一種基于url動態(tài)映射的http ddos防御方法
【專利摘要】本發(fā)明公開了一種基于URL動態(tài)映射的HTTP?DDOS防御方法，包括以下步驟：用戶訪問受保護(hù)頁面時，以用戶IP、URL地址作為參數(shù)，與一數(shù)據(jù)庫實時交互，從該數(shù)據(jù)庫中獲取映射地址；將映射地址發(fā)送給客戶端；客戶端使用上述映射地址，請求動態(tài)URL防御服務(wù)器重新訪問；WEB服務(wù)器接收到該請求，解析映射地址，通過實時生成的映射地址進(jìn)行訪問，映射地址能對應(yīng)的方獲得資源響應(yīng)。與現(xiàn)有技術(shù)相比，本發(fā)明通過URL動態(tài)映射技術(shù)使攻擊者在發(fā)起攻擊時無法準(zhǔn)確定位攻擊資源，從而確保了正常用戶對應(yīng)用層資源的有效訪問，提高了應(yīng)用層HTTP服務(wù)的抗攻擊性；阻止了攻擊者通過統(tǒng)一的代碼發(fā)起攻擊。
【專利說明】一種基于URL動態(tài)映射的HTTP DDOS防御方法

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明針對常見且攻擊效果明顯的HTTP服務(wù)DD0S攻擊，提出了一種基于URL動 態(tài)映射的防御方法。

【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)應(yīng)用迅速發(fā)展，攻擊者逐漸將攻擊目標(biāo)轉(zhuǎn)向了網(wǎng)絡(luò)上的應(yīng)用或服務(wù)，即 發(fā)起應(yīng)用層分布式拒絕服務(wù)攻擊（APP-DD0S)。由于應(yīng)用層協(xié)議具有多樣性與復(fù)雜性，應(yīng)用 層分布式拒絕服務(wù)攻擊難以檢測和防御。因此，APP-DD0S攻擊所產(chǎn)生的危害遠(yuǎn)大于傳統(tǒng)的 DD0S攻擊，當(dāng)前應(yīng)用層分布式拒絕服務(wù)攻擊中最為常見的是HTTPDD0S攻擊。
[0003] 目前多數(shù)針對上述APP-DD0S攻擊的防御技術(shù)的研究，將重點放在攻擊流到達(dá)時 的識別和過濾，針對攻擊目標(biāo)防御的研究（即在攻擊流到達(dá)前采取相關(guān)措施保護(hù)資源，使 得攻擊者無法準(zhǔn)確定位攻擊目標(biāo)）較少。


【發(fā)明內(nèi)容】

[0004] 為了克服上述現(xiàn)有技術(shù)存在的問題，因此，本發(fā)明提出了一種基于URL動態(tài)映射 的HTTP-DD0S防御方法，利用以動態(tài)映射URL地址，使攻擊者無法準(zhǔn)確定位攻擊目標(biāo)，達(dá)到 阻止攻擊流發(fā)生的目的。
[0005] 本發(fā)明提出的一種基于URL動態(tài)映射的HTTPDD0S防御方法，該方法包括以下步 驟：
[0006] 用戶訪問受保護(hù)頁面時，以用戶IP、URL地址作為參數(shù)，與一數(shù)據(jù)庫實時交互，從 該數(shù)據(jù)庫中獲取映射地址；
[0007] 將映射地址發(fā)送給客戶端；
[0008] 客戶端使用上述映射地址，請求動態(tài)URL防御服務(wù)器重新訪問；
[0009] WEB服務(wù)器接收到該請求，解析映射地址，通過實時生成的映射地址進(jìn)行訪問，映 射地址能對應(yīng)的方獲得資源響應(yīng)。
[0010] 所述映射地址為接收到的用戶IP、URL參數(shù)以及本地時間戳的哈希值。
[0011] 所述用戶IP采用圖靈測試算法進(jìn)行實時檢測，通過模塊測試的用戶才可以獲得 映射地址。
[0012] 以所述各映射地址為主鍵、以所述各用戶IP、URL作為映射字段，構(gòu)成一映射表以 備用戶驗證。
[0013] 與現(xiàn)有技術(shù)相比，本發(fā)明具有以下有益效果：
[0014] 1)、通過URL動態(tài)映射技術(shù)使攻擊者在發(fā)起攻擊時無法準(zhǔn)確定位攻擊資源，從而 確保了正常用戶對應(yīng)用層資源的有效訪問，提高了應(yīng)用層HTTP服務(wù)的抗攻擊性；
[0015] 2)、針對HTTPDD0S攻擊的特點，從隱藏真正資源地址的角度出發(fā)，將URL地址進(jìn)行 動態(tài)映射，使得不同客戶端請求同一頁面的映射地址均不相同，阻止了攻擊者通過統(tǒng)一的 代碼發(fā)起攻擊。該方法中映射表的查詢性能優(yōu)異，且客戶端與WEB服務(wù)器端無需針對防御 算法做出額外改動，具有一定的實用價值。

【專利附圖】

【附圖說明】
[0016] 圖1為本發(fā)明基于URL動態(tài)映射的HTTPDD0S防御方法流程示意圖；
[0017] 圖2為本發(fā)明基于URL動態(tài)映射的HTTPDD0S防御方法方法示意圖。

【具體實施方式】
[0018] 發(fā)起HTTP-DD0S攻擊需要一個正確的、符合互聯(lián)網(wǎng)標(biāo)準(zhǔn)RFC1738中定義的URL地 址；本發(fā)明的主要是為了對該URL地址提出一種保護(hù)機制，以避免遭受攻擊。
[0019] 下面結(jié)合附圖對本發(fā)明實施例進(jìn)一步詳細(xì)說明。
[0020] 如圖2所示，一種基于URL動態(tài)映射的HTTPDD0S防御方法，該流程概述如下：
[0021] 用戶訪問受保護(hù)頁面時，觸發(fā)頁面鏈接的JavaScript腳本；腳本以用戶IP、URL地 址作為參數(shù)，通過AJAX技術(shù)與數(shù)據(jù)庫實時交互，獲取映射地址；；
[0022] 以該映射地址為主鍵，用戶IP、URL作為字段存入一張映射表中以備驗證，并把映 射地址發(fā)送給客戶端；
[0023] 客戶端使用上述映射地址，請求URL重新訪問；
[0024] 服務(wù)器接收到該請求，解析映射地址時，只需查詢表中的記錄即可確定真實的資 源地址，每個客戶端只有通過實時生成的映射地址進(jìn)行訪問才能獲得資源響應(yīng)。
[0025] 本發(fā)明提供的基于URL動態(tài)映射的HTTPDD0S防御方法使攻擊者無法實時獲取每 個傀儡機的映射地址，不能通過統(tǒng)一的攻擊代碼發(fā)動DD0S攻擊。而且本發(fā)明為了防止程序 洪范攻擊防御算法，采用圖靈測試模塊檢測每一個IP是否正常，只有通過模塊測試的用戶 才可以獲得映射地址，從而確保了正常用戶對應(yīng)用層資源的有效訪問，大大提高了應(yīng)用層 HTTP服務(wù)的抗攻擊性。
[0026] 基于URL動態(tài)映射的HTTPDD0S防御方法如圖2所示，當(dāng)用戶訪問受保護(hù)頁面時通 過實時交互獲取映射地址，動態(tài)URL防御服務(wù)器將接收到的映射地址作為輸入值，用哈希 函數(shù)生成哈希值作為輸出映射地址，并發(fā)送給客戶端?？蛻舳耸褂蒙鲜鲇成涞刂氛埱髣討B(tài) URL防御服務(wù)器重新訪問，當(dāng)動態(tài)URL防御服務(wù)器解析映射地址時，根據(jù)映射表中的記錄將 映射地址對應(yīng)的資源地址提取出來發(fā)送給后端WEB服務(wù)器群，從而獲取資源地址響應(yīng)，進(jìn) 一步通過映射地址響應(yīng)回復(fù)給客戶端。
[0027] 以上所述，僅為本發(fā)明的較佳實施例而已，用于幫助理解本發(fā)明的方法及核心思 想，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在【具體實施方式】及應(yīng)用范圍上均會有 改變之處，所以本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
【權(quán)利要求】
1. 一種基于URL動態(tài)映射的HTTPDDOS防御方法，其特征在于，該方法包括以下步驟： 用戶訪問受保護(hù)頁面時，以用戶IP、URL地址作為參數(shù)，與一數(shù)據(jù)庫實時交互，從該數(shù) 據(jù)庫中獲取映射地址； 將映射地址發(fā)送給客戶端； 客戶端使用上述映射地址，請求動態(tài)URL防御服務(wù)器重新訪問； WEB服務(wù)器接收到該請求，解析映射地址，通過實時生成的映射地址進(jìn)行訪問，映射地 址能對應(yīng)的方獲得資源響應(yīng)。
2. 如權(quán)利要求1所述的一種基于URL動態(tài)映射的HTTPDDOS防御方法，其特征在于，所 述映射地址為接收到的用戶IP、URL參數(shù)以及本地時間戳的哈希值。
3. 如權(quán)利要求1所述的一種基于URL動態(tài)映射的HTTPDDOS防御方法，其特征在于，所 述用戶IP采用圖靈測試算法進(jìn)行實時檢測，通過模塊測試的用戶才可以獲得映射地址。
4. 如權(quán)利要求1所述的一種基于URL動態(tài)映射的HTTPDDOS防御方法，其特征在于， 以所述各映射地址為主鍵、以所述各用戶IP、URL作為映射字段，構(gòu)成一映射表以備用戶驗 證。
【文檔編號】H04L29/08GK104158799SQ201410342795
【公開日】2014年11月19日 申請日期:2014年7月17日 優(yōu)先權(quán)日:2014年7月17日
【發(fā)明者】張亞平, 布文秀, 蘇暢 申請人:天津大學(xué)