[发明专利]一种防御资源消耗型Web攻击方法及装置

说明书

技术领域

本发明涉及一种实现Web安全访问的方法，具体涉及一种防御资源消耗型Web攻击的方法及装置。

背景技术

Web应用是目前最为广泛的互联网应用，它在给人们获取信息带来了极大便利的同时，也成为了黑客最为关注的对象。常见的针对Web应用的攻击包括SQL注入攻击、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)以及各种可能导致Web服务器拒绝服务的Web攻击方式。本文主要关注针对Web服务器的资源消耗型Web攻击的检测和防御方法。

常见的资源消耗型Web攻击包括HTTP Flood攻击和CC攻击。CC攻击是一种应用层DoS攻击，它以Web网站上那些需要消耗较多服务器资源的Web页面(比如站内搜索页面)为主要攻击目标，通过对这些可能导致高消耗的Web页面进行突发式的大流量访问，使得Web服务器疲于应付，最后资源耗尽，无法响应正常用户的Web页面请求，从而造成拒绝服务攻击。由于CC攻击工具所产生的Web访问流量大多数符合HTTP协议规范，传统Web应用防火墙无法对其进行正确区分和过滤，因此，传统Web应用防火墙在检测和防御CC攻击类Web应用层攻击时效果欠佳。

传统方法通过优化网站代码来检测和防御此类Web攻击，比如，在Web代码中采用Cookie来对访问者进行主动标识和认证，或者通过在Web页面中嵌入图形识别码来避免攻击者自动请求那些可能导致Web服务器高消耗的Web页面。但这些方法都需要主动修改页面代码，或者通过一个中间Web安全网关设备来修改Web安全相关的代码，这些传统方法可能导致的问题是：1)很多情况下无法对代码进行修改或者修改代价太大；2)在Web安全网关上对Web访问行为进行过多干预会为Web应用带来很多问题，比如延迟问题；同时，这也会增加Web安全网关资源开销，很难应对大Web流量场景。

发明内容

本发明要解决的技术问题是如何在不干预正常的Web访问行为、且不修改Web页面代码的情况下，实现高效率的资源消耗型Web攻击防御。

为了解决上述问题，本发明提供了一种防御资源消耗型攻击的方法，包括：

S101、每当一个周期结束时，分别将监控到的各预定Web页面的访问请求的平均响应时间和该预定Web页面对应的响应时间阈值比较；如果该周期中存在平均响应时间大于预置的响应时间阈值的预定Web页面，则进行步骤S102；

S102、对于各Web客户端对预定Web页面的访问请求，当最近K个周期中存在该Web客户端对该访问请求对应的前导Web页面的访问记录时，允许将该访问请求发给Web服务器；当最近K个周期中不存在该Web客户端访问该访问请求对应的前导Web页面的记录时，丢弃该访问请求；K为大于1的预定整数。

可选地，各周期分别采用一个布隆过滤器存储当前周期中各Web客户端对前导Web页面的访问记录；各周期所采用的布隆过滤器构成一个布隆过滤器序列；

采用一个宽度为K个周期长度的滑动窗口覆盖最近K个周期的布隆过滤器，所述滑动窗口的最右侧是最新生成的布隆过滤器。

可选地，所述布隆过滤器各散列函数输入为前导Web页面URL和Web客户端IP地址；

所述步骤S101还包括：从前导Web页面访问请求中提取前导Web页面URL和Web客户端IP地址，输入当前周期对应的布隆过滤器；

所述步骤S102还包括：从预定Web页面访问请求中提取所述前导Web页面URL和Web客户端IP地址，输入所述滑动窗口所覆盖的K个布隆过滤器，以检索最近K个周期中是否存在该Web客户端对该访问请求对应的前导Web页面的访问记录。

可选地，当最近K个周期中不存在该Web客户端对该访问请求对应的前导Web页面的访问记录时，丢弃该访问请求的步骤前包括：

如果所述滑动窗口内的K个布隆过滤器中不存在该Web客户端对该预定Web页面访问请求的前导Web页面的访问记录，则检索当前周期内正在创建的布隆过滤器；如果正在创建的布隆过滤器中存在该Web客户端对该预定Web页面访问请求的前导Web页面的访问记录，则允许将该访问请求发给Web服务器；如果正在创建的布隆过滤器中也不存在所述访问记录，则丢弃该访问请求。

可选地，所述步骤S102中还包括：

如果在一个周期内各预定Web网页的平均响应时间均未超过该Web网页所对应的响应时间阈值，且过滤比例低于预定阈值，则返回步骤S101；所述过滤比例为在针对所述预定Web页面的访问请求中，丢弃的访问请求所占的比例。