[发明专利]网络攻击防御系统、方法及装置

权利要求书

1.一种网络攻击防御系统，其特征在于，包括：

一个或多个第一终端，用于向第二终端上运行的待保护站点发送服务请求；

所述第二终端，用于依据所述服务请求获取所述待保护站点的统计参数，其中，该统计参数为在第一预定时间内对所述待保护站点的特征参数进行统计得到的参数；依据所述统计参数判断所述待保护站点是否由当前运行状态切换至目标运行状态，得到判断结果，其中，所述当前运行状态和目标运行状态所采用的防护策略是不同的；以及依据判断结果调用与所述当前运行状态对应的防护策略或所述目标运行状态对应的防护策略对所述待保护站点进行防护；

所述第二终端，还用于将所述统计参数的滑动平均值、所述统计参数的参数值以及所述待保护站点在当前状态下的持续时间输入与所述待保护站点对应的布尔表达式，输出取值；以及依据所述取值确定所述待保护站点是否由当前运行状态切换至目标运行状态。

2.根据权利要求1所述的系统，其特征在于，所述第二终端，还用于获取所述待保护站点接收的HTTP数据包；从所述HTTP数据包中提取所述特征参数，并对相同类型的所述特征参数进行统计，得到所述统计参数。

3.根据权利要求1所述的系统，其特征在于，所述第二终端，还用于获取所述统计参数的滑动平均值，以及所述待保护站点在当前运行状态下的持续时间；以及依据所述滑动平均值、所述统计参数的参数值以及所述持续时间判断所述待保护站点是否由当前运行状态切换至目标运行状态。

4.根据权利要求1至3中任一项所述的系统，其特征在于，所述防护策略包括：防护等级和/或防护算法，其中，所述防护等级用于指示对所述待保护站点的防护程度。

5.一种网络攻击防御方法，其特征在于，包括：

获取待保护站点的统计参数，其中，该统计参数为在第一预定时间内对所述待保护站点的特征参数进行统计得到的参数，所述特征参数用于反映所述待保护站点的运行状态；

依据所述统计参数判断所述待保护站点是否由当前运行状态切换至目标运行状态，得到判断结果，其中，所述当前运行状态和目标运行状态所采用的防护策略是不同的；

将所述统计参数的滑动平均值、所述统计参数的参数值以及所述待保护站点在当前状态下的持续时间输入与所述待保护站点对应的布尔表达式，输出取值；以及依据所述取值确定所述待保护站点是否由当前运行状态切换至目标运行状态；

依据判断结果调用与所述当前运行状态对应的防护策略或所述目标运行状态对应的防护策略对所述待保护站点进行防护。

6.根据权利要求5所述的方法，其特征在于，获取待保护站点的统计参数，包括：

获取所述待保护站点接收的HTTP数据包；

从所述HTTP数据包中提取所述特征参数，并对相同类型的所述特征参数进行统计，得到所述统计参数。

7.根据权利要求6所述的方法，其特征在于，获取所述待保护站点接收的HTTP数据包，包括：

获取来自多个数据源的所述HTTP数据包；

对所述HTTP数据包按照站点进行分类，得到所述待保护站点的HTTP数据包。

8.根据权利要求5至7中任一项所述的方法，其特征在于，所述防护策略包括：防护等级和/或防护算法，其中，所述防护等级用于指示对所述待保护站点的防护程度。

9.根据权利要求8所述的方法，其特征在于，依据判断结果调用与所述当前运行状态对应的防护策略或所述目标运行状态对应的防护策略对所述待保护站点进行防护之后，所述方法还包括：

统计对所述待保护站点进行防护后在第二预定时间内的误杀率；在所述误杀率大于第一阈值时，变更所述防护算法；和/或

统计对所述待保护站点进行防护后在第三预定时间内的漏杀率；在所述漏杀率大于第一阈值时，调整所述防护等级。