[发明专利]在小程序后台防止DDoS攻击的方法、设备和介质

说明书

本公开涉及在小程序后台防止DDoS攻击的方法、设备和介质。在小程序后台防止DDoS攻击的方法包括：接收由用户经由小程序前端发送的业务请求，其包括校验参数3rd_session；将所述3rd_session与所述小程序后台的针对所述业务请求的业务接口标识符functionID组合作为关键词查询所述小程序后台维护的数据库以确定在所述数据库中是否存在匹配；如果确定在所述数据库中存在匹配，则确定所述业务请求的接收时间是否在数据库中与所述匹配相关的有效期内；如果确定在所述有效期内，则确定所述数据库中与所述匹配相关联的计数值是否超过预设阈值；以及如果确定没有超过所述预设阈值，则将所述计数值递增1并完成所述业务请求。

技术领域

本公开总体上涉及互联网技术领域，更具体地涉及网络安全领域，尤其涉及在小程序后台防止DDoS攻击的方法、设备和介质。

背景技术

分布式拒绝服务攻击(简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。目前，针对 DDos攻击的防御手段主要是：增加带宽和进行流量清洗。流量清洗技术主要是从全部的网络流量中区分出正常的流量和恶意的流量，将恶意流量阻断和丢弃，而只将正常的流量回源给源服务器。

小程序是一种不需要下载安装即可使用的应用，用户扫一扫或者搜一下即可打开。小程序也体现了“用完即走”的理念。小程序能够实现消息通知、线下扫码、公众号关联等七大功能。例如，在象微信、支付宝之类的APP中已经开发了大量的小程序，诸如滴滴单车、麦当劳等等。随着小程序的爆发式发展，小程序相关技术也在不断更新。同时，黑客针对小程序的攻击行为也在增加。

在现有的应用层DDos攻击防御技术中，一种是通过分析访问消息的攻击特征值，提取攻击特征来判断是否为攻击访问。例如，现有技术中存在一种基于多特征熵的应用层DDoS攻击检测与防御方法。其主要是通过访问的特征熵进行用户行为分析，从而对异常方法进行识别。该方法攻击特征很难识别，容易出现误判和漏判。而且需要前期提取大量正常访问用户特征进行分析，工作量很大。

另一种目前常用的方法是在用户访问时校验用户身份，为其分配身份凭证(例如，cookie)，之后的访问以该凭证为白名单进行校验，从而对非白名单访问进行拦截。例如，现有技术中存在一种基于多重特征识别的应用层DDoS攻击防御系统。该方法就是通过识别用户身份后，为其分配cookie，之后的访问通过cookie白名单进行拦截。但用户在首次访问时，没有服务器分配的身份凭证，很难判断其真实性，黑客可以冒充首次访问进行攻击。例如，现有技术中还存在一种应用层智能抵御DDoS攻击的方法及系统。该方法提到使用用户IP和UID 作为白名单进行识别，但并没有说明UID如何获取。

因此，现有技术中存在对于能够基于小程序自身属性来防止对小程序后台的应用层DDos攻击的技术的需求。

发明内容

在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。

本文公开了一种用于小程序后台的、通过使用小程序所在app系统生成的3rd_session作为身份凭证进行白名单过滤来防止应用层 DDos攻击的方法。3rd_session为app平台为用户生成的唯一标识，且有失效时间控制，可以准确识别用户身份。

相比传统应用层DDos攻击防御技术，本发明使用特征值为app 平台提供，保证了其有效性。同时，小程序前端每次访问都可以从app 平台获取该值，不需要小程序后台再对用户身份进行校验，保证了白名单校验的访问全覆盖。避免首次范围无白名单校验，需要后台验证用户身份的情况。