[发明专利]一种基于IP信誉度的应用层DDOS攻击的检测防护方法及系统

说明书

本申请实施例提供一种基于IP信誉度的应用层DDOS攻击的检测防护方法、系统及电子设备，所述方法通过结合IP访问日志以及DDOS攻击事件记录计算获取IP信誉度，再根据IP信誉度对访问请求进行分流，将高危访问请求重定向到对应的高防服务器上，从而实现将不同安全威胁等级的请求分流隔离，进一步实现了应用层DDoS攻击的检测和防护。利用本发明所公开的方法，能够有效区分异常流量，提高对DDoS攻击的预防和检测的准确性，同时，在服务遭受攻击时，利用本发明公开的方法还可以有效保证正常用户的访问质量，提升了用户的体验，因此具有明显的有益效果。

技术领域

本申请涉及CDN网络安全领域，特别涉及一种基于IP信誉度的应用层DDOS攻击的检测防护方法及系统。

背景技术

随着移动互联网、云计算、5G、AI、物联网等技术和产业的迅猛发展，社会及企业数字化转型进入了关键阶段。越来越多的企业加快了向公有云的服务迁移，在技术升级的同时，针对敏感云工作负载和数据的攻击也随之而来。特别是游戏、直播、金融、政府网站，面临着大量黑产通过恶意流量挤占网络带宽，服务无法正常运营。近年来，随着DDoS攻击检测的硬件设备、底层检测技术的不断发展和完善，越来越多的攻击转向了更难被检测的应用层，这给网络攻击行为的检测提出了更大的挑战。

目前，基于用户行为特征的检测方法是目前应用层DDoS攻击检测的主要研究方向，其中有下列三种比较典型的技术方案，第一种技术方案是基于用户行为特征的检测方法，主要包括根据访问请求的URL顺序以及会话时间和响应大小之间的关系来检测攻击行为的检测方法。第二种技术方案是谢逸、余顺基于隐半马尔可夫模型(HsMM)，该方案通过对用户行为数据进行建模，进一步计算用户行为与正常大多数用户行为的偏离度，最终实现对攻击行为的检测。第三种技术方案是Ranjan等人提出，该方案的主要思路是根据请求的会话参数对应用层DDoS攻击进行分类，在此基础上提出了一种会话可疑度模型，根据会话可疑度大小进行请求转发，实现对攻击的检测和防护。

在上述检测方法的应用中，发现现有的技术方案至少存在以下缺陷：

1)第一种技术方案无法对DDoS、CC攻击行为进行有效检测，因为当攻击者足够多，特别当频繁地请求一个URL时，可以轻松的绕过该检测方法；

2)第二种技术方案局限性较大，不适合应用于CDN平台，因为CDN平台作为云服务的基础设施，可以接入各种各样的形式各异的业务，无法对大多数用户行为数据进行HsMM建模；

3)第三种技术方案仅仅考虑了session参数，没有考虑其他的一些请求特征，例如请求的User-Agent，特定的攻击软件的请求头，请求访问的频率等信息，特别的，没有与历史上发生的DDoS攻击事件进行联动，缺乏分析准确性和有效性。

发明内容

为解决现有技术方案存在的上述缺陷，本发明的目的是基于IP信誉度技术提出一种用于应用层DDoS攻击的检测和防护方法。

本发明第一方面公开一种基于IP信誉度的应用层DDoS攻击的检测和防护方法，该方法通过结合IP访问日志以及DDOS攻击事件记录计算获取IP信誉度，再根据IP信誉度对访问请求进行分流，将高危访问请求重定向到对应的高防服务器上，从而实现将不同安全威胁等级的请求分流隔离，进一步实现了应用层DDoS攻击的检测和防护。

所述方法具体包括以下实现步骤：步骤S1：根据历史记录数据计算获得所有访问请求IP的IP信誉度，存储所述IP信誉度形成IP信誉数据库；步骤S2：接收访问请求，根据所述访问请求的IP地址从所述IP信誉数据库中获取所述请求的IP信誉度；步骤S3：根据获取的IP信誉度，检测所述的访问IP是否属于高危IP，如果不是，则结束检测；步骤S4：将检测为高危IP的访问请求重定向到相应的高防服务器做进一步处理，所述高防服务器用于检测和预防超大流量的DDoS攻击。