一种防止网络攻击的方法及系统与流程

本发明涉及网络安全领域，尤其涉及一种防止网络攻击的方法及系统。

背景技术：

网络安全的基本属性主要表现为机密性、完整性、合法性和可用性，而攻击者就是通过一切可能的方法和手段来破坏这些属性。分布式拒绝服务攻击(distributeddenialofservice，简称为ddos)的目的就是破坏网络的可用性。在互联网业务中，web服务已经占有相当大的比例，越来越多的人通过web提供的服务来获取和发布信息，所以web安全也是当今网络安全的研究热点。超文本传输协议(hypertexttransferprotocol，简称为http)作为web应用的关键协议，经常被黑客利用来实施ddos攻击，并且非常难以检测和防御。

http-flood攻击(基于http协议的ddos攻击)的主要目标是web服务器的网页。攻击发生时，攻击者利用工具伪造或劫持浏览器向特定的网站(统一资源定位符，uniformresourcelocator，简称为url)发送大量的http请求，使服务器忙于向攻击者提供资源而无法响应其他合法用户的服务请求，进而使网站达到处理瓶颈，从而达到网站拒绝服务的目的。

一般来说，http-flood攻击具有以下几个特点：

1、发起攻击比较容易，成本较低，简单的几行脚本就能对一个网站发起一个攻击。

2、难以检测，因为http属于标准开放协议，协议格式简单，容易伪造，攻击时发起的http请求可以伪造成和正常用户的请求一模一样，webserver无法进行区分。

3、对网站危害较大，一旦网站遭受http-flood攻击，小则影响用户体验(网站访问速度变慢)，大则可能导致网站瘫痪，无法对外提供服务，对于按流量收费的托管网站，可能需要付出高额的费用。

以上的这些攻击特点，使得各个网站对防护http-flood攻击成为头等安全事件，现有技术主要是通过采购安全厂商的防护设备，对http-flood攻击进行防护。由于这种专业防护设备是采用通用的阈值方式进行防护，通常针对目的ip进行统计和防护，无法实现针对源ip和域名级别的精确防护，一旦防护开启则需要针对所有该目的ip下的域名进行防护，容易对正常访问造成一些不必要的影响。

技术实现要素：

本发明实施例提供一种网络攻击方法及系统，用以提供一种精确而有效地防止网络攻击的方法，该方法可以准确检测出对网站的http-flood攻击生成有效的告警信息。

本发明方法包括一种防止网络攻击的方法，该方法包括：日志分析设备从各个网络服务器上获取日志；

所述日志分析设备根据日志中各域名在设定时间段内的总请求数量以及日志中各源互联网协议地址ip地址的总请求数量与设定阈值的比较结果，确定出疑似被攻击域名和疑似攻击源ip地址，并生成与所述疑似被攻击域名和所述疑似攻击源ip地址相关的告警信息；

所述日志分析设备将所述告警信息发送至网络防护装置，以便于所述网络防护装置根据所述告警信息对数据流进行防护。

基于同样的发明构思，本发明实施例进一步地提供一种防止网络攻击的系统，该系统包括日志分析设备、多个网络服务器、客户端、连接所述客户端的负载均衡服务器，所述负载均衡服务器上包含网络防护装置；

所述日志分析设备，用于从各个网络服务器上获取日志；根据日志中各域名在设定时间段内的总请求数量以及日志中各源ip地址的总请求数量与设定阈值的比较结果，确定出疑似被攻击域名和疑似攻击源ip地址，并生成与所述疑似被攻击域名和所述疑似攻击源ip地址相关的告警信息；将所述告警信息发送至网络防护装置；

所述网络防护装置，用于根据所述告警信息对数据流进行防护。

本发明实施例日志分析设备通过实时地对网络服务器中的数据流进行检测分析，得到有效的告警信息，在告警信息中包括域名和攻击源ip，这样日志分析设备将告警信息发送至网络防护装置之后，网络防护装置可以依据最新的告警信息对数据流进行有效地防护，并且是针对被攻击的域名和有疑似攻击行为的源ip进行针对性的防护，使得防护过程对正常用户的访问请求所造成的影响控制在比较小的范围内。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种防止网络攻击的方法流程示意图一；

图2为本发明实施例提供的一种防止网络攻击的场景架构示意图；

图3为本发明实施例提供的一种防止网络攻击的方法流程示意图二；

图4为本发明实施例提供的一种防止网络攻击的系统架构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

参见图1所示，本发明实施例提供一种防止网络攻击的方法流程示意图，具体地实现方法包括：

步骤s101，日志分析设备从各个网络服务器上获取日志。

步骤s102，所述日志分析设备根据日志中各域名在设定时间段内的总请求数量以及日志中各源ip地址的总请求数量是否分别大于等于预设阈值，确定出疑似被攻击域名和疑似攻击源ip地址，并生成与所述疑似被攻击域名和所述疑似攻击源ip地址关联关系的告警信息。

步骤s103，所述日志分析设备将所述告警信息发送至网络防护装置，以便于所述网络防护装置根据所述告警信息对数据流进行防护。

也就是说，本发明实施例采用日志分析设备对各网络服务器上的日志进行汇总和分析，提取出疑似被攻击域名、以及疑似攻击源ip地址等告警信息，进而发送至网络防护装置，网络防护装置才可以进行针对性的防护。而网络防护装置则独立于网络服务器部署，即部署在负载均衡服务器上，负载均衡器与交换机和网络服务器连接，网络服务器上仅部署日志采集工具，日志采集工具采集的结果发送至日志分析设备，这样对网络服务器软件的运行不会造成影响；因为独立于网络服务器部署并且使用了高性能报文处理技术，所以网络防护装置具备高速的报文处理能力和防护性能。

详细来说，日志分析设备实时地汇总和分析各台网络服务器传递过来的日志；然后根据预先生成的分析模型对日志内容进行分析，例如，抽取日志中的域名，与该域名的业务基线进行对比，当发现异常行为时，将异常域名提取出来，另外将访问量大的疑似攻击源ip地址也提取出来，发送给网络防护装置。因为网络防护装置具备高性能的报文收发能力，所以在收到疑似被攻击域名及疑似攻击源ip地址信息后，开始对这些域名和疑似攻击源ip地址进行验证，从而过滤掉非法请求报文。

图2为上述防止网络攻击的方法所适用的一种场景，图2中包括交换机201、负载均衡服务器202、网络服务器集群203、日志分析设备204，其中，网络服务器集群203中包括多个网络服务器。

因为各个网络服务器中均安装有日志采集工具，所以日志采集工具会将采集的日志发送至日志分析设备204，进而日志分析设备对域名和攻击源ip进行分析，得到告警信息，并将告警信息发送至负载均衡服务器202中。需要说明的是，日志分析设备会周期性地生成告警信息，并将告警信息发送主负载均衡器202，这样，负载均衡服务器202上的网络防护装置可以基于最新的告警信息对数据流进行防护。

进一步地，负载均衡服务器202上的网络防护装置接收客户端201发送的数据流，利用日志分析设备204发送的告警信息对数据流进行检测防护，然后将检测防护之后的报文发送至网络服务器集群203中的网络服务器。

具体来说，网络服务器上的日志采集模块主要对网路服务器上软件生成的日志进行实时采集，因此网络服务器上的软件是按照一定格式将日志输出成文件形式，所以在日志采集模块中预先配置需要采集的文件，然后实时监控日志文件的变化，将新增加的日志条目提取出来；并将提取出来的日志条目封装成syslog格式，并发往日志分析设备。

进一步地，日志分析设备接收日志采集模块发过来的日志，根据配置的日志格式对日志进行提取，获取日志内容，然后日志分析设备以时间为粒度，对各台网络服务器发过来的日志进行汇总，得出网络客户端在该段时间内的访问数据，进一步对数据进行分析，得出各域名在该时间段内的总的请求数量，以前疑似攻击源ip地址的请求数量；然后根据检测模型，分析域名是否被攻击，把疑似被攻击域名的信息提取出来，包括域名，攻击源ip地址，最终将疑似被攻击域名和疑似攻击源ip地址的信息通过snmptrap发往负载均衡设备102。

进一步地，负载均衡设备102收到告警信息后，将告警信息的内容加载至网络防护配置，网络防护装置启动防护模式，开始对报文进行检测和防护，尤其针对httpflood攻击。具体地，网络防护装置接收客户端发送的数据流；针对所述数据流中的任意一条报文，所述网络防护装置从所述报文中获取源ip地址和域名；当确定所述源ip地址位于告警信息中时，则判断所述数据流中的域名与所述告警信息中相同源ip地址对应的域名是否相同；若是，则对所述报文进行验证。也就是说，先对报文的源ip地址进行判断，如果源ip地址不在告警信息中，则可以将该报文转发至网络服务器，如果源ip地址在告警信息中，则需要进一步地判断所述数据流中的域名与所述告警信息中相同源ip地址对应的域名是否相同；若是，则需要对该报文进行验证，否则，则将所述报文转发至所述网络服务器。

进一步，验证方法可以是，网路防护装置向发送所述报文的客户端发送验证请求；所述网络防护装置接收所述客户端发送的响应消息；所述网络防护装置确定所述响应消息中不携带与所述验证请求对应的验证参数时，或者确定携带验证参数但验证值不正确时，则对所述访问请求报文进行再次验证。

也就是说，网络防护装置代替网络服务器向客户端发送302验证请求，并在验证请求中加入可以在客户端执行的行为参数，正常的客户端会携带相应的验证参数再次发起请求，而攻击客户端则不会具备该特性，网络防护装置检查请求报文中是否携带了正确的验证参数，以此判断该请求报文是否为正常请求；如果请求通过了合法性验证，则对报文做相应的处理后，比如去掉验证参数等，放过该报文，将其转到网络服务器；而对于没有通过验证的报文，则可以进行再次验证。这样，通过上述的处理流程，携带http-flood攻击的请求报文就会被阻挡在网络服务器之外，不会对网络服务器造成影响，而正常的请求通过验证后，会被转发到网络服务器进行响应。

为了更加系统地对上述防护方法进行阐述，本发明实施例进一步地提供图3所示的流程图，对上述方法进行详细说明，该流程图的执行主体是负载均衡服务器上的网络防护装置。

步骤301，网络防护装置接收日志分析设备发送的告警信息和客户端发送的数据流。

步骤302，网路防护装置对数据流中的每条报文进行解析，确定出攻击源ip和域名，并生成告警信息。

步骤303，网络防护装置对该条报文的攻击源ip进行判断，判断该报文是否位于告警信息中，如果在的话，则转入步骤304，否则的话转入步骤308。

步骤304，如果攻击源ip在告警信息中，则网络防护装置继续判断域名是否与告警信息中相同源ip地址对应的域名是否相同。

步骤305，网络防护装置继续对该报文进行合法性验证，向发送该报文的客户端发送验证请求。

步骤306，网络防护装置判断客户端反馈的验证参数是否合法。

步骤307，网络防护装置确定验证参数不合法时，则对该报文进行再次验证。

步骤308，网络防护装置确定源ip不在告警信息中，或者是验证参数是合法的，则将该报文直接转发至网络服务器集群中的网络服务器中。

其中，网络防护装置具体高性能的防护方式，因为网络防护装置利用了dpdk技术，实现报文从网卡到应用程序的高速收发，这个过程避免了内核协议栈的参与，使得防护模块具备高性能的报文处理能力；另外，对于接收到的http请求报文，进行简捷高效的请求数据提取，同时结合hugepage等技术，使得数据的内存访问、数据结构存储等过程非常高效，性能较高；再者网络防护装置中使用的防护算法，经过了精细的设计，避免了冗余的统计等过程，直接针对客户端的行为进行验证和检查，从而过滤到攻击请求，验证过程比较高效。

基于相同的技术构思，本发明实施例还提供一种系统，该系统可执行上述方法实施例。本发明实施例提供的系统如图4所示，包括日志分析设备401、网络服务器402、交换机403、负载均衡服务器上网络防护装置404，其中：

所述日志分析设备401，用于从各个网络服务器402上获取日志；根据日志中各域名在设定时间段内的总请求数量以及日志中各源ip地址的总请求数量与设定阈值的比较结果，确定出疑似被攻击域名和疑似攻击源ip地址，并生成与所述疑似被攻击域名和所述疑似攻击源ip地址相关的告警信息；将所述告警信息发送至网络防护装置404；

所述网络防护装置404，用于根据所述告警信息对数据流进行防护。

进一步地，所述网络防护装置404，具体用于接收客户端403发送的数据流；针对所述数据流中的任意一条报文，从所述报文中获取源ip地址和域名；当确定所述源ip地址位于告警信息中时，则判断所述数据流中的域名与所述告警信息中相同源ip地址对应的域名是否相同；若是，则对所述报文进行验证。

进一步地，所述网络防护装置402，具体用于确定所述源ip地址不位于所述告警信息中时，则将所述报文转发至所述网络服务器402；或者，所述网络防护装置404确定所述源ip地址位于所述告警信息中，且判断所述数据流中的域名与所述告警信息中相同源ip地址对应的域名不相同，则将所述报文转发至所述网络服务器402。

进一步地，所述网络防护装置402，还用于在确定所述数据流中的域名与所述告警信息中相同源ip地址对应的域名相同之后，向发送所述报文的客户端发送验证请求；接收所述客户端发送的响应消息；确定所述响应消息中不携带与所述验证请求对应的验证参数时，或者确定携带验证参数但验证值不正确时，则对所述访问请求报文进行再次验证。

进一步地，所述网络防护装置402，还用于在确定所述域名位于告警信息之后，向发送所述报文的客户端发送验证请求；接收所述客户端发送的响应消息；确定所述响应消息中不携带与所述验证请求对应的验证参数时，或者确定携带验证参数但验证值不正确时，则对所述访问请求报文进行再次验证，所述网络防护装置402确定所述响应消息中携带与所述验证请求对应的验证参数并验证通过时，则将所述访问请求报文转发至所述网络服务器

综上所述，本发明实施例日志分析设备通过实时地对网络服务器中的数据流进行检测分析，得到有效的告警信息，在告警信息中包括域名和攻击源ip，这样日志分析设备将告警信息发送至网络防护装置之后，网络防护装置可以依据最新的告警信息对数据流进行有效地防护，并且是针对被攻击的域名和有疑似攻击行为的源ip进行针对性的防护，使得防护过程对正常用户的访问请求所造成的影响控制在比较小的范围内。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。