攻击的防御方法及装置与流程

本发明涉及网络安全技术领域，尤其涉及一种攻击的防御方法及装置。

背景技术：

网络安全的基本属性主要表现为机密性、完整性、合法性和可用性，而攻击者就是要通过一切可能的方法和手段来破坏这些属性。分布式拒绝服务攻击(Distributed Denial of Service，DDoS)的目的就是破坏网络的可用性。其中，HTTP Flood(请求洪泛攻击)是当前一种常见的DDoS攻击方式，是针对应用层的WEB服务而发起的攻击，攻击者模仿正常用户的上网行为，向攻击目标的WEB服务器发送大量的服务请求，目标WEB服务器一旦被攻击，将会导致被攻击的WEB前端响应缓慢，后端的Java等业务层逻辑以及更后端数据库的处理能力压力增大。

目前，通过用户发出的HTTP(Hypertext transfer protocol，超文本传送协议)请求次数对HTTP Flood攻击进行防御，即禁止单位时间内发出HTTP请求次数超过阈值的用户访问行为，但是在现实生活中存在着一些发送HTTP请求次数超过阈值的正常用户，而采用该种方式同样也会屏蔽掉正常用户的访问行为，因此该种方式防御攻击的误杀率较高，现有攻击防御方法的防御准确率较低。

技术实现要素：

有鉴于此，本发明提供一种攻击的防御方法及装置，主要目的在于提高攻击防御的准确率。

依据本发明一个方面，提供了一种攻击的防御方法，包括：

通过预置阈值识别会话信息中的可疑用户网际协议IP地址，所述会话信息中包含用户IP地址；

根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，获得第一剩余的可疑用户IP地址；

通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址；

根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址；

拒绝通过所述攻击IP地址发送的服务请求。

具体的，所述通过预置阈值识别会话信息中的可疑用户IP地址包括：

从所述会话信息中获取单位时间内通过所述用户IP地址发送服务请求的次数；

将所述单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址。

进一步地，所述将单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址之后，所述方法还包括：

获取所述单位时间内发送服务请求的次数小于或等于第一预置阈值的用户IP地址；

从所述获取的用户IP地址中统计相同用户IP地址的服务请求次数；

将所述服务请求次数大于第二预置阈值的用户IP地址确定为所述可疑用户IP地址。

具体的，所述通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址包括：

根据预置请求URL数量阈值从所述第一剩余的可疑用户IP地址中过滤所述攻击IP地址，并将过滤后的第一剩余的可疑用户IP地址作为第一可疑用户IP地址；

根据预置URL路径将所述第一可疑用户IP地址中请求URL不正确的可疑用户IP地址过滤掉，并将过滤后的第一可疑用户IP地址作为第二可疑用户IP地址；

根据预置URL跳转关系将所述第二可疑用户IP地址中请求URL跳转关系不正确的可疑用户IP地址过滤掉，并将过滤后的第二可疑用户IP地址作为第三可疑用户IP地址；

根据预置服务器host字段将所述第三可疑用户IP地址中请求host字段不正确的可疑用户IP地址过滤掉，并将过滤后的第三可疑用户IP地址作为第四可疑用户IP地址；

根据预置URL长度将所述第四可疑用户IP地址中请求URL长度不正确的可疑用户IP地址过滤掉。

具体的，所述根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址包括：

将所述预置脚本程序发送给所述第二剩余的可疑用户IP地址对应的客户端，以使得所述客户端执行所述预置脚本程序；

若存在执行所述预置脚本程序错误的客户端，则将执行所述预置脚本程序错误的客户端对应的可疑用户IP地址确定为所述攻击IP地址。

进一步地，所述将执行所述预置脚本程序错误的客户端对应的可疑用户IP地址确定为所述攻击IP地址之后，所述方法还包括：

若存在执行所述预置脚本程序正确的客户端，则向执行所述预置脚本程序正确的客户端发送验证信息，以使得执行所述预置脚本程序正确的客户端接收根据所述验证信息输入的验证码；

若所述验证码与所述验证信息不对应，则将执行所述预置脚本程序正确的客户端对应的可疑用户IP地址确定为攻击IP地址；

若所述验证码与所述验证信息对应，则将执行所述预置脚本程序正确的客户端对应的可疑用户IP地址确定为可信用户IP。

进一步地，所述方法还包括：

将确定为攻击IP地址的可疑用户IP地址存储到所述预置攻击IP地址库中。

依据本发明另一个方面，提供了一种攻击的防御装置，包括：

识别单元，用于通过预置阈值识别会话信息中的可疑用户网际协议IP地址，所述会话信息中包含用户IP地址；

第一过滤单元，用于根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，获得第一剩余的可疑用户IP地址；

第二过滤单元，用于通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址；

第三过滤单元，用于根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址；

拒绝单元，用于拒绝通过所述攻击IP地址发送的服务请求。

具体的，所述识别单元包括：

获取模块，用于从所述会话信息中获取单位时间内通过所述用户IP地址发送服务请求的次数；

确定模块，用于将所述单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址。

进一步地，所述识别单元还包括：

所述获取模块，还用于获取所述单位时间内发送服务请求的次数小于或等于第一预置阈值的用户IP地址；

统计模块，用于从所述获取的用户IP地址中统计相同用户IP地址的服务请求次数；

所述确定模块，用于将所述服务请求次数大于第二预置阈值的用户IP地址确定为所述可疑用户IP地址。

具体的，所述第二过滤单元包括：

第一过滤模块，用于根据预置请求URL数量阈值从所述第一剩余的可疑用户IP地址中过滤所述攻击IP地址，并将过滤后的第一剩余的可疑用户IP地址作为第一可疑用户IP地址；

第二过滤模块，用于根据预置URL路径将所述第一可疑用户IP地址中请求URL不正确的可疑用户IP地址过滤掉，并将过滤后的第一可疑用户IP地址作为第二可疑用户IP地址；

第三过滤模块，用于根据预置URL跳转关系将所述第二可疑用户IP地址中请求URL跳转关系不正确的可疑用户IP地址过滤掉，并将过滤后的第二可疑用户IP地址作为第三可疑用户IP地址；

第四过滤模块，用于根据预置服务器host字段将所述第三可疑用户IP地址中请求host字段不正确的可疑用户IP地址过滤掉，并将过滤后的第三可疑用户IP地址作为第四可疑用户IP地址；

第五过滤模块，用于根据预置URL长度将所述第四可疑用户IP地址中请求URL长度不正确的可疑用户IP地址过滤掉。

具体的，所述第三过滤单元包括：

发送模块，用于将所述预置脚本程序发送给所述第二剩余的可疑用户IP地址对应的客户端，以使得所述客户端执行所述预置脚本程序；

确定模块，用于若存在执行所述预置脚本程序错误的客户端，则将执行所述预置脚本程序错误的客户端对应的可疑用户IP地址确定为所述攻击IP地址。

所述发送模块，还用于若存在执行所述预置脚本程序正确的客户端，则向执行所述预置脚本程序正确的客户端发送验证信息，以使得执行所述预置脚本程序正确的客户端接收根据所述验证信息输入的验证码；

所述确定模块，还用于若所述验证码与所述验证信息不对应，则将执行所述预置脚本程序正确的客户端对应的可疑用户IP地址确定为攻击IP地址；

所述确定模块，还用于若所述验证码与所述验证信息对应，则将执行所述预置脚本程序正确的客户端对应的可疑用户IP地址确定为可信用户IP。

进一步地，所述装置还包括：

存储单元，用于将确定为攻击IP地址的可疑用户IP地址存储到所述预置攻击IP地址库中。

借由上述技术方案，本发明实施例提供的技术方案至少具有下列优点：

本发明实施例提供的一种攻击的防御方法及装置，首先通过预置阈值识别会话信息中的可疑用户IP地址，所述会话信息中包含用户IP地址，然后根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，并获得第一剩余的可疑用户IP地址，接着通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址，并根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，最后拒绝通过所述攻击IP地址发送的服务请求。与目前根据单位时间内发出的请求次数对HTTP Flood攻击进行防御相比，本发明实施例采用层层过滤的方式对HTTP Flood攻击进行防御，即首先通过预置阈值识别会话信息中的可疑用户IP地址，然后依次根据预置攻击IP地址库、服务请求信息、预置脚本程序从可疑用户IP地址中层层过滤出攻击IP地址，并通过拒绝攻击IP地址发送的服务请求实现攻击防御，从而通过本发明实施例可提高攻击防御的准确率。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种攻击的防御方法流程图；

图2示出了本发明实施例提供的一种攻击的防御装置结构框图；

图3示出了本发明实施例提供的另一种攻击的防御装置结构框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明实施例提供了一种攻击的防御方法，如图1所示，该方法包括：

101、通过预置阈值识别会话信息中的可疑用户网际协议IP地址。

其中，所述会话信息中包含用户IP地址。会话信息即Session信息，是用户与WEB(World Wide Web，万维网)服务器之间的交互信息，是基于一条数据流连接的相关信息，可疑用户IP地址即可以为可信用户或攻击用户的IP地址。

需要说明的是，正常用户在单位时间内发送服务请求的次数都会有一个阈值，若某个用户在单位时间内发送服务请求的次数不符合这个阈值，说明该用户有可能为攻击用户，所以需要将该用户对应的IP地址确定为可疑用户IP地址。因此本发明实施例通过预置阈值识别会话信息中的可疑用户IP地址，所述预置阈值可根据WEB服务器的特点及正常用户的上网行为确定，具体可根据正常用户单位时间内向目的IP地址发送的请求次数确定预置阈值的大小，如正常用户1分钟内向目的IP地址发送的请求次数小于等于5，则可将预置阈值设置为5，若用户在1分钟内向目的IP地址发送服务请求的次数大于5，则可将该用户对应的IP地址确定为可疑用户IP地址。

102、根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，获得第一剩余的可疑用户IP地址。

其中，所述预置攻击IP地址库是预先配置好的，预置攻击IP地址库中包含所有已确定的攻击IP地址。若可疑用户IP地址在预置攻击IP地址库中出现，则将该可疑用户IP地址确定为攻击IP地址，并将可疑用户IP地址中的攻击IP地址过滤掉，然后将过滤后的可疑用户IP地址确定为第一剩余的可疑用户IP地址；若可疑用户IP地址在预置攻击IP地址库中未出现，则通过步骤103中的服务请求信息对第一剩余的可疑用户IP地址进行进一步的过滤，以过滤掉通过服务请求信息确定的攻击IP地址。

103、通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址。

其中，所述服务请求信息具体可以为用户请求的URL(Uniform Resource Locator，统一资源定位符)、host字段等信息，本发明实施例不做具体限定。在本发明实施例中，具体可根据预置请求URL数量阈值、预置URL路径、预置URL跳转关系、预置服务器host字段、预置URL长度等信息从第一剩余的可疑用户IP地址中过滤攻击IP地址。即将第一剩余的可疑用户IP地址中URL请求数量不符合预置请求URL数量阈值、请求的URL不是预置的URL路径、请求URL的跳转关系不符合预置的URL跳转关系、请求服务器host字段不符合预置的服务器host字段、及请求URL的长度不符合预置的URL长度的可疑用户IP地址确定为攻击IP地址，并将确定为攻击的IP地址从第一剩余的可疑用户IP地址中过滤掉，最后将过滤后的第一剩余的可疑用户IP地址确定为第二剩余的可疑用户IP地址。

104、根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址。

其中，所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址，预置脚本程序为javascript脚步程序，客户端通过执行预置脚本程序确定可疑用户IP地址是否为攻击IP地址，若客户端执行预置脚本程序错误，则将与客户端对应的可疑用户IP地址为攻击IP地址；若客户端执行预置脚本程序正确，则进一步通过人机交互验证码方式判断可疑用户IP地址是为攻击IP地址，若客户端输入的验证码错误，则将与客户端对应的可疑用户IP地址确定为攻击IP地址，若客户端输入的验证码正确，则将与客户端对应的可疑用户IP地址确定为可信IP地址。

105、拒绝通过所述攻击IP地址发送的服务请求。

本发明实施例提供的一种攻击的防御方法，采用层层过滤的方式对HTTP Flood攻击进行防御，即首先通过预置阈值识别会话信息中的可疑用户IP地址，然后依次根据预置攻击IP地址库、服务请求信息、预置脚本程序从可疑用户IP地址中层层过滤出攻击IP地址，并通过拒绝攻击IP地址发送的服务请求实现攻击防御。由于通过预置阈值可快速识别出会话信息中的可疑用户IP地址，且根据过滤的快慢顺序依次通过预置攻击IP地址库、服务请求信息、预置脚本程序对可疑用户IP地址中的攻击IP地址进行过滤，可提高确定攻击IP的效率，从而通过本发明实施例可提高攻击防御的准确率及效率。

为了更好的对本发明实施例提供的攻击的防御方法进行说明，以下实施例将针对上述各步骤进行细化和扩展。

具体的，步骤101通过预置阈值识别会话信息中的可疑用户IP地址包括：从所述会话信息中获取单位时间内通过所述用户IP地址发送服务请求的次数；将所述单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址。其中，第一预置阈值根据正常用户单位时间内发送的服务请求次数而确定，若正常用户1分钟内发送的服务请求次数为10，则可将第一预置阈值设置为10，若用户在1分钟内发送服务请求的次数大于10，则可将该用户对应的IP地址确定为可疑用户IP地址。

进一步地，将单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址之后，所述方法还包括：获取所述单位时间内发送服务请求的次数小于或等于第一预置阈值的用户IP地址；从所述获取的用户IP地址中统计相同用户IP地址的服务请求次数；将所述服务请求次数大于第二预置阈值的用户IP地址确定为所述可疑用户IP地址。

需要说明的是，由于同一局域网内的用户对应的IP地址相同，而对应的会话信息不同，因此为了防止攻击者通过局域网内的多台终端设备向WEB服务器发起攻击，需要统计用户IP地址中相同用户IP地址的服务请求次数，然后将服务请求次数大于第二预置阈值的用户IP地址确定为可疑用户IP地址。其中，第二预置阈值根据局域网中单位时间内正常发送的服务请求次数而确定。例如，通过会话信息在单位时间内获取到三个相同的用户IP地址，他们向WEB服务器发送的服务请求次数分别为10、15、20，该用户IP地址发送的服务请求数总计为45，若第二预置阈值为30，则可将用户IP地址确定为可疑用户IP地址。

具体的，步骤103通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址包括：根据预置请求URL数量阈值从所述第一剩余的可疑用户IP地址中过滤所述攻击IP地址，并将过滤后的第一剩余的可疑用户IP地址作为第一可疑用户IP地址；根据预置URL路径将所述第一可疑用户IP地址中请求URL不正确的可疑用户IP地址过滤掉，并将过滤后的第一可疑用户IP地址作为第二可疑用户IP地址；根据预置URL跳转关系将所述第二可疑用户IP地址中请求URL跳转关系不正确的可疑用户IP地址过滤掉，并将过滤后的第二可疑用户IP地址作为第三可疑用户IP地址；根据预置服务器host字段将所述第三可疑用户IP地址中请求host字段不正确的可疑用户IP地址过滤掉，并将过滤后的第三可疑用户IP地址作为第四可疑用户IP地址；根据预置URL长度将所述第四可疑用户IP地址中请求URL长度不正确的可疑用户IP地址过滤掉。

其中，请求URL数量阈值根据正常用户单位时间内请求同一URL的数量而确定，若用户A单位时间内请求同一URL的数量超过预置请求URL数量阈值，则将用户A对应的IP地址确定为攻击IP地址，并将确定的攻击IP地址从第一剩余的可疑用户IP地址中过滤掉；预置URL路径是在WEB服务器预先设置好的，若用户请求的URL不是WEB服务器中设置好的URL路径，则将该用户对应的IP地址确定为攻击IP地址，并将确定的攻击IP地址从第一可疑用户IP地址中过滤掉；预置URL跳转关系同样也是在WEB服务器预先设置好的，具体可通过reference表示URL的跳转关系，如用户通过网页A跳转请求的网页B，而WEB服务器中设置的跳转关系只有通过网页C才能请求网页B，说明该用户的请求URL的跳转关系不正确，因此将该用户对应的IP地址确定为攻击IP地址，并将确定的攻击IP地址从第二可疑用户IP地址中过滤掉；预置服务器host字段是WEB服务器中的host字段，如果用户请求host字段不是服务器的host字段，则将该用户对应的IP地址确定为攻击IP地址，并将确定的攻击IP地址从第三可疑用户IP地址中过滤掉；预置URL长度是根据实际需求进行设置的，URL长度具体可以为20、30、40等，本发明实施例不做具体限定，如果用户请求的URL长度超过预置URL长度，则将将该用户对应的IP地址确定为攻击IP地址，并将确定的攻击IP地址从第四可疑用户IP地址中过滤掉。

需要说明的是，由于根据过滤的快慢顺序依次根据预置请求URL、预置URL路径、预置URL跳转关系、预置服务器host字段、预置URL长度对第一剩余的可疑用户IP地址的攻击IP地址进行过滤，可提高确定攻击IP的效率，从而通过本发明实施例可提高攻击防御的效率。

具体的，步骤104根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址包括：将所述预置脚本程序发送给所述第二剩余的可疑用户IP地址对应的客户端，以使得所述客户端执行所述预置脚本程序；若存在执行所述预置脚本程序错误的客户端，则将执行所述预置脚本程序错误的客户端对应的可疑用户IP地址确定为所述攻击IP地址。其中，预置脚本程序为javascript脚步程序，客户端通过执行预置脚本程序确定可疑用户IP地址是否为攻击IP地址。

进一步地，所述将执行所述预置脚本程序错误的客户端对应的可疑用户IP地址确定为所述攻击IP地址之后，所述方法还包括：若存在执行所述预置脚本程序正确的客户端，则向执行所述预置脚本程序正确的客户端发送验证信息，以使得执行所述预置脚本程序正确的客户端接收根据所述验证信息输入的验证码；若所述验证码与所述验证信息不对应，则将执行所述预置脚本程序正确的客户端对应的可疑用户IP地址确定为攻击IP地址；若所述验证码与所述验证信息对应，则将执行所述预置脚本程序正确的客户端对应的可疑用户IP地址确定为可信用户IP。

进一步地，所述方法还包括：将确定为攻击IP地址的可疑用户IP地址存储到所述预置攻击IP地址库中。以实现更新预置攻击IP地址库中的攻击IP地址。需要说明的是，当预置攻击IP地址库中的攻击IP地址重新分配给正常用户使用时，用户为了实现发送服务请求，需要向WEB服务器发送用户身份验证请求，WEB服务器验证通过后，将预置攻击IP地址库中对应的攻击IP地址删除，以此实现用户正常的服务请求。

进一步地，本发明实施例提供一种攻击的防御装置，如图2所示，所述装置包括：识别单元21、第一过滤单元22、第二过滤单元23、第三过滤单元24、拒绝单元25。

识别单元21，用于通过预置阈值识别会话信息中的可疑用户网际协议IP地址，所述会话信息中包含用户IP地址；

会话信息即Session信息，是用户与WEB服务器之间的交互信息，是基于一条数据流连接的相关信息，可疑用户IP地址即可以为可信用户或攻击用户的IP地址。

需要说明的是，正常用户在单位时间内发送服务请求的次数都会有一个阈值，若某个用户在单位时间内发送服务请求的次数不符合这个阈值，说明该用户有可能为攻击用户，所以需要将该用户对应的IP地址确定为可疑用户IP地址。因此本发明实施例通过预置阈值识别会话信息中的可疑用户IP地址，所述预置阈值可根据WEB服务器的特点及正常用户的上网行为确定，具体可根据正常用户单位时间内向目的IP地址发送的请求次数确定预置阈值的大小，如正常用户1分钟内向目的IP地址发送的请求次数小于等于5，则可将预置阈值设置为5，若用户在1分钟内向目的IP地址发送服务请求的次数大于5，则可将该用户对应的IP地址确定为可疑用户IP地址。

第一过滤单元22，用于根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，获得第一剩余的可疑用户IP地址；

其中，所述预置攻击IP地址库是预先配置好的，预置攻击IP地址库中包含所有已确定的攻击IP地址。若可疑用户IP地址在预置攻击IP地址库中出现，则将该可疑用户IP地址确定为攻击IP地址，并将可疑用户IP地址中的攻击IP地址过滤掉，然后将过滤后的可疑用户IP地址确定为第一剩余的可疑用户IP地址；若可疑用户IP地址在预置攻击IP地址库中未出现，则通过步骤103中的服务请求信息对第一剩余的可疑用户IP地址进行进一步的过滤，以过滤掉通过服务请求信息确定的攻击IP地址。

第二过滤单元23，用于通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址；

其中，所述服务请求信息具体可以为用户请求的URL(Uniform Resource Locator，统一资源定位符)、host字段等信息，本发明实施例不做具体限定。在本发明实施例中，具体可根据预置请求URL数量阈值、预置URL路径、预置URL跳转关系、预置服务器host字段、预置URL长度等信息从第一剩余的可疑用户IP地址中过滤攻击IP地址。即将第一剩余的可疑用户IP地址中URL请求数量不符合预置请求URL数量阈值、请求的URL不是预置的URL路径、请求URL的跳转关系不符合预置的URL跳转关系、请求服务器host字段不符合预置的服务器host字段、及请求URL的长度不符合预置的URL长度的可疑用户IP地址确定为攻击IP地址，并将确定为攻击的IP地址从第一剩余的可疑用户IP地址中过滤掉，最后将过滤后的第一剩余的可疑用户IP地址确定为第二剩余的可疑用户IP地址。

第三过滤单元24，用于根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，所述预置脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址；

其中，预置脚本程序为javascript脚步程序，客户端通过执行预置脚本程序确定可疑用户IP地址是否为攻击IP地址，若客户端执行预置脚本程序错误，则将与客户端对应的可疑用户IP地址为攻击IP地址；若客户端执行预置脚本程序正确，则进一步通过人机交互验证码方式判断可疑用户IP地址是为攻击IP地址，若客户端输入的验证码错误，则将与客户端对应的可疑用户IP地址确定为攻击IP地址，若客户端输入的验证码正确，则将与客户端对应的可疑用户IP地址确定为可信IP地址。

拒绝单元25，用于拒绝通过所述攻击IP地址发送的服务请求。

进一步地，如图3所示，所述识别单元21包括。

获取模块211，用于从所述会话信息中获取单位时间内通过所述用户IP地址发送服务请求的次数；

确定模块212，用于将所述单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述可疑用户IP地址。其中，第一预置阈值根据正常用户单位时间内发送的服务请求次数而确定，若正常用户1分钟内发送的服务请求次数为10，则可将第一预置阈值设置为10，若用户在1分钟内发送服务请求的次数大于10，则可将该用户对应的IP地址确定为可疑用户IP地址。

进一步地，所述识别单元21还包括：

所述获取模块211，还用于获取所述单位时间内发送服务请求的次数小于或等于第一预置阈值的用户IP地址；

统计模块213，用于从所述获取的用户IP地址中统计相同用户IP地址的服务请求次数；

所述确定模块212，用于将所述服务请求次数大于第二预置阈值的用户IP地址确定为所述可疑用户IP地址。

需要说明的是，由于同一局域网内的用户对应的IP地址相同，而对应的会话信息不同，因此为了防止攻击者通过局域网内的多台终端设备向WEB服务器发起攻击，需要统计用户IP地址中相同用户IP地址的服务请求次数，然后将服务请求次数大于第二预置阈值的用户IP地址确定为可疑用户IP地址。其中，第二预置阈值根据局域网中单位时间内正常发送的服务请求次数而确定。例如，通过会话信息在单位时间内获取到三个相同的用户IP地址，他们向WEB服务器发送的服务请求次数分别为10、15、20，该用户IP地址发送的服务请求数总计为45，若第二预置阈值为30，则可将用户IP地址确定为可疑用户IP地址。

具体的，所述第二过滤单元23包括：

第一过滤模块231，用于根据预置请求URL数量阈值从所述第一剩余的可疑用户IP地址中过滤所述攻击IP地址，并将过滤后的第一剩余的可疑用户IP地址作为第一可疑用户IP地址；

第二过滤模块232，用于根据预置URL路径将所述第一可疑用户IP地址中请求URL不正确的可疑用户IP地址过滤掉，并将过滤后的第一可疑用户IP地址作为第二可疑用户IP地址；

第三过滤模块233，用于根据预置URL跳转关系将所述第二可疑用户IP地址中请求URL跳转关系不正确的可疑用户IP地址过滤掉，并将过滤后的第二可疑用户IP地址作为第三可疑用户IP地址；

第四过滤模块234，用于根据预置服务器host字段将所述第三可疑用户IP地址中请求host字段不正确的可疑用户IP地址过滤掉，并将过滤后的第三可疑用户IP地址作为第四可疑用户IP地址；

第五过滤模块235，用于根据预置URL长度将所述第四可疑用户IP地址中请求URL长度不正确的可疑用户IP地址过滤掉。

其中，请求URL数量阈值根据正常用户单位时间内请求同一URL的数量而确定，若用户A单位时间内请求同一URL的数量超过预置请求URL数量阈值，则将用户A对应的IP地址确定为攻击IP地址，并将确定的攻击IP地址从第一剩余的可疑用户IP地址中过滤掉；预置URL路径是在WEB服务器预先设置好的，若用户请求的URL不是WEB服务器中设置好的URL路径，则将该用户对应的IP地址确定为攻击IP地址，并将确定的攻击IP地址从第一可疑用户IP地址中过滤掉；预置URL跳转关系同样也是在WEB服务器预先设置好的，具体可通过reference表示URL的跳转关系，如用户通过网页A跳转请求的网页B，而WEB服务器中设置的跳转关系只有通过网页C才能请求网页B，说明该用户的请求URL的跳转关系不正确，因此将该用户对应的IP地址确定为攻击IP地址，并将确定的攻击IP地址从第二可疑用户IP地址中过滤掉；预置服务器host字段是WEB服务器中的host字段，如果用户请求host字段不是服务器的host字段，则将该用户对应的IP地址确定为攻击IP地址，并将确定的攻击IP地址从第三可疑用户IP地址中过滤掉；预置URL长度是根据实际需求进行设置的，URL长度具体可以为20、30、40等，本发明实施例不做具体限定，如果用户请求的URL长度超过预置URL长度，则将将该用户对应的IP地址确定为攻击IP地址，并将确定的攻击IP地址从第四可疑用户IP地址中过滤掉。

需要说明的是，由于根据过滤的快慢顺序依次根据预置请求URL、预置URL路径、预置URL跳转关系、预置服务器host字段、预置URL长度对第一剩余的可疑用户IP地址的攻击IP地址进行过滤，可提高确定攻击IP的效率，从而通过本发明实施例可提高攻击防御的效率。

具体的，所述第三过滤单元24包括：

发送模块241，用于将所述预置脚本程序发送给所述第二剩余的可疑用户IP地址对应的客户端，以使得所述客户端执行所述预置脚本程序；

确定模块242，用于若存在执行所述预置脚本程序错误的客户端，则将执行所述预置脚本程序错误的客户端对应的可疑用户IP地址确定为所述攻击IP地址。

所述发送模块241，还用于若存在执行所述预置脚本程序正确的客户端，则向执行所述预置脚本程序正确的客户端发送验证信息，以使得执行所述预置脚本程序正确的客户端接收根据所述验证信息输入的验证码；

所述确定模块242，还用于若所述验证码与所述验证信息不对应，则将执行所述预置脚本程序正确的客户端对应的可疑用户IP地址确定为攻击IP地址；

所述确定模块242，还用于若所述验证码与所述验证信息对应，则将执行所述预置脚本程序正确的客户端对应的可疑用户IP地址确定为可信用户IP。

进一步地，所述装置还包括：

存储单元26，用于将确定为攻击IP地址的可疑用户IP地址存储到所述预置攻击IP地址库中。

需要说明的是，当预置攻击IP地址库中的攻击IP地址重新分配给正常用户使用时，用户为了实现发送服务请求，需要向WEB服务器发送用户身份验证请求，WEB服务器验证通过后，将预置攻击IP地址库中对应的攻击IP地址删除，以此实现用户正常的服务请求。

本发明实施例提供的另一种攻击的防御装置，采用层层过滤的方式对HTTP Flood攻击进行防御，即首先通过预置阈值识别会话信息中的可疑用户IP地址，然后依次根据预置攻击IP地址库、服务请求信息、预置脚本程序从可疑用户IP地址中层层过滤出攻击IP地址，并通过拒绝攻击IP地址发送的服务请求实现攻击防御。由于通过预置阈值可快速识别出会话信息中的可疑用户IP地址，且根据过滤的快慢顺序依次通过预置攻击IP地址库、服务请求信息、预置脚本程序对可疑用户IP地址中的攻击IP地址进行过滤，可提高确定攻击IP的效率，从而通过本发明实施例可提高攻击防御的准确率及效率。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的攻击的防御方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。