一种防止服务器被攻击的方法、检测装置及监控设备制造方法及图纸

本发明专利技术实施方式公开了一种防止服务器被攻击的方法，包括：确定发送至服务器的请求访问的数据包中的目的ＵＲＬ为需要验证的ＵＲＬ；将数据包中的ＵＲＬ进行归一化处理，并统计数据包到达时间相对应的时段的归一化处理后的ＵＲＬ被访问的次数；判断时段的所述归一化处理后的ＵＲＬ被访问的次数是否超过时段的所述归一化处理后的ＵＲＬ被访问的门限值；若超过，则阻断数据包的访问请求。本发明专利技术实施方式还提供一种监控设备及检测装置，对被访问的ＵＲＬ的连接次数进行限制，无论对被访问的ＵＲＬ的连接是否来自于匿名代理或傀儡主机或正常代理主机，当次数超过某一时段的门限值，认为服务器受到攻击，可达到防御来自于匿名代理或傀儡主机的攻击，并不会阻断正常的代理主机的访问。

【技术实现步骤摘要】

本专利技术实施例涉及通信
，特别是涉及一种防止服务器被攻击的方法、检测装置及监控设备。
技术介绍
随着互联网的快速发展，网络的安全保障越来越受到关注。在一般情况下，网络的安全问题主要涉及如何防止网络中的服务器被攻击，而一般的服务器被攻击，主要表现为通过服务请求占用服务器过多的服务资源，导致服务器超载，从而无法响应其它的请求，最终造成服务器资源消耗殆尽，以达到拒绝服务的目的。同时，越来越多的商家通过服务器来提供服务来获取利润，若服务器不断的受到攻击，必然影响商家的经济利益。在通常情况下，服务器被攻击主要为针对网页的应用层分布式拒绝服务(Distributed Denial of Service，DDOS)攻击，通过精心选择的URL请求以较少连接达到拒绝服务的目的，而这种CC攻击通常通过代理主机发起。由于代理主机发起的超文本传送协议(HyperText TransferProtocol，HTTP)请求报文通常会包含一些固定格式的字符串，如“HTTP-X-FORWARDED-FOR”字段，用于向服务器提供一些必要的信息，服务器可以通过这些字符串识别对方是否为代理主机，还是为代理主机的客户机，并获取IP地址以做过滤处理，最终来防止服务器被攻击。专利技术人在实现本专利技术的过程中，发现现有技术至少存在以下缺点：现有技术会阻断正常的代理访问，并且无法防御来自于匿名代理(没有代理信息字段)或傀儡主机的攻击。-->
技术实现思路
本专利技术实施例提供一种防止服务器被攻击的方法、检测装置及监控设备，以防御来自于匿名代理或傀儡主机的攻击。根据本专利技术的一方面，提供一种防止服务器被攻击的方法，包括：确定发送至服务器的请求访问的数据包中的目的统一资源定位(Uniform Resource Locator，URL)为需要验证的URL；将所述数据包中的URL进行归一化处理，并统计所述数据包到达时间相对应的时段的所述归一化处理后的URL被访问的次数；判断所述时段的所述归一化处理后的URL被访问的次数是否超过所述时段的所述归一化处理后的URL被访问的门限值；若超过，则阻断所述数据包的访问请求。根据本专利技术的另一方面，还提供一种应用于防止服务器被攻击的检测装置，包括：运算模块，用于当确定发送至服务器的请求访问的数据包中的目的统一资源定位(Uniform Resource Locator，URL)为需要验证的URL时，将所述数据包中的URL进行归一化处理，并统计所述数据包到达时间相对应的时段的所述归一化处理后的URL被访问的次数；判断模块，用于判断所述时段的所述归一化处理后的URL被访问的次数是否超过所述时段的所述归一化处理后的URL被访问的门限值，当判断超过时，判断所述服务器被所述数据包攻击。根据本专利技术的另一方面，还提供一种应用于防止服务器被攻击的监控设备，终端通过接入设备与监控设备通信连接，所述监控设备与服务器通信连接，包括：检测装置，用于检测所述服务器是否被所述终端发送至所述服务器的访问请求的数据包攻击；-->发送装置，用于当检测所述服务器没有被所述终端发送至所述服务器的访问请求的数据包攻击时，转发所述数据包至所述服务器。采用上述提供的防止服务器被攻击的方法、检测装置及监控设备，对被访问的URL的连接次数进行限制，无论对被访问的URL的连接是否来自于匿名代理或傀儡主机或正常的代理主机，当次数超过某一时段的门限值，认为服务器受到攻击，可达到防御来自于匿名代理或傀儡主机的攻击，并且不会阻断正常的代理主机的访问。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例的防止服务器被攻击的方法；图2为本专利技术实施例的图1中的步骤S104的第一种实施方式；图3为本专利技术实施例的图1中的步骤S104的第二种实施方式；图4为本专利技术实施例的图1中的步骤S106的具体流程图；图5为本专利技术实施例的监控设备的应用环境图；图6为本专利技术实施例的监控设备的结构图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的-->范围。图1为本专利技术实施例的防止服务器被攻击的方法。在本实施方式中，该检测方法对发送至服务器的请求访问的数据包进行检测，以防止服务器被攻击。步骤S100，获取发送至服务器的请求访问的HTTP数据包，并获取该数据包的目的统一资源定位(Uniform Resource Locator，URL)。步骤S102，判断该URL是否为需要验证的URL。在本实施方式中，通过预设或根据URL的负载情况的方式来指定需要验证的URL。在本实施方式中，通过根据URL的请求和响应之间的时间间隔长短来确定该URL的负载情况。在本实施方式中，若URL的请求和响应之间的时间间隔大于某一个门限值，则认为URL的请求和响应之间的时间间隔长，并确定该URL为超负载，若URL的请求和响应之间的时间间隔不大于该门限值，则认为URL的请求和响应之间的时间间隔短，并确定该URL不为超负载，其中，该门限值可以根据网络的实际情况进行设定。当该URL为超负载时，则需要对该URL进行验证，反之则不需要对该URL进行验证。当判断该URL为需要验证的URL，则进入步骤S104。当判断该URL为不需要验证的URL，则进入步骤S110。步骤S104，将该数据包对应的URL进行归一化处理，并统计该数据包到达时间相对应的时段的该归一化处理后的URL被访问的次数。在本实施方式中，时段可以但不限于以半小时为单位，也可以以一小时为单位。步骤S106，判断该时段的该归一化处理后的URL被访问的次数是否超过该时段的归一化处理后的URL被访问的门限值。若判断超过该时段的归一化处理后的URL被访问的门限值，即相当于认为此时段对归一化处理后的URL进行恶意攻击，也就是此时归一化处理前的URL对应的数据包对服务器进行攻击，则进入步骤S108。若判断未超过该门限值，即相当于认为此时段对归一化处理后的URL不进行恶意攻击，也就是此时归一化处理前-->的URL对应的数据包对服务器不进行攻击，则进入步骤S110。步骤S108，阻断该数据包的访问请求。步骤S110，转发该数据包至该服务器。图2为本专利技术实施例的图1中的步骤S104的第一种实施方式。在本实施方式中，步骤S200，对获取的该URL进行归一化处理。在本实施方式中的归一化处理可以但不限于公知技术中的归一化处理。在本实施方式中，归一化处理的目的在于将访问同一页面的不同URL的差异参数进行屏蔽，即不同的URL可以为访问同一个页面，比如，访问同一页面的两个URL分别为：http://www.aaa.com/bbs/？uid＝1&inde＝10和http://www.aaa.com/bbs/？uid＝2&inde＝20，其差异本文档来自技高网...

【技术保护点】
一种防止服务器被攻击的方法，其特征在于，包括：　确定发送至服务器的请求访问的数据包中的目的统一资源定位（Ｕｎｉｆｏｒｍ　Ｒｅｓｏｕｒｃｅ　Ｌｏｃａｔｏｒ，ＵＲＬ）为需要验证的ＵＲＬ；　将所述数据包中的ＵＲＬ进行归一化处理，并 统计所述数据包到达时间相对应的时段的所述归一化处理后的ＵＲＬ被访问的次数；　判断所述时段的所述归一化处理后的ＵＲＬ被访问的次数是否超过所述时段的所述归一化处理后的ＵＲＬ被访问的门限值；　若超过，则阻断所述数据包的访问请求。

【技术特征摘要】
1、一种防止服务器被攻击的方法，其特征在于，包括：确定发送至服务器的请求访问的数据包中的目的统一资源定位(Uniform Resource Locator，URL)为需要验证的URL；将所述数据包中的URL进行归一化处理，并统计所述数据包到达时间相对应的时段的所述归一化处理后的URL被访问的次数；判断所述时段的所述归一化处理后的URL被访问的次数是否超过所述时段的所述归一化处理后的URL被访问的门限值；若超过，则阻断所述数据包的访问请求。2、根据权利要求1所述的方法，其特征在于，所述统计所述数据包到达时间相对应的时段的所述归一化处理后的URL被访问的次数的步骤包括：根据所述数据包到达时间确定所述归一化处理后的URL被访问的时间段；根据所述归一化处理后的URL及被访问的时间段获取所述归一化处理后的URL在所述时间段的当天被访问的次数；将所述归一化处理后的URL在所述时间段的当天被访问的次数加1。3、根据权利要求1所述的方法，其特征在于，所述统计所述数据包到达时间相对应的时段的所述归一化处理后的URL被访问的次数的步骤还包括：根据所述归一化处理后的URL获取所述归一化处理后的URL的被访问的次数；根据所述数据包到达时间确定所述归一化处理后的URL被访问的时间段；判断所述归一化处理后的URL前一次被访问的时间是否属于所述归一化处理后的URL被访问的时间段；若不属于，则将所述归一化处理后的URL在所述被访问的时间段的次数清0，并将所述归一化处理后的URL在所述时间段的当天被访问的次数加1。4、根据权利要求3所述的方法，其特征在于，所述判断所述归一化处理后的URL前一次被访问的时间是否属于所述归一化处理后的URL被访问的时间段的步骤还包括：若属于，则将所述归一化处理后的URL在所述时间段的当天被访问的次数加1。5、根据权利要求1所述的方法，其特征在于，所述判断所述时段的所述归一化处理后的URL被访问的次数是否超过所述时段的所述归一化处理后的URL被访问的门限值的步骤包括：判断所述归一化处理后的URL在当天被访问前是否有7天的所述归一化处理后的URL在所述时段被访问的统计次数；若有，则获取所述7天的所述归一化处理后的URL在所述时段的平均被访问次数；根据所述时段的平均被访问次数获取所述归一化处理后的URL在所述时段的被访问的门限值；判断所述时段的平均被访问次数是否超过所述时段的被访问的门限值。6、根据权利要求5所述的方法，其特征在于，所述获取所述7天的所述归一化处理后的URL在所述时段的平均被访问次数的步骤包括：累加所述7天的所述归一化处理后的URL在所述时段的被访问统计次数；减去所述7天中的所述归一化处理后的URL在所述时段的被访问的最大统计次数。7、根据权利要求5所述的方法，其特征在于，所述根据所述时段的平均被访问次数获取所述归一化处理后的URL在所述时段的被访问的门限值的步骤包括：将所述时段的最大允许被访问的次数与所述时段的平均被访问次数的比值以获取阈值；将所述时段的平均被访问次数与所述阈值比值进行相乘以获取所述时段的被访问的门限值。8、根据权利要求1所述的方法，其特征在于，所述确定发送至服务器的请求访问的数据包中的目的URL为需要验证的URL的步骤包括：获取发送至所述服务器的请求访问的HTTP数据包；获取所述数据包的目的URL；判断所述URL是否为需要验证的URL。9、根据权利要求8所述的方法，其特征在于，所述判断所述URL是否为需要验证的URL的步骤包括：通过预设或根据URL的负载情况的方式来指定需要验证的URL，其中，通过根据所述URL的请求和响应之间的时间间隔长短来确定所述URL的负载情况。10、一种应用于防止服务器被攻击的检测装置，其特征在于，包括：运算模块，用于当确定发送至服务器的请求访问的数据包中的目的统一资源定位(Uniform Resource Locator，URL)为需要验证的URL时，将所述数据包中的URL进行归一...

【专利技术属性】
技术研发人员：钟登峰，尧少敏，
申请(专利权)人：成都市华为赛门铁克科技有限公司，
类型：发明
国别省市：90[中国|成都]