一种防御网络攻击的方法与设备的制造方法【
技术领域:
】[0001]本申请涉及计算机领域,尤其涉及一种防御网络攻击的技术。【
背景技术:
】[0002]随着Web2.0时代的到来,社交网络、电子商务、在线游戏等一系列新型的互联网产品诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上。然而Web业务的迅速发展也引起了黑客们的强烈关注,网络安全问题日益凸显。DDoS(DistributedDenialofService,分布式拒绝服务)攻击向着更大、更强、更快、更聪明的趋势发展。[0003]作为一种针对Web服务器资源的DDoS攻击,CC(ChallengeColIapsar,挑战黑洞)攻击在近年来受到越来越多的重视。CC攻击的原理是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC攻击是DDoS攻击的一种,它是针对Web服务在第七层协议发起的攻击,与四层DDoS攻击相比,发起攻击方便、过滤困难、影响深远。CC攻击方式主要有三种:单主机虚拟多IP地址方式、利用代理服务器集群或者利用僵尸网络攻击方式。与传统的流量型DDoS攻击不同,CC攻击是针对网站服务器性能弱点的攻击,所以有可能仅需要很小的流量就能达到让服务器拒绝服务的效果。其次,不同于基于TCP半开连接或SYNFlood的攻击,CC攻击是一个正常的应用请求访问,具有正常访问的特征,而其所具有的攻击行为特征不明显,因此很难甄别。最后,CC攻击一般都会利用代理服务器或者僵尸网络进行攻击,这样的攻击在服务器端看来是求源不同IP的访问,有很强的隐蔽性,很难区分是否为攻击。[0004]由于CC攻击具有低流量、模拟用户正常访问和采用真实IP地址进行访问的特征,导致此这类攻击行为很难被目前的检测手段发现。现有的防御CC攻击的技术,概括起来有以下几类:(I)扫描系统网络连接或日志,分析连接频繁IP地址,将这些IP地址添加到iptableS(IP信息包过滤系统及防火墙);(2)利用Web服务器的内置功能或者第三方模块,限制请求数量或者并发连接数;(3)采用Cookie认证或者相关变量(如user_agent,http-x_forwarded_for等)检测;(4)向客户端发送JS验证码,验证通过后予以放行。[0005]然而,现有的防御CC攻击的技术,普遍存在如下问题:(I)不能做到实时,绝大部分Web服务器在请求处理结束的时候才打印相关日志,当通过日志分析检测到CC攻击时,可能网站已经宕机瘫痪;(2)防御策略有限,难以通用;(3)操作复杂不直观、不灵活,容易造成误杀,影响正常用户访问;⑷一些HTTP变量(如user-agent,http-x_forwarded_for等)很容易被攻击者伪造,攻击者只需对攻击程序稍加修改就可以欺骗服务器,起不到防御作用;(5)验证方式容易被攻击者穿透,攻击防不住;(6)无法统计实时攻击数据(如攻击次数、攻击时间等)。【
发明内容】[0006]本申请的一个目的是提供一种防御网络攻击的方法与设备。[0007]根据本申请的一个方面,提供了一种防御网络攻击的方法,其中,该方法包括:[0008]a获取用户设备对目标页面的访问请求;[0009]b根据所述目标页面对应的防御策略信息,检测所述访问请求是否触发所述防御策略息;[0010]C当所述访问请求触发所述防御策略信息,对所述用户设备进行验证处理;[0011]d当所述用户设备通过验证处理,将所述目标页面返回至所述用户设备。[0012]进一步地,所述步骤b包括:根据所述目标页面对应的防御策略信息,以及对应的白名单信息,检测所述访问请求是否触发所述防御策略信息。[0013]进一步地,所述白名单信息包括以下至少任一项:页面白名单信息;静态网络地址白名单信息。[0014]进一步地,该方法还包括:[0015]当所述用户设备通过验证处理,将所述用户设备的网络地址添加至对应的动态网络地址白名单信息中;或[0016]当所述用户设备未通过验证处理,将所述用户设备的网络地址添加至对应的动态网络地址黑名单信息中。[0017]进一步地,所述步骤c包括:[0018]Cl当所述访问请求触发所述防御策略信息,向所述用户设备发送对应的验证信息;[0019]c2接收所述用户设备对所述验证信息的反馈信息;[0020]c3根据所述反馈信息,对所述用户设备进行验证处理。[0021]进一步地,所述验证信息包括被加密的可执行模块信息;所述反馈信息包括所述用户设备重新发送的请求页面信息,其中,所述请求页面信息包括所述用户设备通过执行所述可执行模块信息所获得的验证参数信息。[0022]进一步地,所述验证信息包括可执行模块信息的地址相关信息;所述反馈信息包括所述用户设备重新发送的请求页面信息,其中,所述请求页面信息包括所述用户设备通过执行所述可执行模块信息所获得的验证参数信息,所述可执行模块信息是所述用户设备根据所述地址相关信息获得的。[0023]进一步地,所述步骤Cl包括:当所述访问请求触发所述防御策略信息,检测是否满足验证码触发条件;当满足所述验证码触发条件,向所述用户设备发送对应的验证信息,其中,所述验证信息包括包含图片验证码的验证页面。[0024]进一步地,所述验证码触发条件包括以下至少任一项:所述访问请求源自类浏览器攻击器;所述目标页面所对应的当前攻击频次信息等于或超过预定的攻击阈值信息。[0025]根据本申请的另一个方面,提供了一种防御网络攻击的设备,其中,该设备包括:[0026]第一装置,用于获取用户设备对目标页面的访问请求;[0027]第二装置,用于根据所述目标页面对应的防御策略信息,检测所述访问请求是否触发所述防御策略信息;[0028]第三装置,用于当所述访问请求触发所述防御策略信息,对所述用户设备进行验证处理;[0029]第四装置,用于当所述用户设备通过验证处理,将所述目标页面返回至所述用户设备。[0030]进一步地,所述第二装置用于:根据所述目标页面对应的防御策略信息,以及对应的白名单信息,检测所述访问请求是否触发所述防御策略信息。[0031]进一步地,所述白名单信息包括以下至少任一项:页面白名单信息;静态网络地址白名单信息。[0032]进一步地,该设备还包括:[0033]第五装置,用于当所述用户设备通过验证处理,将所述用户设备的网络地址添加至对应的动态网络地址白名单信息中;或[0034]第六装置,用于当所述用户设备未通过验证处理,将所述用户设备的网络地址添加至对应的动态网络地址黑名单信息中。[0035]进一步地,所述第三装置包括:[0036]第一单元,用于当所述访问请求触发所述防御策略信息,向所述用户设备发送对应的验证信息;[0037]第二单元,用于接收所述用户设备对所述验证信息的反馈信息;[0038]第三单元,用于根据所述反馈信息,对所述用户设备进行验证处理。[0039]进一步地,所述验证信息包括被加密的可执行模块信息;所述反馈信息包括所述用户设备重新发送的请求页面信息,其中,所述请求页面信息包括所述用户设备通过执行所述可执行模块信息所获得的验证参数信息。[0040]进一步地,所述验证信息包括可执行模块信息的地址相关信息;所述反馈信息包括所述用户设备重新发送的请求页面信息,其中,所述请求页面信息包括所述用户设备通过执行所述可执行模块信息所获得的验证参数信息,所述可执行模块信息是所述用户设备根据所述地址相关信息获得的。[0041]进一步地,所述第一单元用于:当所述访问请求触发所述防御策略信息,检测是否满足验证码触发条件;当满足所述验证码触发条件,向所述用户设备发送对应的验证信息,其中,所述验证信息包括包含图片验证码的验证页面。[0042]进一步地,所述验证码触发条件包括以下至少任一项:所述访问请求源自类浏览器攻击器;所述目标页面所对应的当前攻击频次信息等于或超过预定的攻击阈值信息。[0043]与现有技术相比,本申请获取用户设备对目标页面的访问请求,根据所述目标页面对应的防御策略信息,检测所述访问请求是否触发所述防御策略信息,对于触发所述防御策略信息的访问请求对应的所述用户设备进行验证处理,将所述目标页面返回至通过验证处理的所述用户设备。本申请的所述防御策略信息包括多种可灵活配置的防御策略,所述验证处理包括多种可灵活配置的验证方式,可满足不同情况下的需求,提升用户体验。进一步地,本申请通过实时统计各项运行指标,实时展示攻击日志,根据统计结果生成图形报表,形象直观地展示运行情况,为优化所述防御策略信息提供支持,从而进一步提升用户体验。【附图说明】[0044]通过阅读参照以下附图所作的对非限制性实施例所作当前第1页1 2 3 4 5