本技術(shù)涉及網(wǎng)絡(luò)安全，尤其涉及一種攻擊防御方法、裝置及電子設(shè)備。

背景技術(shù)：

1、挑戰(zhàn)黑洞(英文：challenge?collapsar，縮寫(xiě)為cc)攻擊為分布式拒絕服務(wù)(英文：distributed?denial?of?service，縮寫(xiě)為ddos)攻擊的一種攻擊類(lèi)型。在cc攻擊中，攻擊者借助大量肉雞、僵尸網(wǎng)絡(luò)和代理服務(wù)器，通過(guò)偽造萬(wàn)維網(wǎng)(英文：world?wide?web，縮寫(xiě)為web)請(qǐng)求消耗目標(biāo)服務(wù)器的資源，從而達(dá)到癱瘓系統(tǒng)的目的。針對(duì)該類(lèi)威脅，采取有效的防護(hù)措施是保障網(wǎng)絡(luò)安全的重要一環(huán)。

2、目前，針對(duì)cc攻擊的防御方式包括基于負(fù)載均衡的防御方式以及基于防御設(shè)備的防御方式。

3、其中，基于負(fù)載均衡的防御方式，可以通過(guò)將用戶(hù)終端(英文：user?equipment，縮寫(xiě)為ue)的請(qǐng)求分發(fā)到多個(gè)服務(wù)器上的方式來(lái)減輕單個(gè)服務(wù)器的負(fù)載壓力，從而實(shí)現(xiàn)cc攻擊的防御；也可以通過(guò)增加服務(wù)器的帶寬和硬件資源的方式，提高服務(wù)器的處理能力，使其能夠更好地承受cc攻擊的壓力，從而實(shí)現(xiàn)cc攻擊的防御；還可以通過(guò)流量限制的方式來(lái)實(shí)現(xiàn)cc攻擊的防御。但是，該類(lèi)型的防御方式，需要消耗更多的資源與花費(fèi)，才能實(shí)現(xiàn)cc攻擊的防御。

4、基于防御設(shè)備的防御方式，可以通過(guò)采用限制網(wǎng)際互聯(lián)協(xié)議(英文：internetprotocol，縮寫(xiě)為ip)訪問(wèn)頻率、圖形驗(yàn)證碼等方式來(lái)實(shí)現(xiàn)cc攻擊的防御。但是，在采用ip訪問(wèn)頻率來(lái)實(shí)現(xiàn)cc攻擊的防御時(shí)，容易誤判合法ue為非合法ue(如攻擊者)，從而誤封合法ue；而使用圖形驗(yàn)證碼來(lái)實(shí)現(xiàn)cc攻擊的防御時(shí)，容易影響用戶(hù)體驗(yàn)。

5、因此，cc攻擊的常見(jiàn)防御方式需要消耗更多的資源和花費(fèi)，并且，還容易產(chǎn)生誤判，以及影響用戶(hù)體驗(yàn)。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)提供了一種攻擊防御方法、裝置及電子設(shè)備，用以解決cc攻擊的常見(jiàn)防御方式需要消耗更多的資源和花費(fèi)，且容易產(chǎn)生誤判以及影響用戶(hù)體驗(yàn)的問(wèn)題。具體實(shí)現(xiàn)方案如下：

2、第一方面，本技術(shù)提供了一種攻擊防御方法，所述方法應(yīng)用于用戶(hù)面功能upf，所述方法包括：

3、響應(yīng)于用戶(hù)終端ue向服務(wù)器發(fā)起請(qǐng)求，在所述請(qǐng)求對(duì)應(yīng)的原報(bào)文的頭部增加信息，得到所述原報(bào)文變更后的新報(bào)文；

4、將所述新報(bào)文發(fā)送至防御設(shè)備，以使所述防御設(shè)備基于所述新報(bào)文中的新增信息與合法列表的匹配結(jié)果，確定是否將所述請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)器；所述合法列表包括合法ue的信息；所述新增信息為在所述原報(bào)文的頭部增加的信息。

5、通過(guò)上述申請(qǐng)實(shí)施例，upf對(duì)ue向服務(wù)器發(fā)起的請(qǐng)求所對(duì)應(yīng)的原報(bào)文的頭部增加信息，再將原報(bào)文變更后的新報(bào)文發(fā)送至防御設(shè)備，使得防御設(shè)備能夠基于新報(bào)文的新增信息與包括合法ue的信息的合法列表的匹配結(jié)果，準(zhǔn)確的識(shí)別出合法ue與非合法ue，從而避免了對(duì)合法ue的誤封，并有助于提升用戶(hù)體驗(yàn)。同時(shí)，通過(guò)在原報(bào)文的頭部增加信息的方式來(lái)進(jìn)行防御，無(wú)需額外增加服務(wù)器的資源等，從而相比于常規(guī)防御方式對(duì)資源與花費(fèi)的消耗，使得資源與花費(fèi)得以明顯降低。

6、在一種可能的實(shí)施方式中，所述在所述請(qǐng)求對(duì)應(yīng)的原報(bào)文的頭部增加信息，得到所述原報(bào)文變更后的新報(bào)文，包括：

7、接收所述防御設(shè)備發(fā)送的統(tǒng)一資源定位符url列表；其中，所述url列表包括被攻擊的url；所述url列表為所述防御設(shè)備基于url訪問(wèn)次數(shù)的統(tǒng)計(jì)確定出來(lái)的；

8、判斷所述請(qǐng)求對(duì)應(yīng)的url是否為所述url列表中的url；

9、若是，則在所述請(qǐng)求對(duì)應(yīng)的所述原報(bào)文的頭部增加信息，得到所述原報(bào)文變更后的所述新報(bào)文。

10、通過(guò)上述申請(qǐng)實(shí)施例，根據(jù)請(qǐng)求對(duì)應(yīng)的url是否為防御設(shè)備發(fā)送的url列表中的url，確定出了請(qǐng)求對(duì)應(yīng)的url是否為被攻擊的url，再在請(qǐng)求對(duì)應(yīng)的url為被攻擊的url時(shí)，才在請(qǐng)求對(duì)應(yīng)的原報(bào)文的頭部增加信息，從而可以減少后續(xù)防御設(shè)備的檢測(cè)量，使得防御的效率得以提高。

11、在一種可能的實(shí)施方式中，所述在所述請(qǐng)求對(duì)應(yīng)的原報(bào)文的頭部增加信息，包括：

12、在所述請(qǐng)求對(duì)應(yīng)的所述原報(bào)文的頭部，增加q種字段與字段值；其中，q為正整數(shù)，所述q種字段與字段值包括所述原報(bào)文對(duì)應(yīng)的ue的身份信息。

13、通過(guò)上述申請(qǐng)實(shí)施例，在ue發(fā)起的請(qǐng)求所對(duì)應(yīng)的原報(bào)文的頭部，插入了包括該ue的身份信息的q種字段與字段值，得到了新增信息，并使得后續(xù)防御設(shè)備可以根據(jù)插入的q種字段與字段值(即新增信息)，核實(shí)該ue是否為合法ue，以便于實(shí)現(xiàn)攻擊的防御。

14、在一種可能的實(shí)施方式中，所述在所述請(qǐng)求對(duì)應(yīng)的原報(bào)文的頭部增加信息，包括：

15、接收所述防御設(shè)備發(fā)送的變更信息；

16、根據(jù)所述變更信息，以及固定周期或非固定周期，在所述請(qǐng)求對(duì)應(yīng)的所述原報(bào)文的頭部，變更增加的字段與字段值；或者

17、根據(jù)所述變更信息，在確定所述服務(wù)器的請(qǐng)求次數(shù)大于等于超文本傳輸協(xié)議http每秒請(qǐng)求閾值，且持續(xù)k時(shí)長(zhǎng)后，在所述原報(bào)文的頭部，變更增加的字段與字段值，直至所述請(qǐng)求次數(shù)低于所述http每秒請(qǐng)求閾值；其中，k為正整數(shù)。

18、通過(guò)上述申請(qǐng)實(shí)施例，根據(jù)固定周期或非固定周期，或者請(qǐng)求次數(shù)與http每秒請(qǐng)求閾值的比較結(jié)果，對(duì)原報(bào)文的頭部中增加的字段與字段值進(jìn)行變更，使得攻擊者難以實(shí)時(shí)的仿冒合法ue的報(bào)頭，從而可以抵御仿冒合法ue的攻擊，進(jìn)一步地增強(qiáng)了防御。

19、第二方面，本技術(shù)提供了一種攻擊防御方法，所述方法應(yīng)用于防御設(shè)備，所述方法包括：

20、接收用戶(hù)面功能upf發(fā)送的新報(bào)文，并獲取所述新報(bào)文中的新增信息；其中，所述新增信息為所述upf在所述新報(bào)文對(duì)應(yīng)的原報(bào)文的頭部中增加的信息；所述新報(bào)文為用戶(hù)終端ue向服務(wù)器發(fā)起的請(qǐng)求所對(duì)應(yīng)的所述原報(bào)文變更后的報(bào)文；

21、基于所述新增信息與合法列表的匹配結(jié)果，確定是否將所述請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)器；其中，所述合法列表包括合法ue的信息。

22、通過(guò)上述申請(qǐng)實(shí)施例，防御設(shè)備對(duì)接收到的upf發(fā)送來(lái)的新報(bào)文中的新增信息(即upf對(duì)ue向服務(wù)器發(fā)起的請(qǐng)求所對(duì)應(yīng)的原報(bào)文的頭部中增加的信息)與包括合法用戶(hù)的信息(即合法列表)進(jìn)行匹配，從而基于該匹配結(jié)果，來(lái)確定是否將請(qǐng)求轉(zhuǎn)發(fā)至服務(wù)器，從而可以準(zhǔn)確地識(shí)別出合法ue與非合法ue，避免了對(duì)合法ue的誤封，并有助于提升用戶(hù)體驗(yàn)。同時(shí)，防御設(shè)備通過(guò)upf發(fā)送的新報(bào)文的新增信息的方式來(lái)進(jìn)行防御，無(wú)需額外增加服務(wù)器的資源等，從而相比于常規(guī)防御方式對(duì)資源與花費(fèi)的消耗，使得資源與花費(fèi)得以明顯降低。

23、在一種可能的實(shí)施方式中，在所述接收用戶(hù)面功能upf發(fā)送的新報(bào)文之前，還包括：

24、響應(yīng)于發(fā)生攻擊，通過(guò)統(tǒng)一資源定位符url訪問(wèn)次數(shù)的統(tǒng)計(jì)，確定url列表，并將所述url列表發(fā)送至所述upf，以使所述upf基于所述url列表，當(dāng)確定所述請(qǐng)求對(duì)應(yīng)的url為所述url列表中的url時(shí)，在所述原報(bào)文的頭部增加信息；其中，所述url列表包括被攻擊的url。

25、通過(guò)上述申請(qǐng)實(shí)施例，防御設(shè)備在發(fā)生攻擊后，將通過(guò)url訪問(wèn)次數(shù)的統(tǒng)計(jì)來(lái)確定出的包括被攻擊的url的url列表發(fā)送至upf，為upf對(duì)請(qǐng)求所對(duì)應(yīng)的url的匹配提供了匹配列表，使得upf在請(qǐng)求對(duì)應(yīng)的url與url列表相匹配時(shí)，才在原報(bào)文的頭部增加信息，從而減少了防御設(shè)備所接收到的新報(bào)文的數(shù)量，進(jìn)一步地減少了新增信息與合法列表的匹配量，使得防御的效率得以提高。

26、在一種可能的實(shí)施方式中，所述通過(guò)統(tǒng)一資源定位符url訪問(wèn)次數(shù)的統(tǒng)計(jì)，確定url列表，包括：

27、統(tǒng)計(jì)所有url的訪問(wèn)次數(shù)；

28、確定所述訪問(wèn)次數(shù)符合預(yù)設(shè)條件的目標(biāo)url，并生成包括所述目標(biāo)url的所述url列表；其中，所述目標(biāo)url為被攻擊的url；所述預(yù)設(shè)條件為所述訪問(wèn)次數(shù)大于等于訪問(wèn)次數(shù)閾值，或者為所述訪問(wèn)次數(shù)位于訪問(wèn)次數(shù)排名中的前n位，n為正整數(shù)。

29、通過(guò)上述申請(qǐng)實(shí)施例，根據(jù)url的訪問(wèn)次數(shù)與預(yù)設(shè)條件的比較，在訪問(wèn)次數(shù)符合預(yù)設(shè)條件后，才確定該訪問(wèn)次數(shù)對(duì)應(yīng)的url為被攻擊的url，從而準(zhǔn)確地生成了包括被攻擊url的url列表，有助于進(jìn)一步地提升防御的準(zhǔn)確性。

30、在一種可能的實(shí)施方式中，所述基于所述新增信息與合法列表的匹配結(jié)果，確定是否將所述請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)器，包括：

31、判斷所述新增信息與所述合法列表是否相符；

32、若是，則將所述請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)器，以使所述新報(bào)文對(duì)應(yīng)的ue與所述服務(wù)器通信；

33、若否，則拒絕所述新報(bào)文對(duì)應(yīng)的ue與所述服務(wù)器通信。

34、通過(guò)上述申請(qǐng)實(shí)施例，基于新增信息與合法列表是否相符的判斷結(jié)果(即新增信息與合法列表的匹配結(jié)果)，確定出了新報(bào)文所對(duì)應(yīng)的ue是否為合法ue，從而在是合法ue時(shí)，才將該ue發(fā)送的請(qǐng)求轉(zhuǎn)發(fā)至服務(wù)器，并在不是合法ue時(shí)，拒絕將請(qǐng)求轉(zhuǎn)發(fā)至web服務(wù)器，進(jìn)而實(shí)現(xiàn)了攻擊的有效防御。

35、在一種可能的實(shí)施方式中，在所述若是之后，還包括：

36、將所述新報(bào)文對(duì)應(yīng)的ue的網(wǎng)際互聯(lián)協(xié)議ip加入白名單；以及

37、在所述若否之后，還包括：

38、將所述新報(bào)文對(duì)應(yīng)的ue的ip加入黑名單。

39、通過(guò)上述申請(qǐng)實(shí)施例，在新增信息與合法列表相符之后，將新報(bào)文對(duì)應(yīng)的ue的ip加入了白名單，使得該ue再一次向服務(wù)器發(fā)起請(qǐng)求時(shí)，可以直接通過(guò)該請(qǐng)求，避免了對(duì)合法ue的再一次檢測(cè)，從而可以加快該ue的請(qǐng)求速率，進(jìn)一步地提升了用戶(hù)體驗(yàn)，同時(shí)還提升了防御的效率。

40、另外，在新增信息與合法列表不相符后，將新報(bào)文對(duì)應(yīng)的ue的ip加入黑名單，使得該ue再一次向服務(wù)器發(fā)起請(qǐng)求時(shí)，可以直接拒絕該請(qǐng)求，避免了對(duì)非合法ue的再一次檢測(cè)，進(jìn)一步地提升了防御是效率。

41、第三方面，本技術(shù)還提供了一種攻擊防御裝置，應(yīng)用于用戶(hù)面功能upf，所述裝置包括：

42、修改模塊，用于響應(yīng)于用戶(hù)終端ue向服務(wù)器發(fā)起請(qǐng)求，在所述請(qǐng)求對(duì)應(yīng)的原報(bào)文的頭部增加信息，得到所述原報(bào)文變更后的新報(bào)文；

43、第一處理模塊，用于將所述新報(bào)文發(fā)送至防御設(shè)備，以使所述防御設(shè)備基于所述新報(bào)文中的新增信息與合法列表的匹配結(jié)果，確定是否將所述請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)器；所述合法列表包括合法ue的信息；所述新增信息為在所述原報(bào)文的頭部增加的信息。

44、在一種可能的實(shí)施方式中，所述修改模塊，具體用于接收所述防御設(shè)備發(fā)送的統(tǒng)一資源定位符url列表；其中，所述url列表包括被攻擊的url；所述url列表為所述防御設(shè)備基于url訪問(wèn)次數(shù)的統(tǒng)計(jì)確定出來(lái)的；

45、判斷所述請(qǐng)求對(duì)應(yīng)的url是否為所述url列表中的url；

46、若是，則在所述請(qǐng)求對(duì)應(yīng)的所述原報(bào)文的頭部增加信息，得到所述原報(bào)文變更后的所述新報(bào)文。

47、在一種可能的實(shí)施方式中，所述修改模塊，具體用于在所述請(qǐng)求對(duì)應(yīng)的所述原報(bào)文的頭部，增加q種字段與字段值；其中，q為正整數(shù)，所述q種字段與字段值包括所述原報(bào)文對(duì)應(yīng)的ue的身份信息。

48、在一種可能的實(shí)施方式中，所述修改模塊，具體用于接收所述防御設(shè)備發(fā)送的變更信息；

49、根據(jù)所述變更信息，以及固定周期或非固定周期，在所述請(qǐng)求對(duì)應(yīng)的所述原報(bào)文的頭部，變更增加的字段與字段值；或者

50、根據(jù)所述變更信息，在確定所述服務(wù)器的請(qǐng)求次數(shù)大于等于超文本傳輸協(xié)議http每秒請(qǐng)求閾值，且持續(xù)k時(shí)長(zhǎng)后，在所述原報(bào)文的頭部，變更增加的字段與字段值，直至所述請(qǐng)求次數(shù)低于所述http每秒請(qǐng)求閾值；其中，k為正整數(shù)。

51、第四方面，本技術(shù)還提供了一種攻擊防御裝置，應(yīng)用于防御設(shè)備，所述裝置包括：

52、接收模塊，用于接收用戶(hù)面功能upf發(fā)送的新報(bào)文，并獲取所述新報(bào)文中的新增信息；其中，所述新增信息為所述upf在所述新報(bào)文對(duì)應(yīng)的原報(bào)文的頭部中增加的信息；所述新報(bào)文為用戶(hù)終端ue向服務(wù)器發(fā)起的請(qǐng)求所對(duì)應(yīng)的所述原報(bào)文變更后的報(bào)文；

53、第二處理模塊，用于基于所述新增信息與合法列表的匹配結(jié)果，確定是否將所述請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)器；其中，所述合法列表包括合法ue的信息。

54、在一種可能的實(shí)施方式中，所述裝置還包括發(fā)送模塊，所述發(fā)送模塊，用于在所述接收用戶(hù)面功能upf發(fā)送的新報(bào)文之前，響應(yīng)于發(fā)生攻擊，通過(guò)統(tǒng)一資源定位符url訪問(wèn)次數(shù)的統(tǒng)計(jì)，確定url列表，并將所述url列表發(fā)送至所述upf，以使所述upf基于所述url列表，當(dāng)確定所述請(qǐng)求對(duì)應(yīng)的url為所述url列表中的url時(shí)，在所述原報(bào)文的頭部增加信息；其中，所述url列表包括被攻擊的url。

55、在一種可能的實(shí)施方式中，所述發(fā)送模塊，具體用于統(tǒng)計(jì)所有url的訪問(wèn)次數(shù)；

56、確定所述訪問(wèn)次數(shù)符合預(yù)設(shè)條件的目標(biāo)url，并生成包括所述目標(biāo)url的所述url列表；其中，所述目標(biāo)url為被攻擊的url；所述預(yù)設(shè)條件為所述訪問(wèn)次數(shù)大于等于訪問(wèn)次數(shù)閾值，或者為所述訪問(wèn)次數(shù)位于訪問(wèn)次數(shù)排名中的前n位，n為正整數(shù)。

57、在一種可能的實(shí)施方式中，所述第二處理模塊，具體用于判斷所述新增信息與所述合法列表是否相符；

58、若是，則將所述請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)器，以使所述新報(bào)文對(duì)應(yīng)的ue與所述服務(wù)器通信；

59、若否，則拒絕所述新報(bào)文對(duì)應(yīng)的ue與所述服務(wù)器通信。

60、在一種可能的實(shí)施方式中，所述第二處理模塊，具體用于在所述若是之后，將所述新報(bào)文對(duì)應(yīng)的ue的網(wǎng)際互聯(lián)協(xié)議ip加入白名單；以及

61、在所述若否之后，將所述新報(bào)文對(duì)應(yīng)的ue的ip加入黑名單。

62、第五方面，本技術(shù)提供了一種電子設(shè)備，包括：

63、存儲(chǔ)器，用于存放計(jì)算機(jī)程序；

64、處理器，用于執(zhí)行所述存儲(chǔ)器上所存放的計(jì)算機(jī)程序時(shí)，實(shí)現(xiàn)上述的一種攻擊防御方法步驟。

65、第六方面，本技術(shù)提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)內(nèi)存儲(chǔ)有計(jì)算機(jī)程序，計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述的一種攻擊防御方法步驟。

66、上述第三方面至第六方面中的各個(gè)方面以及各個(gè)方面可能達(dá)到的技術(shù)效果請(qǐng)參照上述針對(duì)第一方面或第一方面中的各種可能方案可以達(dá)到的技術(shù)效果說(shuō)明，或者上述針對(duì)第二方面或第二方面中的各種可能方案可以達(dá)到的技術(shù)效果說(shuō)明，這里不再重復(fù)贅述。