[发明专利]一种基于客户端检测的应用层拒绝服务防护方法及系统

说明书

技术领域

本发明涉及信息科学技术领域，特别是涉及一种基于客户端检测的应用层拒绝服务防护方法及系统。

背景技术

基于WEB Server的Dos攻击目前越来越普遍，客户端可以通过一个简单的攻击程序向WEB服务器发送大量的WEB请求，每次客户端发送一个请求，WEB服务器都需要完成一系列的工作，脚本解析，数据库查询等等，如果客户端发送的请求过多，会造成服务器消耗过多的系统资源进而中止客户响应。

传统的检测应用层拒绝服务攻击，都是在网络层(TCP/UDP)进行分析，根据以往的经验阈值进行判定攻击行为。根据经验阈值来进行检测拒绝服务攻击，从理论上说和实际市场的产品反应来看，效果并不理想。这样的检测方法，检测的成功率和准确率都不是很高，经常出现误检测的情况。比如，在以下场景中，传统的检测方法就会出现错误的检测：

某购物网站，在特定一个时间开始大量的打折活动。访问量会比平常的情况大上很多，如果还用平常的检测阈值来做一个基准的攻击检测，就出现了误检测，将正常的访问当作攻击，从而导致该网站的业务都无法正常进行。

从对以往技术的构成和工作说明可以看出，传统的检测应用层拒绝服务攻击，只是利用了服务连接来进行统计，并没有真正的参与某次连接。

传统的检测应用层拒绝服务攻击的技术，主要包括了检测HTTP Proxy Flood，CC Proxy Flood，Connection Exhausted等攻击检测技术。采用的检测方法分为两种：第一种是，统计在某个单位时间内，从某个源地址访问主机的频率；第二种是，统计目标主机在单位时间内被访问的频率。这两种检测方法主要包括机器统计、人为修正、流量匹配等三大步骤。

除此之外，还有一种典型的以Web Server为基础的检测机制，为每个客户端指定一个信任等级。信任等级是由Web Server花销在请求处理上的费用决定。信任等级高的客户端就能获取单位时间内较高的Web请求，低信任等级的客户端的单位时间的Web请求量会被限制在一个较低的范围之类。

该检测机制的缺点比较的明显，Dos攻击请求还是会被Web Server接收并处理。虽然Dos攻击请求的数量和速率被限制在一个非常小的范围之内，不会让其达到Dos攻击的目的，但是Web Sever还是会为这部分Dos攻击请求花销一部分资源。

发明内容

本发明解决的技术问题在于，提供一种基于客户端检测的应用层拒绝服务防护方法及系统，用于区分合法的WEB请求和非法访问，仅对于合法的WEB请求进行连接处理，而非法访问不会被处理。

本发明用于客户端请求到达WEB服务器之前检测客户端是否使用浏览器进行访问，将浏览器访问视为合法访问，将非浏览器访问视为非法访问，以避免客户端使用攻击程序对WEB服务器的资源进行消耗。

为解决上述问题，本发明公开了一种基于客户端检测的应用层拒绝服务防护方法，应用于包括WEB客户端、防护设备和WEB服务器端的系统中，该方法包括：

步骤一，该防护设备拦截该WEB客户端发送至该WEB服务器端的一初始连接请求并发送一javascript验证代码至该WEB客户端；

步骤二，该WEB客户端对该javascript验证代码加以运行，如果该WEB客户端无法成功运行该javascript验证代码，则该初始连接请求被丢弃，如果能够运行成功则该WEB客户端生成一认证信息，该WEB客户端发送一再次连接请求至该WEB服务器端，该再次连接请求包括该认证信息；

步骤三，该防护设备拦截该再次连接请求并对该认证信息进行验证，若验证通过，则对该再次连接请求予以放行。

该步骤三还包括，该防护设备对验证未通过的该再次连接请求进行丢弃。

该认证信息为随机产生。

该认证信息包括在Cookie、HTTP Referer或HTTP首部的任意字段中。

该步骤二中，该javascript验证代码运行成功后，该javascript验证代码强制该WEB客户端发送该再次连接请求。

本发明还公开了一种基于客户端检测的应用层拒绝服务防护系统，包括：WEB客户端、防护设备和WEB服务器端；

其中，该防护设备用于拦截该WEB客户端发送至该WEB服务器端的一初始连接请求并发送一javascript验证代码至该WEB客户端；