【技术实现步骤摘要】
本专利技术涉及网络
,更具体地说,涉及一种基于验证的应用层防护方法、装置及网络设备。
技术介绍
随着互联网上应用的复杂度不断增加和网络带宽的不断正常,服务器资源将成为网络中的主要瓶颈。由于应用层的计算量一般较重,因此,攻击者只需要使用少量的攻击请求就足以耗尽目标服务器的资源,导致服务器无法处理正常合法的请求,如拒绝服务攻击等。拒绝服务攻击有以下两种攻击方式:带宽耗尽型和主机资源耗尽型。带宽耗尽型的目标是通过大量合法的HTTP请求占用目标网络的带宽,使正常用户无法进行Web访问。主机资源耗尽型与带宽耗尽型不同,其目的是为了耗尽目标服务器的资源(例如:CPU、存储器、Socket等)。攻击者用少量的HTTP请求促使服务器返回大文件(例如图像、视频文件等),或促使服务器运行一些复杂的脚本程序(例如复杂的数据处理、密码计算与验证等)。这种方式不需要很高的攻击速率就可以迅速耗尽主机的资源,而且更具有隐蔽性。目前,较常用的一种对网络攻击的防护方法为,通过带宽控制器限制带宽来对抗攻击,这种防护方式可以拦截那些超出服务器承受力的流量,以保证服务器的服务质量,但是这种防护方式限制了攻击的同时,对正常的网络流量也进行了拦截;还有一种针对网络攻击的异常检测模型,它通过基于阈值的技术来检测那些过于频繁的请求同一页面的客户端,将在单位时间内请求同一页面的次数超过预设阈值的客户端屏蔽掉。然而,专利技术人在实现本 ...
【技术保护点】
一种基于验证的应用层防护方法,其特征在于,包括:截获终端设备向网络服务器发送的访问请求;依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证;其中,所述目标验证防护方式为多个验证防护方式中的一个;不同验证防护方式的防护效果不同;将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。
【技术特征摘要】
1.一种基于验证的应用层防护方法,其特征在于,包括:
截获终端设备向网络服务器发送的访问请求;
依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所
述终端设备进行验证;其中,所述目标验证防护方式为多个验证防护方式中
的一个;不同验证防护方式的防护效果不同;
将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所
述网络服务器。
2.根据权利要求1所述的方法,其特征在于,所述与所述网络服务器的
性能指标参数相对应的目标验证防护方式的确定过程包括:
在将第一验证防护方式作为目标验证防护方式对所述终端设备进行验证
的过程中,采集所述网络服务器的性能指标参数,依据所述性能指标参数判
断所述网络服务器的性能变化情况;
若所述网络服务器的性能指标参数指示所述网络服务器的性能未变化或
性能变差,将所述目标验证防护方式由第一验证防护方式切换为第二验证防
护方式;其中,第二验证防护方式的防护效果优于所述第一验证防护方式的
防护效果。
3.根据权利要求2所述的方法,其特征在于,还包括:
若所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述
网络服务器的配置要求,将所述第一验证防护方式作为目标验证防护方式对
所述终端设备进行验证。
4.根据权利要求3所述的方法,其特征在于,在将第一验证防护方式作
为目标验证防护方式对所述终端设备进行验证的过程中,还包括:
统计网络服务器在预设统计维度下被访问的频率;
当所述网络服务器在预设统计维度下被访问的频率小于第一预设阈值,
且所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络
服务器的配置要求的持续时长达到预设时长时,将所述目标验证防护方式由
第一验证防护方式切换为第三验证防护方式;其中,第一验证防护方式的防
护效果优于所述第三验证防护方式的防护效果。
5.根据权利要求1所述的方法,其特征在于,所述与所述网络服务器的
性能指标参数相对应的目标验证防护方式的确定过程包括:
统计网络服务器在预设统计维度下被访问的频率;
采集所述网络服务器的性能指标参数;
当所述网络服务器在预设统计维度下被访问的频率大于第二预设阈值,
且所述网络服务器的性能指标参数指示所述网络服务器的性能不符合所述网
络服务器的配置要求时,确定第一验证防护方式为目标验证防护方式;所述
第一验证防护方式为所述多个验证防护方式中的一个。
6.根据权利要求1所述的方法,其特征在于,还包括:
当接收到用户触发的验证防护方式调节指令时,依据所述验证防护方式
调节指令对与所述网络服务器相对应的验证防护方式进行切换。
7.根据权利要求4或5所述的方法,其特征在于,所述统计维度为服务
器维度;
所述统计网络服务器在预设统计维度下的被访问频率包括:
统计所述网络服务器被访问的频率。
8.根据权利要求4或5所述的方法,其特征在于,所述统计维度为资源
维度;
所述统计网络服务器在预设统计维度下的被访问频率包括:
统计所述网络服务器中各个资源被访问的频率。
9.根据权利要求1所述的方法,其特征在于,所述多个验证防护方式至
少包括如下三类验证防护方式:
A类:浏览器挑战跳转;
B类:浏览器挑战跳转和验证码验证;
C类:浏览器挑战跳转、验证码验证和对访问请求进行限速;
其中,B类验证防护方式的防护效果优于A类验证防护方式的防护效果;
C类验证防护方式的防护效果优于B类验证防护方式的防护效果。
10.根据权利要求9所述的方法,其特征在于,还包括:统计第一终端
设备在所述预设统计维度下对所述网络服务器进行访问的访问频率;
所述对访问请求进行限速包括:
当所述第一终端设备在所述统计维度下的访问频率满足预设条件时,对
所述第一终端备设备的访问请求进行限速。
11.根据权利要求9所述的方法,其特征在于,还包括:统计第一终端
设备在所述预设统计维度下对所述网络服务器进行访问的访问频率;监测所
述第一终端设备的访问行为序列是否异常;
所述对访问请求进行限速包括:
当所述第一终端设备在所述统计维度下的访问频率大于第二预设阈值,
且所述第一终端设备的访问行为序列异常时,对所述第一终端设备的访问请
求进行限速。
12.一种基于验证的应用层防护装置,其特征在于,包括:
截获模块,用于截获终...
【专利技术属性】
技术研发人员:陈勇,施晖,
申请(专利权)人:腾讯数码天津有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。