技術領域

本發明涉及防攻擊領域，具體涉及一種攻擊的防御方法。

背景技術

APT(Advanced Persistent Threat)一種新型的網絡攻擊，其對國家國防安全、國民經濟安全、 重要行業信息安全、公司商業信息安全構成嚴重威脅。APT利用先進的攻擊手段對特定目標進行長 期持續性網絡攻擊的攻擊形式，攻擊的原理相對于其他攻擊形式更為高級和先進，其高級性主要 體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的 過程中，此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞，利用這些漏洞組建攻擊者所 需的網絡。

目前，對APT危機所采取的措施主要是安裝網絡安全預警系統。然而，網絡安全預警系統是 一種基于硬件的網絡安全技術，能夠針對局域網內的安全事件自動進行歸納總結，并根據這些數 據對全網安全進行預警。但是，對于從海量數據中分析中所潛伏的威脅，上述防御措施存在漏洞， 并且很難對所有海量數據進行分析，因此可能會錯過潛伏的APT攻擊，APT攻擊防御的精度低。

發明內容

本發明的目的在于：針對現有技術APT攻擊防御的精度低的問題，本申請提供了一種攻擊 的防御方法。

本發明采用的技術方案如下：

一種攻擊的防御方法，包括：

通過預置閾值識別會話信息中的可疑用戶網際協議IP地址，所述會話信息中包含用戶 IP地址；

根據預置攻擊IP地址庫在可疑用戶IP地址中過濾攻擊IP地址，獲得第一剩余的可疑 用戶IP地址；

通過所述會話信息中的服務請求信息從所述第一剩余的可疑用戶IP地址中過濾攻擊 IP地址，獲得第二剩余的可疑用戶IP地址；

根據預置腳本程序從所述第二剩余的可疑用戶IP地址中過濾攻擊IP地址，所述預置 腳本程序用于確定所述第二剩余的可疑用戶IP地址中包含的攻擊IP地址；

拒絕通過所述攻擊IP地址發送的服務請求。

進一步地，所述通過預置閾值識別會話信息中的可疑用戶IP地址包括：

從所述會話信息中獲取單位時間內通過所述用戶IP地址發送服務請求的次數；

將所述單位時間內發送服務請求的次數大于第一預置閾值的用戶IP地址確定為所述 可疑用戶IP地址。

進一步地，所述將單位時間內發送服務請求的次數大于第一預置閾值的用戶IP地址 確定為所述可疑用戶IP地址之后，所述方法還包括：

獲取所述單位時間內發送服務請求的次數小于或等于第一預置閾值的用戶IP地址；

從所述獲取的用戶IP地址中統計相同用戶IP地址的服務請求次數；

將所述服務請求次數大于第二預置閾值的用戶IP地址確定為所述可疑用戶IP地址。

進一步地，所述通過所述會話信息中的服務請求信息從所述第一剩余的可疑用戶IP 地址中過濾攻擊IP地址，獲得第二剩余的可疑用戶IP地址包括：

根據預置請求URL數量閾值從所述第一剩余的可疑用戶IP地址中過濾所述攻擊IP地 址，并將過濾后的第一剩余的可疑用戶IP地址作為第一可疑用戶IP地址；

根據預置URL路徑將所述第一可疑用戶IP地址中請求URL不正確的可疑用戶IP地址 過濾掉，并將過濾后的第一可疑用戶IP地址作為第二可疑用戶IP地址；

根據預置URL跳轉關系將所述第二可疑用戶IP地址中請求URL跳轉關系不正確的可疑 用戶IP地址過濾掉，并將過濾后的第二可疑用戶IP地址作為第三可疑用戶IP地址；

根據預置服務器host字段將所述第三可疑用戶IP地址中請求host字段不正確的可疑 用戶IP地址過濾掉，并將過濾后的第三可疑用戶IP地址作為第四可疑用戶IP地址；

根據預置URL長度將所述第四可疑用戶IP地址中請求URL長度不正確的可疑用戶IP 地址過濾掉。

進一步地，所述根據預置腳本程序從所述第二剩余的可疑用戶IP地址中過濾攻擊IP 地址包括：

將所述預置腳本程序發送給所述第二剩余的可疑用戶IP地址對應的客戶端，以使得所 述客戶端執行所述預置腳本程序；

若存在執行所述預置腳本程序錯誤的客戶端，則將執行所述預置腳本程序錯誤的客戶 端對應的可疑用戶IP地址確定為所述攻擊IP地址。

進一步地，所述將執行所述預置腳本程序錯誤的客戶端對應的可疑用戶IP地址確定 為所述攻擊IP地址之后，所述方法還包括：