CN105610856A - 一种基于多重特征识别的应用层DDoS攻击防御系统 - Google Patents
一种基于多重特征识别的应用层DDoS攻击防御系统 Download PDFInfo
- Publication number
- CN105610856A CN105610856A CN201610047967.4A CN201610047967A CN105610856A CN 105610856 A CN105610856 A CN 105610856A CN 201610047967 A CN201610047967 A CN 201610047967A CN 105610856 A CN105610856 A CN 105610856A
- Authority
- CN
- China
- Prior art keywords
- user
- source
- belief
- data
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于多重特征识别的应用层DDoS攻击防御系统,当用户发起请求时,系统将该用户数据包信息存入net-node网络流表,并对所述用户数据包进行分析处理,判定其来源是否真实可靠;在给用户返回数据的时候插入一个验证数据,再次检测来源是否真实可靠,当确定来源真实之后,用户的信任度就是阈值信任度,系统给该来源分配一个cookie身份标识;接着创建一个记录该cookie身份标识的data数据库,记录存储该cookie身份标识一定时间段的访问信息,所述访问信息作为身份验证管理的依据;通过特征库的分析处理进行相应的调度。本发明通过建立访问特征检测分析的黑白名单,分析判断用户的长期访问行为的正常或非法,在DDoS攻击发生时,保证用户的正常流量不被拦截。
Description
技术领域
本发明涉及一种综合DDoS防御算法,具体是一种基于多重特征识别的应用层DDoS攻击防御系统。
背景技术
传统防火墙的检测机制较为单一,对上层协议的攻击检测能力不足,无法阻止来自应用层的攻击,其计算资源有限,检测深度不足,检测效率缓慢,随着攻击者欺骗伪装技术越来越复杂并且多样化,完全模拟正常浏览器真正业务用户访问,传统防火墙无法检测,因此将会成为网络瓶颈。
随着互联网应用特性复杂多变,衍生出更复杂的攻击方式,用户只能随着厂商升级;传统防火墙拦截策略依然采用比较粗劣一刀切方式或隔离网络机制,如附图2所示,这对上层流量检测分析存在严重不足,误判率过高,时常过滤、拦截用户的正常访问,中断用户,这让企业和用户都无法接受。
发明内容
本发明的目的在于提供一种基于多重特征识别的应用层DDoS(DistributedDenial
ofService分布式拒绝服务)攻击防御系统,以解决上述背景技术中提出的问题,为实现上述目的,本发明提供如下技术方案:
当用户发起请求时,系统将该用户数据包信息存入net-node网络流表,并对所述用户数据包进行分析处理,记录其最后访问时间、源地址、目标地址、目标端口、发送数据和接受的数据包大小,判定其来源是否真实可靠;在给用户返回数据的时候插入一个验证数据,再次检测来源是否真实可靠,当确定来源真实之后,添加该用户至白名单,否则列入黑名单拒绝访问;当用户被添加至白名单,用户的信任度就是阈值信任度,系统给该来源分配一个cookie身份标识;接着创建一个记录该cookie身份标识的data数据库,记录存储该cookie身份标识一定时间段的访问信息,所述访问信息包括连接数、连接频率、访问数、访问频率、http请求总数、请求频率和错误请求总数、错误请求频率、错误请求的数据大小,所述访问信息作为身份验证管理的依据;当用户再次发起请求将不需要再次验证;通过对一段时间内cookie身份标识的data数据库进行分析判断,以阈值信任度为基数进行增加或减少,并实时更新,低于阈值信任度将触发验证机制,引导用户输入验证码;如果未通过验证,系统仍然会降低信任度,如果信任度降低到0,将被列入黑名单拒绝访问;通过验证之后,将恢复阈值信任度。
作为本发明进一步的方案:所述cookie身份标识是唯一的。
作为本发明再进一步的方案:所述data数据库分为临时存储特征数据库和长期储存特征数据库。
与现有技术相比,本发明的有益效果是:
通过建立访问特征检测分析的黑白名单,分析判断用户的长期访问行为的正常或非法,在DDoS攻击发生时,保证用户的正常流量不被拦截。
附图说明
图1为一种基于多重特征识别的应用层DDoS攻击防御系统的流程示意图。
图2为传统防火墙拦截策略的流程示意图。
图3、图4为一种基于多重特征识别的应用层DDoS攻击防御系统的信任度判断流程示意图。
具体实施方式
下面结合具体实施方式对本发明专利的技术方案作进一步详细地说明。
请参阅图1和图4,一种基于多重特征识别的应用层DDoS攻击防御系统,下面结合具体实施方式对本专利的技术方案作进一步详细地说明。
当用户发起请求时,系统将该用户数据包信息存入net-node网络流表,并对所述用户数据包进行分析处理,记录其最后访问时间、源地址、目标地址、目标端口、发送数据和接受的数据包大小,判定其来源是否真实可靠;在给用户返回数据的时候插入一个验证数据,再次检测来源是否真实可靠,当确定来源真实之后,添加该用户至白名单,否则列入黑名单拒绝访问;当用户被添加至白名单,用户的信任度就是阈值信任度,系统给该来源分配一个cookie身份标识,cookie身份标识是唯一的;接着创建一个记录该cookie身份标识的data数据库,记录存储该cookie身份标识一定时间段的访问信息,所述访问信息包括连接数、连接频率、访问数、访问频率、http请求总数、请求频率和错误请求总数、错误请求频率、错误请求的数据大小,所述访问信息作为身份验证管理的依据;当用户再次发起请求将不需要再次验证;通过对一段时间内cookie身份标识的data数据库进行分析判断,以阈值信任度为基数进行增加或减少,data数据库通过身份管理调度实时更新,data数据库分为临时存储特征数据库和长期储存特征数据库,长期存储特征数据库包括互联网常见的一些正常/非法请求,或人工添加的确认判定为正常/非法的特征,临时存储特征数据库是根据用户访问的请求,主要通过对系统的运行产生一定影响范围的操作特征,判断其请求为正常/非法请求,若长时间未被匹配的特征将被丢弃,保证数据的新鲜;如图3所示,用户每次访问时,它的请求信息都会根据其cookie信息记录在一张临时的表中,如在一定时间段内有大量的请求,或过于频繁的操作请求,将视为非法请求,将更新身份信息,扣除该cookie的信任值。常见的非法请求包括:在一定的时间段内发起过多的请求,过高的请求频率,产生过多的错误请求,大量无用的数据包等等,此类非法请求会判断对系统的影响程度,从而大幅度减少信任度;相反,如果每次正常请求,将提升信任度,当然这个值是有上限的。如果你的身份在系统中低于阈值信任度,将触发验证机制,引导用户输入验证码;如果未通过验证,系统仍然会降低对你的信任,如果信任度降低到0,将被拒绝访问。通过验证之后,将恢复阈值信任度。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (3)
1.一种基于多重特征识别的应用层DDoS攻击防御系统,其特征在于,当用户发起请求时,系统将该用户数据包信息存入net-node网络流表,并对所述用户数据包进行分析处理,记录其最后访问时间、源地址、目标地址、目标端口、发送数据和接受的数据包大小,判定其来源是否真实可靠;在给用户返回数据的时候插入一个验证数据,再次检测来源是否真实可靠,当确定来源真实之后,添加该用户至白名单,否则列入黑名单拒绝访问;当用户被添加至白名单,用户的信任度就是阈值信任度,系统给该来源分配一个cookie身份标识;接着创建一个记录该cookie身份标识的data数据库,记录存储该cookie身份标识一定时间段的访问信息,所述访问信息包括连接数、连接频率、访问数、访问频率、http请求总数、请求频率和错误请求总数、错误请求频率、错误请求的数据大小,所述访问信息作为身份验证管理的依据;当用户再次发起请求将不需要再次验证;通过对一段时间内cookie身份标识的data数据库进行分析判断,以阈值信任度为基数进行增加或减少,并实时更新,低于阈值信任度将触发验证机制,引导用户输入验证码;如果未通过验证,系统仍然会降低对信任度,如果信任度降低到0,将被列入黑名单拒绝访问;通过验证之后,将恢复阈值信任度。
2.根据权利要求1所述的一种基于多重特征识别的应用层DDoS攻击防御系统,其特征在于,所述cookie身份标识是唯一的。
3.根据权利要求1所述的一种基于多重特征识别的应用层DDoS攻击防御系统,其特征在于,所述data数据库分为临时存储特征数据库和长期储存特征数据库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610047967.4A CN105610856A (zh) | 2016-01-26 | 2016-01-26 | 一种基于多重特征识别的应用层DDoS攻击防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610047967.4A CN105610856A (zh) | 2016-01-26 | 2016-01-26 | 一种基于多重特征识别的应用层DDoS攻击防御系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105610856A true CN105610856A (zh) | 2016-05-25 |
Family
ID=55990394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610047967.4A Pending CN105610856A (zh) | 2016-01-26 | 2016-01-26 | 一种基于多重特征识别的应用层DDoS攻击防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105610856A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106874423A (zh) * | 2017-01-25 | 2017-06-20 | 广东神马搜索科技有限公司 | 搜索控制方法和系统 |
CN107545028A (zh) * | 2017-07-17 | 2018-01-05 | 宁波市智能制造产业研究院 | 一种数据处理方法、装置及电子设备 |
CN107800723A (zh) * | 2017-12-06 | 2018-03-13 | 中盈优创资讯科技有限公司 | Cc攻击防护方法及设备 |
CN108400927A (zh) * | 2018-01-22 | 2018-08-14 | 广州欧赛斯信息科技有限公司 | 一种针对高并发消息的消息推送方法及装置 |
CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
CN109391600A (zh) * | 2017-08-10 | 2019-02-26 | 东软集团股份有限公司 | 分布式拒绝服务攻击防护方法、装置、系统、介质及设备 |
CN110086840A (zh) * | 2018-01-26 | 2019-08-02 | 浙江宇视科技有限公司 | 图像数据存储方法、装置及计算机可读存储介质 |
CN113726799A (zh) * | 2021-09-01 | 2021-11-30 | 百度在线网络技术(北京)有限公司 | 针对应用层攻击的处理方法、装置、系统和设备 |
US20220207048A1 (en) * | 2020-12-28 | 2022-06-30 | EMC IP Holding Company LLC | Signal of trust access prioritization |
CN115085957A (zh) * | 2021-03-12 | 2022-09-20 | 中国电信股份有限公司 | 恶意访问数据判定方法、装置、介质及电子设备 |
CN116866055A (zh) * | 2023-07-26 | 2023-10-10 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130042322A1 (en) * | 2011-08-10 | 2013-02-14 | Electronics And Telecommunications Research Institute | SYSTEM AND METHOD FOR DETERMINING APPLICATION LAYER-BASED SLOW DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK |
CN103139138A (zh) * | 2011-11-22 | 2013-06-05 | 飞塔公司 | 一种基于客户端检测的应用层拒绝服务防护方法及系统 |
CN103428224A (zh) * | 2013-08-29 | 2013-12-04 | 中国科学院计算技术研究所 | 一种智能防御DDoS攻击的方法和装置 |
CN104917765A (zh) * | 2015-06-10 | 2015-09-16 | 杭州华三通信技术有限公司 | 一种防范攻击的方法和设备 |
-
2016
- 2016-01-26 CN CN201610047967.4A patent/CN105610856A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130042322A1 (en) * | 2011-08-10 | 2013-02-14 | Electronics And Telecommunications Research Institute | SYSTEM AND METHOD FOR DETERMINING APPLICATION LAYER-BASED SLOW DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK |
CN103139138A (zh) * | 2011-11-22 | 2013-06-05 | 飞塔公司 | 一种基于客户端检测的应用层拒绝服务防护方法及系统 |
CN103428224A (zh) * | 2013-08-29 | 2013-12-04 | 中国科学院计算技术研究所 | 一种智能防御DDoS攻击的方法和装置 |
CN104917765A (zh) * | 2015-06-10 | 2015-09-16 | 杭州华三通信技术有限公司 | 一种防范攻击的方法和设备 |
Non-Patent Citations (2)
Title |
---|
孙未;张亚平: "基于用户忠实度的应用层DDoS防御模型", 《计算机工程与设计》 * |
魏冰; 徐震: "基于验证机制的应用层DDoS攻击防御方法", 《计算机工程与设计》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018137710A1 (zh) * | 2017-01-25 | 2018-08-02 | 广东神马搜索科技有限公司 | 搜索控制方法和系统 |
CN106874423A (zh) * | 2017-01-25 | 2017-06-20 | 广东神马搜索科技有限公司 | 搜索控制方法和系统 |
CN107545028A (zh) * | 2017-07-17 | 2018-01-05 | 宁波市智能制造产业研究院 | 一种数据处理方法、装置及电子设备 |
CN109391600A (zh) * | 2017-08-10 | 2019-02-26 | 东软集团股份有限公司 | 分布式拒绝服务攻击防护方法、装置、系统、介质及设备 |
CN107800723A (zh) * | 2017-12-06 | 2018-03-13 | 中盈优创资讯科技有限公司 | Cc攻击防护方法及设备 |
CN108400927A (zh) * | 2018-01-22 | 2018-08-14 | 广州欧赛斯信息科技有限公司 | 一种针对高并发消息的消息推送方法及装置 |
CN108400927B (zh) * | 2018-01-22 | 2021-01-26 | 广州欧赛斯信息科技有限公司 | 一种针对高并发消息的消息推送方法及装置 |
CN110086840A (zh) * | 2018-01-26 | 2019-08-02 | 浙江宇视科技有限公司 | 图像数据存储方法、装置及计算机可读存储介质 |
CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
CN108521408B (zh) * | 2018-03-22 | 2021-03-12 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
US20220207048A1 (en) * | 2020-12-28 | 2022-06-30 | EMC IP Holding Company LLC | Signal of trust access prioritization |
CN115085957A (zh) * | 2021-03-12 | 2022-09-20 | 中国电信股份有限公司 | 恶意访问数据判定方法、装置、介质及电子设备 |
CN113726799A (zh) * | 2021-09-01 | 2021-11-30 | 百度在线网络技术(北京)有限公司 | 针对应用层攻击的处理方法、装置、系统和设备 |
CN116866055A (zh) * | 2023-07-26 | 2023-10-10 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
CN116866055B (zh) * | 2023-07-26 | 2024-02-27 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105610856A (zh) | 一种基于多重特征识别的应用层DDoS攻击防御系统 | |
Lohachab et al. | Critical analysis of DDoS—An emerging security threat over IoT networks | |
Tripathi et al. | Application layer denial-of-service attacks and defense mechanisms: a survey | |
US9807092B1 (en) | Systems and methods for classification of internet devices as hostile or benign | |
US9848016B2 (en) | Identifying malicious devices within a computer network | |
CN110324313B (zh) | 基于蜜罐系统的恶意用户的识别方法及相关设备 | |
US9386078B2 (en) | Controlling application programming interface transactions based on content of earlier transactions | |
Aborujilah et al. | Cloud‐Based DDoS HTTP Attack Detection Using Covariance Matrix Approach | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
US20130227687A1 (en) | Mobile terminal to detect network attack and method thereof | |
WO2015126410A1 (en) | Scoring for threat observables | |
JP2016046654A (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
CN107046516B (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
US20150350249A1 (en) | Determining trustworthiness of api requests based on source computer applications' responses to attack messages | |
CN107295017A (zh) | 基于用户认证的cc防护方法 | |
CN113992444A (zh) | 一种基于主机防御的网络攻击溯源与反制系统 | |
CN110266650A (zh) | Conpot工控蜜罐的识别方法 | |
CN109583056A (zh) | 一种基于仿真平台的网络攻防工具效能评估方法及系统 | |
Fei et al. | The abnormal detection for network traffic of power iot based on device portrait | |
CN115550049A (zh) | 一种物联网设备的漏洞检测方法及系统 | |
Huang et al. | CCID: Cross‐Correlation Identity Distinction Method for Detecting Shrew DDoS | |
CN103001937B (zh) | 孤岛式以太网防御移动存储介质病毒的系统和方法 | |
CN114205816A (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160525 |