一种基于积分策略的网站ddos攻击防御系统及方法
【专利摘要】本发明公开了一种基于“积分策略”的网站DDOS攻击防御系统,包括客户端、防火墙、入侵检测系统以及Web服务器,在所述入侵检测系统与web服务器之间还包括攻击IP过滤单元,所述防火墙除用于防御已知网络攻击外,还根据攻击IP过滤单元的过滤指令进行防御处理;所述入侵检测系统以所述防火墙的防御处理结果作为输入,用于检测已知的DDOS攻击;所述攻击IP过滤单元,用于对被判定为具有攻击行为的用户IP进行过滤,所述过滤为阻止该用户IP对Web服务器的正常访问,判定结果经积分累计及缓存,对于缓存结果实现动态评估,据此评估结果判定该用户IP是否需被过滤或者重新获得登录资格。本发明应用简便,不仅可以最大限度的保证正常用户的访问,还可以快速屏蔽出攻击。
【专利说明】—种基于积分策略的网站DDOS攻击防御系统及方法
【技术领域】
[0001]本发明涉及一种企业门户网站攻击的防御方法,特别是涉及一种针对应用层DDOS攻击的防御系统及方法。
【背景技术】
[0002]DDOS全称为分布式拒绝服务。DDOS攻击表现为攻击者利用某种方法使得目标主机的系统资源被大量占用,或者目标主机的网络带宽拥塞,最终使得合法用户得不到服务。与传统采用洪泛攻击方式的DDOS攻击不同,APP-DDOS 一般是通过正常访问的方式发送合法请求占用大量服务资源,从而让合法用户无法访问,其代表的攻击为CC攻击、HTTP风暴攻击等。当发起攻击时,攻击者不断地请求计算开销较大的页面,如查询数据库、下载文件等。由于提供服务的一般都是普通服务器,只要请求足够多,就可以使服务器瘫痪,网站被迫关闭。
[0003]目前广泛使用的防御方法往往会干扰访问者对服务器的正常访问,影响用户的用户体验;又或者不能在短时间内有效的抑制攻击,导致在识别出合法用户之前服务器可能已经崩溃。
【发明内容】
[0004]为了克服现有技术存在的问题,本发明提出了一种基于挑战应答和指纹识别的身份验证方法,身份验证时,主机和用户之间通过挑战应答、指纹识别及非对称加密技术实现身份识别,每次身份识别都需要进行“挑战”、“应答”、“置舌L”和“加密处理”,且每次发送的挑战字串都不重复,不可推算,监听者在一次识别时截获的“应答”不适用于下次身份识别,有效防止了冒充身份的发生。
[0005]本发明提出了一种基于“积分策略”的网站DDOS攻击防御系统,该系统包括客户端、防火墙、入侵检测系统以及Web服务器,在所述入侵检测系统与web服务器之间还包括攻击IP过滤单元,其中:
[0006]所述防火墙,除用于防御已知网络攻击外,在该防御系统中还用于根据攻击IP过滤单元的过滤指令进行防御处理;
[0007]所述入侵检测系统,以所述防火墙的防御处理结果作为输入,用于检测出已知的DDOS攻击;
[0008]所述攻击IP过滤单元,用于对被判定为具有攻击行为的用户IP进行过滤,所述过滤的具体处理为阻止该用户IP对Web服务器的正常访问,判定结果经积分累计及缓存,对于积分缓存结果实现动态评估,据此评估结果判定该用户IP是否需被过滤或者重新获得登录进入系统的资格。
[0009]本发明还提出了一种基于“积分策略”的网站DDOS攻击防御方法,该方法包括以下步骤:
[0010]由防火墙实现防御已知网络攻击,以及根据攻击IP过滤单元的过滤指令进行防御处理;
[0011]由入侵检测系统以所述防火墙的防御处理结果作为输入,进一步用于检测出已知的DDOS攻击;
[0012]由攻击IP过滤单元对被判定为具有攻击行为的用户IP进行过滤,所述过滤的具体处理为阻止该用户IP对Web服务器的正常访问,判定结果经积分累计及缓存,对于积分缓存结果实现动态评估,据此评估结果判定该用户IP是否需被过滤或者重新获得登录进入系统的资格。
[0013]与现有技术相比,本发明应用简便,与传统方案相比,不仅可以最大限度的保证正常用户的访问,还可以快速屏蔽出攻击。
【专利附图】
【附图说明】
[0014]图1为本发明的一种基于“积分策略”的网站防御DDOS攻击系统结构框图;
[0015]图2为本发明的一种基于“积分策略”的网站防御DDOS攻击方法运行时访问流程图。
【具体实施方式】
[0016]下面结合附图和实施例,进一步详细说明本发明的【具体实施方式】。
[0017]如图1-2所示,为本发明的一`种基于“积分策略”的网站防御DDOS攻击系统的结构框图和运行访问流程。`
[0018]1、相关定义。
[0019](I)服务价格:该值代表了用户使用某服务或访问某页面需付出的积分值,其中每个服务价格X i = c i ? Q i,C i代表每个服务或页面的收益权重(如一个提供数据库查询为主的网站其数据库服务所占权重最大,其他依次类推减少),Q 表服务所需的资源成本,综合了每个服务或页面所消耗的CPU计算开销、内存、带宽、I/O速率等得出的一个值。
[0020](2)积分:该值是用来获得服务或访问某页面的消耗品,如果把服务或页面视为商品的话则积分就是购买商品的货币。积分值的多少还是衡量一个用户是否为正常用户的重要标志。
[0021]2、具体方法
[0022]本发明的系统由以下几个模块组成:
[0023](I)防火墙:防火墙不仅可以防御已知的、常见的攻击之外,还通过接收模型内部排队模块中维护的黑名单IP进行包过滤。防火墙还有日志记录功能,可以记录网络访问数据等,对于分析网络攻击有一定的帮助。
[0024](2)入侵检测系统:该系统运行规则匹配程序,可以检测出已知规则的DDOS攻击,减轻服务器的负担。
[0025](3)积分计算模块:
[0026]若请求IP不在用户控制模块中的白名单中时,则将该IP认定为新用户;对于新用户新IP来说,每个IP初始化积分值为a(该值足够一个正常用户在足够长的时间里完成访问或享用服务,但是对于高频率访问的攻击IP来说远远不够);每次请求一项服务或访问一个页面时,会根据消费模块中的服务价格表扣除相应的积分值,并返回积分计算模块进行结算;当用户通过奖励模块的某些测试时,为该用户IP加上相应的奖励积分;
[0027]当积分累计超过阀值Bmax的时候,则认为是正常用户,将该IP放入用户控制模块,并且之后请求的各种服务或页面不再消耗积分;若积分值小于最小阀值Bmin时,则将该IP放入排队模块做进一步处理;当排队模块中的某个IP的积分重新大于阀值Bniin的时候重新取出放入积分计算模块为之提供消费资格。
[0028](4)奖励模块:该模块是判断是否为正常用户的关键模块,但如果该IP已经认证为正常用户则该模块不起作用。它负责向客户端发送一些测试(比如图灵测试或一些简单逻辑测试),并收集客户端的回应,根据客户端表现奖励积分。
[0029](5)消费模块:该模块负责维护一个服务(或叫页面)价格表,每当接收到请求时,该模块从表中查到相应的服务价格然后将价格信息传递给积分计算模块进行积分计算。当请求的用户被认证为正常用户时,该模块传递给积分计算模块中的服务价格一律为O。
[0030](6)排队模块:该模块负责维护一个疑似黑名单积分表,负责接受从积分计算模块传来的疑似攻击IP。在排队模块中的IP无法发送服务请求,但会出现一个提示登录/注册的小页面(若登陆成功则直接认证为正常用户),或以一定概率获得用户检测场景从而获得奖励积分。当积分超过阀值Bmin时将该IP重新送回至积分计算模块。该模块还负责记录一个IP在黑名单中的存在时间,存在时间越长,表明该IP越可疑,最后将时间累计值超过阀值T的IP发到防火墙进行过滤。
[0031](7)用户控制模块:该模块中维护着一张认证用户表(即白名单)。白名单的用户可以享受免费消费的待遇。
[0032]当本发明的一种基于“积分策略”的网站防御DDOS攻击方法运行时:
[0033]①对于新用户新IP来说,每个IP初始化积分值为a ;
[0034]②用户在访问网页或请求服务的之前会以不同概率遇到不同的用户行为测试,通过奖励模块的这些测试时,系统会为该用户IP加上相应的奖励积分;
[0035]③若积分值小于最小阀值Bmin时,则将该IP放入排队模块;
[0036]④在排队模块中的IP不能获得服务,但会得到登陆/注册的提示或奖励模块的其他测试,从而获得正常用户的认证或得到些许奖励积分;
[0037]⑤当排队模块中的某个IP的积分重新大于阀值Bniin的时候重新取出放入积分计算模块,可重新获得消费资格。
[0038]⑥当积分累计超过阀值Bmax的时候,则认为是正常用户,将该IP加入用户控制模块中的白名单,并且之后请求的各种服务或页面不再消耗积分;
[0039]⑦每次请求一项服务或访问一个页面会扣除相应的服务价格,并返回至积分计算模块进行结算;
[0040]⑧排队模块将时间累计值超过Tbad的IP作为黑名单发到防火墙进行过滤。
【权利要求】
1.一种基于“积分策略”的网站DDOS攻击防御系统,该系统包括客户端、防火墙、入侵检测系统以及Web服务器,其特征在于,在所述入侵检测系统与web服务器之间还包括攻击IP过滤单元,其中: 所述防火墙,除用于防御已知网络攻击外,在该防御系统中还用于根据攻击IP过滤单元的过滤指令进行防御处理; 所述入侵检测系统,以所述防火墙的防御处理结果作为输入,用于检测出已知的DDOS攻击; 所述攻击IP过滤单元,用于对被判定为具有攻击行为的用户IP进行过滤,所述过滤的具体处理为阻止该用户IP对Web服务器的正常访问,判定结果经积分累计及缓存,对于积分缓存结果实现动态评估,据此评估结果判定该用户IP是否需被过滤或者重新获得登录进入系统的资格。
2.一种基于“积分策略”的网站DDOS攻击防御方法,其特征在于,该方法包括以下步骤: 由防火墙实现防御已知网络攻击,以及根据攻击IP过滤单元的过滤指令进行防御处理; 由入侵检测系统以所述防火墙的防御处理结果作为输入,进一步用于检测出已知的DDOS攻击;; 由攻击IP过滤单元对被判定为具有攻击行为的用户IP进行过滤,所述过滤的具体处理为阻止该用户IP对Web服务器的正常访问,判定结果经积分累计及缓存,对于积分缓存结果实现动态评估,据此评估结果判定该用户IP是否需被过滤或者重新获得登录进入系统的资格。
【文档编号】H04L29/06GK103618730SQ201310651436
【公开日】2014年3月5日 申请日期:2013年12月4日 优先权日:2013年12月4日
【发明者】张亚平, 李展歌 申请人:天津大学