本公開涉及在小程序后臺防止DDoS攻擊的方法、設(shè)備和介質(zhì)。在小程序后臺防止DDoS攻擊的方法包括：接收由用戶經(jīng)由小程序前端發(fā)送的業(yè)務(wù)請求，其包括校驗(yàn)參數(shù)3rd_session；將所述3rd_session與所述小程序后臺的針對所述業(yè)務(wù)請求的業(yè)務(wù)接口標(biāo)識符functionID組合作為關(guān)鍵詞查詢所述小程序后臺維護(hù)的數(shù)據(jù)庫以確定在所述數(shù)據(jù)庫中是否存在匹配；如果確定在所述數(shù)據(jù)庫中存在匹配，則確定所述業(yè)務(wù)請求的接收時間是否在數(shù)據(jù)庫中與所述匹配相關(guān)的有效期內(nèi)；如果確定在所述有效期內(nèi)，則確定所述數(shù)據(jù)庫中與所述匹配相關(guān)聯(lián)的計數(shù)值是否超過預(yù)設(shè)閾值；以及如果確定沒有超過所述預(yù)設(shè)閾值，則將所述計數(shù)值遞增1并完成所述業(yè)務(wù)請求。

技術(shù)領(lǐng)域

本公開總體上涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，更具體地涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及在小程序后臺防止DDoS攻擊的方法、設(shè)備和介質(zhì)。

背景技術(shù)

分布式拒絕服務(wù)攻擊(簡稱DDoS)是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標(biāo)發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機(jī)器并利用這些機(jī)器對受害者同時實(shí)施攻擊。目前，針對 DDos攻擊的防御手段主要是：增加帶寬和進(jìn)行流量清洗。流量清洗技術(shù)主要是從全部的網(wǎng)絡(luò)流量中區(qū)分出正常的流量和惡意的流量，將惡意流量阻斷和丟棄，而只將正常的流量回源給源服務(wù)器。

小程序是一種不需要下載安裝即可使用的應(yīng)用，用戶掃一掃或者搜一下即可打開。小程序也體現(xiàn)了“用完即走”的理念。小程序能夠?qū)崿F(xiàn)消息通知、線下掃碼、公眾號關(guān)聯(lián)等七大功能。例如，在象微信、支付寶之類的APP中已經(jīng)開發(fā)了大量的小程序，諸如滴滴單車、麥當(dāng)勞等等。隨著小程序的爆發(fā)式發(fā)展，小程序相關(guān)技術(shù)也在不斷更新。同時，黑客針對小程序的攻擊行為也在增加。

在現(xiàn)有的應(yīng)用層DDos攻擊防御技術(shù)中，一種是通過分析訪問消息的攻擊特征值，提取攻擊特征來判斷是否為攻擊訪問。例如，現(xiàn)有技術(shù)中存在一種基于多特征熵的應(yīng)用層DDoS攻擊檢測與防御方法。其主要是通過訪問的特征熵進(jìn)行用戶行為分析，從而對異常方法進(jìn)行識別。該方法攻擊特征很難識別，容易出現(xiàn)誤判和漏判。而且需要前期提取大量正常訪問用戶特征進(jìn)行分析，工作量很大。

另一種目前常用的方法是在用戶訪問時校驗(yàn)用戶身份，為其分配身份憑證(例如，cookie)，之后的訪問以該憑證為白名單進(jìn)行校驗(yàn)，從而對非白名單訪問進(jìn)行攔截。例如，現(xiàn)有技術(shù)中存在一種基于多重特征識別的應(yīng)用層DDoS攻擊防御系統(tǒng)。該方法就是通過識別用戶身份后，為其分配cookie，之后的訪問通過cookie白名單進(jìn)行攔截。但用戶在首次訪問時，沒有服務(wù)器分配的身份憑證，很難判斷其真實(shí)性，黑客可以冒充首次訪問進(jìn)行攻擊。例如，現(xiàn)有技術(shù)中還存在一種應(yīng)用層智能抵御DDoS攻擊的方法及系統(tǒng)。該方法提到使用用戶IP和UID 作為白名單進(jìn)行識別，但并沒有說明UID如何獲取。

因此，現(xiàn)有技術(shù)中存在對于能夠基于小程序自身屬性來防止對小程序后臺的應(yīng)用層DDos攻擊的技術(shù)的需求。

發(fā)明內(nèi)容

在下文中給出了關(guān)于本公開的簡要概述，以便提供關(guān)于本公開的一些方面的基本理解。但是，應(yīng)當(dāng)理解，這個概述并不是關(guān)于本公開的窮舉性概述。它并不是意圖用來確定本公開的關(guān)鍵性部分或重要部分，也不是意圖用來限定本公開的范圍。其目的僅僅是以簡化的形式給出關(guān)于本公開的某些概念，以此作為稍后給出的更詳細(xì)描述的前序。

本文公開了一種用于小程序后臺的、通過使用小程序所在app系統(tǒng)生成的3rd_session作為身份憑證進(jìn)行白名單過濾來防止應(yīng)用層 DDos攻擊的方法。3rd_session為app平臺為用戶生成的唯一標(biāo)識，且有失效時間控制，可以準(zhǔn)確識別用戶身份。

相比傳統(tǒng)應(yīng)用層DDos攻擊防御技術(shù)，本發(fā)明使用特征值為app 平臺提供，保證了其有效性。同時，小程序前端每次訪問都可以從app 平臺獲取該值，不需要小程序后臺再對用戶身份進(jìn)行校驗(yàn)，保證了白名單校驗(yàn)的訪問全覆蓋。避免首次范圍無白名單校驗(yàn)，需要后臺驗(yàn)證用戶身份的情況。