一种提供分布式拒绝攻击的防护方法技术

本发明专利技术公开了一种提供分布式拒绝攻击的防护方法，通过多重防护规则的设置，对访问IP进行量化评分，实现对异常IP的准确检测，对CC攻击的有效拦截。攻击的有效拦截。攻击的有效拦截。

【技术实现步骤摘要】
一种提供分布式拒绝攻击的防护方法


[0001]本专利技术涉及一种提供分布式拒绝攻击的防护方法，属于DDoS攻击安全领域。

技术介绍

[0002]DDoS攻击全称是分布式拒绝服务，该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。CC攻击全称Challenge Collapsar，属于DDoS攻击的一种升级版，原理是通过大量代理服务器或者僵尸网络模拟正常用户访问网页，造成服务器的资源耗尽。目前对于CC攻击检测的技术通常是通过流量统计的方式来实现，将访问流量超出阈值的情况认为是攻击行为并进行拦截，然而由于高流量和多用户访问是CC攻击和当前热门网站所具备的共有特征，因此仅凭借流量的统计特征并不能有效检测真正的攻击。因此，如何进行准确有效的CC攻击防护已经称为WEB应用必备的安全举措，尤其是针对热门网站。

技术实现思路

[0003]本专利技术提供了一种分布式拒绝攻击的防护方法，通过多重防护规则的设置，对访问IP进行量化评分，实现对异常IP的准确检测，对CC攻击的有效拦截。具体的方案如下：
[0004]步骤1：接收客户端发送的HTTP请求；
[0005]步骤2：解析HTTP请求的header信息；
[0006]步骤3：将解析的信息发送到安全组件进行验证，其中安全组件包含多重防护规则；所属安全组件首先校验所述请求是否在IP黑名单中，若在黑名单中则直接丢弃；若不在，则校验所述请求是否在IP白名单中，若在白名单中则直接将所述HTTP请求发送至目标服务器并响应；若不在，则进行进一步验证。
[0007]步骤4：将验证通过的HTTP请求发送至目标服务器，将验证未通过的HTTP请求进行拦截，并记录日志。
[0008]进一步地，建立所述多重防护规则的过程包括：记录每一个IP地址访问次数，系统定期基于IP地址访问次数情况计算对应IP地址的置信度，根据所述置信度建立对应的信任等级，根据不同的信任等级对IP地址进行校验；其中，影响置信度的因素包括：该IP地址发送请求频率、该IP地址访问目标服务器时目标服务器遭受攻击的可能性、该IP地址对应的最近一次验证问题是否验证通过、该IP地址访问目标服务器的频率、每秒下载流量。
[0009]进一步地，所述信任等级包括：可疑信任、长期信任、否定信任；将长期信任的IP地址加入IP白名单中，将否定信任的IP地址加入IP黑名单中；所述信任等级随着每一次置信度的计算而更新，其中，长期信任包含有效时间，当到达有效时间后重新开始置信度计算。
[0010]进一步地，对于信任等级为可疑信任等级IP地址对应的发送HTTP请求的用户发送验证问题，当验证通过后，将验证通过的HTTP请求发送至目标服务器，当验证未通过，则将
验证未通过的HTTP请求进行拦截，并记录日志。
[0011]进一步地，建立所述多重防护规则的过程还包括：计算当前访问目标服务器所有IP地址的平均置信度，当平均置信度小于阈值时，则认为目标服务器遭受到CC攻击。因此系统要实时采集目标服务器的负载情况，当检测到目标服务器的负载超出预设值时，触发步骤3中上述规则验证。
[0012]进一步地，该方法还包括步骤5：目标服务器接收请求，并响应请求。当步骤3检测到目标服务器遭受到CC攻击时，直接触发触黑洞效应，进入步骤5对客户端请求进行拦截，使得客户端在一段时间内无法发送HTTP请求到目标服务器。
[0013]进一步地，黑洞效应可以根据用户设定或者默认配置持续的拦截客户端请求。
[0014]进一步地，系统记录客户端触发黑洞效应的次数，在单位时间内随着次数累计，黑洞效应的时长也会逐渐增加。
[0015]有益效果：
[0016]本专利技术通过上述步骤，基于IP访问情况构建对IP地址的置信度评价，并且采用IP地址的单独置信度评价指标以及平均置信度评价指标两种防护规则对CC攻击进行检测，能够有效区分出例如对热门网站的正常高访问量和CC攻击，提高了对包含CC攻击在内的应用层DDoS攻击检测的准确性。
附图说明
[0017]图1为CC攻击检测防护全流程图；
[0018]图2
‑
3为防护规则校验流程图；
具体实施方式
[0019]为了使本专利技术的目的和技术方案表述更加清晰，下面结合附图对本专利技术实施方式作进一步地详细描述。
[0020]CC攻击是一个依赖HTTP协议，并通过构造特殊的HTTP请求导致服务器保持连接等待状态，直至服务器CPU、内存、连接数等资源被打满，从而造成拒绝服务的一种攻击方式，属于典型的应用层DDoS攻击。由于CC攻击是典型的应用层DDoS攻击，因此传统安全设备，如防火墙、运营商清洗等很难起到很好的防护作用。
[0021]实施例1：
[0022]本专利技术针对CC攻击的检测的防护，提出了一种基于IP置信度的多重检测和防护方案，如附图1，本专利技术涉及的针对CC攻击检测防护的方法包括如下步骤：
[0023]步骤1：接收客户端发送的HTTP请求；
[0024]步骤2：解析HTTP请求的header信息；
[0025]步骤3：将解析的信息发送到安全组件进行验证，其中安全组件包含多重防护规则；
[0026]步骤4：将验证通过的HTTP请求发送至目标服务器，将验证未通过的HTTP请求进行拦截，并记录日志。
[0027]进一步地，在接收到HTTP请求后，校验所述请求是否在IP黑名单中，若在黑名单中则直接丢弃，若不在，则校验所述请求是否在IP白名单中，若在白名单中，则直接将所述
HTTP请求发送至目标服务器并响应。
[0028]在实际的网络环境中，数据洪流的出现可能并非是由于恶意攻击导致的，可能是大量合法用户并发地发送访问请求至目标服务器而产生的“突增流”。这种由于合法用户的多并发访问引起的突增流也会使得目标服务器无法及时、有效地处理每一个用户的正常请求，此时客户端便会表现出丢包率增加，访问速度变慢，甚至无法访问等情况，这是网络中的一种无法避免的常见现象，但实际上并不是发生了CC攻击。
[0029]传统的异常检测技术往往并不能准确地区分突增流与CC攻击流，从而会产生误报，一旦产生误报触发防御系统的防护规则，就会自动断开正常用户的连接，从而影响用户的正常访问行为。这就会为合法用户的正常访问带来严重影响，因此需要将其与CC攻击进行区分对待。
[0030]通过对CC攻击流和突增流的研究和分析可知，突增流往往是由正常用户的访问请求汇聚而成的，大部分发出访问请求的用户都是老用户，新用户可能仅占一小部分，而CC攻击的发起者往往有过攻击先例或者是从未访问过该目标服务器的新用户。针对这一特点，本专利技术将建立针对IP地址的置信度，根据该置信度能帮助筛选出合法用户和非法用户。。...

【技术保护点】

【技术特征摘要】
1.一种提供分布式拒绝攻击的防护方法，其特征在于，所述防护方法包括如下步骤：步骤1：接收客户端发送的HTTP请求；步骤2：解析HTTP请求的header信息；步骤3：将解析的信息发送到安全组件进行验证，其中安全组件包含多重防护规则；所属安全组件首先校验所述请求是否在IP黑名单中，若在黑名单中则直接丢弃；若不在，则校验所述请求是否在IP白名单中，若在白名单中则直接将所述HTTP请求发送至目标服务器并响应；若不在，则进行进一步验证；步骤4：将验证通过的HTTP请求发送至目标服务器，将验证未通过的HTTP请求进行拦截，并记录日志。2.根据权利要求1所述的防护方法，其特征在于：建立所述多重防护规则的过程包括，记录每一个IP地址访问次数，系统定期基于IP地址访问次数情况计算对应IP地址的置信度，根据所述置信度建立对应的信任等级，根据不同的信任等级对IP地址进行校验；其中，影响置信度的因素包括：该IP地址发送请求频率、该IP地址访问目标服务器时目标服务器遭受攻击的可能性、该IP地址对应的最近一次验证问题是否验证通过、该IP地址访问目标服务器的频率、每秒下载流量。3.根据权利要求2所述的防护方法，其特征在于：所述信任等级包括：可疑信任、长期信任、否定信任；将长期信任的IP地址加入IP白名单中，将否定信任的IP地址加入IP黑名单中...

【专利技术属性】
技术研发人员：范炜炜，林友钦，江琳，柳明兴，
申请(专利权)人：厦门靠谱云股份有限公司，
类型：发明
国别省市：