本發明公開了一種網絡攻擊防御系統、方法及裝置，其中，該方法包括：獲取待保護站點的統計參數，其中，該統計參數為在第一預定時間內對所述待保護站點的特征參數進行統計得到的參數；依據所述統計參數判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態，得到判斷結果，其中，所述當前運行狀態和目標運行狀態所采用的防護策略是不同的；依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。

技術領域

本申請涉及網絡安全領域，具體而言，涉及一種網絡攻擊防御系統、方法及裝置。

背景技術

目前，針對超文本傳輸協議(Hyper Text Transfer Protocol，簡稱為HTTP)洪泛(Flood)攻擊存在以下幾種檢測方法:方法1:基于特定源IP或特定源Cookie的進行統計，超過特定頻率閾值則判定特定源存在攻擊行為。方法2:基于請求中的特定特征(例如是否存在proxy頭)判定是否是攻擊行為；方法3:對特定源的特定字段分布進行統計判定特定源是否存在攻擊行為；方法4:對客戶端進行人機挑戰，篡改網站返回頁面，在其中返回驗證碼頁面、包含javascript的頁面、HTTP Set Cookie頭等正常客戶端或人可以響應而攻擊工具無法響應的內容，從而判斷特定源是正常用戶還是攻擊工具。但是，上述4種檢測方法存在以下缺陷：防護策略固定，這樣不能根據站點的實際情況，對防護策略進行調整，防護效率低且易出現誤殺和漏殺等情況。

發明內容

根據本申請實施例的一個方面，提供了一種網絡攻擊防御系統，包括：一個或多個第一終端，用于向第二終端上運行的待保護站點發送服務請求；所述第二終端，用于依據所述服務請求獲取所述待保護站點的統計參數，其中，該統計參數為在第一預定時間內對所述待保護站點的特征參數進行統計得到的參數；依據所述統計參數判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態，得到判斷結果，其中，所述當前運行狀態和目標運行狀態所采用的防護策略是不同的；以及依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。

根據本申請實施例的一個方面，提供了一種網絡攻擊防御方法，包括：獲取待保護站點的統計參數，其中，該統計參數為在第一預定時間內對所述待保護站點的特征參數進行統計得到的參數；依據所述統計參數判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態，得到判斷結果，其中，所述當前運行狀態和目標運行狀態所采用的防護策略是不同的；依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。

根據本申請實施例的另一方面，還提供了一種網絡攻擊防御裝置，包括：獲取模塊，用于獲取待保護站點的統計參數，其中，該統計參數為在第一預定時間內對所述待保護站點的特征參數進行統計得到的參數；判斷模塊，用于依據所述統計參數判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態，得到判斷結果，其中，所述當前運行狀態和目標運行狀態所采用的防護策略是不同的；調用模塊，用于依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。

在本申請實施例中，采用依據站點的統計參數確定待保護站點是否要進行狀態切換，并調用與目標運行狀態對應的防護策略對待保護站點進行防護的方式，由于可以根據站點的運行狀態確定防護策略，因此達到了根據站點運行狀態靈活調整站點的防護策略的目的，進而解決了由于目前的防護策略固定造成的防護效率低且易出現誤殺和漏殺的技術問題。

附圖說明

此處所說明的附圖用來提供對本發明的進一步理解，構成本申請的一部分，本發明的示意性實施例及其說明用于解釋本發明，并不構成對本發明的不當限定。在附圖中：

圖1是本申請實施例的一種網絡攻擊防御方法的計算機終端的硬件結構框圖；

圖2是本申請實施例的一種網絡攻擊防御系統的硬件結構框圖；