拒绝服务攻击的防护方法和装置制造方法
【专利摘要】本发明提供了一种拒绝服务攻击的防护方法和装置。其中,拒绝服务攻击的防护方法包括以下步骤:获取主机受到拒绝服务攻击的触发事件;根据请求源向主机发出的访问请求生成带有验证数据的应答消息,并返回给请求源;获取请求源对应答消息的响应,并判断响应中是否包括验证数据的回应数据以及回应数据是否与验证数据匹配;若以上任一判断结果为否,截留请求源向主机发出的访问请求。利用本发明的拒技术方案保障了防护目标主机的安全可靠运行,提高了网络安全性。
【专利说明】拒绝服务攻击的防护方法和装置
【技术领域】
[0001]本发明涉及互联网安全领域,特别是涉及一种拒绝服务攻击的防护方法和装置。【背景技术】
[0002]拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。利用大量超出响应能力的请求消耗大量攻击目标的资源,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。严重时可以使某些服务被暂停甚至主机死机。
[0003]作为拒绝服务攻击的一种,CC攻击(Challenge Collapsar,挑战黑洞攻击),是利用不断对网站发送连接请求,致使形成拒绝服务的目的的一种恶意攻击手段。其原理为模拟多个用户不停地进行访问那些需要大量数据操作的页面,造成目标主机服务器资源耗尽,一直到宕机崩溃。
[0004]由于CC攻击的攻击方式是通过模拟用户的访问请求,难以进行区分,而且CC攻击的技术门槛较低,利用一些工具和一定熟练数量的代理IP就可以进行攻击,而且CC攻击的攻击效果明显。
[0005]现有技术中针对拒绝服务攻击,特别是CC攻击的处理方案,主要在于对目标服务器的优化,例如禁止网站代理访问,限制连接数量,尽量将网站做成静态页面等方法。然而以上禁止代理访问和限制连接数量的方法会影响正常用户访问网站,另外由于网页的类型和内容的限制,也无法将网页全部设置为静态页面,而且这种方式也不能完全消除拒绝服务攻击的效果。
【发明内容】
[0006]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的拒绝服务攻击的防护装置和相应的拒绝服务攻击的防护方法。本发明一个进一步的目的是要使得消除拒绝服务攻击对目标主机的攻击效果。
[0007]依据本发明的一个方面,提供了一种拒绝服务攻击的防护方法。该拒绝服务攻击的防护方法包括以下步骤:获取主机受到拒绝服务攻击的触发事件;根据请求源向主机发出的访问请求生成带有验证数据的应答消息,并返回给请求源;获取请求源对应答消息的响应,并判断响应中是否包括验证数据的回应数据以及回应数据是否与验证数据匹配;若以上任一判断结果为否,截留请求源向主机发出的访问请求。
[0008]可选地,触发事件的生成步骤包括:获取向主机发出的访问请求;对访问请求进行拒绝服务攻击识别,并按照拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。
[0009]可选地,如果判断响应中包括对验证数据的回应数据且回应数据与验证数据匹配,允许访问请求向主机发送。
[0010]可选地,在截留请求源向主机发出的访问请求之后还包括:对请求源的访问日志进行分析,以确定对请求源的防护的有效性。
[0011]可选地,验证数据为浏览器用户信息cookie,与带有cookie信息的应答消息匹配的回应数据为带有cookie信息跳转至主机地址的请求。
[0012]可选地,验证数据为脚本文件,与带有脚本文件的应答消息匹配的回应数据为脚本文件的执行结果。
[0013]可选地,验证数据为图片数据,与带有图片数据的应答消息匹配的回应数据为带有图片数据文字识别结果的跳转至主机地址的请求。
[0014]根据本发明的另一个方面,还提供了一种拒绝服务攻击的防护装置。该拒绝服务攻击的防护装置包括:事件获取模块,用于获取主机受到拒绝服务攻击的触发事件;应答模块,用于根据请求源向主机发出的访问请求生成带有验证数据的应答消息,并返回给请求源;判断模块,用于获取请求源对应答消息的响应,并判断响应中是否包括验证数据的回应数据以及回应数据是否与验证数据匹配;执行模块,用于以上任一判断结果为否,截留请求源向主机发出的访问请求。
[0015]可选地,事件获取模块被配置为:获取向主机发出的访问请求;对访问请求进行拒绝服务攻击识别,并按照拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。
[0016]可选地,执行模块还用于:在判断模块的判断结果均为是的情况下,允许访问请求向主机发送。
[0017]可选地,上述拒绝服务攻击的防护装置还包括:日志分析模块,用于对请求源的访问日志进行分析,以确定对请求源的防护的有效性。
[0018]可选地,应答模块返回的应答消息中包含的验证数据包括以下任意一项:浏览器用户信息cookie、脚本文件、图片数据。
[0019]本发明的拒绝服务攻击的防护方法和防护装置在确定防护目标主机受到拒绝服务攻击时,向攻击源返回验证信息,在验证信息不符合要求的情况下,忽略请求信息,对于防护目标主机而言,可以确保可靠运行,向正常用户提供相应服务。从而保障了防护目标主机的安全可靠运行,提高了网络安全性。
[0020]进一步地,采用多种方式配合的方式进行验证信息的反馈和验证,构成了多层次的防护手段。
[0021]又进一步地,根据拒绝服务攻击的攻击特征对以及防护目标主机的访问特点对拒绝服务攻击的攻击源进行识别,尽量减小对正常访问的影响,提高了用户体验。
[0022]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
[0023]根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
【专利附图】
【附图说明】
[0024]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0025]图1是根据本发明一个实施例的拒绝服务攻击的防护装置200的网络应用环境的示意图;
[0026]图2是根据本发明一个实施例的拒绝服务攻击的防护装置200示意图;以及
[0027]图3是根据本发明一个实施例的拒绝服务攻击的防护方法的示意图。
【具体实施方式】
[0028]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0029]图1是根据本发明一个实施例的拒绝服务攻击的防护装置200的网络应用环境的示意图,在图中,网页客户端110访问目标网站时,经过域名解析系统的解析,将输入的域名解析为网页防护系统分布在各地机房的节点服务器120对应的地址,节点服务器120通过互联网向目标网站的主机(host) 140发出访问请求,在hostl40之前设置了网页应用防护系统130 (Web Application Firewall,简称WAF),向目标主机140发出的访问请求必须经过WAF130才能到达目标主机140,WAF130作为网站防火防火墙,提供网站的加速和缓存服务,可防止黑客利用跨站注入等漏洞对网站进行入侵,保护网站不被篡改和入侵,提高网站主机的安全性。本发明实施例的拒绝服务攻击的攻击源的识别装置200与多个WAF130数据连接,根据WAF130收到的向目标主机140发送的访问请求进行拒绝服务攻击的攻击源识别。
[0030]拒绝服务攻击的方式包含以下多种方式:使用单一互联网协议地址(InternetProtocol,进程IP地址)对某一 host的单个统一资源定位符(Uniform Resource Locator,简称URL)进行攻击、使用多个IP对单个URL进行攻击、使用单一 IP对多个URL进行攻击、使用多个IP对多个URL进行攻击。
[0031]本发明实施例的拒绝服务攻击的拒绝服务攻击的防护装置200及其相应的拒绝服务攻击的防护方法可以对各种类型的拒绝服务攻击进行安全防护。
[0032]图2是根据本发明一个实施例的拒绝服务攻击的防护装置200示意图。该拒绝服务攻击的防护装置200 —般性地可以包括:事件获取模块210、应答模块220、判断模块230、执行模块240,在一些优化的方案中还可以增加设置有日志分析模块250。
[0033]在以上部件中,事件获取模块210用于获取主机受到拒绝服务攻击的触发事件;应答模块220用于根据请求源向主机发出的访问请求生成带有验证数据的应答消息,并返回给请求源;判断模块230用于获取请求源对应答消息的响应,并判断响应中是否包括验证数据的回应数据以及回应数据是否与验证数据匹配;执行模块240用于以上任一判断结果为否,截留请求源向主机发出的访问请求。
[0034]其中,事件获取模块210可以通过对防护目标主机的请求确定是否出现了拒绝服务攻击。事件获取模块210的一种可选配置方式为:获取向主机发出的访问请求;对访问请求进行拒绝服务攻击识别,并按照拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。以上触发事件可以包括:目标主机的访问量骤升或者某一 URL的访问量异常等情况。
[0035]如果判断模块230的判断结果为是,说明请求方通过了验证,执行模块240可以允许访问请求向主机发送。
[0036]本实施例的拒绝服务攻击的防护装置200为了验证其防护效果,还可以利用日志分析模块250对请求源的访问日志进行分析,以确定对请求源的防护的有效性。
[0037]应答模块200返回的应答消息中包含的验证数据包括以下任意一项:浏览器用户信息cookie、脚本文件、图片数据。
[0038]在验证数据为浏览器用户信息cookie时,请求发送方获取浏览器用户信息cookie后,正常操作为向WAF130重新发送带有该cookie信息跳转至所述主机地址的请求,如果请求发送方返回的请求没有对cookie进行处理,可以说明请求发送方的请求为攻击行为。
[0039]在验证数据为脚本文件JavaScript时,请求发送方获取javascript后,正常操作为执行该javascript,并重新返回脚本的执行结果,如果请求发送方返回的请求没有执行javascript,也可以说明请求发送方的请求为攻击行为。
[0040]图片验证数据也是一种有效的防护方法,例如当前访问量超出阈值,可以向所有的请求发送方发送图片,类似于验证码的方式,请求方需要将图片中包含的文字或者其他内容进行输入并向目标主机反馈,如果图片的识别结果与图片对应则证明当前访问为正常访问。
[0041]以上三种方法可以进行选择使用,也可以配合共同进行使用,例如使用cookie作为验证信息,消耗的资源最少,而且可以对正常用户没有任何干扰的情况下完成信息认证,但是容易被攻击后门绕过,日志分析模块250通过分析确定cookie验证被绕过时,开启脚本文件验证,如果脚本文件验证又被绕过,则开启图片验证,由于图片验证方式需要用户进行操作,对正常访问用户会产生干扰,但是验证效果较好。通过多层次的防护机制,可以提高拒绝服务攻击的防护性能。
[0042]本发明实施例还提供了一种拒绝服务攻击的防护方法,该拒绝服务攻击的防护方法可以由以上实施例中的拒绝服务攻击的防护装置200来执行,以防范拒绝服务攻击。图3是根据本发明一个实施例的拒绝服务攻击的防护方法的示意图,该拒绝服务攻击的防护方法包括以下步骤:
[0043]步骤S302,获取主机受到拒绝服务攻击的触发事件;
[0044]步骤S304,根据请求源向主机发出的访问请求生成带有验证数据的应答消息,并返回给请求源;
[0045]步骤S306,获取请求源对应答消息的响应;
[0046]步骤S308,判断响应中是否包括验证数据的回应数据并且回应数据是否与验证数据匹配;
[0047]步骤S310,若步骤S308判断结果中任一项为否,则截留请求源向主机发出的访问请求。
[0048]如果步骤S308的判断结果均为是,则将请求源向主机发送的访问请求返回给防护目标主机。[0049]步骤S302所获取的触发事件的生成步骤包括:获取向主机发出的访问请求;对访问请求进行拒绝服务攻击识别,并按照拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。
[0050]优选地,在步骤S310之后还可以对请求源的访问日志进行分析,以确定安全防护的有效性。
[0051]步骤S304中生成应答消息中包含的验证数据包括以下任意一项:浏览器用户信息cookie、脚本文件、图片数据。
[0052]在验证数据为浏览器用户信息cookie时,请求发送方获取浏览器用户信息cookie后,正常操作为向WAF130重新发送带有该cookie信息跳转至所述主机地址的请求,如果请求发送方返回的请求没有对cookie进行处理,可以说明请求发送方的请求为攻击行为。
[0053]在验证数据为脚本文件JavaScript时,请求发送方获取javascript后,正常操作为执行该javascript,并重新返回脚本的执行结果,如果请求发送方返回的请求没有执行javascript,也可以说明请求发送方的请求为攻击行为。
[0054]图片验证数据也是一种有效的防护方法,例如当前访问量超出阈值,可以向所有的请求发送方发送图片,类似于验证码的方式,请求方需要将图片中包含的文字或者其他内容进行输入并向目标主机反馈,如果图片的识别结果与图片对应则证明当前访问为正常访问。
[0055]以上三种方法可以进行选择使用,也可以配合共同进行使用,例如使用cookie作为验证信息,消耗的资源最少,而且可以对正常用户没有任何干扰的情况下完成信息认证,但是容易被攻击后门绕过,通过对访问日志的进一步分析分析确定cookie验证被绕过时,开启脚本文件验证,如果脚本文件验证又被绕过,则开启图片验证,由于图片验证方式需要用户进行操作,对正常访问用户会产生干扰,但是验证效果较好。通过多层次的防护机制,可以提高拒绝服务攻击的防护性能。
[0056]首先对防护目标主机的访问量异常时,开启本实施例的拒绝服务攻击的防护方法的实现流程进行进一步说明。
[0057]在受到拒绝服务攻击的情况下,在较短的时间内,访问请求的防护目标主机140收到的请求量会明显高于正常的请求量,然而对于不同的网站,其访问量是不同的。为了使对目标防护主机140设置的阈值符合该目标主机140的访问能力,可以动态对请求量判断的阈值进行统计,统计方法可以包括每间隔第一预定时间段记录一次第一请求量,得到多个第一请求量;从多个第一请求量中按照预设规则挑选出多个样本值;计算多个样本值的平均值,根据平均值设定阈值。
[0058]其中选取样本的方式可以为:选取在第二预定时间段内产生的多个第一请求量,第二预定时间段为第一预定时间段的整数倍,将在第二预定时间段内产生的多个第一请求量中的最大值记为第二请求量;在连续多个第二预定时间段内分别挑选得出多个第二请求量,并从多个第二请求量中滤除偏差较大的数据后,得到多个样本值。以上请求量阈值可以为样本值的加和平均值与预定系数的乘积,预定系数的取值范围为:1.05至1.3。
[0059]为了保证识别的准确性,以上第一预定时间和第二预定时间均经过了大量的时间进行试验,其中第一预定时间如果设定地过短,其波动性较大,容易出现误识别的情况,如果设定地过长,其波动性过于平滑,无法反映出请求量的变化;经过大量测试的结果,第一预定时间可以设置为3至8分钟,最优值为5分钟,也就是每间隔5分钟,确定在这5分钟内发出的访问请求总量作为第一请求量。
[0060]为了确定以上请求量阈值,需要确定在正常访问情况下最大的访问请求量,由于一般网站的访问都是天为单位波动的,因此,第二预定时间可以使用一天的时间,从而选取样本值的过程可以为:获取一天时间内,每隔5分钟的第一请求量,从而一天的288个第一请求量中选取出最大值作为第二请求量。由于第二请求量可能受到异常因素的影响,会导致有些值明显出现较大偏差,例如某日统计出错,导致请求量为零;或者在某天内受到拒绝服务攻击,访问量大增,这种明显偏差较大的数据并非正常访问造成的,需要进行滤除。一种从第二请求量中选取样本值的简单方法可以为:挑选最近30天内的30个第二请求量,过滤掉最大的三个数据和最小的三个数据,将剩余的24个第二请求量作为样本值。这种方式计算简单,有效性较高。另外从第二请求量中选取样本值的方法还可以使用方差的方法进行统计,将方差大于一定预设值的第二请求量删除。
[0061]以上预定系数的作用是为了给网站请求量留出一定的裕值,防止出现误拦的情况,预定系数的取值范围为:1.05至1.3,一般选取的最优值可以为1.2。也就是将超出正常访问的最大访问量的20%的情况作为确定拒绝服务攻击的条件。
[0062]以上确定出的请求量阈值可以是动态调整的,例如每天定时利用此前30天的访问数据进行阈值的计算,从而判断更加精确,例如在网站的访问量逐渐增长的情况下,可动态的增加阈值,防止出现因业务变化导致出现拒绝服务攻击识别错误的情况发生。阈值的计算过程也并不局限于对样本值的加和平均,只要可以反映出网站正常访问量的最大值的统计计算方法均可以用于对阈值的计算,本实施例优选的加和平均仅是计算量较小的一种方式。
[0063]以上第一预设时间、第二预设时间、预定系数均是根据网络访问的情况统计得出的经验值,可以根据拒绝服务攻击的变化灵活进行调整。
[0064]以上请求量数据实时从所有的WAF130中的运行日志中经过统计分析得出。
[0065]当在第一预设时间,目标主机140收到的总请求量超过以上请求量阈值,即可以认为受到了拒绝服务攻击。开启本实施例提供的拒绝服务攻击的防护机制。
[0066]首先,采用cookie反弹安全防护,WAF130向所有请求方下发带有安全标记cookie的强制跳转指令,并监控请求方的后续请求中是否包含该安全标记,如果有,认定请求方通过验证,可由WAF130向目标主机140发送通过验证的请求。但是这种方式相对容易,攻击方存在绕过的可能性。因此需要对后续请求中包含的状态码和请求量进行核查,对防护的有效性进行验证。
[0067]其次,采用脚本文件JavaScript安全防护,WAF130向所有请求方下发带有跳转命令的用脚本文件JavaScript,只有请求方接收并执行以上脚本后,脚本中的代码包括有跳转回指定地址的命令,只有对方浏览器为正常访问浏览器客户端时,浏览器才会执行脚本,完成验证。然而,js脚本为明文传输,也存在着一些被破解的隐患,需要定期对js代码进行更新,同时通过分析请求中包含的状态码和请求量,对防护的有效性进行验证。
[0068]以上两种方式,不会影响用户的使用体验,如果以上两种方式均被破解,可以采用图片验证方式进行防护,向所有的请求发送方发送图片,类似于验证码的方式,请求方需要将图片中包含的文字或者其他内容进行输入并向目标主机反馈,如果图片的识别结果与图片对应则证明当前访问为正常访问,否则,过滤所述请求,这种验证方式需要用户的配合才能达到防护。
[0069]以上三种验证方式,互相配合,防护力度逐层加大,提高了拒绝服务攻击的防护效果。
[0070]为了能够进一步缩小安全防护对用户的影响和对防护装置资源的消耗,还可以采用以下两种方式,对攻击源进行识别,缩小防护范围。
[0071]其中第一种方式为:
[0072]在目标防护主机的请求量超过以上的请求阈值后,确定出现访问事件,开启识别攻击源的机制。
[0073]首先判断在第三预定时间段内向目标主机hostl40访问请求总量是否超过预设的网站安全响应阈值;若是,获取hostl40问请求返回的异常响应量与正常访问量,并判断hostl40根据访问请求返回的异常响应量与正常访问量的比值是否超过预设的响应比率阈值。判断在第三预定时间段内向目标主机140发出的访问请求总量是否超过预设的网站安全响应阈值的目的是,保证该目标主机140的运行稳定性,对于一些小型网站访问量较小,运行不稳定,其不正常响应一般也并非由于受到攻击的影响,如果在这些网站出现响应异常时触发拒绝服务攻击的攻击源识别步骤,会消耗防护装置资源。
[0074]因此,在监控响应情况时,需要设立一个存活机制,仅对有一定访问量的目标主机14进行响应异常事件的监控。以上第三预定时间根据目标主机140的运行情况进行设定,一般而言,可以设置为10秒到30秒,最优设置为20秒,如果20秒内,目标主机140接收到的请求总量超过网站安全响应阈值,而且异常响应量与正常访问量的比值超过预设的响应比率阈值,响应比率阈值如果达到50%以上,就可以认为出现响应异常,例如异常响应量达到80%或以上,则可以判断目标主机140出现响应异常,触发拒绝服务攻击的攻击源的识别机制。
[0075]以上网站安全响应阈值对应的数值可以按照一般网站应该可以正常处理的请求量进行设置,确保网站请求量正常。
[0076]在单一攻击源进行拒绝服务攻击时,该攻击源ip对hostl40发送的访问请求的数量远远超过正常的访问量,所以在这种情况下,攻击源的请求数量远远超过其他正常请求源,因此在判断出第一访问量占访问请求总量的比率超过预设比值,就可以认定第一访问量对应的请求源为发出拒绝服务攻击的攻击源。以上预设比值为对拒绝服务攻击的攻击行为进行分析得出的经验值,一般可以设置为80%左右,也就是如果接收到异常事件的触发,如果在当前一段时间内,某一请求源的请求量占到所有请求量的80%,就可以认定该请求源为攻击源,对该攻击源进行安全防护。
[0077]对识别出的攻击源利用以上三种防护方式中的任一种或多种配合方式进行防护,而对攻击源之外的正常请求源不做防护处理,从而提高了正常访问用户的使用体验,而且节省了防护装置的资源。
[0078]另外,第二种方式为:
[0079]本实施例还可以对多攻击源对单一 URL进行攻击的方式进行攻击源识别,从而实现目标性的安全防护,具体识别流程包括:[0080]获取目标主机的多个统一资源定位符URL的访问请求的列表;利用列表查询得出第一 URL,该第一 URL为在第一预定时间段内访问请求量最大的统一资源定位符;利用列表查询得出在第四预定时间段内向第一 URL发出最多请求的一个或多个请求源;判断第一URL接收的访问所占的总访问请求量的占比是否超过预设访问占比;判断访问请求量最大的请求源的请求量是否超过请求阈值;若以上判断结果均为是,确定请求源为拒绝服务攻击的攻击源。
[0081]其中访问请求列表的获取方式可以为:利用WAF130的运行日志文件得到URL列表,例如读取与目标主机数据连接的网页应用防护系统WAF130的运行日志文件;对运行日志文件文件进行分析,得到列表,列表中记录了目标主机的每个URL接收到的请求源清单和清单中每个请求源发出的访问请求量。表1示出了本实施例的拒绝服务攻击的攻击源的识别装置200利用WAF运行日志获取的URL列表。
[0082]表1
【权利要求】
1.一种拒绝服务攻击的防护方法,包括:获取主机受到拒绝服务攻击的触发事件;根据请求源向所述主机发出的访问请求生成带有验证数据的应答消息,并返回给所述请求源;获取所述请求源对所述应答消息的响应,并判断所述响应中是否包括所述验证数据的回应数据以及所述回应数据是否与所述验证数据匹配;若以上任一判断结果为否,截留所述请求源向所述主机发出的访问请求。
2.根据权利要求1所述的方法,其中,所述触发事件的生成步骤包括:获取向所述主机发出的访问请求;对所述访问请求进行拒绝服务攻击识别,并按照所述拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。
3.根据权利要求1所述的方法,其中,如果判断所述响应中包括对所述验证数据的回应数据且所述回应数据与所述验证数据匹配,允许所述访问请求向所述主机发送。
4.根据权利要求1至3中任一项所述的方法,其中,在截留所述请求源向所述主机发出的访问请求之后还包括:对所述请求源的访问日志进行分析,以确定对所述请求源的防护的有效性。
5.根据权利要求1至4中任一项所述的方法,其中,所述验证数据为浏览器用户信息cookie,与带有所述cookie信息的应答消息匹配的回应数据为带有所述cookie信息跳转至所述主机地址的请求。
6.根据权利要求1至4中任一项所述的方法,其中,所述验证数据为脚本文件,与带有所述脚本文件的应答消息匹配的回应数据为所述脚本文件的执行结果。
7.根据权利要求1至4中任一项所述的方法,其中,所述验证数据为图片数据,与带有所述图片数据的应答消息匹配的回应数据为带有所述图片数据文字识别结果的跳转至所述主机地址的请求。
8.—种拒绝服务攻击的防护装置,包括:事件获取模块,用于获取主机受到拒绝服务攻击的触发事件;应答模块,用于根据请求源向所述主机发出的访问请求生成带有验证数据的应答消息,并返回给所述请求源;判断模块,用于获取所述请求源对所述应答消息的响应,并判断所述响应中是否包括所述验证数据的回应数据以及所述回应数据是否与所述验证数据匹配;执行模块,用于以上任一判断结果为否,截留所述请求源向所述主机发出的访问请求。
9.根据权利要求8所述的装置,其中,所述事件获取模块被配置为:获取向所述主机发出的访问请求;对所述访问请求进行拒绝服务攻击识别,并按照所述拒绝服务攻击识别的结果产生主机受到拒绝服务攻击的触发事件。
10.根据权利要求8所述的装置,其中,所述执行模块还用于:在所述判断模块的判断结果均为是的情况下,允许所述访问请求向所述主机发送。
【文档编号】H04L29/06GK103685293SQ201310713371
【公开日】2014年3月26日 申请日期:2013年12月20日 优先权日:2013年12月20日
【发明者】蒋文旭 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司