一種云計(jì)算環(huán)境下http dos攻擊的檢測(cè)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法及系統(tǒng)�����。獲取對(duì)目標(biāo)Web頁(yè)面發(fā)起HTTP請(qǐng)求的源端信息����,包括請(qǐng)求次數(shù)和速率;判斷該源端對(duì)該目標(biāo)Web頁(yè)面發(fā)起的HTTP請(qǐng)求次數(shù)和速率是否大于各自的閾值����,如果是����,認(rèn)為該源端對(duì)該目標(biāo)Web頁(yè)面發(fā)起DOS攻擊�。本發(fā)明能夠準(zhǔn)確的檢測(cè)攻擊,并且���,可以對(duì)多個(gè)目標(biāo)系統(tǒng)進(jìn)行統(tǒng)一檢測(cè)和防護(hù)����。
【專利說(shuō)明】-種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于云計(jì)算網(wǎng)絡(luò)和信息安全領(lǐng)域�����,尤其涉及一種云計(jì)算環(huán)境下HTTP DOS (Denial of Service,拒絕服務(wù))攻擊的檢測(cè)方法及系統(tǒng)��。
【背景技術(shù)】
[0002] 應(yīng)用層HTTP DOS攻擊是近年來(lái)興起的一種DOS攻擊的新技術(shù)��,與SYN Flooding等 傳統(tǒng)的網(wǎng)絡(luò)型DOS攻擊不同���,HTTP DOS攻擊的目的是為了耗盡目標(biāo)主機(jī)的資源,例如�,CPU、 存儲(chǔ)器���、Socket等����。攻擊者用少量的HTTP請(qǐng)求促使服務(wù)器返回大文件,例如�,圖像、視頻文 件等����,或促使服務(wù)器運(yùn)行一些復(fù)雜的腳本程序,例如�����,復(fù)雜的數(shù)據(jù)處理�、密碼計(jì)算與驗(yàn)證等。 這種方式不需要很高的攻擊速率就可以迅速耗盡主機(jī)的資源����,而且更具有隱蔽性。
[0003] 而EDOS (Economical Denial of Service,造成經(jīng)濟(jì)損失的拒絕服務(wù))攻擊是云 計(jì)算中特有的攻擊形式����,利用云計(jì)算服務(wù)按使用量計(jì)費(fèi)的特點(diǎn),使用DOS攻擊手段�,導(dǎo)致被 攻擊系統(tǒng)的帶寬����、CPU����、存儲(chǔ)等資源使用量大量增加,從而導(dǎo)致高額賬單�����。HTTP EDOS攻擊將 是今后云計(jì)算環(huán)境面臨的嚴(yán)峻安全挑戰(zhàn)�����,云安全聯(lián)盟(CSA)也將DD0S/ED0S攻擊列為云計(jì) 算的七大安全威脅之一�。
[0004] 目前對(duì)于HTTP DOS攻擊的檢測(cè)防御方法主要有兩種:一種是基于代理設(shè)備的解 決方案;一種是Web服務(wù)器的安全配置技術(shù)����。
[0005] 圖1所示為基于代理設(shè)備的檢測(cè)防御的示意圖。
[0006] 以目前安全設(shè)備廠商推行的Web防火墻產(chǎn)品為代表��,通過(guò)在Web服務(wù)器前面部署 一臺(tái)堡壘主機(jī)��,對(duì)所有的數(shù)據(jù)流量進(jìn)行代理��,如果流量合法則發(fā)送給Web服務(wù)器����,如果流量 異常就進(jìn)行阻斷。該方案基于會(huì)話的雙向代理����,中斷了用戶與服務(wù)器的直接連接,適用于各 種加密協(xié)議�����,防止了入侵者的直接進(jìn)入����,對(duì)DDOS (Distributed Denial of Service,分布 式拒絕服務(wù))攻擊可以抑制,對(duì)非預(yù)料的"特別"行為也有所抑制����。該方案的主要問(wèn)題是需 要在Web服務(wù)器的前面部署代理設(shè)備,串行接入����,不僅在硬件性能上要求高,而且不能影響 Web服務(wù)�����,所以HA功能(高可用性XBypass (旁路)功能都是必須的,而且還要與負(fù)載均衡���、 Web Cache等Web服務(wù)器前的常見(jiàn)的產(chǎn)品協(xié)調(diào)部署���。因此該方案成本高、配置復(fù)雜��,如果保 護(hù)目標(biāo)過(guò)多會(huì)影響性能�,不適用于云計(jì)算環(huán)境中大量虛擬服務(wù)器的攻擊檢測(cè)和防御。
[0007] Web服務(wù)器的安全配置技術(shù)是目前較為常用的針對(duì)HTTP DOS攻擊的防御技術(shù)���,可 以包括兩個(gè)層面的安全配置:
[0008] -個(gè)層面是在Web服務(wù)的人機(jī)交互層面���,對(duì)于消耗服務(wù)器資源較多的頁(yè)面引入驗(yàn) 證碼等相關(guān)的Puzzle (驗(yàn)證機(jī)制),讓客戶端解析一段javascript或flash,并給出正確的 運(yùn)行結(jié)果��。由于大部分的攻擊自動(dòng)化腳本都是直接構(gòu)造 HTTP包完成的�,并非在一個(gè)瀏覽器 環(huán)境中發(fā)起的請(qǐng)求,因此無(wú)法正確識(shí)別驗(yàn)證碼��,所以此方法對(duì)于DOS攻擊有所抑制。
[0009] 另外一個(gè)層面是在Web server層面做安全配置��,如Apache的配置文件中�����,有一些 參數(shù)可以緩解DOS攻擊�����,如Timeout����、KeepAliveTimeout��、MaxClient等��。WEB服務(wù)器安全 配置技術(shù)的主要問(wèn)題是只能做到攻擊防御而無(wú)法精確的檢測(cè)和定位攻擊��,并且需要在每個(gè) Web系統(tǒng)中單獨(dú)配置和代碼整改��,只能防御單個(gè)系統(tǒng)���,無(wú)法做到多個(gè)系統(tǒng)統(tǒng)一防護(hù)���;此外在 人機(jī)交互層面加入驗(yàn)證碼會(huì)降低Web服務(wù)的用戶體驗(yàn)度�,在Web server中更改配置參數(shù)可 能會(huì)影響正常業(yè)務(wù)應(yīng)用��。因此該技術(shù)也不適用于云計(jì)算環(huán)境中對(duì)大量目標(biāo)的統(tǒng)一攻擊檢測(cè) 和防御����。
【發(fā)明內(nèi)容】
[0010] 鑒于以上,本發(fā)明提出一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法及系統(tǒng)����。
[0011] 根據(jù)本發(fā)明的一方面,提出一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法���,包括: 獲取對(duì)目標(biāo)Web頁(yè)面發(fā)起HTTP請(qǐng)求的源端信息�����,包括請(qǐng)求次數(shù)和速率�����;判斷該源端對(duì)該目 標(biāo)Web頁(yè)面發(fā)起的HTTP請(qǐng)求次數(shù)和速率是否大于各自的閾值���,如果是�����,認(rèn)為該源端對(duì)該目 標(biāo)Web頁(yè)面發(fā)起DOS攻擊����。
[0012] 在本發(fā)明的一個(gè)實(shí)施例中�,獲取對(duì)目標(biāo)Web頁(yè)面發(fā)起HTTP請(qǐng)求的源端信息的操 作�����,包括以下步驟:提取HTTP請(qǐng)求包中的源IP地址���、用戶cookie值和目標(biāo)URL��,其中�,目標(biāo) URL即為目標(biāo)Web頁(yè)面的地址���;根據(jù)源IP地址和用戶cookie值計(jì)算得到源事件ID��,根據(jù)目 標(biāo)URL計(jì)算得到目標(biāo)事件ID ;將目標(biāo)事件ID與目標(biāo)事件篩選表中的所有條目的ID進(jìn)行匹 配�����,目標(biāo)事件篩選表中包括目標(biāo)事件ID����、第一源信息、第一計(jì)數(shù)器�����、第一速率和第一表指針�����, 其中���,第一表指針指向源事件篩選表�,源事件篩選表包括源事件ID值�����、第二源信息����、第二計(jì) 數(shù)器、第二速率和第二表指針�;如果匹配成功�����,即����,目標(biāo)事件篩選表中包括計(jì)算得到的目標(biāo) 事件ID�,則轉(zhuǎn)向第一表指針?biāo)赶虻脑词录Y選表,將源事件ID與源事件篩選表中的所有 條目的ID進(jìn)行匹配���,根據(jù)匹配結(jié)果更新第二計(jì)數(shù)器的計(jì)數(shù)值,即請(qǐng)求次數(shù)���,并計(jì)算第二速 率�,即源端信息中的速率����。
[0013] 在本發(fā)明的一個(gè)實(shí)施例中,如果匹配不成功�,即,目標(biāo)事件篩選表中未包括計(jì)算得 到的目標(biāo)事件ID�����,則在目標(biāo)事件篩選表中創(chuàng)建新的條目,條目ID為當(dāng)前HTTP請(qǐng)求包的目標(biāo) 事件ID值����,第一源信息為訪問(wèn)的目標(biāo)URL,第一計(jì)數(shù)器置為1����,第一表指針指向新創(chuàng)建的源 事件篩選表;創(chuàng)建對(duì)應(yīng)的源事件篩選表���,條目ID為當(dāng)前HTTP請(qǐng)求包的源事件ID���,第二源信 息為當(dāng)前HTTP請(qǐng)求包的源IP和cookie,第二計(jì)數(shù)器置為1���,第二表指針為正向查詢����。
[0014] 在本發(fā)明的一個(gè)實(shí)施例中��,源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹 配的操作���,包括以下步驟:源事件ID與源事件篩選表中的當(dāng)前條目ID匹配�,將當(dāng)前條目的 計(jì)數(shù)器加一,計(jì)算源事件篩選表中所有條目的速率���,更新源事件篩選表所有條目的速率字 段���。
[0015] 在本發(fā)明的一個(gè)實(shí)施例中,源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹 配的操作�����,包括以下步驟:源事件ID與源事件篩選表中的當(dāng)前條目ID不匹配�����,判斷當(dāng)前條 目是否為空�����;如果當(dāng)前條目為空�����,則將當(dāng)前HTTP請(qǐng)求包的源事件ID插入當(dāng)前條目����,計(jì)數(shù)器 置為1,表指針置為反向查詢����,計(jì)算源事件篩選表中所有條目的速率,更新源事件篩選表所 有條目的速率字段����,更新目標(biāo)事件篩選表的計(jì)數(shù)器和速率字段;如果當(dāng)前條目非空��,當(dāng)前條 目計(jì)數(shù)器減一����,判斷當(dāng)前條目計(jì)數(shù)器是否為〇 ;如果當(dāng)前條目計(jì)數(shù)器為〇,用新的請(qǐng)求包數(shù) 據(jù)替換當(dāng)前條目,事件ID替換為當(dāng)前請(qǐng)求包的事件ID��,源信息替換為當(dāng)前請(qǐng)求包的源信 息���,計(jì)數(shù)器設(shè)為1�,表指針為正向查詢��,計(jì)算源事件篩選表中所有條目的速率����,更新源事件篩 選表所有條目的速率字段�����,更新目標(biāo)事件篩選表的計(jì)數(shù)器和速率字段����;如果當(dāng)前條目計(jì)數(shù) 器不為O��,表指針選取下一條目����,初始表指針設(shè)為正向查詢。
[0016] 在本發(fā)明的一個(gè)實(shí)施例中��,當(dāng)檢測(cè)到DOS攻擊時(shí)�����,提交攻擊源IP地址和用戶 cookie值�;調(diào)用安全設(shè)備對(duì)攻擊源IP地址進(jìn)行阻斷���。
[0017] 根據(jù)本發(fā)明的另一方面����,還提出一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)系統(tǒng),其 中:獲取單元�,配置于獲取對(duì)目標(biāo)Web頁(yè)面發(fā)起HTTP請(qǐng)求的源端信息,包括請(qǐng)求次數(shù)和速 率��;判斷單元��,配置于判斷該源端對(duì)該目標(biāo)Web頁(yè)面發(fā)起的HTTP請(qǐng)求次數(shù)和速率是否大于 各自的閾值����,如果是,認(rèn)為該源端對(duì)該目標(biāo)Web頁(yè)面發(fā)起DOS攻擊����。
[0018] 在本發(fā)明的一個(gè)實(shí)施例中,獲取單元提取HTTP請(qǐng)求包中的源IP地址��、用戶cookie 值和目標(biāo)URL�����,其中�,目標(biāo)URL即為目標(biāo)Web頁(yè)面的地址;根據(jù)源IP地址和用戶cookie值計(jì) 算得到源事件ID���,根據(jù)目標(biāo)URL計(jì)算得到目標(biāo)事件ID ;將目標(biāo)事件ID與目標(biāo)事件篩選表中 的所有條目的ID進(jìn)行匹配�����,目標(biāo)事件篩選表中包括目標(biāo)事件ID��、第一源信息�����、第一計(jì)數(shù)器����、 第一速率和第一表指針,其中���,第一表指針指向源事件篩選表���,源事件篩選表包括源事件ID 值、第二源信息�����、第二計(jì)數(shù)器����、第二速率和第二表指針;如果匹配成功�,即,目標(biāo)事件篩選表 中包括計(jì)算得到的目標(biāo)事件ID�,則轉(zhuǎn)向第一表指針?biāo)赶虻脑词录Y選表,將源事件ID與 源事件篩選表中的所有條目的ID進(jìn)行匹配�����,根據(jù)匹配結(jié)果更新第二計(jì)數(shù)器的計(jì)數(shù)值��,即請(qǐng) 求次數(shù)����,并計(jì)算第二速率,即源端信息中的速率����。
[0019] 在本發(fā)明的一個(gè)實(shí)施例中,如果匹配不成功���,即���,目標(biāo)事件篩選表中未包括計(jì)算得 到的目標(biāo)事件ID�,則在目標(biāo)事件篩選表中創(chuàng)建新的條目�����,條目ID為當(dāng)前HTTP請(qǐng)求包的目標(biāo) 事件ID值����,第一源信息為訪問(wèn)的目標(biāo)URL,第一計(jì)數(shù)器置為1���,第一表指針指向新創(chuàng)建的源 事件篩選表�����;創(chuàng)建對(duì)應(yīng)的源事件篩選表�����,條目ID為當(dāng)前HTTP請(qǐng)求包的源事件ID��,第二源信 息為當(dāng)前HTTP請(qǐng)求包的源IP和cookie��,第二計(jì)數(shù)器置為1���,第二表指針為正向查詢�。
[0020] 在本發(fā)明的一個(gè)實(shí)施例中����,源事件ID與源事件篩選表中的當(dāng)前條目ID匹配�,將當(dāng) 前條目的計(jì)數(shù)器加一,計(jì)算源事件篩選表中所有條目的速率���,更新源事件篩選表所有條目 的速率字段����。
[0021] 在本發(fā)明的一個(gè)實(shí)施例中��,源事件ID與源事件篩選表中的當(dāng)前條目ID不匹配����,判 斷當(dāng)前條目是否為空;如果當(dāng)前條目為空����,則將當(dāng)前HTTP請(qǐng)求包的源事件ID插入當(dāng)前條 目,計(jì)數(shù)器置為1�,表指針置為反向查詢,計(jì)算源事件篩選表中所有條目的速率��,更新源事件 篩選表所有條目的速率字段,更新目標(biāo)事件篩選表的計(jì)數(shù)器和速率字段���;如果當(dāng)前條目非 空�����,當(dāng)前條目計(jì)數(shù)器減一�,判斷當(dāng)前條目計(jì)數(shù)器是否為〇;如果當(dāng)前條目計(jì)數(shù)器為〇,用新的 請(qǐng)求包數(shù)據(jù)替換當(dāng)前條目��,事件ID替換為當(dāng)前請(qǐng)求包的事件ID��,源信息替換為當(dāng)前請(qǐng)求包 的源信息�,計(jì)數(shù)器設(shè)為1,表指針為正向查詢���,計(jì)算源事件篩選表中所有條目的速率��,更新源 事件篩選表所有條目的速率字段��,更新目標(biāo)事件篩選表的計(jì)數(shù)器和速率字段��;如果當(dāng)前條 目計(jì)數(shù)器不為〇��,表指針選取下一條目�����,初始表指針設(shè)為正向查詢�。
[0022] 在本發(fā)明的一個(gè)實(shí)施例中,判斷單元在檢測(cè)到DOS攻擊時(shí)��,將攻擊源IP地址和用 戶cookie值提交給阻斷單元��,阻斷單元調(diào)用安全設(shè)備對(duì)攻擊源IP地址進(jìn)行阻斷�����。
[0023] 本發(fā)明能夠準(zhǔn)確的檢測(cè)攻擊���,并且,攻擊檢測(cè)實(shí)體可以對(duì)多個(gè)目標(biāo)系統(tǒng)進(jìn)行統(tǒng)一 檢測(cè)和防護(hù)����,不需要用戶進(jìn)行配置和變更,簡(jiǎn)化了部署和操作�。不代理數(shù)據(jù)流量處理,性 能優(yōu)越�����、成本低,適用于云計(jì)算環(huán)境中大規(guī)模虛擬服務(wù)器的部署和實(shí)施�,以及適用于應(yīng)用層 DOS攻擊的檢測(cè)和防御。
【專利附圖】
【附圖說(shuō)明】
[0024] 此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解��,構(gòu)成本發(fā)明的一部分��,本發(fā) 明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明�����,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定���。在附圖中:
[0025] 圖1所示為基于代理設(shè)備的檢測(cè)防御的示意圖����。
[0026] 圖2所示為本發(fā)明一實(shí)施例中的一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)系統(tǒng)的 架構(gòu)示意圖�。
[0027] 圖3所示為本發(fā)明一實(shí)施例中的一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法的 流程圖。
[0028] 圖4所示為本發(fā)明一實(shí)施例中的一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法的 流程圖��。
[0029] 圖5所示為本發(fā)明一實(shí)施例中的一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法的 流程圖�����。
[0030] 圖6所示為本發(fā)明一實(shí)施例中的一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法的 流程圖。
【具體實(shí)施方式】
[0031] 現(xiàn)在將參照附圖來(lái)詳細(xì)描述本發(fā)明的各種示例性實(shí)施例�����。應(yīng)注意到:除非另外具 體說(shuō)明��,否則在這些實(shí)施例中闡述的部件和步驟的相對(duì)布置和數(shù)值不限制本發(fā)明的范圍�。
[0032] 同時(shí),應(yīng)當(dāng)明白���,為了便于描述���,附圖中所示出的各個(gè)部分的尺寸并不是按照實(shí)際 的比例關(guān)系繪制的�。
[0033] 以下對(duì)至少一個(gè)示例性實(shí)施例的描述實(shí)際上僅僅是說(shuō)明性的,決不作為對(duì)本發(fā)明 及其應(yīng)用或使用的任何限制��。
[0034] 對(duì)于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)�、方法和設(shè)備可能不作詳細(xì)討論,但在適 當(dāng)情況下���,所述技術(shù)�、方法和設(shè)備應(yīng)當(dāng)被視為授權(quán)說(shuō)明書的一部分�����。
[0035] 在這里示出和討論的所有示例中,任何具體值應(yīng)被解釋為僅僅是示例性的�,而不 是作為限制。因此�,示例性實(shí)施例的其它示例可以具有不同的值。
[0036] 應(yīng)注意到:相似的標(biāo)號(hào)和字母在下面的附圖中表示類似項(xiàng)�����,因此��,一旦某一項(xiàng)在一 個(gè)附圖中被定義�����,則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步討論�����。
[0037] 本發(fā)明提出一種適用于云計(jì)算環(huán)境下對(duì)大量目標(biāo)系統(tǒng)的HTTP DOS攻擊的檢測(cè)方 法及系統(tǒng)�����,不影響正常業(yè)務(wù)性能��。DOS攻擊會(huì)導(dǎo)致被攻擊用戶資源使用的持續(xù)上升,本發(fā)明 能有效的檢測(cè)到DOS攻擊����,從而減少DOS攻擊對(duì)于用戶帶來(lái)的業(yè)務(wù)中斷風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。本 發(fā)明適用于DDOS和EDOS攻擊的檢測(cè)��。
[0038] 圖2所示為本發(fā)明一實(shí)施例中的一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)系統(tǒng)的 架構(gòu)示意圖�����。該系統(tǒng)包括HTTP DOS攻擊檢測(cè)實(shí)體(Attack Detection Entity, ADE)���。該 ADE可以單獨(dú)部署����,也可以直接部署在云管理平臺(tái)上��。其中�,ADE包括獲取單元和判斷單元��。
[0039] 獲取單元�����,配置于獲取對(duì)目標(biāo)Web頁(yè)面發(fā)起HTTP請(qǐng)求的源端信息,包括請(qǐng)求次數(shù) 和速率�。
[0040] 判斷單元,配置于判斷該源端對(duì)該目標(biāo)Web頁(yè)面發(fā)起的HTTP請(qǐng)求次數(shù)和速率是否 大于各自的閾值���,如果是�����,認(rèn)為該源端對(duì)該目標(biāo)Web頁(yè)面發(fā)起DOS攻擊�。
[0041] 在本發(fā)明的一個(gè)實(shí)施例中����,判斷單元檢測(cè)到請(qǐng)求次數(shù)和速率小于等于各自的閾 值,則認(rèn)為未發(fā)起DOS攻擊��?����;蛘?���,在發(fā)起DOS攻擊的情況下,判斷單元檢測(cè)到請(qǐng)求次數(shù)和 速率小于等于各自的閾值�,則攻擊警報(bào)解除���。
[0042] 目前針對(duì)HTTP協(xié)議進(jìn)行DOS攻擊的主要方式是HTTP Flooding,在短時(shí)間內(nèi)向消 耗大量系統(tǒng)資源的頁(yè)面(如數(shù)據(jù)庫(kù)交互頁(yè)面)發(fā)送大量請(qǐng)求�,導(dǎo)致整個(gè)Web系統(tǒng)無(wú)法響應(yīng)。 因此通過(guò)檢測(cè)請(qǐng)求的數(shù)量(即計(jì)數(shù)器的次數(shù))和發(fā)送的速率可以發(fā)現(xiàn)攻擊的異常狀態(tài)���,即��, 速率和計(jì)數(shù)器能夠準(zhǔn)確的匹配攻擊�。因此����,本發(fā)明能夠有效的進(jìn)行攻擊檢測(cè),尤其是在云計(jì) 算環(huán)境中對(duì)大量目標(biāo)的統(tǒng)一攻擊檢測(cè)和防御����。
[0043] 為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白����,以下結(jié)合具體實(shí)施例����,并參照 附圖����,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明����。
[0044] 獲取單元提取HTTP請(qǐng)求包中的源IP地址、用戶cookie值和目標(biāo)URL�����,其中��,目標(biāo) URL即為目標(biāo)Web頁(yè)面的地址�。由于一個(gè)Web系統(tǒng)可能有幾百萬(wàn)的頁(yè)面,IP地址都是相同 的����,而攻擊往往是針對(duì)特定頁(yè)面執(zhí)行的,因此采用URL進(jìn)行定位���,以定位受到攻擊的頁(yè)面�。
[0045] 根據(jù)源IP地址和用戶cookie值計(jì)算得到源事件ID�����,根據(jù)目標(biāo)URL計(jì)算得到目標(biāo) 事件ID。在本發(fā)明的一個(gè)實(shí)施例中�,通過(guò)Hash算法計(jì)算ID,S卩��,源IP地址和用戶cookie 值兩個(gè)字段組合通過(guò)Hash函數(shù)計(jì)算散列值����,得到源事件ID ;目標(biāo)URL字段通過(guò)Hash函數(shù) 計(jì)算散列值,得到目標(biāo)事件ID�����。
[0046] 將目標(biāo)事件ID與目標(biāo)事件篩選表中的所有條目的ID進(jìn)行匹配���,目標(biāo)事件篩選表 中包括目標(biāo)事件ID���、源信息,即目標(biāo)URL����、計(jì)數(shù)器、速率和表指針���,其中���,表指針指向源事件 篩選表,源事件篩選表包括源事件ID�、源信息,即源IP地址和用戶Cookie值����、計(jì)數(shù)器、速率 和表指針��。如果匹配成功�����,即�,目標(biāo)事件篩選表中包括計(jì)算得到的目標(biāo)事件ID,則轉(zhuǎn)向表指 針?biāo)赶虻脑词录Y選表�,將源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹配,根據(jù) 匹配結(jié)果更新計(jì)數(shù)器的計(jì)數(shù)值����,即請(qǐng)求次數(shù),并計(jì)算速率�����。其中,源事件ID與源事件篩選表 中的當(dāng)前條目ID匹配�,將當(dāng)前條目的計(jì)數(shù)器加一,計(jì)算源事件篩選表中所有條目的速率���, 更新源事件篩選表所有條目的速率字段�。當(dāng)不匹配時(shí)執(zhí)行的操作�����,將在下面進(jìn)行詳細(xì)說(shuō)明�。
[0047] 如果匹配不成功,即����,目標(biāo)事件篩選表中未包括計(jì)算得到的目標(biāo)事件ID,則在目標(biāo) 事件篩選表中創(chuàng)建新的條目���,條目ID為當(dāng)前HTTP請(qǐng)求包的目標(biāo)事件ID���,源信息為訪問(wèn)的 目標(biāo)URL,計(jì)數(shù)器置為1�����,表指針指向新創(chuàng)建的源事件篩選表。創(chuàng)建對(duì)應(yīng)的源事件篩選表���,條 目ID為當(dāng)前HTTP請(qǐng)求包的源事件ID����,源信息為當(dāng)前HTTP請(qǐng)求包的源IP和cookie��,計(jì)數(shù) 器置為1�����,表指針為正向查詢����。
[0048] 上面提到的目標(biāo)事件篩選表和源事件篩選表���,總體表結(jié)構(gòu)為鏈表的形式��,目標(biāo)事 件篩選表中的每個(gè)條目都有一個(gè)表指針指向?qū)?yīng)的源事件篩選表����。
[0049] 對(duì)于事件篩選表中的每個(gè)條目由六元組組成,如下表所示�����,分別為序號(hào)��、事件ID�����、 源信息�、計(jì)數(shù)器、速率和表指針���。對(duì)于目標(biāo)事件和源事件篩選表中的條目含義有所不同����。
[0050]
【權(quán)利要求】
1. 一種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法���,其特征在于: 獲取對(duì)目標(biāo)Web頁(yè)面發(fā)起HTTP請(qǐng)求的源端信息����,包括請(qǐng)求次數(shù)和速率��; 判斷該源端對(duì)該目標(biāo)Web頁(yè)面發(fā)起的HTTP請(qǐng)求次數(shù)和速率是否大于各自的閾值,如果 是��,認(rèn)為該源端對(duì)該目標(biāo)Web頁(yè)面發(fā)起拒絕服務(wù)(DOS)攻擊���。
2. 如權(quán)利要求1所述云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法�,其特征在于: 獲取對(duì)目標(biāo)Web頁(yè)面發(fā)起HTTP請(qǐng)求的源端信息的操作�,包括以下步驟: 提取HTTP請(qǐng)求包中的源IP地址、用戶cookie值和目標(biāo)URL����,其中�����,目標(biāo)URL即為目標(biāo) Web頁(yè)面的地址�����; 根據(jù)源IP地址和用戶cookie值計(jì)算得到源事件ID��,根據(jù)目標(biāo)URL計(jì)算得到目標(biāo)事件 ID ��; 將目標(biāo)事件ID與目標(biāo)事件篩選表中的所有條目的ID進(jìn)行匹配�����,目標(biāo)事件篩選表中包 括目標(biāo)事件ID、第一源信息�、第一計(jì)數(shù)器、第一速率和第一表指針��,其中���,第一表指針指向源 事件篩選表���,源事件篩選表包括源事件ID值、第二源信息��、第二計(jì)數(shù)器��、第二速率和第二表 指針���; 如果匹配成功�,即�����,目標(biāo)事件篩選表中包括計(jì)算得到的目標(biāo)事件ID���,則轉(zhuǎn)向第一表指針 所指向的源事件篩選表���,將源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹配��,根據(jù)匹 配結(jié)果更新第二計(jì)數(shù)器的計(jì)數(shù)值����,即請(qǐng)求次數(shù)����,并計(jì)算第二速率,即源端信息中的速率�。
3. 如權(quán)利要求2所述云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法,其特征在于: 如果匹配不成功�����,即����,目標(biāo)事件篩選表中未包括計(jì)算得到的目標(biāo)事件ID�����,則在目標(biāo)事件 篩選表中創(chuàng)建新的條目,條目ID為當(dāng)前HTTP請(qǐng)求包的目標(biāo)事件ID值���,第一源信息為訪問(wèn) 的目標(biāo)URL�����,第一計(jì)數(shù)器置為1���,第一表指針指向新創(chuàng)建的源事件篩選表; 創(chuàng)建對(duì)應(yīng)的源事件篩選表���,條目ID為當(dāng)前HTTP請(qǐng)求包的源事件ID��,第二源信息為當(dāng)前 HTTP請(qǐng)求包的源IP和cookie�����,第二計(jì)數(shù)器置為1����,第二表指針為正向查詢����。
4. 如權(quán)利要求2或3所述云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法��,其特征在于:源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹配的操作��,包括以下步驟: 源事件ID與源事件篩選表中的當(dāng)前條目ID匹配����,將當(dāng)前條目的計(jì)數(shù)器加一��,計(jì)算源事 件篩選表中所有條目的速率��,更新源事件篩選表所有條目的速率字段��。
5. 如權(quán)利要求2或3所述云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法���,其特征在于:源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹配的操作�,包括以下步驟: 源事件ID與源事件篩選表中的當(dāng)前條目ID不匹配���,判斷當(dāng)前條目是否為空; 如果當(dāng)前條目為空���,則將當(dāng)前HTTP請(qǐng)求包的源事件ID插入當(dāng)前條目�����,計(jì)數(shù)器置為1���,表 指針置為反向查詢��,計(jì)算源事件篩選表中所有條目的速率����,更新源事件篩選表所有條目的 速率字段�,更新目標(biāo)事件篩選表的計(jì)數(shù)器和速率字段; 如果當(dāng)前條目非空���,當(dāng)前條目計(jì)數(shù)器減一���,判斷當(dāng)前條目計(jì)數(shù)器是否為0 ;如果當(dāng)前條 目計(jì)數(shù)器為〇,用新的請(qǐng)求包數(shù)據(jù)替換當(dāng)前條目,事件ID替換為當(dāng)前請(qǐng)求包的事件ID�,源信 息替換為當(dāng)前請(qǐng)求包的源信息,計(jì)數(shù)器設(shè)為1���,表指針為正向查詢����,計(jì)算源事件篩選表中所 有條目的速率����,更新源事件篩選表所有條目的速率字段�����,更新目標(biāo)事件篩選表的計(jì)數(shù)器和 速率字段����;如果當(dāng)前條目計(jì)數(shù)器不為〇,表指針選取下一條目�����,初始表指針設(shè)為正向查詢��。
6. 如權(quán)利要求1或2或3所述云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方法�����,其特征在于: 當(dāng)檢測(cè)到DOS攻擊時(shí)�,提交攻擊源IP地址和用戶cookie值; 調(diào)用安全設(shè)備對(duì)攻擊源IP地址進(jìn)行阻斷�。
7. -種云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)系統(tǒng),其特征在于: 獲取單元�����,配置于獲取對(duì)目標(biāo)Web頁(yè)面發(fā)起HTTP請(qǐng)求的源端信息����,包括請(qǐng)求次數(shù)和速 率; 判斷單元�����,配置于判斷該源端對(duì)該目標(biāo)Web頁(yè)面發(fā)起的HTTP請(qǐng)求次數(shù)和速率是否大于 各自的閾值���,如果是����,認(rèn)為該源端對(duì)該目標(biāo)Web頁(yè)面發(fā)起DOS攻擊�����。
8. 如權(quán)利要求7所述云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)系統(tǒng)�����,其特征在于: 獲取單元提取HTTP請(qǐng)求包中的源IP地址��、用戶cookie值和目標(biāo)URL,其中�,目標(biāo)URL 即為目標(biāo)Web頁(yè)面的地址; 根據(jù)源IP地址和用戶cookie值計(jì)算得到源事件ID�����,根據(jù)目標(biāo)URL計(jì)算得到目標(biāo)事件 ID �; 將目標(biāo)事件ID與目標(biāo)事件篩選表中的所有條目的ID進(jìn)行匹配,目標(biāo)事件篩選表中包 括目標(biāo)事件ID�����、第一源信息����、第一計(jì)數(shù)器、第一速率和第一表指針�,其中,第一表指針指向源 事件篩選表����,源事件篩選表包括源事件ID值、第二源信息�、第二計(jì)數(shù)器、第二速率和第二表 指針�����; 如果匹配成功,即�����,目標(biāo)事件篩選表中包括計(jì)算得到的目標(biāo)事件ID�����,則轉(zhuǎn)向第一表指針 所指向的源事件篩選表�����,將源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹配���,根據(jù)匹 配結(jié)果更新第二計(jì)數(shù)器的計(jì)數(shù)值,即請(qǐng)求次數(shù)��,并計(jì)算第二速率��,即源端信息中的速率�����。
9. 如權(quán)利要求8所述云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)系統(tǒng),其特征在于: 如果匹配不成功���,即���,目標(biāo)事件篩選表中未包括計(jì)算得到的目標(biāo)事件ID,則在目標(biāo)事件 篩選表中創(chuàng)建新的條目��,條目ID為當(dāng)前HTTP請(qǐng)求包的目標(biāo)事件ID值����,第一源信息為訪問(wèn) 的目標(biāo)URL,第一計(jì)數(shù)器置為1����,第一表指針指向新創(chuàng)建的源事件篩選表; 創(chuàng)建對(duì)應(yīng)的源事件篩選表�,條目ID為當(dāng)前HTTP請(qǐng)求包的源事件ID,第二源信息為當(dāng)前 HTTP請(qǐng)求包的源IP和cookie���,第二計(jì)數(shù)器置為1��,第二表指針為正向查詢����。
10. 如權(quán)利要求8或9所述云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)系統(tǒng),其特征在于: 源事件ID與源事件篩選表中的當(dāng)前條目ID匹配����,將當(dāng)前條目的計(jì)數(shù)器加一,計(jì)算源事 件篩選表中所有條目的速率�����,更新源事件篩選表所有條目的速率字段���。
11. 如權(quán)利要求8或9所述云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)方系統(tǒng),其特征在于:源事件ID與源事件篩選表中的當(dāng)前條目ID不匹配�,判斷當(dāng)前條目是否為空; 如果當(dāng)前條目為空�,則將當(dāng)前HTTP請(qǐng)求包的源事件ID插入當(dāng)前條目,計(jì)數(shù)器置為1����,表 指針置為反向查詢,計(jì)算源事件篩選表中所有條目的速率�����,更新源事件篩選表所有條目的 速率字段���,更新目標(biāo)事件篩選表的計(jì)數(shù)器和速率字段���; 如果當(dāng)前條目非空���,當(dāng)前條目計(jì)數(shù)器減一,判斷當(dāng)前條目計(jì)數(shù)器是否為0 ;如果當(dāng)前條 目計(jì)數(shù)器為〇,用新的請(qǐng)求包數(shù)據(jù)替換當(dāng)前條目��,事件ID替換為當(dāng)前請(qǐng)求包的事件ID���,源信 息替換為當(dāng)前請(qǐng)求包的源信息���,計(jì)數(shù)器設(shè)為1,表指針為正向查詢����,計(jì)算源事件篩選表中所 有條目的速率,更新源事件篩選表所有條目的速率字段��,更新目標(biāo)事件篩選表的計(jì)數(shù)器和 速率字段�����;如果當(dāng)前條目計(jì)數(shù)器不為〇,表指針選取下一條目���,初始表指針設(shè)為正向查詢����。
12. 如權(quán)利要求7或8或9所述云計(jì)算環(huán)境下HTTP DOS攻擊的檢測(cè)系統(tǒng),其特征在于: 判斷單元在檢測(cè)到DOS攻擊時(shí)���,將攻擊源IP地址和用戶cookie值提交給阻斷單元���,阻 斷單元調(diào)用安全設(shè)備對(duì)攻擊源IP地址進(jìn)行阻斷。
【文檔編號(hào)】H04L29/08GK104333529SQ201310306860
【公開(kāi)日】2015年2月4日 申請(qǐng)日期:2013年7月22日 優(yōu)先權(quán)日:2013年7月22日
【發(fā)明者】張鑒, 陳軍 申請(qǐng)人:中國(guó)電信股份有限公司