[发明专利]一种应用层DDoS分布式拒绝服务攻击防御方法

说明书

技术领域

本发明涉及一种计算机网络安全技术，尤其涉及一种应用层DDoS分布式拒绝服务攻击防御方法。

背景技术

应用层DDoS攻击近年来逐渐流行，与传统的网络层DDoS类似，应用层DDoS攻击也是以受害端无法对外提供服务为目的，但二者在实现上又有明显区别。与网络层DDoS相比，应用层DDoS攻击的报文数据与正常通信无异，不具备传统DDoS攻击的统计特性，因此网络层DDoS防御算法无法应对应用层DDoS攻击。

Kandula等[Srikanth Kandula，Dina Katabi，Matthias Jacob，Arthur B.Botz-4-sale：surviving organized DDoS attacks that mimic flash crowds.Proceedings of the 2nd conference on Symposium on Networked Systems Design&Implementation-Volume 2]设计了一种基于“Puzzle”的检测与防御机制，当怀疑发生DDoS攻击时，要求用户回答一些简单的问题以判断对方是否为正常用户，但该方法需要用户参与，对合法用户的访问造成一定干扰。Walfish等[Walfish M，Vutukurum，Balakrishnan H，etal.DDos Defense by Offense.Proc.Of SIGCOMM′06(2006)301-312pages]提出“Speak out”策略，当DDoS发生时，受害主机要求所有客户端都增大带宽，此方法假设攻击端采用尽力攻击的方式，已用完了可用带宽，只有合法用户才能增大带宽。该方法局限性明显，可能会使链路带宽更紧张，以致影响到网络的其它部分。Ranjan等[Ranjan S，Swaminathan R，Uysal M，et al.DDos-resilient scheduling to counter application layer attacks under imperfect detection.Proceedings of IEEE INFOCOM，Ba rcelona，Spain，2006.4]提出控制HTTP请求速率的方法来防御DDoS，主张利用统计方法提取HTTP会话特征并判断每个会话的异常性，然后通过控制HTTP速率来抵抗DDoS攻击，但该方法需要得到客户端的支持，且可能会干扰用户的正常浏览。