技術領域

本發明涉及一種計算機網絡安全技術，尤其涉及一種應用層DDoS分布式拒絕服務攻擊防御方法。

背景技術

應用層DDoS攻擊近年來逐漸流行，與傳統的網絡層DDoS類似，應用層DDoS攻擊也是以受害端無法對外提供服務為目的，但二者在實現上又有明顯區別。與網絡層DDoS相比，應用層DDoS攻擊的報文數據與正常通信無異，不具備傳統DDoS攻擊的統計特性，因此網絡層DDoS防御算法無法應對應用層DDoS攻擊。

Kandula等[Srikanth?Kandula，Dina?Katabi，Matthias?Jacob，Arthur?B.Botz-4-sale：surviving?organized?DDoS?attacks?that?mimic?flash?crowds.Proceedings?of?the?2nd?conference?on?Symposium?on?Networked?Systems?Design&Implementation-Volume?2]設計了一種基于“Puzzle”的檢測與防御機制，當懷疑發生DDoS攻擊時，要求用戶回答一些簡單的問題以判斷對方是否為正常用戶，但該方法需要用戶參與，對合法用戶的訪問造成一定干擾。Walfish等[Walfish?M，Vutukurum，Balakrishnan?H，etal.DDos?Defense?by?Offense.Proc.Of?SIGCOMM′06(2006)301-312pages]提出“Speak?out”策略，當DDoS發生時，受害主機要求所有客戶端都增大帶寬，此方法假設攻擊端采用盡力攻擊的方式，已用完了可用帶寬，只有合法用戶才能增大帶寬。該方法局限性明顯，可能會使鏈路帶寬更緊張，以致影響到網絡的其它部分。Ranjan等[Ranjan?S，Swaminathan?R，Uysal?M，et?al.DDos-resilient?scheduling?to?counter?application?layer?attacks?under?imperfect?detection.Proceedings?of?IEEE?INFOCOM，Ba?rcelona，Spain，2006.4]提出控制HTTP請求速率的方法來防御DDoS，主張利用統計方法提取HTTP會話特征并判斷每個會話的異常性，然后通過控制HTTP速率來抵抗DDoS攻擊，但該方法需要得到客戶端的支持，且可能會干擾用戶的正常瀏覽。