一种针对第三方匿名EDoS攻击的防御方法及系统技术方案

本发明专利技术提出一种针对第三方匿名EDoS攻击的防御方法，包括以下步骤：流量监控器实时对云服务器流出流量进行监控；若流量监控器监控得到的当前流出流量大于或等于报警阈值时，响应器提取由第三方服务器发出的请求中的时间戳和IP信息，判断其是否为数据库中检测标志位为1的IP，若是，则将请求中的时间戳和IP信息发送到处理器中，处理器在数据库中查询该IP的历史访问信息，判断该IP是否为恶意用户，若是，则通过网关或防火墙动态调整请求IP的带宽，从而实现针对第三方匿名EDoS攻击的防御。本发明专利技术还提出了一种针对第三方匿名EDoS攻击的防御系统，应用上述的防御方法部署在需要防范EDoS攻击的云服务器上。

A defense method and system for anonymous EDOS attack of the third party

【技术实现步骤摘要】
一种针对第三方匿名EDoS攻击的防御方法及系统
本专利技术涉及网络安全
，更具体地，涉及一种针对第三方匿名EDoS攻击的防御方法及系统。
技术介绍
对云造成经济损失的EDoS(EconomicDenialofSustainability)攻击方式，与传统的DDoS(DistributedDenialofService，分布式拒绝服务)攻击的目标不同，EDoS的攻击目标不在于破坏受害者服务的可用性，而在于使受害者付出高昂的经济代价，而又因EDoS攻击的利用手段多样，防范难度较大。随着云计算的发展，EDoS的攻击方式也越来越多样化，现有一种滥用互联网巨头提供的免费公共第三方服务，对云用户发起放大攻击，从而实现匿名EDoS攻击的方法，该方法可以用非常低的成本轻松进行EDoS攻击，使受害者遭受严重的经济损失。目前的防御方法主要是通过设置黑白名单过滤、基于挑战、统计特征这三种方式实现，其中，采用设置黑白名单过滤的方法对于解决匿名EDoS攻击并不奏效，因为不能分辨请求是恶意的还是合法用户发起的；采用挑战的方法中，主要通过解决一个Challenge或Puzzle来分辨恶意用户和合法用户，该方法也不适用于利用第三方进行匿名EDoS攻击的场景，因为首先这种防御方法会严重干扰合法用户的使用降低其满意度，此外，该方法不允许通过第三方代理访问web资源。
技术实现思路
本专利技术为克服上述现有技术所述的采用黑白名单过滤、给予挑战的防御方法的局限性的缺陷，提供一种针对第三方匿名EDoS攻击的防御方法，以及一种针对第三方匿名EDoS攻击的防御系统。为解决上述技术问题，本专利技术的技术方案如下：一种针对第三方匿名EDoS攻击的防御方法，包括以下步骤：S1：流量监控器实时对其所在的云服务器流出的流量大小进行监控；S2：所述流量监控器根据其预设的报警阈值进行判断：若监控得到的当前流出流量大于或等于所述报警阈值时，则执行S3步骤；若监控得到的当前流出流量小于所述报警阈值时，则执行S1步骤；S3：云服务器中的响应器提取由第三方服务器发出的请求中的时间戳和IP信息；S4：所述响应器判断所述请求中的IP信息是否为数据库中检测标志位为1的IP：若是，则执行S5步骤；若否，则正常响应所述请求，并跳转执行S1步骤；S5：所述响应器将所述请求中的时间戳和IP信息发送到同一云服务器中的处理器中，所述处理器在数据库中查询该IP的历史访问信息，判断该IP是否为恶意用户：若是，则通过网关或防火墙动态调整请求IP的带宽；若否，则正常响应所述请求，并跳转执行S1步骤。本技术方案中，采用流量监控器实时监控云服务器流出流量的大小，当云服务器流出的流量值大于其预设的报警阈值时，通过响应器提取由第三方服务器发出的请求中的时间戳和IP信息，实现对通信流量大于报警阈值的IP进行检测，然后通过处理器根据该IP在数据库中的历史访问信息判断该IP是否可能为恶意用户，并根据判断结果通过网关或防火墙动态调整请求IP的带宽，从而实现对第三方匿名EDoS攻击的防御。优选地，所述S1步骤中，所述流量监控器对其所在的云服务器流出的流量大小进行监控的步骤包括：获取所述流量监控器所在的云服务器流出的流量大小、峰值流量大小，以及当前各IP占用的流量大小、流量大小排名情况。优选地，所述S2步骤中，所述流量监控器根据其预设的报警阈值进行判断的具体步骤：S21：所述流量监控器对当前流出流量与历史平均流量值进行判断：若当前流出流量大于或等于历史平均流量值时，则在数据库中对t秒时间内当前占用流量大小排名为前rate0的IP的标志位设置为1，跳转执行S3步骤，并更新所述数据库中的历史平均流量值；若当前流出流量小于历史平均流量值时，则更新所述数据库中的历史平均流量值，并执行S22步骤；其中，t为正整数，表示预设的时间段；rate0为百分比值，表示所述流量监控器预设的第一排名阈值；S22：所述流量监控器对当前流出流量峰值与历史平均峰值流量值进行判断：若监控得到的当前流出流量峰值大于或等于历史平均峰值流量值时，则在数据库中对t秒时间内当前占用流量大小排名为前rate1的IP的标志位设置为1，并更新所述数据库中的历史平均峰值流量值，跳转执行S3步骤；若当前流出流量峰值小于历史平均峰值流量值时，则更新所述数据库中的历史平均峰值流量值，跳转执行S1步骤；其中，rate1为百分比值，表示所述流量监控器预设的第二排名阈值。优选地，所述S2步骤中，更新所述数据库中的历史平均流量值和历史平均峰值流量值的计算公式如下：保存次数＝保存次数+1；其中，保存次数表示历史平均流量值中保存当前流出流量的次数，以及历史平均峰值流量值中保存当前流出流量峰值的次数。优选地，所述rate0取值为20％，所述rate1取值为50％；所述流量监控器中预设的时间段t的取值范围为5～40秒。优选地，所述S5步骤中，其具体步骤如下：S51：所述响应器将所述请求中的时间戳和IP信息发送到处理器中，所述处理器判断当前检测计数值DC是否大于其预设的每轮检测上限DR：若是，则将检测计数值DC和检测时请求平均时间间隔值DATI清零，然后执行S52步骤；若否，则更新数据库中检测计数值DC和检测时请求平均时间间隔值DATI，然后正常响应请求，并跳转执行S1步骤；S52：所述处理器将所述检测时请求平均时间间隔值DATI与历史请求平均时间间隔ATI进行比较并通过网关或防火墙动态调整请求IP的带宽。优选地，所述S52步骤中，其通过网关或防火墙动态调整请求IP的带宽的具体步骤包括：(1)当DATI≥L0*ATI时，则判定所述IP对应的请求为恶意请求，并在此后的100～200个t秒时间内拒绝所述IP的请求；其中，L0为百分比，表示判断比例，ATI表示历史请求的平均时间间隔；(2)当L1*ATI≤DATI<L0*ATI时，则判定所述IP对应的请求中可能包含恶意请求，并缩小所述IP的带宽为原来的(L1-1)大小；其中，L1为1/2L0；(3)当L2*ATI≤DATI<L1*ATI时，则对所述IP不作带宽调整处理；其中L2为1/2L1；(4)当DATI<L2*ATI时，则扩增所述IP的带宽为原来的(1/L2)大小。优选地，所述判断比例L0的取值范围为200％～400％，则判断比例L1的取值范围为100～200％，判断比例L2的取值范围为50～100％。本专利技术还提出了一种针对第三方匿名EDoS攻击的防御系统，应用于上述一种针对第三方匿名EDoS攻击的防御方法，包括流量监控器、响应器、处理器、数据库、和网关/防火墙，流量监控器、响应器、处理器、数据库、和网关/防火墙部署在云服务器上，流量监控器的输出端与数据库的输入端连接，响应器与处理器数据交互，处理器与和网关/防火墙数据交互，数据库分别与响应器和处理器数据交互；其中：数据库中存储有每个请求的IP信息；流量监控器用于实时对本文档来自技高网...

【技术保护点】
1.一种针对第三方匿名EDoS攻击的防御方法，其特征在于，包括以下步骤：/nS1：流量监控器实时对其所在的云服务器流出的流量大小进行监控；/nS2：所述流量监控器根据其预设的报警阈值进行判断：若监控得到的当前流出流量大于或等于所述报警阈值时，则执行S3步骤；若监控得到的当前流出流量小于所述报警阈值时，则执行S1步骤；/nS3：云服务器中的响应器提取由第三方服务器发出的请求中的时间戳和IP信息；/nS4：所述响应器判断所述请求中的IP信息是否为数据库中检测标志位为1的IP：若是，则执行S5步骤；若否，则正常响应所述请求，并跳转执行S1步骤；/nS5：所述响应器将所述请求中的时间戳和IP信息发送到同一云服务器中的处理器中，所述处理器在数据库中查询该IP的历史访问信息，判断该IP是否为恶意用户：若是，则通过网关或防火墙动态调整请求IP的带宽；若否，则正常响应所述请求，并跳转执行S1步骤。/n

【技术特征摘要】
1.一种针对第三方匿名EDoS攻击的防御方法，其特征在于，包括以下步骤：
S1：流量监控器实时对其所在的云服务器流出的流量大小进行监控；
S2：所述流量监控器根据其预设的报警阈值进行判断：若监控得到的当前流出流量大于或等于所述报警阈值时，则执行S3步骤；若监控得到的当前流出流量小于所述报警阈值时，则执行S1步骤；
S3：云服务器中的响应器提取由第三方服务器发出的请求中的时间戳和IP信息；
S4：所述响应器判断所述请求中的IP信息是否为数据库中检测标志位为1的IP：若是，则执行S5步骤；若否，则正常响应所述请求，并跳转执行S1步骤；
S5：所述响应器将所述请求中的时间戳和IP信息发送到同一云服务器中的处理器中，所述处理器在数据库中查询该IP的历史访问信息，判断该IP是否为恶意用户：若是，则通过网关或防火墙动态调整请求IP的带宽；若否，则正常响应所述请求，并跳转执行S1步骤。


2.根据权利要求1所述的针对第三方匿名EDoS攻击的防御方法，其特征在于：所述S1步骤中，所述流量监控器对其所在的云服务器流出的流量大小进行监控的步骤包括：获取所述流量监控器所在的云服务器流出的流量大小、峰值流量大小，以及当前各IP占用的流量大小、流量大小排名情况。


3.根据权利要求2所述的针对第三方匿名EDoS攻击的防御方法，其特征在于：所述S2步骤中，所述流量监控器根据其预设的报警阈值进行判断的具体步骤：
S21：所述流量监控器对当前流出流量与历史平均流量值进行判断：若当前流出流量大于或等于历史平均流量值时，则在数据库中对t秒时间内当前占用流量大小排名为前rate0的IP的标志位设置为1，跳转执行S3步骤，并更新所述数据库中的历史平均流量值；若当前流出流量小于历史平均流量值时，则更新所述数据库中的历史平均流量值，并执行S22步骤；其中，t为正整数，表示预设的时间段；rate0为百分比值，表示所述流量监控器预设的第一排名阈值；
S22：所述流量监控器对当前流出流量峰值与历史平均峰值流量值进行判断：若监控得到的当前流出流量峰值大于或等于历史平均峰值流量值时，则在数据库中对t秒时间内当前占用流量大小排名为前rate1的IP的标志位设置为1，并更新所述数据库中的历史平均峰值流量值，跳转执行S3步骤；若当前流出流量峰值小于历史平均峰值流量值时，则更新所述数据库中的历史平均峰值流量值，跳转执行S1步骤；其中，rate1为百分比值，表示所述流量监控器预设的第二排名阈值。


4.根据权利要求3所述的针对第三方匿名EDoS攻击的防御方法，其特征在于：所述S2步骤中，更新所述数据库中的历史平均流量值和历史平均峰值流量值的计算公式如下：






保存次数＝保存次数+1；
其中，保存次数表示历史平均流量值中保存当前流出流量的次数，以及历史平均峰值流量值中保存当前流出流量峰值的次数。


5.根据权利要求3所述的针对第三方匿名EDoS攻击的防御方法，其特征在于：所述rate0取值为20％，所...

【专利技术属性】
技术研发人员：金舒原，肖睿智，
申请(专利权)人：中山大学，
类型：发明
国别省市：广东;44