拒絕服務(wù)攻擊的防護(hù)方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種拒絕服務(wù)攻擊的防護(hù)方法和裝置。其中���,拒絕服務(wù)攻擊的防護(hù)方法包括以下步驟:獲取主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件����;根據(jù)請求源向主機(jī)發(fā)出的訪問請求生成帶有驗(yàn)證數(shù)據(jù)的應(yīng)答消息�,并返回給請求源;獲取請求源對應(yīng)答消息的響應(yīng)����,并判斷響應(yīng)中是否包括驗(yàn)證數(shù)據(jù)的回應(yīng)數(shù)據(jù)以及回應(yīng)數(shù)據(jù)是否與驗(yàn)證數(shù)據(jù)匹配;若以上任一判斷結(jié)果為否��,截留請求源向主機(jī)發(fā)出的訪問請求�。利用本發(fā)明的拒技術(shù)方案保障了防護(hù)目標(biāo)主機(jī)的安全可靠運(yùn)行,提高了網(wǎng)絡(luò)安全性�。
【專利說明】拒絕服務(wù)攻擊的防護(hù)方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域,特別是涉及一種拒絕服務(wù)攻擊的防護(hù)方法和裝置��?��!颈尘凹夹g(shù)】
[0002]拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問���,是黑客常用的攻擊手段之一���。利用大量超出響應(yīng)能力的請求消耗大量攻擊目標(biāo)的資源��,這些資源包括磁盤空間����、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬����,從而阻止正常用戶的訪問。嚴(yán)重時(shí)可以使某些服務(wù)被暫停甚至主機(jī)死機(jī)�����。
[0003]作為拒絕服務(wù)攻擊的一種�����,CC攻擊(Challenge Collapsar���,挑戰(zhàn)黑洞攻擊)�����,是利用不斷對網(wǎng)站發(fā)送連接請求�����,致使形成拒絕服務(wù)的目的的一種惡意攻擊手段���。其原理為模擬多個(gè)用戶不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作的頁面��,造成目標(biāo)主機(jī)服務(wù)器資源耗盡�,一直到宕機(jī)崩潰����。
[0004]由于CC攻擊的攻擊方式是通過模擬用戶的訪問請求,難以進(jìn)行區(qū)分�����,而且CC攻擊的技術(shù)門檻較低�,利用一些工具和一定熟練數(shù)量的代理IP就可以進(jìn)行攻擊,而且CC攻擊的攻擊效果明顯�����。
[0005]現(xiàn)有技術(shù)中針對拒絕服務(wù)攻擊�����,特別是CC攻擊的處理方案,主要在于對目標(biāo)服務(wù)器的優(yōu)化���,例如禁止網(wǎng)站代理訪問,限制連接數(shù)量���,盡量將網(wǎng)站做成靜態(tài)頁面等方法����。然而以上禁止代理訪問和限制連接數(shù)量的方法會影響正常用戶訪問網(wǎng)站��,另外由于網(wǎng)頁的類型和內(nèi)容的限制�����,也無法將網(wǎng)頁全部設(shè)置為靜態(tài)頁面�,而且這種方式也不能完全消除拒絕服務(wù)攻擊的效果。
【發(fā)明內(nèi)容】
[0006]鑒于上述問題���,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的拒絕服務(wù)攻擊的防護(hù)裝置和相應(yīng)的拒絕服務(wù)攻擊的防護(hù)方法�。本發(fā)明一個(gè)進(jìn)一步的目的是要使得消除拒絕服務(wù)攻擊對目標(biāo)主機(jī)的攻擊效果���。
[0007]依據(jù)本發(fā)明的一個(gè)方面��,提供了一種拒絕服務(wù)攻擊的防護(hù)方法�����。該拒絕服務(wù)攻擊的防護(hù)方法包括以下步驟:獲取主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件�����;根據(jù)請求源向主機(jī)發(fā)出的訪問請求生成帶有驗(yàn)證數(shù)據(jù)的應(yīng)答消息���,并返回給請求源��;獲取請求源對應(yīng)答消息的響應(yīng)�����,并判斷響應(yīng)中是否包括驗(yàn)證數(shù)據(jù)的回應(yīng)數(shù)據(jù)以及回應(yīng)數(shù)據(jù)是否與驗(yàn)證數(shù)據(jù)匹配��;若以上任一判斷結(jié)果為否��,截留請求源向主機(jī)發(fā)出的訪問請求����。
[0008]可選地,觸發(fā)事件的生成步驟包括:獲取向主機(jī)發(fā)出的訪問請求���;對訪問請求進(jìn)行拒絕服務(wù)攻擊識別��,并按照拒絕服務(wù)攻擊識別的結(jié)果產(chǎn)生主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件���。
[0009]可選地,如果判斷響應(yīng)中包括對驗(yàn)證數(shù)據(jù)的回應(yīng)數(shù)據(jù)且回應(yīng)數(shù)據(jù)與驗(yàn)證數(shù)據(jù)匹配���,允許訪問請求向主機(jī)發(fā)送。
[0010]可選地����,在截留請求源向主機(jī)發(fā)出的訪問請求之后還包括:對請求源的訪問日志進(jìn)行分析,以確定對請求源的防護(hù)的有效性���。
[0011]可選地���,驗(yàn)證數(shù)據(jù)為瀏覽器用戶信息cookie,與帶有cookie信息的應(yīng)答消息匹配的回應(yīng)數(shù)據(jù)為帶有cookie信息跳轉(zhuǎn)至主機(jī)地址的請求�����。
[0012]可選地,驗(yàn)證數(shù)據(jù)為腳本文件����,與帶有腳本文件的應(yīng)答消息匹配的回應(yīng)數(shù)據(jù)為腳本文件的執(zhí)行結(jié)果。
[0013]可選地�����,驗(yàn)證數(shù)據(jù)為圖片數(shù)據(jù)�����,與帶有圖片數(shù)據(jù)的應(yīng)答消息匹配的回應(yīng)數(shù)據(jù)為帶有圖片數(shù)據(jù)文字識別結(jié)果的跳轉(zhuǎn)至主機(jī)地址的請求��。
[0014]根據(jù)本發(fā)明的另一個(gè)方面��,還提供了一種拒絕服務(wù)攻擊的防護(hù)裝置���。該拒絕服務(wù)攻擊的防護(hù)裝置包括:事件獲取模塊��,用于獲取主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件��;應(yīng)答模塊��,用于根據(jù)請求源向主機(jī)發(fā)出的訪問請求生成帶有驗(yàn)證數(shù)據(jù)的應(yīng)答消息����,并返回給請求源;判斷模塊����,用于獲取請求源對應(yīng)答消息的響應(yīng),并判斷響應(yīng)中是否包括驗(yàn)證數(shù)據(jù)的回應(yīng)數(shù)據(jù)以及回應(yīng)數(shù)據(jù)是否與驗(yàn)證數(shù)據(jù)匹配����;執(zhí)行模塊,用于以上任一判斷結(jié)果為否���,截留請求源向主機(jī)發(fā)出的訪問請求。
[0015]可選地��,事件獲取模塊被配置為:獲取向主機(jī)發(fā)出的訪問請求�����;對訪問請求進(jìn)行拒絕服務(wù)攻擊識別���,并按照拒絕服務(wù)攻擊識別的結(jié)果產(chǎn)生主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件����。
[0016]可選地,執(zhí)行模塊還用于:在判斷模塊的判斷結(jié)果均為是的情況下�����,允許訪問請求向主機(jī)發(fā)送�����。
[0017]可選地�,上述拒絕服務(wù)攻擊的防護(hù)裝置還包括:日志分析模塊,用于對請求源的訪問日志進(jìn)行分析��,以確定對請求源的防護(hù)的有效性���。
[0018]可選地��,應(yīng)答模塊返回的應(yīng)答消息中包含的驗(yàn)證數(shù)據(jù)包括以下任意一項(xiàng):瀏覽器用戶信息cookie�����、腳本文件���、圖片數(shù)據(jù)����。
[0019]本發(fā)明的拒絕服務(wù)攻擊的防護(hù)方法和防護(hù)裝置在確定防護(hù)目標(biāo)主機(jī)受到拒絕服務(wù)攻擊時(shí)��,向攻擊源返回驗(yàn)證信息��,在驗(yàn)證信息不符合要求的情況下�����,忽略請求信息�����,對于防護(hù)目標(biāo)主機(jī)而言�����,可以確?�?煽窟\(yùn)行���,向正常用戶提供相應(yīng)服務(wù)。從而保障了防護(hù)目標(biāo)主機(jī)的安全可靠運(yùn)行�,提高了網(wǎng)絡(luò)安全性�����。
[0020]進(jìn)一步地���,采用多種方式配合的方式進(jìn)行驗(yàn)證信息的反饋和驗(yàn)證,構(gòu)成了多層次的防護(hù)手段���。
[0021]又進(jìn)一步地�����,根據(jù)拒絕服務(wù)攻擊的攻擊特征對以及防護(hù)目標(biāo)主機(jī)的訪問特點(diǎn)對拒絕服務(wù)攻擊的攻擊源進(jìn)行識別�,盡量減小對正常訪問的影響�,提高了用戶體驗(yàn)。
[0022]上述說明僅是本發(fā)明技術(shù)方案的概述�,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施�,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂����,以下特舉本發(fā)明的【具體實(shí)施方式】。
[0023]根據(jù)下文結(jié)合附圖對本發(fā)明具體實(shí)施例的詳細(xì)描述�,本領(lǐng)域技術(shù)人員將會更加明了本發(fā)明的上述以及其他目的�����、優(yōu)點(diǎn)和特征���。
【專利附圖】
【附圖說明】
[0024]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了����。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對本發(fā)明的限制�����。而且在整個(gè)附圖中���,用相同的參考符號表示相同的部件�����。在附圖中:
[0025]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的防護(hù)裝置200的網(wǎng)絡(luò)應(yīng)用環(huán)境的示意圖�����;
[0026]圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的防護(hù)裝置200示意圖�����;以及
[0027]圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的防護(hù)方法的示意圖�。
【具體實(shí)施方式】
[0028]在此提供的算法和顯示不與任何特定計(jì)算機(jī)���、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)����。各種通用系統(tǒng)也可以與基于在此的示教一起使用��。根據(jù)上面的描述���,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的���。此外,本發(fā)明也不針對任何特定編程語言��。應(yīng)當(dāng)明白����,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式�����。
[0029]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的防護(hù)裝置200的網(wǎng)絡(luò)應(yīng)用環(huán)境的示意圖,在圖中����,網(wǎng)頁客戶端110訪問目標(biāo)網(wǎng)站時(shí),經(jīng)過域名解析系統(tǒng)的解析�,將輸入的域名解析為網(wǎng)頁防護(hù)系統(tǒng)分布在各地機(jī)房的節(jié)點(diǎn)服務(wù)器120對應(yīng)的地址,節(jié)點(diǎn)服務(wù)器120通過互聯(lián)網(wǎng)向目標(biāo)網(wǎng)站的主機(jī)(host) 140發(fā)出訪問請求���,在hostl40之前設(shè)置了網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)130 (Web Application Firewall,簡稱WAF),向目標(biāo)主機(jī)140發(fā)出的訪問請求必須經(jīng)過WAF130才能到達(dá)目標(biāo)主機(jī)140���,WAF130作為網(wǎng)站防火防火墻,提供網(wǎng)站的加速和緩存服務(wù)���,可防止黑客利用跨站注入等漏洞對網(wǎng)站進(jìn)行入侵��,保護(hù)網(wǎng)站不被篡改和入侵���,提高網(wǎng)站主機(jī)的安全性。本發(fā)明實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識別裝置200與多個(gè)WAF130數(shù)據(jù)連接����,根據(jù)WAF130收到的向目標(biāo)主機(jī)140發(fā)送的訪問請求進(jìn)行拒絕服務(wù)攻擊的攻擊源識別�。
[0030]拒絕服務(wù)攻擊的方式包含以下多種方式:使用單一互聯(lián)網(wǎng)協(xié)議地址(InternetProtocol,進(jìn)程IP地址)對某一 host的單個(gè)統(tǒng)一資源定位符(Uniform Resource Locator,簡稱URL)進(jìn)行攻擊��、使用多個(gè)IP對單個(gè)URL進(jìn)行攻擊���、使用單一 IP對多個(gè)URL進(jìn)行攻擊、使用多個(gè)IP對多個(gè)URL進(jìn)行攻擊�����。
[0031]本發(fā)明實(shí)施例的拒絕服務(wù)攻擊的拒絕服務(wù)攻擊的防護(hù)裝置200及其相應(yīng)的拒絕服務(wù)攻擊的防護(hù)方法可以對各種類型的拒絕服務(wù)攻擊進(jìn)行安全防護(hù)���。
[0032]圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的防護(hù)裝置200示意圖��。該拒絕服務(wù)攻擊的防護(hù)裝置200 —般性地可以包括:事件獲取模塊210�����、應(yīng)答模塊220����、判斷模塊230���、執(zhí)行模塊240�,在一些優(yōu)化的方案中還可以增加設(shè)置有日志分析模塊250。
[0033]在以上部件中���,事件獲取模塊210用于獲取主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件��;應(yīng)答模塊220用于根據(jù)請求源向主機(jī)發(fā)出的訪問請求生成帶有驗(yàn)證數(shù)據(jù)的應(yīng)答消息��,并返回給請求源�����;判斷模塊230用于獲取請求源對應(yīng)答消息的響應(yīng)�,并判斷響應(yīng)中是否包括驗(yàn)證數(shù)據(jù)的回應(yīng)數(shù)據(jù)以及回應(yīng)數(shù)據(jù)是否與驗(yàn)證數(shù)據(jù)匹配����;執(zhí)行模塊240用于以上任一判斷結(jié)果為否,截留請求源向主機(jī)發(fā)出的訪問請求�。
[0034]其中,事件獲取模塊210可以通過對防護(hù)目標(biāo)主機(jī)的請求確定是否出現(xiàn)了拒絕服務(wù)攻擊��。事件獲取模塊210的一種可選配置方式為:獲取向主機(jī)發(fā)出的訪問請求�;對訪問請求進(jìn)行拒絕服務(wù)攻擊識別,并按照拒絕服務(wù)攻擊識別的結(jié)果產(chǎn)生主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件���。以上觸發(fā)事件可以包括:目標(biāo)主機(jī)的訪問量驟升或者某一 URL的訪問量異常等情況�。
[0035]如果判斷模塊230的判斷結(jié)果為是,說明請求方通過了驗(yàn)證�,執(zhí)行模塊240可以允許訪問請求向主機(jī)發(fā)送。
[0036]本實(shí)施例的拒絕服務(wù)攻擊的防護(hù)裝置200為了驗(yàn)證其防護(hù)效果�,還可以利用日志分析模塊250對請求源的訪問日志進(jìn)行分析,以確定對請求源的防護(hù)的有效性���。
[0037]應(yīng)答模塊200返回的應(yīng)答消息中包含的驗(yàn)證數(shù)據(jù)包括以下任意一項(xiàng):瀏覽器用戶信息cookie、腳本文件��、圖片數(shù)據(jù)�����。
[0038]在驗(yàn)證數(shù)據(jù)為瀏覽器用戶信息cookie時(shí)�����,請求發(fā)送方獲取瀏覽器用戶信息cookie后�����,正常操作為向WAF130重新發(fā)送帶有該cookie信息跳轉(zhuǎn)至所述主機(jī)地址的請求�,如果請求發(fā)送方返回的請求沒有對cookie進(jìn)行處理,可以說明請求發(fā)送方的請求為攻擊行為。
[0039]在驗(yàn)證數(shù)據(jù)為腳本文件JavaScript時(shí)�,請求發(fā)送方獲取javascript后,正常操作為執(zhí)行該javascript��,并重新返回腳本的執(zhí)行結(jié)果����,如果請求發(fā)送方返回的請求沒有執(zhí)行javascript,也可以說明請求發(fā)送方的請求為攻擊行為。
[0040]圖片驗(yàn)證數(shù)據(jù)也是一種有效的防護(hù)方法���,例如當(dāng)前訪問量超出閾值���,可以向所有的請求發(fā)送方發(fā)送圖片,類似于驗(yàn)證碼的方式���,請求方需要將圖片中包含的文字或者其他內(nèi)容進(jìn)行輸入并向目標(biāo)主機(jī)反饋���,如果圖片的識別結(jié)果與圖片對應(yīng)則證明當(dāng)前訪問為正常訪問。
[0041]以上三種方法可以進(jìn)行選擇使用���,也可以配合共同進(jìn)行使用����,例如使用cookie作為驗(yàn)證信息,消耗的資源最少�,而且可以對正常用戶沒有任何干擾的情況下完成信息認(rèn)證,但是容易被攻擊后門繞過����,日志分析模塊250通過分析確定cookie驗(yàn)證被繞過時(shí),開啟腳本文件驗(yàn)證,如果腳本文件驗(yàn)證又被繞過���,則開啟圖片驗(yàn)證�����,由于圖片驗(yàn)證方式需要用戶進(jìn)行操作,對正常訪問用戶會產(chǎn)生干擾����,但是驗(yàn)證效果較好。通過多層次的防護(hù)機(jī)制����,可以提高拒絕服務(wù)攻擊的防護(hù)性能。
[0042]本發(fā)明實(shí)施例還提供了一種拒絕服務(wù)攻擊的防護(hù)方法��,該拒絕服務(wù)攻擊的防護(hù)方法可以由以上實(shí)施例中的拒絕服務(wù)攻擊的防護(hù)裝置200來執(zhí)行����,以防范拒絕服務(wù)攻擊�����。圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的拒絕服務(wù)攻擊的防護(hù)方法的示意圖�,該拒絕服務(wù)攻擊的防護(hù)方法包括以下步驟:
[0043]步驟S302��,獲取主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件�;
[0044]步驟S304,根據(jù)請求源向主機(jī)發(fā)出的訪問請求生成帶有驗(yàn)證數(shù)據(jù)的應(yīng)答消息�,并返回給請求源;
[0045]步驟S306�,獲取請求源對應(yīng)答消息的響應(yīng);
[0046]步驟S308���,判斷響應(yīng)中是否包括驗(yàn)證數(shù)據(jù)的回應(yīng)數(shù)據(jù)并且回應(yīng)數(shù)據(jù)是否與驗(yàn)證數(shù)據(jù)匹配�����;
[0047]步驟S310���,若步驟S308判斷結(jié)果中任一項(xiàng)為否,則截留請求源向主機(jī)發(fā)出的訪問請求�。
[0048]如果步驟S308的判斷結(jié)果均為是�,則將請求源向主機(jī)發(fā)送的訪問請求返回給防護(hù)目標(biāo)主機(jī)����。[0049]步驟S302所獲取的觸發(fā)事件的生成步驟包括:獲取向主機(jī)發(fā)出的訪問請求;對訪問請求進(jìn)行拒絕服務(wù)攻擊識別��,并按照拒絕服務(wù)攻擊識別的結(jié)果產(chǎn)生主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件��。
[0050]優(yōu)選地�,在步驟S310之后還可以對請求源的訪問日志進(jìn)行分析,以確定安全防護(hù)的有效性�。
[0051]步驟S304中生成應(yīng)答消息中包含的驗(yàn)證數(shù)據(jù)包括以下任意一項(xiàng):瀏覽器用戶信息cookie、腳本文件�����、圖片數(shù)據(jù)���。
[0052]在驗(yàn)證數(shù)據(jù)為瀏覽器用戶信息cookie時(shí),請求發(fā)送方獲取瀏覽器用戶信息cookie后��,正常操作為向WAF130重新發(fā)送帶有該cookie信息跳轉(zhuǎn)至所述主機(jī)地址的請求���,如果請求發(fā)送方返回的請求沒有對cookie進(jìn)行處理���,可以說明請求發(fā)送方的請求為攻擊行為��。
[0053]在驗(yàn)證數(shù)據(jù)為腳本文件JavaScript時(shí)���,請求發(fā)送方獲取javascript后,正常操作為執(zhí)行該javascript��,并重新返回腳本的執(zhí)行結(jié)果���,如果請求發(fā)送方返回的請求沒有執(zhí)行javascript,也可以說明請求發(fā)送方的請求為攻擊行為����。
[0054]圖片驗(yàn)證數(shù)據(jù)也是一種有效的防護(hù)方法�,例如當(dāng)前訪問量超出閾值,可以向所有的請求發(fā)送方發(fā)送圖片���,類似于驗(yàn)證碼的方式����,請求方需要將圖片中包含的文字或者其他內(nèi)容進(jìn)行輸入并向目標(biāo)主機(jī)反饋�,如果圖片的識別結(jié)果與圖片對應(yīng)則證明當(dāng)前訪問為正常訪問。
[0055]以上三種方法可以進(jìn)行選擇使用�,也可以配合共同進(jìn)行使用����,例如使用cookie作為驗(yàn)證信息���,消耗的資源最少�����,而且可以對正常用戶沒有任何干擾的情況下完成信息認(rèn)證����,但是容易被攻擊后門繞過�,通過對訪問日志的進(jìn)一步分析分析確定cookie驗(yàn)證被繞過時(shí),開啟腳本文件驗(yàn)證����,如果腳本文件驗(yàn)證又被繞過,則開啟圖片驗(yàn)證�����,由于圖片驗(yàn)證方式需要用戶進(jìn)行操作����,對正常訪問用戶會產(chǎn)生干擾,但是驗(yàn)證效果較好�。通過多層次的防護(hù)機(jī)制,可以提高拒絕服務(wù)攻擊的防護(hù)性能�。
[0056]首先對防護(hù)目標(biāo)主機(jī)的訪問量異常時(shí),開啟本實(shí)施例的拒絕服務(wù)攻擊的防護(hù)方法的實(shí)現(xiàn)流程進(jìn)行進(jìn)一步說明�。
[0057]在受到拒絕服務(wù)攻擊的情況下,在較短的時(shí)間內(nèi)��,訪問請求的防護(hù)目標(biāo)主機(jī)140收到的請求量會明顯高于正常的請求量��,然而對于不同的網(wǎng)站�,其訪問量是不同的。為了使對目標(biāo)防護(hù)主機(jī)140設(shè)置的閾值符合該目標(biāo)主機(jī)140的訪問能力���,可以動態(tài)對請求量判斷的閾值進(jìn)行統(tǒng)計(jì)�����,統(tǒng)計(jì)方法可以包括每間隔第一預(yù)定時(shí)間段記錄一次第一請求量����,得到多個(gè)第一請求量�����;從多個(gè)第一請求量中按照預(yù)設(shè)規(guī)則挑選出多個(gè)樣本值;計(jì)算多個(gè)樣本值的平均值�����,根據(jù)平均值設(shè)定閾值��。
[0058]其中選取樣本的方式可以為:選取在第二預(yù)定時(shí)間段內(nèi)產(chǎn)生的多個(gè)第一請求量�,第二預(yù)定時(shí)間段為第一預(yù)定時(shí)間段的整數(shù)倍,將在第二預(yù)定時(shí)間段內(nèi)產(chǎn)生的多個(gè)第一請求量中的最大值記為第二請求量����;在連續(xù)多個(gè)第二預(yù)定時(shí)間段內(nèi)分別挑選得出多個(gè)第二請求量,并從多個(gè)第二請求量中濾除偏差較大的數(shù)據(jù)后����,得到多個(gè)樣本值。以上請求量閾值可以為樣本值的加和平均值與預(yù)定系數(shù)的乘積�,預(yù)定系數(shù)的取值范圍為:1.05至1.3。
[0059]為了保證識別的準(zhǔn)確性�,以上第一預(yù)定時(shí)間和第二預(yù)定時(shí)間均經(jīng)過了大量的時(shí)間進(jìn)行試驗(yàn),其中第一預(yù)定時(shí)間如果設(shè)定地過短��,其波動性較大�����,容易出現(xiàn)誤識別的情況���,如果設(shè)定地過長�,其波動性過于平滑�����,無法反映出請求量的變化����;經(jīng)過大量測試的結(jié)果,第一預(yù)定時(shí)間可以設(shè)置為3至8分鐘���,最優(yōu)值為5分鐘����,也就是每間隔5分鐘�����,確定在這5分鐘內(nèi)發(fā)出的訪問請求總量作為第一請求量�����。
[0060]為了確定以上請求量閾值,需要確定在正常訪問情況下最大的訪問請求量���,由于一般網(wǎng)站的訪問都是天為單位波動的��,因此����,第二預(yù)定時(shí)間可以使用一天的時(shí)間�,從而選取樣本值的過程可以為:獲取一天時(shí)間內(nèi),每隔5分鐘的第一請求量�����,從而一天的288個(gè)第一請求量中選取出最大值作為第二請求量��。由于第二請求量可能受到異常因素的影響���,會導(dǎo)致有些值明顯出現(xiàn)較大偏差�����,例如某日統(tǒng)計(jì)出錯(cuò)���,導(dǎo)致請求量為零�;或者在某天內(nèi)受到拒絕服務(wù)攻擊�����,訪問量大增���,這種明顯偏差較大的數(shù)據(jù)并非正常訪問造成的,需要進(jìn)行濾除��。一種從第二請求量中選取樣本值的簡單方法可以為:挑選最近30天內(nèi)的30個(gè)第二請求量����,過濾掉最大的三個(gè)數(shù)據(jù)和最小的三個(gè)數(shù)據(jù),將剩余的24個(gè)第二請求量作為樣本值�����。這種方式計(jì)算簡單����,有效性較高。另外從第二請求量中選取樣本值的方法還可以使用方差的方法進(jìn)行統(tǒng)計(jì)����,將方差大于一定預(yù)設(shè)值的第二請求量刪除�����。
[0061]以上預(yù)定系數(shù)的作用是為了給網(wǎng)站請求量留出一定的裕值�����,防止出現(xiàn)誤攔的情況�,預(yù)定系數(shù)的取值范圍為:1.05至1.3��,一般選取的最優(yōu)值可以為1.2���。也就是將超出正常訪問的最大訪問量的20%的情況作為確定拒絕服務(wù)攻擊的條件����。
[0062]以上確定出的請求量閾值可以是動態(tài)調(diào)整的�,例如每天定時(shí)利用此前30天的訪問數(shù)據(jù)進(jìn)行閾值的計(jì)算,從而判斷更加精確��,例如在網(wǎng)站的訪問量逐漸增長的情況下����,可動態(tài)的增加閾值�����,防止出現(xiàn)因業(yè)務(wù)變化導(dǎo)致出現(xiàn)拒絕服務(wù)攻擊識別錯(cuò)誤的情況發(fā)生�。閾值的計(jì)算過程也并不局限于對樣本值的加和平均��,只要可以反映出網(wǎng)站正常訪問量的最大值的統(tǒng)計(jì)計(jì)算方法均可以用于對閾值的計(jì)算����,本實(shí)施例優(yōu)選的加和平均僅是計(jì)算量較小的一種方式���。
[0063]以上第一預(yù)設(shè)時(shí)間���、第二預(yù)設(shè)時(shí)間、預(yù)定系數(shù)均是根據(jù)網(wǎng)絡(luò)訪問的情況統(tǒng)計(jì)得出的經(jīng)驗(yàn)值���,可以根據(jù)拒絕服務(wù)攻擊的變化靈活進(jìn)行調(diào)整����。
[0064]以上請求量數(shù)據(jù)實(shí)時(shí)從所有的WAF130中的運(yùn)行日志中經(jīng)過統(tǒng)計(jì)分析得出�����。
[0065]當(dāng)在第一預(yù)設(shè)時(shí)間,目標(biāo)主機(jī)140收到的總請求量超過以上請求量閾值����,即可以認(rèn)為受到了拒絕服務(wù)攻擊。開啟本實(shí)施例提供的拒絕服務(wù)攻擊的防護(hù)機(jī)制��。
[0066]首先��,采用cookie反彈安全防護(hù),WAF130向所有請求方下發(fā)帶有安全標(biāo)記cookie的強(qiáng)制跳轉(zhuǎn)指令�����,并監(jiān)控請求方的后續(xù)請求中是否包含該安全標(biāo)記���,如果有����,認(rèn)定請求方通過驗(yàn)證�����,可由WAF130向目標(biāo)主機(jī)140發(fā)送通過驗(yàn)證的請求����。但是這種方式相對容易�����,攻擊方存在繞過的可能性����。因此需要對后續(xù)請求中包含的狀態(tài)碼和請求量進(jìn)行核查����,對防護(hù)的有效性進(jìn)行驗(yàn)證。
[0067]其次��,采用腳本文件JavaScript安全防護(hù)����,WAF130向所有請求方下發(fā)帶有跳轉(zhuǎn)命令的用腳本文件JavaScript���,只有請求方接收并執(zhí)行以上腳本后���,腳本中的代碼包括有跳轉(zhuǎn)回指定地址的命令,只有對方瀏覽器為正常訪問瀏覽器客戶端時(shí)����,瀏覽器才會執(zhí)行腳本���,完成驗(yàn)證。然而���,js腳本為明文傳輸��,也存在著一些被破解的隱患���,需要定期對js代碼進(jìn)行更新,同時(shí)通過分析請求中包含的狀態(tài)碼和請求量��,對防護(hù)的有效性進(jìn)行驗(yàn)證�。
[0068]以上兩種方式,不會影響用戶的使用體驗(yàn)����,如果以上兩種方式均被破解,可以采用圖片驗(yàn)證方式進(jìn)行防護(hù)�����,向所有的請求發(fā)送方發(fā)送圖片�,類似于驗(yàn)證碼的方式,請求方需要將圖片中包含的文字或者其他內(nèi)容進(jìn)行輸入并向目標(biāo)主機(jī)反饋,如果圖片的識別結(jié)果與圖片對應(yīng)則證明當(dāng)前訪問為正常訪問��,否則��,過濾所述請求�,這種驗(yàn)證方式需要用戶的配合才能達(dá)到防護(hù)。
[0069]以上三種驗(yàn)證方式�,互相配合,防護(hù)力度逐層加大�����,提高了拒絕服務(wù)攻擊的防護(hù)效果���。
[0070]為了能夠進(jìn)一步縮小安全防護(hù)對用戶的影響和對防護(hù)裝置資源的消耗����,還可以采用以下兩種方式�,對攻擊源進(jìn)行識別�����,縮小防護(hù)范圍�����。
[0071]其中第一種方式為:
[0072]在目標(biāo)防護(hù)主機(jī)的請求量超過以上的請求閾值后,確定出現(xiàn)訪問事件��,開啟識別攻擊源的機(jī)制�����。
[0073]首先判斷在第三預(yù)定時(shí)間段內(nèi)向目標(biāo)主機(jī)hostl40訪問請求總量是否超過預(yù)設(shè)的網(wǎng)站安全響應(yīng)閾值���;若是����,獲取hostl40問請求返回的異常響應(yīng)量與正常訪問量����,并判斷hostl40根據(jù)訪問請求返回的異常響應(yīng)量與正常訪問量的比值是否超過預(yù)設(shè)的響應(yīng)比率閾值。判斷在第三預(yù)定時(shí)間段內(nèi)向目標(biāo)主機(jī)140發(fā)出的訪問請求總量是否超過預(yù)設(shè)的網(wǎng)站安全響應(yīng)閾值的目的是���,保證該目標(biāo)主機(jī)140的運(yùn)行穩(wěn)定性�����,對于一些小型網(wǎng)站訪問量較小��,運(yùn)行不穩(wěn)定���,其不正常響應(yīng)一般也并非由于受到攻擊的影響�,如果在這些網(wǎng)站出現(xiàn)響應(yīng)異常時(shí)觸發(fā)拒絕服務(wù)攻擊的攻擊源識別步驟�����,會消耗防護(hù)裝置資源��。
[0074]因此�,在監(jiān)控響應(yīng)情況時(shí),需要設(shè)立一個(gè)存活機(jī)制�����,僅對有一定訪問量的目標(biāo)主機(jī)14進(jìn)行響應(yīng)異常事件的監(jiān)控�����。以上第三預(yù)定時(shí)間根據(jù)目標(biāo)主機(jī)140的運(yùn)行情況進(jìn)行設(shè)定���,一般而言,可以設(shè)置為10秒到30秒�,最優(yōu)設(shè)置為20秒�,如果20秒內(nèi)���,目標(biāo)主機(jī)140接收到的請求總量超過網(wǎng)站安全響應(yīng)閾值���,而且異常響應(yīng)量與正常訪問量的比值超過預(yù)設(shè)的響應(yīng)比率閾值,響應(yīng)比率閾值如果達(dá)到50%以上�����,就可以認(rèn)為出現(xiàn)響應(yīng)異常���,例如異常響應(yīng)量達(dá)到80%或以上���,則可以判斷目標(biāo)主機(jī)140出現(xiàn)響應(yīng)異常,觸發(fā)拒絕服務(wù)攻擊的攻擊源的識別機(jī)制�����。
[0075]以上網(wǎng)站安全響應(yīng)閾值對應(yīng)的數(shù)值可以按照一般網(wǎng)站應(yīng)該可以正常處理的請求量進(jìn)行設(shè)置���,確保網(wǎng)站請求量正常��。
[0076]在單一攻擊源進(jìn)行拒絕服務(wù)攻擊時(shí)����,該攻擊源ip對hostl40發(fā)送的訪問請求的數(shù)量遠(yuǎn)遠(yuǎn)超過正常的訪問量,所以在這種情況下��,攻擊源的請求數(shù)量遠(yuǎn)遠(yuǎn)超過其他正常請求源�,因此在判斷出第一訪問量占訪問請求總量的比率超過預(yù)設(shè)比值,就可以認(rèn)定第一訪問量對應(yīng)的請求源為發(fā)出拒絕服務(wù)攻擊的攻擊源�����。以上預(yù)設(shè)比值為對拒絕服務(wù)攻擊的攻擊行為進(jìn)行分析得出的經(jīng)驗(yàn)值���,一般可以設(shè)置為80%左右�����,也就是如果接收到異常事件的觸發(fā)����,如果在當(dāng)前一段時(shí)間內(nèi)�,某一請求源的請求量占到所有請求量的80%,就可以認(rèn)定該請求源為攻擊源���,對該攻擊源進(jìn)行安全防護(hù)�����。
[0077]對識別出的攻擊源利用以上三種防護(hù)方式中的任一種或多種配合方式進(jìn)行防護(hù)�����,而對攻擊源之外的正常請求源不做防護(hù)處理�,從而提高了正常訪問用戶的使用體驗(yàn)�����,而且節(jié)省了防護(hù)裝置的資源��。
[0078]另外�����,第二種方式為:
[0079]本實(shí)施例還可以對多攻擊源對單一 URL進(jìn)行攻擊的方式進(jìn)行攻擊源識別�����,從而實(shí)現(xiàn)目標(biāo)性的安全防護(hù)�,具體識別流程包括:[0080]獲取目標(biāo)主機(jī)的多個(gè)統(tǒng)一資源定位符URL的訪問請求的列表;利用列表查詢得出第一 URL����,該第一 URL為在第一預(yù)定時(shí)間段內(nèi)訪問請求量最大的統(tǒng)一資源定位符��;利用列表查詢得出在第四預(yù)定時(shí)間段內(nèi)向第一 URL發(fā)出最多請求的一個(gè)或多個(gè)請求源����;判斷第一URL接收的訪問所占的總訪問請求量的占比是否超過預(yù)設(shè)訪問占比�����;判斷訪問請求量最大的請求源的請求量是否超過請求閾值����;若以上判斷結(jié)果均為是,確定請求源為拒絕服務(wù)攻擊的攻擊源�。
[0081]其中訪問請求列表的獲取方式可以為:利用WAF130的運(yùn)行日志文件得到URL列表,例如讀取與目標(biāo)主機(jī)數(shù)據(jù)連接的網(wǎng)頁應(yīng)用防護(hù)系統(tǒng)WAF130的運(yùn)行日志文件��;對運(yùn)行日志文件文件進(jìn)行分析�,得到列表,列表中記錄了目標(biāo)主機(jī)的每個(gè)URL接收到的請求源清單和清單中每個(gè)請求源發(fā)出的訪問請求量����。表1示出了本實(shí)施例的拒絕服務(wù)攻擊的攻擊源的識別裝置200利用WAF運(yùn)行日志獲取的URL列表。
[0082]表1
【權(quán)利要求】
1.一種拒絕服務(wù)攻擊的防護(hù)方法,包括:獲取主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件����;根據(jù)請求源向所述主機(jī)發(fā)出的訪問請求生成帶有驗(yàn)證數(shù)據(jù)的應(yīng)答消息,并返回給所述請求源�����;獲取所述請求源對所述應(yīng)答消息的響應(yīng)��,并判斷所述響應(yīng)中是否包括所述驗(yàn)證數(shù)據(jù)的回應(yīng)數(shù)據(jù)以及所述回應(yīng)數(shù)據(jù)是否與所述驗(yàn)證數(shù)據(jù)匹配����;若以上任一判斷結(jié)果為否��,截留所述請求源向所述主機(jī)發(fā)出的訪問請求����。
2.根據(jù)權(quán)利要求1所述的方法,其中����,所述觸發(fā)事件的生成步驟包括:獲取向所述主機(jī)發(fā)出的訪問請求;對所述訪問請求進(jìn)行拒絕服務(wù)攻擊識別�,并按照所述拒絕服務(wù)攻擊識別的結(jié)果產(chǎn)生主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件。
3.根據(jù)權(quán)利要求1所述的方法,其中��,如果判斷所述響應(yīng)中包括對所述驗(yàn)證數(shù)據(jù)的回應(yīng)數(shù)據(jù)且所述回應(yīng)數(shù)據(jù)與所述驗(yàn)證數(shù)據(jù)匹配��,允許所述訪問請求向所述主機(jī)發(fā)送��。
4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法���,其中��,在截留所述請求源向所述主機(jī)發(fā)出的訪問請求之后還包括:對所述請求源的訪問日志進(jìn)行分析���,以確定對所述請求源的防護(hù)的有效性。
5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法�����,其中�,所述驗(yàn)證數(shù)據(jù)為瀏覽器用戶信息cookie,與帶有所述cookie信息的應(yīng)答消息匹配的回應(yīng)數(shù)據(jù)為帶有所述cookie信息跳轉(zhuǎn)至所述主機(jī)地址的請求。
6.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法����,其中,所述驗(yàn)證數(shù)據(jù)為腳本文件����,與帶有所述腳本文件的應(yīng)答消息匹配的回應(yīng)數(shù)據(jù)為所述腳本文件的執(zhí)行結(jié)果���。
7.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法,其中����,所述驗(yàn)證數(shù)據(jù)為圖片數(shù)據(jù),與帶有所述圖片數(shù)據(jù)的應(yīng)答消息匹配的回應(yīng)數(shù)據(jù)為帶有所述圖片數(shù)據(jù)文字識別結(jié)果的跳轉(zhuǎn)至所述主機(jī)地址的請求�。
8.—種拒絕服務(wù)攻擊的防護(hù)裝置,包括:事件獲取模塊����,用于獲取主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件��;應(yīng)答模塊�����,用于根據(jù)請求源向所述主機(jī)發(fā)出的訪問請求生成帶有驗(yàn)證數(shù)據(jù)的應(yīng)答消息��,并返回給所述請求源����;判斷模塊,用于獲取所述請求源對所述應(yīng)答消息的響應(yīng),并判斷所述響應(yīng)中是否包括所述驗(yàn)證數(shù)據(jù)的回應(yīng)數(shù)據(jù)以及所述回應(yīng)數(shù)據(jù)是否與所述驗(yàn)證數(shù)據(jù)匹配����;執(zhí)行模塊,用于以上任一判斷結(jié)果為否���,截留所述請求源向所述主機(jī)發(fā)出的訪問請求��。
9.根據(jù)權(quán)利要求8所述的裝置��,其中���,所述事件獲取模塊被配置為:獲取向所述主機(jī)發(fā)出的訪問請求;對所述訪問請求進(jìn)行拒絕服務(wù)攻擊識別��,并按照所述拒絕服務(wù)攻擊識別的結(jié)果產(chǎn)生主機(jī)受到拒絕服務(wù)攻擊的觸發(fā)事件���。
10.根據(jù)權(quán)利要求8所述的裝置�����,其中�,所述執(zhí)行模塊還用于:在所述判斷模塊的判斷結(jié)果均為是的情況下�����,允許所述訪問請求向所述主機(jī)發(fā)送。
【文檔編號】H04L29/06GK103685293SQ201310713371
【公開日】2014年3月26日 申請日期:2013年12月20日 優(yōu)先權(quán)日:2013年12月20日
【發(fā)明者】蔣文旭 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司