[发明专利]一种基于报文更替的应用层攻击防护方法及其防护系统

说明书

一种基于报文更替的应用层攻击防护方法及其防护系统，包括：预设终端黑名单与白名单；接收终端发送的报文，提取该终端的信息；根据预设的黑名单与白名单对终端的安全性进行判断；若该终端处于黑名单内，则拒绝该终端的报文；若该终端处于黑名单与白名单之外，则将该终端记录入灰名单并进行报文更替验证；报文更替验证包括;接收到灰名单内的终发送的报文，将其标记为一级报文；在一级报文内嵌入加密段，使其成为二级报文；终端接收二级报文，提取加密段进行处理并嵌入二级报文内生成三级报文，终端上传三级报文；对处理后的三级报文提取处理后的加密段，对处理后的加密段进行匹配；若处理后的加密段匹配失败，则对该终端的报文进行丢弃。

技术领域

本发明涉及网络通信技术领域，特别涉及一种基于报文更替的应用层攻击防护方法及其防护系统。

背景技术

应用层也称为应用实体（AE），它由若干个特定应用服务元素（SASE）和一个或多个公用应用服务元素（CASE）组成。每个SASE提供特定的应用服务，例如文件运输访问和管理（FTAM）、电子文电处理（MHS）、虚拟终端协议（VAP）等。CASE提供一组公用的应用服务，例如联系控制服务元素（ACSE）、可靠运输服务元素（RTSE）和远程操作服务元素（ROSE）等。

应用层DDoS攻击是在网络层DDoS攻击的基础上发展起来的，应用层DDoS攻击是一种新型的攻击方式，这类攻击方式的本质还是基于洪水式的攻击方式，即攻击者通过代理服务器或者僵尸网络向攻击目标发送大量的高频合法请求，以达到消耗攻击目标带宽的目的，然而，应用层DDoS攻击更为主要的目的是要能够消耗主机资源。

攻击者通过大量傀儡机向攻击目标主机发送请求数据包的攻击方式并不是应用层DDoS攻击的主流攻击方式，相反，应用层DDoS攻击可以用低速率的请求、少量的攻击节点来实现攻击效果。从这点上来看，应用层的DDoS攻击远比网络层DDoS攻击来的复杂，它可以实现更多的功能。因此，应用层DDoS攻击可以产生更大的破坏力。这种以简单的HTTP请求就可以触发服务器执行一系列复杂操作的攻击方式是应用层DDoS和网络层DDoS攻击的差异之一。

因此，需要对发起的请求进行合法性的识别，以降低主机资源被消耗的概率。

发明内容

发明目的：

针对背景技术中提到问题，本发明提供一种基于报文更替的应用层攻击防护方法及其防护系统。

技术方案：

一种基于报文更替的应用层攻击防护方法，其特征在于，包括：

预设终端黑名单与白名单；

接收终端发送的报文，提取该终端的信息；

根据预设的黑名单与白名单对终端的安全性进行判断；

若该终端处于白名单内，则接收该终端的报文，将该终端的报文转发至服务器；

若该终端处于黑名单内，则拒绝该终端的报文；

若该终端处于黑名单与白名单之外，则将该终端记录入灰名单并进行报文更替验证；

报文更替验证包括;

接收到灰名单内的终发送的报文，将其标记为一级报文；

在一级报文内嵌入加密段，使其成为二级报文，将二级报文向终端反馈；

终端接收二级报文，提取加密段进行处理并嵌入二级报文内生成三级报文，终端上传三级报文；

对处理后的三级报文提取处理后的加密段，对处理后的加密段进行匹配；

若处理后的加密段匹配失败，则对该终端的报文进行丢弃。

作为本发明的一种优选方式，加密段的处理包括：