[发明专利]一种基于多重特征识别的应用层DDoS攻击防御系统

说明书

技术领域

本发明涉及一种综合DDoS防御算法，具体是一种基于多重特征识别的应用层DDoS攻击防御系统。

背景技术

传统防火墙的检测机制较为单一，对上层协议的攻击检测能力不足，无法阻止来自应用层的攻击，其计算资源有限，检测深度不足，检测效率缓慢，随着攻击者欺骗伪装技术越来越复杂并且多样化，完全模拟正常浏览器真正业务用户访问，传统防火墙无法检测，因此将会成为网络瓶颈。

随着互联网应用特性复杂多变，衍生出更复杂的攻击方式，用户只能随着厂商升级；传统防火墙拦截策略依然采用比较粗劣一刀切方式或隔离网络机制，如附图2所示，这对上层流量检测分析存在严重不足，误判率过高，时常过滤、拦截用户的正常访问，中断用户，这让企业和用户都无法接受。

发明内容

本发明的目的在于提供一种基于多重特征识别的应用层DDoS（DistributedDenial

ofService分布式拒绝服务)攻击防御系统，以解决上述背景技术中提出的问题，为实现上述目的，本发明提供如下技术方案：

当用户发起请求时，系统将该用户数据包信息存入net-node网络流表，并对所述用户数据包进行分析处理，记录其最后访问时间、源地址、目标地址、目标端口、发送数据和接受的数据包大小，判定其来源是否真实可靠；在给用户返回数据的时候插入一个验证数据，再次检测来源是否真实可靠，当确定来源真实之后，添加该用户至白名单，否则列入黑名单拒绝访问；当用户被添加至白名单，用户的信任度就是阈值信任度，系统给该来源分配一个cookie身份标识；接着创建一个记录该cookie身份标识的data数据库，记录存储该cookie身份标识一定时间段的访问信息，所述访问信息包括连接数、连接频率、访问数、访问频率、http请求总数、请求频率和错误请求总数、错误请求频率、错误请求的数据大小，所述访问信息作为身份验证管理的依据；当用户再次发起请求将不需要再次验证；通过对一段时间内cookie身份标识的data数据库进行分析判断，以阈值信任度为基数进行增加或减少，并实时更新，低于阈值信任度将触发验证机制，引导用户输入验证码；如果未通过验证，系统仍然会降低信任度，如果信任度降低到0，将被列入黑名单拒绝访问；通过验证之后，将恢复阈值信任度。

作为本发明进一步的方案：所述cookie身份标识是唯一的。

作为本发明再进一步的方案：所述data数据库分为临时存储特征数据库和长期储存特征数据库。

与现有技术相比，本发明的有益效果是：

通过建立访问特征检测分析的黑白名单，分析判断用户的长期访问行为的正常或非法，在DDoS攻击发生时，保证用户的正常流量不被拦截。

附图说明

图1为一种基于多重特征识别的应用层DDoS攻击防御系统的流程示意图。

图2为传统防火墙拦截策略的流程示意图。

图3、图4为一种基于多重特征识别的应用层DDoS攻击防御系统的信任度判断流程示意图。

具体实施方式

下面结合具体实施方式对本发明专利的技术方案作进一步详细地说明。

请参阅图1和图4，一种基于多重特征识别的应用层DDoS攻击防御系统，下面结合具体实施方式对本专利的技术方案作进一步详细地说明。