CN112003873B - 一种抗DDoS攻击的http流量防御方法及系统 - Google Patents

Abstract

本发明针提出了一种抗DDoS攻击的http流量防御方法及系统，通过内置于移动客户端的动态水印生成模块，在向服务端发起HTTP请求时生成动态水印，在报文经过DDoS防御装置时，对该HTTP协议头中水印的正确性、完整性进行快速检查，以识别该报文属于正常客户的流量，还是被攻击者控制住的僵尸主机发起的攻击流量，并通过防御装置做出清洗动作；本发明通过上述设置保证了移动客户端的识别功能，有效地解决了无法区分正常客户端和非法攻击者的流量问题；提高了DDoS防御装置对HTTP攻击的识别和性能处理能力。

Description

一种抗DDoS攻击的http流量防御方法及系统

技术领域

本发明属于计算机信息安全防护技术领域，具体地说，涉及一种抗DDoS攻击的http流量防御方法及系统。

背景技术

从PC时代到移动互联网时代，移动端流量快速增长已经显著超过PC端流量，但是目前针对应用层的DDoS防护算法依然是传统的浏览器-服务器模式，根据报文三次握手实现TCP的真实IP检查，通过HTTP、HTTPS的302和307跳转的协议特性支持进行应用层的报文检测，但是这种方式首先需要对客户端对协议栈进行完全支持，另外如果攻击者通过控制的僵尸主机脚本模拟请求是很难区分真伪的。

而目前移动端的流量，虽然仍然还是有通过浏览器访问的场景，但是绝大部分都是通过服务商开发的APP客户端进行访问服务器资源。大多数移动客户端具有以下特点，通过HTTPS传输用户加密数据防止信息被盗取泄露，通过HTTP协议传输资源文件，如图片、视频、游戏素材等资源，这样既保证了安全性同时又保证了时延，提高了用户的体验。但是对于一些攻击者来说，可以通过分析出服务器资源接口，然后通过僵尸主机发起巨量资源请求，以较少的带宽资源消耗服务端的下行带宽，造成DDoS攻击。

针对物联网设备，如监控摄像头、各种传感器不具备完整的协议栈，只具备基本的协议功能，那么对于一些DDoS算法的检测是不理想的，比如利用HTTP协议进行302跳转，但是物联网设备存在不支持的可能性。遇到该情况，只能针对性的分析然后启用检查不严格的DDoS算法，甚至对于应用层不进行防护。

所以对于移动客户端访问服务这种用户场景，服务提供者希望在提供服务的时候，DDoS防护装置能够有效的区分应用层正常访问和攻击者流量在保证时延的情况下快速完成攻击流量的清洗。

目前移动端的HTTP流量依然是占据主流，DDoS防御算法并没有针对该用户场景进行创新，仍然使用的是传统的浏览器-服务器防护的机制，但该机制对于一些网络协议栈不完善的物联网设备或是自开发的手机移动端存在较大的误报漏报问题。另外攻击者也可以对于明文的HTTP报文进行拦截分析其服务的接口信息，再利用控制的僵尸网络主机非常方便的发起DDoS。该攻击方法虽然可以利用HTTPS协议进行加密在一定程度上缓解攻击问题，提高攻击难度，但是对于一些对时延要求比较高的服务如直播、视频、游戏以及一些较大网络资源获取，加密传输是对用户体验有较大的影响。

现有技术中：

1、论文“DDOS Attack Detection and Mitigation Technique Based on HttpCount and Verification Using CAPTCHA”：该论文为在该论文中，提出了一种基于验证码防止僵尸网络DDoS的机制，在当可疑IP触发了HTTP计数模块后，用户输入验证码进而区分真实用户和非法用户访问，将非法用户的IP添加到黑名单，但是该方法目前通过验证码识别技术已经越来越难起到防护作用；

2、专利文献CN105939361B：当确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系，且确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时，认为存在CC攻击，丢弃所述HTTP请求报文。对于该专利申请有着以下不足：

1）该类型具有较多相似专利，如CN108965211A、CN104113519B等同样是针对http的防护算法，该类专利主要是以统计访问频率分析来进行防护，但是该算法只有在超过一定频率的攻击才会触发，而且对于脉冲攻击防护不太理想。因为脉冲攻击是瞬时发送超大流量然后间隔一段时间重复以上步骤；

2）防护方案仍然是通用处理，并没有针对移动客户端进行优化处理。

3、华为UDP指纹技术：华为UDP指纹技术在DDoS攻击防御方面只能针对UDP协议，而且具有较多的限制，必须通过预学习才能获取指纹，当报文内容发生变化时必须重新学习。

发明内容

本发明针对现有技术上述的落后性、不全面性、限制多、且漏报错报多的问题，提出了一种抗DDoS攻击的http流量防御方法及系统，通过内置于移动客户端的动态水印生成模块，在向服务端发起HTTP请求时生成动态水印，在报文经过DDoS防御装置时，对该HTTP协议头中水印的正确性、完整性进行快速检查，以识别该报文属于正常客户的流量，还是被攻击者控制住的僵尸主机发起的攻击流量，并通过防御装置做出清洗动作；本发明通过上述设置保证了移动客户端的识别功能，有效地解决了无法区分正常客户端和非法攻击者的流量问题；提高了DDoS防御装置对HTTP攻击的识别和性能处理能力。

本发明具体实现内容如下：

本发明提出了一种抗DDoS攻击的http流量防御方法，基于抗DDoS攻击的http流量防御系统，所述方法首先对用户内容模块发出的http访问请求的头部通过动态水印生成模块进行水印配置，然后将http访问请求正常发出，由动态水印检验模块对http访问请求的头部的水印进行水印字段的解析；最后根据解析的结果，通过http访问请求对应的IP进行管理；

在进行水印配置前，由水印配置参数请求模块通过加密通道向动态水印配置模块请求水印配置参数，然后动态水印配置模块将水印配置参数发送给水印配置参数请求模块，水印配置参数请求模块将接收到的水印配置参数发送到动态水印生成模块，由动态水印生成模块生成水印hash内容，用于进行水印配置。

为了更好地实现本发明，进一步地，将所述水印hash内容配置在http访问请求的头部的user-agent字段。

为了更好地实现本发明，进一步地，所述水印hash内容包括秒级时间戳参数Timestamp、源sip、源端口sport、密钥key、时间范围conf_time、配置的加密方式alg；

所述生成水印hash内容的生成公式为hash=f(timestamp/conf_time，sip，sport，key，alg)；

其中使用f()函数通过alg参数进行控制，对传入的参数进行运算得到水印hash内容，所述运算通过二进制的与或非快速完成。

为了更好地实现本发明，进一步地，所述解析的操作为：解析http访问请求的头部获得user-agent字段，然后对user-agent字段进行解析获取到源sip和源端口sport，然后获取用户配置的加密字符串key，加密方法alg，时间范围conf_time参数，调用f()函数，计算得到水印hash2内容。

为了更好地实现本发明，进一步地，所述根据解析的结果，对http访问请求对应的IP进行管理的具体操作包括：判断解析后得到的水印hash2内容与水印hash内容是否一致，若一致，则识别水印成功，对http访问请求对应的IP本次访问放行，反之则拒绝访问。

为了更好地实现本发明，进一步地，在进行水印hash2内容与水印hash内容一致判断前，需要先校验时间戳参数Timestamp，在一定时间范围内的报文才进行判断，超过一定时间范围的报文，直接丢弃，不进行判断。

为了更好地实现本发明，进一步地，设置黑名单和白名单；将在一定时间范围内水印hash内容与水印hash2内容判断为一致的http访问请求对应的IP添加到白名单中；

将在一定时间范围内水印hash内容与水印hash2内容判断为不一致的http访问请求对应的IP添加到黑名单中。

为了更好地实现本发明，进一步地，设置配置周期，在动态水印检验模块接收到http访问请求后，先判断对应的IP是否是黑名单或者白名单中的IP；

对于判断为在白名单中的IP，在配置周期内，不再需要进行配置水印hash内容并进行水印校验，直接进行http访问请求放行；

对于判断为在黑名单中的IP，直接进行http访问请求的丢弃。

本发明还提出了一种抗DDoS攻击的http流量防御系统，用于抗DDoS攻击的http流量防御方法，所述系统包括用户客户端、DDoS防御装置、服务器；

所述用户客户端包括水印配置参数请求模块、用户内容模块、动态水印生成模块、网络传输模块；

所述DDoS防御装置包括动态水印配置模块、动态水印检验模块、白名单、黑名单；

所述服务器包括内容服务模块；

所述动态水印配置模块依次与水印配置参数请求模块、动态水印生成模块、网络传输模块、动态水印检验模块、内容服务模块、用户内容模块连接；

所述用户内容模块还与动态水印生成模块连接；

所述黑名单和白名单分别与动态水印检验模块连接。

本发明与现有技术相比具有以下优点及有益效果：

适应性、通用性强，且对HTTP访问请求头部中水印的正确性、完整性可以进行快速并精确的检查，以识别该报文属于正常客户的流量，还是被攻击者控制住的僵尸主机发起的攻击流量，并通过防御装置做出清洗动作提高了DDoS防御装置对HTTP攻击的识别和性能处理能力。

附图说明

图1为在http访问请求头部生成水印并发出的流程示意图；

图2为解析接收到的http访问请求并根据解析结果进行管理的流程示意图；

图3为本发明系统组成示意图。

具体实施方式

为了更清楚地说明本发明实施例的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，应当理解，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例，因此不应被看作是对保护范围的限定。基于本发明中的实施例，本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“设置”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；也可以是直接相连，也可以是通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1：

本实施例提出了一种抗DDoS攻击的http流量防御方法，基于抗DDoS攻击的http流量防御系统，如图1、图3所示，所述方法首先对用户内容模块发出的http访问请求的头部通过动态水印生成模块进行水印配置，然后将http访问请求正常发出，由动态水印检验模块对http访问请求的头部的水印进行水印字段的解析；最后根据解析的结果，对http访问请求对应的IP进行管理；

在进行水印配置前，由水印配置参数请求模块通过加密通道向动态水印配置模块请求水印配置参数，然后动态水印配置模块将水印配置参数发送给水印配置参数请求模块，水印配置参数请求模块将接收到的水印配置参数发送到动态水印生成模块，由动态水印生成模块生成水印hash内容，用于进行水印配置。

工作原理：本发明通过内置于移动客户端的动态水印生成模块，在向服务端发起HTTP请求时生成动态水印，在报文经过DDoS防御装置时，对该HTTP访问请求的头部中水印的正确性、完整性进行快速检查，以识别该报文属于正常客户的流量，还是被攻击者控制住的僵尸主机发起的攻击流量，并通过防御装置做出清洗动作。

实施例2：

本实施例在上述实施例1的基础上，为了更好地实现本发明，进一步地，将所述水印hash内容配置在http访问请求的头部的user-agent字段。

工作原理：基于HTTP头部添加水印信息的生成、校验机制设计，包括而不局限于user-agent字段，而是保护具有相似机制的HTTP头部其他通用或自定义字段。user-agent字段对于服务端为只读且不影响服务端的解析使用，同样可以将参数添加到其他头部字段参数或自定义参数，然后获取加密后字符串水印hash内容。如通过读取user-agent=Mozilla/5.0 (Windows NT 10.0; Win64; x64) hash-AF11SD22SSDLKJJ, 则根据关键字hash解析后获取到水印hash2内容结果为AF11SD22SSDLKJJ。

本实施例的其他部分与上述实施例1相同，故不再赘述。

实施例3：

本实施例在上述实施例1-2任一项的基础上，为了更好地实现本发明，进一步地，所述水印hash内容包括秒级时间戳参数Timestamp、源sip、源端口sport、密钥key、时间范围conf_time、配置的加密方式alg；

所述生成水印hash内容的生成公式为hash=f(timestamp/conf_time，sip，sport，key，alg)；

其中使用f()函数通过alg参数进行控制，对传入的参数进行运算得到水印hash内容，所述运算通过二进制的与或非快速完成。

工作原理：这里进行f运算，是为了解决报文在网络上传递引起的水印不准的问题。

本实施例的其他部分与上述实施例1-2任一项相同，故不再赘述。

实施例4：

本实施例在上述实施例1-3任一项的基础上，为了更好地实现本发明，进一步地，所述解析的操作为：解析http访问请求的头部获得user-agent字段，然后对user-agent字段进行解析获取到源sip和源端口sport，然后获取用户配置的加密字符串key，加密方法alg，时间范围conf_time参数，调用f()函数，计算得到水印hash2内容。

本实施例的其他部分与上述实施例1-3任一项相同，故不再赘述。

实施例5：

本实施例在上述实施例1-4任一项的基础上，为了更好地实现本发明，进一步地，如图2所示，

设置黑名单和白名单；设置配置周期，在动态水印检验模块接收到http访问请求后，先判断对应的IP是否是黑名单或者白名单中的IP；

在进行水印hash2内容与水印hash内容一致判断前，需要先校验时间戳参数Timestamp，在一定时间范围内的报文才进行判断，超过一定时间范围的报文，直接丢弃，不进行判断；

然后进入对http访问请求的解析，根据解析生成水印hash2内容；然后将水印hash2内容与水印hash内容进行对比判断；

所述根据解析的结果，对http访问请求对应的IP进行管理的具体操作包括：判断解析后得到的水印hash2内容与水印hash内容是否一致，若一致，则识别水印成功，对http访问请求对应的IP本次访问放行，反之则拒绝访问；

为了更好地实现本发明，进一步地，将在一定时间范围内水印hash内容与水印hash2内容判断为一致的http访问请求对应的IP添加到白名单中；

将在一定时间范围内水印hash内容与水印hash2内容判断为不一致的http访问请求对应的IP添加到黑名单中。

工作原理：加密方式设置密钥字符串，客户端请求后进行加密使用，时间范围是防止重传进行时间戳校验，如配置30s则只会对30s内符合验证规则的报文进行放行，相关操作是ddos的基本动作，丢弃是只对未验证通过的报文丢弃后续该会话的报文仍然需要水印验证，放行是只对通过验证的报文进行放行后续该会话的报文仍然需要水印验证，黑名单是未通过水印验证则丢弃的同时后续该会话的报文直接匹配黑名单列表进行丢弃不需要水印验证，白名单是指通过水印验证后后续该会话的报文直接放行不需要水印验证。黑名单和白名单的作用是加速水印验证算法，实际上该操作可以有更多的扩展。在进行水印识别时只会针对http报文进行解析并识别。通过校验timestamp/conf_time参数，假设conf_time为30s，timestamp为900s，则可以校验当前报文是否在客户端900-930s范围之内的报文，这样如果报文在网络中传输较慢，只要在该范围之内到达则不会被丢弃。且只有在一定时间范围之内的报文才会被放行，添加进入白名单。添加白名单的ip在配置周期内，不需要过水印算法，加快了转发性能。如果不能通过水印算法，则根据配置进行丢弃报文或加入黑名单。丢弃是指该IP报文仅丢弃，黑名单是指该IP报文被丢弃后加入到禁止名单，在配置的黑名单周期内该IP的报文会在进入该算法之前直接丢弃。

本实施例的其他部分与上述实施例1-4任一项相同，故不再赘述。

实施例6：

本实施例还提出了一种抗DDoS攻击的http流量防御系统，用于抗DDoS攻击的http流量防御方法，如图3所示，所述系统包括用户客户端、DDoS防御装置、服务器；

所述用户客户端包括水印配置参数请求模块、用户内容模块、动态水印生成模块、网络传输模块；

所述DDoS防御装置包括动态水印配置模块、动态水印检验模块、白名单、黑名单；

所述服务器包括内容服务模块；

所述动态水印配置模块依次与水印配置参数请求模块、动态水印生成模块、网络传输模块、动态水印检验模块、内容服务模块、用户内容模块连接；

所述用户内容模块还与动态水印生成模块连接；

所述黑名单和白名单分别与动态水印检验模块连接。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。

Claims (7)

1.一种抗DDoS攻击的http流量防御方法，基于抗DDoS攻击的http流量防御系统，其特征在于，首先对用户内容模块发出的http访问请求的头部通过动态水印生成模块进行水印配置，然后将http访问请求正常发出，由动态水印检验模块对http访问请求的头部的水印进行水印字段的解析；最后根据解析的结果，对http访问请求对应的IP进行管理；

在进行水印配置前，由水印配置参数请求模块通过加密通道向动态水印配置模块请求水印配置参数，然后动态水印配置模块将水印配置参数发送给水印配置参数请求模块，水印配置参数请求模块将接收到的水印配置参数发送到动态水印生成模块，由动态水印生成模块生成水印hash内容，用于进行水印配置；

将所述水印hash内容配置在http访问请求的头部的user-agent字段；

所述水印hash内容包括秒级时间戳参数Timestamp、源sip、源端口sport、密钥key、时间范围conf_time、配置的加密方式alg；

所述生成水印hash内容的生成公式为hash=f(timestamp/conf_time，sip，sport，key，alg)；

其中使用f()函数通过alg参数进行控制，对传入的参数进行运算得到水印hash内容，所述运算通过二进制的与或非快速完成。

2.如权利要求1所述的一种抗DDoS攻击的http流量防御方法，其特征在于，所述解析的操作为：解析http访问请求的头部获得user-agent字段，然后对user-agent字段进行解析获取到源sip和源端口sport，通过获取用户配置的加密字符串key，加密方法alg，时间范围conf_time参数，调用f()函数，计算得到水印hash2内容。

3.如权利要求2所述的一种抗DDoS攻击的http流量防御方法，其特征在于，所述根据解析的结果，对http访问请求对应的IP进行管理的具体操作包括：判断解析后得到的水印hash2内容与水印hash内容是否一致，若一致，则识别水印成功，对http访问请求对应的IP本次访问放行，反之则拒绝访问。

4.如权利要求3所述的一种抗DDoS攻击的http流量防御方法，其特征在于，在进行水印hash2内容与水印hash内容一致判断前，需要先校验时间戳参数Timestamp，在一定时间范围内的报文才进行判断，超过一定时间范围的报文，直接丢弃，不进行判断。

5.如权利要求4所述的一种抗DDoS攻击的http流量防御方法，其特征在于，设置黑名单和白名单；将在一定时间范围内水印hash内容与水印hash2内容判断为一致的http访问请求对应的IP添加到白名单中；

将在一定时间范围内水印hash内容与水印hash2内容判断为不一致的http访问请求对应的IP添加到黑名单中。

6.如权利要求5所述的一种抗DDoS攻击的http流量防御方法，其特征在于，设置配置周期，在动态水印检验模块接收到http访问请求后，先判断对应的IP是否是黑名单或者白名单中的IP；

对于判断为在白名单中的IP，在配置周期内，不再需要进行配置水印hash内容并进行水印校验，直接进行http访问请求放行；

对于判断为在黑名单中的IP，直接进行http访问请求的丢弃。

7.一种抗DDoS攻击的http流量防御系统，用于抗DDoS攻击的http流量防御方法，其特征在于，包括用户客户端、DDoS防御装置、服务器；

所述用户客户端包括水印配置参数请求模块、用户内容模块、动态水印生成模块、网络传输模块；

所述DDoS防御装置包括动态水印配置模块、动态水印检验模块、白名单、黑名单；

所述服务器包括内容服务模块；

所述动态水印配置模块依次与水印配置参数请求模块、动态水印生成模块、网络传输模块、动态水印检验模块、内容服务模块、用户内容模块连接；在动态水印配置模块将水印hash内容配置在http访问请求的头部的user-agent字段；水印hash内容包括秒级时间戳参数Timestamp、源sip、源端口sport、密钥key、时间范围conf_time、配置的加密方式alg；

所述用户内容模块还与动态水印生成模块连接；

所述黑名单和白名单分别与动态水印检验模块连接。

Images