技術領域

本發明針對常見且攻擊效果明顯的HTTP服務DDOS攻擊，提出了一種基于URL動態映射的防御方法。?

背景技術

隨著網絡應用迅速發展，攻擊者逐漸將攻擊目標轉向了網絡上的應用或服務，即發起應用層分布式拒絕服務攻擊(APP-DDOS)。由于應用層協議具有多樣性與復雜性，應用層分布式拒絕服務攻擊難以檢測和防御。因此，APP-DDOS攻擊所產生的危害遠大于傳統的DDOS攻擊，當前應用層分布式拒絕服務攻擊中最為常見的是HTTPDDOS攻擊。?

目前多數針對上述APP-DDOS攻擊的防御技術的研究，將重點放在攻擊流到達時的識別和過濾，針對攻擊目標防御的研究(即在攻擊流到達前采取相關措施保護資源，使得攻擊者無法準確定位攻擊目標)較少。?

發明內容

為了克服上述現有技術存在的問題，因此，本發明提出了一種基于URL動態映射的HTTP-DDOS防御方法，利用以動態映射URL地址，使攻擊者無法準確定位攻擊目標，達到阻止攻擊流發生的目的。?

本發明提出的一種基于URL動態映射的HTTPDDOS防御方法，該方法包括以下步驟：?

用戶訪問受保護頁面時，以用戶IP、URL地址作為參數，與一數據庫實時交互，從該數據庫中獲取映射地址；?

將映射地址發送給客戶端；?

客戶端使用上述映射地址，請求動態URL防御服務器重新訪問；?

WEB服務器接收到該請求，解析映射地址，通過實時生成的映射地址進行訪問，映射地址能對應的方獲得資源響應。?

所述映射地址為接收到的用戶IP、URL參數以及本地時間戳的哈希值。?

所述用戶IP采用圖靈測試算法進行實時檢測，通過模塊測試的用戶才可以獲得映射地址。?

以所述各映射地址為主鍵、以所述各用戶IP、URL作為映射字段，構成一映射表以備用戶驗證。?

與現有技術相比，本發明具有以下有益效果：?

1)、通過URL動態映射技術使攻擊者在發起攻擊時無法準確定位攻擊資源，從而確保了正常用戶對應用層資源的有效訪問，提高了應用層HTTP服務的抗攻擊性；?

2)、針對HTTPDDOS攻擊的特點，從隱藏真正資源地址的角度出發，將URL地址進行動態映射，使得不同客戶端請求同一頁面的映射地址均不相同，阻止了攻擊者通過統一的代碼發起攻擊。該方法中映射表的查詢性能優異，且客戶端與WEB服務器端無需針對防御算法做出額外改動，具有一定的實用價值。?

附圖說明

圖1為本發明基于URL動態映射的HTTPDDOS防御方法流程示意圖；?

圖2為本發明基于URL動態映射的HTTPDDOS防御方法方法示意圖。?

具體實施方式

發起HTTP-DDOS攻擊需要一個正確的、符合互聯網標準RFC1738中定義的URL地址；本發明的主要是為了對該URL地址提出一種保護機制，以避免遭受攻擊。?

下面結合附圖對本發明實施例進一步詳細說明。?

如圖2所示，一種基于URL動態映射的HTTPDDOS防御方法，該流程概述如下：?

用戶訪問受保護頁面時，觸發頁面鏈接的JavaScript腳本；腳本以用戶IP、URL地址作為參數，通過AJAX技術與數據庫實時交互，獲取映射地址；；?

以該映射地址為主鍵，用戶IP、URL作為字段存入一張映射表中以備驗證，并把映射地址發送給客戶端；?

客戶端使用上述映射地址，請求URL重新訪問；?

服務器接收到該請求，解析映射地址時，只需查詢表中的記錄即可確定真實的資源地址，每個客戶端只有通過實時生成的映射地址進行訪問才能獲得資源響應。?

本發明提供的基于URL動態映射的HTTPDDOS防御方法使攻擊者無法實時獲取每個傀儡機的映射地址，不能通過統一的攻擊代碼發動DDOS攻擊。而且本發明為了防止程序洪范攻擊防御算法，采用圖靈測試模塊檢測每一個IP是否正常，只有通過模塊測試的用戶才可以獲得映射地址，從而確保了正常用戶對應用層資源的有效訪問，大大提高了應用層HTTP服務的抗攻擊性。?