本發(fā)明是關(guān)于計(jì)算機(jī)技術(shù)領(lǐng)域,尤其是關(guān)于一種攔截業(yè)務(wù)處理請(qǐng)求的方法和裝置。
背景技術(shù):
DDOS(Distributed Denial of Service,分布式拒絕服務(wù))是網(wǎng)絡(luò)中黑客攻擊服務(wù)器的一種手段,由于其攻擊成本低廉、效果明顯,是各種黑客慣用的攻擊手段,為了防止網(wǎng)絡(luò)中黑客對(duì)服務(wù)器的攻擊,通常會(huì)在終端與服務(wù)器的傳輸線路中設(shè)置DDOS防御系統(tǒng)。
現(xiàn)有技術(shù)中,在DDOS防御系統(tǒng)中一般設(shè)置指紋算法,可以獲取接收到的業(yè)務(wù)處理請(qǐng)求的每個(gè)數(shù)據(jù)包,并獲取每個(gè)數(shù)據(jù)包的負(fù)載(除去包頭的內(nèi)容),然后將每個(gè)數(shù)據(jù)包的負(fù)載進(jìn)行重組,得到業(yè)務(wù)處理請(qǐng)求的內(nèi)容,并進(jìn)行識(shí)別,得到業(yè)務(wù)處理請(qǐng)求的指紋特征(如業(yè)務(wù)處理請(qǐng)求的前三個(gè)字節(jié)、業(yè)務(wù)處理請(qǐng)求的某些特殊字段等),如果該業(yè)務(wù)處理請(qǐng)求的指紋特征與預(yù)存的指紋特征不匹配,則確定該業(yè)務(wù)處理請(qǐng)求是黑客發(fā)送的業(yè)務(wù)處理請(qǐng)求。
在實(shí)現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題:
如果業(yè)務(wù)處理請(qǐng)求中包含加密的數(shù)據(jù)包,DDOS防御系統(tǒng)由于沒有密碼,會(huì)直接對(duì)加密的數(shù)據(jù)進(jìn)行指紋特征的匹配判斷,由于加密后的數(shù)據(jù)和加密前的數(shù)據(jù)不同,所以DDOS防御系統(tǒng)會(huì)識(shí)別出指紋特征與預(yù)存的指紋特征不匹配,進(jìn)而將業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截,這樣有可能會(huì)攔截正常的業(yè)務(wù)處理請(qǐng)求,影響用戶的正常使用。并且當(dāng)黑客使用非法獲得的指紋特征任意構(gòu)造攻擊報(bào)文,或者采用重放攻擊方式(截取業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)包,將數(shù)據(jù)包重組之后重新劃分?jǐn)?shù)據(jù)包,并反復(fù)向服務(wù)器發(fā)送),向服務(wù)器發(fā)送業(yè)務(wù)處理請(qǐng)求時(shí),由于發(fā)送的業(yè)務(wù)處理請(qǐng)求的指紋特征與正常用戶發(fā)送的業(yè)務(wù)處理請(qǐng)求的指紋特征相同,無法對(duì)業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截處理,從而導(dǎo)致服務(wù)性的安全性較差。
技術(shù)實(shí)現(xiàn)要素:
為了克服相關(guān)技術(shù)中存在的問題,本發(fā)明提供了一種攔截業(yè)務(wù)處理請(qǐng)求的方法和裝置。技術(shù)方案如下:
第一方面,提供一種攔截業(yè)務(wù)處理請(qǐng)求的方法,所述方法包括:
接收終端發(fā)送的目標(biāo)業(yè)務(wù)處理請(qǐng)求;
根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息;
獲取所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息;
如果所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與所述目標(biāo)業(yè)務(wù)流特征信息相匹配,則將所述目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器;如果所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與所述目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截所述目標(biāo)業(yè)務(wù)處理請(qǐng)求。
可選的,所述根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息,包括:
如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量滿足預(yù)設(shè)攔截條件,則根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息。
這樣,可以節(jié)約DDOS防御系統(tǒng)的處理資源。
可選的,所述方法還包括:
如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量不滿足預(yù)設(shè)攔截條件,則確定所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中是否存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí);
如果所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中不存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí),則將所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)和所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)應(yīng)的添加到所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,如果所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí),則根據(jù)所述第一業(yè)務(wù)處理對(duì)應(yīng)的業(yè)務(wù)流特征信息,在所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,對(duì)所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息進(jìn)行更新。
這樣,可以獲取到相對(duì)準(zhǔn)確的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系。
可選的,所述數(shù)據(jù)包的特征信息包括數(shù)據(jù)包的協(xié)議類型、數(shù)據(jù)包的長度、數(shù)據(jù)包之間的時(shí)間間隔和數(shù)據(jù)包的數(shù)目中的一種或多種。
可選的,所述業(yè)務(wù)流特征信息包括協(xié)議類型、最大包長、最小包長、數(shù)據(jù)包的數(shù)目、相鄰數(shù)據(jù)包的最小時(shí)間間隔和最大傳輸速率中的一種或多種。
可選的,所述獲取所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),包括:
獲取所述目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的目標(biāo)業(yè)務(wù)標(biāo)識(shí);或者,
根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的業(yè)務(wù)端口標(biāo)識(shí)與目的IP地址,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求的目標(biāo)業(yè)務(wù)標(biāo)識(shí)。
這樣,可以獲取到業(yè)務(wù)處理請(qǐng)求的唯一標(biāo)識(shí)。
可選的,所述根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,包括:
確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,如果預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表中不包括所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息;
所述如果所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與所述目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截所述目標(biāo)業(yè)務(wù)處理請(qǐng)求之后,還包括:
將所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息添加至所述業(yè)務(wù)處理請(qǐng)求的攔截表中;
所述方法還包括:
如果預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表中包括所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則攔截所述目標(biāo)業(yè)務(wù)處理請(qǐng)求。
這樣,可以節(jié)約DDOS防御系統(tǒng)的處理資源。
第二方面,提供一種攔截業(yè)務(wù)處理請(qǐng)求的裝置,所述裝置包括:
接收模塊,用于接收終端發(fā)送的目標(biāo)業(yè)務(wù)處理請(qǐng)求;
第一確定模塊,用于根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息;
第二確定模塊,用于獲取所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息;
發(fā)送模塊,用于如果所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與所述目標(biāo)業(yè)務(wù)流特征信息相匹配,則將所述目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器;
攔截模塊,用于如果所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與所述目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截所述目標(biāo)業(yè)務(wù)處理請(qǐng)求。
可選的,所述第二確定模塊,用于:
如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量滿足預(yù)設(shè)攔截條件,則根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息。
可選的,所述第二確定模塊,還用于:
如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量不滿足預(yù)設(shè)攔截條件,則確定所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中是否存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí);
所述裝置,還包括:
添加模塊,用于如果所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中不存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí),則將所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)和所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)應(yīng)的添加到所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,更新模塊,用于如果所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí),則根據(jù)所述第一業(yè)務(wù)處理對(duì)應(yīng)的業(yè)務(wù)流特征信息,在所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,對(duì)所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息進(jìn)行更新。
可選的,所述數(shù)據(jù)包的特征信息包括數(shù)據(jù)包的協(xié)議類型、數(shù)據(jù)包的長度、數(shù)據(jù)包之間的時(shí)間間隔和數(shù)據(jù)包的數(shù)目中的一種或多種。
可選的,所述業(yè)務(wù)流特征信息包括協(xié)議類型、最大包長、最小包長、數(shù)據(jù)包的數(shù)目、相鄰數(shù)據(jù)包的最小時(shí)間間隔和最大傳輸速率中的一種或多種。
可選的,所述第一確定模塊,用于:
獲取所述目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的目標(biāo)業(yè)務(wù)標(biāo)識(shí);或者,
根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的業(yè)務(wù)端口標(biāo)識(shí)與目的IP地址,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求的目標(biāo)業(yè)務(wù)標(biāo)識(shí)。
可選的,所述第一確定模塊,用于:
確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,如果預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表中不包括所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息;
所述添加模塊,還用于:
將所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息添加至所述業(yè)務(wù)處理請(qǐng)求的攔截表中;
所述攔截模塊,還用于:
如果預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表中包括所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則攔截所述目標(biāo)業(yè)務(wù)處理請(qǐng)求。
本發(fā)明實(shí)施例提供的技術(shù)方案帶來的有益效果是:
本發(fā)明實(shí)施例中,接收終端發(fā)送的目標(biāo)業(yè)務(wù)處理請(qǐng)求,根據(jù)目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,獲取目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息,如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息相匹配,則將目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器,如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求。這樣,DDOS防御系統(tǒng)可以根據(jù)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,攔截該業(yè)務(wù)處理請(qǐng)求,而不需要獲取業(yè)務(wù)處理請(qǐng)求的指紋特征,不會(huì)造成業(yè)務(wù)處理請(qǐng)求發(fā)送的延遲,另外,即使接收到加密的業(yè)務(wù)處理請(qǐng)求,由于不需要對(duì)業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)包進(jìn)行解密,就能得到業(yè)務(wù)流特征信息,從而不會(huì)對(duì)正常的業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截,另外,即使黑客使用非法獲得的指紋特征任意構(gòu)造攻擊報(bào)文,或者采用重放攻擊方式(截取業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)包,將數(shù)據(jù)包重組之后重新劃分?jǐn)?shù)據(jù)包,并反復(fù)向服務(wù)器發(fā)送),由于是根據(jù)業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)流特征信息進(jìn)行攔截,會(huì)將黑客發(fā)送的業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截,從而可以提高服務(wù)器的安全性。
附圖說明
為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1是本發(fā)明實(shí)施例提供的一種攔截業(yè)務(wù)處理請(qǐng)求的方法示意圖;
圖2(a)是本發(fā)明實(shí)施例提供的一種攔截業(yè)務(wù)處理請(qǐng)求的系統(tǒng)示意圖;
圖2(b)是本發(fā)明實(shí)施例提供的一種攔截業(yè)務(wù)處理請(qǐng)求的系統(tǒng)示意圖;
圖2(c)是本發(fā)明實(shí)施例提供的一種攔截業(yè)務(wù)處理請(qǐng)求的系統(tǒng)示意圖;
圖2(d)是本發(fā)明實(shí)施例提供的一種攔截業(yè)務(wù)處理請(qǐng)求的系統(tǒng)示意圖;
圖3是本發(fā)明實(shí)施例提供的攔截業(yè)務(wù)處理請(qǐng)求的裝置的結(jié)構(gòu)示意圖;
圖4是本發(fā)明實(shí)施例提供的攔截業(yè)務(wù)處理請(qǐng)求的裝置的結(jié)構(gòu)示意圖;
圖5是本發(fā)明實(shí)施例提供的服務(wù)器的結(jié)構(gòu)示意圖。
具體實(shí)施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。
本發(fā)明實(shí)施例提供了一種攔截業(yè)務(wù)處理請(qǐng)求的方法,該方法的執(zhí)行主體可以是DDOS防御系統(tǒng)。其中,DDOS防御系統(tǒng)可以由一個(gè)服務(wù)器和一個(gè)交換機(jī)構(gòu)成,也可以由多個(gè)服務(wù)器和一個(gè)交換機(jī)構(gòu)成。服務(wù)器中可以設(shè)置有處理器、存儲(chǔ)器、收發(fā)器等,處理器可以用于攔截業(yè)務(wù)處理請(qǐng)求的過程的處理,存儲(chǔ)器可以用于存儲(chǔ)攔截業(yè)務(wù)處理請(qǐng)求的過程中需要的數(shù)據(jù)以及產(chǎn)生的數(shù)據(jù),收發(fā)器可以用于接收以及發(fā)送數(shù)據(jù)。
如圖1所示,該方法的處理流程可以包括如下的步驟:
步驟101,接收終端發(fā)送的目標(biāo)業(yè)務(wù)處理請(qǐng)求。
其中,目標(biāo)業(yè)務(wù)處理請(qǐng)求是任意的業(yè)務(wù)處理請(qǐng)求,業(yè)務(wù)處理請(qǐng)求可以是終端與業(yè)務(wù)服務(wù)器進(jìn)行交互時(shí)發(fā)送的消息、以及數(shù)據(jù)。
在實(shí)施中,如圖2(a)所示,技術(shù)人員可以將DDOS防御系統(tǒng)設(shè)置在終端與業(yè)務(wù)服務(wù)器的傳輸線路中,DDOS防御系統(tǒng)中可以包括兩個(gè)服務(wù)器和一個(gè)交換機(jī),兩個(gè)服務(wù)器可以是檢測(cè)服務(wù)器和攔截服務(wù)器,DDOS防御系統(tǒng)既可以對(duì)業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系進(jìn)行更新,也可以對(duì)業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截或轉(zhuǎn)發(fā)。用戶在終端中安裝了某個(gè)應(yīng)用程序(如網(wǎng)頁瀏覽器等),然后操作開啟該應(yīng)用程序,如果用戶想要瀏覽該應(yīng)用程序的某個(gè)界面,用戶可以點(diǎn)擊相應(yīng)的選項(xiàng),終端則會(huì)檢測(cè)到該選項(xiàng)的點(diǎn)擊指令,并生成相應(yīng)的目標(biāo)業(yè)務(wù)處理請(qǐng)求,然后向該應(yīng)用程序?qū)?yīng)的業(yè)務(wù)服務(wù)器發(fā)送目標(biāo)業(yè)務(wù)處理請(qǐng)求,傳輸線路中的交換機(jī)接收到目標(biāo)業(yè)務(wù)處理請(qǐng)求后,將目標(biāo)業(yè)務(wù)處理請(qǐng)求轉(zhuǎn)發(fā)至攔截服務(wù)器,攔截服務(wù)器將會(huì)接收到終端發(fā)送的目標(biāo)業(yè)務(wù)處理請(qǐng)求。
步驟102,根據(jù)目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息。
在實(shí)施中,目標(biāo)業(yè)務(wù)處理請(qǐng)求一般包括多個(gè)數(shù)據(jù)包,攔截服務(wù)器可以確定目標(biāo)業(yè)務(wù)處理請(qǐng)求中包括的數(shù)據(jù)包的特征信息,如數(shù)據(jù)包的協(xié)議類型(如UDP協(xié)議(User Datagram Protocol,用戶數(shù)據(jù)包協(xié)議)等)、數(shù)據(jù)包的長度等,然后根據(jù)目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,如相鄰數(shù)據(jù)包的最小時(shí)間間隔、最大包長等。
可選的,數(shù)據(jù)包的特征信息包括數(shù)據(jù)包的協(xié)議類型、數(shù)據(jù)包的長度、數(shù)據(jù)包之間的時(shí)間間隔和數(shù)據(jù)包的數(shù)目中的一種或多種。
在實(shí)施中,數(shù)據(jù)包的特征信息可以包括數(shù)據(jù)包的協(xié)議類型、數(shù)據(jù)包的長度、數(shù)據(jù)包之間的時(shí)間間隔和數(shù)據(jù)包的數(shù)目中的一種或多種。數(shù)據(jù)包的協(xié)議類型可以是UDP協(xié)議或者TCP協(xié)議,可以根據(jù)報(bào)文的格式得到,數(shù)據(jù)包的長度可以是目標(biāo)業(yè)務(wù)處理請(qǐng)求中包括的每個(gè)數(shù)據(jù)包的有效負(fù)載的長度,數(shù)據(jù)包之間的時(shí)間間隔是接收到任意兩個(gè)數(shù)據(jù)包的時(shí)間差,數(shù)據(jù)包的數(shù)目是第一業(yè)務(wù)處理模塊包括的數(shù)據(jù)包的數(shù)目。
可選的,業(yè)務(wù)流特征信息包括協(xié)議類型、最大包長、最小包長、數(shù)據(jù)包的數(shù)目、相鄰數(shù)據(jù)包的最小時(shí)間間隔和最大傳輸速率中的一種或多種。
在實(shí)施中,業(yè)務(wù)流特征信息可以包括協(xié)議類型、最大包長、最小包長、數(shù)據(jù)包的數(shù)目、相鄰數(shù)據(jù)包的最小時(shí)間間隔和最大傳輸速率中的一種或多種。最大包長為包含有效負(fù)載最多的數(shù)據(jù)包的長度,最小包長為包含有有效負(fù)載最少的數(shù)據(jù)包的長度,數(shù)據(jù)包的數(shù)目為一個(gè)業(yè)務(wù)處理請(qǐng)求中包含的數(shù)據(jù)包的數(shù)目,相鄰數(shù)據(jù)包的最小時(shí)間間隔為服務(wù)器連續(xù)接收到終端發(fā)送的兩個(gè)數(shù)據(jù)包之間的最小時(shí)間間隔,最大傳輸速率為單位時(shí)長內(nèi)傳輸速率的最大值。
另外,業(yè)務(wù)流特征信息還包括最大傳輸字節(jié),最大傳輸字節(jié)是業(yè)務(wù)處理請(qǐng)求包括的所有數(shù)據(jù)包中的有效負(fù)載長度的總和。對(duì)于UDP協(xié)議類型的數(shù)據(jù)包,每個(gè)數(shù)據(jù)包中都包含有效負(fù)載報(bào)文,在確定最大傳輸字節(jié)時(shí),可以直接將業(yè)務(wù)處理請(qǐng)求包括的所有數(shù)據(jù)包中的有效負(fù)載長度進(jìn)行相加得到。對(duì)于TCP協(xié)議類型的數(shù)據(jù)包,在確定最大傳輸字節(jié)時(shí),由于TCP類型的數(shù)據(jù)包有重傳的機(jī)制,不能將所有數(shù)據(jù)包的有效負(fù)載長度的總和作為最大傳輸字節(jié),而是將FIN(Finish,完成)數(shù)據(jù)包的SEQ(sequence,序列號(hào))值減去SYN(synchronism,同步)數(shù)據(jù)包的SEQ值,得到最大傳輸字節(jié)。對(duì)于TCP協(xié)議的數(shù)據(jù)包,由于TCP協(xié)議的數(shù)據(jù)包由多個(gè)報(bào)文組成,TCP協(xié)議的數(shù)據(jù)包的包長有可能檢測(cè)幾個(gè)連續(xù)的報(bào)文才能得到。對(duì)于TCP協(xié)議的數(shù)據(jù)包的最小時(shí)間間隔包括一組TCP數(shù)據(jù)包中相鄰報(bào)文之間的最小時(shí)間間隔,和相鄰兩個(gè)TCP數(shù)據(jù)包之間的最小時(shí)間間隔。
可選的,攔截服務(wù)器中還存儲(chǔ)有業(yè)務(wù)處理請(qǐng)求的攔截表,還可以根據(jù)業(yè)務(wù)處理請(qǐng)求的攔截表對(duì)目標(biāo)業(yè)務(wù)處理請(qǐng)求進(jìn)行處理,步驟102的處理可以如下:
確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,如果預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表中不包括目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則根據(jù)目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息;
如果預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表中包括目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求。
其中,流描述信息包括源IP地址、目的IP地址、協(xié)議類型、源業(yè)務(wù)端口標(biāo)識(shí)和目的業(yè)務(wù)端口標(biāo)識(shí),也可以稱為五元組信息,源IP地址為業(yè)務(wù)處理請(qǐng)求的發(fā)送終端的IP地址,目的IP地址為業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)服務(wù)器的IP地址,協(xié)議類型為UDP協(xié)議、TCP協(xié)議,源業(yè)務(wù)端口標(biāo)識(shí)與目的業(yè)務(wù)端口標(biāo)識(shí)為業(yè)務(wù)處理請(qǐng)求中攜帶的源端口標(biāo)識(shí)與目的端口標(biāo)識(shí)(如數(shù)據(jù)包中攜帶的源端口標(biāo)識(shí)與目的端口標(biāo)識(shí)等)。業(yè)務(wù)處理請(qǐng)求的攔截表可以由技術(shù)人員預(yù)設(shè),并且存儲(chǔ)至攔截服務(wù)器中,業(yè)務(wù)處理請(qǐng)求的攔截表中包括需要被攔截的業(yè)務(wù)處理請(qǐng)求的流描述信息。
在實(shí)施中,攔截服務(wù)器接收到目標(biāo)業(yè)務(wù)處理請(qǐng)求后,攔截服務(wù)器可以解析目標(biāo)業(yè)務(wù)處理請(qǐng)求,從中解析得到目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,然后獲取預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表,確定預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表是否包括目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,如果業(yè)務(wù)處理請(qǐng)求的攔截表中不包括目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則服務(wù)器可以根據(jù)目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息(確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息前面已經(jīng)描述,此處不再贅述)。如果業(yè)務(wù)處理請(qǐng)求的攔截表中包括目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則攔截服務(wù)器可以直接攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求,這樣,可以根據(jù)接收到的業(yè)務(wù)處理請(qǐng)求的第一個(gè)數(shù)據(jù)包,獲取到該業(yè)務(wù)處理請(qǐng)求的流描述信息,進(jìn)而確定該業(yè)務(wù)處理請(qǐng)求是否需要攔截,而無需根據(jù)目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,從而可以節(jié)約攔截服務(wù)器的處理資源。
步驟103,獲取目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息。
其中,業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系可以由技術(shù)人員預(yù)設(shè),并且存儲(chǔ)至服務(wù)器中,技術(shù)人員可以根據(jù)歷史記錄的每個(gè)業(yè)務(wù)處理請(qǐng)求,確定對(duì)應(yīng)的業(yè)務(wù)流特征信息,然后將業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)標(biāo)識(shí)與對(duì)應(yīng)的業(yè)務(wù)流特征信息添加到業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,或者預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系可以接收自檢測(cè)服務(wù)器。
在實(shí)施中,攔截服務(wù)器可以獲取目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)目標(biāo)業(yè)務(wù)標(biāo)識(shí),每一種業(yè)務(wù)處理請(qǐng)求都對(duì)應(yīng)唯一的業(yè)務(wù)標(biāo)識(shí),攔截服務(wù)器獲取到目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí)后,攔截服務(wù)器可以獲取預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,然后從該對(duì)應(yīng)關(guān)系中,查找目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息。
可選的,獲取目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí)有多種,以下給出兩種可選的方式:
方式一:獲取目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的目標(biāo)業(yè)務(wù)標(biāo)識(shí)。
在實(shí)施中,業(yè)務(wù)處理請(qǐng)求中可以攜帶業(yè)務(wù)標(biāo)識(shí),攔截服務(wù)器可以解析接收到的目標(biāo)業(yè)務(wù)處理請(qǐng)求,然后從中解析得到目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí)。
方式二:根據(jù)目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的業(yè)務(wù)端口標(biāo)識(shí)與目的IP地址,確定目標(biāo)業(yè)務(wù)處理請(qǐng)求的目標(biāo)業(yè)務(wù)標(biāo)識(shí)。
在實(shí)施中,業(yè)務(wù)處理請(qǐng)求中攜帶有業(yè)務(wù)端口標(biāo)識(shí)、以及目的IP地址,對(duì)于某一個(gè)確定的應(yīng)用程序,每一種業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)唯一的業(yè)務(wù)端口標(biāo)識(shí),目的IP地址為應(yīng)用程序?qū)?yīng)的后臺(tái)業(yè)務(wù)服務(wù)器的IP地址。攔截服務(wù)器接收到目標(biāo)業(yè)務(wù)處理請(qǐng)求后,攔截服務(wù)器可以解析目標(biāo)業(yè)務(wù)處理請(qǐng)求,從中獲取到業(yè)務(wù)端口標(biāo)識(shí)與目的IP地址,然后可以將業(yè)務(wù)端口標(biāo)識(shí)與目的IP地址作為目標(biāo)業(yè)務(wù)處理請(qǐng)求的目標(biāo)業(yè)務(wù)端口標(biāo)識(shí),例如,目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的業(yè)務(wù)端口標(biāo)識(shí)與目的IP地址分別為80與203.201.19,則目標(biāo)業(yè)務(wù)處理請(qǐng)求的目標(biāo)業(yè)務(wù)標(biāo)識(shí)可以是“80+203.201.19”。
可選的,可以在業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量滿足預(yù)設(shè)攔截條件時(shí),確定目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息,相應(yīng)的步驟103的處理可以如下:
如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量滿足預(yù)設(shè)攔截條件,則根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息。
在實(shí)施中,預(yù)設(shè)攔截條件可以由技術(shù)人員預(yù)設(shè),并且存儲(chǔ)至攔截服務(wù)器中,預(yù)設(shè)攔截條件可以是單位時(shí)長內(nèi)接收的數(shù)據(jù)流量的閾值、單位時(shí)長內(nèi)新增終端的數(shù)目等,攔截服務(wù)器可以檢測(cè)單位時(shí)長內(nèi)接收的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量,如果確定單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量滿足預(yù)設(shè)攔截條件,則攔截服務(wù)器可以獲取預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,然后從該對(duì)應(yīng)關(guān)系中,查找目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息。
步驟104,如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息相匹配,則將目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器;如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求。
在實(shí)施中,攔截服務(wù)器獲取到目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息后,可以將目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息進(jìn)行對(duì)比,如果確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息相匹配(如目標(biāo)業(yè)務(wù)處理請(qǐng)求每個(gè)數(shù)據(jù)包的包長不能超過目標(biāo)業(yè)務(wù)流特征信息的最大包長、目標(biāo)業(yè)務(wù)處理請(qǐng)求任意兩個(gè)連續(xù)數(shù)據(jù)包的時(shí)間間隔不能低于目標(biāo)業(yè)務(wù)流特征信息的最小時(shí)間間隔等),則攔截服務(wù)器可以確定目標(biāo)業(yè)務(wù)處理請(qǐng)求為正常的業(yè)務(wù)處理請(qǐng)求,然后可以將目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送至將第一業(yè)務(wù)請(qǐng)求發(fā)送來的交換機(jī),交換機(jī)可以將目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器,如果確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息不匹配(如目標(biāo)業(yè)務(wù)處理請(qǐng)求每個(gè)數(shù)據(jù)包的長度超過目標(biāo)業(yè)務(wù)流特征信息的最大包長、或者目標(biāo)業(yè)務(wù)處理請(qǐng)求任意兩個(gè)連續(xù)數(shù)據(jù)包的時(shí)間間隔低于目標(biāo)業(yè)務(wù)流特征信息的最小時(shí)間間隔等),則攔截服務(wù)器可以確定目標(biāo)業(yè)務(wù)處理請(qǐng)求為黑客發(fā)送的業(yè)務(wù)處理請(qǐng)求,并攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求。例如,如果目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息為最大包長145字節(jié)、最小傳輸時(shí)間間隔0.12秒、最大包個(gè)數(shù)3個(gè)等,目標(biāo)業(yè)務(wù)處理請(qǐng)求中某個(gè)數(shù)據(jù)包的包長143字節(jié)、任意兩個(gè)連續(xù)數(shù)據(jù)包的傳輸時(shí)間間隔0.15秒、最大包個(gè)數(shù)3個(gè)等,攔截服務(wù)器認(rèn)為目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息相匹配,攔截服務(wù)器可以將目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送至將第一業(yè)務(wù)請(qǐng)求發(fā)送來的交換機(jī),交換機(jī)可以將目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器,如果目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息為最大包長145字節(jié)、最小傳輸時(shí)間間隔0.12秒、最大包個(gè)數(shù)3個(gè)等,目標(biāo)業(yè)務(wù)處理請(qǐng)求的某個(gè)數(shù)據(jù)包的包長147字節(jié)、任意兩個(gè)數(shù)據(jù)包的傳輸時(shí)間間隔0.12秒、最大包個(gè)數(shù)3個(gè)等,攔截服務(wù)器認(rèn)為目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息不匹配,攔截服務(wù)器可以攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求。
可選的,在步驟102中有業(yè)務(wù)處理請(qǐng)求的攔截表時(shí),如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求之后,將目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息添加至業(yè)務(wù)處理請(qǐng)求的攔截表中。
在實(shí)施中,攔截服務(wù)器如果確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息不匹配,則可以在攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求后,將目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息添加至業(yè)務(wù)處理請(qǐng)求的攔截表中,這樣,后續(xù)再接收到與目標(biāo)業(yè)務(wù)處理請(qǐng)求的流描述信息相同的業(yè)務(wù)處理請(qǐng)求,可以直接攔截該業(yè)務(wù)處理請(qǐng)求。
本發(fā)明實(shí)施例中,如果DDOS防御系統(tǒng)中攔截服務(wù)器的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系是接收自檢測(cè)服務(wù)器,檢測(cè)服務(wù)器可以自己學(xué)習(xí)業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)流特征信息,相應(yīng)的處理可以如下:
如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量不滿足預(yù)設(shè)攔截條件,則確定業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中是否存在目標(biāo)業(yè)務(wù)標(biāo)識(shí),
如果業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中不存在目標(biāo)業(yè)務(wù)標(biāo)識(shí),則將目標(biāo)業(yè)務(wù)標(biāo)識(shí)和目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)應(yīng)的添加到業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,如果業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中存在目標(biāo)業(yè)務(wù)標(biāo)識(shí),則根據(jù)第一業(yè)務(wù)處理對(duì)應(yīng)的業(yè)務(wù)流特征信息,在業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,對(duì)目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息進(jìn)行更新。
在實(shí)施中,預(yù)設(shè)攔截條件可以由技術(shù)人員預(yù)設(shè),并且存儲(chǔ)至檢測(cè)服務(wù)器中,預(yù)設(shè)攔截條件可以是單位時(shí)長內(nèi)接收的數(shù)據(jù)流量的閾值、單位時(shí)長內(nèi)新增終端的數(shù)目等。如圖2(b)所示,終端將目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送至傳輸線路的交換機(jī),該交換機(jī)不向攔截服務(wù)器發(fā)送目標(biāo)業(yè)務(wù)處理請(qǐng)求,而是將目標(biāo)業(yè)務(wù)處理請(qǐng)求復(fù)制一份,并將一份目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器,另一份發(fā)送至檢測(cè)服務(wù)器,檢測(cè)服務(wù)器可以檢測(cè)單位時(shí)長內(nèi)接收的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量,如果確定單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量不滿足預(yù)設(shè)攔截條件,則檢測(cè)服務(wù)器可以從業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中查找是否存在目標(biāo)業(yè)務(wù)標(biāo)識(shí)。如果業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中不存在目標(biāo)業(yè)務(wù)標(biāo)識(shí),則檢測(cè)服務(wù)器認(rèn)為并未學(xué)習(xí)過目標(biāo)業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)流特征信息,可以直接將目標(biāo)業(yè)務(wù)標(biāo)識(shí)和目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)應(yīng)的添加到業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,并且進(jìn)行保存。如果業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中存在目標(biāo)業(yè)務(wù)標(biāo)識(shí),則檢測(cè)服務(wù)器認(rèn)為已經(jīng)學(xué)習(xí)過目標(biāo)業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)流特征信息,則可以在業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,對(duì)目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息進(jìn)行更新。例如,業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中的目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息為最大包長145字節(jié)、最小時(shí)間間隔0.12秒、最大包個(gè)數(shù)3個(gè)等,這次目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息為最大包長147字節(jié)、最小時(shí)間間隔0.10秒、最大包個(gè)數(shù)3個(gè),則可以將業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中的目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息更新為最大包長147字節(jié)、最小時(shí)間間隔0.10秒、最大包個(gè)數(shù)3個(gè)。
如圖2(c)所示,檢測(cè)服務(wù)器可以檢測(cè)單位時(shí)長內(nèi)接收的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量,如果確定單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量滿足預(yù)設(shè)攔截條件,則檢測(cè)服務(wù)器可以向連接的交換機(jī)發(fā)送滿足預(yù)設(shè)攔截條件消息,滿足預(yù)設(shè)攔截條件消息中包括業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系和攔截請(qǐng)求,連接的交換機(jī)接收到滿足預(yù)設(shè)攔截條件消息后,可以將業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系發(fā)送至攔截服務(wù)器。如圖2(d)所示,連接的交換機(jī)可以將后續(xù)接收到的業(yè)務(wù)處理請(qǐng)求發(fā)送至攔截服務(wù)器,攔截服務(wù)器可以從接收到的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,查找業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)接收到的業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截處理。
本發(fā)明實(shí)施例中,還提供了限定檢測(cè)服務(wù)器自己學(xué)習(xí)業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)流特征信息的次數(shù),相應(yīng)的處理可以如下:
如果根據(jù)與目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系進(jìn)行更新的次數(shù)達(dá)到預(yù)設(shè)閾值,則之后接收到與目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)處理請(qǐng)求時(shí),不再對(duì)業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系進(jìn)行更新。
在實(shí)施中,預(yù)設(shè)閾值可以由技術(shù)人員預(yù)設(shè),并且存儲(chǔ)至檢測(cè)服務(wù)器中,如1000次等。檢測(cè)服務(wù)器每次根據(jù)與目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系進(jìn)行更新后,可以記錄上述進(jìn)行更新的次數(shù),如果上述進(jìn)行更新的次數(shù)達(dá)到預(yù)設(shè)閾值,則認(rèn)為對(duì)目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)特征信息已經(jīng)學(xué)習(xí)成功,不需要根據(jù)接收到的目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系進(jìn)行更新。
另外,檢測(cè)服務(wù)器每次根據(jù)與目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系進(jìn)行更新后,可以記錄上述進(jìn)行更新的次數(shù),如果上述進(jìn)行更新的次數(shù)達(dá)到預(yù)設(shè)閾值,且連續(xù)兩次接收的目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息中各特征量的變化量已經(jīng)小于對(duì)應(yīng)的變化閾值,則認(rèn)為對(duì)目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)特征信息已經(jīng)學(xué)習(xí)成功,不需要不需要根據(jù)接收到的目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系進(jìn)行更新。例如,預(yù)設(shè)閾值為1000次,最大包長的變化閾值為0.2,最小時(shí)間間隔的變化閾值為0.1,最大包個(gè)數(shù)的變化閾值為1個(gè),進(jìn)行更新的次數(shù)達(dá)到1000次,第999次學(xué)習(xí)到的目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息為最大包長145字節(jié)、最小時(shí)間間隔0.12秒、最大包個(gè)數(shù)3個(gè)等,第1000次學(xué)習(xí)到的目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息為最大包長145.1字節(jié)、最小時(shí)間間隔0.121秒、最大包個(gè)數(shù)3個(gè)等,可見兩次最大包長的變化量、最小時(shí)間間隔的變化量和最大包個(gè)數(shù)的變化量都分別小于對(duì)應(yīng)的變化閾值,檢測(cè)服務(wù)器不需要根據(jù)接收到的目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系進(jìn)行更新。
另外,DDOS防御系統(tǒng)由一個(gè)服務(wù)器構(gòu)成時(shí),終端將業(yè)務(wù)處理請(qǐng)求發(fā)送至傳輸線路的交換機(jī),該交換機(jī)可以將業(yè)務(wù)處理請(qǐng)求復(fù)制一份,并將一份業(yè)務(wù)處理請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器,另一份發(fā)送至服務(wù)器,如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量不滿足預(yù)設(shè)攔截條件,服務(wù)器可以學(xué)習(xí)業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)流特征信息,并且根據(jù)確定的業(yè)務(wù)流特征信息,對(duì)業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系進(jìn)行更新,如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量滿足預(yù)設(shè)攔截條件,服務(wù)器向連接的交換機(jī)發(fā)送滿足攔截條件消息,交換機(jī)接收到滿足攔截條件消息后,可以將接收自終端的業(yè)務(wù)處理請(qǐng)求發(fā)送至服務(wù)器,服服務(wù)器不再學(xué)習(xí)業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)流特征信息,而是對(duì)業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截處理,攔截處理過程與攔截服務(wù)器對(duì)業(yè)務(wù)處理請(qǐng)求處理的過程相同(此處不再贅述)。
本發(fā)明實(shí)施例中,接收終端發(fā)送的目標(biāo)業(yè)務(wù)處理請(qǐng)求,根據(jù)目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,獲取目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息,如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息相匹配,則將目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器,如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求。這樣,DDOS防御系統(tǒng)可以根據(jù)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,攔截該業(yè)務(wù)處理請(qǐng)求,而不需要獲取業(yè)務(wù)處理請(qǐng)求的指紋特征,不會(huì)造成業(yè)務(wù)處理請(qǐng)求發(fā)送的延遲,另外,即使接收到加密的業(yè)務(wù)處理請(qǐng)求,由于不需要對(duì)業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)包進(jìn)行解密,就能得到業(yè)務(wù)流特征信息,從而不會(huì)對(duì)正常的業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截,另外,即使黑客使用非法獲得的指紋特征任意構(gòu)造攻擊報(bào)文,或者采用重放攻擊方式(截取業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)包,將數(shù)據(jù)包重組之后重新劃分?jǐn)?shù)據(jù)包,并反復(fù)向服務(wù)器發(fā)送),由于是根據(jù)業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)流特征信息進(jìn)行攔截,會(huì)將黑客發(fā)送的業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截,從而可以提高服務(wù)器的安全性。
基于相同的技術(shù)構(gòu)思,如圖3所示,本發(fā)明實(shí)施例還提供了一種攔截業(yè)務(wù)處理請(qǐng)求的裝置,該裝置包括:
接收模塊310,用于接收終端發(fā)送的目標(biāo)業(yè)務(wù)處理請(qǐng)求;
第一確定模塊320,用于根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息;
第二確定模塊330,用于獲取所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息;
發(fā)送模塊340,用于如果所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與所述目標(biāo)業(yè)務(wù)流特征信息相匹配,則將所述目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器;
攔截模塊350,用于如果所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與所述目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截所述目標(biāo)業(yè)務(wù)處理請(qǐng)求。
可選的,所述第二確定模塊330,用于:
如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量滿足預(yù)設(shè)攔截條件,則根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息。
可選的,所述第二確定模塊330,還用于:
如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量不滿足預(yù)設(shè)攔截條件,則確定所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中是否存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí);
如圖4所示,所述裝置,還包括:
添加模塊360,用于如果所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中不存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí),則將所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)和所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)應(yīng)的添加到所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,更新模塊,用于如果所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí),則根據(jù)所述第一業(yè)務(wù)處理對(duì)應(yīng)的業(yè)務(wù)流特征信息,在所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,對(duì)所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息進(jìn)行更新。
可選的,所述數(shù)據(jù)包的特征信息包括數(shù)據(jù)包的協(xié)議類型、數(shù)據(jù)包的長度、數(shù)據(jù)包之間的時(shí)間間隔和數(shù)據(jù)包的數(shù)目中的一種或多種。
可選的,所述業(yè)務(wù)流特征信息包括協(xié)議類型、最大包長、最小包長、數(shù)據(jù)包的數(shù)目、相鄰數(shù)據(jù)包的最小時(shí)間間隔和最大傳輸速率中的一種或多種。
可選的,所述第一確定模塊320,用于:
獲取所述目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的目標(biāo)業(yè)務(wù)標(biāo)識(shí);或者,
根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的業(yè)務(wù)端口標(biāo)識(shí)與目的IP地址,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求的目標(biāo)業(yè)務(wù)標(biāo)識(shí)。
可選的,所述第一確定模塊320,用于:
確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,如果預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表中不包括所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息;
所述添加模塊360,還用于:
將所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息添加至所述業(yè)務(wù)處理請(qǐng)求的攔截表中;
所述攔截模塊350,還用于:
如果預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表中包括所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則攔截所述目標(biāo)業(yè)務(wù)處理請(qǐng)求。
本發(fā)明實(shí)施例中,接收終端發(fā)送的目標(biāo)業(yè)務(wù)處理請(qǐng)求,根據(jù)目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,獲取目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息,如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息相匹配,則將目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器,如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求。這樣,DDOS防御系統(tǒng)可以根據(jù)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,攔截該業(yè)務(wù)處理請(qǐng)求,而不需要獲取業(yè)務(wù)處理請(qǐng)求的指紋特征,不會(huì)造成業(yè)務(wù)處理請(qǐng)求發(fā)送的延遲,另外,即使接收到加密的業(yè)務(wù)處理請(qǐng)求,由于不需要對(duì)業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)包進(jìn)行解密,就能得到業(yè)務(wù)流特征信息,從而不會(huì)對(duì)正常的業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截,另外,即使黑客使用非法獲得的指紋特征任意構(gòu)造攻擊報(bào)文,或者采用重放攻擊方式(截取業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)包,將數(shù)據(jù)包重組之后重新劃分?jǐn)?shù)據(jù)包,并反復(fù)向服務(wù)器發(fā)送),由于是根據(jù)業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)流特征信息進(jìn)行攔截,會(huì)將黑客發(fā)送的業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截,從而可以提高服務(wù)器的安全性。
需要說明的是:上述實(shí)施例提供的攔截業(yè)務(wù)處理請(qǐng)求的方法在攔截業(yè)務(wù)處理請(qǐng)求時(shí),僅以上述各功能模塊的劃分進(jìn)行舉例說明,實(shí)際應(yīng)用中,可以根據(jù)需要而將上述功能分配由不同的設(shè)備完成,即將裝置的內(nèi)部結(jié)構(gòu)劃分成不同的設(shè)備,以完成以上描述的全部或者部分功能。另外,上述實(shí)施例提供的攔截業(yè)務(wù)處理請(qǐng)求的裝置與攔截業(yè)務(wù)處理請(qǐng)求的方法實(shí)施例屬于同一構(gòu)思,其具體實(shí)現(xiàn)過程詳見方法實(shí)施例,這里不再贅述。
圖5是本發(fā)明實(shí)施例提供的服務(wù)器的結(jié)構(gòu)示意圖。該服務(wù)器500可因配置或性能不同而產(chǎn)生比較大的差異,可以包括一個(gè)或一個(gè)以上中央處理器(central processing units,CPU)922(例如,一個(gè)或一個(gè)以上處理器)和存儲(chǔ)器932,一個(gè)或一個(gè)以上存儲(chǔ)應(yīng)用程序942或數(shù)據(jù)944的存儲(chǔ)介質(zhì)930(例如一個(gè)或一個(gè)以上海量存儲(chǔ)設(shè)備)。其中,存儲(chǔ)器932和存儲(chǔ)介質(zhì)930可以是短暫存儲(chǔ)或持久存儲(chǔ)。存儲(chǔ)在存儲(chǔ)介質(zhì)930的程序可以包括一個(gè)或一個(gè)以上模塊(圖示沒標(biāo)出),每個(gè)模塊可以包括對(duì)服務(wù)器中的一系列指令操作。更進(jìn)一步地,中央處理器922可以設(shè)置為與存儲(chǔ)介質(zhì)930通信,在服務(wù)器500上執(zhí)行存儲(chǔ)介質(zhì)930中的一系列指令操作。
服務(wù)器500還可以包括一個(gè)或一個(gè)以上電源926,一個(gè)或一個(gè)以上有線或無線網(wǎng)絡(luò)接口950,一個(gè)或一個(gè)以上輸入輸出接口958,一個(gè)或一個(gè)以上鍵盤856,和/或,一個(gè)或一個(gè)以上操作系統(tǒng)841,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,F(xiàn)reeBSDTM等等。
服務(wù)器500可以包括有存儲(chǔ)器,以及一個(gè)或者一個(gè)以上的程序,其中一個(gè)或者一個(gè)以上程序存儲(chǔ)于存儲(chǔ)器中,且經(jīng)配置以由一個(gè)或者一個(gè)以上處理器執(zhí)行所述一個(gè)或者一個(gè)以上程序包含用于進(jìn)行以下操作的指令:
接收終端發(fā)送的目標(biāo)業(yè)務(wù)處理請(qǐng)求;
根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息;
獲取所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息;
如果所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與所述目標(biāo)業(yè)務(wù)流特征信息相匹配,則將所述目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器;如果所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與所述目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截所述目標(biāo)業(yè)務(wù)處理請(qǐng)求。
可選的,所述根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息,包括:
如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量滿足預(yù)設(shè)攔截條件,則根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息。
可選的,所述方法還包括:
如果單位時(shí)長內(nèi)接收到的業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)流量不滿足預(yù)設(shè)攔截條件,則確定所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中是否存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí);
如果所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中不存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí),則將所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)和所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,對(duì)應(yīng)的添加到所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,如果所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中存在所述目標(biāo)業(yè)務(wù)標(biāo)識(shí),則根據(jù)所述第一業(yè)務(wù)處理對(duì)應(yīng)的業(yè)務(wù)流特征信息,在所述業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系中,對(duì)所述目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)流特征信息進(jìn)行更新。
可選的,所述數(shù)據(jù)包的特征信息包括數(shù)據(jù)包的協(xié)議類型、數(shù)據(jù)包的長度、數(shù)據(jù)包之間的時(shí)間間隔和數(shù)據(jù)包的數(shù)目中的一種或多種。
可選的,所述業(yè)務(wù)流特征信息包括協(xié)議類型、最大包長、最小包長、數(shù)據(jù)包的數(shù)目、相鄰數(shù)據(jù)包的最小時(shí)間間隔和最大傳輸速率中的一種或多種。
可選的,所述獲取所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),包括:
獲取所述目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的目標(biāo)業(yè)務(wù)標(biāo)識(shí);或者,
根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求中攜帶的業(yè)務(wù)端口標(biāo)識(shí)與目的IP地址,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求的目標(biāo)業(yè)務(wù)標(biāo)識(shí)。
可選的,所述根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,包括:
確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,如果預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表中不包括所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則根據(jù)所述目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息;
所述如果所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與所述目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截所述目標(biāo)業(yè)務(wù)處理請(qǐng)求之后,還包括:
將所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息添加至所述業(yè)務(wù)處理請(qǐng)求的攔截表中;
所述方法還包括:
如果預(yù)先存儲(chǔ)的業(yè)務(wù)處理請(qǐng)求的攔截表中包括所述目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的流描述信息,則攔截所述目標(biāo)業(yè)務(wù)處理請(qǐng)求。
本發(fā)明實(shí)施例中,接收終端發(fā)送的目標(biāo)業(yè)務(wù)處理請(qǐng)求,根據(jù)目標(biāo)業(yè)務(wù)處理請(qǐng)求包括的數(shù)據(jù)包的特征信息,確定目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,獲取目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的目標(biāo)業(yè)務(wù)標(biāo)識(shí),根據(jù)預(yù)先存儲(chǔ)的業(yè)務(wù)標(biāo)識(shí)與業(yè)務(wù)流特征信息的對(duì)應(yīng)關(guān)系,確定目標(biāo)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)業(yè)務(wù)流特征信息,如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息相匹配,則將目標(biāo)業(yè)務(wù)處理請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器,如果目標(biāo)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息與目標(biāo)業(yè)務(wù)流特征信息不匹配,則攔截目標(biāo)業(yè)務(wù)處理請(qǐng)求。這樣,DDOS防御系統(tǒng)可以根據(jù)業(yè)務(wù)處理請(qǐng)求對(duì)應(yīng)的業(yè)務(wù)流特征信息,攔截該業(yè)務(wù)處理請(qǐng)求,而不需要獲取業(yè)務(wù)處理請(qǐng)求的指紋特征,不會(huì)造成業(yè)務(wù)處理請(qǐng)求發(fā)送的延遲,另外,即使接收到加密的業(yè)務(wù)處理請(qǐng)求,由于不需要對(duì)業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)包進(jìn)行解密,就能得到業(yè)務(wù)流特征信息,從而不會(huì)對(duì)正常的業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截,另外,即使黑客使用非法獲得的指紋特征任意構(gòu)造攻擊報(bào)文,或者采用重放攻擊方式(截取業(yè)務(wù)處理請(qǐng)求的數(shù)據(jù)包,將數(shù)據(jù)包重組之后重新劃分?jǐn)?shù)據(jù)包,并反復(fù)向服務(wù)器發(fā)送),由于是根據(jù)業(yè)務(wù)處理請(qǐng)求的業(yè)務(wù)流特征信息進(jìn)行攔截,會(huì)將黑客發(fā)送的業(yè)務(wù)處理請(qǐng)求進(jìn)行攔截,從而可以提高服務(wù)器的安全性。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟可以通過硬件來完成,也可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器,磁盤或光盤等。
以上僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。