請(qǐng)求,或人工添加的確認(rèn)判定為正常/非法的特征,臨時(shí)存儲(chǔ)特征數(shù)據(jù)庫(kù)是根據(jù)用戶訪問(wèn)的請(qǐng)求,主要通過(guò)對(duì)系統(tǒng)的運(yùn)行產(chǎn)生一定影響范圍的操作特征,判斷其請(qǐng)求為正常/非法請(qǐng)求,若長(zhǎng)時(shí)間未被匹配的特征將被丟棄,保證數(shù)據(jù)的新鮮;如圖3所示,用戶每次訪問(wèn)時(shí),它的請(qǐng)求信息都會(huì)根據(jù)其cookie信息記錄在一張臨時(shí)的表中,如在一定時(shí)間段內(nèi)有大量的請(qǐng)求,或過(guò)于頻繁的操作請(qǐng)求,將視為非法請(qǐng)求,將更新身份信息,扣除該cookie的信任值。常見(jiàn)的非法請(qǐng)求包括:在一定的時(shí)間段內(nèi)發(fā)起過(guò)多的請(qǐng)求,過(guò)高的請(qǐng)求頻率,產(chǎn)生過(guò)多的錯(cuò)誤請(qǐng)求,大量無(wú)用的數(shù)據(jù)包等等,此類非法請(qǐng)求會(huì)判斷對(duì)系統(tǒng)的影響程度,從而大幅度減少信任度;相反,如果每次正常請(qǐng)求,將提升信任度,當(dāng)然這個(gè)值是有上限的。如果你的身份在系統(tǒng)中低于閾值信任度,將觸發(fā)驗(yàn)證機(jī)制,引導(dǎo)用戶輸入驗(yàn)證碼;如果未通過(guò)驗(yàn)證,系統(tǒng)仍然會(huì)降低對(duì)你的信任,如果信任度降低到O,將被拒絕訪問(wèn)。通過(guò)驗(yàn)證之后,將恢復(fù)閾值ig任度。
[0014]對(duì)于本領(lǐng)域技術(shù)人員而言,顯然本發(fā)明不限于上述示范性實(shí)施例的細(xì)節(jié),而且在不背離本發(fā)明的精神或基本特征的情況下,能夠以其他的具體形式實(shí)現(xiàn)本發(fā)明。因此,無(wú)論從哪一點(diǎn)來(lái)看,均應(yīng)將實(shí)施例看作是示范性的,而且是非限制性的,本發(fā)明的范圍由所附權(quán)利要求而不是上述說(shuō)明限定,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化囊括在本發(fā)明內(nèi)。
[0015]此外,應(yīng)當(dāng)理解,雖然本說(shuō)明書按照實(shí)施方式加以描述,但并非每個(gè)實(shí)施方式僅包含一個(gè)獨(dú)立的技術(shù)方案,說(shuō)明書的這種敘述方式僅僅是為清楚起見(jiàn),本領(lǐng)域技術(shù)人員應(yīng)當(dāng)將說(shuō)明書作為一個(gè)整體,各實(shí)施例中的技術(shù)方案也可以經(jīng)適當(dāng)組合,形成本領(lǐng)域技術(shù)人員可以理解的其他實(shí)施方式。
【主權(quán)項(xiàng)】
1.一種基于多重特征識(shí)別的應(yīng)用層DDoS攻擊防御系統(tǒng),其特征在于,當(dāng)用戶發(fā)起請(qǐng)求時(shí),系統(tǒng)將該用戶數(shù)據(jù)包信息存入net-node網(wǎng)絡(luò)流表,并對(duì)所述用戶數(shù)據(jù)包進(jìn)行分析處理,記錄其最后訪問(wèn)時(shí)間、源地址、目標(biāo)地址、目標(biāo)端□、發(fā)送數(shù)據(jù)和接受的數(shù)據(jù)包大小,判定其來(lái)源是否真實(shí)可靠;在給用戶返回?cái)?shù)據(jù)的時(shí)候插入一個(gè)驗(yàn)證數(shù)據(jù),再次檢測(cè)來(lái)源是否真實(shí)可靠,當(dāng)確定來(lái)源真實(shí)之后,添加該用戶至白名單,否則列入黑名單拒絕訪問(wèn);當(dāng)用戶被添加至白名單,用戶的信任度就是閾值信任度,系統(tǒng)給該來(lái)源分配一個(gè)cookie身份標(biāo)識(shí);接著創(chuàng)建一個(gè)記錄該cookie身份標(biāo)識(shí)的data數(shù)據(jù)庫(kù),記錄存儲(chǔ)該cookie身份標(biāo)識(shí)一定時(shí)間段的訪問(wèn)信息,所述訪問(wèn)信息包括連接數(shù)、連接頻率、訪問(wèn)數(shù)、訪問(wèn)頻率、http請(qǐng)求總數(shù)、請(qǐng)求頻率和錯(cuò)誤請(qǐng)求總數(shù)、錯(cuò)誤請(qǐng)求頻率、錯(cuò)誤請(qǐng)求的數(shù)據(jù)大小,所述訪問(wèn)信息作為身份驗(yàn)證管理的依據(jù);當(dāng)用戶再次發(fā)起請(qǐng)求將不需要再次驗(yàn)證;通過(guò)對(duì)一段時(shí)間內(nèi)cookie身份標(biāo)識(shí)的data數(shù)據(jù)庫(kù)進(jìn)行分析判斷,以閾值信任度為基數(shù)進(jìn)行增加或減少,并實(shí)時(shí)更新,低于閾值信任度將觸發(fā)驗(yàn)證機(jī)制,引導(dǎo)用戶輸入驗(yàn)證碼;如果未通過(guò)驗(yàn)證,系統(tǒng)仍然會(huì)降低對(duì)信任度,如果信任度降低到0,將被列入黑名單拒絕訪問(wèn);通過(guò)驗(yàn)證之后,將恢復(fù)閾值信任度。2.根據(jù)權(quán)利要求1所述的一種基于多重特征識(shí)別的應(yīng)用層DDoS攻擊防御系統(tǒng),其特征在于,所述cookie身份標(biāo)識(shí)是唯一的。3.根據(jù)權(quán)利要求1所述的一種基于多重特征識(shí)別的應(yīng)用層DDoS攻擊防御系統(tǒng),其特征在于,所述data數(shù)據(jù)庫(kù)分為臨時(shí)存儲(chǔ)特征數(shù)據(jù)庫(kù)和長(zhǎng)期儲(chǔ)存特征數(shù)據(jù)庫(kù)。
【專利摘要】本發(fā)明公開(kāi)了一種基于多重特征識(shí)別的應(yīng)用層DDoS攻擊防御系統(tǒng),當(dāng)用戶發(fā)起請(qǐng)求時(shí),系統(tǒng)將該用戶數(shù)據(jù)包信息存入net-node網(wǎng)絡(luò)流表,并對(duì)所述用戶數(shù)據(jù)包進(jìn)行分析處理,判定其來(lái)源是否真實(shí)可靠;在給用戶返回?cái)?shù)據(jù)的時(shí)候插入一個(gè)驗(yàn)證數(shù)據(jù),再次檢測(cè)來(lái)源是否真實(shí)可靠,當(dāng)確定來(lái)源真實(shí)之后,用戶的信任度就是閾值信任度,系統(tǒng)給該來(lái)源分配一個(gè)cookie身份標(biāo)識(shí);接著創(chuàng)建一個(gè)記錄該cookie身份標(biāo)識(shí)的data數(shù)據(jù)庫(kù),記錄存儲(chǔ)該cookie身份標(biāo)識(shí)一定時(shí)間段的訪問(wèn)信息,所述訪問(wèn)信息作為身份驗(yàn)證管理的依據(jù);通過(guò)特征庫(kù)的分析處理進(jìn)行相應(yīng)的調(diào)度。本發(fā)明通過(guò)建立訪問(wèn)特征檢測(cè)分析的黑白名單,分析判斷用戶的長(zhǎng)期訪問(wèn)行為的正常或非法,在DDoS攻擊發(fā)生時(shí),保證用戶的正常流量不被攔截。
【IPC分類】H04L29/06
【公開(kāi)號(hào)】CN105610856
【申請(qǐng)?zhí)枴緾N201610047967
【發(fā)明人】蒙重安
【申請(qǐng)人】深圳一卡易網(wǎng)絡(luò)科技有限公司
【公開(kāi)日】2016年5月25日
【申請(qǐng)日】2016年1月26日