WO2019242053A1

WO2019242053A1 - 一种针对HTTP Flood攻击的防护方法及系统

Info

Publication number: WO2019242053A1
Application number: PCT/CN2018/095434
Authority: WO
Inventors: 马涛; 杨光
Original assignee: 网宿科技股份有限公司
Priority date: 2018-06-19
Filing date: 2018-07-12
Publication date: 2019-12-26
Also published as: EP3618396A4; CN108833410A; CN108833410B; US20210105299A1; US11159562B2; EP3618396A1; EP3618396B1

Abstract

本发明公开了一种针对HTTP Flood攻击的防护方法及系统，该方法包括：确定每个统计时间间隔内接收到的防护设备发送的HTTP请求的数量，其中，所述HTTP请求包括由一个数据包承载的HTTP请求和由多个数据包承载的HTTP请求；当在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，验证目标HTTP请求，其中所述目标HTTP请求包括达到所述第一阈值之后接收到的HTTP请求；响应通过验证的目标HTTP请求。在本发明实施例中，服务器具备防护功能，并能够验证防护设备无法验证的HTTP请求，即由多个数据包重组得到的HTTP请求，而防护设备能够验证由一个数据包承载的HTTP请求，服务器与防护设备相互配合，从而提高防护效果。

Description

一种针对HTTP Flood攻击的防护方法及系统

技术领域

本发明涉及计算机网络安全技术领域，特别涉及一种针对HTTP Flood攻击的防护方法及系统。

背景技术

超文本传输协议洪水(Hyper Text Transfer Protocol Flood，HTTP Flood)攻击是一种主要针对服务器进行攻击的方式。目前，针对HTTP Flood攻击的防护方法是在客户端与服务器中间设置防护设备，当客户端与服务器建立传输控制协议(Transmission Control Protocol，TCP)连接后，客户端可以向服务器发送HTTP请求，防护设备在获取到所述HTTP请求后，对HTTP请求进行验证，验证通过后向服务器发送HTTP请求，否则进行拦截，从而防止攻击端发送的HTTP请求攻击服务器。

但是，防护设备通常只能解析出由一个数据包承载的HTTP请求，而当同一个HTTP请求由多个数据包承载时，也就是说，当同一个HTTP请求分布于多个数据包中时，无法对这些数据包进行完整解析，也就无法从这些数据包中解析出完整的HTTP请求。防护设备通常将这些无法解析的数据包直接转发给服务器，又由于由多个数据包组成的同一个HTTP请求可能是有攻击的请求，所以容易导致服务器受到攻击。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种针对HTTP Flood攻击的防护方法及系统。所述技术方案如下：

第一方面，提供了一种针对HTTP Flood攻击的防护方法，所述方法应用于服务器中，所述方法包括：

确定每个统计时间间隔内接收到的防护设备发送的HTTP请求的数量，其中，所述HTTP请求包括由一个数据包承载的HTTP请求和由多个数据包承载的HTTP请求；

当在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，验证目标HTTP请求，其中所述目标HTTP请求包括达到所述第一阈值之后接收到的HTTP请求；

响应通过验证的目标HTTP请求。

可选的，所述验证目标HTTP请求，包括：

确定所述目标HTTP请求中是否包含验证信息；

当所述目标HTTP请求中不包含所述验证信息时，向发送所述目标HTTP的客户端发送所述验证信息；

当所述目标HTTP请求中包含所述验证信息时，验证所述验证信息是否正确。

可选的，所述验证目标HTTP请求，还包括：

确定每个统计时间间隔内接收到的每个源地址对应的目标HTTP请求的数量；

当同一源地址对应的目标HTTP请求的数量达到第二阈值之后，丢弃达到所述第二阈值之后接收到的所述同一源地址对应的目标HTTP请求。

可选的，当同一源地址对应的目标HTTP请求的数量达到第二阈值之后，还包括：

向所述防护设备发送所述同一源地址，以使所述防护设备丢弃所述同一源地址对应的目标HTTP请求。

可选的，所述验证目标HTTP请求，还包括：

确定每个统计时间间隔内接收到的每组源地址和统一资源定位符URL的组合对应的目标HTTP请求的数量；

当同一组合对应的目标HTTP请求的数量达到第三阈值之后，丢弃达到所述第三阈值之后接收到的所述同一组合对应的目标HTTP请求。

可选的，当同一组合对应的目标HTTP请求的数量达到第三阈值之后，还包括：

向所述防护设备发送所述同一组合，以使所述防护设备丢弃所述同一组合对应的目标HTTP请求。

可选的，所述验证目标HTTP请求，还包括：

当所述目标HTTP请求为由一个数据包承载的HTTP请求时，确定所述目标HTTP请求为合法请求；

当所述目标HTTP请求为由多个数据包承载的HTTP请求时，确定所述目标HTTP请求中是否包含验证信息，如果所述目标HTTP请求中包含所述验证信息，则验证所述验证信息是否正确，否则向发送所述目标HTTP的客户端发送所述验证信息。

可选的，所述验证目标HTTP请求之前，包括：

接收承载所述目标HTTP请求的数据包，并解析得到所述目标HTTP请求；

当承载所述目标HTTP请求的数据包为一个数据包时，使用标识标记所述目标HTTP请求；

所述验证目标HTTP请求，还包括：

当所述目标HTTP请求带有所述标识时，确定所述目标HTTP请求为合法请求；

当所述目标HTTP请求不带有所述标识时，确定所述目标HTTP请求中是否包含验证信息，如果所述目标HTTP请求中包含所述验证信息，则验证所述验证信息是否正确，否则向发送所述目标HTTP的客户端发送所述验证信息。

第二方面，提供了一种针对HTTP Flood攻击的防护系统，所述系统包括防护设备和服务器；

所述防护设备，用于接收客户端发送的HTTP请求，当确定出存在攻击时，验证由一个数据包承载的HTTP请求，并向所述服务器发送由多个数据包承载的HTTP请求以及通过验证的由一个数据包承载的HTTP请求；

所述服务器包括接收单元、确定单元、验证单元以及响应单元；

所述接收单元，用于接收所述防护设备发送的HTTP请求的数量；

所述确定单元，用于确定每个统计时间间隔内接收到的防护设备发送的HTTP请求的数量；

所述验证单元，用于当在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，验证目标HTTP请求，其中所述目标HTTP请求包括达到所述第一阈值之后接收到的HTTP请求；

所述响应单元，用于响应通过验证的目标HTTP请求。

可选的，所述验证单元具体用于：

确定所述目标HTTP请求中是否包含验证信息；

可选的，所述验证单元还具体用于：

可选的，所述验证单元还用于：

可选的，所述验证单元还具体用于：

可选的，所述验证单元还用于：

可选的，所述验证单元还具体用于：

可选的，所述接收单元还用于：

所述验证单元还具体用于：

第三方面，提供了一种服务器，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现第一方面所述的针对HTTP Flood攻击的防护方法

在本发明实施例中，服务器具备防护功能，并能够验证防护设备无法验证的HTTP请求，即由多个数据包重组得到的HTTP请求，而防护设备能够验证由一个数据包承载的HTTP请求，服务器与防护设备相互配合，从而提高防护效果。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种网络框架示意图；

图2是本发明实施例提供的一种针对HTTP Flood攻击的防护方法流程图；

图3是本发明实施例提供的服务器的结构框图；

图4是为本发明实施例提供的一种服务器的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例提供了一种针对HTTP Flood攻击的防护方法，该方法可以应用于图1所示的网络框架中。该网络框架包括客户端以及防护系统，即针对HTTP Flood攻击的防护系统，所述防护系统包括防护设备以及服务器。客户端连接防护设备，防护设备连接服务器。客户端包括发送正常HTTP请求的客户端以及发送有攻击的请求的攻击端。该服务器可以为服务器集群。防护设备接收客户端向服务器发送的HTTP请求，并能够验证由一个数据包承载的HTTP请求。当防护设备接收到由多个数据包承载的HTTP请求时，无法解析出完整的HTTP请求时，向服务器转发这些数据包，由服务器进行数据包重组得到完整的HTTP请求，并对其进行验证。本发明实施例中的多个数据包是指至少两个数据包。在本发明实施例中，由防护设备以及服务器组成的防护系统能够验证由一个数据包承载的HTTP请求和由多个数据包承载的HTTP请求，从而提升防护效果。

HTTP请求中包括源地址和统一资源定位符(Uniform Resource Locator，URL)。源地址用于表示该HTTP请求的发送源，每个源地址对应一个客户端。URL是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址，互联网上的每个文件都有一个唯一的URL。

当不存在攻击时，防护设备可以无需验证HTTP请求的安全性，也就是说，当接收到的HTTP请求后，直接向服务器发送该HTTP请求。防护设备确定是否存在攻击的过程为，确定每个统计时间间隔(例如，5秒)内接收到的HTTP请求的数量，当在任一统计时间间隔内接收到的HTTP请求的数量超过阈值之后，可以认为存在攻击，否则可以认为不存在攻击。需要说明的是，在本发明实施例中，每个统计时间间隔在时间上可以是连续的，也就是说上个统计时间间隔的结束时刻为下个统计时间间隔的起始时刻，每个统计时间间隔在时间上也可以是不连续的。

防护设备接收客户端向所述服务器发送的HTTP请求，该HTTP请求包括由一个数据包承载的HTTP请求以及由多个数据包承载HTTP请求，当确定出存在攻击时，防护设备开始验证接收的由一个数据包承载的HTTP请求，同时向服务器转发由多个数据包承载HTTP请求。防护设备进行验证的过程包括：解析由一个数据包承载的HTTP请求，当该HTTP请求中不包含验证信息时，向该客户端发送验证信息，客户端接收到该验证信息后跟随响应，重新向防护设备发送包含验证信息的HTTP请求，防护设备接收到HTTP请求后，解析出 HTTP请求中的验证信息并进行验证，当验证通过后向服务器发送该HTTP请求。而攻击端在攻击服务器时，一般只负责发送大量的请求，而不会接收防护设备发送的验证信息或者接收后不做解析，从而无法发送新带有验证信息的HTTP请求，没有通过防护设备验证的HTTP请求即为攻击端发送的恶意请求，将被丢弃而不会转发给服务器，通过防护设备验证的HTTP请求可初步判断为正常的请求，将通过防护设备转发给服务器，因此防护设备能够拦截攻击端发送的有攻击的请求。

防护设备能够应对简单的攻击，如一个数据包承载的HTTP请求，但防护设备无法对每个数据包进行完整的解析和处理，也就无法将多个数据包重组成完整的HTTP请求，而服务器的底层收发数据包经过完整的协议栈，能够对多个数据包进行重组，得到完整的HTTP请求，所以服务器能够对由多个数据包重组得到的HTTP请求进行验证。以下详细说明服务器的防护过程。

参见图2，为本发明实施例提供的一种针对HTTP Flood攻击的防护方法的流程图，该方法可以应用于服务器中，该方法具体可以包括以下步骤。

步骤201，确定每个统计时间间隔内接收到的防护设备发送的HTTP请求的数量，其中，所述HTTP请求包括由一个数据包承载的HTTP请求和由多个数据包承载的HTTP请求。

服务器接收到防护设备发送的数据包后，对其进行解析，可以解析出由一个数据包承载的完整的HTTP请求，也可以根据协议栈对多个数据包进行解析，重组得到一个完整的HTTP请求，从而能够进一步验证防护设备无法验证的HTTP请求。

服务器可以通过确定每个统计时间间隔内接收到的防护设备发送的HTTP请求的数量，来确定是否存在攻击。当每个统计时间间隔内接收到的HTTP请求的数量均小于第一阈值，说明不存在攻击，服务器可以无需验证接收到的HTTP请求，而是直接响应各HTTP请求。

步骤202，当在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，验证目标HTTP请求，其中目标HTTP请求包括达到所述第一阈值之后接收到的HTTP请求。

当任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，说明存在攻击，服务器开始验证接收到的目标HTTP请求。由于服务器接收到的由一个数据包承载的HTTP请求是经过防护设备验证过的合法请求，这些合法请求的数量有限，并不会导致HTTP请求的总数量达到第一阈值，所以当统计时间间隔内接收到的HTTP请求的数量达到第一阈值时，通常是由于没有经过防护设备验证过的HTTP请求，即由多个数据包重组得到的HTTP请求数量过大导致的。所以当服务器对目标HTTP请求进行验证时，就能够验证出由多个数据包重组得到的HTTP请求的合法性。

本发明实施例对达到第一阈值之后接收的HTTP请求进行验证，例如，第一阈值为5000，当在一个统计时间间隔内发现接收到的HTTP请求的数量达到5000，则对接收到的第5001个HTTP请求进行验证。

在具体实施中，还可以规定，当任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值时，可以对当前任一接收到的且没有响应的HTTP请求，以及对达到第一阈值之后接收到的HTTP请求进行验证。例如，当在一个统计时间间隔内发现接收到的HTTP请求的数量达到5000时，且还没对当前接收的第4999个以及第5000个HTTP请求进行响应，则可以从第4999个HTTP请求开始进行验证。

具体地，服务器可以通过四种实施方式对HTTP请求进行验证。

实施方式一

当在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，确定所述目标HTTP请求中是否包含验证信息，当所述目标HTTP请求中不包含所述验证信息时，向发送所述目标HTTP的客户端发送所述验证信息。客户端接收到验证信息后，向服务器重新发送携带有该验证信息的目标HTTP请求，防护设备接收客户端发送的目标HTTP请求，如果该目标HTTP请求由一个数据包承载时，对其进行验证，验证通过后向服务器发送该目标HTTP请求。如果该目标HTTP请求由多个数据包承载，防护设备直接向服务器转发该目标HTTP请求。当服务器接收到该目标HTTP请求，并确定出所述目标HTTP请求中包含所述验证信息时，验证所述验证信息是否正确，如果正确则通过验证。

前述部分已经对防护设备对HTTP请求进行验证的过程进行了详细说明，再此不再赘述。

实施方式二

当在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，确定每个统计时间间隔内接收到的每个源地址对应的目标HTTP请求的数量，当同一源地址对应的目标HTTP请求的数量达到第二阈值之后，丢弃达到所述第二阈值之后接收到的所述同一源地址对应的目标HTTP请求。丢弃的目标HTTP请求即为没有通过验证的请求。

所述“确定每个统计时间间隔内接收到的每个源地址对应的目标HTTP请求的数量”中的统计时间间隔，与所述“确定每个统计时间间隔内接收到的防护设备发送的HTTP请求的数量”中的统计时间间隔可以同步，也可以不同步，这两种统计时间间隔的时长可以相等也可以不等。当同步时，可以在HTTP请求的数量达到第一阈值之后的下一个统计时间间隔开始统计接收到的每个源地址对应的目标HTTP请求的数量。当不同步时，可以在HTTP请求的数量达到第一阈值之后，即开始统计每个统计时间间隔内接收到的每个源地址对应的目标HTTP请求的数量，此时，第一个统计时间间隔的起始时间为所述HTTP请求的数量达到第一阈值的时刻。本发明实施例不对为统计每个源地址对应的目标HTTP请求的数量所使用的统计时间间隔的起始时间以及时长进行具体限制。

当同一源地址对应的目标HTTP请求的数量达到第二阈值之后，可以向所述防护设备发送所述同一源地址，以使所述防护设备丢弃所述同一源地址对应的目标HTTP请求。在具体实施过程中，服务器除了直接对接收到的HTTP请求进行数目统计，也可以针对服务器生成的日志进行解析和处理，得出请求量特别大的源地址，并将这些源地址通知到防护设备，以使防护设备对这些源地址对应的HTTP请求进行拦截，从而形成更加完整的防护体系。

实施方式三

当在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，确定每个统计时间间隔内接收到的每组源地址和URL的组合对应的目标HTTP请求的数量，当同一组合对应的目标HTTP请求的数量达到第三阈值之后，丢弃达到所述第三阈值之后接收到的所述同一组合对应的目标HTTP请求。例如源地址为A的HTTP请求访问URL为B的数量超过第三阈值，说明这一组合为恶意组合，其对应的HTTP请求为恶意请求，则丢弃这一组合对应的HTTP请求。

本实施例方式中的统计时间间隔可以与实施方式二中的统计时间间隔相同，也可以与实施方式二中的统计时间间隔不同。

当同一组合对应的目标HTTP请求的数量达到第三阈值之后，可以向所述防护设备发送所述同一组合，以使所述防护设备丢弃所述同一组合对应的目标HTTP请求。也就是说，当防护设备接收到HTTP请求，并确定该HTTP请求的源地址以及预访问的URL的组合属于服务器上报的恶意组合时，丢弃该HTTP请求。

实施方式四

由于由一个数据包承载的HTTP请求已经由防护设备验证为合法请求，所以在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，对目标HTTP请求进行验证的过程可以为：当所述目标HTTP请求为由一个数据包承载的HTTP请求时，确定所述目标HTTP请求为合法请求；当所述目标HTTP请求为由多个数据包承载的HTTP请求时，确定所述目标HTTP请求中是否包含验证信息，如果所述目标HTTP请求中包含所述验证信息，则验证所述验证信息是否正确，否则向发送所述目标HTTP的客户端发送所述验证信息。

客户端接收到验证信息后，向服务器重新发送携带有该验证信息的目标HTTP请求，防护设备接收该目标HTTP请求。由于该目标HTTP请求为由多个数据包承载的HTTP请求，所以防护设备接收到该目标HTTP请求后直接向服务器转发该目标HTTP请求。当服务器接收到该目标HTTP请求，并确定出所述目标HTTP请求中包含所述验证信息时，验证所述验证信息是否正确，如果正确则通过验证。

在该实施方式中，在确定存在攻击后，服务器只对由多个数据包承载的目标HTTP请求通过发送验证信息的方式进行验证，能够减少服务器对请求的处理次数，并能够使利用一个数据包发送HTTP请求的客户端较快地得到服务器的响应。

在具体实施中，在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，接收承载所述目标HTTP请求的数据包，并解析得到所述目标HTTP请求，当承载所述目标HTTP请求的数据包为一个数据包时，使用标识标记所述目标HTTP请求。在验证目标HTTP请求的过程中，当所述目标HTTP请求带有所述标识时，说明该目标HTTP请求为由一个数据包承载的HTTP请求，可以确定所述目标HTTP请求为合法请求；当所述目标HTTP请求不带有所述标识时，说明该目标HTTP请求为由多个数据包承载的HTTP请求，可以确定所述目标HTTP请求中是否包含验证信息，如果所述目标HTTP请求中包含所述验证信息，则验证所述验证信息是否正确，否则向发送所述目标HTTP的客户端发送所述验证信息。

用于区分由一个数据包承载的HTTP请求以及由多个数据包承载的HTTP请求时，还可以通过标记不同的标识。也就是说，在接收承载所述目标HTTP请求的数据包，并解析得到所述目标HTTP请求后，当承载所述目标HTTP请求的数据包为一个数据包时，使用第一标识标记所述目标HTTP请求，当承载所述目标HTTP请求的数据包为多个数据包时，使用第二标识标记所述目标HTTP请求。当对目标HTTP请求进行验证时，可以根据第一标识和第二标识区分由一个数据包承载的HTTP请求以及由多个数据包承载的HTTP请求。

需要说明的是上述四种实施方式可以独立实施，也可以相互结合实施。例如，可以同时使用实施方式一与实施方式二，或者同时使用实施方式一与实施方式三。当同时使用实施方式一与实施方式二时，通过实施方式二可以丢弃不符合条件的HTTP请求，而没有被丢弃的HTTP请求可以通过实施方式一的方式进行进一步的验证。再例如，可以同时使用实施方式二与实施方式四，或者同时使用实施方式三与实施方式四。通过多种实施方式的结合，可以同时提高服务器的防护效果和防护效率。

步骤203，响应通过验证的目标HTTP请求。

对于通过验证的目标HTTP请求，服务器对其进行响应，即向客户端发送该目标HTTP请求对应的响应信息。

在具体实施过程中，防护设备也可以将只包含于一个数据包中不完整的HTTP请求发送至服务器，当服务器能够解析出该不完整的HTTP请求时，可以对其进行验证或响应，当服务器解析不出该不完整的HTTP请求时，可以丢弃该HTTP请求。

以下对本发明实施例提供的防护系统中的服务器的结构进行具体说明。

参见图3，为本发明实施例提供的服务器的结构框图，所述服务器具体可以包括接收单元301、确定单元302、验证单元303以及响应单元304；

其中，所述接收单元301，用于接收所述防护设备发送的HTTP请求的数量，其中，所述防护设备发送的HTTP请求包括由一个数据包承载的HTTP请求和由多个数据包承载的HTTP请求。

所述确定单元302，用于确定每个统计时间间隔内接收到的防护设备发送的HTTP请求的数量。

所述验证单元303，用于当在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，验证目标HTTP请求，其中所述目标HTTP请求包括达到所述第一阈值之后接收到的HTTP请求。

所述响应单元304，用于响应通过验证的目标HTTP请求。

优选地，所述验证单元303具体用于：

确定所述目标HTTP请求中是否包含验证信息；

优选地，所述验证单元303还具体用于：

优选地，所述验证单元303还用于：

优选地，所述验证单元303还具体用于：

优选地，所述验证单元303还用于：向所述防护设备发送所述同一组合，以使所述防护设备丢弃所述同一组合对应的目标HTTP请求。

优选地，所述验证单元303还具体用于：

优选地，所述接收单元301还用于：接收承载所述目标HTTP请求的数据包，并解析得到所述目标HTTP请求；当承载所述目标HTTP请求的数据包为一个数据包时，使用标识标记所述目标HTTP请求。

相应的，所述验证单元303还具体用于：当所述目标HTTP请求带有所述标识时，确定所述目标HTTP请求为合法请求；当所述目标HTTP请求不带有所述标识时，确定所述目标HTTP请求中是否包含验证信息，如果所述目标HTTP请求中包含所述验证信息，则验证所述验证信息是否正确，否则向发送所述目标HTTP的客户端发送所述验证信息。

需要说明的是：上述实施例提供的服务器在进行防护时，仅以上述各功能单元的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元完成，即将服务器的内部结构划分成不同的功能单元，以完成以上描述的全部或者部分功能。另外，上述实施例提供的服务器与针对HTTP Flood攻击的防护方法的实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

参见图4，为本发明实施例提供的服务器的结构示意图。该服务器400可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器422 (例如，一个或一个以上处理器)和存储器432，一个或一个以上存储应用程序442或数据444的存储介质430(例如一个或一个以上海量存储设备)。其中，存储器432和存储介质430可以是短暂存储或持久存储。存储在存储介质430的程序可以包括一个或一个以上单元(图示没标出)，每个单元可以包括对防护设备中的一系列指令操作。更进一步地，中央处理器422可以设置为与存储介质430通信，在服务器400上执行存储介质430中的一系列指令操作。

服务器400还可以包括一个或一个以上电源429，一个或一个以上有线或无线网络接口450，一个或一个以上输入输出接口458，一个或一个以上键盘454，和/或，一个或一个以上操作系统441，例如Windows ServerTM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM等等。

服务器400可以包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置以由一个或者一个以上处理器执行所述一个或者一个以上程序包含用于进行上述防护方法的指令。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种针对HTTP Flood攻击的防护方法，其特征在于，所述方法应用于服务器中，所述方法包括：

确定每个统计时间间隔内接收到的防护设备发送的HTTP请求的数量，其中，所述HTTP请求包括由一个数据包承载的HTTP请求和由多个数据包承载的HTTP请求；

当在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，验证目标HTTP请求，其中所述目标HTTP请求包括达到所述第一阈值之后接收到的HTTP请求；

响应通过验证的目标HTTP请求。
根据权利要求1所述的方法，其特征在于，所述验证目标HTTP请求，包括：

确定所述目标HTTP请求中是否包含验证信息；

当所述目标HTTP请求中不包含所述验证信息时，向发送所述目标HTTP的客户端发送所述验证信息；

当所述目标HTTP请求中包含所述验证信息时，验证所述验证信息是否正确。
根据权利要求1所述的方法，其特征在于，所述验证目标HTTP请求，还包括：

确定每个统计时间间隔内接收到的每个源地址对应的目标HTTP请求的数量；

当同一源地址对应的目标HTTP请求的数量达到第二阈值之后，丢弃达到所述第二阈值之后接收到的所述同一源地址对应的目标HTTP请求。
根据权利要求3所述的方法，其特征在于，当同一源地址对应的目标HTTP请求的数量达到第二阈值之后，还包括：

向所述防护设备发送所述同一源地址，以使所述防护设备丢弃所述同一源地址对应的目标HTTP请求。
根据权利要求1所述的方法，其特征在于，所述验证目标HTTP请求，还包括：

确定每个统计时间间隔内接收到的每组源地址和统一资源定位符URL的组合对应的目标HTTP请求的数量；

当同一组合对应的目标HTTP请求的数量达到第三阈值之后，丢弃达到所述第三阈值之后接收到的所述同一组合对应的目标HTTP请求。
根据权利要求5所述的方法，其特征在于，当同一组合对应的目标HTTP请求的数量达到第三阈值之后，还包括：

向所述防护设备发送所述同一组合，以使所述防护设备丢弃所述同一组合对应的目标HTTP请求。
根据权利要求1所述的方法，其特征在于，所述验证目标HTTP请求，还包括：

当所述目标HTTP请求为由一个数据包承载的HTTP请求时，确定所述目标HTTP请求为合法请求；

当所述目标HTTP请求为由多个数据包承载的HTTP请求时，确定所述目标HTTP请求中是否包含验证信息，如果所述目标HTTP请求中包含所述验证信息，则验证所述验证信息是否正确，否则向发送所述目标HTTP的客户端发送所述验证信息。
根据权利要求7所述的方法，其特征在于，所述验证目标HTTP请求之前，包括：

接收承载所述目标HTTP请求的数据包，并解析得到所述目标HTTP请求；

当承载所述目标HTTP请求的数据包为一个数据包时，使用标识标记所述目标HTTP请求；

所述验证目标HTTP请求，还包括：

当所述目标HTTP请求带有所述标识时，确定所述目标HTTP请求为合法请求；

当所述目标HTTP请求不带有所述标识时，确定所述目标HTTP请求中是否包含验证信息，如果所述目标HTTP请求中包含所述验证信息，则验证所述验证信息是否正确，否则向发送所述目标HTTP的客户端发送所述验证信息。
一种针对HTTP Flood攻击的防护系统，其特征在于，所述系统包括防护设备和服务器；

所述防护设备，用于接收客户端发送的HTTP请求，当确定出存在攻击时，验证由一个数据包承载的HTTP请求，并向所述服务器发送由多个数据包承载的HTTP请求以及通过验证的由一个数据包承载的HTTP请求；

所述服务器包括接收单元、确定单元、验证单元以及响应单元；

所述接收单元，用于接收所述防护设备发送的HTTP请求的数量；

所述确定单元，用于确定每个统计时间间隔内接收到的防护设备发送的HTTP请求的数量；

所述验证单元，用于当在任一统计时间间隔内接收到的HTTP请求的数量达到第一阈值之后，验证目标HTTP请求，其中所述目标HTTP请求包括达到所述第一阈值之后接收到的HTTP请求；

所述响应单元，用于响应通过验证的目标HTTP请求。
根据权利要求9所述的系统，其特征在于，所述验证单元具体用于：

确定所述目标HTTP请求中是否包含验证信息；

当所述目标HTTP请求中不包含所述验证信息时，向发送所述目标HTTP的客户端发送所述验证信息；

当所述目标HTTP请求中包含所述验证信息时，验证所述验证信息是否正确。
根据权利要求9所述的系统，其特征在于，所述验证单元还具体用于：

确定每个统计时间间隔内接收到的每个源地址对应的目标HTTP请求的数量；

当同一源地址对应的目标HTTP请求的数量达到第二阈值之后，丢弃达到所述第二阈值之后接收到的所述同一源地址对应的目标HTTP请求。
根据权利要求11所述的系统，其特征在于，所述验证单元还用于：

向所述防护设备发送所述同一源地址，以使所述防护设备丢弃所述同一源地址对应的目标HTTP请求。
根据权利要求9所述的系统，其特征在于，所述验证单元还具体用于：

确定每个统计时间间隔内接收到的每组源地址和统一资源定位符URL的组合对应的目标HTTP请求的数量；

当同一组合对应的目标HTTP请求的数量达到第三阈值之后，丢弃达到所述第三阈值之后接收到的所述同一组合对应的目标HTTP请求。
根据权利要求13所述的系统，其特征在于，所述验证单元还用于：

向所述防护设备发送所述同一组合，以使所述防护设备丢弃所述同一组合对应的目标HTTP请求。
根据权利要求9所述的系统，其特征在于，所述验证单元还具体用于：

当所述目标HTTP请求为由一个数据包承载的HTTP请求时，确定所述目标HTTP请求为合法请求；

当所述目标HTTP请求为由多个数据包承载的HTTP请求时，确定所述目标HTTP请求中是否包含验证信息，如果所述目标HTTP请求中包含所述验证信息，则验证所述验证信息是否正确，否则向发送所述目标HTTP的客户端发送所述验证信息。
根据权利要求15所述的系统，其特征在于，所述接收单元还用于：

接收承载所述目标HTTP请求的数据包，并解析得到所述目标HTTP请求；

当承载所述目标HTTP请求的数据包为一个数据包时，使用标识标记所述目标HTTP请求；

所述验证单元还具体用于：

当所述目标HTTP请求带有所述标识时，确定所述目标HTTP请求为合法请求；

当所述目标HTTP请求不带有所述标识时，确定所述目标HTTP请求中是否包含验证信息，如果所述目标HTTP请求中包含所述验证信息，则验证所述验证信息是否正确，否则向发送所述目标HTTP的客户端发送所述验证信息。
一种服务器，其特征在于，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至8任一所述的针对HTTP Flood攻击的防护方法。