[发明专利]一种防止网络攻击的方法及系统

说明书

本发明公开一种防止网络攻击的方法及系统，该方法包括：日志分析设备从各个网络服务器上获取日志；所述日志分析设备根据日志中各域名在设定时间段内的总请求数量以及日志中各源IP地址的总请求数量是否分别大于等于预设阈值，确定出疑似被攻击域名以及疑似攻击源IP地址，并生成所述疑似被攻击域名和所述疑似攻击源IP地址关联关系的告警信息；所述日志分析设备将所述告警信息发送至网络防护装置，以便于所述网络防护装置根据所述告警信息对数据流进行防护，该方法用以提供一种精确而有效地防止网络攻击的方法。

技术领域

本发明涉及网络安全领域，尤其涉及一种防止网络攻击的方法及系统。

背景技术

网络安全的基本属性主要表现为机密性、完整性、合法性和可用性，而攻击者就是通过一切可能的方法和手段来破坏这些属性。分布式拒绝服务攻击(Distributed Denialof Service，简称为DDoS)的目的就是破坏网络的可用性。在互联网业务中，Web服务已经占有相当大的比例，越来越多的人通过Web提供的服务来获取和发布信息，所以Web安全也是当今网络安全的研究热点。超文本传输协议(Hypertext Transfer Protocol，简称为HTTP)作为Web应用的关键协议，经常被黑客利用来实施DDoS攻击，并且非常难以检测和防御。

HTTP-Flood攻击(基于HTTP协议的DDoS攻击)的主要目标是Web服务器的网页。攻击发生时，攻击者利用工具伪造或劫持浏览器向特定的网站(统一资源定位符，UniformResource Locator，简称为URL)发送大量的HTTP请求，使服务器忙于向攻击者提供资源而无法响应其他合法用户的服务请求，进而使网站达到处理瓶颈，从而达到网站拒绝服务的目的。

一般来说，HTTP-Flood攻击具有以下几个特点：

1、发起攻击比较容易，成本较低，简单的几行脚本就能对一个网站发起一个攻击。

2、难以检测，因为HTTP属于标准开放协议，协议格式简单，容易伪造，攻击时发起的HTTP请求可以伪造成和正常用户的请求一模一样，Web Server无法进行区分。

3、对网站危害较大，一旦网站遭受HTTP-Flood攻击，小则影响用户体验(网站访问速度变慢)，大则可能导致网站瘫痪，无法对外提供服务，对于按流量收费的托管网站，可能需要付出高额的费用。

以上的这些攻击特点，使得各个网站对防护HTTP-Flood攻击成为头等安全事件，现有技术主要是通过采购安全厂商的防护设备，对HTTP-Flood攻击进行防护。由于这种专业防护设备是采用通用的阈值方式进行防护，通常针对目的IP进行统计和防护，无法实现针对源IP和域名级别的精确防护，一旦防护开启则需要针对所有该目的IP下的域名进行防护，容易对正常访问造成一些不必要的影响。

发明内容

本发明实施例提供一种网络攻击方法及系统，用以提供一种精确而有效地防止网络攻击的方法，该方法可以准确检测出对网站的HTTP-Flood攻击生成有效的告警信息。

本发明方法包括一种防止网络攻击的方法，该方法包括：日志分析设备从各个网络服务器上获取日志；

所述日志分析设备根据日志中各域名在设定时间段内的总请求数量以及日志中各源互联网协议地址IP地址的总请求数量与设定阈值的比较结果，确定出疑似被攻击域名和疑似攻击源IP地址，并生成与所述疑似被攻击域名和所述疑似攻击源IP地址相关的告警信息；

所述日志分析设备将所述告警信息发送至网络防护装置，以便于所述网络防护装置根据所述告警信息对数据流进行防护。

基于同样的发明构思，本发明实施例进一步地提供一种防止网络攻击的系统，该系统包括日志分析设备、多个网络服务器、客户端、连接所述客户端的负载均衡服务器，所述负载均衡服务器上包含网络防护装置；