一种基于自定义拦截标识的CC攻击防护方法与流程

阅读：评论：0

一种基于自定义拦截标识的cc攻击防护方法
技术领域
1.本发明涉及前端信息处理技术领域，具体涉及一种基于自定义拦截标识的cc攻击防护方法。

背景技术：

2.cc(challengecollapsar，挑战黑洞)攻击是ddos(distributed denial of service，分布式拒绝服务)的一种，也是一种常见的网站攻击方法，它的原理是攻击者控制某些主机不停地发送数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。这种攻击见不到虚假ip，见不到特别大的异常流量，而且，这种技术实现门槛相对较低，只要利用合适的工具和一些ip代理，一个初、中级水平的电脑用户就能够实现该种攻击。因此，具有很大的威胁。
3.cc攻击主要用来攻击页面或web服务，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，cc就是模拟多个用户不停地进行访问那些需要大量数据操作的页面，造成服务器资源的浪费，cpu长时间处于100％，永远都有处理不完的连接直至造成网络拥塞，正常的访问被终止。
4.本技术发明人发现现有技术至少存在以下技术问题：
5.1、目前较为主流的cc防护策略大都是以限制单个ip或单个应用的访问频率实现的，单纯的以单个ip的访问频率作为防护维度，容易被攻击者采用虚拟ip池轻松绕过，造成漏报；
6.2、若采用限制单个路径的访问频率的方式，由于业务系统的复杂性，单个路径下可能根据不同的请求方式和请求参数分为了不同的业务，而不同业务本身的正常访问频率可能存在不同，单纯以请求路径作为防御标准无法区分路径下的不同业务，可能造成cc攻击的误报或漏报。

技术实现要素：

7.本发明的目的在于提供一种基于自定义拦截标识的cc攻击防护方法，本方案采用自定义cc攻击拦截标识的方式，解决传统cc攻击防护方案容易误报和漏报的问题。
8.为了实现上述目的，本发明采用以下技术方案：
9.一种基于自定义拦截标识的cc攻击防护方法，包括：
10.拦截规则制定阶段，具体包括以下步骤：
11.确定业务要使用的拦截标识字段；
12.记录选定的拦截标识字段与业务的对应关系形成拦截标识字段表；
13.生成拦截标识；
14.确定拦截频率；
15.cc防护阶段，具体包括以下步骤：
16.收到用户请求后，查询对应关系获取业务的拦截标识字段表，并从用户请求中依
次提取拦截字段对应参数的值；
17.根据提取的用户请求参数值和拦截字段名，按照拦截规则制定阶段生成用户请求标识，并将用户请求标识与业务保存的拦截标识进行比较；
18.若比较结果一致，表明该请求满足预设的拦截规则，应当进行防护处理，否者放行。
19.在一些实施例中，所述确定业务要使用的拦截标识字段，包括：该业务的http访问请求头、请求行或请求体中包含的字段内容。
20.在一些实施例中，所述生成拦截标识，包括：根据选定的一个或多个拦截字段，以字段名和字段值一一对应的方式，将选定的所有字段名和字段值合并，并生成一个唯一的拦截标识id并保存，该拦截标识id将作为后续判断cc攻击的标识。
21.在一些实施例中，所述确定拦截频率，包括：为业务设置正常情况下，一段时间内的访问最大频率。
22.在一些实施例中，所述若比较结果一致，表明该请求满足预设的拦截规则，应当进行防护处理；包括：若比较结果一致，表明该请求满足cc防护的拦截规则，应当进行防护处理，具体为：判断该拦截标识下统计的访问次数在时间窗口内是否超过了业务预设的最大访问频率，若超过，直接拦截该请求；若未超过，将该标识对应的访问次数加1。
23.本技术所提供的一种基于自定义拦截标识的cc攻击防护方法具有的有益效果包括但不限于：
24.本发明采用用户自定义拦截标识的方式实现了cc攻击防护，自定义拦截标识极大的提升了cc防护的拦截精度和灵活性，可配置于各个不同的业务系统，可应用于绝大多数需要cc防护的应用场景。
附图说明
25.图1为基于自定义拦截标识的cc攻击防护方案流程图。
具体实施方式
26.为使本技术的目的、技术方案和优点更加清楚，下面将结合本技术的优选实施例中的附图，对本技术实施例中的技术方案进行更加详细的描述。在附图中，自始至终相同或类似的标号表示相同或类似的部件或具有相同或类似功能的部件。所描述的实施例是本技术一部分实施例，而不是全部的实施例。下面通过参考附图描述的实施例是示例性的，旨在用于解释本技术，而不能理解为对本技术的限制。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
27.以下将结合图1，对本技术实施例所涉及的一种基于自定义拦截标识的cc攻击防护方法进行详细说明。值得注意的是，以下实施例，仅仅用于解释本技术，并不构成对本技术的限定。
28.实施例1：
29.本发明提供一种基于自定义拦截标识的cc攻击防御方法，以准确识别cc攻击，实现对web服务器的有效防护。本方案包括拦截规则制定阶段和cc防护阶段；拦截标识生成阶段根据不同业务场景的正常访问频率和访问请求的特征，以业务为单位生成定制化的拦截
标识，由拦截标识和最大访问频率共同组成该业务的cc防护规则；在cc防护阶段中，当业务收到请求时，根据自定义拦截标识中包含的字段提取用户请求中的相应字段，采用同样的方式生成标识，并与该业务的拦截标识对比，根据对比结果决定是否进行防护处理。该方案可有效提升拦截精度和准确度，减少误报和漏报。
30.如图1所示：一种基于自定义拦截标识的cc攻击防护方法，包括：
31.拦截规则制定阶段，具体包括以下步骤：
32.确定业务要使用的拦截标识字段；
33.记录选定的拦截标识字段与业务的对应关系形成拦截标识字段表；
34.生成拦截标识；
35.确定拦截频率；
36.cc防护阶段，具体包括以下步骤：
37.收到用户请求后，查询对应关系获取业务的拦截标识字段表，并从用户请求中依次提取拦截字段对应参数的值；
38.根据提取的用户请求参数值和拦截字段名，按照拦截规则制定阶段生成用户请求标识，并将用户请求标识与业务保存的拦截标识进行比较；
39.若比较结果一致，表明该请求满足预设的拦截规则，应当进行防护处理，否者放行。
40.实施例2：
41.步骤1：在客户端请求到达业务服务之前，在业务服务器前方配置代理服务器用于cc攻击检测；
42.步骤2：在代理服务器上根据站点hosts为业务服务配置拦截标识字段，字段可选项包括客户端ip地址client_ip、用户请求user-agent、用户请求的hosts地址、请求的url路径、请求包含的特殊参数值等；
43.步骤3：使用选定的字段和预设值生成拦截标识；如预设拦截标识字段为：hosts＝www.baidu&user-agent＝xxxxxx&client_ip＝12.2.11.4，即仅当ip、ua、hosts都与预设值相同时，统计这样的客户端请求的访问频率；将上述拦截标识字符串进行哈希处理作为该业务的自定义拦截标识；
44.步骤4：当用户请求到来时，cc检测模块首先根据请求的hosts到与请求对应的拦截标识字段列表，在用户请求中提取字段列表中包含字段的值并按同样的顺序排列，举例如拦截标识字段包含hosts、ua、client_ip，则从用户请求中到上述字段对应的值并按拦截标识的生成顺序排列为：hosts＝www.xxx&user-agent＝xxxxxx&client_ip＝11.4.33.5，同样对该字段进行哈希处理；
45.步骤5：将得到的新标识与预设的拦截标识进行字符串比对，若两者一致，表明需要对该请求进行cc攻击防护，判断该请求是否达到了预设的访问频率值并进行处理；若对比结果不一致，则直接放行请求；
46.本方案的具体实施方式不仅限于本例举出的这一种，拦截标识字段的选择可替换为任意其他能满足业务需求的请求字段。
47.该方案通过预设拦截标识的方式，实际上是对用户请求按照满足标识和不满足标识进行分类，对满足分类的访问行为进行拦截处理，如果用户根据攻击者的访问特征如请
求方法、请求ua或特殊的参数值生成拦截标识，则可以准确的进行针对性拦截。如果存在请求url相同的不同业务，则可以根据请求参数和请求方法制定不同的拦截标识用于区分不同业务并配置各自的拦截频率，实现业务更加精确的cc防护规则配置；相比传统的cc防护方式，本方案拦截准确度更高，误报更少。
48.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

技术特征：

1.一种基于自定义拦截标识的cc攻击防护方法，其特征在于，包括：拦截规则制定阶段，具体包括以下步骤：确定业务要使用的拦截标识字段；记录选定的拦截标识字段与业务的对应关系形成拦截标识字段表；生成拦截标识；确定拦截频率；cc防护阶段，具体包括以下步骤：收到用户请求后，查询对应关系获取业务的拦截标识字段表，并从用户请求中依次提取拦截字段对应参数的值；根据提取的用户请求参数值和拦截字段名，按照拦截规则制定阶段生成用户请求标识，并将用户请求标识与业务保存的拦截标识进行比较；若比较结果一致，表明该请求满足预设的拦截规则，应当进行防护处理，否者放行。2.根据权利要求1所述的一种基于自定义拦截标识的cc攻击防护方法，其特征在于，所述确定业务要使用的拦截标识字段，包括：该业务的http访问请求头、请求行或请求体中包含的字段内容。3.根据权利要求1所述的一种基于自定义拦截标识的cc攻击防护方法，其特征在于，所述生成拦截标识，包括：根据选定的一个或多个拦截字段，以字段名和字段值一一对应的方式，将选定的所有字段名和字段值合并，并生成一个唯一的拦截标识id并保存，该拦截标识id将作为后续判断cc攻击的标识。4.根据权利要求1所述的一种基于自定义拦截标识的cc攻击防护方法，其特征在于，所述确定拦截频率，包括：为业务设置正常情况下，一段时间内的访问最大频率。5.根据权利要求1所述的一种基于自定义拦截标识的cc攻击防护方法，其特征在于，所述若比较结果一致，表明该请求满足预设的拦截规则，应当进行防护处理；包括：若比较结果一致，表明该请求满足cc防护的拦截规则，应当进行防护处理，具体为：判断该拦截标识下统计的访问次数在时间窗口内是否超过了业务预设的最大访问频率，若超过，直接拦截该请求；若未超过，将该标识对应的访问次数加1。

技术总结

本发明公开了一种基于自定义拦截标识的CC攻击防护方法，包括：拦截规则制定阶段，确定业务要使用的拦截标识字段；记录选定的拦截标识字段与业务的对应关系形成拦截标识字段表；生成拦截标识；确定拦截频率；CC防护阶段，收到用户请求后，查询对应关系获取业务的拦截标识字段表，并从用户请求中依次提取拦截字段对应参数的值；根据提取的用户请求参数值和拦截字段名，按照拦截规则制定阶段生成用户请求标识，并将用户请求标识与业务保存的拦截标识进行比较；若比较结果一致，表明该请求满足预设的拦截规则，应当进行防护处理，否者放行。本发明采用自定义拦截标识的方式实现了CC攻击防护，自定义拦截标识极大的提升了CC防护的拦截精度和灵活性。精度和灵活性。精度和灵活性。