[发明专利]基于验证的应用层防护方法、装置及网络设备

说明书

本发明实施例公开了一种基于验证的应用层防护方法、装置及网络设备，确定与所述网络服务器相对应的目标验证防护方式，即针对网络服务器的不同性能状态可以采用不同的验证防护方式；在终端设备要访问网络服务器时，截获终端设备向网络服务器发送的访问请求，通过与网络服务器的性能相对应的目标验证防护方式对终端设备进行验证，只有验证通过的终端设备发送的访问请求才被转发至网络服务器，通过有差别的验证防护方式实现有区分的对终端设备进行防护，从而降低将正常客户端发送的请求过滤掉这一情况所发生的概率，提高防护效果。

技术领域

本发明涉及网络技术领域，更具体地说，涉及一种基于验证的应用层防护方法、装置及网络设备。

背景技术

随着互联网上应用的复杂度不断增加和网络带宽的不断正常，服务器资源将成为网络中的主要瓶颈。由于应用层的计算量一般较重，因此，攻击者只需要使用少量的攻击请求就足以耗尽目标服务器的资源，导致服务器无法处理正常合法的请求，如拒绝服务攻击等。拒绝服务攻击有以下两种攻击方式：带宽耗尽型和主机资源耗尽型。带宽耗尽型的目标是通过大量合法的HTTP请求占用目标网络的带宽，使正常用户无法进行Web访问。主机资源耗尽型与带宽耗尽型不同，其目的是为了耗尽目标服务器的资源(例如：CPU、存储器、Socket等)。攻击者用少量的HTTP请求促使服务器返回大文件(例如图像、视频文件等)，或促使服务器运行一些复杂的脚本程序(例如复杂的数据处理、密码计算与验证等)。这种方式不需要很高的攻击速率就可以迅速耗尽主机的资源，而且更具有隐蔽性。

目前，较常用的一种对网络攻击的防护方法为，通过带宽控制器限制带宽来对抗攻击，这种防护方式可以拦截那些超出服务器承受力的流量，以保证服务器的服务质量，但是这种防护方式限制了攻击的同时，对正常的网络流量也进行了拦截；还有一种针对网络攻击的异常检测模型，它通过基于阈值的技术来检测那些过于频繁的请求同一页面的客户端，将在单位时间内请求同一页面的次数超过预设阈值的客户端屏蔽掉。

然而，发明人在实现本发明的过程中发现，目前常用的对网络攻击进行防护的方法都过于简单，容易将正常客户端发送的请求也过滤掉，防护效果较差。

发明内容

本发明的目的是提供一种基于验证的应用层防护方法、装置及网络设备，以降低将正常客户端发送的请求过滤掉这一情况所发生的概率，提高防护效果。

为实现上述目的，本发明提供了如下技术方案：

一种基于验证的应用层防护方法，包括：

截获终端设备向网络服务器发送的访问请求；

依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证；其中，所述目标验证防护方式为多个验证防护方式中的一个；不同验证防护方式的防护效果不同；

将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。

本发明实施例还提供一种基于验证的应用层防护装置，包括：

截获模块，用于截获终端设备向网络服务器发送的访问请求；

验证模块，用于依据与所述网络服务器的性能指标参数相对应的目标验证防护方式对所述终端设备进行验证；其中，所述目标验证防护方式为多个验证防护方式中的一个；不同验证防护方式的防护效果不同；

发送模块，用于将通过所述目标验证防护方式验证的终端设备发送的访问请求发送给所述网络服务器。

本发明实施例还提供一种网络设备，所述网络设备包括如上所述的基于验证的应用层防护装置。