应用层DDoS防御方法及系统技术方案

技术编号:13268626 阅读:57 留言:0更新日期:2016-05-18 18:56
本发明专利技术提供的应用层DDoS防御方法,其包括:a)设置在客户端的信息收集模块收集客户端web浏览器的用户动作信息;b)客户端向服务器发送第一次web请求,用以请求密钥;c)服务器判定该第一次web请求是否合法,在判定合法的情况下,传送密钥给所述客户端;d)客户端向服务器发起第二次web请求,该第二次web请求由所述密钥加密,且该第二次web请求包含所收集的用户动作信息字段;e)所述服务器接收第二次web请求,判定该第二次web请求中是否包含用户动作信息字段;f)在判定该第二次web请求中包含用户动作信息字段的情况下,确认所述用户动作是否符合预定条件;g)在确认所述用户动作在预定范围内的情况下,处理该第二次web请求。还提供相应的系统。

【技术实现步骤摘要】

本专利技术涉及网络技术,更为具体地,涉及应用层DDoS防御技术。
技术介绍
随着互联网的发展,大多数企业都会通过Web网站向用户提供服务。因此,针对Web服务器的应用层分布式拒绝服务(DDoS)攻击就会威胁到网站的正常运作,甚至造成用户流失和利润损失。与传统的DDoS攻击不同,应用层DDoS攻击会使用真实IP与服务器建立正常TCP连接,且数据包与正常数据包格式相同,因此,传统的针对数据包的特征匹配方法难以应对应用层DDoS攻击。目前应用层DDoS的防御方法主要有三种:1.对请求主体进行验证,该类方法的问题在于图片验证码等验证方式影响了用户体验的流畅度;2.针对IP和URL进行请求频率验证,该类方法在面对离散性DDoS攻击时不能发现异常流量;3.对用户的访问行为进行建模分析以发现异常流量,该方法中防御所需的数据流量较大,导致该方法难以应用在访问人员较多的网站上很难实现。申请号为CN 201210139585.6的我国专利申请公开了一种应用层DDoS分布式拒绝服务攻击防御方法。该申请的技术方案利用了针对IP和URL进行请求频率验证的方法,首先建立基准矩阵,然后根据基准矩阵来发现流量的异常。该方法需进行大量的计算分析,还需要串联网络设备的支持,且面对离散性DDoS攻击时并不能很好的防御。申请号为CN 201310018798.8的我国专利申请公开了一种针对网站的应用层DDoS攻击检测方法和防御系统。该申请的技术方案利用对用户的访问行为进行建模分析。在业务网站较为庞大,访问用户相对复杂时,使用该方法并不能建立一个有效的模型,对合法用户可能会造成误伤,也达不到良好的防御效果。
技术实现思路
有鉴于此,本专利技术提供应用层DDoS防御方法及系统,以尽可能至少解决上述问题中的一部分。本专利技术提供的应用层DDoS防御方法,其包括:a)设置在客户端的信息收集模块收集客户端web浏览器的用户动作信息;b)客户端向服务器发送第一次web请求,用以请求密钥;c)服务器判定该第一次web请求是否合法,在判定合法的情况下,传送密钥给所述客户端;d)客户端向服务器发起第二次web请求,该第二次web请求由所述密钥加密,且该第二次web请求包含所收集的用户动作信息字段;e)所述服务器接收第二次web请求,判定该第二次web请求中是否包含用户动作信息字段;f)在判定该第二次web请求中包含用户动作信息字段的情况下,确认所述用户动作是否符合预定条件;g)在确认所述用户动作在预定范围内的情况下,处理该第二次web请求。可选地,所述的应用层DDoS防御方法,其中,所述用户动作信息包括:鼠标单位时间的移动距离、提交表单之前的鼠标确认键的点击次数、按下键盘回车键以提交表单请求之前的按键次数。可选地,所述的应用层DDoS防御方法,其中,所述步骤f)中确定所述用户动作是否符合预定条件包括:确定鼠标单位时间的移动距离大于移动阈值m,所述鼠标确认键的点击次数与按下键盘回车键以提交表单请求之前键盘Tab键的激活次数之和大于和阈值Cp,以及按下键盘回车键以提交表单请求之前字符按键次数大于按键阈值Lp。可选地,所述的应用层DDoS防御方法,其中,所述用户动作信息字段位于HTTP请求的头部。 可选地,所述的应用层DDoS防御方法,还包括:设置动态IP表,其包括黑名单与白名单,所述黑名单用于存放服务器认为是非正常的IP地址,所述白名单用于存放正常请求加密密钥的IP地址。可选地,所述的应用层DDoS防御方法,其中,所述步骤c)中服务器判定该第一次web请求是否合法包括:cl)判断发出第一次web请求的IP地址是否在黑名单中,若是,贝Ij抛弃请求,若不在黑名单中,则c2)确定该IP地址是否在白名单中,若不在,则将该IP地址增加到该白名单,并将该第一次web请求判断为合法,如确定该IP地址在白名单中,则c3)判断该IP地址发出web请求的频率是否已超过白名单频率阈值,如是,则将该IP地址移到黑名单,否则,将该第一次web请求判断为合法。可选地,所述的应用层DDoS防御方法,其中,在步骤c)服务器判定该第一次web请求不合法的情况下,停止本次处理,并将发出该请求的IP地址移至黑名单。可选地,所述的应用层DDoS防御方法,其中,在步骤e)判定该第二次web请求中不包含用户动作信息字段的情况下,停止本次处理,并将发送给第二次web请求的IP地址移至黑名单。可选地,所述的应用层DDoS防御方法,其中,所述客户端对所述服务器的请求是通过Ajax技术实现。根据本专利技术的又一方面,还提供应用层DDoS防御系统,其包括:信息收集模块,其设置在客户端,用于收集客户端浏览器的用户动作信息;第一请求发送单元,其设置在客户端,用于向服务器发送第一次web请求,以请求密钥;第一判断单元,其设置在服务器,用于判定该第一次web请求是否合法,以便所述服务器在判定合法的情况下传送密钥给所述客户端;第二请求发送单元,其设置在客户端,用于向所述服务器发起第二次web请求,该第二次web请求由所述密钥加密,且该第二次web请求包含所收集的用户动作信息字段;第二判断单元,其设置在所述服务器,用于判定所述服务器所接收的该第二次web请求中是否包含用户动作信息字段;第三判断单元,其设置在所述服务器,在所述第二判断单元的判断结果为该第二次web请求中包含用户动作信息字段的情况下,确认所述用户动作是否符合预定条件;处理单元,其设置在所述服务器,用于在所述第三判断单元确认所述用户动作在预定范围内的情况下,处理该第二次web请求。可选地,所述的应用层DDoS防御系统,其中,所述用户动作信息包括:鼠标单位时间的移动距离、提交表单之前的鼠标确认键的点击次数、按下键盘回车键以提交表单请求之前的按键次数。可选地,所述的应用层DDoS防御系统,其中,所述第三判断单元根据鼠标单位时间的移动距离是否大于移动阈值m,所述鼠标确认键的点击次数与按下键盘回车键以提交表单请求之前键盘Tab键的激活次数之和是否大于和阈值Cp,以及按下键盘回车键以提交表单请求之前字符按键次数是否大于按键阈值Lp来确定所述用户动作是否符合预定条件。可选地,所述的应用层DDoS防御系统,其中,还包括表单设置单元,其用于设置动态IP表,该动态IP表包括黑名单与白名单,所述黑名单用于存放服务器认为是非正常的IP地址,所述白名单用于存放正常请求加密密钥的IP地址。可选地,所述的应用层DDoS防御系统,其中,所述第一判断单元包括第一判断子单元、第二判断子单元以及第三判断子单元,且:第一判断子单元设置成用于判断发出第一次web请求的IP地址是否在黑名单中,若是,则抛弃请求,若不在黑名单中,则将该信息通知第二判断子单元,所述第二判断子单元用于确定该IP地址是否在白名单中,若不在,则将该IP地址增加到该白名单,并将该第一次web请求判断为合法,如确定该IP地址在白名单中,将该信息发送给所述第三判断子单元,所述第三判断子单元用于判断该IP地址发出web请求的频率是否已超过白名单频率阈值,如是,则将该IP地址移到黑名单,否则,将该第一次web请求判断为合法。根据本专利技术的各示例,可在不影响web业务、不降低用户体验的情况下对DDoS攻击进行有效防御,从而确保web网站的正本文档来自技高网
...

【技术保护点】
一种应用层DDoS防御方法,其包括:a)设置在客户端的信息收集模块收集客户端web浏览器的用户动作信息;b)客户端向服务器发送第一次web请求,用以请求密钥;c)服务器判定该第一次web请求是否合法,在判定合法的情况下,传送密钥给所述客户端;d)客户端向服务器发起第二次web请求,该第二次web请求由所述密钥加密,且该第二次web请求包含所收集的用户动作信息字段;e)所述服务器接收第二次web请求,判定该第二次web请求中是否包含用户动作信息字段;f)在判定该第二次web请求中包含用户动作信息字段的情况下,确认所述用户动作是否符合预定条件;g)在确认所述用户动作在预定范围内的情况下,处理该第二次web请求。

【技术特征摘要】

【专利技术属性】
技术研发人员:朱浩然华锦芝杨阳
申请(专利权)人:中国银联股份有限公司
类型:发明
国别省市:上海;31

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1