一種基于積分策略的網(wǎng)站ddos攻擊防御系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種基于“積分策略”的網(wǎng)站DDOS攻擊防御系統(tǒng)�����,包括客戶端��、防火墻�、入侵檢測(cè)系統(tǒng)以及Web服務(wù)器,在所述入侵檢測(cè)系統(tǒng)與web服務(wù)器之間還包括攻擊IP過(guò)濾單元�����,所述防火墻除用于防御已知網(wǎng)絡(luò)攻擊外,還根據(jù)攻擊IP過(guò)濾單元的過(guò)濾指令進(jìn)行防御處理��;所述入侵檢測(cè)系統(tǒng)以所述防火墻的防御處理結(jié)果作為輸入��,用于檢測(cè)已知的DDOS攻擊����;所述攻擊IP過(guò)濾單元,用于對(duì)被判定為具有攻擊行為的用戶IP進(jìn)行過(guò)濾���,所述過(guò)濾為阻止該用戶IP對(duì)Web服務(wù)器的正常訪問(wèn)���,判定結(jié)果經(jīng)積分累計(jì)及緩存,對(duì)于緩存結(jié)果實(shí)現(xiàn)動(dòng)態(tài)評(píng)估�,據(jù)此評(píng)估結(jié)果判定該用戶IP是否需被過(guò)濾或者重新獲得登錄資格。本發(fā)明應(yīng)用簡(jiǎn)便�����,不僅可以最大限度的保證正常用戶的訪問(wèn)�,還可以快速屏蔽出攻擊。
【專利說(shuō)明】—種基于積分策略的網(wǎng)站DDOS攻擊防御系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種企業(yè)門戶網(wǎng)站攻擊的防御方法,特別是涉及一種針對(duì)應(yīng)用層DDOS攻擊的防御系統(tǒng)及方法�。
【背景技術(shù)】
[0002]DDOS全稱為分布式拒絕服務(wù)。DDOS攻擊表現(xiàn)為攻擊者利用某種方法使得目標(biāo)主機(jī)的系統(tǒng)資源被大量占用����,或者目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬擁塞,最終使得合法用戶得不到服務(wù)���。與傳統(tǒng)采用洪泛攻擊方式的DDOS攻擊不同���,APP-DDOS 一般是通過(guò)正常訪問(wèn)的方式發(fā)送合法請(qǐng)求占用大量服務(wù)資源,從而讓合法用戶無(wú)法訪問(wèn)��,其代表的攻擊為CC攻擊��、HTTP風(fēng)暴攻擊等��。當(dāng)發(fā)起攻擊時(shí)����,攻擊者不斷地請(qǐng)求計(jì)算開銷較大的頁(yè)面���,如查詢數(shù)據(jù)庫(kù)��、下載文件等��。由于提供服務(wù)的一般都是普通服務(wù)器��,只要請(qǐng)求足夠多�����,就可以使服務(wù)器癱瘓����,網(wǎng)站被迫關(guān)閉。
[0003]目前廣泛使用的防御方法往往會(huì)干擾訪問(wèn)者對(duì)服務(wù)器的正常訪問(wèn)��,影響用戶的用戶體驗(yàn)��;又或者不能在短時(shí)間內(nèi)有效的抑制攻擊����,導(dǎo)致在識(shí)別出合法用戶之前服務(wù)器可能已經(jīng)崩潰。
【發(fā)明內(nèi)容】
[0004]為了克服現(xiàn)有技術(shù)存在的問(wèn)題����,本發(fā)明提出了一種基于挑戰(zhàn)應(yīng)答和指紋識(shí)別的身份驗(yàn)證方法,身份驗(yàn)證時(shí)����,主機(jī)和用戶之間通過(guò)挑戰(zhàn)應(yīng)答���、指紋識(shí)別及非對(duì)稱加密技術(shù)實(shí)現(xiàn)身份識(shí)別,每次身份識(shí)別都需要進(jìn)行“挑戰(zhàn)”�����、“應(yīng)答”��、“置舌L”和“加密處理”�,且每次發(fā)送的挑戰(zhàn)字串都不重復(fù),不可推算����,監(jiān)聽者在一次識(shí)別時(shí)截獲的“應(yīng)答”不適用于下次身份識(shí)別,有效防止了冒充身份的發(fā)生��。
[0005]本發(fā)明提出了一種基于“積分策略”的網(wǎng)站DDOS攻擊防御系統(tǒng)�,該系統(tǒng)包括客戶端�、防火墻、入侵檢測(cè)系統(tǒng)以及Web服務(wù)器����,在所述入侵檢測(cè)系統(tǒng)與web服務(wù)器之間還包括攻擊IP過(guò)濾單元,其中:
[0006]所述防火墻,除用于防御已知網(wǎng)絡(luò)攻擊外���,在該防御系統(tǒng)中還用于根據(jù)攻擊IP過(guò)濾單元的過(guò)濾指令進(jìn)行防御處理���;
[0007]所述入侵檢測(cè)系統(tǒng),以所述防火墻的防御處理結(jié)果作為輸入�,用于檢測(cè)出已知的DDOS攻擊;
[0008]所述攻擊IP過(guò)濾單元�����,用于對(duì)被判定為具有攻擊行為的用戶IP進(jìn)行過(guò)濾�,所述過(guò)濾的具體處理為阻止該用戶IP對(duì)Web服務(wù)器的正常訪問(wèn),判定結(jié)果經(jīng)積分累計(jì)及緩存��,對(duì)于積分緩存結(jié)果實(shí)現(xiàn)動(dòng)態(tài)評(píng)估�,據(jù)此評(píng)估結(jié)果判定該用戶IP是否需被過(guò)濾或者重新獲得登錄進(jìn)入系統(tǒng)的資格。
[0009]本發(fā)明還提出了一種基于“積分策略”的網(wǎng)站DDOS攻擊防御方法�����,該方法包括以下步驟:
[0010]由防火墻實(shí)現(xiàn)防御已知網(wǎng)絡(luò)攻擊����,以及根據(jù)攻擊IP過(guò)濾單元的過(guò)濾指令進(jìn)行防御處理���;
[0011]由入侵檢測(cè)系統(tǒng)以所述防火墻的防御處理結(jié)果作為輸入,進(jìn)一步用于檢測(cè)出已知的DDOS攻擊��;
[0012]由攻擊IP過(guò)濾單元對(duì)被判定為具有攻擊行為的用戶IP進(jìn)行過(guò)濾�����,所述過(guò)濾的具體處理為阻止該用戶IP對(duì)Web服務(wù)器的正常訪問(wèn)��,判定結(jié)果經(jīng)積分累計(jì)及緩存�,對(duì)于積分緩存結(jié)果實(shí)現(xiàn)動(dòng)態(tài)評(píng)估,據(jù)此評(píng)估結(jié)果判定該用戶IP是否需被過(guò)濾或者重新獲得登錄進(jìn)入系統(tǒng)的資格�����。
[0013]與現(xiàn)有技術(shù)相比���,本發(fā)明應(yīng)用簡(jiǎn)便��,與傳統(tǒng)方案相比����,不僅可以最大限度的保證正常用戶的訪問(wèn)��,還可以快速屏蔽出攻擊�����。
【專利附圖】
【附圖說(shuō)明】
[0014]圖1為本發(fā)明的一種基于“積分策略”的網(wǎng)站防御DDOS攻擊系統(tǒng)結(jié)構(gòu)框圖�����;
[0015]圖2為本發(fā)明的一種基于“積分策略”的網(wǎng)站防御DDOS攻擊方法運(yùn)行時(shí)訪問(wèn)流程圖����。
【具體實(shí)施方式】
[0016]下面結(jié)合附圖和實(shí)施例,進(jìn)一步詳細(xì)說(shuō)明本發(fā)明的【具體實(shí)施方式】�。
[0017]如圖1-2所示,為本發(fā)明的一`種基于“積分策略”的網(wǎng)站防御DDOS攻擊系統(tǒng)的結(jié)構(gòu)框圖和運(yùn)行訪問(wèn)流程��。`
[0018]1�、相關(guān)定義。
[0019](I)服務(wù)價(jià)格:該值代表了用戶使用某服務(wù)或訪問(wèn)某頁(yè)面需付出的積分值���,其中每個(gè)服務(wù)價(jià)格X i = c i ? Q i�����,C i代表每個(gè)服務(wù)或頁(yè)面的收益權(quán)重(如一個(gè)提供數(shù)據(jù)庫(kù)查詢?yōu)橹鞯木W(wǎng)站其數(shù)據(jù)庫(kù)服務(wù)所占權(quán)重最大����,其他依次類推減少),Q 表服務(wù)所需的資源成本���,綜合了每個(gè)服務(wù)或頁(yè)面所消耗的CPU計(jì)算開銷����、內(nèi)存�、帶寬、I/O速率等得出的一個(gè)值���。
[0020](2)積分:該值是用來(lái)獲得服務(wù)或訪問(wèn)某頁(yè)面的消耗品���,如果把服務(wù)或頁(yè)面視為商品的話則積分就是購(gòu)買商品的貨幣。積分值的多少還是衡量一個(gè)用戶是否為正常用戶的重要標(biāo)志�����。
[0021]2�、具體方法
[0022]本發(fā)明的系統(tǒng)由以下幾個(gè)模塊組成:
[0023](I)防火墻:防火墻不僅可以防御已知的、常見的攻擊之外�����,還通過(guò)接收模型內(nèi)部排隊(duì)模塊中維護(hù)的黑名單IP進(jìn)行包過(guò)濾。防火墻還有日志記錄功能���,可以記錄網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)等,對(duì)于分析網(wǎng)絡(luò)攻擊有一定的幫助��。
[0024](2)入侵檢測(cè)系統(tǒng):該系統(tǒng)運(yùn)行規(guī)則匹配程序�,可以檢測(cè)出已知規(guī)則的DDOS攻擊,減輕服務(wù)器的負(fù)擔(dān)��。
[0025](3)積分計(jì)算模塊:
[0026]若請(qǐng)求IP不在用戶控制模塊中的白名單中時(shí)�,則將該IP認(rèn)定為新用戶;對(duì)于新用戶新IP來(lái)說(shuō)�,每個(gè)IP初始化積分值為a(該值足夠一個(gè)正常用戶在足夠長(zhǎng)的時(shí)間里完成訪問(wèn)或享用服務(wù),但是對(duì)于高頻率訪問(wèn)的攻擊IP來(lái)說(shuō)遠(yuǎn)遠(yuǎn)不夠);每次請(qǐng)求一項(xiàng)服務(wù)或訪問(wèn)一個(gè)頁(yè)面時(shí)�����,會(huì)根據(jù)消費(fèi)模塊中的服務(wù)價(jià)格表扣除相應(yīng)的積分值��,并返回積分計(jì)算模塊進(jìn)行結(jié)算���;當(dāng)用戶通過(guò)獎(jiǎng)勵(lì)模塊的某些測(cè)試時(shí)����,為該用戶IP加上相應(yīng)的獎(jiǎng)勵(lì)積分;
[0027]當(dāng)積分累計(jì)超過(guò)閥值Bmax的時(shí)候�����,則認(rèn)為是正常用戶���,將該IP放入用戶控制模塊�����,并且之后請(qǐng)求的各種服務(wù)或頁(yè)面不再消耗積分�;若積分值小于最小閥值Bmin時(shí)�,則將該IP放入排隊(duì)模塊做進(jìn)一步處理;當(dāng)排隊(duì)模塊中的某個(gè)IP的積分重新大于閥值Bniin的時(shí)候重新取出放入積分計(jì)算模塊為之提供消費(fèi)資格����。
[0028](4)獎(jiǎng)勵(lì)模塊:該模塊是判斷是否為正常用戶的關(guān)鍵模塊,但如果該IP已經(jīng)認(rèn)證為正常用戶則該模塊不起作用���。它負(fù)責(zé)向客戶端發(fā)送一些測(cè)試(比如圖靈測(cè)試或一些簡(jiǎn)單邏輯測(cè)試)�����,并收集客戶端的回應(yīng)�����,根據(jù)客戶端表現(xiàn)獎(jiǎng)勵(lì)積分����。
[0029](5)消費(fèi)模塊:該模塊負(fù)責(zé)維護(hù)一個(gè)服務(wù)(或叫頁(yè)面)價(jià)格表�����,每當(dāng)接收到請(qǐng)求時(shí)�����,該模塊從表中查到相應(yīng)的服務(wù)價(jià)格然后將價(jià)格信息傳遞給積分計(jì)算模塊進(jìn)行積分計(jì)算�����。當(dāng)請(qǐng)求的用戶被認(rèn)證為正常用戶時(shí)�����,該模塊傳遞給積分計(jì)算模塊中的服務(wù)價(jià)格一律為O����。
[0030](6)排隊(duì)模塊:該模塊負(fù)責(zé)維護(hù)一個(gè)疑似黑名單積分表���,負(fù)責(zé)接受從積分計(jì)算模塊傳來(lái)的疑似攻擊IP。在排隊(duì)模塊中的IP無(wú)法發(fā)送服務(wù)請(qǐng)求�����,但會(huì)出現(xiàn)一個(gè)提示登錄/注冊(cè)的小頁(yè)面(若登陸成功則直接認(rèn)證為正常用戶)�����,或以一定概率獲得用戶檢測(cè)場(chǎng)景從而獲得獎(jiǎng)勵(lì)積分��。當(dāng)積分超過(guò)閥值Bmin時(shí)將該IP重新送回至積分計(jì)算模塊����。該模塊還負(fù)責(zé)記錄一個(gè)IP在黑名單中的存在時(shí)間,存在時(shí)間越長(zhǎng)���,表明該IP越可疑���,最后將時(shí)間累計(jì)值超過(guò)閥值T的IP發(fā)到防火墻進(jìn)行過(guò)濾。
[0031](7)用戶控制模塊:該模塊中維護(hù)著一張認(rèn)證用戶表(即白名單)�����。白名單的用戶可以享受免費(fèi)消費(fèi)的待遇。
[0032]當(dāng)本發(fā)明的一種基于“積分策略”的網(wǎng)站防御DDOS攻擊方法運(yùn)行時(shí):
[0033]①對(duì)于新用戶新IP來(lái)說(shuō)�,每個(gè)IP初始化積分值為a ;
[0034]②用戶在訪問(wèn)網(wǎng)頁(yè)或請(qǐng)求服務(wù)的之前會(huì)以不同概率遇到不同的用戶行為測(cè)試���,通過(guò)獎(jiǎng)勵(lì)模塊的這些測(cè)試時(shí)�,系統(tǒng)會(huì)為該用戶IP加上相應(yīng)的獎(jiǎng)勵(lì)積分�;
[0035]③若積分值小于最小閥值Bmin時(shí),則將該IP放入排隊(duì)模塊;
[0036]④在排隊(duì)模塊中的IP不能獲得服務(wù)�����,但會(huì)得到登陸/注冊(cè)的提示或獎(jiǎng)勵(lì)模塊的其他測(cè)試�����,從而獲得正常用戶的認(rèn)證或得到些許獎(jiǎng)勵(lì)積分���;
[0037]⑤當(dāng)排隊(duì)模塊中的某個(gè)IP的積分重新大于閥值Bniin的時(shí)候重新取出放入積分計(jì)算模塊,可重新獲得消費(fèi)資格��。
[0038]⑥當(dāng)積分累計(jì)超過(guò)閥值Bmax的時(shí)候�,則認(rèn)為是正常用戶��,將該IP加入用戶控制模塊中的白名單��,并且之后請(qǐng)求的各種服務(wù)或頁(yè)面不再消耗積分���;
[0039]⑦每次請(qǐng)求一項(xiàng)服務(wù)或訪問(wèn)一個(gè)頁(yè)面會(huì)扣除相應(yīng)的服務(wù)價(jià)格,并返回至積分計(jì)算模塊進(jìn)行結(jié)算�;
[0040]⑧排隊(duì)模塊將時(shí)間累計(jì)值超過(guò)Tbad的IP作為黑名單發(fā)到防火墻進(jìn)行過(guò)濾。
【權(quán)利要求】
1.一種基于“積分策略”的網(wǎng)站DDOS攻擊防御系統(tǒng)�����,該系統(tǒng)包括客戶端���、防火墻�、入侵檢測(cè)系統(tǒng)以及Web服務(wù)器����,其特征在于,在所述入侵檢測(cè)系統(tǒng)與web服務(wù)器之間還包括攻擊IP過(guò)濾單元,其中: 所述防火墻��,除用于防御已知網(wǎng)絡(luò)攻擊外�,在該防御系統(tǒng)中還用于根據(jù)攻擊IP過(guò)濾單元的過(guò)濾指令進(jìn)行防御處理; 所述入侵檢測(cè)系統(tǒng)����,以所述防火墻的防御處理結(jié)果作為輸入��,用于檢測(cè)出已知的DDOS攻擊�; 所述攻擊IP過(guò)濾單元���,用于對(duì)被判定為具有攻擊行為的用戶IP進(jìn)行過(guò)濾�����,所述過(guò)濾的具體處理為阻止該用戶IP對(duì)Web服務(wù)器的正常訪問(wèn)�,判定結(jié)果經(jīng)積分累計(jì)及緩存��,對(duì)于積分緩存結(jié)果實(shí)現(xiàn)動(dòng)態(tài)評(píng)估���,據(jù)此評(píng)估結(jié)果判定該用戶IP是否需被過(guò)濾或者重新獲得登錄進(jìn)入系統(tǒng)的資格。
2.一種基于“積分策略”的網(wǎng)站DDOS攻擊防御方法���,其特征在于��,該方法包括以下步驟: 由防火墻實(shí)現(xiàn)防御已知網(wǎng)絡(luò)攻擊���,以及根據(jù)攻擊IP過(guò)濾單元的過(guò)濾指令進(jìn)行防御處理�; 由入侵檢測(cè)系統(tǒng)以所述防火墻的防御處理結(jié)果作為輸入���,進(jìn)一步用于檢測(cè)出已知的DDOS攻擊����;����; 由攻擊IP過(guò)濾單元對(duì)被判定為具有攻擊行為的用戶IP進(jìn)行過(guò)濾,所述過(guò)濾的具體處理為阻止該用戶IP對(duì)Web服務(wù)器的正常訪問(wèn)�����,判定結(jié)果經(jīng)積分累計(jì)及緩存��,對(duì)于積分緩存結(jié)果實(shí)現(xiàn)動(dòng)態(tài)評(píng)估����,據(jù)此評(píng)估結(jié)果判定該用戶IP是否需被過(guò)濾或者重新獲得登錄進(jìn)入系統(tǒng)的資格。
【文檔編號(hào)】H04L29/06GK103618730SQ201310651436
【公開日】2014年3月5日 申請(qǐng)日期:2013年12月4日 優(yōu)先權(quán)日:2013年12月4日
【發(fā)明者】張亞平, 李展歌 申請(qǐng)人:天津大學(xué)