[发明专利]一种提供分布式拒绝攻击的防护方法

说明书

本发明公开了一种提供分布式拒绝攻击的防护方法，通过多重防护规则的设置，对访问IP进行量化评分，实现对异常IP的准确检测，对CC攻击的有效拦截。

技术领域

本发明涉及一种提供分布式拒绝攻击的防护方法，属于DDoS攻击安全领域。

背景技术

DDoS攻击全称是分布式拒绝服务，该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。CC攻击全称ChallengeCollapsar，属于DDoS攻击的一种升级版，原理是通过大量代理服务器或者僵尸网络模拟正常用户访问网页，造成服务器的资源耗尽。目前对于CC攻击检测的技术通常是通过流量统计的方式来实现，将访问流量超出阈值的情况认为是攻击行为并进行拦截，然而由于高流量和多用户访问是CC攻击和当前热门网站所具备的共有特征，因此仅凭借流量的统计特征并不能有效检测真正的攻击。因此，如何进行准确有效的 CC攻击防护已经称为WEB应用必备的安全举措，尤其是针对热门网站。

发明内容

本发明提供了一种分布式拒绝攻击的防护方法，通过多重防护规则的设置，对访问IP进行量化评分，实现对异常IP的准确检测，对CC攻击的有效拦截。具体的方案如下：

步骤1：接收客户端发送的HTTP请求；

步骤2：解析HTTP请求的header信息；

步骤3：将解析的信息发送到安全组件进行验证，其中安全组件包含多重防护规则；所属安全组件首先校验所述请求是否在IP黑名单中，若在黑名单中则直接丢弃；若不在，则校验所述请求是否在IP白名单中，若在白名单中则直接将所述HTTP请求发送至目标服务器并响应；若不在，则进行进一步验证。

步骤4：将验证通过的HTTP请求发送至目标服务器，将验证未通过的HTTP 请求进行拦截，并记录日志。

进一步地，建立所述多重防护规则的过程包括：记录每一个IP地址访问次数，系统定期基于IP地址访问次数情况计算对应IP地址的置信度，根据所述置信度建立对应的信任等级，根据不同的信任等级对IP地址进行校验；其中，影响置信度的因素包括：该IP地址发送请求频率、该IP地址访问目标服务器时目标服务器遭受攻击的可能性、该IP地址对应的最近一次验证问题是否验证通过、该IP地址访问目标服务器的频率、每秒下载流量。

进一步地，所述信任等级包括：可疑信任、长期信任、否定信任；将长期信任的IP地址加入IP白名单中，将否定信任的IP地址加入IP黑名单中；所述信任等级随着每一次置信度的计算而更新，其中，长期信任包含有效时间，当到达有效时间后重新开始置信度计算。

进一步地，对于信任等级为可疑信任等级IP地址对应的发送HTTP请求的用户发送验证问题，当验证通过后，将验证通过的HTTP请求发送至目标服务器，当验证未通过，则将验证未通过的HTTP请求进行拦截，并记录日志。

进一步地，建立所述多重防护规则的过程还包括：计算当前访问目标服务器所有IP地址的平均置信度，当平均置信度小于阈值时，则认为目标服务器遭受到CC攻击。因此系统要实时采集目标服务器的负载情况，当检测到目标服务器的负载超出预设值时，触发步骤3中上述规则验证。

进一步地，该方法还包括步骤5：目标服务器接收请求，并响应请求。当步骤3检测到目标服务器遭受到CC攻击时，直接触发触黑洞效应，进入步骤5 对客户端请求进行拦截，使得客户端在一段时间内无法发送HTTP请求到目标服务器。

进一步地，黑洞效应可以根据用户设定或者默认配置持续的拦截客户端请求。

进一步地，系统记录客户端触发黑洞效应的次数，在单位时间内随着次数累计，黑洞效应的时长也会逐渐增加。