[发明专利]安全防护方法、装置以及安全防护设备

说明书

本发明实施例提供一种安全防护方法、装置及安全防护设备。所述方法包括：接收来自客户端的第一访问请求，所述第一访问请求中包括客户端的标识信息；将所述客户端的标识信息与标识信息数据库进行匹配并获得匹配结果；根据所述匹配结果计算匹配概率；以及在所述匹配概率达到预定值的情况下，开启安全防护。由此，能够提高CC攻击检测的准确率，能够增强针对CC攻击的防护。

技术领域

本发明实施例涉及信息安全技术领域，特别涉及一种安全防护方法、装置以及安全防护设备。

背景技术

在互联网中，多种通信协议被应用于设备之间的信息传输。例如，客户端和服务器之间可以通过超文本传输协议(HTTP，Hyper Text Transfer Protocol)实现数据传输。

出于非法目的，攻击者常通过代理或僵尸主机等向目标服务器发送大量HTTP请求，如HTTP Flood攻击(又称CC攻击)，从而消耗目标服务器的请求处理资源，造成服务器资源耗尽。

对于这种攻击行为，现有的安全防护策略为：在客户端设置前端缓存(cache)，尽量由前端缓存对HTTP请求的资源进行响应，这样就减少甚至避免了大量HTTP请求对服务器资源的占用。

此外，在CC攻击中，攻击者向目标服务器发起大量的HTTP请求时，通过HTTP请求中的字段设置而突破前端缓存并向服务器请求资源，例如，通过使用涉及数据库操作的统一资源标识符(URI，Uniform Resource Identifier)或其它消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。

目前现有的CC攻击检测方案一般针对HTTP流量进行分析，在达到某些特定条件后自动开启CC攻击的防护，例如，实时统计的请求速率是否超过设定的阈值，实时统计的网站响应状态码是否超过设定阈值，根据用户访问行为的实际点击概率分布与网站先验概率分布的偏差进行检测等等。并且，在开启CC攻击的防护的情况下，现有方案一般采用反向探测、验证码和关闭连接等防护策略。

但是在这些CC攻击检测方案中，存在正常业务场景被误判为CC攻击的情况(例如某些秒杀、抢红包、投票等正常业务场景)，以及未能检测某些攻击场景的情况(例如某些低频、小流量的攻击场景)，并且在现有的防护策略中，存在正常访问被误拦截的情况(例如第三方支付业务、爬虫请求等)。

应该注意，上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

发明内容

针对上述问题的至少之一，本发明实施例提供一种安全防护方法、装置及防护设备，期待能够提高CC攻击检测的准确率，增强针对CC攻击的防护。

根据本发明实施例的第一个方面，提供一种安全防护方法，包括：

接收来自客户端的第一访问请求，所述第一访问请求中包括客户端的标识信息；

将所述客户端的标识信息与标识信息数据库进行匹配并获得匹配结果；

根据所述匹配结果计算匹配概率；以及

在所述匹配概率达到预定值的情况下，开启安全防护。

可选的，所述标识信息数据库为针对历史网络流量进行分析而生成的基于标识信息的信誉度的标识信息分类数据库。

可选的，所述第一访问请求为超文本传输协议请求；所述客户端的标识信息为互联网协议地址，所述标识信息数据库存储有多个互联网协议地址。

可选的，在开启所述安全防护的情况下，所述方法还包括：

接收来自客户端的第二访问请求，所述第二访问请求中包括客户端的标识信息；