Defense of the invention discloses a method of attack, relates to the technical field of network security, to improve the accuracy of attack and defense, the main technical scheme of the invention is that the suspicious user internet protocol IP address information in the preset threshold to identify the session, the session information contained in the user IP address; according to the preset IP address database attack IP address filtering attacks in suspicious users IP address, get the first remaining suspicious user IP address information; through the session information service request filtering attack IP address from the IP address of the first suspicious users in the remaining second, the remaining suspicious users IP address; IP address filtering attacks according to the suspicious user IP address pre scripts from the remaining second of the pre script program is used to determine whether the suspicious user IP address second remaining in the attack A IP address; a service request refused to be sent through the attack IP address; the invention is mainly used for defense attacks.
【技术实现步骤摘要】
一种攻击的防御方法
本专利技术涉及防攻击领域,具体涉及一种攻击的防御方法。
技术介绍
APT(AdvancedPersistentThreat)一种新型的网络攻击,其对国家国防安全、国民经济安全、重要行业信息安全、公司商业信息安全构成严重威胁。APT利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络。目前,对APT危机所采取的措施主要是安装网络安全预警系统。然而,网络安全预警系统是一种基于硬件的网络安全技术,能够针对局域网内的安全事件自动进行归纳总结,并根据这些数据对全网安全进行预警。但是,对于从海量数据中分析中所潜伏的威胁,上述防御措施存在漏洞,并且很难对所有海量数据进行分析,因此可能会错过潜伏的APT攻击,APT攻击防御的精度低。
技术实现思路
本专利技术的目的在于:针对现有技术APT攻击防御的精度低的问题,本申请提供了一种攻击的防御方法。本专利技术采用的技术方案如下:一种攻击的防御方法,包括:通过预置阈值识别会话信息中的可疑用户网际协议IP地址,所述会话信息中包含用户IP地址;根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址,获得第一剩余的可疑用户IP地址;通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址,获得第二剩余的可疑用户IP地址;根据预置脚本程序从所述第二剩余的 ...
【技术保护点】
一种攻击的防御方法,其特征在于,包括:通过预置阈值识别会话信息中的可疑用户网际协议IP地址,所述会话信息中包含用户IP地址;根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址,获得第一剩余的可疑用户IP地址;通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址,获得第二剩余的可疑用户IP地址;根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址,所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址;拒绝通过所述攻击IP地址发送的服务请求。
【技术特征摘要】
1.一种攻击的防御方法,其特征在于,包括:通过预置阈值识别会话信息中的可疑用户网际协议IP地址,所述会话信息中包含用户IP地址;根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址,获得第一剩余的可疑用户IP地址;通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址,获得第二剩余的可疑用户IP地址;根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址,所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址;拒绝通过所述攻击IP地址发送的服务请求。2.根据权利要求1所述的方法,其特征在于,所述通过预置阈值识别会话信息中的可疑用户IP地址包括:从所述会话信息中获取单位时间内通过所述用户IP地址发送服务请求的次数;将所述单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址。3.根据权利要求2所述的方法,其特征在于,所述将单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址之后,所述方法还包括:获取所述单位时间内发送服务请求的次数小于或等于第一预置阈值的用户IP地址;从所述获取的用户IP地址中统计相同用户IP地址的服务请求次数;将所述服务请求次数大于第二预置阈值的用户IP地址确定为所述可疑用户IP地址。4.根据权利要求1所述的方法,其特征在于,所述通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址,获得第二剩余的可疑用户IP地址包括:根据预置请求URL数量阈值从所述第一剩余的可疑用户IP地址中过滤所述攻击IP地址,并将过滤后的第一剩余的可疑用户IP地址作为第一可疑用...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。