一種基于服務(wù)器日志的HTTP Get Flood攻擊防護(hù)方法
【專利摘要】本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)學(xué)科中網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種基于服務(wù)器日志的HTTPGetFlood攻擊防護(hù)方法。針對(duì)攻擊源IP數(shù)量較多時(shí)現(xiàn)有技術(shù)對(duì)CC攻擊防護(hù)效果較差的問(wèn)題，本發(fā)明提供了一種基于服務(wù)器日志的HTTPGetFlood攻擊防護(hù)方法，能夠針對(duì)CC攻擊中的HTTPGetFlood攻擊提供效果更優(yōu)的防護(hù)。通過(guò)統(tǒng)計(jì)和分析服務(wù)器日志中指定時(shí)長(zhǎng)內(nèi)相同請(qǐng)求IP的數(shù)量是否超出閾值，結(jié)合該相同請(qǐng)求IP能否反饋符合要求的回饋?lái)憫?yīng)，判定該IP是否為HTTPGetFlood攻擊的攻擊源IP，對(duì)攻擊源IP進(jìn)行阻斷。本發(fā)明設(shè)計(jì)簡(jiǎn)潔，易于實(shí)施，與現(xiàn)有的各類服務(wù)器均具有良好的適配性，具有廣闊的應(yīng)用和推廣前景。
【專利說(shuō)明】—種基于服務(wù)器日志的HTTP Get Flood攻擊防護(hù)方法

【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)學(xué)科中網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種基于服務(wù)器日志的HTTP Get Flood攻擊防護(hù)方法。

【背景技術(shù)】
[0002]近年來(lái)中國(guó)網(wǎng)絡(luò)規(guī)模呈現(xiàn)膨脹式增長(zhǎng)，隨著網(wǎng)絡(luò)活動(dòng)，特別是網(wǎng)絡(luò)電商的活躍，網(wǎng)絡(luò)交互發(fā)展迅速。而與此同時(shí)，針對(duì)網(wǎng)絡(luò)的攻擊形式也在巨大的利益推動(dòng)下開(kāi)始向新的方向改變。目前，CC (Challenge Collapsar)攻擊已經(jīng)成為一種被廣泛使用的典型攻擊方式，由于其實(shí)施的技術(shù)難度較低并且攻擊效果顯著，CC攻擊已經(jīng)發(fā)展成為網(wǎng)絡(luò)安全領(lǐng)域中的一種常見(jiàn)攻擊方式。CC攻擊的前身為Fatboy攻擊，屬于DDoS (Distribut1n Denialof Service分布式拒絕服務(wù)，簡(jiǎn)稱DDoS)攻擊中的一種。CC攻擊以網(wǎng)站頁(yè)面為主要攻擊目標(biāo)，能夠藏匿真實(shí)的攻擊源IP，借助代理服務(wù)器生成指向目標(biāo)服務(wù)器的合法請(qǐng)求，在流量上不會(huì)產(chǎn)生異常的大流量數(shù)據(jù)，但卻能造成服務(wù)器無(wú)法正常連接。CC攻擊的攻擊原理來(lái)源于著名的木桶理論，即一個(gè)木桶所能容納水的最大容量不是由木桶最高的地方?jīng)Q定的，而是由木桶最低的地方?jīng)Q定的。CC攻擊就是借鑒了木桶理論，在對(duì)服務(wù)器發(fā)起攻擊時(shí)，攻擊者常常向服務(wù)器請(qǐng)求需要占用其較多資源開(kāi)銷的應(yīng)用，例如訪問(wèn)需要占用服務(wù)器大量CPU資源進(jìn)行運(yùn)算的頁(yè)面或者請(qǐng)求需要頻繁訪問(wèn)數(shù)據(jù)庫(kù)的應(yīng)用。基于以上因素，CC攻擊的目標(biāo)通常為網(wǎng)站服務(wù)器中需要?jiǎng)討B(tài)生成的頁(yè)面和需要訪問(wèn)數(shù)據(jù)庫(kù)資源的頁(yè)面，例如asp、jsp和php等類型文件的頁(yè)面資源。攻擊者主要通過(guò)控制大量僵尸主機(jī)或代理服務(wù)器，由僵尸主機(jī)或代理服務(wù)器自動(dòng)向服務(wù)器發(fā)送頁(yè)面訪問(wèn)請(qǐng)求。當(dāng)使用具有一定規(guī)模的僵尸僵尸主機(jī)或代理服務(wù)器進(jìn)行CC攻擊時(shí)，將會(huì)對(duì)服務(wù)器頁(yè)面造成巨大的訪問(wèn)流量，可導(dǎo)致服務(wù)器癱瘓，同時(shí)整個(gè)攻擊過(guò)程模擬了正?？蛻舳嗽L問(wèn)互聯(lián)網(wǎng)資源所發(fā)送的合法數(shù)據(jù)包，具有較強(qiáng)的隱蔽性。CC攻擊主要有2種攻擊方式，即HTTP Get Flood (超文本傳輸協(xié)議泛洪)攻擊和鏈接耗盡型攻擊。
[0003]目前，常見(jiàn)的CC攻擊防護(hù)依靠防火墻，通過(guò)對(duì)訪問(wèn)服務(wù)器的單個(gè)IP連接數(shù)進(jìn)行控制來(lái)限制CC攻擊，在發(fā)起CC攻擊的IP數(shù)量較多的情況下依靠防火墻限制或阻止CC攻擊的效果較差。


【發(fā)明內(nèi)容】

[0004]針對(duì)攻擊源IP數(shù)量較多時(shí)現(xiàn)有技術(shù)對(duì)CC攻擊防護(hù)效果較差的問(wèn)題，本發(fā)明提供了一種基于服務(wù)器日志的HTTP Get Flood攻擊防護(hù)方法，能夠針對(duì)CC攻擊中的HTTP GetFlood攻擊提供效果更優(yōu)的防護(hù)。
[0005]本發(fā)明的技術(shù)方案為:
一種基于服務(wù)器日志的HTTP Get Flood攻擊防護(hù)方法，其特征在于包括以下步驟:
(a)查看服務(wù)器日志；
(b)判斷指定時(shí)長(zhǎng)內(nèi)相同請(qǐng)求IP的數(shù)量是否超過(guò)閾值； (C)若步驟b中相同請(qǐng)求IP的數(shù)量超過(guò)閾值則判定相同請(qǐng)求IP為HTTP Get Flood攻擊的攻擊源IP，阻斷攻擊源IP，返回步驟a ；
(d)若步驟b中相同請(qǐng)求IP的數(shù)量未超過(guò)閾值則向相同請(qǐng)求IP發(fā)送響應(yīng)請(qǐng)求，并要求相同請(qǐng)求IP回饋相應(yīng)的回饋?lái)憫?yīng)；
Ce)若步驟d中相同請(qǐng)求IP未回饋符合要求的回饋?lái)憫?yīng)則判定相同請(qǐng)求IP為HTTPGet Flood攻擊的攻擊源IP，阻斷攻擊源IP，返回步驟a ；
(f )若步驟d中相同請(qǐng)求IP回饋符合要求的回饋?lái)憫?yīng)則返回步驟a。
[0006]具體的，步驟b中閾值由服務(wù)器工作參數(shù)判定，服務(wù)器工作參數(shù)包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量。
[0007]具體的,步驟d中向相同請(qǐng)求IP發(fā)送的響應(yīng)請(qǐng)求為帶有tag標(biāo)記的響應(yīng)請(qǐng)求。
[0008]本發(fā)明的有益效果:1、執(zhí)行本發(fā)明技術(shù)方案步驟a?f能夠識(shí)別并阻斷HTTP GetFlood攻擊的IP，實(shí)現(xiàn)針對(duì)HTTP Get Flood攻擊的防護(hù)；2、本發(fā)明技術(shù)方案步驟b針對(duì)相同IP發(fā)出訪問(wèn)請(qǐng)求的數(shù)量設(shè)定閾值，以該閾值為基準(zhǔn)判定該IP是否為HTTP Get Flood攻擊的攻擊源IP，即使發(fā)起HTTP Get Flood攻擊的IP數(shù)量較多，也能夠逐一識(shí)別并阻斷攻擊源IP ;3、依據(jù)服務(wù)器工作參數(shù)，包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量設(shè)定該閾值，能夠滿足不同服務(wù)器針對(duì)HTTP Get Flood攻擊的防護(hù)要求；4、步驟d中向相同請(qǐng)求IP發(fā)送的帶有tag標(biāo)記的響應(yīng)請(qǐng)求能夠判斷該IP是否為惡意攻擊者。本發(fā)明設(shè)計(jì)簡(jiǎn)潔，易于實(shí)施，與各類服務(wù)器均具有良好的適配性，具有廣闊的應(yīng)用和推廣前景。

【專利附圖】

【附圖說(shuō)明】
[0009]圖1為本發(fā)明的流程圖。

【具體實(shí)施方式】
[0010]下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步說(shuō)明。
[0011]參照?qǐng)D1，本實(shí)施例中針對(duì)HTTP Get Flood攻擊的防護(hù)過(guò)程包括:
1.查看服務(wù)器日志；
2.判斷指定時(shí)長(zhǎng)內(nèi)相同請(qǐng)求IP的數(shù)量是否超過(guò)閾值，該閾值由服務(wù)器工作參數(shù)判定，服務(wù)器工作參數(shù)包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量；
3.若步驟2中相同請(qǐng)求IP的數(shù)量超過(guò)閾值則判定該相同請(qǐng)求IP為HTTPGet Flood攻擊的攻擊源IP，阻斷攻擊源IP，返回步驟I ;
4.若步驟2中相同請(qǐng)求IP的數(shù)量未超過(guò)閾值則向相同請(qǐng)求IP發(fā)送帶有tag標(biāo)記的響應(yīng)請(qǐng)求，并要求該相同請(qǐng)求IP回饋相應(yīng)的回饋?lái)憫?yīng)；
5.若步驟4中相同請(qǐng)求IP未回饋符合要求的回饋?lái)憫?yīng)則判定該相同請(qǐng)求IP為HTTPGet Flood攻擊的攻擊源IP，阻斷相同請(qǐng)求IP，返回步驟I ;
6.若步驟4中相同請(qǐng)求IP回饋符合要求的回饋?lái)憫?yīng)則返回步驟I。
[0012]本實(shí)施例中，服務(wù)器為IBM品牌的X3850 M2型服務(wù)器，其正常業(yè)務(wù)流量為500Mbps，步驟2中指定時(shí)長(zhǎng)為60秒，閾值為30次。
[0013]需要說(shuō)明的是，阻斷攻擊源IP為本領(lǐng)域(網(wǎng)絡(luò)安全領(lǐng)域)的公知常識(shí)，即使本發(fā)明未進(jìn)行詳細(xì)說(shuō)明，本領(lǐng)域技術(shù)人員也應(yīng)當(dāng)清楚這一步驟。
[0014]以上所述實(shí)施方式僅為本發(fā)明的優(yōu)選實(shí)施例，而并非本發(fā)明可行實(shí)施的窮舉。對(duì)于本領(lǐng)域一般技術(shù)人員而言，在不背離本發(fā)明原理和精神的前提下對(duì)其所作出的任何顯而易見(jiàn)的改動(dòng)，都應(yīng)當(dāng)被認(rèn)為包含在本發(fā)明的權(quán)利要求保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種基于服務(wù)器日志的HTTP Get Flood攻擊防護(hù)方法，其特征在于包括以下步驟: (a)查看服務(wù)器日志； (b)判斷指定時(shí)長(zhǎng)內(nèi)相同請(qǐng)求IP的數(shù)量是否超過(guò)閾值； (c)若步驟(b)中所述相同請(qǐng)求IP的數(shù)量超過(guò)閾值則判定相同請(qǐng)求IP為HTTPGetFlood攻擊的攻擊源IP，阻斷所述攻擊源IP，返回步驟(a)； (d)若步驟(b)中所述相同請(qǐng)求IP的數(shù)量未超過(guò)閾值則向所述相同請(qǐng)求IP發(fā)送響應(yīng)請(qǐng)求，并要求所述相同請(qǐng)求IP回饋相應(yīng)的回饋?lái)憫?yīng)； Ce)若步驟(d)中所述相同請(qǐng)求IP未回饋符合要求的回饋?lái)憫?yīng)則判定相同請(qǐng)求IP為HTTP Get Flood攻擊的攻擊源IP，阻斷所述攻擊源IP，返回步驟(a)； (f)若步驟(d)中所述相同請(qǐng)求IP回饋符合要求的回饋?lái)憫?yīng)則返回步驟(a)。
2.根據(jù)權(quán)利要求1所述的一種基于服務(wù)器日志的HTTPGet Flood攻擊防護(hù)方法，其特征在于步驟(b)中所述閾值由服務(wù)器工作參數(shù)判定，所述服務(wù)器工作參數(shù)包括服務(wù)器性能和服務(wù)器正常業(yè)務(wù)流量。
3.根據(jù)權(quán)利要求2所述的一種基于服務(wù)器日志的HTTPGet Flood攻擊防護(hù)方法，其特征在于步驟(d)中向所述相同請(qǐng)求IP發(fā)送的響應(yīng)請(qǐng)求為帶有tag標(biāo)記的響應(yīng)請(qǐng)求。
【文檔編號(hào)】H04L29/06GK104378358SQ201410569022
【公開(kāi)日】2015年2月25日 申請(qǐng)日期:2014年10月23日 優(yōu)先權(quán)日:2014年10月23日
【發(fā)明者】董立勉, 左曉軍, 陳澤, 侯波濤, 盧寧, 郗波, 張君艷, 常杰, 王穎, 董娜, 劉偉娜, 王春璞, 劉惠穎 申請(qǐng)人:河北省電力建設(shè)調(diào)整試驗(yàn)所