本申请涉及网络安全领域,具体而言,涉及一种网络攻击防御系统、方法及装置。
背景技术:
目前,针对超文本传输协议(hypertexttransferprotocol,简称为http)洪泛(flood)攻击存在以下几种检测方法:方法1:基于特定源ip或特定源cookie的进行统计,超过特定频率阈值则判定特定源存在攻击行为。方法2:基于请求中的特定特征(例如是否存在proxy头)判定是否是攻击行为;方法3:对特定源的特定字段分布进行统计判定特定源是否存在攻击行为;方法4:对客户端进行人机挑战,篡改网站返回页面,在其中返回验证码页面、包含javascript的页面、httpsetcookie头等正常客户端或人可以响应而攻击工具无法响应的内容,从而判断特定源是正常用户还是攻击工具。但是,上述4种检测方法存在以下缺陷:防护策略固定,这样不能根据站点的实际情况,对防护策略进行调整,防护效率低且易出现误杀和漏杀等情况。
技术实现要素:
根据本申请实施例的一个方面,提供了一种网络攻击防御系统,包括:一个或多个第一终端,用于向第二终端上运行的待保护站点发送服务请求;所述第二终端,用于依据所述服务请求获取所述待保护站点的统计参数,其中,该统计参数为在第一预定时间内对所述待保护站点的特征参数进行统计得到的参数;依据所述统计参数判断所述待保护站点是否由当前运行状态切换至目标运行状态,得到判断结果,其中,所述当前运行状态和目标运行状态所采用的防护策略是不同的;以及依据判断结果调用与所述当前运行状态对应的防护策略或所述目标运行状态对应的防护策略对所述待保护站点进行防护。
根据本申请实施例的一个方面,提供了一种网络攻击防御方法,包括:获取待保护站点的统计参数,其中,该统计参数为在第一预定时间内对所述待保护站点的特征参数进行统计得到的参数;依据所述统计参数判断所述待保护站点是否由当前运行状态切换至目标运行状态,得到判断结果,其中,所述当前运行状态和目标运行状态所采用的防护策略是不同的;依据判断结果调用与所述当前运行状态对应的防护策略或所述目标运行状态对应的防护策略对所述待保护站点进行防护。
根据本申请实施例的另一方面,还提供了一种网络攻击防御装置,包括:获取模块,用于获取待保护站点的统计参数,其中,该统计参数为在第一预定时间内对所述待保护站点的特征参数进行统计得到的参数;判断模块,用于依据所述统计参数判断所述待保护站点是否由当前运行状态切换至目标运行状态,得到判断结果,其中,所述当前运行状态和目标运行状态所采用的防护策略是不同的;调用模块,用于依据判断结果调用与所述当前运行状态对应的防护策略或所述目标运行状态对应的防护策略对所述待保护站点进行防护。
在本申请实施例中,采用依据站点的统计参数确定待保护站点是否要进行状态切换,并调用与目标运行状态对应的防护策略对待保护站点进行防护的方式,由于可以根据站点的运行状态确定防护策略,因此达到了根据站点运行状态灵活调整站点的防护策略的目的,进而解决了由于目前的防护策略固定造成的防护效率低且易出现误杀和漏杀的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本申请实施例的一种网络攻击防御方法的计算机终端的硬件结构框图;
图2是本申请实施例的一种网络攻击防御系统的硬件结构框图;
图3是根据本申请实施例的一种可选的网络攻击防御方法的流程图;
图4是根据本申请实施例的一种可选的流量获取模块的工作流程示意图;
图5是根据本申请实施例的一种可选的站点宏观统计模块的工作流程示意图;
图6是根据本申请实施例的一种可选的站点状态跟踪模块的工作流程示意图;
图7是根据本申请实施例的一种可选的状态跳转的原理示意图;
图8是根据本申请实施例的一种可选的网络攻击防御装置的结构框图;
图9是根据本申请实施例的另一种可选的网络攻击防御装置的结构框图;
图10是本申请实施例的一种计算机终端的硬件结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解本申请实施例,以下将本申请实施例中所涉及的术语解释如下:
站点:在计算机网络中指网站,例如新浪网、搜狐网等。
站点的特征参数:用于表征站点特性的参数信息,例如可以为站点每秒接收到的请求数、每秒正常回应数、每秒错误回应数、每秒疑似攻击请求数、并发ip数、并发用户(user)-代理(agent)数、并发cookie数等。
防护策略:在本申请实施例中是指对网站所采用的防护措施或规则,例如可以包括但不限于防护等级和/或防护算法等。
分布式拒绝服务(distributeddenialofservice,简称为ddos):指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动ddos攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将ddos主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
超文本传输协议(hypertexttransferprotocol,简称为http):互联网上应用最为广泛的一种网络协议。所有的www文件都必须遵守这个标准。
httpflood/httpgetflood/cc攻击:攻击者借助代理服务器生成指向受害主机的合法请求,实现ddos和伪装,称为(challengecollapsar,简称为cc)。当前在互联网业务中,web服务已经占有相当大的比例,越来越多的人通过web提供的服务来获取和发布信息,所以web安全也是当今网络安全的研究热点。http作为web应用的关键协议,经常被黑客利用来实施ddos攻击,称为httpflood/httpgetflood或cc攻击,这种攻击的特征是正常请求和异常请求的内容非常相近,因此很难针对性的进行检测和防御。
实施例1
根据本申请实施例,还提供了一种网络攻击防御的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例1所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现网络攻击防御方法的计算机终端(或移动设备)的硬件结构框图。如图1所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外,还可以包括:显示器、输入/输出接口(i/o接口)、通用串行总线(usb)端口(可以作为i/o接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个中。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的网络攻击防御方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的漏洞检测方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(networkinterfacecontroller,nic),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(radiofrequency,rf)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(lcd),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
其中,图1所示计算机终端可以为一种网络攻击防御系统中的终端(例如图2中的第一终端或第二终端),如图2所示,该系统包括:一个或多个第一终端20、第二终端22,其中,
第一终端20,用于向第二终端上运行的待保护站点发送服务请求;该第一终端20可以表现为被黑客远程控制的傀儡机(又称为“肉鸡”),即发起攻击的终端。
在本申请的一个可选实施例中,该第一终端可以为多个,即多个终端联合起来向第二终端一起发送服务请求,以达到占用待保护站点的资源的目的,从而实现对待保护站点进行攻击。
第二终端22,用于依据上述服务请求获取上述待保护站点的统计参数,其中,该统计参数为在第一预定时间内对上述待保护站点的特征参数进行统计得到的参数;依据上述统计参数判断上述待保护站点是否由当前运行状态切换至目标运行状态,得到判断结果,其中,上述当前运行状态和目标运行状态所采用的防护策略是不同的;以及依据判断结果调用与上述当前运行状态对应的防护策略或上述目标运行状态对应的防护策略对上述待保护站点进行防护。
可选地,第二终端22,还用于获取上述待保护站点接收的http数据包;从上述http数据包中提取上述特征参数,并对相同类型的上述特征参数进行统计,得到上述统计参数。
可选地,第二终端22,还用于获取上述统计参数的滑动平均值,以及上述待保护站点在当前运行状态下的持续时间;以及依据上述滑动平均值、上述统计参数的参数值以及上述持续时间判断上述待保护站点是否由当前运行状态切换至目标运行状态。
在本申请的一个可选实施例中,第二终端22,还用于将上述滑动平均值、上述统计参数的参数值以及上述持续时间输入与上述待保护站点对应的布尔表达式,输出取值;以及依据上述取值确定上述待保护站点是否由当前运行状态切换至目标运行状态。
可选地,上述防护策略包括:防护等级和/或防护算法,其中,上述防护等级用于指示对上述待保护站点的防护程度。
在上述运行环境下,本申请提供了如图3所示的网络攻击防御方法。图3是根据本申请实施例1的网络攻击防御方法的流程图。如图3所述,该方法包括步骤s302-s306:
步骤s302,获取待保护站点的统计参数,其中,该统计参数为在第一预定时间内对上述待保护站点的特征参数进行统计得到的参数;
可选地,可以通过以下方式获取上述统计参数,但不限于此:获取上述待保护站点接收的http数据包;从该http数据包中提取上述特征参数,并对相同类型的上述特征参数进行统计,得到上述统计参数。其中,对于上述特征参数的提取可以表现为对http请求头进行拆解,例如将其拆解为请求方法、http头,请求url、cookie、请求参数或请求参数键值对。
其中,上述http数据包可以来自多个数据源,此时步骤s302可以表现为以下实现形式:获取来自多个数据源的上述http数据包;对上述http数据包按照站点进行分类,得到上述待保护站点的http数据包。
具体地,该步骤s302可以通过一种攻击防御系统中的流量获取模块实现,具体会在后续描述,此处不再赘述。
步骤s304,依据上述统计参数判断上述待保护站点是否由当前运行状态切换至目标运行状态,得到判断结果,其中,上述当前运行状态和目标运行状态所采用的防护策略是不同的;
可选地,上述判断过程可以通过以下方式实现:获取上述统计参数的滑动平均值,以及上述待保护站点在当前运行状态下的持续时间;依据上述滑动平均值、上述统计参数的参数值以及上述持续时间判断上述待保护站点是否由当前运行状态切换至目标运行状态。
其中,依据上述持续时间、滑动平均值和统计参数的参数值进行上述判断过程时,可以依据的规则有多种,例如,可以将上述参数分别与一个阈值进行比较,根据得到的各个比较结果确定最终的判断结果,例如得到的比较结果中的一个或两个或三个参数的比较结果满足预设条件时,确定判断结果为是,否则为否。在本申请的一个可选实施例中,还可以依据布尔表达式确定,具体地:将上述滑动平均值、上述统计参数的参数值以及上述持续时间输入与上述待保护站点对应的布尔表达式,输出取值;依据上述取值确定上述待保护站点是否由当前运行状态切换至目标运行状态。
该步骤s304可以通过上述攻击防御系统中的站点宏观统计模块实现,关于该宏观统计模块的具体描述,会在后续进行描述,此处不再赘述。
步骤s306,依据判断结果调用与上述当前运行状态对应的防护策略或上述目标运行状态对应的防护策略对上述待保护站点进行防护。
在本申请的一个可选实施例中,上述防护策略包括但不限于:防护等级和/或防护算法,其中,上述防护等级用于指示对上述待保护站点的防护程度。例如,对于防护等级,可以分为三级:第一级、第二级、第三级,其中,每级所对应的防护阈值不同,从第一级至第三级依次减小。例如可以根据运行状态调整漏杀指标,依据漏杀指标调整防护等级(可通过调节阈值实现)。
上述防护等级的调整可以表现为以下实现形式,但不限于此:统计对上述待保护站点进行防护后在第二预定时间内的误杀率;在上述误杀率大于第一阈值时,变更上述防护算法;和/或统计对上述待保护站点进行防护后在第三预定时间内的漏杀率;在上述漏杀率大于第一阈值时,调整上述防护等级。上述处理过程可以在依据判断结果调用与上述当前运行状态对应的防护策略或上述目标运行状态对应的防护策略对上述待保护站点进行防护之后进行。
上述步骤s306的功能可以通过上述攻击防御系统中的站点状态跟踪模块和基于源的安全检测模块和防护动作模块实现,具体可以参见下面的描述,此处不再赘述。
正如上面所述,本申请实施例提供的网络攻击的防御方法可以通过攻击防御系统实现,该系统包括如下模块:
1)流量获取模块
2)站点宏观流量统计模块
3)站点运行状态规则管理模块
4)站点状态跟踪模块
5)基于源的安全检测模块和防护动作模块
系统中各个模块的工作流程如下:
1.流量获取模块通过日志分析、旁路网络包监听、7层负载均衡设备等渠道获取到http的请求头特征,并将这些特征归并后发送给站点宏观统计模块和基于源的安全检测模块。流量获取模块的工作流程如图4所示,包括以下处理步骤:
步骤s402,从数据源获取http数据包;
步骤s404,对http数据包进行拆解,将其拆解为请求方法、http头、请求url、cookie、请求参数及其请求参数的键值对;
步骤s406,将拆解得到的数据进行压缩或汇总;
步骤s408,将压缩或汇总后得到的数据发送给宏观统计模块和基于源的安全检测模块。
2.站点宏观统计模块统计出站点的宏观统计项信息,包括1)每秒请求数、2)每秒正常回应数、3)每秒异常回应数、4)每秒疑似攻击请求数、5)上述统计项是否存在峰值波动、6)上述统计项的在不同时间周期(15s/600s/1800s)下的滑动平均值7)站点并发ip数8)站点并发cookie数9)站点并发user-agent数等。站点宏观统计模块的工作流程如图5所示,包括以下处理步骤:
步骤s502,从数据源获取http数据包;
步骤s504,对http数据包进行拆解,将其拆解为请求方法、http头、请求url、cookie、请求参数及其请求参数的键值对;
步骤s506,将拆解得到的数据进行压缩或汇总,包括:线程/进程1:统计每秒请求数;线程/进程2:统计每秒正常回应数;线程/进程3:统计每秒错误回应数;线程/进程4:统计每秒疑似攻击请求数;线程/进程5:并发ip数统计;线程/进程6:并发user-agent数统计;线程/进程7:并发cookie数统计;···;线程/进程n:其它统计算法,n为自然数。
步骤s508,对上述各个统计项进行滑动平均值统计;
步骤s510,输出站点宏观流量统计结果。
3.站点状态跟踪模块获取站点宏观统计模块计算出的统计值,结合站点运行状态规则管理模块提供的规则内容,进行状态计算和跃迁,当状态发生跃迁时动态调节基于源的安全检测规则。站点状态跟踪模块的工作流程如图6所示,包括以下处理步骤:
步骤s602,加载站点运行状态规则;
步骤s604,初始化站点运行状态表
步骤s606,获取统计信息
步骤s608,根据统计信息域名,查找到具体站点运行状态机;
步骤s610,判断是否满足状态跳转条件,如果满足,转步骤s612,否则转步骤s606;
步骤s612,跳转运行状态,执行和运行状态绑定的规则设置动作。
5.基于源的安全检测模块基于站点状态跟踪模块下发的规则进行基于源的统计匹配、请求特定特征匹配、特定源特定字段值分布统计匹配,匹配特征成功后进行页面阻断或发送人机挑战等具体防护动作。
6.站点状态跟踪模块通过站点宏观统计模块分析当前具体防护动作的误杀和漏杀情况,如果误杀率/漏杀率超过阈值则更换防护策略。
状态跳转规则形式,如图7所示:
跳转规则为n个变量所组成的布尔表达式,表达式的参数值从宏观统计模块计算输出,包含:
1)宏观统计模块输出的每秒请求数、每秒正常回应数、每秒错误回应数、每秒疑似攻击请求数、并发ip统计数、并发user-agent统计数、并发cookie统计数等数值。
2)宏观统计模块输出的上述数值的滑动平均值。
3)跳转到当前状态后的持续时间。
计算安全运营人员针对上述参数编写的布尔表达式,得到状态跳转结果:需要跳转且跳转到状态x,或者需要保持当前状态而不做跳转。
其中,状态跳转规则为一个二维组织的状态机集合,垂直维度表示防护严格程度用于降低漏杀,水平维度表示不同的防护算法用于降低误杀。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本申请实施例,还提供了一种用于实施上述网络攻击防御方法的装置,如图8所示,该装置包括:
获取模块80,用于获取待保护站点的统计参数,其中,该统计参数为在第一预定时间内对上述待保护站点的特征参数进行统计得到的参数;
可选地,获取模块80,用于获取上述待保护站点接收的http数据包;以及从上述请求头数据中提取上述特征参数,并对相同类型的上述特征参数进行统计,得到上述统计参数。
判断模块82,用于依据上述统计参数判断上述待保护站点是否由当前运行状态切换至目标运行状态,得到判断结果,其中,上述当前运行状态和目标运行状态所采用的防护策略是不同的;
可选地,判断模块82,用于获取上述统计参数的滑动平均值,以及上述待保护站点在当前运行状态下的持续时间;以及依据上述滑动平均值、上述统计参数的参数值以及上述持续时间判断上述待保护站点是否由当前运行状态切换至目标运行状态。
调用模块84,用于依据判断结果调用与上述当前运行状态对应的防护策略或上述目标运行状态对应的防护策略对上述待保护站点进行防护。
上述防护策略包括:防护等级和/或防护算法,其中,上述防护等级用于指示对上述待保护站点的防护程度。
如图9所示,上述装置还包括:调整模块86,用于统计对上述待保护站点进行防护后在第二预定时间内的误杀率;在上述误杀率大于第一阈值时,变更上述防护算法;和/或,统计对上述待保护站点进行防护后在第三预定时间内的漏杀率;在上述漏杀率大于第一阈值时,调整上述防护等级。
需要说明的是,本申请实施例中所提及的各个模块是可以通过软件或硬件来实现的,对于后者,可以表现为以下实现形式:上述各个模块位于同一处理器中;或者,上述各个模块以任意组合的形式位于不同的处理器中。
实施例3
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行方法中以下步骤的程序代码:获取待保护站点的统计参数,其中,该统计参数为在第一预定时间内对所述待保护站点的特征参数进行统计得到的参数;依据所述统计参数判断所述待保护站点是否由当前运行状态切换至目标运行状态,得到判断结果,其中,所述当前运行状态和目标运行状态所采用的防护策略是不同的;依据判断结果调用与所述当前运行状态对应的防护策略或所述目标运行状态对应的防护策略对所述待保护站点进行防护。
可选地,图10是根据本申请实施例的一种计算机终端的结构框图。如图10所示,该计算机终端100可以包括:一个或多个(图中仅示出一个)处理器1002、存储器1004。
其中,存储器可用于存储软件程序以及模块,如本申请实施例中的方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端a。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:获取待保护站点的统计参数,其中,该统计参数为在第一预定时间内对所述待保护站点的特征参数进行统计得到的参数;依据所述统计参数判断所述待保护站点是否由当前运行状态切换至目标运行状态,得到判断结果,其中,所述当前运行状态和目标运行状态所采用的防护策略是不同的;依据判断结果调用与所述当前运行状态对应的防护策略或所述目标运行状态对应的防护策略对所述待保护站点进行防护。
可选的,上述处理器还可以执行如下步骤的程序代码:获取所述待保护站点接收的http数据包;从所述http数据包中提取所述特征参数,并对相同类型的所述特征参数进行统计,得到所述统计参数。
可选的,上述处理器还可以执行如下步骤的程序代码:获取来自多个数据源的所述http数据包;对所述http数据包按照站点进行分类,得到所述待保护站点的http数据包。
可选的,上述处理器还可以执行如下步骤的程序代码:获取所述统计参数的滑动平均值,以及所述待保护站点在当前运行状态下的持续时间;依据所述滑动平均值、所述统计参数的参数值以及所述持续时间判断所述待保护站点是否由当前运行状态切换至目标运行状态。
可选的,上述处理器还可以执行如下步骤的程序代码:将所述滑动平均值、所述统计参数的参数值以及所述持续时间输入与所述待保护站点对应的布尔表达式,输出取值;依据所述取值确定所述待保护站点是否由当前运行状态切换至目标运行状态。
可选的,上述处理器还可以执行如下步骤的程序代码:统计对所述待保护站点进行防护后在第二预定时间内的误杀率;在所述误杀率大于第一阈值时,变更所述防护算法;和/或,统计对所述待保护站点进行防护后在第三预定时间内的漏杀率;在所述漏杀率大于第一阈值时,调整所述防护等级
采用本申请实施例,提供了一种网络攻击防御方案,解决了由于目前的防护策略固定造成的防护效率低且易出现误杀和漏杀的技术问题。
本领域普通技术人员可以理解,图10所示的结构仅为示意,计算机终端也可以是智能手机(如android手机、ios手机等)、平板电脑、掌声电脑以及移动互联网设备(mobileinternetdevices,mid)、pad等终端设备。图10其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图10中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图10所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(read-onlymemory,rom)、随机存取器(randomaccessmemory,ram)、磁盘或光盘等。
实施例4
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例1所提供的网络攻击防御方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取待保护站点的统计参数,其中,该统计参数为在第一预定时间内对所述待保护站点的特征参数进行统计得到的参数;依据所述统计参数判断所述待保护站点是否由当前运行状态切换至目标运行状态,得到判断结果,其中,所述当前运行状态和目标运行状态所采用的防护策略是不同的;依据判断结果调用与所述当前运行状态对应的防护策略或所述目标运行状态对应的防护策略对所述待保护站点进行防护。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。