[发明专利]一种网络攻击的防护方法及系统

说明书

本发明实施例公开了网络攻击的防护方法及系统，应用于信息处理技术领域。在本实施例的方法中，网络攻击的防护设备会解析代理机器转发的客户端的网络请求得到客户端的地址信息，然后根据客户端的地址信息计算第一校验信息，并根据第一校验信息确定基于客户端的地址信息的信任名单。这样在网络攻击的防护过程中，可以根据发起网络请求的客户端的地址信息及信任名单直接确认客户端是否是正常客户端，和现有技术中基于源IP信息的信任名单相比，可以防止在系统中部署有代理机器的情况下，因代理机器的IP信息命中信任名单而引起的对于肉鸡的网络请求的透传。

技术领域

本发明涉及信息处理技术领域，特别涉及一种网络攻击的防护方法及系统。

背景技术

攻击者借助代理服务器或者肉鸡生成指向受害主机的合法请求，实现分布式拒绝服务(Distributed Denial of Service，DDOS)和伪装就叫挑战黑洞(ChallengeCollapsar，CC)攻击。这里肉鸡也称傀儡机，是指可以被黑客远程控制的机器，比如用灰鸽子等诱导用户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马，黑客可以随意操纵它并利用它做任何事情。

现有技术中，在网络中部署CC防护设备，当CC防护设备检测到服务器遭受CC攻击时，会对客户端发送的网络请求进行分析，提取出网络层的源网络协议(InternetProtocol，IP)信息，利用该源IP信息进行一定的计算得到校验信息，然后根据校验信息得到基于源IP信息的信任名单。这样在网络攻击的防护过程中，如果某个客户端的网络请求中网络层的源IP信息不属于信任名单，则该客户端为肉鸡。但是，对于在网络中部署代理机器的情况，采用现有的网络防护方法，会出现肉鸡发来的大量网络请求会因命中信任名单而透传到服务器。

发明内容

本发明实施例提供一种网络攻击的防护方法及系统，实现了根据客户端发起的网络请求中客户端的地址信息确定信任名单。

本发明实施例提供一种网络攻击的防护方法，包括：

获取至少一级代理机器转发的客户端的网络请求，解析所述网络请求得到所述客户端的地址信息；

根据所述客户端的地址信息计算第一校验信息；

如果所述网络请求中还包括第二校验信息，且所述第二校验信息与所述第一校验信息一致，将所述客户端的地址信息加入信任名单，将所述网络请求转发给服务器。

本发明实施例提供一种网络攻击的防护系统，包括：

第一地址获取单元，用于获取至少一级代理机器转发的客户端的网络请求，解析所述网络请求得到所述客户端的地址信息；

校验计算单元，用于根据所述客户端的地址信息计算第一校验信息；

第一处理单元，用于如果所述网络请求中还包括第二校验信息，且所述第二校验信息与所述第一校验信息一致，将所述客户端的地址信息加入信任名单，将所述网络请求转发给服务器。

可见，在本实施例的方法中，网络攻击的防护设备会解析代理机器转发的客户端的网络请求得到客户端的地址信息，然后根据客户端的地址信息计算第一校验信息，并根据第一校验信息确定基于客户端的地址信息的信任名单。这样在网络攻击的防护过程中，可以根据发起网络请求的客户端的地址信息及信任名单直接确认客户端是否是正常客户端，和现有技术中基于源IP信息的信任名单相比，可以防止在系统中部署有代理机器的情况下，因代理机器的IP信息命中信任名单而引起的对于肉鸡的网络请求的透传。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。