CN103685293B - 拒绝服务攻击的防护方法和装置 - Google Patents
拒绝服务攻击的防护方法和装置 Download PDFInfo
- Publication number
- CN103685293B CN103685293B CN201310713371.XA CN201310713371A CN103685293B CN 103685293 B CN103685293 B CN 103685293B CN 201310713371 A CN201310713371 A CN 201310713371A CN 103685293 B CN103685293 B CN 103685293B
- Authority
- CN
- China
- Prior art keywords
- request
- response
- data
- service attack
- denial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000004224 protection Effects 0.000 title claims abstract description 31
- 230000004044 response Effects 0.000 claims abstract description 78
- 235000014510 cooky Nutrition 0.000 claims description 27
- 238000013515 script Methods 0.000 claims description 27
- 238000004458 analytical method Methods 0.000 claims description 14
- 235000013399 edible fruits Nutrition 0.000 claims description 2
- 230000000717 retained effect Effects 0.000 claims 2
- 230000008569 process Effects 0.000 description 12
- 230000007123 defense Effects 0.000 description 10
- 238000012795 verification Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 206010001488 Aggression Diseases 0.000 description 5
- 230000016571 aggressive behavior Effects 0.000 description 5
- 208000012761 aggressive behavior Diseases 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000004888 barrier function Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003449 preventive effect Effects 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000000205 computational method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种拒绝服务攻击的防护方法和装置。其中,拒绝服务攻击的防护方法包括以下步骤:获取主机受到拒绝服务攻击的触发事件;根据请求源向主机发出的访问请求生成带有验证数据的应答消息,并返回给请求源;获取请求源对应答消息的响应,并判断响应中是否包括验证数据的回应数据以及回应数据是否与验证数据匹配;若以上任一判断结果为否,截留请求源向主机发出的访问请求。利用本发明的拒技术方案保障了防护目标主机的安全可靠运行,提高了网络安全性。
Description
技术领域
本发明涉及互联网安全领域,特别是涉及一种拒绝服务攻击的防护方法和装置。
背景技术
拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。利用大量超出响应能力的请求消耗大量攻击目标的资源,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。严重时可以使某些服务被暂停甚至主机死机。
作为拒绝服务攻击的一种,CC攻击(Challenge Collapsar,挑战黑洞攻击),是利用不断对网站发送连接请求,致使形成拒绝服务的目的的一种恶意攻击手段。其原理为模拟多个用户不停地进行访问那些需要大量数据操作的页面,造成目标主机服务器资源耗尽,一直到宕机崩溃。
由于CC攻击的攻击方式是通过模拟用户的访问请求,难以进行区分,而且CC攻击的技术门槛较低,利用一些工具和一定熟练数量的代理IP就可以进行攻击,而且CC攻击的攻击效果明显。
现有技术中针对拒绝服务攻击,特别是CC攻击的处理方案,主要在于对目标服务器的优化,例如禁止网站代理访问,限制连接数量,尽量将网站做成静态页面等方法。然而以上禁止代理访问和限制连接数量的方法会影响正常用户访问网站,另外由于网页的类型和内容的限制,也无法将网页全部设置为静态页面,而且这种方式也不能完全消除拒绝服务攻击的效果。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的拒绝服务攻击的防护装置和相应的拒绝服务攻击的防护方法。本发明一个进一步的目的是要使得消除拒绝服务攻击对目标主机的攻击效果。
依据本发明的一个方面,提供了一种拒绝服务攻击的防护方法。该拒绝服务攻击的防护方法包括以下步骤:获取主机受到拒绝服务攻击的触发事件;根据请求源向主机发出的访问请求生成带有验证数据的应答消息,并返回给请求源;获取请求源对应答消息的响应,并判断响应中是否包括验证数据的回应数据以及回应数据是否与验证数据匹配;若以上任一判断结果为否,截留请求源向主机发出的访问请求。
可选地,触发事件的生成步骤包括:获取向主机发出的访问请求;对访问请求进行拒绝服务攻击识别,并按照拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。
可选地,如果判断响应中包括对验证数据的回应数据且回应数据与验证数据匹配,允许访问请求向主机发送。
可选地,在截留请求源向主机发出的访问请求之后还包括:对请求源的访问日志进行分析,以确定对请求源的防护的有效性。
可选地,验证数据为浏览器用户信息cookie,与带有cookie信息的应答消息匹配的回应数据为带有cookie信息跳转至主机地址的请求。
可选地,验证数据为脚本文件,与带有脚本文件的应答消息匹配的回应数据为脚本文件的执行结果。
可选地,验证数据为图片数据,与带有图片数据的应答消息匹配的回应数据为带有图片数据文字识别结果的跳转至主机地址的请求。
根据本发明的另一个方面,还提供了一种拒绝服务攻击的防护装置。该拒绝服务攻击的防护装置包括:事件获取模块,用于获取主机受到拒绝服务攻击的触发事件;应答模块,用于根据请求源向主机发出的访问请求生成带有验证数据的应答消息,并返回给请求源;判断模块,用于获取请求源对应答消息的响应,并判断响应中是否包括验证数据的回应数据以及回应数据是否与验证数据匹配;执行模块,用于以上任一判断结果为否,截留请求源向主机发出的访问请求。
可选地,事件获取模块被配置为:获取向主机发出的访问请求;对访问请求进行拒绝服务攻击识别,并按照拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。
可选地,执行模块还用于:在判断模块的判断结果均为是的情况下,允许访问请求向主机发送。
可选地,上述拒绝服务攻击的防护装置还包括:日志分析模块,用于对请求源的访问日志进行分析,以确定对请求源的防护的有效性。
可选地,应答模块返回的应答消息中包含的验证数据包括以下任意一项:浏览器用户信息cookie、脚本文件、图片数据。
本发明的拒绝服务攻击的防护方法和防护装置在确定防护目标主机受到拒绝服务攻击时,向攻击源返回验证信息,在验证信息不符合要求的情况下,忽略请求信息,对于防护目标主机而言,可以确保可靠运行,向正常用户提供相应服务。从而保障了防护目标主机的安全可靠运行,提高了网络安全性。
进一步地,采用多种方式配合的方式进行验证信息的反馈和验证,构成了多层次的防护手段。
又进一步地,根据拒绝服务攻击的攻击特征对以及防护目标主机的访问特点对拒绝服务攻击的攻击源进行识别,尽量减小对正常访问的影响,提高了用户体验。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是根据本发明一个实施例的拒绝服务攻击的防护装置200的网络应用环境的示意图;
图2是根据本发明一个实施例的拒绝服务攻击的防护装置200示意图;以及
图3是根据本发明一个实施例的拒绝服务攻击的防护方法的示意图。
具体实施方式
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
图1是根据本发明一个实施例的拒绝服务攻击的防护装置200的网络应用环境的示意图,在图中,网页客户端110访问目标网站时,经过域名解析***的解析,将输入的域名解析为网页防护***分布在各地机房的节点服务器120对应的地址,节点服务器120通过互联网向目标网站的主机(host)140发出访问请求,在host140之前设置了网页应用防护***130(Web Application Firewall,简称WAF),向目标主机140发出的访问请求必须经过WAF130才能到达目标主机140,WAF130作为网站防火防火墙,提供网站的加速和缓存服务,可防止黑客利用跨站注入等漏洞对网站进行入侵,保护网站不被篡改和入侵,提高网站主机的安全性。本发明实施例的拒绝服务攻击的攻击源的识别装置200与多个WAF130数据连接,根据WAF130收到的向目标主机140发送的访问请求进行拒绝服务攻击的攻击源识别。
拒绝服务攻击的方式包含以下多种方式:使用单一互联网协议地址(InternetProtocol,进程IP地址)对某一host的单个统一资源定位符(Uniform Resource Locator,简称URL)进行攻击、使用多个IP对单个URL进行攻击、使用单一IP对多个URL进行攻击、使用多个IP对多个URL进行攻击。
本发明实施例的拒绝服务攻击的拒绝服务攻击的防护装置200及其相应的拒绝服务攻击的防护方法可以对各种类型的拒绝服务攻击进行安全防护。
图2是根据本发明一个实施例的拒绝服务攻击的防护装置200示意图。该拒绝服务攻击的防护装置200一般性地可以包括:事件获取模块210、应答模块220、判断模块230、执行模块240,在一些优化的方案中还可以增加设置有日志分析模块250。
在以上部件中,事件获取模块210用于获取主机受到拒绝服务攻击的触发事件;应答模块220用于根据请求源向主机发出的访问请求生成带有验证数据的应答消息,并返回给请求源;判断模块230用于获取请求源对应答消息的响应,并判断响应中是否包括验证数据的回应数据以及回应数据是否与验证数据匹配;执行模块240用于以上任一判断结果为否,截留请求源向主机发出的访问请求。
其中,事件获取模块210可以通过对防护目标主机的请求确定是否出现了拒绝服务攻击。事件获取模块210的一种可选配置方式为:获取向主机发出的访问请求;对访问请求进行拒绝服务攻击识别,并按照拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。以上触发事件可以包括:目标主机的访问量骤升或者某一URL的访问量异常等情况。
如果判断模块230的判断结果为是,说明请求方通过了验证,执行模块240可以允许访问请求向主机发送。
本实施例的拒绝服务攻击的防护装置200为了验证其防护效果,还可以利用日志分析模块250对请求源的访问日志进行分析,以确定对请求源的防护的有效性。
应答模块200返回的应答消息中包含的验证数据包括以下任意一项:浏览器用户信息cookie、脚本文件、图片数据。
在验证数据为浏览器用户信息cookie时,请求发送方获取浏览器用户信息cookie后,正常操作为向WAF130重新发送带有该cookie信息跳转至所述主机地址的请求,如果请求发送方返回的请求没有对cookie进行处理,可以说明请求发送方的请求为攻击行为。
在验证数据为脚本文件JavaScript时,请求发送方获取javascript后,正常操作为执行该javascript,并重新返回脚本的执行结果,如果请求发送方返回的请求没有执行javascript,也可以说明请求发送方的请求为攻击行为。
图片验证数据也是一种有效的防护方法,例如当前访问量超出阈值,可以向所有的请求发送方发送图片,类似于验证码的方式,请求方需要将图片中包含的文字或者其他内容进行输入并向目标主机反馈,如果图片的识别结果与图片对应则证明当前访问为正常访问。
以上三种方法可以进行选择使用,也可以配合共同进行使用,例如使用cookie作为验证信息,消耗的资源最少,而且可以对正常用户没有任何干扰的情况下完成信息认证,但是容易被攻击后门绕过,日志分析模块250通过分析确定cookie验证被绕过时,开启脚本文件验证,如果脚本文件验证又被绕过,则开启图片验证,由于图片验证方式需要用户进行操作,对正常访问用户会产生干扰,但是验证效果较好。通过多层次的防护机制,可以提高拒绝服务攻击的防护性能。
本发明实施例还提供了一种拒绝服务攻击的防护方法,该拒绝服务攻击的防护方法可以由以上实施例中的拒绝服务攻击的防护装置200来执行,以防范拒绝服务攻击。图3是根据本发明一个实施例的拒绝服务攻击的防护方法的示意图,该拒绝服务攻击的防护方法包括以下步骤:
步骤S302,获取主机受到拒绝服务攻击的触发事件;
步骤S304,根据请求源向主机发出的访问请求生成带有验证数据的应答消息,并返回给请求源;
步骤S306,获取请求源对应答消息的响应;
步骤S308,判断响应中是否包括验证数据的回应数据并且回应数据是否与验证数据匹配;
步骤S310,若步骤S308判断结果中任一项为否,则截留请求源向主机发出的访问请求。
如果步骤S308的判断结果均为是,则将请求源向主机发送的访问请求返回给防护目标主机。
步骤S302所获取的触发事件的生成步骤包括:获取向主机发出的访问请求;对访问请求进行拒绝服务攻击识别,并按照拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。
优选地,在步骤S310之后还可以对请求源的访问日志进行分析,以确定安全防护的有效性。
步骤S304中生成应答消息中包含的验证数据包括以下任意一项:浏览器用户信息cookie、脚本文件、图片数据。
在验证数据为浏览器用户信息cookie时,请求发送方获取浏览器用户信息cookie后,正常操作为向WAF130重新发送带有该cookie信息跳转至所述主机地址的请求,如果请求发送方返回的请求没有对cookie进行处理,可以说明请求发送方的请求为攻击行为。
在验证数据为脚本文件JavaScript时,请求发送方获取javascript后,正常操作为执行该javascript,并重新返回脚本的执行结果,如果请求发送方返回的请求没有执行javascript,也可以说明请求发送方的请求为攻击行为。
图片验证数据也是一种有效的防护方法,例如当前访问量超出阈值,可以向所有的请求发送方发送图片,类似于验证码的方式,请求方需要将图片中包含的文字或者其他内容进行输入并向目标主机反馈,如果图片的识别结果与图片对应则证明当前访问为正常访问。
以上三种方法可以进行选择使用,也可以配合共同进行使用,例如使用cookie作为验证信息,消耗的资源最少,而且可以对正常用户没有任何干扰的情况下完成信息认证,但是容易被攻击后门绕过,通过对访问日志的进一步分析分析确定cookie验证被绕过时,开启脚本文件验证,如果脚本文件验证又被绕过,则开启图片验证,由于图片验证方式需要用户进行操作,对正常访问用户会产生干扰,但是验证效果较好。通过多层次的防护机制,可以提高拒绝服务攻击的防护性能。
首先对防护目标主机的访问量异常时,开启本实施例的拒绝服务攻击的防护方法的实现流程进行进一步说明。
在受到拒绝服务攻击的情况下,在较短的时间内,访问请求的防护目标主机140收到的请求量会明显高于正常的请求量,然而对于不同的网站,其访问量是不同的。为了使对目标防护主机140设置的阈值符合该目标主机140的访问能力,可以动态对请求量判断的阈值进行统计,统计方法可以包括每间隔第一预定时间段记录一次第一请求量,得到多个第一请求量;从多个第一请求量中按照预设规则挑选出多个样本值;计算多个样本值的平均值,根据平均值设定阈值。
其中选取样本的方式可以为:选取在第二预定时间段内产生的多个第一请求量,第二预定时间段为第一预定时间段的整数倍,将在第二预定时间段内产生的多个第一请求量中的最大值记为第二请求量;在连续多个第二预定时间段内分别挑选得出多个第二请求量,并从多个第二请求量中滤除偏差较大的数据后,得到多个样本值。以上请求量阈值可以为样本值的加和平均值与预定系数的乘积,预定系数的取值范围为:1.05至1.3。
为了保证识别的准确性,以上第一预定时间和第二预定时间均经过了大量的时间进行试验,其中第一预定时间如果设定地过短,其波动性较大,容易出现误识别的情况,如果设定地过长,其波动性过于平滑,无法反映出请求量的变化;经过大量测试的结果,第一预定时间可以设置为3至8分钟,最优值为5分钟,也就是每间隔5分钟,确定在这5分钟内发出的访问请求总量作为第一请求量。
为了确定以上请求量阈值,需要确定在正常访问情况下最大的访问请求量,由于一般网站的访问都是天为单位波动的,因此,第二预定时间可以使用一天的时间,从而选取样本值的过程可以为:获取一天时间内,每隔5分钟的第一请求量,从而一天的288个第一请求量中选取出最大值作为第二请求量。由于第二请求量可能受到异常因素的影响,会导致有些值明显出现较大偏差,例如某日统计出错,导致请求量为零;或者在某天内受到拒绝服务攻击,访问量大增,这种明显偏差较大的数据并非正常访问造成的,需要进行滤除。一种从第二请求量中选取样本值的简单方法可以为:挑选最近30天内的30个第二请求量,过滤掉最大的三个数据和最小的三个数据,将剩余的24个第二请求量作为样本值。这种方式计算简单,有效性较高。另外从第二请求量中选取样本值的方法还可以使用方差的方法进行统计,将方差大于一定预设值的第二请求量删除。
以上预定系数的作用是为了给网站请求量留出一定的裕值,防止出现误拦的情况,预定系数的取值范围为:1.05至1.3,一般选取的最优值可以为1.2。也就是将超出正常访问的最大访问量的20%的情况作为确定拒绝服务攻击的条件。
以上确定出的请求量阈值可以是动态调整的,例如每天定时利用此前30天的访问数据进行阈值的计算,从而判断更加精确,例如在网站的访问量逐渐增长的情况下,可动态的增加阈值,防止出现因业务变化导致出现拒绝服务攻击识别错误的情况发生。阈值的计算过程也并不局限于对样本值的加和平均,只要可以反映出网站正常访问量的最大值的统计计算方法均可以用于对阈值的计算,本实施例优选的加和平均仅是计算量较小的一种方式。
以上第一预设时间、第二预设时间、预定系数均是根据网络访问的情况统计得出的经验值,可以根据拒绝服务攻击的变化灵活进行调整。
以上请求量数据实时从所有的WAF130中的运行日志中经过统计分析得出。
当在第一预设时间,目标主机140收到的总请求量超过以上请求量阈值,即可以认为受到了拒绝服务攻击。开启本实施例提供的拒绝服务攻击的防护机制。
首先,采用cookie反弹安全防护,WAF130向所有请求方下发带有安全标记cookie的强制跳转指令,并监控请求方的后续请求中是否包含该安全标记,如果有,认定请求方通过验证,可由WAF130向目标主机140发送通过验证的请求。但是这种方式相对容易,攻击方存在绕过的可能性。因此需要对后续请求中包含的状态码和请求量进行核查,对防护的有效性进行验证。
其次,采用脚本文件JavaScript安全防护,WAF130向所有请求方下发带有跳转命令的用脚本文件JavaScript,只有请求方接收并执行以上脚本后,脚本中的代码包括有跳转回指定地址的命令,只有对方浏览器为正常访问浏览器客户端时,浏览器才会执行脚本,完成验证。然而,js脚本为明文传输,也存在着一些被破解的隐患,需要定期对js代码进行更新,同时通过分析请求中包含的状态码和请求量,对防护的有效性进行验证。
以上两种方式,不会影响用户的使用体验,如果以上两种方式均被破解,可以采用图片验证方式进行防护,向所有的请求发送方发送图片,类似于验证码的方式,请求方需要将图片中包含的文字或者其他内容进行输入并向目标主机反馈,如果图片的识别结果与图片对应则证明当前访问为正常访问,否则,过滤所述请求,这种验证方式需要用户的配合才能达到防护。
以上三种验证方式,互相配合,防护力度逐层加大,提高了拒绝服务攻击的防护效果。
为了能够进一步缩小安全防护对用户的影响和对防护装置资源的消耗,还可以采用以下两种方式,对攻击源进行识别,缩小防护范围。
其中第一种方式为:
在目标防护主机的请求量超过以上的请求阈值后,确定出现访问事件,开启识别攻击源的机制。
首先判断在第三预定时间段内向目标主机host140访问请求总量是否超过预设的网站安全响应阈值;若是,获取host140访问请求返回的异常响应量与正常访问量,并判断host140根据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值。判断在第三预定时间段内向目标主机140发出的访问请求总量是否超过预设的网站安全响应阈值的目的是,保证该目标主机140的运行稳定性,对于一些小型网站访问量较小,运行不稳定,其不正常响应一般也并非由于受到攻击的影响,如果在这些网站出现响应异常时触发拒绝服务攻击的攻击源识别步骤,会消耗防护装置资源。
因此,在监控响应情况时,需要设立一个存活机制,仅对有一定访问量的目标主机140进行响应异常事件的监控。以上第三预定时间根据目标主机140的运行情况进行设定,一般而言,可以设置为10秒到30秒,最优设置为20秒,如果20秒内,目标主机140接收到的请求总量超过网站安全响应阈值,而且异常响应量与正常访问量的比值超过预设的响应比率阈值,响应比率阈值如果达到50%以上,就可以认为出现响应异常,例如异常响应量达到80%或以上,则可以判断目标主机140出现响应异常,触发拒绝服务攻击的攻击源的识别机制。
以上网站安全响应阈值对应的数值可以按照一般网站应该可以正常处理的请求量进行设置,确保网站请求量正常。
在单一攻击源进行拒绝服务攻击时,该攻击源ip对host140发送的访问请求的数量远远超过正常的访问量,所以在这种情况下,攻击源的请求数量远远超过其他正常请求源,因此在判断出第一访问量占访问请求总量的比率超过预设比值,就可以认定第一访问量对应的请求源为发出拒绝服务攻击的攻击源。以上预设比值为对拒绝服务攻击的攻击行为进行分析得出的经验值,一般可以设置为80%左右,也就是如果接收到异常事件的触发,如果在当前一段时间内,某一请求源的请求量占到所有请求量的80%,就可以认定该请求源为攻击源,对该攻击源进行安全防护。
对识别出的攻击源利用以上三种防护方式中的任一种或多种配合方式进行防护,而对攻击源之外的正常请求源不做防护处理,从而提高了正常访问用户的使用体验,而且节省了防护装置的资源。
另外,第二种方式为:
本实施例还可以对多攻击源对单一URL进行攻击的方式进行攻击源识别,从而实现目标性的安全防护,具体识别流程包括:
获取目标主机的多个统一资源定位符URL的访问请求的列表;利用列表查询得出第一URL,该第一URL为在第一预定时间段内访问请求量最大的统一资源定位符;利用列表查询得出在第四预定时间段内向第一URL发出最多请求的一个或多个请求源;判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比;判断访问请求量最大的请求源的请求量是否超过请求阈值;若以上判断结果均为是,确定请求源为拒绝服务攻击的攻击源。
其中访问请求列表的获取方式可以为:利用WAF130的运行日志文件得到URL列表,例如读取与目标主机数据连接的网页应用防护***WAF130的运行日志文件;对运行日志文件文件进行分析,得到列表,列表中记录了目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。表1示出了本实施例的拒绝服务攻击的攻击源的识别装置200利用WAF运行日志获取的URL列表。
表1
如表1所示,通过对日志文件的分析,某个host对应有多个URL,分别为URL1、URL2、URL3……,在第一预定时间段内,对URL1发出请求访问的请求源为IP1、IP2、IP3、IP4;对URL2发出请求访问的请求源为IP2、IP3、IP4;对URL3发出请求访问的请求源为IP2、IP3。
若在第四预定时间段内URL1的访问请求量最大,则将URL1作为第一URL,然后确定出此时请求访问URL1最大的一个或多个IP,判断URL1所占对host所有URL请求量的占比是否超过预设请求占比,以及请求访问URL1最大的一个或多个IP的访问量是否超过预设请求阈值,如果两个判断结果均为,确定请求访问URL1最大的一个或多个IP对应的请求源为可疑攻击源。
以上预设请求占比为对拒绝服务攻击的攻击行为进行分析得出的经验值,一般可以设置为80%至90%,也就说一个URL接收的请求量占host请求量的绝大部分,就可以认为该URL受到了攻击。
以上预设请求阈值可以固定设置,但是为了满足不同host的请求情况,以及动态变化的请求量的变化,一种设置方式为:使用预设基础值除以占比,将得到的除商与预设的误拦裕量相加;将相加得到的加和作为请求阈值。例如该预设阈值的计算公式为:
阈值=预设基础值/占比+误拦裕量
在预设基础值取值为100、预设的误拦裕量取值为100的情况下,如果第一URL接收的请求量达到host总请求量的90%,则可以得到阈值=100/90%+100=211.1,从而如果有对第一URL发出的请求量超过211次的请求源,即认为该请求源存在攻击可疑性。
以上预设基础值和预设的误拦裕量可疑根据host的实际访问情况,进行灵活设置,以上具体取值仅为实际举例。
在确定出可疑攻击源后,可以进一步对攻击源分析,以确定可疑攻击源是否是真正攻击源,在这种情况下,具体分析的方法可以为:判断当前可疑攻击源是否除了第一URL外,是否请求了host的其他URL,如果当前可疑攻击源除第一URL还请求了其他的URL,按照拒绝服务攻击的攻击特点,该可疑攻击源并非实际的攻击源。具体进行判断时,可以判断该可以攻击源是否在一段时间内集中对host超过2个URL进行了访问,如是,可以将排除该可疑攻击源。如果可疑攻击源仅对第一URL发出了请求,就可以确定其进行了拒绝服务攻击,直接对该攻击源进行安全防护。
为了在受到拒绝服务攻击后,尽快实现攻击源的识别,以上第四预定时间段可以设置为10秒至30秒,也就是在受到攻击后1分钟之内实现对攻击源的识别和处理,大大提高了拒绝服务攻击的安全防护效率。
本发明实施例的拒绝服务攻击的防护方法和防护装置在确定防护目标主机受到拒绝服务攻击时,向攻击源返回验证信息,在验证信息不符合要求的情况下,忽略请求信息,对于防护目标主机而言,可以确保可靠运行,向正常用户提供相应服务。从而保障了防护目标主机的安全可靠运行,提高了网络安全性。
进一步地,采用多种方式配合的方式进行验证信息的反馈和验证,构成了多层次的防护手段。
又进一步地,根据拒绝服务攻击的攻击特征对以及防护目标主机的访问特点对拒绝服务攻击的攻击源进行识别,尽量减小对正常访问的影响,提高了用户体验。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的拒绝服务攻击的防护装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
Claims (9)
1.一种拒绝服务攻击的防护方法,包括:
获取主机受到拒绝服务攻击的触发事件;
根据请求源向所述主机发出的访问请求生成带有验证数据的应答消息,并返回给所述请求源;
获取所述请求源对所述应答消息的响应,并判断所述响应中是否包括所述验证数据的回应数据以及所述回应数据是否与所述验证数据匹配;
若以上任一判断结果为否,截留所述请求源向所述主机发出的访问请求,
在截留所述请求源向所述主机发出的访问请求之后还包括:对所述请求源的访问日志进行分析,以确定对所述请求源的防护的有效性,其中
所述验证数据包括:浏览器用户信息cookie、脚本文件、图片数据,并且
在通过对所述访问日志的分析确定采用cookie验证被绕过后,开启脚本文件验证,在确定采用脚本文件验证被绕过后,开启图片数据验证。
2.根据权利要求1所述的方法,其中,所述触发事件的生成步骤包括:
获取向所述主机发出的访问请求;
对所述访问请求进行拒绝服务攻击识别,并按照所述拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。
3.根据权利要求1所述的方法,其中,如果判断所述响应中包括对所述验证数据的回应数据且所述回应数据与所述验证数据匹配,允许所述访问请求向所述主机发送。
4.根据权利要求1至3中任一项所述的方法,其中,所述验证数据为浏览器用户信息cookie时,与带有所述cookie信息的应答消息匹配的回应数据为带有所述cookie信息跳转至所述主机地址的请求。
5.根据权利要求1至3中任一项所述的方法,其中,所述验证数据为脚本文件时,与带有所述脚本文件的应答消息匹配的回应数据为所述脚本文件的执行结果。
6.根据权利要求1至3中任一项所述的方法,其中,所述验证数据为图片数据时,与带有所述图片数据的应答消息匹配的回应数据为带有所述图片数据文字识别结果的跳转至所述主机地址的请求。
7.一种拒绝服务攻击的防护装置,包括:
事件获取模块,用于获取主机受到拒绝服务攻击的触发事件;
应答模块,用于根据请求源向所述主机发出的访问请求生成带有验证数据的应答消息,并返回给所述请求源;
判断模块,用于获取所述请求源对所述应答消息的响应,并判断所述响应中是否包括所述验证数据的回应数据以及所述回应数据是否与所述验证数据匹配;
执行模块,用于以上任一判断结果为否,截留所述请求源向所述主机发出的访问请求;
日志分析模块,用于对所述请求源的访问日志进行分析,以确定对所述请求源的防护的有效性,其中
所述验证数据包括:浏览器用户信息cookie、脚本文件、图片数据,并且
所述日志分析模块通过对所述访问日志的分析确定采用cookie验证被绕过后,开启脚本文件验证,在确定采用脚本文件验证被绕过后,开启图片数据验证。
8.根据权利要求7所述的装置,其中,所述事件获取模块被配置为:
获取向所述主机发出的访问请求;对所述访问请求进行拒绝服务攻击识别,并按照所述拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。
9.根据权利要求7所述的装置,其中,所述执行模块还用于:在所述判断模块的判断结果均为是的情况下,允许所述访问请求向所述主机发送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310713371.XA CN103685293B (zh) | 2013-12-20 | 2013-12-20 | 拒绝服务攻击的防护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310713371.XA CN103685293B (zh) | 2013-12-20 | 2013-12-20 | 拒绝服务攻击的防护方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103685293A CN103685293A (zh) | 2014-03-26 |
| CN103685293B true CN103685293B (zh) | 2017-05-03 |
Family
ID=50321607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310713371.XA Active CN103685293B (zh) | 2013-12-20 | 2013-12-20 | 拒绝服务攻击的防护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103685293B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378358A (zh) * | 2014-10-23 | 2015-02-25 | 河北省电力建设调整试验所 | 一种基于服务器日志的HTTP Get Flood攻击防护方法 |
| CN105656843B (zh) * | 2014-11-11 | 2020-07-24 | 腾讯数码(天津)有限公司 | 基于验证的应用层防护方法、装置及网络设备 |
| CN106685899B (zh) * | 2015-11-09 | 2020-10-30 | 创新先进技术有限公司 | 用于识别恶意访问的方法和设备 |
| CN105939361B (zh) * | 2016-06-23 | 2019-06-07 | 杭州迪普科技股份有限公司 | 防御cc攻击的方法及装置 |
| CN106789983B (zh) * | 2016-12-08 | 2019-09-06 | 北京安普诺信息技术有限公司 | 一种cc攻击防御方法及其防御*** |
| CN108476199A (zh) * | 2016-12-23 | 2018-08-31 | 深圳投之家金融信息服务有限公司 | 一种基于令牌机制的检测和防御cc 攻击的***和方法 |
| CN106850687A (zh) * | 2017-03-29 | 2017-06-13 | 北京百度网讯科技有限公司 | 用于检测网络攻击的方法和装置 |
| CN107360198B (zh) * | 2017-09-12 | 2020-04-10 | 中国联合网络通信集团有限公司 | 可疑域名检测方法及*** |
| CN108134803B (zh) * | 2018-01-29 | 2021-02-26 | 杭州迪普科技股份有限公司 | 一种url攻击防护方法及装置 |
| CN108959923B (zh) * | 2018-05-31 | 2022-05-17 | 深圳壹账通智能科技有限公司 | 综合安全感知方法、装置、计算机设备和存储介质 |
| CN113179247B (zh) * | 2021-03-23 | 2023-05-23 | 杭州安恒信息技术股份有限公司 | 拒绝服务攻击防护方法、电子装置和存储介质 |
| CN115987536A (zh) * | 2021-10-15 | 2023-04-18 | 华为技术有限公司 | 报文源地址识别方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150586A (zh) * | 2007-11-20 | 2008-03-26 | 杭州华三通信技术有限公司 | Cc攻击防范方法及装置 |
| US7404211B2 (en) * | 2002-09-26 | 2008-07-22 | Kabushiki Kaisha Toshiba | Systems and methods for protecting a server computer |
| CN101834866A (zh) * | 2010-05-05 | 2010-09-15 | 北京来安科技有限公司 | 一种cc攻击防护方法及其*** |
-
2013
- 2013-12-20 CN CN201310713371.XA patent/CN103685293B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7404211B2 (en) * | 2002-09-26 | 2008-07-22 | Kabushiki Kaisha Toshiba | Systems and methods for protecting a server computer |
| CN101150586A (zh) * | 2007-11-20 | 2008-03-26 | 杭州华三通信技术有限公司 | Cc攻击防范方法及装置 |
| CN101834866A (zh) * | 2010-05-05 | 2010-09-15 | 北京来安科技有限公司 | 一种cc攻击防护方法及其*** |
Non-Patent Citations (1)
| Title |
|---|
| CC攻击检测方法研究;陈仲华等;《电信科学》;20090515(第5期);第64页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103685293A (zh) | 2014-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103685293B (zh) | 拒绝服务攻击的防护方法和装置 | |
| CN103701793B (zh) | 服务器肉鸡的识别方法和装置 | |
| CN103701795B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN103685294B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN104301302B (zh) | 越权攻击检测方法及装置 | |
| US8826400B2 (en) | System for automated prevention of fraud | |
| CN107634967B (zh) | 一种CSRF攻击的CSRFToken防御***和方法 | |
| US20180218145A1 (en) | Systems and methods for access control to web applications and identification of web browsers | |
| US8850567B1 (en) | Unauthorized URL requests detection | |
| US20200213333A1 (en) | Detection of remote fraudulent activity in a client-server-system | |
| EP3301883A1 (en) | Protecting against the introduction of alien content | |
| WO2017074619A1 (en) | Multi-layer computer security countermeasures | |
| CN110071941B (zh) | 一种网络攻击检测方法、设备、存储介质及计算机设备 | |
| CN103701794A (zh) | 拒绝服务攻击的识别方法和装置 | |
| CN107579997A (zh) | 无线网络入侵检测*** | |
| CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN107509200A (zh) | 基于无线网络入侵的设备定位方法及装置 | |
| Lalia et al. | Implementation of web browser extension for mitigating CSRF attack | |
| CN107294994B (zh) | 一种基于云平台的csrf防护方法和*** | |
| JP6842951B2 (ja) | 不正アクセス検出装置、プログラム及び方法 | |
| CN104852907A (zh) | 一种跨站点伪造请求csrf攻击识别方法和设备 | |
| Wang et al. | XSS attack detection and prevention system based on instruction set randomization | |
| Zhou et al. | Strengthening XSRF defenses for legacy web applications using whitebox analysis and transformation | |
| Ponnavaikko et al. | Risk mitigation for cross site scripting attacks using signature based model on the server side | |
| Kour | A Review on Cross-Site Request Forgery and its Defense Mechanism |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161122 Address after: 100015 Chaoyang District Road, Jiuxianqiao, No. 10, building No. 3, floor 15, floor 17, 1701-26, Applicant after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: Qianxin Technology Group Co.,Ltd. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210107 Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee after: Qianxin Technology Group Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: Qianxin Technology Group Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CP03 | Change of name, title or address |
Address after: 2nd Floor, Building 1, Yard 26, Xizhimenwai South Road, Xicheng District, Beijing, 100032 Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Patentee after: Qianxin Technology Group Co.,Ltd. Address before: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee before: Qianxin Technology Group Co.,Ltd. |
|
| CP03 | Change of name, title or address |