應用層DDoS防御方法及系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡技術�����,更為具體地�����,涉及應用層DDoS防御技術�。
【背景技術】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展,大多數(shù)企業(yè)都會通過Web網(wǎng)站向用戶提供服務��。因此����,針對Web服務器的應用層分布式拒絕服務(DDoS)攻擊就會威脅到網(wǎng)站的正常運作,甚至造成用戶流失和利潤損失�。與傳統(tǒng)的DDoS攻擊不同,應用層DDoS攻擊會使用真實IP與服務器建立正常TCP連接�,且數(shù)據(jù)包與正常數(shù)據(jù)包格式相同,因此����,傳統(tǒng)的針對數(shù)據(jù)包的特征匹配方法難以應對應用層DDoS攻擊。
[0003]目前應用層DDoS的防御方法主要有三種:1.對請求主體進行驗證����,該類方法的問題在于圖片驗證碼等驗證方式影響了用戶體驗的流暢度��;2.針對IP和URL進行請求頻率驗證�����,該類方法在面對離散性DDoS攻擊時不能發(fā)現(xiàn)異常流量���;3.對用戶的訪問行為進行建模分析以發(fā)現(xiàn)異常流量,該方法中防御所需的數(shù)據(jù)流量較大����,導致該方法難以應用在訪問人員較多的網(wǎng)站上很難實現(xiàn)。
[0004]申請?zhí)枮镃N 201210139585.6的我國專利申請公開了一種應用層DDoS分布式拒絕服務攻擊防御方法����。該申請的技術方案利用了針對IP和URL進行請求頻率驗證的方法�,首先建立基準矩陣,然后根據(jù)基準矩陣來發(fā)現(xiàn)流量的異常��。該方法需進行大量的計算分析�����,還需要串聯(lián)網(wǎng)絡設備的支持,且面對離散性DDoS攻擊時并不能很好的防御���。
[0005]申請?zhí)枮镃N 201310018798.8的我國專利申請公開了一種針對網(wǎng)站的應用層DDoS攻擊檢測方法和防御系統(tǒng)���。該申請的技術方案利用對用戶的訪問行為進行建模分析。在業(yè)務網(wǎng)站較為龐大��,訪問用戶相對復雜時��,使用該方法并不能建立一個有效的模型�����,對合法用戶可能會造成誤傷����,也達不到良好的防御效果。
【發(fā)明內(nèi)容】
[0006]有鑒于此�����,本發(fā)明提供應用層DDoS防御方法及系統(tǒng)�����,以盡可能至少解決上述問題中的一部分。
[0007]本發(fā)明提供的應用層DDoS防御方法�,其包括:a)設置在客戶端的信息收集模塊收集客戶端web瀏覽器的用戶動作信息;b)客戶端向服務器發(fā)送第一次web請求��,用以請求密鑰���;c)服務器判定該第一次web請求是否合法���,在判定合法的情況下,傳送密鑰給所述客戶端���;d)客戶端向服務器發(fā)起第二次web請求���,該第二次web請求由所述密鑰加密,且該第二次web請求包含所收集的用戶動作信息字段�;e)所述服務器接收第二次web請求,判定該第二次web請求中是否包含用戶動作信息字段���;f)在判定該第二次web請求中包含用戶動作信息字段的情況下,確認所述用戶動作是否符合預定條件��;g)在確認所述用戶動作在預定范圍內(nèi)的情況下����,處理該第二次web請求�����。
[0008]可選地���,所述的應用層DDoS防御方法,其中��,所述用戶動作信息包括:鼠標單位時間的移動距離�、提交表單之前的鼠標確認鍵的點擊次數(shù)、按下鍵盤回車鍵以提交表單請求之前的按鍵次數(shù)��。
[0009]可選地�,所述的應用層DDoS防御方法,其中�,所述步驟f)中確定所述用戶動作是否符合預定條件包括:確定鼠標單位時間的移動距離大于移動閾值m,所述鼠標確認鍵的點擊次數(shù)與按下鍵盤回車鍵以提交表單請求之前鍵盤Tab鍵的激活次數(shù)之和大于和閾值Cp,以及按下鍵盤回車鍵以提交表單請求之前字符按鍵次數(shù)大于按鍵閾值Lp�。
[0010]可選地,所述的應用層DDoS防御方法���,其中�����,所述用戶動作信息字段位于HTTP請求的頭部�����。
[0011 ] 可選地�,所述的應用層DDoS防御方法,還包括:設置動態(tài)IP表���,其包括黑名單與白名單���,所述黑名單用于存放服務器認為是非正常的IP地址,所述白名單用于存放正常請求加密密鑰的IP地址��。
[0012]可選地���,所述的應用層DDoS防御方法�,其中����,所述步驟c)中服務器判定該第一次web請求是否合法包括:cl)判斷發(fā)出第一次web請求的IP地址是否在黑名單中,若是���,貝Ij拋棄請求����,若不在黑名單中�����,則c2)確定該IP地址是否在白名單中�,若不在,則將該IP地址增加到該白名單��,并將該第一次web請求判斷為合法�����,如確定該IP地址在白名單中����,則c3)判斷該IP地址發(fā)出web請求的頻率是否已超過白名單頻率閾值,如是�����,則將該IP地址移到黑名單���,否則���,將該第一次web請求判斷為合法��。
[0013]可選地��,所述的應用層DDoS防御方法�����,其中�,在步驟c)服務器判定該第一次web請求不合法的情況下�����,停止本次處理�,并將發(fā)出該請求的IP地址移至黑名單。
[0014]可選地�,所述的應用層DDoS防御方法,其中�����,在步驟e)判定該第二次web請求中不包含用戶動作信息字段的情況下����,停止本次處理����,并將發(fā)送給第二次web請求的IP地址移至黑名單��。
[0015]可選地����,所述的應用層DDoS防御方法�,其中,所述客戶端對所述服務器的請求是通過Ajax技術實現(xiàn)���。
[0016]根據(jù)本發(fā)明的又一方面����,還提供應用層DDoS防御系統(tǒng)����,其包括:信息收集模塊,其設置在客戶端��,用于收集客戶端瀏覽器的用戶動作信息�;第一請求發(fā)送單元,其設置在客戶端��,用于向服務器發(fā)送第一次web請求,以請求密鑰�����;第一判斷單元����,其設置在服務器,用于判定該第一次web請求是否合法�,以便所述服務器在判定合法的情況下傳送密鑰給所述客戶端;第二請求發(fā)送單元�����,其設置在客戶端����,用于向所述服務器發(fā)起第二次web請求,該第二次web請求由所述密鑰加密���,且該第二次web請求包含所收集的用戶動作信息字段����;第二判斷單元,其設置在所述服務器��,用于判定所述服務器所接收的該第二次web請求中是否包含用戶動作信息字段��;第三判斷單元�����,其設置在所述服務器�,在所述第二判斷單元的判斷結果為該第二次web請求中包含用戶動作信息字段的情況下�,確認所述用戶動作是否符合預定條件;處理單元��,其設置在所述服務器����,用于在所述第三判斷單元確認所述用戶動作在預定范圍內(nèi)的情況下,處理該第二次web請求����。
[0017]可選地,所述的應用層DDoS防御系統(tǒng)���,其中�����,所述用戶動作信息包括:鼠標單位時間的移動距離���、提交表單之前的鼠標確認鍵的點擊次數(shù)��、按下鍵盤回車鍵以提交表單請求之前的按鍵次數(shù)�。
[0018]可選地�,所述的應用層DDoS防御系統(tǒng),其中���,所述第三判斷單元根據(jù)鼠標單位時間的移動距離是否大于移動閾值m����,所述鼠標確認鍵的點擊次數(shù)與按下鍵盤回車鍵以提交表單請求之前鍵盤Tab鍵的激活次數(shù)之和是否大于和閾值Cp��,以及按下鍵盤回車鍵以提交表單請求之前字符按鍵次數(shù)是否大于按鍵閾值Lp來確定所述用戶動作是否符合預定條件����。
[0019]可選地,所述的應用層DDoS防御系統(tǒng)����,其中���,還包括表單設置單元,其用于設置動態(tài)IP表���,該動態(tài)IP表包括黑名單與白名單�����,所述黑名單用于存放服務器認為是非正常的IP地址����,所述白名單用于存放正常請求加密密鑰的IP地址���。
[0020]可選地,所述的應用層DDoS防御系統(tǒng)��,其中���,所述第一判斷單元包括第一判斷子單元���、第二判斷子單元以及第三判斷子單元,且:第一判斷子單元設置成用于判斷發(fā)出第一次web請求的IP地址是否在黑名單中��,若是,則拋棄請求�����,若不在黑名單中��,則將該信息通知第二判斷子單元��,所述第二判斷子單元用于確定該IP地址是否在白名單中�,若不在,則將該IP地址增加到該白名單�,并將該第一次web請求判斷為合法,如確定該IP地址在白名單中�,將該信息發(fā)送給所述第三判斷子單元,所述第三判斷子單元用于判斷該IP地址發(fā)出web請求的頻率是否已超過白名單頻率閾值�����,如是�����,則將該IP地址移到黑名單��,否則�,將該第一次web請求判斷為合法�����。
[0021]根據(jù)本發(fā)明的各示例�����,可在不影響web業(yè)務���、不降低用戶體驗的情況下對DDoS攻擊進行有效防御,從而確保web網(wǎng)站的正常運行���。
【附圖說明】
[0022]圖1是根據(jù)本發(fā)明示例的應用層DDoS防御方法的流程圖��。
[0023]圖2是應用層DDoS防御系統(tǒng)的結構示意圖����。
【具體實施方式】
[0024]現(xiàn)在參照附圖描述本發(fā)明的示意性示例��。相同的附圖標號表示相同的元件�。下文描述的各實施例有助于本領域技術人員透徹理解本發(fā)明����,且意在示例而非限制��。除非另有限定���,文中使用的術語(包括科學、技術和行業(yè)術語)具有與本發(fā)明所屬領域的技術人員普遍理解的含義相同的含義�����。此外�����,流程圖中各步驟的先后順序也不以圖示的順序為限����。
[0025]圖1是根據(jù)本發(fā)明示例的應用層DDoS防御方法的流程圖。該方法執(zhí)行在包括客戶端與服務器的應用環(huán)境中�,其中該客戶端與該服務器是通信連接的。該客戶端可通過其上的web網(wǎng)頁向web服務器發(fā)起請求���,以要求相應的服務����。在本文各示例中����,客戶端是可接入網(wǎng)絡的����、可供用戶使用的各種電子設備����,服務器則是可通過網(wǎng)絡與客戶端交互的電子設備;其中�,該客戶端例如為手機、平板電腦�、筆記本電腦、臺式電腦等�,而該服務器例如為臺式電腦,也不排除服務器為筆記本電腦���、平板電腦�、甚至手機等����。這都取決于具體的應用環(huán)境�����。
[0026]如圖1所示,在步驟10����,設置在客戶端的信息收集模塊收集客戶端瀏覽器的用