[0001] 本发明涉及防攻击领域，具体涉及一种攻击的防御方法。

[0002] APT(Advanced Persistent Threat)一种新型的网络攻击，其对国家国防安全、国民经济安全、 重要行业信息安全、公司商业信息安全构成严重威胁。APT利用先进的攻击手段对特定目标进行长 期持续性网络攻击的攻击形式，攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要 体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的 过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所 需的网络。

[0003] 目前，对APT危机所采取的措施主要是安装网络安全预警系统。然而，网络安全预警系统是 一种基于硬件的网络安全技术，能够针对局域网内的安全事件自动进行归纳总结，并根据这些数 据对全网安全进行预警。但是，对于从海量数据中分析中所潜伏的威胁，上述防御措施存在漏洞， 并且很难对所有海量数据进行分析，因此可能会错过潜伏的APT攻击，APT攻击防御的精度低。

[0034] 为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例，对本 发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分 实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出 创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

[0035] 一种攻击的防御方法，包括：

[0036] 通过预置阈值识别会话信息中的可疑用户网际协议IP地址，所述会话信息中包含用户 IP地址；

[0037] 根据预置攻击IP地址库在可疑用户IP地址中过滤攻击IP地址，获得第一剩余的可疑 用户IP地址；

[0038] 通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP地址中过滤攻击 IP地址，获得第二剩余的可疑用户IP地址；

[0039] 根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP地址，所述预置 脚本程序用于确定所述第二剩余的可疑用户IP地址中包含的攻击IP地址；

[0040] 拒绝通过所述攻击IP地址发送的服务请求。

[0041] 进一步地，所述通过预置阈值识别会话信息中的可疑用户IP地址包括：

[0042] 从所述会话信息中获取单位时间内通过所述用户IP地址发送服务请求的次数；

[0043] 将所述单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址确定为所述 可疑用户IP地址。

[0044] 进一步地，所述将单位时间内发送服务请求的次数大于第一预置阈值的用户IP地址 确定为所述可疑用户IP地址之后，所述方法还包括：

[0045] 获取所述单位时间内发送服务请求的次数小于或等于第一预置阈值的用户IP地址；

[0046] 从所述获取的用户IP地址中统计相同用户IP地址的服务请求次数；

[0047] 将所述服务请求次数大于第二预置阈值的用户IP地址确定为所述可疑用户IP地址。

[0048] 进一步地，所述通过所述会话信息中的服务请求信息从所述第一剩余的可疑用户IP 地址中过滤攻击IP地址，获得第二剩余的可疑用户IP地址包括：

[0049] 根据预置请求URL数量阈值从所述第一剩余的可疑用户IP地址中过滤所述攻击IP地 址，并将过滤后的第一剩余的可疑用户IP地址作为第一可疑用户IP地址；

[0050] 根据预置URL路径将所述第一可疑用户IP地址中请求URL不正确的可疑用户IP地址 过滤掉，并将过滤后的第一可疑用户IP地址作为第二可疑用户IP地址；

[0051] 根据预置URL跳转关系将所述第二可疑用户IP地址中请求URL跳转关系不正确的可疑 用户IP地址过滤掉，并将过滤后的第二可疑用户IP地址作为第三可疑用户IP地址；

[0052] 根据预置服务器host字段将所述第三可疑用户IP地址中请求host字段不正确的可疑 用户IP地址过滤掉，并将过滤后的第三可疑用户IP地址作为第四可疑用户IP地址；

[0053] 根据预置URL长度将所述第四可疑用户IP地址中请求URL长度不正确的可疑用户IP 地址过滤掉。

[0054] 进一步地，所述根据预置脚本程序从所述第二剩余的可疑用户IP地址中过滤攻击IP 地址包括：

[0055] 将所述预置脚本程序发送给所述第二剩余的可疑用户IP地址对应的客户端，以使得所 述客户端执行所述预置脚本程序；

[0056] 若存在执行所述预置脚本程序错误的客户端，则将执行所述预置脚本程序错误的客户 端对应的可疑用户IP地址确定为所述攻击IP地址。

[0057] 进一步地，所述将执行所述预置脚本程序错误的客户端对应的可疑用户IP地址确定 为所述攻击IP地址之后，所述方法还包括：

[0058] 若存在执行所述预置脚本程序正确的客户端，则向执行所述预置脚本程序正确的客户 端发送验证信息，以使得执行所述预置脚本程序正确的客户端接收根据所述验证信息输入 的验证码；

[0059] 若所述验证码与所述验证信息不对应，则将执行所述预置脚本程序正确的客户端对应 的可疑用户IP地址确定为攻击IP地址；

[0060] 若所述验证码与所述验证信息对应，则将执行所述预置脚本程序正确的客户端对应的 可疑用户IP地址确定为可信用户IP。

[0061] 以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何属 于本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵 盖在本发明的保护范围。