戶動(dòng)作信息。在客戶端設(shè)置了信息收集模塊，該信息收集模塊可以是新配置到該客戶端的軟件模塊、硬件模塊、或軟件與硬件模塊的結(jié)合，也可以應(yīng)用客戶端中原有部件或軟件模塊。根據(jù)本發(fā)明的示例，用戶使用瀏覽器訪問web網(wǎng)站，而頁面則因此加載到該服務(wù)端的瀏覽器中，以便用戶瀏覽。在步驟12，客戶端向服務(wù)器發(fā)送第一次web請(qǐng)求，用以請(qǐng)求密鑰。在步驟14，服務(wù)器判定該第一次web請(qǐng)求是否合法，在判定合法的情況下，傳送密鑰給所述客戶端。在步驟16，客戶端向服務(wù)器發(fā)起第二次web請(qǐng)求，該第二次web請(qǐng)求由所述密鑰加密，且該第二次web請(qǐng)求包含所收集的用戶動(dòng)作信息字段。在步驟18，所述服務(wù)器接收第二次web請(qǐng)求，判定該第二次web請(qǐng)求中是否包含用戶動(dòng)作信息字段。在步驟20，在判定該第二次web請(qǐng)求中包含用戶動(dòng)作信息字段的情況下，確認(rèn)所述用戶動(dòng)作是否符合預(yù)定條件。在步驟22，在確認(rèn)所述用戶動(dòng)作在預(yù)定范圍內(nèi)的情況下，處理該第二次web請(qǐng)求。
[0027]根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方式，用戶動(dòng)作信息包括鼠標(biāo)單位時(shí)間的移動(dòng)距離、提交表單之前的鼠標(biāo)確認(rèn)鍵的點(diǎn)擊次數(shù)、按下鍵盤回車鍵以提交表單請(qǐng)求之前的按鍵次數(shù)。據(jù)此，在步驟20中，在判定該第二次web請(qǐng)求中包含用戶動(dòng)作信息字段的情況下，確認(rèn)所述用戶動(dòng)作是否符合預(yù)定條件則可實(shí)現(xiàn)為如滿足如下的條件，則確認(rèn)該用戶動(dòng)作符合預(yù)定條件，要滿足的條件包括:鼠標(biāo)單位時(shí)間的移動(dòng)距離大于移動(dòng)閾值m，鼠標(biāo)確認(rèn)鍵的點(diǎn)擊次數(shù)與按下鍵盤回車鍵以提交表單請(qǐng)求之前鍵盤Tab鍵的激活次數(shù)之和大于和閾值Cp，以及按下鍵盤回車鍵以提交表單請(qǐng)求之前字符鍵的按鍵次數(shù)大于按鍵閾值Lp。其中，移動(dòng)閾值m為用戶訪問瀏覽器時(shí)鼠標(biāo)移動(dòng)的最小速度，Ms通過在用戶提交表單之前總的鼠標(biāo)移動(dòng)距離M除以用于收集鼠標(biāo)動(dòng)作的收集時(shí)間t來獲得，如果所確定的Ms小于m，則表明鼠標(biāo)移動(dòng)異常。其中，鼠標(biāo)確認(rèn)鍵一般為鼠標(biāo)左鍵，根據(jù)設(shè)置，有時(shí)鼠標(biāo)右鍵也可設(shè)置成選擇鍵，而左鍵設(shè)置成功能鍵。和閾值Cp是基于對(duì)用戶行為的一般統(tǒng)計(jì)而獲得的這兩者和的最小值，如果鼠標(biāo)確認(rèn)鍵的點(diǎn)擊次數(shù)11與按下鍵盤回車鍵以提交表單請(qǐng)求之前鍵盤Tab鍵的激活次數(shù)KTab之和小于和閾值Cp，則表明請(qǐng)求異常。在按下鍵盤回車鍵以提交表單請(qǐng)求之前，如果字符鍵的按鍵次數(shù)Ks小于按鍵閾值Lp，則表明請(qǐng)求異常。按鍵閾值Lp也是基于對(duì)用戶行為的一般統(tǒng)計(jì)而獲得訪問web瀏覽器提交請(qǐng)求之前按壓普通按鍵的最小次數(shù)。根據(jù)本發(fā)明的示例，只要上述條件中有一個(gè)判定為請(qǐng)求異常，則確認(rèn)所述用戶動(dòng)作不符合預(yù)定條件。但是，實(shí)際應(yīng)用中，也可是僅在上述條件中三個(gè)均判定為請(qǐng)求異常的情況下，才確認(rèn)用戶動(dòng)作不符合預(yù)定條件，否則符合。
[0028]根據(jù)本發(fā)明的一個(gè)示例，用戶動(dòng)作信息字段位于HTTP請(qǐng)求的頭部。換句話說，步驟16中，該第二次web請(qǐng)求是HTTP請(qǐng)求，且在該HTTP請(qǐng)求的頭部插入了所收集的用戶動(dòng)作信息。結(jié)合上文給出的示例，所收集的鼠標(biāo)移動(dòng)距離、整個(gè)收集過程的時(shí)間、提交表單之前的鼠標(biāo)確認(rèn)鍵的點(diǎn)擊次數(shù)、按下鍵盤回車鍵以提交表單請(qǐng)求之前的按鍵次數(shù)等已插入到HTTP請(qǐng)求的頭部。其中，鼠標(biāo)移動(dòng)距離、整個(gè)收集過程的時(shí)間也可以替換為鼠標(biāo)單位時(shí)間的移動(dòng)距離。插入了用戶動(dòng)作信息的該HTTP請(qǐng)求由通過第一次web請(qǐng)求獲得密鑰加密。
[0029]根據(jù)本發(fā)明的一個(gè)示例，如圖1所示的該應(yīng)用層DDoS防御方法還包括設(shè)置動(dòng)態(tài)IP表，其包括黑名單與白名單，所述黑名單用于存放服務(wù)器認(rèn)為是非正常的IP地址，所述白名單用于存放正常請(qǐng)求加密密鑰的IP地址。作為示例，該動(dòng)態(tài)IP表以累積的方式設(shè)置，也就是在客戶端與服務(wù)器的不斷交互中，通過例如根據(jù)本發(fā)明所述的方法來判斷發(fā)起請(qǐng)求的IP是否是合法IP而逐漸完善。根據(jù)本發(fā)明，訪問率過高的IP地址，一般都會(huì)將其設(shè)置在黑名單，有其他異常訪問行為的IP地址也會(huì)被放在黑名單中，如上文所述，該名單中的IP地址是累積形成的，并以一個(gè)相對(duì)較高的時(shí)間閾值來進(jìn)行過期取消，該時(shí)間閾值可由用戶配置，例如為I小時(shí)或更多。根據(jù)本申請(qǐng)描述的上下文可知道，本發(fā)明的各示例中，用戶先后發(fā)起兩次web請(qǐng)求(兩次均可為HTTP請(qǐng)求)，第一次用來請(qǐng)求加密密鑰，第二次用來提交正常的web請(qǐng)求。白名單用來暫時(shí)存放正常請(qǐng)求加密密鑰的IP地址，供代理服務(wù)器在接收到web請(qǐng)求時(shí)，查看該IP是否存放在白名單中，若有則進(jìn)行下一步處理，若無則將該IP加入黑名單，并拋棄請(qǐng)求。
[0030]根據(jù)本發(fā)明的一個(gè)示例，在步驟14，服務(wù)器判定該第一次web請(qǐng)求是否合法包括如下步驟:首先，判斷發(fā)出第一次web請(qǐng)求的IP地址是否在黑名單中，若是，則拋棄請(qǐng)求；若不在黑名單中，則確定該IP地址是否在白名單中，若不在，則將該IP地址增加到該白名單，并將該第一次web請(qǐng)求判斷為合法，同時(shí)傳送密鑰給客戶端；如確定該IP地址在白名單中，則判斷該IP地址發(fā)出web請(qǐng)求的頻率是否已超過白名單頻率閾值，如是，則將該IP地址移到黑名單，否則，將該第一次web請(qǐng)求判斷為合法，并傳送密鑰給客戶端。其中，可根據(jù)實(shí)際情況確定白名單頻率閾值，例如，根據(jù)該web網(wǎng)站的流量平均統(tǒng)計(jì)等。
[0031]本發(fā)明各示例中，若服務(wù)器判定該第一次web請(qǐng)求不合法的情況下，停止本次處理，并將發(fā)出該請(qǐng)求的IP地址移至黑名單。類似地，如果判定該第二次web請(qǐng)求中不包含用戶動(dòng)作信息字段的情況下，停止本次處理，并將發(fā)送給第二次web請(qǐng)求的IP地址移至黑名單。
[0032]根據(jù)本發(fā)明各示例的應(yīng)用層DDoS防御方法可通過軟件來實(shí)現(xiàn)。替代地，可通過硬件來實(shí)現(xiàn)應(yīng)用層DDoS防御方法，或通過軟件結(jié)合硬件來實(shí)現(xiàn)應(yīng)用層DDoS防御方法。
[0033]本發(fā)明還提供應(yīng)用層DDoS防御系統(tǒng)。圖2是該應(yīng)用層DDoS防御系統(tǒng)的結(jié)構(gòu)示意圖。如圖所示，該應(yīng)用層DDoS防御系統(tǒng)包括信息收集模塊20、第一請(qǐng)求發(fā)送單元22、第一判斷單元24、第二請(qǐng)求發(fā)送單元26、第二判斷單元28、第三判斷單元30以及處理單元32。
[0034]信息收集模塊20設(shè)置于客戶端1，用于收集客戶端I瀏覽器的用戶動(dòng)作信息。第一請(qǐng)求發(fā)送單元22設(shè)置于客戶端1，用于向服務(wù)器2發(fā)送第一次web請(qǐng)求，以請(qǐng)求密鑰。第一判斷單元24設(shè)置于服務(wù)器2，用于判定該第一次web請(qǐng)求是否合法，以便服務(wù)器2在判定合法的情況下傳送密鑰給客戶端I。第二請(qǐng)求發(fā)送單元26設(shè)置于客戶端1，用于向服務(wù)器2發(fā)起第二次web請(qǐng)求，該第二次web請(qǐng)求由所述密鑰加密，且該第二次web請(qǐng)求包含所收集的用戶動(dòng)作信息字段。第二判斷單元28設(shè)置于服務(wù)器2，用于判定服務(wù)器2所接收的該第二次web請(qǐng)求中是否包含用戶動(dòng)作信息字段。第三判斷單元30設(shè)置于服務(wù)器2，在第二判斷單元28的判斷結(jié)果為該第二次web請(qǐng)求中包含用戶動(dòng)作信息字段的情況下，確認(rèn)所述用戶動(dòng)作是否符合預(yù)定條件。處理單元32設(shè)置于服務(wù)器2，用于在所述第三判斷單元30確認(rèn)所述用戶動(dòng)作在預(yù)定范圍內(nèi)的情況下，處理該第二次web請(qǐng)求。
[0035]用戶動(dòng)作信息如上文所描述的那樣，包括鼠標(biāo)單位時(shí)間的移動(dòng)距離、提交表單之前的鼠標(biāo)確認(rèn)鍵的點(diǎn)擊次數(shù)、按下鍵盤回車鍵以提交表單請(qǐng)求之前的按鍵次數(shù)。在判定該第二次web請(qǐng)求中包含用戶動(dòng)作信息字段的情況下，第三判斷單元30根據(jù)確認(rèn)所述用戶動(dòng)作是否符合預(yù)定條件實(shí)現(xiàn)為第三判斷單元30確認(rèn)該用戶動(dòng)作是否同時(shí)滿足以下條件:鼠標(biāo)單位時(shí)間的移動(dòng)距離大于移動(dòng)閾值m，鼠標(biāo)確認(rèn)鍵的點(diǎn)擊次數(shù)與按下鍵盤回車鍵以提交表單請(qǐng)求之前鍵盤Tab鍵的激活次數(shù)之和大于和閾值Cp，以及按下鍵盤回車鍵以提交表單請(qǐng)求之前字符鍵的按鍵次數(shù)大于按鍵閾值Lp。
[0036]根據(jù)本發(fā)明的一個(gè)示例，該應(yīng)用層DDoS防御系統(tǒng)還包括表單設(shè)置單元(未圖示)，其用于設(shè)置動(dòng)態(tài)IP表，該動(dòng)態(tài)IP表包括黑名單與白名單，所述黑名單用于存放服務(wù)器認(rèn)為是非正常的IP地址，所述白名單用于存放正常請(qǐng)求加密密鑰的IP地址。
[0037]根據(jù)本發(fā)明的又一個(gè)示例，第一判斷單元24可包括第一判斷子單元、第二判斷子單元以及第三判斷子單元。第一判斷子單元設(shè)置成用于判斷發(fā)出第一次web請(qǐng)求的IP地址是否在黑名單中，若是，則拋棄請(qǐng)求，若不在黑名單中，則將該信息通知第二判斷子單元。第二判斷子單元用于確定該IP地址是否在白名單中，若不在，則將該IP地址增加到該白名單，并將該第一次web請(qǐng)求判斷為合法，如確定該IP地址在白名單中，將該信息發(fā)送給所述第三判斷子單元。第三判斷子單元用于判斷該IP地址發(fā)出web請(qǐng)求的頻率是否已超過白名單頻率閾值，如是，則將該IP地址移到黑名單，否則，將該第一次web請(qǐng)求判斷為合法。
[0038]圖2所示的應(yīng)用層DDoS防御系統(tǒng)可由軟件實(shí)現(xiàn)，或由硬件實(shí)現(xiàn)、或有軟件與硬件相互結(jié)合來實(shí)現(xiàn)。
[0039]根據(jù)本發(fā)明的一個(gè)示例，客戶端對(duì)服務(wù)器的請(qǐng)求是通過Ajax技術(shù)實(shí)現(xiàn)的。例如，利用Ajax技術(shù)從服務(wù)器端動(dòng)態(tài)地向客戶端加載web頁面。如本領(lǐng)域技術(shù)人員所知道的那樣，Javascript腳本在客戶端工作，用戶可查閱完整的Javascript代碼。按照本發(fā)明的示例，可在服務(wù)器端啟用幾套微調(diào)的客戶端模塊方案和多種混淆方案。然后，在服務(wù)器端設(shè)定閾值，當(dāng)疑似客戶端腳本被破解，服務(wù)器端遭受DDoS攻擊時(shí)，則利用該動(dòng)