一种抗DDoS攻击的http流量防御方法及系统技术方案

本发明专利技术针提出了一种抗DDoS攻击的http流量防御方法及系统，通过内置于移动客户端的动态水印生成模块，在向服务端发起HTTP请求时生成动态水印，在报文经过DDoS防御装置时，对该HTTP协议头中水印的正确性、完整性进行快速检查，以识别该报文属于正常客户的流量，还是被攻击者控制住的僵尸主机发起的攻击流量，并通过防御装置做出清洗动作；本发明专利技术通过上述设置保证了移动客户端的识别功能，有效地解决了无法区分正常客户端和非法攻击者的流量问题；提高了DDoS防御装置对HTTP攻击的识别和性能处理能力。

【技术实现步骤摘要】
一种抗DDoS攻击的http流量防御方法及系统
本专利技术属于计算机信息安全防护
，具体地说，涉及一种抗DDoS攻击的http流量防御方法及系统。
技术介绍
从PC时代到移动互联网时代，移动端流量快速增长已经显著超过PC端流量，但是目前针对应用层的DDoS防护算法依然是传统的浏览器-服务器模式，根据报文三次握手实现TCP的真实IP检查，通过HTTP、HTTPS的302和307跳转的协议特性支持进行应用层的报文检测，但是这种方式首先需要对客户端对协议栈进行完全支持，另外如果攻击者通过控制的僵尸主机脚本模拟请求是很难区分真伪的。而目前移动端的流量，虽然仍然还是有通过浏览器访问的场景，但是绝大部分都是通过服务商开发的APP客户端进行访问服务器资源。大多数移动客户端具有以下特点，通过HTTPS传输用户加密数据防止信息被盗取泄露，通过HTTP协议传输资源文件，如图片、视频、游戏素材等资源，这样既保证了安全性同时又保证了时延，提高了用户的体验。但是对于一些攻击者来说，可以通过分析出服务器资源接口，然后通过僵尸主机发起巨量资源请求，以较少的带宽资源消耗服务端的下行带宽，造成DDoS攻击。针对物联网设备，如监控摄像头、各种传感器不具备完整的协议栈，只具备基本的协议功能，那么对于一些DDoS算法的检测是不理想的，比如利用HTTP协议进行302跳转，但是物联网设备存在不支持的可能性。遇到该情况，只能针对性的分析然后启用检查不严格的DDoS算法，甚至对于应用层不进行防护。所以对于移动客户端访问服务这种用户场景，服务提供者希望在提供服务的时候，DDoS防护装置能够有效的区分应用层正常访问和攻击者流量在保证时延的情况下快速完成攻击流量的清洗。目前移动端的HTTP流量依然是占据主流，DDoS防御算法并没有针对该用户场景进行创新，仍然使用的是传统的浏览器-服务器防护的机制，但该机制对于一些网络协议栈不完善的物联网设备或是自开发的手机移动端存在较大的误报漏报问题。另外攻击者也可以对于明文的HTTP报文进行拦截分析其服务的接口信息，再利用控制的僵尸网络主机非常方便的发起DDoS。该攻击方法虽然可以利用HTTPS协议进行加密在一定程度上缓解攻击问题，提高攻击难度，但是对于一些对时延要求比较高的服务如直播、视频、游戏以及一些较大网络资源获取，加密传输是对用户体验有较大的影响。现有技术中：1、论文“DDOSAttackDetectionandMitigationTechniqueBasedonHttpCountandVerificationUsingCAPTCHA”：该论文为在该论文中，提出了一种基于验证码防止僵尸网络DDoS的机制，在当可疑IP触发了HTTP计数模块后，用户输入验证码进而区分真实用户和非法用户访问，将非法用户的IP添加到黑名单，但是该方法目前通过验证码识别技术已经越来越难起到防护作用；2、专利文献CN105939361B：当确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系，且确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时，认为存在CC攻击，丢弃所述HTTP请求报文。对于该专利申请有着以下不足：1）该类型具有较多相似专利，如CN108965211A、CN104113519B等同样是针对http的防护算法，该类专利主要是以统计访问频率分析来进行防护，但是该算法只有在超过一定频率的攻击才会触发，而且对于脉冲攻击防护不太理想。因为脉冲攻击是瞬时发送超大流量然后间隔一段时间重复以上步骤；2）防护方案仍然是通用处理，并没有针对移动客户端进行优化处理。3、华为UDP指纹技术：华为UDP指纹技术在DDoS攻击防御方面只能针对UDP协议，而且具有较多的限制，必须通过预学习才能获取指纹，当报文内容发生变化时必须重新学习。
技术实现思路
本专利技术针对现有技术上述的落后性、不全面性、限制多、且漏报错报多的问题，提出了一种抗DDoS攻击的http流量防御方法及系统，通过内置于移动客户端的动态水印生成模块，在向服务端发起HTTP请求时生成动态水印，在报文经过DDoS防御装置时，对该HTTP协议头中水印的正确性、完整性进行快速检查，以识别该报文属于正常客户的流量，还是被攻击者控制住的僵尸主机发起的攻击流量，并通过防御装置做出清洗动作；本专利技术通过上述设置保证了移动客户端的识别功能，有效地解决了无法区分正常客户端和非法攻击者的流量问题；提高了DDoS防御装置对HTTP攻击的识别和性能处理能力。本专利技术具体实现内容如下：本专利技术提出了一种抗DDoS攻击的http流量防御方法，基于抗DDoS攻击的http流量防御系统，所述方法首先对用户内容模块发出的http访问请求的头部通过动态水印生成模块进行水印配置，然后将http访问请求正常发出，由动态水印检验模块对http访问请求的头部的水印进行水印字段的解析；最后根据解析的结果，通过http访问请求对应的IP进行管理；在进行水印配置前，由水印配置参数请求模块通过加密通道向动态水印配置模块请求水印配置参数，然后动态水印配置模块将水印配置参数发送给水印配置参数请求模块，水印配置参数请求模块将接收到的水印配置参数发送到动态水印生成模块，由动态水印生成模块生成水印hash内容，用于进行水印配置。为了更好地实现本专利技术，进一步地，将所述水印hash内容配置在http访问请求的头部的user-agent字段。为了更好地实现本专利技术，进一步地，所述水印hash内容包括秒级时间戳参数Timestamp、源sip、源端口sport、密钥key、时间范围conf_time、配置的加密方式alg；所述生成水印hash内容的生成公式为hash=f(timestamp/conf_time，sip，sport，key，alg)；其中使用f()函数通过alg参数进行控制，对传入的参数进行运算得到水印hash内容，所述运算通过二进制的与或非快速完成。为了更好地实现本专利技术，进一步地，所述解析的操作为：解析http访问请求的头部获得user-agent字段，然后对user-agent字段进行解析获取到源sip和源端口sport，然后获取用户配置的加密字符串key，加密方法alg，时间范围conf_time参数，调用f()函数，计算得到水印hash2内容。为了更好地实现本专利技术，进一步地，所述根据解析的结果，对http访问请求对应的IP进行管理的具体操作包括：判断解析后得到的水印hash2内容与水印hash内容是否一致，若一致，则识别水印成功，对http访问请求对应的IP本次访问放行，反之则拒绝访问。为了更好地实现本专利技术，进一步地，在进行水印hash2内容与水印hash内容一致判断前，需要先校验时间戳参数Timestamp，在一定时间范围内的报文才进行判断，超过一定时间范围的报文，直接丢弃，不进行判断。为了更好地实现本专利技术，进一步地，本文档来自技高网...

【技术保护点】
1.一种抗DDoS攻击的http流量防御方法，基于抗DDoS攻击的http流量防御系统，其特征在于，首先对用户内容模块发出的http访问请求的头部通过动态水印生成模块进行水印配置，然后将http访问请求正常发出，由动态水印检验模块对http访问请求的头部的水印进行水印字段的解析；最后根据解析的结果，对http访问请求对应的IP进行管理；/n在进行水印配置前，由水印配置参数请求模块通过加密通道向动态水印配置模块请求水印配置参数，然后动态水印配置模块将水印配置参数发送给水印配置参数请求模块，水印配置参数请求模块将接收到的水印配置参数发送到动态水印生成模块，由动态水印生成模块生成水印hash内容，用于进行水印配置。/n

【技术特征摘要】
1.一种抗DDoS攻击的http流量防御方法，基于抗DDoS攻击的http流量防御系统，其特征在于，首先对用户内容模块发出的http访问请求的头部通过动态水印生成模块进行水印配置，然后将http访问请求正常发出，由动态水印检验模块对http访问请求的头部的水印进行水印字段的解析；最后根据解析的结果，对http访问请求对应的IP进行管理；
在进行水印配置前，由水印配置参数请求模块通过加密通道向动态水印配置模块请求水印配置参数，然后动态水印配置模块将水印配置参数发送给水印配置参数请求模块，水印配置参数请求模块将接收到的水印配置参数发送到动态水印生成模块，由动态水印生成模块生成水印hash内容，用于进行水印配置。


2.如权利要求1所述的一种抗DDoS攻击的http流量防御方法，其特征在于，将所述水印hash内容配置在http访问请求的头部的user-agent字段。


3.如权利要求2所述的一种抗DDoS攻击的http流量防御方法，其特征在于，所述水印hash内容包括秒级时间戳参数Timestamp、源sip、源端口sport、密钥key、时间范围conf_time、配置的加密方式alg；
所述生成水印hash内容的生成公式为hash=f(timestamp/conf_time，sip，sport，key，alg)；
其中使用f()函数通过alg参数进行控制，对传入的参数进行运算得到水印hash内容，所述运算通过二进制的与或非快速完成。


4.如权利要求3所述的一种抗DDoS攻击的http流量防御方法，其特征在于，所述解析的操作为：解析http访问请求的头部获得user-agent字段，然后对user-agent字段进行解析获取到源sip和源端口sport，通过获取用户配置的加密字符串key，加密方法alg，时间范围conf_time参数，调用f()函数，计算得到水印hash2内容。


5.如权利要求4所述的一种抗DDoS攻击的http流量防御方法，其特征在于，所述根据解析的结果，对http访问请求...

【专利技术属性】
技术研发人员：蔡后祥，范渊，吴永越，郑学新，刘韬，
申请(专利权)人：成都安恒信息技术有限公司，
类型：发明
国别省市：四川;51