[发明专利]一种云计算环境下HTTPDOS攻击的检测方法及系统

说明书

技术领域

本发明属于云计算网络和信息安全领域，尤其涉及一种云计算环境下HTTP DOS（Denial of Service，拒绝服务）攻击的检测方法及系统。

背景技术

应用层HTTP DOS攻击是近年来兴起的一种DOS攻击的新技术，与SYN Flooding等传统的网络型DOS攻击不同，HTTP DOS攻击的目的是为了耗尽目标主机的资源，例如，CPU、存储器、Socket等。攻击者用少量的HTTP请求促使服务器返回大文件，例如，图像、视频文件等，或促使服务器运行一些复杂的脚本程序，例如，复杂的数据处理、密码计算与验证等。这种方式不需要很高的攻击速率就可以迅速耗尽主机的资源，而且更具有隐蔽性。

而EDOS（Economical Denial of Service，造成经济损失的拒绝服务）攻击是云计算中特有的攻击形式，利用云计算服务按使用量计费的特点，使用DOS攻击手段，导致被攻击系统的带宽、CPU、存储等资源使用量大量增加，从而导致高额账单。HTTP EDOS攻击将是今后云计算环境面临的严峻安全挑战，云安全联盟（CSA）也将DDOS/EDOS攻击列为云计算的七大安全威胁之一。

目前对于HTTP DOS攻击的检测防御方法主要有两种：一种是基于代理设备的解决方案；一种是Web服务器的安全配置技术。

图1所示为基于代理设备的检测防御的示意图。

以目前安全设备厂商推行的Web防火墙产品为代表，通过在Web服务器前面部署一台堡垒主机，对所有的数据流量进行代理，如果流量合法则发送给Web服务器，如果流量异常就进行阻断。该方案基于会话的双向代理，中断了用户与服务器的直接连接，适用于各种加密协议，防止了入侵者的直接进入，对DDOS（Distributed Denial of Service，分布式拒绝服务）攻击可以抑制，对非预料的“特别”行为也有所抑制。该方案的主要问题是需要在Web服务器的前面部署代理设备，串行接入，不仅在硬件性能上要求高，而且不能影响Web服务，所以HA功能（高可用性）、Bypass（旁路）功能都是必须的，而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。因此该方案成本高、配置复杂，如果保护目标过多会影响性能，不适用于云计算环境中大量虚拟服务器的攻击检测和防御。

Web服务器的安全配置技术是目前较为常用的针对HTTP DOS攻击的防御技术，可以包括两个层面的安全配置：

一个层面是在Web服务的人机交互层面，对于消耗服务器资源较多的页面引入验证码等相关的Puzzle（验证机制），让客户端解析一段javascript或flash，并给出正确的运行结果。由于大部分的攻击自动化脚本都是直接构造HTTP包完成的，并非在一个浏览器环境中发起的请求，因此无法正确识别验证码，所以此方法对于DOS攻击有所抑制。

另外一个层面是在Web server层面做安全配置，如Apache的配置文件中，有一些参数可以缓解DOS攻击，如Timeout、KeepAliveTimeout、MaxClient等。WEB服务器安全配置技术的主要问题是只能做到攻击防御而无法精确的检测和定位攻击，并且需要在每个Web系统中单独配置和代码整改，只能防御单个系统，无法做到多个系统统一防护；此外在人机交互层面加入验证码会降低Web服务的用户体验度，在Web server中更改配置参数可能会影响正常业务应用。因此该技术也不适用于云计算环境中对大量目标的统一攻击检测和防御。

发明内容

鉴于以上，本发明提出一种云计算环境下HTTP DOS攻击的检测方法及系统。

根据本发明的一方面，提出一种云计算环境下HTTP DOS攻击的检测方法，包括：获取对目标Web页面发起HTTP请求的源端信息，包括请求次数和速率；判断该源端对该目标Web页面发起的HTTP请求次数和速率是否大于各自的阈值，如果是，认为该源端对该目标Web页面发起DOS攻击。