技術領域

本發明涉及信息科學技術領域，特別是涉及一種基于客戶端檢測的應用層拒絕服務防護方法及系統。

背景技術

基于WEB?Server的Dos攻擊目前越來越普遍，客戶端可以通過一個簡單的攻擊程序向WEB服務器發送大量的WEB請求，每次客戶端發送一個請求，WEB服務器都需要完成一系列的工作，腳本解析，數據庫查詢等等，如果客戶端發送的請求過多，會造成服務器消耗過多的系統資源進而中止客戶響應。

傳統的檢測應用層拒絕服務攻擊，都是在網絡層(TCP/UDP)進行分析，根據以往的經驗閾值進行判定攻擊行為。根據經驗閾值來進行檢測拒絕服務攻擊，從理論上說和實際市場的產品反應來看，效果并不理想。這樣的檢測方法，檢測的成功率和準確率都不是很高，經常出現誤檢測的情況。比如，在以下場景中，傳統的檢測方法就會出現錯誤的檢測：

某購物網站，在特定一個時間開始大量的打折活動。訪問量會比平常的情況大上很多，如果還用平常的檢測閾值來做一個基準的攻擊檢測，就出現了誤檢測，將正常的訪問當作攻擊，從而導致該網站的業務都無法正常進行。

從對以往技術的構成和工作說明可以看出，傳統的檢測應用層拒絕服務攻擊，只是利用了服務連接來進行統計，并沒有真正的參與某次連接。

傳統的檢測應用層拒絕服務攻擊的技術，主要包括了檢測HTTP?Proxy?Flood，CC?Proxy?Flood，Connection?Exhausted等攻擊檢測技術。采用的檢測方法分為兩種：第一種是，統計在某個單位時間內，從某個源地址訪問主機的頻率；第二種是，統計目標主機在單位時間內被訪問的頻率。這兩種檢測方法主要包括機器統計、人為修正、流量匹配等三大步驟。

除此之外，還有一種典型的以Web?Server為基礎的檢測機制，為每個客戶端指定一個信任等級。信任等級是由Web?Server花銷在請求處理上的費用決定。信任等級高的客戶端就能獲取單位時間內較高的Web請求，低信任等級的客戶端的單位時間的Web請求量會被限制在一個較低的范圍之類。

該檢測機制的缺點比較的明顯，Dos攻擊請求還是會被Web?Server接收并處理。雖然Dos攻擊請求的數量和速率被限制在一個非常小的范圍之內，不會讓其達到Dos攻擊的目的，但是Web?Sever還是會為這部分Dos攻擊請求花銷一部分資源。

發明內容

本發明解決的技術問題在于，提供一種基于客戶端檢測的應用層拒絕服務防護方法及系統，用于區分合法的WEB請求和非法訪問，僅對于合法的WEB請求進行連接處理，而非法訪問不會被處理。

本發明用于客戶端請求到達WEB服務器之前檢測客戶端是否使用瀏覽器進行訪問，將瀏覽器訪問視為合法訪問，將非瀏覽器訪問視為非法訪問，以避免客戶端使用攻擊程序對WEB服務器的資源進行消耗。

為解決上述問題，本發明公開了一種基于客戶端檢測的應用層拒絕服務防護方法，應用于包括WEB客戶端、防護設備和WEB服務器端的系統中，該方法包括：

步驟一，該防護設備攔截該WEB客戶端發送至該WEB服務器端的一初始連接請求并發送一javascript驗證代碼至該WEB客戶端；

步驟二，該WEB客戶端對該javascript驗證代碼加以運行，如果該WEB客戶端無法成功運行該javascript驗證代碼，則該初始連接請求被丟棄，如果能夠運行成功則該WEB客戶端生成一認證信息，該WEB客戶端發送一再次連接請求至該WEB服務器端，該再次連接請求包括該認證信息；

步驟三，該防護設備攔截該再次連接請求并對該認證信息進行驗證，若驗證通過，則對該再次連接請求予以放行。

該步驟三還包括，該防護設備對驗證未通過的該再次連接請求進行丟棄。

該認證信息為隨機產生。

該認證信息包括在Cookie、HTTP?Referer或HTTP首部的任意字段中。

該步驟二中，該javascript驗證代碼運行成功后，該javascript驗證代碼強制該WEB客戶端發送該再次連接請求。

本發明還公開了一種基于客戶端檢測的應用層拒絕服務防護系統，包括：WEB客戶端、防護設備和WEB服務器端；

其中，該防護設備用于攔截該WEB客戶端發送至該WEB服務器端的一初始連接請求并發送一javascript驗證代碼至該WEB客戶端；