[发明专利]一种基于多重特征识别的应用层DDoS攻击防御系统

摘要

本发明公开了一种基于多重特征识别的应用层DDoS攻击防御系统，当用户发起请求时，系统将该用户数据包信息存入net-node网络流表，并对所述用户数据包进行分析处理，判定其来源是否真实可靠；在给用户返回数据的时候插入一个验证数据，再次检测来源是否真实可靠，当确定来源真实之后，用户的信任度就是阈值信任度，系统给该来源分配一个cookie身份标识；接着创建一个记录该cookie身份标识的data数据库，记录存储该cookie身份标识一定时间段的访问信息，所述访问信息作为身份验证管理的依据；通过特征库的分析处理进行相应的调度。本发明通过建立访问特征检测分析的黑白名单，分析判断用户的长期访问行为的正常或非法，在DDoS攻击发生时，保证用户的正常流量不被拦截。

主权项

一种基于多重特征识别的应用层DDoS攻击防御系统，其特征在于，当用户发起请求时，系统将该用户数据包信息存入net‑node网络流表，并对所述用户数据包进行分析处理，记录其最后访问时间、源地址、目标地址、目标端口、发送数据和接受的数据包大小，判定其来源是否真实可靠；在给用户返回数据的时候插入一个验证数据，再次检测来源是否真实可靠，当确定来源真实之后，添加该用户至白名单，否则列入黑名单拒绝访问；当用户被添加至白名单，用户的信任度就是阈值信任度，系统给该来源分配一个cookie身份标识；接着创建一个记录该cookie身份标识的data数据库，记录存储该cookie身份标识一定时间段的访问信息，所述访问信息包括连接数、连接频率、访问数、访问频率、http请求总数、请求频率和错误请求总数、错误请求频率、错误请求的数据大小，所述访问信息作为身份验证管理的依据；当用户再次发起请求将不需要再次验证；通过对一段时间内cookie身份标识的data数据库进行分析判断，以阈值信任度为基数进行增加或减少，并实时更新，低于阈值信任度将触发验证机制，引导用户输入验证码；如果未通过验证，系统仍然会降低对信任度，如果信任度降低到0，将被列入黑名单拒绝访问；通过验证之后，将恢复阈值信任度。