[发明专利]一种基于流量分析的网络攻击防护方法和装置

权利要求书

1.一种基于流量分析的网络攻击防护方法，其特征在于，包括：

采集经过网络服务器与网络路由设备之间的网络流量；

解析所述网络流量中的网络访问参数；

通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参数；

根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接。

2.如权利要求1所述的方法，其特征在于，所述采集经过网络服务器与网络路由设备之间的网络流量包括：

采用连接在所述网络服务器与所述网络路由设备之间的网络分光器、网络交换机或集线器，复制所述网络供应商服务器发送给所述网络路由设备的网络流量。

3.如权利要求1所述的方法，其特征在于，所述采集经过网络服务器与网络路由设备之间的网络流量还包括：

通过网络分流器对属于同一次网络访问的所述网络流量进行划分。

4.如权利要求1所述的方法，其特征在于，所述网络流量为TCP报文，在所述解析所述网络流量中的网络访问参数之前，所述方法还包括：

确定所述TCP报文为记录一次完整的网络访问过程的Http数据。

5.如权利要求4所述的方法，其特征在于，在所述解析所述网络流量中的网络访问参数之前，所述方法还包括：

若所述TCP报文并非记录一次完整的网络访问过程的Http数据，则根据所述TCP报文携带的编号，将属于同一次网络访问的多个TCP报文重组为记录经过七层网络传输结构的一次网络访问的Http数据。

6.如权利要求1所述的方法，其特征在于，所述网络访问参数包括统一资源标识符、访问源IP、访问目的IP、Host字段、访问链接来源、用户代理、cookie和访问请求参数中至少一种。

7.如权利要求1所述的方法，其特征在于，所述通过与预置规则匹配，查找由网络攻击源访问网络服务器产生的网络流量对应的目标网络访问参 数包括：

针对对应同一次网络访问的网络流量，将所述网络访问参数与所述预置规则匹配，所述预置规则指示所述网络攻击源访问所述网络服务器时携带的至少一个特征数据，所述预置规则包括多条子规则；

若所述网络访问参数与至少一条所述子规则匹配，则确定对应的网络流量为所述网络攻击源访问所述网络服务器产生的网络流量，并将对应的网络访问参数作为目标网络访问参数。

8.如权利要求1所述的方法，其特征在于，所述根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接为，根据与所述目标网络访问参数属于同一次网络访问的其它至少一个网络访问参数，禁止所述网络攻击源与所述网络服务器建立连接。

9.如权利要求8所述的方法，其特征在于，所述目标网络访问参数包括所述网络攻击源的统一资源标识符；在所述根据所述目标网络访问参数禁止所述网络攻击源与所述网络服务器建立连接之前，所述方法还包括：

在与所述统一资源标识符对应同一次网络访问的网络流量中，提取所述网络攻击源的访问源IP。

10.如权利要求9所述的方法，其特征在于，所述根据与所述目标网络访问参数属于同一次网络访问的其它至少一个网络访问参数，禁止所述网络攻击源与所述网络服务器建立连接包括：

实时采集所述网络服务器发送至所述网络路由设备的网络流量；

若所述网络流量中记录的访问源IP与所述网络攻击源的访问源IP匹配，则通过向所述网络攻击源或所述网络服务器发送连接复位报文来中断所述网络攻击源与所述网络服务器之间的连接。

11.如权利要求9所述的方法，其特征在于，所述根据与所述目标网络访问参数属于同一次网络访问的其它至少一个网络访问参数，禁止所述网络攻击源与所述网络服务器建立连接包括：

将所述网络攻击源的访问源IP通知到所述网络服务器所处网络集群中包括的多个网络服务器，以由各个网络服务器在接收到所述网络攻击源的访 问源IP的网络访问请求时，中断与所述网络攻击源之间的连接。