基于验证的应用层防护方法、装置及网络设备制造方法及图纸

本发明专利技术实施例公开了一种基于验证的应用层防护方法、装置及网络设备，确定与所述网络服务器相对应的目标验证防护方式，即针对网络服务器的不同性能状态可以采用不同的验证防护方式；在终端设备要访问网络服务器时，截获终端设备向网络服务器发送的访问请求，通过与网络服务器的性能相对应的目标验证防护方式对终端设备进行验证，只有验证通过的终端设备发送的访问请求才被转发至网络服务器，通过有差别的验证防护方式实现有区分的对终端设备进行防护，从而降低将正常客户端发送的请求过滤掉这一情况所发生的概率，提高防护效果。

【技术实现步骤摘要】

本专利技术涉及网络
，更具体地说，涉及一种基于验证的应用层防护方法、装置及网络设备。
技术介绍
随着互联网上应用的复杂度不断增加和网络带宽的不断正常，服务器资源将成为网络中的主要瓶颈。由于应用层的计算量一般较重，因此，攻击者只需要使用少量的攻击请求就足以耗尽目标服务器的资源，导致服务器无法处理正常合法的请求，如拒绝服务攻击等。拒绝服务攻击有以下两种攻击方式：带宽耗尽型和主机资源耗尽型。带宽耗尽型的目标是通过大量合法的HTTP请求占用目标网络的带宽，使正常用户无法进行Web访问。主机资源耗尽型与带宽耗尽型不同，其目的是为了耗尽目标服务器的资源(例如：CPU、存储器、Socket等)。攻击者用少量的HTTP请求促使服务器返回大文件(例如图像、视频文件等)，或促使服务器运行一些复杂的脚本程序(例如复杂的数据处理、密码计算与验证等)。这种方式不需要很高的攻击速率就可以迅速耗尽主机的资源，而且更具有隐蔽性。目前，较常用的一种对网络攻击的防护方法为，通过带宽控制器限制带宽来对抗攻击，这种防护方式可以拦截那些超出服务器承受力的流量，以保证服务器的服务质量，但是这种防护方式限制了攻击的同时，对正常的网络流量也进行了拦截；还有一种针对网络攻击的异常检测模型，它通过基于阈值的技术来检测那些过于频繁的请求同一页面的客户端，将在单位时间内请求同一页面的次数超过预设阈值的客户端屏蔽掉。然而，专利技术人在实现本专利技术的过程中发现，目前常用的对网络攻击进行防护的方法都过于简单，容易将正常客户端发送的请求也过滤掉，防护效果较差。
技术实现思路
本专利技术的目的是提供一种基于验证的应用层防护方法、装置及网络设备，以降低将正常客户端发送的请求过滤掉这一情况所发生的概率，提高防护效果。为实现上述目的，本专利技术提供了如下技术方案：一种基于验证的应用层防护方法，包括：截获终端设备向网络服务器发送的访问请求；依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证；其中，所述目标验证防护方式为多个验证防护方式中的一个；不同验证防护方式的防护效果不同；将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。本专利技术实施例还提供一种基于验证的应用层防护装置，包括：截获模块，用于截获终端设备向网络服务器发送的访问请求；验证模块，用于依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证；其中，所述目标验证防护方式为多个验证防护方式中的一个；不同验证防护方式的防护效果不同；发送模块，用于将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。本专利技术实施例还提供一种网络设备，所述网络设备包括如上所述的基于验证的应用层防护装置。通过以上方案可知，本申请提供的一种基于验证的应用层防护方法、装置及网络设备，确定与所述网络服务器相对应的目标验证防护方式，即针对网络服务器的不同性能状态可以采用不同的验证防护方式；在终端设备要访问网络服务器时，截获终端设备向网络服务器发送的访问请求，通过与网络服务器的性能相对应的目标验证防护方式对终端设备进行验证，只有验证通过的终端设备发送的访问请求才被转发至网络服务器，通过有差别的验证防护方式实现有区分的对终端设备进行防护，从而降低将正常客户端发送的请求过滤掉这一情况所发生的概率，提高防护效果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的基于验证的应用层防护方法的一种实现流程图；图2为本专利技术实施例提供的与网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的一种实现流程图；图3为本专利技术实施例提供的与网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的另一种实现流程图；图4为本专利技术实施例提供的与网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的又一种实现流程图；图5为本专利技术实施例提供的与网络服务器的性能指标参数相对应的目标验证防护方式的确定过程的又一种实现流程图；图6为本专利技术实施例提供的基于验证的应用层防护装置的一种结构示意图；图7为本专利技术实施例提供的基于验证的应用层防护装置的另一种结构示意图；图8为本专利技术实施例提供的基于验证的应用层防护装置的又一种结构示意图；图9为本专利技术实施例提供的基于验证的应用层防护方法的又一种结构示意图；图10为本专利技术实施例提供的第一统计模块的一种结构示意图；图11为本专利技术实施例提供的第一统计模块的另一种结构示意图；图12为本专利技术实施例提供的基于验证的应用层防护装置的又一种结构示意图；图13为本专利技术实施例提供的基于验证的应用层防护装置的又一种结构示意图；图14为本专利技术实施例提供的网络设备的一种硬件结构框图；图15为本专利技术实施例提供的网络系统的一种结构示意图。说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的部分，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示的以外的顺序实施。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例提供的基于验证的应用层防护方法及装置应用于网络设备。请参阅图1，图1为本专利技术实施例提供的基于验证的应用层防护方法的一种实现流程图，可以包括：步骤S11：截获终端设备向网络服务器发送的访问请求；步骤S12：依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证；其中，所述目标验证防护方式为多个验证防护方式中的一个；不同验证防护方式的防护效果不同；本专利技术实施例中，对于网络服务器，基于网络服务器的性能从多个验证防护方式中确定一个验证防护方式为目标验证防护方式本文档来自技高网...

【技术保护点】
一种基于验证的应用层防护方法，其特征在于，包括：截获终端设备向网络服务器发送的访问请求；依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证；其中，所述目标验证防护方式为多个验证防护方式中的一个；不同验证防护方式的防护效果不同；将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。

【技术特征摘要】
1.一种基于验证的应用层防护方法，其特征在于，包括：
截获终端设备向网络服务器发送的访问请求；
依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所
述终端设备进行验证；其中，所述目标验证防护方式为多个验证防护方式中
的一个；不同验证防护方式的防护效果不同；
将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所
述网络服务器。
2.根据权利要求1所述的方法，其特征在于，所述与所述网络服务器的
性能指标参数相对应的目标验证防护方式的确定过程包括：
在将第一验证防护方式作为目标验证防护方式对所述终端设备进行验证
的过程中，采集所述网络服务器的性能指标参数，依据所述性能指标参数判
断所述网络服务器的性能变化情况；
若所述网络服务器的性能指标参数指示所述网络服务器的性能未变化或
性能变差，将所述目标验证防护方式由第一验证防护方式切换为第二验证防
护方式；其中，第二验证防护方式的防护效果优于所述第一验证防护方式的
防护效果。
3.根据权利要求2所述的方法，其特征在于，还包括：
若所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述
网络服务器的配置要求，将所述第一验证防护方式作为目标验证防护方式对
所述终端设备进行验证。
4.根据权利要求3所述的方法，其特征在于，在将第一验证防护方式作
为目标验证防护方式对所述终端设备进行验证的过程中，还包括：
统计网络服务器在预设统计维度下被访问的频率；
当所述网络服务器在预设统计维度下被访问的频率小于第一预设阈值，
且所述网络服务器的性能指标参数指示所述网络服务器的性能符合所述网络
服务器的配置要求的持续时长达到预设时长时，将所述目标验证防护方式由
第一验证防护方式切换为第三验证防护方式；其中，第一验证防护方式的防
护效果优于所述第三验证防护方式的防护效果。
5.根据权利要求1所述的方法，其特征在于，所述与所述网络服务器的
性能指标参数相对应的目标验证防护方式的确定过程包括：
统计网络服务器在预设统计维度下被访问的频率；
采集所述网络服务器的性能指标参数；
当所述网络服务器在预设统计维度下被访问的频率大于第二预设阈值，
且所述网络服务器的性能指标参数指示所述网络服务器的性能不符合所述网
络服务器的配置要求时，确定第一验证防护方式为目标验证防护方式；所述
第一验证防护方式为所述多个验证防护方式中的一个。
6.根据权利要求1所述的方法，其特征在于，还包括：
当接收到用户触发的验证防护方式调节指令时，依据所述验证防护方式
调节指令对与所述网络服务器相对应的验证防护方式进行切换。
7.根据权利要求4或5所述的方法，其特征在于，所述统计维度为服务
器维度；
所述统计网络服务器在预设统计维度下的被访问频率包括：
统计所述网络服务器被访问的频率。
8.根据权利要求4或5所述的方法，其特征在于，所述统计维度为资源
维度；
所述统计网络服务器在预设统计维度下的被访问频率包括：
统计所述网络服务器中各个资源被访问的频率。
9.根据权利要求1所述的方法，其特征在于，所述多个验证防护方式至
少包括如下三类验证防护方式：
A类：浏览器挑战跳转；
B类：浏览器挑战跳转和验证码验证；
C类：浏览器挑战跳转、验证码验证和对访问请求进行限速；
其中，B类验证防护方式的防护效果优于A类验证防护方式的防护效果；
C类验证防护方式的防护效果优于B类验证防护方式的防护效果。
10.根据权利要求9所述的方法，其特征在于，还包括：统计第一终端
设备在所述预设统计维度下对所述网络服务器进行访问的访问频率；
所述对访问请求进行限速包括：
当所述第一终端设备在所述统计维度下的访问频率满足预设条件时，对
所述第一终端备设备的访问请求进行限速。
11.根据权利要求9所述的方法，其特征在于，还包括：统计第一终端
设备在所述预设统计维度下对所述网络服务器进行访问的访问频率；监测所
述第一终端设备的访问行为序列是否异常；
所述对访问请求进行限速包括：
当所述第一终端设备在所述统计维度下的访问频率大于第二预设阈值，
且所述第一终端设备的访问行为序列异常时，对所述第一终端设备的访问请
求进行限速。
12.一种基于验证的应用层防护装置，其特征在于，包括：
截获模块，用于截获终...

【专利技术属性】
技术研发人员：陈勇，施晖，
申请(专利权)人：腾讯数码天津有限公司，
类型：发明
国别省市：天津;12