[发明专利]Host头域伪造攻击的防护方法和装置

权利要求书

1.一种Host头域伪造攻击的防护方法，应用于web服务器，其特征在于，所述方法包括：

当接收到HTTP请求报文时，从所述HTTP请求报文头部中读取Host头域；

判断本地保存的可信Host头域列表中是否存在所述Host头域；其中，所述可信Host头域列表中的Host头域为基于预设的学习机制学习到的；

如果所述可信Host头域列表中不存在所述Host头域，丢弃所述HTTP请求报文；

其中，所述学习机制为：

在预设的学习时间周期内，当接收到的HTTP请求报文头部中的目标Host头域不存在于所述可信Host头域列表中时，对所述目标Host头域被不同源IP访问的访问次数进行统计，并转发所述HTTP请求报文；

如果所述访问次数达到预设的阈值，将所述目标Host头域添加至所述可信Host头域列表。

2.根据权利要求1所述的方法，其特征在于，在从所述HTTP请求报文头部中读取Host头域之前，所述方法还包括：

从所述HTTP请求报文中读取源IP，并判断本地保存的IP黑名单中是否存在所述源IP；其中，所述IP黑名单中的IP为基于预设的安全检测规则检测到的非法IP；

如果所述IP黑名单中存在所述源IP，丢弃所述HTTP请求报文。

3.根据权利要求1所述的方法，其特征在于，如果所述可信Host头域列表中存在所述Host头域，转发所述HTTP请求报文。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

当所述IP黑名单中不存在所述源IP时，基于预设的安全检测规则对所述HTTP请求报文进行安全检测；

如果所述HTTP请求报文未通过安全检测，将所述源IP添加至所述IP黑名单，并将所述HTTP请求报文丢弃；

如果所述HTTP请求报文通过安全检测，进一步判断所述HTTP请求报文头部中的Host头域是否在所述可信Host头域列表中。

5.一种Host头域伪造攻击的防护装置，应用于web服务器，其特征在于，所述装置包括：

Host头域读取单元，用于当接收到HTTP请求报文时，从所述HTTP请求报文头部中读取Host头域；

Host头域判断单元，用于判断本地保存的可信Host头域列表中是否存在所述Host头域；其中，所述可信Host头域列表中的Host头域为统计单元、转发单元及Host头域添加单元基于预设的学习机制学习到的；

丢弃单元，用于如果所述可信Host头域列表中不存在所述Host头域，丢弃所述HTTP请求报文；

所述统计单元，用于在预设的学习时间周期内，当接收到的HTTP请求报文头部中的目标Host头域不存在于所述可信Host头域列表中时，对所述目标Host头域被不同源IP访问的访问次数进行统计；

所述转发单元，用于在所述学习时间周期内，转发所述HTTP请求报文；

所述Host头域添加单元，用于如果所述访问次数达到预设的阈值，将所述目标Host头域添加至所述可信Host头域列表。

6.根据权利要求5所述的装置，其特征在于，所述装置还包括：

源IP读取单元，用于在从所述HTTP请求报文头部中读取Host头域之前，从所述HTTP请求报文中读取源IP；

源IP判断单元，用于判断本地保存的IP黑名单中是否存在所述源IP；其中，所述IP黑名单中的IP为基于预设的安全检测规则检测到的非法IP；

所述丢弃单元，还用于如果所述IP黑名单中存在所述源IP，丢弃所述HTTP请求报文。

7.根据权利要求5所述的装置，其特征在于，所述转发单元还用于如果所述可信Host头域列表中存在所述Host头域，转发所述HTTP请求报文。

8.根据权利要求6所述的装置，其特征在于，所述装置还包括：

检测单元，用于当所述IP黑名单中不存在所述源IP时，基于预设的安全检测规则对所述HTTP请求报文进行安全检测；

源IP添加单元，用于如果所述HTTP请求报文未通过安全检测，将所述源IP添加至所述IP黑名单；

所述丢弃单元，还用于在所述HTTP请求报文未通过安全检测后将所述HTTP请求报文丢弃；

所述Host头域判断单元，具体用于如果所述HTTP请求报文通过安全检测，进一步判断所述HTTP请求报文头部中的Host头域是否在所述可信Host头域列表中。