[发明专利]一种应用层分布式拒绝服务攻击过滤方法及系统

说明书

技术领域

本发明涉及网络安全检测和控制领域，更具体地，涉及对分布式拒绝服务攻击的过滤。

背景技术

分布式拒绝服务(Distributed Denial-of-Service，DDoS)攻击是互联网安全的主要威胁之一，其一般针对网络层或应用层来实现。当前，对网络层DDoS攻击的检测和过滤研究已取得了相当的研究成果，基于网络层流量异常，防火墙等网络安全设备能够有效检测和抵御网络层DDoS攻击，如SYN Flood、ICMP Flood攻击等。应用层DDoS攻击首先提交正常的连接建立请求，在连接建立后，向目标服务器提交服务请求，消耗服务器计算资源。由于应用层DDoS攻击在网络层行为表现正常，所以其能够有效逃避应用层级的检测和过滤。在SYN Flood攻击无法取得好的攻击效果时，攻击者可采用应用层DDoS攻击达到攻击意图目的。对应用层DDoS攻击的抵御方法主要包括图灵测试、speak-up方法。

其中，图灵测试能够有效区分攻击者和正常访问者。由于合法用户能够正确地完成测试，而攻击主机不具备完成测试的能力，由此可以准确地区分二者，但是图灵测试往往会干扰访问者对服务器的正常访问。

采用speak-up方法来抵御应用层DDoS，与以往减慢或削弱攻击者的过滤方法相反，该speak-up方法让所有客户端提高发送速率，但攻击者为了达到较好的攻击效果，通常采取尽最大能力攻击原则，在攻击开始时就会采用最大发送速率，所以能够增加发送速率的均为合法用户，由此能够识别合法流量。但是在攻击发生时，采用speak-up方法会进一步加大到达被攻击服务器的流量。

发明内容

本发明要解决的是应用层分布式拒绝服务攻击过滤方法计算复杂、不能独立于服务器运行以及给用户的访问增加了不便等技术问题。

根据本发明的一个方面，提供了一种应用层分布式拒绝服务(DDoS)攻击过滤方法，包括下列步骤：

100)接收服务请求；

200)根据所请求对象所属页面的内嵌对象数和思考时间判断所述服务请求是否为DDoS攻击，其中，所请求对象所属页面的内嵌对象数＜页面最大内嵌对象数且思考时间＜最小思考时间的请求不是攻击，思考时间是(判断的当前时间-页面到达时间)。

在上述方法中，所述步骤200)包括：

210)判断所请求对象是内嵌对象还是页面；

220)判断所述服务请求是否属于新会话；

230)对于不属于新会话的内嵌对象请求，根据与前一个内嵌对象请求的时间间隔和/或连续内嵌对象数进行DDoS攻击预判；

240)对于可能是DDoS攻击的内嵌对象请求，根据所述所请求对象所属页面的内嵌对象数和思考时间确定所述服务请求是否为DDoS攻击；

250)对于不属于新会话的页面请求，根据所述所请求对象所属页面的内嵌对象数和思考时间确定所述服务请求是否为DDoS攻击。

在上述方法中，所述步骤230)和步骤240)之间还包括：

步骤235)对于可能是DDoS攻击的内嵌对象请求，根据会话的页面数进行DDoS攻击初判，如果会话的页面数＜(1+afa)×MAX_MP_NUM，则属于该会话的请求可能是DDoS攻击，其中afa是调整参数且大于或等于0，MAX_MP_NUM是最大页面数；

所述步骤230)和步骤250)之间还包括：

步骤245)对于可能是DDoS攻击的页面请求，根据会话的页面数进行DDoS攻击初判，如果会话的页面数＜(1+afa)×MAX_MP_NUM，则属于该会话的请求可能是DDoS攻击。

在上述方法中，所述最大内嵌对象数、最小思考时间和/或最大页面数通过训练获得。

根据本发明的另一方面，还提供了一种应用层分布式拒绝服务攻击过滤系统，包括：

缓存模块，用于接收并存储服务请求；

过滤模块，用于根据所请求对象所属页面的内嵌对象数和思考时间判断所述服务请求是否为DDoS攻击，其中，所请求对象所属页面的内嵌对象数＜页面最大内嵌对象数且思考时间＜最小思考时间的请求不是攻击，思考时间是(判断的当前时间-页面到达时间)；

转发模块，用于转发通过所述过滤模块的请求。

优选地，该系统还包括：学习模块，用于训练所述页面最大内嵌对象数和最小思考时间。

本发明所公开的应用层DDoS过滤方法，与现有方法相比，在能够有效过滤DDoS攻击的同时，还兼具如下优点：(1)计算复杂性低，简便快捷；(2)能够独立于服务器运行；(3)不对用户造成任何干扰。

附图说明