(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210954585.5 (22)申请日 2022.08.10 (71)申请人 广西电网有限责任公司电力科 学研 究院 地址 530023 广西壮 族自治区南宁市民主 路6-2号 (72)发明人 凌颖　杨春燕　黎新　余通　 宾冬梅　韩松明　谢铭　卢杰科　 唐福川　明少锋　 (74)专利代理 机构 南宁东智知识产权代理事务 所(特殊普通 合伙) 45117 专利代理师 黎华艳 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于在线交互式WEB动态防御的防应用 DDoS方法 (57)摘要 本发明公开一种基于在 线交互式WEB动态防 御的防应用DDoS方法， 包 括以下步骤： 步骤S1.在 服务层前设有保护层； 保护层包 括TCP cookie库 和黑名单列表； 步骤S2.设置保护层TCP  cookie 库的超时时间和快速老化机制； 步骤S3.保护层 拦截所有的TCP  SYN报文和TCP  RST报文并作为 TCP cookie存储至TCP  cookie库内； 步骤S4.保 护层向某一发送端回送一个TCP  ACK； 步骤S5.对 保护层的TCP  cookie库进行超时检查， 执行步骤 S6或执行步骤S7； 步骤S8.根据快速老化机制调 整超时时间。 本发明能较短时间、 较少发起来发 现DDoS攻击异常， 节省资源。 权利要求书2页 说明书5页 附图2页 CN 115473680 A 2022.12.13 CN 115473680 A 1.一种基于在线交 互式WEB动态防御的防应用D DoS方法， 其特 征在于， 包括以下步骤： 步骤S1.在服 务层前设有保护层； 保护层包括TCP  cookie库和黑名单列表； 步骤S2.设置保护层TCP  cookie库的超时 时间和快速老化机制； 步骤S3.保护层拦截所有的TCP  SYN报文和TCP  RST报文并作为TCP  cookie存储至TCP   cookie库内； 步骤S4.保护层向某一发送端回送一个TCP  ACK； 步骤S5.对保护层的TCP  cookie库进行超时检查， 若保护层在超时时间内接收到该发 送端发送的TCP  RST报文， 则执行步骤S6； 若保护层在超过超时时间后仍未接收到该发送端 发送的TCP  RST报文， 则执 行步骤S7； 步骤S6.保护层会判断这个发送端为客户端， 并将该发送端发起的新连接通过保护层 连接服务器； 服务器端根据应用协议重新发起连接； 保护层执 行步骤S8； 步骤S7.保护层会判断这个发送端为DDoS攻击端， 并将该发送端发送的TCP  SYN报文从 TCP cookie库删除， 并将该发送端的IP地址、 端口加入黑名单列表； 保护层执 行步骤S8； 步骤S8.计算出TCP  cookie库的TCP  cookie的条数， 根据快速老化机制调整超时 时间； 步骤S9.重新从步骤S3开始顺序执 行。 2.根据权利 要求1所述的一种基于在线交互式WEB动态防御的防应用DDoS方法， 其特征 在于： 所述快速老化机制具体包括以下步骤： 根据实际需要和TCP  cookie库存储TCP   cookie的条数最大值； 划分若干个条数区间， 每个条数区间对应一个时间值， 且依循条数越 大时间值越小的原则； 接收TCP  cookie的条数， TCP  cookie的条数所在的条数区间对应的 时间值即为超时 时间。 3. 根据权利要求2所述的一种基于在线交互式WEB动态防御的防应用DDoS方法， 其特 征在于： 所述TCP  cookie库存储TCP cookie的条数最大值 为20万条。 4.根据权利 要求3所述的一种基于在线交互式WEB动态防御的防应用DDoS方法， 其特征 在于： 划分若干个条数区间的具体方法为： 划分18万条以下为一个条数区间对应的时间值 为10s， 划分18万条至19万条为一个条数区间对应的时间值为5s， 划分19万条至20万条为一 个条数区间对应的时间值 为2s。 5. 根据权利要求1所述的一种基于在线交互式WEB动态防御的防应用DDoS方法， 其特 征在于： 所述保护层还 包括用于检测TCP  RST报文是否具有正确性、 可靠性的Co okie。 6. 根据权利要求1所述的一种基于在线交互式WEB动态防御的防应用DDoS方法， 其特 征在于： 所述超时检查为使用C++编程的ST  Lhash map的实现方式进行， 根据TCP  cookie的 生成时间进行检索， 检索当前时间点减去超时 时间以前的TCP  cookie的TCP RST报文数据。 7.根据权利 要求1所述的一种基于在线交互式WEB动态防御的防应用DDoS方法， 其特征 在于： 所述应用协议 为HTTP协议或是Tel net协议。 8.根据权利 要求1所述的一种基于在线交互式WEB动态防御的防应用DDoS方法， 其特征 在于： 所述步骤S6中， 保护层执行步骤S7的同时还执行以下步骤： 设定一段安全时间， 通过 路由自动转移网络流量方向， 不使用保护 层， 而让服务器直接接收网络流量； 过了一段安全 时间， 通过路由自动转移网络流 量方向， 使用保护层， 重新执 行步骤S3 。 9.根据权利 要求8所述的一种基于在线交互式WEB动态防御的防应用DDoS方法， 其特征 在于： 所述自动转移网络流量方向为自动插入静态路由或者BGP路由来指导网络流量的方权　利　要　求　书 1/2 页 2 CN 115473680 A 2向的转移。权　利　要　求　书 2/2 页 3 CN 115473680 A 3