一種基于多重特征識別的應(yīng)用層DDoS攻擊防御系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種綜合DDoS防御算法�����,具體是一種基于多重特征識別的應(yīng)用層DDoS攻擊防御系統(tǒng)�����。
【背景技術(shù)】
[0002]傳統(tǒng)防火墻的檢測機制較為單一�,對上層協(xié)議的攻擊檢測能力不足,無法阻止來自應(yīng)用層的攻擊�,其計算資源有限,檢測深度不足�����,檢測效率緩慢�����,隨著攻擊者欺騙偽裝技術(shù)越來越復(fù)雜并且多樣化����,完全模擬正常瀏覽器真正業(yè)務(wù)用戶訪問,傳統(tǒng)防火墻無法檢測,因此將會成為網(wǎng)絡(luò)瓶頸�����。
[0003]隨著互聯(lián)網(wǎng)應(yīng)用特性復(fù)雜多變���,衍生出更復(fù)雜的攻擊方式�����,用戶只能隨著廠商升級;傳統(tǒng)防火墻攔截策略依然采用比較粗劣一刀切方式或隔離網(wǎng)絡(luò)機制����,如附圖2所示�����,這對上層流量檢測分析存在嚴(yán)重不足���,誤判率過高�,時常過濾�����、攔截用戶的正常訪問���,中斷用戶�����,這讓企業(yè)和用戶都無法接受����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種基于多重特征識別的應(yīng)用層DDoS(DistributedDenial
of Service分布式拒絕服務(wù))攻擊防御系統(tǒng)�,以解決上述【背景技術(shù)】中提出的問題,為實現(xiàn)上述目的����,本發(fā)明提供如下技術(shù)方案:
當(dāng)用戶發(fā)起請求時,系統(tǒng)將該用戶數(shù)據(jù)包信息存入net-node網(wǎng)絡(luò)流表����,并對所述用戶數(shù)據(jù)包進行分析處理,記錄其最后訪問時間��、源地址���、目標(biāo)地址��、目標(biāo)端口�、發(fā)送數(shù)據(jù)和接受的數(shù)據(jù)包大小,判定其來源是否真實可靠;在給用戶返回數(shù)據(jù)的時候插入一個驗證數(shù)據(jù)����,再次檢測來源是否真實可靠,當(dāng)確定來源真實之后���,添加該用戶至白名單���,否則列入黑名單拒絕訪問;當(dāng)用戶被添加至白名單����,用戶的信任度就是閾值信任度,系統(tǒng)給該來源分配一個cookie身份標(biāo)識;接著創(chuàng)建一個記錄該cookie身份標(biāo)識的data數(shù)據(jù)庫�����,記錄存儲該cookie身份標(biāo)識一定時間段的訪問信息�����,所述訪問信息包括連接數(shù)����、連接頻率、訪問數(shù)�、訪問頻率、http請求總數(shù)���、請求頻率和錯誤請求總數(shù)�、錯誤請求頻率���、錯誤請求的數(shù)據(jù)大小��,所述訪問信息作為身份驗證管理的依據(jù)�;當(dāng)用戶再次發(fā)起請求將不需要再次驗證;通過對一段時間內(nèi)cookie身份標(biāo)識的data數(shù)據(jù)庫進行分析判斷��,以閾值信任度為基數(shù)進行增加或減少�,并實時更新,低于閾值信任度將觸發(fā)驗證機制�����,引導(dǎo)用戶輸入驗證碼;如果未通過驗證�����,系統(tǒng)仍然會降低信任度,如果信任度降低到O�,將被列入黑名單拒絕訪問;通過驗證之后����,將恢復(fù)閾值任度。
[0005]作為本發(fā)明進一步的方案:所述cookie身份標(biāo)識是唯一的�����。
[0006]作為本發(fā)明再進一步的方案:所述data數(shù)據(jù)庫分為臨時存儲特征數(shù)據(jù)庫和長期儲存特征數(shù)據(jù)庫�。
[0007]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是: 通過建立訪問特征檢測分析的黑白名單�����,分析判斷用戶的長期訪問行為的正?;蚍欠ǎ贒DoS攻擊發(fā)生時���,保證用戶的正常流量不被攔截�����。
【附圖說明】
[0008]圖1為一種基于多重特征識別的應(yīng)用層DDoS攻擊防御系統(tǒng)的流程示意圖����。
[0009]圖2為傳統(tǒng)防火墻攔截策略的流程示意圖。
[0010]圖3����、圖4為一種基于多重特征識別的應(yīng)用層DDoS攻擊防御系統(tǒng)的信任度判斷流程示意圖�����。
【具體實施方式】
[0011 ]下面結(jié)合【具體實施方式】對本發(fā)明專利的技術(shù)方案作進一步詳細(xì)地說明�。
[0012]請參閱圖1和圖4,一種基于多重特征識別的應(yīng)用層DDoS攻擊防御系統(tǒng)�,下面結(jié)合【具體實施方式】對本專利的技術(shù)方案作進一步詳細(xì)地說明。
[0013]當(dāng)用戶發(fā)起請求時��,系統(tǒng)將該用戶數(shù)據(jù)包信息存入net-node網(wǎng)絡(luò)流表����,并對所述用戶數(shù)據(jù)包進行分析處理,記錄其最后訪問時間�、源地址、目標(biāo)地址��、目標(biāo)端口���、發(fā)送數(shù)據(jù)和接受的數(shù)據(jù)包大小����,判定其來源是否真實可靠;在給用戶返回數(shù)據(jù)的時候插入一個驗證數(shù)據(jù),再次檢測來源是否真實可靠��,當(dāng)確定來源真實之后��,添加該用戶至白名單���,否則列入黑名單拒絕訪問�;當(dāng)用戶被添加至白名單��,用戶的信任度就是閾值信任度���,系統(tǒng)給該來源分配一個cookie身份標(biāo)識��,cookie身份標(biāo)識是唯一的�����;接著創(chuàng)建一個記錄該cookie身份標(biāo)識的data數(shù)據(jù)庫�,記錄存儲該cookie身份標(biāo)識一定時間段的訪問信息����,所述訪問信息包括連接數(shù)���、連接頻率、訪問數(shù)�����、訪問頻率�、http請求總數(shù)����、請求頻率和錯誤請求總數(shù)、錯誤請求頻率����、錯誤請求的數(shù)據(jù)大小,所述訪問信息作為身份驗證管理的依據(jù)��;當(dāng)用戶再次發(fā)起請求將不需要再次驗證;通過對一段時間內(nèi)cookie身份標(biāo)識的data數(shù)據(jù)庫進行分析判斷��,以閾值信任度為基數(shù)進行增加或減少��,data數(shù)據(jù)庫通過身份管理調(diào)度實時更新����,data數(shù)據(jù)庫分為臨時存儲特征數(shù)據(jù)庫和長期儲存特征數(shù)據(jù)庫���,長期存儲特征數(shù)據(jù)庫包括互聯(lián)網(wǎng)常見的一些正常/非法請求,或人工添加的確認(rèn)判定為正常/非法的特征�,臨時存儲特征數(shù)據(jù)庫是根據(jù)用戶訪問的請求,主要通過對系統(tǒng)的運行產(chǎn)生一定影響范圍的操作特征��,判斷其請求為正常/非法請求����,若長時間未被匹配的特征將被丟棄,保證數(shù)據(jù)的新鮮;如圖3所示�����,用戶每次訪問時�,它的請求信息都會根據(jù)其cookie信息記錄在一張臨時的表中,如在一定時間段內(nèi)有大量的請求��,或過于頻繁的操作請求�����,將視為非法請求,將更新身份信息���,扣除該cookie的信任值���。常見的非法請求包括:在一定的時間段內(nèi)發(fā)起過多的請求,過高的請求頻率���,產(chǎn)生過多的錯誤請求���,大量無用的數(shù)據(jù)包等等,此類非法請求會判斷對系統(tǒng)的影響程度�,從而大幅度減少信任度;相反,如果每次正常請求���,將提升信任度,當(dāng)然這個值是有上限的�����。如果你的身份在系統(tǒng)中低于閾值信任度�����,將觸發(fā)驗證機制,引導(dǎo)用戶輸入驗證碼;如果未通過驗證�����,系統(tǒng)仍然會降低對你的信任���,如果信任度降低到O�����,將被拒絕訪問���。通過驗證之后,將恢復(fù)閾值ig任度��。
[0014]對于本領(lǐng)域技術(shù)人員而言��,顯然本發(fā)明不限于上述示范性實施例的細(xì)節(jié)��,而且在不背離本發(fā)明的精神或基本特征的情況下�����,能夠以其他的具體形式實現(xiàn)本發(fā)明�����。因此,無論從哪一點來看��,均應(yīng)將實施例看作是示范性的�����,而且是非限制性的���,本發(fā)明的范圍由所附權(quán)利要求而不是上述說明限定���,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化囊括在本發(fā)明內(nèi)。
[0015]此外����,應(yīng)當(dāng)理解,雖然本說明書按照實施方式加以描述���,但并非每個實施方式僅包含一個獨立的技術(shù)方案,說明書的這種敘述方式僅僅是為清楚起見���,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)將說明書作為一個整體����,各實施例中的技術(shù)方案也可以經(jīng)適當(dāng)組合,形成本領(lǐng)域技術(shù)人員可以理解的其他實施方式��。
【主權(quán)項】
1.一種基于多重特征識別的應(yīng)用層DDoS攻擊防御系統(tǒng)����,其特征在于,當(dāng)用戶發(fā)起請求時��,系統(tǒng)將該用戶數(shù)據(jù)包信息存入net-node網(wǎng)絡(luò)流表����,并對所述用戶數(shù)據(jù)包進行分析處理,記錄其最后訪問時間��、源地址����、目標(biāo)地址、目標(biāo)端□�、發(fā)送數(shù)據(jù)和接受的數(shù)據(jù)包大小,判定其來源是否真實可靠;在給用戶返回數(shù)據(jù)的時候插入一個驗證數(shù)據(jù)����,再次檢測來源是否真實可靠�����,當(dāng)確定來源真實之后���,添加該用戶至白名單,否則列入黑名單拒絕訪問����;當(dāng)用戶被添加至白名單,用戶的信任度就是閾值信任度����,系統(tǒng)給該來源分配一個cookie身份標(biāo)識;接著創(chuàng)建一個記錄該cookie身份標(biāo)識的data數(shù)據(jù)庫,記錄存儲該cookie身份標(biāo)識一定時間段的訪問信息���,所述訪問信息包括連接數(shù)�、連接頻率��、訪問數(shù)����、訪問頻率�����、http請求總數(shù)、請求頻率和錯誤請求總數(shù)���、錯誤請求頻率��、錯誤請求的數(shù)據(jù)大小�,所述訪問信息作為身份驗證管理的依據(jù)���;當(dāng)用戶再次發(fā)起請求將不需要再次驗證�;通過對一段時間內(nèi)cookie身份標(biāo)識的data數(shù)據(jù)庫進行分析判斷���,以閾值信任度為基數(shù)進行增加或減少��,并實時更新���,低于閾值信任度將觸發(fā)驗證機制,引導(dǎo)用戶輸入驗證碼;如果未通過驗證��,系統(tǒng)仍然會降低對信任度���,如果信任度降低到0��,將被列入黑名單拒絕訪問�;通過驗證之后,將恢復(fù)閾值信任度�。2.根據(jù)權(quán)利要求1所述的一種基于多重特征識別的應(yīng)用層DDoS攻擊防御系統(tǒng),其特征在于�����,所述cookie身份標(biāo)識是唯一的��。3.根據(jù)權(quán)利要求1所述的一種基于多重特征識別的應(yīng)用層DDoS攻擊防御系統(tǒng)�����,其特征在于�����,所述data數(shù)據(jù)庫分為臨時存儲特征數(shù)據(jù)庫和長期儲存特征數(shù)據(jù)庫��。
【專利摘要】本發(fā)明公開了一種基于多重特征識別的應(yīng)用層DDoS攻擊防御系統(tǒng)����,當(dāng)用戶發(fā)起請求時,系統(tǒng)將該用戶數(shù)據(jù)包信息存入net-node網(wǎng)絡(luò)流表,并對所述用戶數(shù)據(jù)包進行分析處理����,判定其來源是否真實可靠����;在給用戶返回數(shù)據(jù)的時候插入一個驗證數(shù)據(jù),再次檢測來源是否真實可靠�,當(dāng)確定來源真實之后,用戶的信任度就是閾值信任度����,系統(tǒng)給該來源分配一個cookie身份標(biāo)識;接著創(chuàng)建一個記錄該cookie身份標(biāo)識的data數(shù)據(jù)庫�,記錄存儲該cookie身份標(biāo)識一定時間段的訪問信息,所述訪問信息作為身份驗證管理的依據(jù)��;通過特征庫的分析處理進行相應(yīng)的調(diào)度��。本發(fā)明通過建立訪問特征檢測分析的黑白名單����,分析判斷用戶的長期訪問行為的正常或非法���,在DDoS攻擊發(fā)生時����,保證用戶的正常流量不被攔截。
【IPC分類】H04L29/06
【公開號】CN105610856
【申請?zhí)枴緾N201610047967
【發(fā)明人】蒙重安
【申請人】深圳一卡易網(wǎng)絡(luò)科技有限公司
【公開日】2016年5月25日
【申請日】2016年1月26日