一種云計算環(huán)境下http dos攻擊的檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出一種云計算環(huán)境下HTTP DOS攻擊的檢測方法及系統(tǒng)�。獲取對目標(biāo)Web頁面發(fā)起HTTP請求的源端信息,包括請求次數(shù)和速率���;判斷該源端對該目標(biāo)Web頁面發(fā)起的HTTP請求次數(shù)和速率是否大于各自的閾值����,如果是�,認(rèn)為該源端對該目標(biāo)Web頁面發(fā)起DOS攻擊。本發(fā)明能夠準(zhǔn)確的檢測攻擊����,并且�,可以對多個目標(biāo)系統(tǒng)進(jìn)行統(tǒng)一檢測和防護(hù)。
【專利說明】-種云計算環(huán)境下HTTP DOS攻擊的檢測方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于云計算網(wǎng)絡(luò)和信息安全領(lǐng)域���,尤其涉及一種云計算環(huán)境下HTTP DOS (Denial of Service,拒絕服務(wù))攻擊的檢測方法及系統(tǒng)�。
【背景技術(shù)】
[0002] 應(yīng)用層HTTP DOS攻擊是近年來興起的一種DOS攻擊的新技術(shù),與SYN Flooding等 傳統(tǒng)的網(wǎng)絡(luò)型DOS攻擊不同���,HTTP DOS攻擊的目的是為了耗盡目標(biāo)主機(jī)的資源��,例如��,CPU��、 存儲器����、Socket等��。攻擊者用少量的HTTP請求促使服務(wù)器返回大文件���,例如�,圖像���、視頻文 件等���,或促使服務(wù)器運行一些復(fù)雜的腳本程序,例如�,復(fù)雜的數(shù)據(jù)處理���、密碼計算與驗證等。 這種方式不需要很高的攻擊速率就可以迅速耗盡主機(jī)的資源�����,而且更具有隱蔽性�����。
[0003] 而EDOS (Economical Denial of Service,造成經(jīng)濟(jì)損失的拒絕服務(wù))攻擊是云 計算中特有的攻擊形式����,利用云計算服務(wù)按使用量計費的特點,使用DOS攻擊手段�����,導(dǎo)致被 攻擊系統(tǒng)的帶寬�����、CPU�����、存儲等資源使用量大量增加����,從而導(dǎo)致高額賬單。HTTP EDOS攻擊將 是今后云計算環(huán)境面臨的嚴(yán)峻安全挑戰(zhàn)�����,云安全聯(lián)盟(CSA)也將DD0S/ED0S攻擊列為云計 算的七大安全威脅之一�。
[0004] 目前對于HTTP DOS攻擊的檢測防御方法主要有兩種:一種是基于代理設(shè)備的解 決方案;一種是Web服務(wù)器的安全配置技術(shù)���。
[0005] 圖1所示為基于代理設(shè)備的檢測防御的示意圖��。
[0006] 以目前安全設(shè)備廠商推行的Web防火墻產(chǎn)品為代表��,通過在Web服務(wù)器前面部署 一臺堡壘主機(jī)���,對所有的數(shù)據(jù)流量進(jìn)行代理,如果流量合法則發(fā)送給Web服務(wù)器����,如果流量 異常就進(jìn)行阻斷。該方案基于會話的雙向代理��,中斷了用戶與服務(wù)器的直接連接,適用于各 種加密協(xié)議��,防止了入侵者的直接進(jìn)入����,對DDOS (Distributed Denial of Service,分布 式拒絕服務(wù))攻擊可以抑制,對非預(yù)料的"特別"行為也有所抑制�����。該方案的主要問題是需 要在Web服務(wù)器的前面部署代理設(shè)備�,串行接入,不僅在硬件性能上要求高��,而且不能影響 Web服務(wù)����,所以HA功能(高可用性XBypass (旁路)功能都是必須的,而且還要與負(fù)載均衡����、 Web Cache等Web服務(wù)器前的常見的產(chǎn)品協(xié)調(diào)部署。因此該方案成本高���、配置復(fù)雜���,如果保 護(hù)目標(biāo)過多會影響性能,不適用于云計算環(huán)境中大量虛擬服務(wù)器的攻擊檢測和防御���。
[0007] Web服務(wù)器的安全配置技術(shù)是目前較為常用的針對HTTP DOS攻擊的防御技術(shù)�,可 以包括兩個層面的安全配置:
[0008] -個層面是在Web服務(wù)的人機(jī)交互層面�,對于消耗服務(wù)器資源較多的頁面引入驗 證碼等相關(guān)的Puzzle (驗證機(jī)制),讓客戶端解析一段javascript或flash,并給出正確的 運行結(jié)果��。由于大部分的攻擊自動化腳本都是直接構(gòu)造 HTTP包完成的���,并非在一個瀏覽器 環(huán)境中發(fā)起的請求�����,因此無法正確識別驗證碼��,所以此方法對于DOS攻擊有所抑制��。
[0009] 另外一個層面是在Web server層面做安全配置���,如Apache的配置文件中,有一些 參數(shù)可以緩解DOS攻擊��,如Timeout、KeepAliveTimeout���、MaxClient等���。WEB服務(wù)器安全 配置技術(shù)的主要問題是只能做到攻擊防御而無法精確的檢測和定位攻擊,并且需要在每個 Web系統(tǒng)中單獨配置和代碼整改�����,只能防御單個系統(tǒng)�����,無法做到多個系統(tǒng)統(tǒng)一防護(hù)���;此外在 人機(jī)交互層面加入驗證碼會降低Web服務(wù)的用戶體驗度��,在Web server中更改配置參數(shù)可 能會影響正常業(yè)務(wù)應(yīng)用����。因此該技術(shù)也不適用于云計算環(huán)境中對大量目標(biāo)的統(tǒng)一攻擊檢測 和防御���。
【發(fā)明內(nèi)容】
[0010] 鑒于以上����,本發(fā)明提出一種云計算環(huán)境下HTTP DOS攻擊的檢測方法及系統(tǒng)。
[0011] 根據(jù)本發(fā)明的一方面�����,提出一種云計算環(huán)境下HTTP DOS攻擊的檢測方法����,包括: 獲取對目標(biāo)Web頁面發(fā)起HTTP請求的源端信息����,包括請求次數(shù)和速率;判斷該源端對該目 標(biāo)Web頁面發(fā)起的HTTP請求次數(shù)和速率是否大于各自的閾值����,如果是,認(rèn)為該源端對該目 標(biāo)Web頁面發(fā)起DOS攻擊�����。
[0012] 在本發(fā)明的一個實施例中����,獲取對目標(biāo)Web頁面發(fā)起HTTP請求的源端信息的操 作���,包括以下步驟:提取HTTP請求包中的源IP地址、用戶cookie值和目標(biāo)URL�����,其中�,目標(biāo) URL即為目標(biāo)Web頁面的地址;根據(jù)源IP地址和用戶cookie值計算得到源事件ID��,根據(jù)目 標(biāo)URL計算得到目標(biāo)事件ID ;將目標(biāo)事件ID與目標(biāo)事件篩選表中的所有條目的ID進(jìn)行匹 配����,目標(biāo)事件篩選表中包括目標(biāo)事件ID、第一源信息��、第一計數(shù)器����、第一速率和第一表指針, 其中����,第一表指針指向源事件篩選表,源事件篩選表包括源事件ID值、第二源信息���、第二計 數(shù)器��、第二速率和第二表指針�����;如果匹配成功,即��,目標(biāo)事件篩選表中包括計算得到的目標(biāo) 事件ID��,則轉(zhuǎn)向第一表指針?biāo)赶虻脑词录Y選表��,將源事件ID與源事件篩選表中的所有 條目的ID進(jìn)行匹配���,根據(jù)匹配結(jié)果更新第二計數(shù)器的計數(shù)值��,即請求次數(shù)�����,并計算第二速 率��,即源端信息中的速率�。
[0013] 在本發(fā)明的一個實施例中,如果匹配不成功�����,即��,目標(biāo)事件篩選表中未包括計算得 到的目標(biāo)事件ID��,則在目標(biāo)事件篩選表中創(chuàng)建新的條目���,條目ID為當(dāng)前HTTP請求包的目標(biāo) 事件ID值�����,第一源信息為訪問的目標(biāo)URL�����,第一計數(shù)器置為1��,第一表指針指向新創(chuàng)建的源 事件篩選表����;創(chuàng)建對應(yīng)的源事件篩選表,條目ID為當(dāng)前HTTP請求包的源事件ID�����,第二源信 息為當(dāng)前HTTP請求包的源IP和cookie�,第二計數(shù)器置為1,第二表指針為正向查詢���。
[0014] 在本發(fā)明的一個實施例中��,源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹 配的操作�,包括以下步驟:源事件ID與源事件篩選表中的當(dāng)前條目ID匹配��,將當(dāng)前條目的 計數(shù)器加一�����,計算源事件篩選表中所有條目的速率���,更新源事件篩選表所有條目的速率字 段。
[0015] 在本發(fā)明的一個實施例中���,源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹 配的操作���,包括以下步驟:源事件ID與源事件篩選表中的當(dāng)前條目ID不匹配����,判斷當(dāng)前條 目是否為空�;如果當(dāng)前條目為空,則將當(dāng)前HTTP請求包的源事件ID插入當(dāng)前條目�����,計數(shù)器 置為1�,表指針置為反向查詢,計算源事件篩選表中所有條目的速率����,更新源事件篩選表所 有條目的速率字段,更新目標(biāo)事件篩選表的計數(shù)器和速率字段�;如果當(dāng)前條目非空,當(dāng)前條 目計數(shù)器減一��,判斷當(dāng)前條目計數(shù)器是否為〇 ;如果當(dāng)前條目計數(shù)器為〇,用新的請求包數(shù) 據(jù)替換當(dāng)前條目���,事件ID替換為當(dāng)前請求包的事件ID���,源信息替換為當(dāng)前請求包的源信 息�����,計數(shù)器設(shè)為1�,表指針為正向查詢�����,計算源事件篩選表中所有條目的速率���,更新源事件篩 選表所有條目的速率字段�����,更新目標(biāo)事件篩選表的計數(shù)器和速率字段����;如果當(dāng)前條目計數(shù) 器不為O��,表指針選取下一條目�,初始表指針設(shè)為正向查詢����。
[0016] 在本發(fā)明的一個實施例中���,當(dāng)檢測到DOS攻擊時,提交攻擊源IP地址和用戶 cookie值�;調(diào)用安全設(shè)備對攻擊源IP地址進(jìn)行阻斷。
[0017] 根據(jù)本發(fā)明的另一方面��,還提出一種云計算環(huán)境下HTTP DOS攻擊的檢測系統(tǒng)����,其 中:獲取單元,配置于獲取對目標(biāo)Web頁面發(fā)起HTTP請求的源端信息�,包括請求次數(shù)和速 率;判斷單元��,配置于判斷該源端對該目標(biāo)Web頁面發(fā)起的HTTP請求次數(shù)和速率是否大于 各自的閾值����,如果是,認(rèn)為該源端對該目標(biāo)Web頁面發(fā)起DOS攻擊���。
[0018] 在本發(fā)明的一個實施例中���,獲取單元提取HTTP請求包中的源IP地址、用戶cookie 值和目標(biāo)URL����,其中�����,目標(biāo)URL即為目標(biāo)Web頁面的地址�����;根據(jù)源IP地址和用戶cookie值計 算得到源事件ID�����,根據(jù)目標(biāo)URL計算得到目標(biāo)事件ID ;將目標(biāo)事件ID與目標(biāo)事件篩選表中 的所有條目的ID進(jìn)行匹配�,目標(biāo)事件篩選表中包括目標(biāo)事件ID���、第一源信息��、第一計數(shù)器�、 第一速率和第一表指針����,其中�����,第一表指針指向源事件篩選表,源事件篩選表包括源事件ID 值�、第二源信息、第二計數(shù)器�、第二速率和第二表指針;如果匹配成功��,即���,目標(biāo)事件篩選表 中包括計算得到的目標(biāo)事件ID��,則轉(zhuǎn)向第一表指針?biāo)赶虻脑词录Y選表����,將源事件ID與 源事件篩選表中的所有條目的ID進(jìn)行匹配���,根據(jù)匹配結(jié)果更新第二計數(shù)器的計數(shù)值�����,即請 求次數(shù)����,并計算第二速率,即源端信息中的速率��。
[0019] 在本發(fā)明的一個實施例中�����,如果匹配不成功����,即,目標(biāo)事件篩選表中未包括計算得 到的目標(biāo)事件ID��,則在目標(biāo)事件篩選表中創(chuàng)建新的條目���,條目ID為當(dāng)前HTTP請求包的目標(biāo) 事件ID值���,第一源信息為訪問的目標(biāo)URL,第一計數(shù)器置為1�����,第一表指針指向新創(chuàng)建的源 事件篩選表���;創(chuàng)建對應(yīng)的源事件篩選表���,條目ID為當(dāng)前HTTP請求包的源事件ID,第二源信 息為當(dāng)前HTTP請求包的源IP和cookie����,第二計數(shù)器置為1,第二表指針為正向查詢����。
[0020] 在本發(fā)明的一個實施例中,源事件ID與源事件篩選表中的當(dāng)前條目ID匹配��,將當(dāng) 前條目的計數(shù)器加一����,計算源事件篩選表中所有條目的速率,更新源事件篩選表所有條目 的速率字段�����。
[0021] 在本發(fā)明的一個實施例中�,源事件ID與源事件篩選表中的當(dāng)前條目ID不匹配,判 斷當(dāng)前條目是否為空���;如果當(dāng)前條目為空��,則將當(dāng)前HTTP請求包的源事件ID插入當(dāng)前條 目���,計數(shù)器置為1����,表指針置為反向查詢�����,計算源事件篩選表中所有條目的速率����,更新源事件 篩選表所有條目的速率字段,更新目標(biāo)事件篩選表的計數(shù)器和速率字段���;如果當(dāng)前條目非 空�����,當(dāng)前條目計數(shù)器減一����,判斷當(dāng)前條目計數(shù)器是否為〇;如果當(dāng)前條目計數(shù)器為〇,用新的 請求包數(shù)據(jù)替換當(dāng)前條目,事件ID替換為當(dāng)前請求包的事件ID�����,源信息替換為當(dāng)前請求包 的源信息�,計數(shù)器設(shè)為1��,表指針為正向查詢����,計算源事件篩選表中所有條目的速率,更新源 事件篩選表所有條目的速率字段�����,更新目標(biāo)事件篩選表的計數(shù)器和速率字段�;如果當(dāng)前條 目計數(shù)器不為〇,表指針選取下一條目����,初始表指針設(shè)為正向查詢。
[0022] 在本發(fā)明的一個實施例中���,判斷單元在檢測到DOS攻擊時�,將攻擊源IP地址和用 戶cookie值提交給阻斷單元,阻斷單元調(diào)用安全設(shè)備對攻擊源IP地址進(jìn)行阻斷�。
[0023] 本發(fā)明能夠準(zhǔn)確的檢測攻擊,并且���,攻擊檢測實體可以對多個目標(biāo)系統(tǒng)進(jìn)行統(tǒng)一 檢測和防護(hù)�����,不需要用戶進(jìn)行配置和變更�����,簡化了部署和操作����。不代理數(shù)據(jù)流量處理��,性 能優(yōu)越����、成本低,適用于云計算環(huán)境中大規(guī)模虛擬服務(wù)器的部署和實施���,以及適用于應(yīng)用層 DOS攻擊的檢測和防御��。
【專利附圖】
【附圖說明】
[0024] 此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解��,構(gòu)成本發(fā)明的一部分��,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明�,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中:
[0025] 圖1所示為基于代理設(shè)備的檢測防御的示意圖��。
[0026] 圖2所示為本發(fā)明一實施例中的一種云計算環(huán)境下HTTP DOS攻擊的檢測系統(tǒng)的 架構(gòu)示意圖���。
[0027] 圖3所示為本發(fā)明一實施例中的一種云計算環(huán)境下HTTP DOS攻擊的檢測方法的 流程圖。
[0028] 圖4所示為本發(fā)明一實施例中的一種云計算環(huán)境下HTTP DOS攻擊的檢測方法的 流程圖�����。
[0029] 圖5所示為本發(fā)明一實施例中的一種云計算環(huán)境下HTTP DOS攻擊的檢測方法的 流程圖��。
[0030] 圖6所示為本發(fā)明一實施例中的一種云計算環(huán)境下HTTP DOS攻擊的檢測方法的 流程圖�。
【具體實施方式】
[0031] 現(xiàn)在將參照附圖來詳細(xì)描述本發(fā)明的各種示例性實施例。應(yīng)注意到:除非另外具 體說明�����,否則在這些實施例中闡述的部件和步驟的相對布置和數(shù)值不限制本發(fā)明的范圍���。
[0032] 同時�,應(yīng)當(dāng)明白,為了便于描述��,附圖中所示出的各個部分的尺寸并不是按照實際 的比例關(guān)系繪制的��。
[0033] 以下對至少一個示例性實施例的描述實際上僅僅是說明性的�,決不作為對本發(fā)明 及其應(yīng)用或使用的任何限制。
[0034] 對于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)��、方法和設(shè)備可能不作詳細(xì)討論�����,但在適 當(dāng)情況下���,所述技術(shù)��、方法和設(shè)備應(yīng)當(dāng)被視為授權(quán)說明書的一部分����。
[0035] 在這里示出和討論的所有示例中��,任何具體值應(yīng)被解釋為僅僅是示例性的��,而不 是作為限制。因此�,示例性實施例的其它示例可以具有不同的值。
[0036] 應(yīng)注意到:相似的標(biāo)號和字母在下面的附圖中表示類似項����,因此,一旦某一項在一 個附圖中被定義�����,則在隨后的附圖中不需要對其進(jìn)行進(jìn)一步討論����。
[0037] 本發(fā)明提出一種適用于云計算環(huán)境下對大量目標(biāo)系統(tǒng)的HTTP DOS攻擊的檢測方 法及系統(tǒng)�,不影響正常業(yè)務(wù)性能。DOS攻擊會導(dǎo)致被攻擊用戶資源使用的持續(xù)上升����,本發(fā)明 能有效的檢測到DOS攻擊,從而減少DOS攻擊對于用戶帶來的業(yè)務(wù)中斷風(fēng)險和經(jīng)濟(jì)損失���。本 發(fā)明適用于DDOS和EDOS攻擊的檢測��。
[0038] 圖2所示為本發(fā)明一實施例中的一種云計算環(huán)境下HTTP DOS攻擊的檢測系統(tǒng)的 架構(gòu)示意圖��。該系統(tǒng)包括HTTP DOS攻擊檢測實體(Attack Detection Entity, ADE)�����。該 ADE可以單獨部署��,也可以直接部署在云管理平臺上�。其中,ADE包括獲取單元和判斷單元����。
[0039] 獲取單元,配置于獲取對目標(biāo)Web頁面發(fā)起HTTP請求的源端信息�,包括請求次數(shù) 和速率。
[0040] 判斷單元��,配置于判斷該源端對該目標(biāo)Web頁面發(fā)起的HTTP請求次數(shù)和速率是否 大于各自的閾值�����,如果是���,認(rèn)為該源端對該目標(biāo)Web頁面發(fā)起DOS攻擊����。
[0041] 在本發(fā)明的一個實施例中,判斷單元檢測到請求次數(shù)和速率小于等于各自的閾 值�����,則認(rèn)為未發(fā)起DOS攻擊���?���;蛘?,在發(fā)起DOS攻擊的情況下,判斷單元檢測到請求次數(shù)和 速率小于等于各自的閾值���,則攻擊警報解除��。
[0042] 目前針對HTTP協(xié)議進(jìn)行DOS攻擊的主要方式是HTTP Flooding��,在短時間內(nèi)向消 耗大量系統(tǒng)資源的頁面(如數(shù)據(jù)庫交互頁面)發(fā)送大量請求,導(dǎo)致整個Web系統(tǒng)無法響應(yīng)�。 因此通過檢測請求的數(shù)量(即計數(shù)器的次數(shù))和發(fā)送的速率可以發(fā)現(xiàn)攻擊的異常狀態(tài),即���, 速率和計數(shù)器能夠準(zhǔn)確的匹配攻擊���。因此�,本發(fā)明能夠有效的進(jìn)行攻擊檢測����,尤其是在云計 算環(huán)境中對大量目標(biāo)的統(tǒng)一攻擊檢測和防御。
[0043] 為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點更加清楚明白���,以下結(jié)合具體實施例�,并參照 附圖���,對本發(fā)明進(jìn)一步詳細(xì)說明��。
[0044] 獲取單元提取HTTP請求包中的源IP地址���、用戶cookie值和目標(biāo)URL,其中�����,目標(biāo) URL即為目標(biāo)Web頁面的地址。由于一個Web系統(tǒng)可能有幾百萬的頁面��,IP地址都是相同 的����,而攻擊往往是針對特定頁面執(zhí)行的,因此采用URL進(jìn)行定位�����,以定位受到攻擊的頁面�。
[0045] 根據(jù)源IP地址和用戶cookie值計算得到源事件ID,根據(jù)目標(biāo)URL計算得到目標(biāo) 事件ID��。在本發(fā)明的一個實施例中�,通過Hash算法計算ID,S卩���,源IP地址和用戶cookie 值兩個字段組合通過Hash函數(shù)計算散列值�,得到源事件ID ;目標(biāo)URL字段通過Hash函數(shù) 計算散列值�,得到目標(biāo)事件ID。
[0046] 將目標(biāo)事件ID與目標(biāo)事件篩選表中的所有條目的ID進(jìn)行匹配�,目標(biāo)事件篩選表 中包括目標(biāo)事件ID、源信息�,即目標(biāo)URL、計數(shù)器�����、速率和表指針���,其中�����,表指針指向源事件 篩選表��,源事件篩選表包括源事件ID��、源信息����,即源IP地址和用戶Cookie值�、計數(shù)器、速率 和表指針�。如果匹配成功,即����,目標(biāo)事件篩選表中包括計算得到的目標(biāo)事件ID���,則轉(zhuǎn)向表指 針?biāo)赶虻脑词录Y選表,將源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹配���,根據(jù) 匹配結(jié)果更新計數(shù)器的計數(shù)值���,即請求次數(shù),并計算速率�。其中,源事件ID與源事件篩選表 中的當(dāng)前條目ID匹配�����,將當(dāng)前條目的計數(shù)器加一����,計算源事件篩選表中所有條目的速率, 更新源事件篩選表所有條目的速率字段�����。當(dāng)不匹配時執(zhí)行的操作�,將在下面進(jìn)行詳細(xì)說明。
[0047] 如果匹配不成功�,即����,目標(biāo)事件篩選表中未包括計算得到的目標(biāo)事件ID��,則在目標(biāo) 事件篩選表中創(chuàng)建新的條目�����,條目ID為當(dāng)前HTTP請求包的目標(biāo)事件ID���,源信息為訪問的 目標(biāo)URL,計數(shù)器置為1����,表指針指向新創(chuàng)建的源事件篩選表。創(chuàng)建對應(yīng)的源事件篩選表����,條 目ID為當(dāng)前HTTP請求包的源事件ID,源信息為當(dāng)前HTTP請求包的源IP和cookie���,計數(shù) 器置為1��,表指針為正向查詢�����。
[0048] 上面提到的目標(biāo)事件篩選表和源事件篩選表���,總體表結(jié)構(gòu)為鏈表的形式���,目標(biāo)事 件篩選表中的每個條目都有一個表指針指向?qū)?yīng)的源事件篩選表。
[0049] 對于事件篩選表中的每個條目由六元組組成�,如下表所示,分別為序號���、事件ID��、 源信息���、計數(shù)器、速率和表指針���。對于目標(biāo)事件和源事件篩選表中的條目含義有所不同���。
[0050]
【權(quán)利要求】
1. 一種云計算環(huán)境下HTTP DOS攻擊的檢測方法,其特征在于: 獲取對目標(biāo)Web頁面發(fā)起HTTP請求的源端信息��,包括請求次數(shù)和速率; 判斷該源端對該目標(biāo)Web頁面發(fā)起的HTTP請求次數(shù)和速率是否大于各自的閾值���,如果 是��,認(rèn)為該源端對該目標(biāo)Web頁面發(fā)起拒絕服務(wù)(DOS)攻擊��。
2. 如權(quán)利要求1所述云計算環(huán)境下HTTP DOS攻擊的檢測方法,其特征在于: 獲取對目標(biāo)Web頁面發(fā)起HTTP請求的源端信息的操作����,包括以下步驟: 提取HTTP請求包中的源IP地址、用戶cookie值和目標(biāo)URL���,其中����,目標(biāo)URL即為目標(biāo) Web頁面的地址��; 根據(jù)源IP地址和用戶cookie值計算得到源事件ID�,根據(jù)目標(biāo)URL計算得到目標(biāo)事件 ID ; 將目標(biāo)事件ID與目標(biāo)事件篩選表中的所有條目的ID進(jìn)行匹配���,目標(biāo)事件篩選表中包 括目標(biāo)事件ID�、第一源信息、第一計數(shù)器����、第一速率和第一表指針,其中�����,第一表指針指向源 事件篩選表�����,源事件篩選表包括源事件ID值����、第二源信息、第二計數(shù)器���、第二速率和第二表 指針��; 如果匹配成功����,即,目標(biāo)事件篩選表中包括計算得到的目標(biāo)事件ID���,則轉(zhuǎn)向第一表指針 所指向的源事件篩選表����,將源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹配�����,根據(jù)匹 配結(jié)果更新第二計數(shù)器的計數(shù)值���,即請求次數(shù),并計算第二速率��,即源端信息中的速率�����。
3. 如權(quán)利要求2所述云計算環(huán)境下HTTP DOS攻擊的檢測方法���,其特征在于: 如果匹配不成功�,即�����,目標(biāo)事件篩選表中未包括計算得到的目標(biāo)事件ID,則在目標(biāo)事件 篩選表中創(chuàng)建新的條目�,條目ID為當(dāng)前HTTP請求包的目標(biāo)事件ID值,第一源信息為訪問 的目標(biāo)URL�����,第一計數(shù)器置為1����,第一表指針指向新創(chuàng)建的源事件篩選表; 創(chuàng)建對應(yīng)的源事件篩選表���,條目ID為當(dāng)前HTTP請求包的源事件ID����,第二源信息為當(dāng)前 HTTP請求包的源IP和cookie�,第二計數(shù)器置為1,第二表指針為正向查詢�����。
4. 如權(quán)利要求2或3所述云計算環(huán)境下HTTP DOS攻擊的檢測方法���,其特征在于:源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹配的操作���,包括以下步驟: 源事件ID與源事件篩選表中的當(dāng)前條目ID匹配��,將當(dāng)前條目的計數(shù)器加一���,計算源事 件篩選表中所有條目的速率,更新源事件篩選表所有條目的速率字段���。
5. 如權(quán)利要求2或3所述云計算環(huán)境下HTTP DOS攻擊的檢測方法����,其特征在于:源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹配的操作����,包括以下步驟: 源事件ID與源事件篩選表中的當(dāng)前條目ID不匹配���,判斷當(dāng)前條目是否為空�����; 如果當(dāng)前條目為空���,則將當(dāng)前HTTP請求包的源事件ID插入當(dāng)前條目�,計數(shù)器置為1�����,表 指針置為反向查詢���,計算源事件篩選表中所有條目的速率��,更新源事件篩選表所有條目的 速率字段����,更新目標(biāo)事件篩選表的計數(shù)器和速率字段��; 如果當(dāng)前條目非空�,當(dāng)前條目計數(shù)器減一,判斷當(dāng)前條目計數(shù)器是否為0 ;如果當(dāng)前條 目計數(shù)器為〇,用新的請求包數(shù)據(jù)替換當(dāng)前條目���,事件ID替換為當(dāng)前請求包的事件ID�����,源信 息替換為當(dāng)前請求包的源信息����,計數(shù)器設(shè)為1,表指針為正向查詢�����,計算源事件篩選表中所 有條目的速率���,更新源事件篩選表所有條目的速率字段�,更新目標(biāo)事件篩選表的計數(shù)器和 速率字段���;如果當(dāng)前條目計數(shù)器不為〇,表指針選取下一條目�����,初始表指針設(shè)為正向查詢��。
6. 如權(quán)利要求1或2或3所述云計算環(huán)境下HTTP DOS攻擊的檢測方法��,其特征在于: 當(dāng)檢測到DOS攻擊時,提交攻擊源IP地址和用戶cookie值�; 調(diào)用安全設(shè)備對攻擊源IP地址進(jìn)行阻斷。
7. -種云計算環(huán)境下HTTP DOS攻擊的檢測系統(tǒng)�,其特征在于: 獲取單元�����,配置于獲取對目標(biāo)Web頁面發(fā)起HTTP請求的源端信息�,包括請求次數(shù)和速 率����; 判斷單元,配置于判斷該源端對該目標(biāo)Web頁面發(fā)起的HTTP請求次數(shù)和速率是否大于 各自的閾值����,如果是,認(rèn)為該源端對該目標(biāo)Web頁面發(fā)起DOS攻擊�����。
8. 如權(quán)利要求7所述云計算環(huán)境下HTTP DOS攻擊的檢測系統(tǒng)��,其特征在于: 獲取單元提取HTTP請求包中的源IP地址�����、用戶cookie值和目標(biāo)URL�����,其中,目標(biāo)URL 即為目標(biāo)Web頁面的地址�; 根據(jù)源IP地址和用戶cookie值計算得到源事件ID,根據(jù)目標(biāo)URL計算得到目標(biāo)事件 ID ���; 將目標(biāo)事件ID與目標(biāo)事件篩選表中的所有條目的ID進(jìn)行匹配����,目標(biāo)事件篩選表中包 括目標(biāo)事件ID��、第一源信息�����、第一計數(shù)器���、第一速率和第一表指針���,其中,第一表指針指向源 事件篩選表�����,源事件篩選表包括源事件ID值、第二源信息�、第二計數(shù)器�����、第二速率和第二表 指針���; 如果匹配成功�����,即����,目標(biāo)事件篩選表中包括計算得到的目標(biāo)事件ID�,則轉(zhuǎn)向第一表指針 所指向的源事件篩選表,將源事件ID與源事件篩選表中的所有條目的ID進(jìn)行匹配���,根據(jù)匹 配結(jié)果更新第二計數(shù)器的計數(shù)值���,即請求次數(shù),并計算第二速率�����,即源端信息中的速率。
9. 如權(quán)利要求8所述云計算環(huán)境下HTTP DOS攻擊的檢測系統(tǒng)�,其特征在于: 如果匹配不成功,即�����,目標(biāo)事件篩選表中未包括計算得到的目標(biāo)事件ID�,則在目標(biāo)事件 篩選表中創(chuàng)建新的條目,條目ID為當(dāng)前HTTP請求包的目標(biāo)事件ID值�,第一源信息為訪問 的目標(biāo)URL,第一計數(shù)器置為1����,第一表指針指向新創(chuàng)建的源事件篩選表; 創(chuàng)建對應(yīng)的源事件篩選表�,條目ID為當(dāng)前HTTP請求包的源事件ID,第二源信息為當(dāng)前 HTTP請求包的源IP和cookie�����,第二計數(shù)器置為1��,第二表指針為正向查詢�����。
10. 如權(quán)利要求8或9所述云計算環(huán)境下HTTP DOS攻擊的檢測系統(tǒng),其特征在于: 源事件ID與源事件篩選表中的當(dāng)前條目ID匹配���,將當(dāng)前條目的計數(shù)器加一,計算源事 件篩選表中所有條目的速率�����,更新源事件篩選表所有條目的速率字段���。
11. 如權(quán)利要求8或9所述云計算環(huán)境下HTTP DOS攻擊的檢測方系統(tǒng)�����,其特征在于:源事件ID與源事件篩選表中的當(dāng)前條目ID不匹配���,判斷當(dāng)前條目是否為空; 如果當(dāng)前條目為空����,則將當(dāng)前HTTP請求包的源事件ID插入當(dāng)前條目,計數(shù)器置為1�����,表 指針置為反向查詢,計算源事件篩選表中所有條目的速率����,更新源事件篩選表所有條目的 速率字段,更新目標(biāo)事件篩選表的計數(shù)器和速率字段���; 如果當(dāng)前條目非空�,當(dāng)前條目計數(shù)器減一���,判斷當(dāng)前條目計數(shù)器是否為0 ;如果當(dāng)前條 目計數(shù)器為〇,用新的請求包數(shù)據(jù)替換當(dāng)前條目����,事件ID替換為當(dāng)前請求包的事件ID���,源信 息替換為當(dāng)前請求包的源信息��,計數(shù)器設(shè)為1����,表指針為正向查詢����,計算源事件篩選表中所 有條目的速率�����,更新源事件篩選表所有條目的速率字段�����,更新目標(biāo)事件篩選表的計數(shù)器和 速率字段;如果當(dāng)前條目計數(shù)器不為〇,表指針選取下一條目�,初始表指針設(shè)為正向查詢。
12. 如權(quán)利要求7或8或9所述云計算環(huán)境下HTTP DOS攻擊的檢測系統(tǒng)����,其特征在于: 判斷單元在檢測到DOS攻擊時,將攻擊源IP地址和用戶cookie值提交給阻斷單元�����,阻 斷單元調(diào)用安全設(shè)備對攻擊源IP地址進(jìn)行阻斷�����。
【文檔編號】H04L29/08GK104333529SQ201310306860
【公開日】2015年2月4日 申請日期:2013年7月22日 優(yōu)先權(quán)日:2013年7月22日
【發(fā)明者】張鑒, 陳軍 申請人:中國電信股份有限公司