[发明专利]一种防御资源消耗型Web攻击方法及装置

权利要求书

1.一种防御资源消耗型攻击的方法，包括：

S101、每当一个周期结束时，分别将监控到的各预定Web页面的访问请求的平均响应时间和该预定Web页面对应的响应时间阈值比较；如果该周期中存在平均响应时间大于预置的响应时间阈值的预定Web页面，则进行步骤S102；

S102、对于各Web客户端对预定Web页面的访问请求，当最近K个周期中存在该Web客户端对该访问请求对应的前导Web页面的访问记录时，允许将该访问请求发给Web服务器；当最近K个周期中不存在该Web客户端访问该访问请求对应的前导Web页面的记录时，丢弃该访问请求；K为大于1的预定整数。

2.如权利要求1所述的方法，其特征在于：

各周期分别采用一个布隆过滤器存储当前周期中各Web客户端对前导Web页面的访问记录；各周期所采用的布隆过滤器构成一个布隆过滤器序列；

采用一个宽度为K个周期长度的滑动窗口覆盖最近K个周期的布隆过滤器，所述滑动窗口的最右侧是最新生成的布隆过滤器。

3.如权利要求2所述的方法，其特征在于：

所述布隆过滤器各散列函数输入为前导Web页面URL和Web客户端IP地址；

所述步骤S101还包括：从前导Web页面访问请求中提取前导Web页面URL和Web客户端IP地址，输入当前周期对应的布隆过滤器；

所述步骤S102还包括：从预定Web页面访问请求中提取所述前导Web页面URL和Web客户端IP地址，输入所述滑动窗口所覆盖的K个布隆过滤器，以检索最近K个周期中是否存在该Web客户端对该访问请求对应的前导Web页面的访问记录。

4.如权利要求2所述的方法，其特征在于，当最近K个周期中不存在该Web客户端对该访问请求对应的前导Web页面的访问记录时，丢弃该访问请求的步骤前包括：

如果所述滑动窗口内的K个布隆过滤器中不存在该Web客户端对该预定Web页面访问请求的前导Web页面的访问记录，则检索当前周期内正在创建的布隆过滤器；如果正在创建的布隆过滤器中存在该Web客户端对该预定Web页面访问请求的前导Web页面的访问记录，则允许将该访问请求发给Web服务器；如果正在创建的布隆过滤器中也不存在所述访问记录，则丢弃该访问请求。

5.如权利要求1～4中任一项所述的方法，其特征在于，所述步骤S102中还包括：

如果在一个周期内各预定Web网页的平均响应时间均未超过该Web网页所对应的响应时间阈值，且过滤比例低于预定阈值，则返回步骤S101；所述过滤比例为在针对所述预定Web页面的访问请求中，丢弃的访问请求所占的比例。

6.一种防御资源消耗型攻击的装置，其特征在于，包括：过滤单元；

检测单元，用于每当一个周期结束时，分别将监控到的各预定Web页面的访问请求的平均响应时间和该预定Web页面对应的响应时间阈值比较；如果该周期中存在平均响应时间大于预置的响应时间阈值的预定Web页面，则启动所述过滤单元；

所述过滤单元用于在启动后对于各Web客户端对预定Web页面的访问请求，当最近K个周期中存在该Web客户端对该访问请求对应的前导Web页面的访问记录时，允许将该访问请求发给Web服务器；当最近K个周期中不存在该Web客户端访问该访问请求对应的前导Web页面的记录时，丢弃该访问请求；K为大于1的预定整数。

7.如权利要求6所述的装置，其特征在于：

所述检测单元还用于对各周期分别采用一个布隆过滤器存储该周期中各Web客户端对前导Web页面的访问记录；各周期所采用的布隆过滤器构成一个布隆过滤器序列；采用一个宽度为K个周期长度的滑动窗口覆盖最近K个周期的布隆过滤器，所述滑动窗口的最右侧是最新生成的布隆过滤器。

8.如权利要求7所述的装置，其特征在于：

所述布隆过滤器各散列函数输入为前导Web页面URL和Web客户端IP地址；

所述检测单元还用于从前导Web页面访问请求中提取前导Web页面URL和Web客户端IP地址，输入当前周期对应的布隆过滤器；

所述过滤单元还用于从预定Web页面访问请求中提取所述前导Web页面URL和Web客户端IP地址，输入所述滑动窗口所覆盖的K个布隆过滤器，以检索最近K个周期中是否存在该Web客户端对该访问请求对应的前导Web页面的访问记录。