一种攻击的防御方法技术

本发明专利技术公开了一种攻击的防御方法，涉及网络安全技术领域，用于提高攻击防御的准确率，本发明专利技术的主要技术方案为：通过预置阈值识别会话信息中的可疑用户网际协议IP地址，所述会话信息中包含用户IP地址；根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，获得第一剩余的可疑用户IP地址；通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址；根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址；拒绝通过所述攻击IP地址发送的服务请求；本发明专利技术主要用于防御攻击。

A defensive approach to attack

Defense of the invention discloses a method of attack, relates to the technical field of network security, to improve the accuracy of attack and defense, the main technical scheme of the invention is that the suspicious user internet protocol IP address information in the preset threshold to identify the session, the session information contained in the user IP address; according to the preset IP address database attack IP address filtering attacks in suspicious users IP address, get the first remaining suspicious user IP address information; through the session information service request filtering attack IP address from the IP address of the first suspicious users in the remaining second, the remaining suspicious users IP address; IP address filtering attacks according to the suspicious user IP address pre scripts from the remaining second of the pre script program is used to determine whether the suspicious user IP address second remaining in the attack A IP address; a service request refused to be sent through the attack IP address; the invention is mainly used for defense attacks.

【技术实现步骤摘要】
一种攻击的防御方法
本专利技术涉及防攻击领域，具体涉及一种攻击的防御方法。
技术介绍
APT(AdvancedPersistentThreat)一种新型的网络攻击，其对国家国防安全、国民经济安全、重要行业信息安全、公司商业信息安全构成严重威胁。APT利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络。目前，对APT危机所采取的措施主要是安装网络安全预警系统。然而，网络安全预警系统是一种基于硬件的网络安全技术，能够针对局域网内的安全事件自动进行归纳总结，并根据这些数据对全网安全进行预警。但是，对于从海量数据中分析中所潜伏的威胁，上述防御措施存在漏洞，并且很难对所有海量数据进行分析，因此可能会错过潜伏的APT攻击，APT攻击防御的精度低。
技术实现思路
本专利技术的目的在于：针对现有技术APT攻击防御的精度低的问题，本申请提供了一种攻击的防御方法。本专利技术采用的技术方案如下：一种攻击的防御方法，包括：通过预置阈值识别会话信息中的可疑用户网际协议IP地址，所述会话信息中包含用户IP地址；根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，获得第一剩余的可疑用户IP地址；通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址；根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址；拒绝通过所述攻击IP地址发送的服务请求。进一步地，所述通过预置阈值识别会话信息中的可疑用户IP地址包括：从所述会话信息中获取单位时间内通过所述用户IP地址发送服务请求的次数；将所述单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址。进一步地，所述将单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址之后，所述方法还包括：获取所述单位时间内发送服务请求的次数小于或等于第一预置阈值的用户IP地址；从所述获取的用户IP地址中统计相同用户IP地址的服务请求次数；将所述服务请求次数大于第二预置阈值的用户IP地址确定为所述可疑用户IP地址。进一步地，所述通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址包括：根据预置请求URL数量阈值从所述第一剩余的可疑用户IP地址中过滤所述攻击IP地址，并将过滤后的第一剩余的可疑用户IP地址作为第一可疑用户IP地址；根据预置URL路径将所述第一可疑用户IP地址中请求URL不正确的可疑用户IP地址过滤掉，并将过滤后的第一可疑用户IP地址作为第二可疑用户IP地址；根据预置URL跳转关系将所述第二可疑用户IP地址中请求URL跳转关系不正确的可疑用户IP地址过滤掉，并将过滤后的第二可疑用户IP地址作为第三可疑用户IP地址；根据预置服务器host字段将所述第三可疑用户IP地址中请求host字段不正确的可疑用户IP地址过滤掉，并将过滤后的第三可疑用户IP地址作为第四可疑用户IP地址；根据预置URL长度将所述第四可疑用户IP地址中请求URL长度不正确的可疑用户IP地址过滤掉。进一步地，所述根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址包括：将所述预置脚本程序发送给所述第二剩余的可疑用户IP地址对应的客户端，以使得所述客户端执行所述预置脚本程序；若存在执行所述预置脚本程序错误的客户端，则将执行所述预置脚本程序错误的客户端对应的可疑用户IP地址确定为所述攻击IP地址。进一步地，所述将执行所述预置脚本程序错误的客户端对应的可疑用户IP地址确定为所述攻击IP地址之后，所述方法还包括：若存在执行所述预置脚本程序正确的客户端，则向执行所述预置脚本程序正确的客户端发送验证信息，以使得执行所述预置脚本程序正确的客户端接收根据所述验证信息输入的验证码；若所述验证码与所述验证信息不对应，则将执行所述预置脚本程序正确的客户端对应的可疑用户IP地址确定为攻击IP地址；若所述验证码与所述验证信息对应，则将执行所述预置脚本程序正确的客户端对应的可疑用户IP地址确定为可信用户IP。综上所述，由于采用了上述技术方案，本专利技术的有益效果是：首先通过预置阈值识别会话信息中的可疑用户IP地址，所述会话信息中包含用户IP地址，然后根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，并获得第一剩余的可疑用户IP地址，接着通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址，并根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，最后拒绝通过所述攻击IP地址发送的服务请求。与目前根据单位时间内发出的请求次数对HTTPFlood攻击进行防御相比，本专利技术实施例采用层层过滤的方式对HTTPFlood攻击进行防御，即首先通过预置阈值识别会话信息中的可疑用户IP地址，然后依次根据预置攻击IP地址库、服务请求信息、预置脚本程序从可疑用户IP地址中层层过滤出攻击IP地址，并通过拒绝攻击IP地址发送的服务请求实现攻击防御，从而通过本专利技术可提高攻击防御的准确率。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。一种攻击的防御方法，包括：通过预置阈值识别会话信息中的可疑用户网际协议IP地址，所述会话信息中包含用户IP地址；根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，获得第一剩余的可疑用户IP地址；通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址；根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址；拒绝通过所述攻击IP地址发送的服务请求。进一步地，所述通过预置阈值识别会话信息中的可疑用户IP地址包括：从所述会话信息中获取单位时间内通过所述用户IP地址发送服务请求的次数；将所述单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址。进一步地，所述将单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址之后，所述方法还包括：获取所述单位时间内发送服务请求的次数小于或等于第一预置阈值的用户IP地址；从所述获取的用户IP地址中统计相同用户IP地址的服务请求次数；将所述服务请求次数大于第二预置阈值的用户IP地址确定为所述可疑用户IP地址。进一步地，所述通过所述会话信息中的服务请求信息从所述第一本文档来自技高网...

【技术保护点】
一种攻击的防御方法，其特征在于，包括：通过预置阈值识别会话信息中的可疑用户网际协议IP地址，所述会话信息中包含用户IP地址；根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，获得第一剩余的可疑用户IP地址；通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址；根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址；拒绝通过所述攻击IP地址发送的服务请求。

【技术特征摘要】
1.一种攻击的防御方法，其特征在于，包括：通过预置阈值识别会话信息中的可疑用户网际协议IP地址，所述会话信息中包含用户IP地址；根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，获得第一剩余的可疑用户IP地址；通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址；根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址；拒绝通过所述攻击IP地址发送的服务请求。2.根据权利要求1所述的方法，其特征在于，所述通过预置阈值识别会话信息中的可疑用户IP地址包括：从所述会话信息中获取单位时间内通过所述用户IP地址发送服务请求的次数；将所述单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址。3.根据权利要求2所述的方法，其特征在于，所述将单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址之后，所述方法还包括：获取所述单位时间内发送服务请求的次数小于或等于第一预置阈值的用户IP地址；从所述获取的用户IP地址中统计相同用户IP地址的服务请求次数；将所述服务请求次数大于第二预置阈值的用户IP地址确定为所述可疑用户IP地址。4.根据权利要求1所述的方法，其特征在于，所述通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址包括：根据预置请求URL数量阈值从所述第一剩余的可疑用户IP地址中过滤所述攻击IP地址，并将过滤后的第一剩余的可疑用户IP地址作为第一可疑用...

【专利技术属性】
技术研发人员：蔡昌菊，
申请(专利权)人：蔡昌菊，
类型：发明
国别省市：四川,51