一種基于積分策略的網(wǎng)站ddos攻擊防御系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種基于“積分策略”的網(wǎng)站DDOS攻擊防御系統(tǒng)���,包括客戶端、防火墻����、入侵檢測系統(tǒng)以及Web服務器,在所述入侵檢測系統(tǒng)與web服務器之間還包括攻擊IP過濾單元�����,所述防火墻除用于防御已知網(wǎng)絡攻擊外,還根據(jù)攻擊IP過濾單元的過濾指令進行防御處理��;所述入侵檢測系統(tǒng)以所述防火墻的防御處理結果作為輸入�,用于檢測已知的DDOS攻擊;所述攻擊IP過濾單元���,用于對被判定為具有攻擊行為的用戶IP進行過濾���,所述過濾為阻止該用戶IP對Web服務器的正常訪問,判定結果經(jīng)積分累計及緩存���,對于緩存結果實現(xiàn)動態(tài)評估����,據(jù)此評估結果判定該用戶IP是否需被過濾或者重新獲得登錄資格����。本發(fā)明應用簡便,不僅可以最大限度的保證正常用戶的訪問�����,還可以快速屏蔽出攻擊。
【專利說明】—種基于積分策略的網(wǎng)站DDOS攻擊防御系統(tǒng)及方法
【技術領域】
[0001]本發(fā)明涉及一種企業(yè)門戶網(wǎng)站攻擊的防御方法��,特別是涉及一種針對應用層DDOS攻擊的防御系統(tǒng)及方法�。
【背景技術】
[0002]DDOS全稱為分布式拒絕服務。DDOS攻擊表現(xiàn)為攻擊者利用某種方法使得目標主機的系統(tǒng)資源被大量占用����,或者目標主機的網(wǎng)絡帶寬擁塞,最終使得合法用戶得不到服務�。與傳統(tǒng)采用洪泛攻擊方式的DDOS攻擊不同,APP-DDOS 一般是通過正常訪問的方式發(fā)送合法請求占用大量服務資源�����,從而讓合法用戶無法訪問�����,其代表的攻擊為CC攻擊���、HTTP風暴攻擊等��。當發(fā)起攻擊時,攻擊者不斷地請求計算開銷較大的頁面����,如查詢數(shù)據(jù)庫���、下載文件等。由于提供服務的一般都是普通服務器�����,只要請求足夠多�,就可以使服務器癱瘓,網(wǎng)站被迫關閉��。
[0003]目前廣泛使用的防御方法往往會干擾訪問者對服務器的正常訪問���,影響用戶的用戶體驗��;又或者不能在短時間內有效的抑制攻擊��,導致在識別出合法用戶之前服務器可能已經(jīng)崩潰���。
【發(fā)明內容】
[0004]為了克服現(xiàn)有技術存在的問題,本發(fā)明提出了一種基于挑戰(zhàn)應答和指紋識別的身份驗證方法�,身份驗證時,主機和用戶之間通過挑戰(zhàn)應答、指紋識別及非對稱加密技術實現(xiàn)身份識別���,每次身份識別都需要進行“挑戰(zhàn)”��、“應答”�、“置舌L”和“加密處理”�,且每次發(fā)送的挑戰(zhàn)字串都不重復,不可推算�,監(jiān)聽者在一次識別時截獲的“應答”不適用于下次身份識別,有效防止了冒充身份的發(fā)生��。
[0005]本發(fā)明提出了一種基于“積分策略”的網(wǎng)站DDOS攻擊防御系統(tǒng)��,該系統(tǒng)包括客戶端����、防火墻、入侵檢測系統(tǒng)以及Web服務器��,在所述入侵檢測系統(tǒng)與web服務器之間還包括攻擊IP過濾單元�����,其中:
[0006]所述防火墻�,除用于防御已知網(wǎng)絡攻擊外���,在該防御系統(tǒng)中還用于根據(jù)攻擊IP過濾單元的過濾指令進行防御處理����;
[0007]所述入侵檢測系統(tǒng),以所述防火墻的防御處理結果作為輸入���,用于檢測出已知的DDOS攻擊��;
[0008]所述攻擊IP過濾單元�����,用于對被判定為具有攻擊行為的用戶IP進行過濾��,所述過濾的具體處理為阻止該用戶IP對Web服務器的正常訪問�,判定結果經(jīng)積分累計及緩存�,對于積分緩存結果實現(xiàn)動態(tài)評估,據(jù)此評估結果判定該用戶IP是否需被過濾或者重新獲得登錄進入系統(tǒng)的資格��。
[0009]本發(fā)明還提出了一種基于“積分策略”的網(wǎng)站DDOS攻擊防御方法�����,該方法包括以下步驟:
[0010]由防火墻實現(xiàn)防御已知網(wǎng)絡攻擊,以及根據(jù)攻擊IP過濾單元的過濾指令進行防御處理�����;
[0011]由入侵檢測系統(tǒng)以所述防火墻的防御處理結果作為輸入�����,進一步用于檢測出已知的DDOS攻擊�����;
[0012]由攻擊IP過濾單元對被判定為具有攻擊行為的用戶IP進行過濾�,所述過濾的具體處理為阻止該用戶IP對Web服務器的正常訪問,判定結果經(jīng)積分累計及緩存��,對于積分緩存結果實現(xiàn)動態(tài)評估�,據(jù)此評估結果判定該用戶IP是否需被過濾或者重新獲得登錄進入系統(tǒng)的資格。
[0013]與現(xiàn)有技術相比����,本發(fā)明應用簡便,與傳統(tǒng)方案相比�����,不僅可以最大限度的保證正常用戶的訪問,還可以快速屏蔽出攻擊�。
【專利附圖】
【附圖說明】
[0014]圖1為本發(fā)明的一種基于“積分策略”的網(wǎng)站防御DDOS攻擊系統(tǒng)結構框圖;
[0015]圖2為本發(fā)明的一種基于“積分策略”的網(wǎng)站防御DDOS攻擊方法運行時訪問流程圖����。
【具體實施方式】
[0016]下面結合附圖和實施例�,進一步詳細說明本發(fā)明的【具體實施方式】。
[0017]如圖1-2所示��,為本發(fā)明的一`種基于“積分策略”的網(wǎng)站防御DDOS攻擊系統(tǒng)的結構框圖和運行訪問流程��。`
[0018]1���、相關定義�。
[0019](I)服務價格:該值代表了用戶使用某服務或訪問某頁面需付出的積分值���,其中每個服務價格X i = c i ? Q i���,C i代表每個服務或頁面的收益權重(如一個提供數(shù)據(jù)庫查詢?yōu)橹鞯木W(wǎng)站其數(shù)據(jù)庫服務所占權重最大,其他依次類推減少)���,Q 表服務所需的資源成本�,綜合了每個服務或頁面所消耗的CPU計算開銷、內存����、帶寬、I/O速率等得出的一個值�。
[0020](2)積分:該值是用來獲得服務或訪問某頁面的消耗品,如果把服務或頁面視為商品的話則積分就是購買商品的貨幣�����。積分值的多少還是衡量一個用戶是否為正常用戶的重要標志�����。
[0021]2�����、具體方法
[0022]本發(fā)明的系統(tǒng)由以下幾個模塊組成:
[0023](I)防火墻:防火墻不僅可以防御已知的�、常見的攻擊之外,還通過接收模型內部排隊模塊中維護的黑名單IP進行包過濾����。防火墻還有日志記錄功能,可以記錄網(wǎng)絡訪問數(shù)據(jù)等��,對于分析網(wǎng)絡攻擊有一定的幫助。
[0024](2)入侵檢測系統(tǒng):該系統(tǒng)運行規(guī)則匹配程序���,可以檢測出已知規(guī)則的DDOS攻擊�,減輕服務器的負擔����。
[0025](3)積分計算模塊:
[0026]若請求IP不在用戶控制模塊中的白名單中時,則將該IP認定為新用戶����;對于新用戶新IP來說��,每個IP初始化積分值為a(該值足夠一個正常用戶在足夠長的時間里完成訪問或享用服務����,但是對于高頻率訪問的攻擊IP來說遠遠不夠);每次請求一項服務或訪問一個頁面時,會根據(jù)消費模塊中的服務價格表扣除相應的積分值�����,并返回積分計算模塊進行結算���;當用戶通過獎勵模塊的某些測試時�����,為該用戶IP加上相應的獎勵積分��;
[0027]當積分累計超過閥值Bmax的時候�����,則認為是正常用戶���,將該IP放入用戶控制模塊���,并且之后請求的各種服務或頁面不再消耗積分;若積分值小于最小閥值Bmin時����,則將該IP放入排隊模塊做進一步處理;當排隊模塊中的某個IP的積分重新大于閥值Bniin的時候重新取出放入積分計算模塊為之提供消費資格�。
[0028](4)獎勵模塊:該模塊是判斷是否為正常用戶的關鍵模塊,但如果該IP已經(jīng)認證為正常用戶則該模塊不起作用����。它負責向客戶端發(fā)送一些測試(比如圖靈測試或一些簡單邏輯測試),并收集客戶端的回應,根據(jù)客戶端表現(xiàn)獎勵積分�。
[0029](5)消費模塊:該模塊負責維護一個服務(或叫頁面)價格表,每當接收到請求時��,該模塊從表中查到相應的服務價格然后將價格信息傳遞給積分計算模塊進行積分計算�。當請求的用戶被認證為正常用戶時,該模塊傳遞給積分計算模塊中的服務價格一律為O���。
[0030](6)排隊模塊:該模塊負責維護一個疑似黑名單積分表�����,負責接受從積分計算模塊傳來的疑似攻擊IP�����。在排隊模塊中的IP無法發(fā)送服務請求,但會出現(xiàn)一個提示登錄/注冊的小頁面(若登陸成功則直接認證為正常用戶)���,或以一定概率獲得用戶檢測場景從而獲得獎勵積分�����。當積分超過閥值Bmin時將該IP重新送回至積分計算模塊����。該模塊還負責記錄一個IP在黑名單中的存在時間,存在時間越長��,表明該IP越可疑���,最后將時間累計值超過閥值T的IP發(fā)到防火墻進行過濾��。
[0031](7)用戶控制模塊:該模塊中維護著一張認證用戶表(即白名單)�����。白名單的用戶可以享受免費消費的待遇����。
[0032]當本發(fā)明的一種基于“積分策略”的網(wǎng)站防御DDOS攻擊方法運行時:
[0033]①對于新用戶新IP來說����,每個IP初始化積分值為a ;
[0034]②用戶在訪問網(wǎng)頁或請求服務的之前會以不同概率遇到不同的用戶行為測試���,通過獎勵模塊的這些測試時��,系統(tǒng)會為該用戶IP加上相應的獎勵積分����;
[0035]③若積分值小于最小閥值Bmin時,則將該IP放入排隊模塊;
[0036]④在排隊模塊中的IP不能獲得服務����,但會得到登陸/注冊的提示或獎勵模塊的其他測試,從而獲得正常用戶的認證或得到些許獎勵積分�����;
[0037]⑤當排隊模塊中的某個IP的積分重新大于閥值Bniin的時候重新取出放入積分計算模塊�����,可重新獲得消費資格����。
[0038]⑥當積分累計超過閥值Bmax的時候,則認為是正常用戶�����,將該IP加入用戶控制模塊中的白名單�����,并且之后請求的各種服務或頁面不再消耗積分�����;
[0039]⑦每次請求一項服務或訪問一個頁面會扣除相應的服務價格��,并返回至積分計算模塊進行結算���;
[0040]⑧排隊模塊將時間累計值超過Tbad的IP作為黑名單發(fā)到防火墻進行過濾����。
【權利要求】
1.一種基于“積分策略”的網(wǎng)站DDOS攻擊防御系統(tǒng)���,該系統(tǒng)包括客戶端�����、防火墻��、入侵檢測系統(tǒng)以及Web服務器����,其特征在于���,在所述入侵檢測系統(tǒng)與web服務器之間還包括攻擊IP過濾單元,其中: 所述防火墻�����,除用于防御已知網(wǎng)絡攻擊外����,在該防御系統(tǒng)中還用于根據(jù)攻擊IP過濾單元的過濾指令進行防御處理; 所述入侵檢測系統(tǒng)��,以所述防火墻的防御處理結果作為輸入�����,用于檢測出已知的DDOS攻擊��; 所述攻擊IP過濾單元��,用于對被判定為具有攻擊行為的用戶IP進行過濾����,所述過濾的具體處理為阻止該用戶IP對Web服務器的正常訪問,判定結果經(jīng)積分累計及緩存�����,對于積分緩存結果實現(xiàn)動態(tài)評估�,據(jù)此評估結果判定該用戶IP是否需被過濾或者重新獲得登錄進入系統(tǒng)的資格。
2.一種基于“積分策略”的網(wǎng)站DDOS攻擊防御方法�,其特征在于,該方法包括以下步驟: 由防火墻實現(xiàn)防御已知網(wǎng)絡攻擊�����,以及根據(jù)攻擊IP過濾單元的過濾指令進行防御處理��; 由入侵檢測系統(tǒng)以所述防火墻的防御處理結果作為輸入���,進一步用于檢測出已知的DDOS攻擊���;; 由攻擊IP過濾單元對被判定為具有攻擊行為的用戶IP進行過濾�����,所述過濾的具體處理為阻止該用戶IP對Web服務器的正常訪問��,判定結果經(jīng)積分累計及緩存��,對于積分緩存結果實現(xiàn)動態(tài)評估�����,據(jù)此評估結果判定該用戶IP是否需被過濾或者重新獲得登錄進入系統(tǒng)的資格。
【文檔編號】H04L29/06GK103618730SQ201310651436
【公開日】2014年3月5日 申請日期:2013年12月4日 優(yōu)先權日:2013年12月4日
【發(fā)明者】張亞平, 李展歌 申請人:天津大學