攻击防御方法和系统

技术领域

本发明涉及网络安全技术领域，具体而言，涉及一种攻击防御方法和系统。

背景技术

随着网络技术的发展，网络中的恶意攻击也层出不穷，对于业务系统而言，CC攻击是较常见的攻击类型。攻击者对业务系统发起CC攻击前，通常会先对业务系统进行分析，寻找业务系统最薄弱的地方，例如数据库查询最耗时的业务接口等，然后通过大量的傀儡主机模拟业务系统的正常请求发起海量攻击。由于精心构造的CC攻击请求和正常业务请求极度相似，系统管理员或安全运维人员在制定防御策略时非常棘手，稍有差错就会对正常业务造成大量的误拦截，出现投鼠忌器的情况。因此，CC攻击特别是近几年兴起的分布式慢速CC攻击一直是当前互联网世界中广泛存在且十分具有威胁性的安全问题之一。

当前主流的云安全防御CC攻击的方法是将针对业务系统的所有访问请求流量通过DNS(Domain Name System，域名系统)解析到云安全防御平台的节点。云安全防御节点上的攻击防御装置通过对所有的访客IP的请求行为诸如访问路径、访问频率、访问时间等进行监测和建模。待发现异常的访问特征后，对该IP的请求进行限速、验证码弹窗二次校验或者阻断等方式来缓解攻击造成的影响。这种防御方法比较依赖云安全CC防护自身引擎的算法质量，由于被动建模是需要时间的，这种防御方式存在一定的攻击识别拦截时间差，容易放过大量的攻击请求，对源站业务系统造成压力。并且，这种防御方法比较关注单个IP对象的请求速率，无法有效的防御分布式的低频的慢速CC攻击，同时容易对拥有高频API调用请求的业务系统造成大量误拦截，影响业务系统的访问体验。

发明内容

本发明的目的包括，例如，提供了一种攻击防御方法和系统，其能够通过防御平台和业务系统的联动，以更客观、精准地识别攻击行为进而阻断。

本发明的实施例可以这样实现：

第一方面，本发明提供一种攻击防御方法，应用于攻击防御系统，所述攻击防御系统包括通信连接的业务系统和防御平台，所述方法包括：

所述防御平台在接收到访问请求时，判断发送所述访问请求的主机的主机IP是否为明显异常IP；

若判定所述主机IP不是明显异常IP，再基于存储的亲密度信息判断所述主机IP是否为疑似攻击IP，所述亲密度信息为所述业务系统基于来自各个主机IP的访问行为所计算得到并发送至所述防御平台的；

若判定所述主机IP为疑似攻击IP，则采用第一防御策略对所述访问请求进行多次校验，若判定所述主机IP不为疑似攻击IP，则采用第二防御策略对所述访问请求进行校验；

根据所述第一防御策略下的校验结果，或所述第二防御策略下的校验结果判定是否阻断所述访问请求。

在可选的实施方式中，所述基于存储的亲密度信息判断所述主机IP是否为疑似攻击IP的步骤，包括：

查找存储的亲密度信息中是否存在与所述主机IP对应的亲密度信息；

若存储的亲密度信息中不存在与所述主机IP对应的亲密度信息，或者与所述主机IP对应的亲密度信息中的亲密度值小于预设阈值，则判定所述主机IP为疑似攻击IP；

若所述主机IP对应的亲密度信息中的亲密度值大于或等于预设阈值，则判定所述主机IP不为疑似攻击IP。

在可选的实施方式中，所述业务系统基于来自各个主机IP的访问请求计算得到亲密度信息的步骤，包括：

针对向所述业务系统发起访问请求的各个主机IP，记录所述主机IP的访问请求的访问接口、交互操作信息以及所述主机IP的注册信息；

根据所述访问接口、交互操作信息和注册信息计算得到亲密度信息。

在可选的实施方式中，所述根据所述访问接口、交互操作信息和注册信息计算得到亲密度信息的步骤，包括：

检测所述访问接口为正常访问接口还是异常访问接口；

获得所述交互操作信息中包含的访问页面信息、页面浏览信息以及在页面上的操作信息；

检测所述注册信息是否具有实名认证信息；

结合接口检测信息、访问页面信息、页面浏览信息、操作信息以及注册信息检测结果，计算得到亲密度信息。

在可选的实施方式中，所述采用第一防御策略对所述访问请求进行多次校验的步骤，包括：

针对所述访问请求，采用人机识别校验方式进行校验；

在人机识别校验通过后，再采用验证码校验方式进行校验；

在验证码校验通过后，采用WEB应用程序防火墙进行防御校验。

在可选的实施方式中，所述采用第二防御策略对所述访问请求进行校验的步骤，包括：

针对所述访问请求，采用WEB应用程序防火墙进行防御校验。

在可选的实施方式中，所述方法还包括：

所述业务系统将计算得到的亲密度信息携带在HTTP响应头中，并发送至所述防御平台，以使所述防御平台将所述亲密度信息进行存储。

在可选的实施方式中，所述根据所述第一防御策略下的校验结果，或所述第二防御策略下的校验结果判定是否阻断所述访问请求的步骤，包括：

在所述第一防御策略下的校验结果或所述第二防御策略下的校验结果表征校验通过时，将所述将访问请求发送至所述业务系统，并接收所述业务系统针对所述访问请求所返回的反馈信息，将所述反馈信息进行外发；

在所述第一防御策略下的校验结果或所述第二防御策略下的校验结果表征校验未通过时，阻断所述访问请求。

第二方面，本发明提供一种攻击防御系统，所述攻击防御系统包括通信连接的业务系统和防御平台；

所述防御平台用于在接收到访问请求时，判断发送所述访问请求的主机的主机IP是否为明显异常IP；

所述防御平台还用于在判定所述主机IP不是明显异常IP时，再基于存储的亲密度信息判断所述主机IP是否为疑似攻击IP，所述亲密度信息为所述业务系统基于来自各个主机IP的访问行为所计算得到并发送至所述防御平台的；

所述防御平台还用于在判定所述主机IP为疑似攻击IP时，采用第一防御策略对所述访问请求进行多次校验，若判定所述主机IP不为疑似攻击IP，则采用第二防御策略对所述访问请求进行校验；

所述防御平台还用于根据所述第一防御策略下的校验结果，或所述第二防御策略下的校验结果判定是否阻断所述访问请求。

在可选的实施方式中，所述业务系统用于基于来自各个主机IP的访问请求并通过以下方式计算得到亲密度信息：

针对向所述业务系统发起访问请求的各个主机IP，记录所述主机IP的访问请求的访问接口、交互操作信息以及所述主机IP的注册信息；

根据所述访问接口、交互操作信息和注册信息计算得到亲密度信息。

本发明实施例的有益效果包括，例如：

本申请提供一种攻击防御方法和系统，防御平台在接收到访问请求时，首先判断对应的主机IP是否为明显异常IP，若不是明显异常IP，再基于存储的亲密度信息判断主机IP是否为疑似攻击IP，亲密度信息是业务系统基于来自各个主机IP的访问行为所计算得到并发送至防御平台的。若判定主机IP为疑似攻击IP，则采用第一防御策略对访问请求进行多次校验，否则，采用第二防御策略对访问请求进行校验，最后根据校验结果判定是否阻断访问请求。本方案中，防御平台基于自身的防御规则判定主机IP是否明显异常，并且，结合业务系统从业务逻辑角度所得到的亲密度信息来判断主机IP是否疑似攻击IP，从而实现攻击防御，通过两者联动的方式可以更客观、精准识别到攻击行为进而阻断，保障网络安全。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的攻击防御系统的架构图；

图2为本申请实施例提供的攻击防御方法的流程图；

图3为本申请实施例提供的攻击防御方法中，亲密度信息计算方法的流程图；

图4为图3中S22包含的子步骤的流程图；

图5为图2中S12包含的子步骤的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本发明的描述中，需要说明的是，若出现术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

需要说明的是，在不冲突的情况下，本发明的实施例中的特征可以相互结合。

以下对本实施例后续所涉及到的一些专用名词进行解释说明：

IP地址(Internet Protocol Address)：是用来唯一地标识网络上的设备(如计算机、手机等)的数字地址。它是一个32位或128位二进制数，由若干个8位二进制数组成，通常被分为四段并分别表示成1到3个十进制数。IP地址用于在互联网中转发数据和信息，并能够定位发送请求和响应消息之间的设备。

DDoS攻击(Distributed Denial of Service，分布式拒绝服务攻击)：是一种利用多个计算机和网络设备协同工作，向目标服务器发送大量虚假请求以耗尽资源的攻击行为。攻击者使用特殊软件或病毒来控制并操纵成千上万的计算机进行攻击，这些计算机组成一个“僵尸网络”(也被称为“botnet”)，并同时对其目标发起请求。这可能导致正常用户无法访问受影响的系统、网站或服务。

CC攻击(Challenge Collapsar，挑战黑洞)：是DDoS攻击的一种类型，攻击者通过“僵尸网络”IP模拟业务系统的正常请求，向目标服务器发送海量虚假请求，消耗其大量算力，使系统服务过载，从而拒绝服务。

分布式慢速CC攻击：是常规CC攻击的一种变种，其攻击方式不再依赖于单个IP的高请求频率，而是利用“僵尸网络”中大量的IP地址来提升攻击的总数。由于每个IP地址的请求速度相对较慢(即低频)，因此这种攻击方式更难被防火墙等安全设备识别和拦截。

请参阅图1，为本申请实施例提供的攻击防御系统的架构图，该攻击防御系统包括业务系统和防御平台，其中，业务系统和防御平台通信连接，外部终端设备可与防御平台通信，进而对业务系统进行访问，实现两者之间的数据、信息的交互。

其中，业务系统和防御平台可以是安装于同一设备上的软件功能系统，也可以是安装于不同设备上的软件功能系统，例如防御平台可以是云端设备上的云安全防御系统。

来自终端设备的访问请求先到达防御平台，防御平台结合自身防御规则以及获得的业务系统从业务逻辑角度所计算得到的亲密度信息来判断发起访问请求的主机的主机IP是否为疑似攻击IP，从而实现攻击防御，可以更为客观、精准地识别到攻击行为进而阻断，保障网络安全。

请结合参阅图2，为本申请实施例提供的攻击防御方法的流程示意图，该攻击防御方法应用于上述攻击防御系统。该攻击防御方法的详细步骤介绍如下。

S11，所述防御平台在接收到访问请求时，判断发送所述访问请求的主机的主机IP是否为明显异常IP，若判定所述主机IP不是明显异常IP，执行以下步骤S12，若判定所述主机IP是明显异常IP，则阻断所述访问请求。

S12，基于存储的亲密度信息判断所述主机IP是否为疑似攻击IP，所述亲密度信息为所述业务系统基于来自各个主机IP的访问行为所计算得到并发送至所述防御平台的，若判定所述主机IP为疑似攻击IP，执行以下步骤S13，若判定所述主机IP不为疑似攻击IP，执行以下步骤S14。

S13，采用第一防御策略对所述访问请求进行多次校验。

S14，采用第二防御策略对所述访问请求进行校验。

S15，根据所述第一防御策略下的校验结果，或所述第二防御策略下的校验结果判定是否阻断所述访问请求。

本实施例中，终端设备可向业务系统发起访问请求，以对业务系统进行访问。终端设备发起的访问请求先到达防御平台，防御平台可首先根据防御逻辑判断发送该访问请求的主机的主机IP是否为明显异常IP。

例如，防御平台可以基于访问请求的访问路径、访问频率、访问时间等来判断主机IP是否为明显异常IP。若判定为明显异常IP，则可以直接阻断该访问请求，以避免业务系统受到攻击。

虽然防御平台基于防御逻辑可以阻断一些攻击行为，但是对于例如低频的慢速CC攻击很难准确判断并有效拦截。因此，在此基础上，防御平台还可基于存储的亲密度信息来进一步判断访问请求是否可能为攻击请求。

本实施例中，亲密度信息是业务系统预先基于来自各个主机IP的访问请求所计算得到的。业务系统从业务逻辑角度对各个主机IP进行亲密度信息计算。

亲密度信息主要是指访客IP与业务系统之间的关系强度。如果一个访客IP在业务系统未遭受攻击期间，经常友好的访问业务系统并成功完成一系列按正常业务逻辑进行交互的动作，可以将该访客IP称为熟人IP，其亲密度较高，反之则称为陌生IP，其亲密度则趋于0。

CC攻击者操控的“僵尸网络”主机在未接到攻击者的攻击指令之前，几乎不会去正常的访问目标业务系统并展开正常逻辑的业务交互活动。攻击IP主要在攻击期间异常活跃，且一般不会展开正常的业务交互(比如正常登录业务系统、在商品介绍页面停留一段时间后再去购买商品、付款等)，因此异常IP和业务系统的亲密度趋于0。

正常的系统访客IP则恰恰相反，其在业务系统未遭受攻击期间通常较为活跃并且能成功的完成一系列的符合业务逻辑的业务交互动作，和业务系统的亲密度较高。而在业务系统遭受攻击期间，由于业务系统响应延迟较大，对访客体验不友好，反而活跃度有所降低。

因此，本实施例中，业务系统基于业务逻辑角度对来自各个主机IP的访问请求的访问行为进行分析，可以基于业务系统最原生的业务逻辑防御能力，实现更客观、更精准的攻击行为的识别。

业务系统将预先计算得到的亲密度信息发送至防御平台，防御平台将接收到的亲密度信息存储在数据库中。

基于此，针对当前接收到的访问请求，若防御平台判定该访问请求的主机IP不是明显异常IP，则可以调用存储的亲密度信息来进一步判断该主机IP是否为疑似攻击IP。

如此，在判定为疑似攻击IP的情况下，则可以采用第一防御策略对该访问请求进行多次校验，以进行更为严格的、多重的校验。而若判定为不是疑似攻击IP，则可以采用第二防御策略进行校验，该校验可以是基本的如防火墙校验等，无需进行严格的、多重的校验。

在此基础上，在第一防御策略下的校验结果或第二防御策略下的校验结果表征校验通过时，将访问请求发送至业务系统，并接收业务系统针对访问请求所返回的反馈信息，将反馈信息进行外发。

在第一防御策略下的校验结果或第二防御策略下的校验结果表征校验未通过时，阻断访问请求。

本实施例所提供的攻击防御方案，防御平台基于自身的防御规则判定主机IP是否明显异常，并且，结合业务系统从业务逻辑角度所得到的亲密度信息来判断主机IP是否疑似攻击IP，从而实现攻击防御。通过两者联动的方式可以更客观、精准识别到攻击行为进而阻断，在不影响熟人访客访问业务系统的情况下，对例如CC攻击或其他渗透攻击进行识别或阻断。

请结合参阅图3，以下对业务系统基于来自各个主机IP的访问请求计算得到亲密度信息的方式进行介绍说明。

S21，针对向所述业务系统发起访问请求的各个主机IP，记录所述主机IP的访问请求的访问接口、交互操作信息以及所述主机IP的注册信息。

S22，根据所述访问接口、交互操作信息和注册信息计算得到亲密度信息。

由上述可知，防御平台可以拦截一些明显异常的主机IP的访问请求，另一些正常的或者并非明显异常的主机IP的访问请求将到达业务系统，以对业务系统进行访问。

业务系统可以基于访问请求具体的访问行为来对各个主机IP进行亲密度信息设置。业务系统可以从访问请求的访问接口、交互操作信息和注册信息等维度来计算亲密度信息。业务系统可以包括IP亲密度计算模块，可以通过调用IP亲密度计算模块来进行亲密度信息计算。

请结合参阅图4，具体可以通过以下方式计算得到亲密度信息：

S221，检测所述访问接口为正常访问接口还是异常访问接口。

S222，获得所述交互操作信息中包含的访问页面信息、页面浏览信息以及在页面上的操作信息。

S223，检测所述注册信息是否具有实名认证信息。

S224，结合接口检测信息、访问页面信息、页面浏览信息、操作信息以及注册信息检测结果，计算得到亲密度信息。

正常访问请求一般会接入业务系统的统一接口进行访问，因此，可以检测访问请求的访问接口，以判断访问请求是系统正常接口，还是例如一些不存在的HTTP404状态码的异常的页面接口。此外，还可以检测访问请求是否存在持续多次访问登陆接口URL等异常行为。

针对业务系统的正常访问请求一般会在业务系统上执行一系列正常的业务操作，例如，根据业务逻辑访问业务系统上的一些页面、按照正常的浏览时间在页面上停留一定时长。又如，在页面上执行如购买商品并成功付款等操作行为等。

此外，若访问请求的主机IP的账号通过了相关安全平台的联网实名认证，则表明该主机IP大概率并非异常IP。

若主机IP的访问请求的访问行为中包括如直接重置账号密度等非正常逻辑的请求，通常可以判定为机器扫描的异常行为。若访问行为具有明显的攻击特征，例如账号密码爆破行为、在短时间内多次尝试找回密码、提示“账号已锁定”后仍然持续访问等，表明该主机IP大概率为攻击IP。

基于上述业务逻辑，业务系统可以从访问接口角度，为正常访问接口的访问请求的主机IP设置较高的亲密度值，为异常访问接口的访问请求的主机IP设置较低的亲密度值。此外，对具有上述的正常的访问页面信息、页面浏览信息以及页面上的操作信息的访问请求的主机IP设置较高的亲密度值，为异常的访问交互操作信息的访问请求的主机IP设置较低的亲密度值。此外，可以为通过实名认证的主机IP设置较高的亲密度值。

业务系统综合上述多个维度，可以为各个主机IP设置对应的亲密度值，亲密度值越高表明对应的主机IP与业务系统之间的亲密度越高，也即为正常的主机IP。而亲密度值越低，如低于一定阈值时，表明对应的主机IP极可能为攻击IP。

业务系统将计算得到的亲密度值发送至防御平台，本实施例中，业务系统可以将计算得到的亲密度信息携带在HTTP响应头中，并发送至防御平台，以使防御平台将亲密度信息进行存储。

防御平台在基于自身的防御逻辑判定当前的访问请求的主机IP并非明显异常IP后，可以基于亲密度值对访问请求进行进一步判断。

请参阅图5，本实施例中，防御平台可以基于存储的亲密度信息并按照以下方式判断主机IP是否为疑似攻击IP：

S121，查找存储的亲密度信息中是否存在与所述主机IP对应的亲密度信息，若存储的亲密度信息中不存在与所述主机IP对应的亲密度信息，执行步骤S124，若存储的亲密度信息中存在与所述主机IP对应的亲密度信息，执行步骤S122。

S122，检测与所述主机IP对应的亲密度信息中的亲密度值是否小于预设阈值，若所述主机IP对应的亲密度信息中的亲密度值小于预设阈值，执行步骤S124，若所述主机IP对应的亲密度信息中的亲密度值大于或等于预设阈值，执行步骤S123。

S123，判定所述主机IP不为疑似攻击IP。

S124，判定所述主机IP为疑似攻击IP。

由上述可知，业务系统是根据已接收到的访问请求的访问行为来计算亲密度信息并同步给防御平台，若防御平台存储的亲密度信息中不存在当前访问请求的主机IP对应的亲密度信息，表明当前访问请求为主机IP的首次访问请求。由于该主机IP并未经由业务系统的业务逻辑判断，因此，可以将该主机IP判定为疑似攻击IP，后续将以严格的、多重的校验机制对该访问请求进行校验，以避免受到攻击。

而若当前访问请求的主机IP对应的亲密度值过低，如低于预设阈值，则表明该主机IP之前对业务系统进行过访问，并且访问行为存在一些异常，进而被业务系统设置较低的亲密度值。因此，可以将该主机IP判定为疑似攻击IP，对该访问请求进行严格的校验。

若当前访问请求的主机IP对应的亲密度值较高，如高于预设阈值，则表明该主机IP之前对业务系统进行过访问，且经由业务系统从业务逻辑角度判断为正常访问行为。因此，可以将该主机IP判定为非疑似攻击IP，后续仅需经过基本的校验即可。

本实施例中，对于上述被判定为疑似攻击IP的主机发送的访问请求，采用第一防御策略对该访问请求进行多次校验。可选地，针对该访问请求，可采用人机识别校验方式进行校验，在人机识别校验通过后，再采用验证码校验方式进行校验。若验证码校验方式校验通过，再执行WEB应用程序防火墙防御校验，若校验通过则表明在第一防御策略下的校验结果为校验通过，防御平台可将访问请求发送至业务系统。

本实施例中，防御平台可包括人机识别模块、验证码校验模块、攻击拦截模块等。可以通过调用相关的模块执行对应操作。

而对于上述被判定不为疑似攻击IP的主机发送的访问请求，采用第二防御策略对该访问请求进行校验，可选地，针对该访问请求，直接采用WEB应用程序防火墙进行防御校验。该防御校验为基本的防御校验，在第一防御策略下的校验结果为校验通过时，防御平台可将访问请求发送至业务系统。

在第一防御策略或第二防御策略下校验通过后，防御平台可将访问请求发送给业务系统，由业务系统进行正常处理。否则防御平台可以将访问请求进行阻断或丢弃。

本实施例所提供的攻击防御方案，通过防御平台和业务系统的有效联动，将业务系统对于攻击的自我感知能力赋予防御平台，从而让主观的防御模式变得更加客观、精准，使得防御平台拥有基于业务逻辑的防御能力。本方案中，将攻击防御和业务场景进行综合考虑，可在尽可能不影响熟人访客访问业务系统的情况下，对高度伪装的变种CC攻击或其他渗透扫描攻击进行更精准的识别和拦截，可减少漏防、降低误报率。

请再次参阅图1，本申请实施例提供的攻击防御系统与上述实施例中的攻击防御方法相对应，攻击防御系统中防御平台和业务系统可以用于实现以下功能：

所述防御平台，用于在接收到访问请求时，判断发送所述访问请求的主机的主机IP是否为明显异常IP；

若判定所述主机IP不是明显异常IP，再基于存储的亲密度信息判断所述主机IP是否为疑似攻击IP，所述亲密度信息为所述业务系统基于来自各个主机IP的访问行为所计算得到并发送至所述防御平台的；

若判定所述主机IP为疑似攻击IP，则采用第一防御策略对所述访问请求进行多次校验，若判定所述主机IP不为疑似攻击IP，则采用第二防御策略对所述访问请求进行校验；

根据所述第一防御策略下的校验结果，或所述第二防御策略下的校验结果判定是否阻断所述访问请求。

在一种可能的实现方式中，防御平台用于通过以下方式基于存储的亲密度信息判断主机IP是否为疑似攻击IP：

查找存储的亲密度信息中是否存在与所述主机IP对应的亲密度信息；

若存储的亲密度信息中不存在与所述主机IP对应的亲密度信息，或者与所述主机IP对应的亲密度信息中的亲密度值小于预设阈值，则判定所述主机IP为疑似攻击IP；

若所述主机IP对应的亲密度信息中的亲密度值大于或等于预设阈值，则判定所述主机IP不为疑似攻击IP。

在一种可能的实现方式中，所述业务系统用于通过以下方式基于来自各个主机IP的访问请求计算得到亲密度信息：

针对向所述业务系统发起访问请求的各个主机IP，记录所述主机IP的访问请求的访问接口、交互操作信息以及所述主机IP的注册信息；

根据所述访问接口、交互操作信息和注册信息计算得到亲密度信息。

在一种可能的实现方式中，所述业务系统用于通过以下方式根据访问接口、交互操作信息和注册信息计算得到亲密度信息：

检测所述访问接口为正常访问接口还是异常访问接口；

获得所述交互操作信息中包含的访问页面信息、页面浏览信息以及在页面上的操作信息；

检测所述注册信息是否具有实名认证信息；

结合接口检测信息、访问页面信息、页面浏览信息、操作信息以及注册信息检测结果，计算得到亲密度信息。

在一种可能的实现方式中，所述防御平台用于通过以下方式采用第一防御策略对访问请求进行多次校验：

针对所述访问请求，采用人机识别校验方式进行校验；

在人机识别校验通过后，再采用验证码校验方式进行校验；

在验证码校验通过后，采用WEB应用程序防火墙进行防御校验。

在一种可能的实现方式中，所述防御平台用于通过以下方式采用第二防御策略对访问请求进行校验：

针对所述访问请求，采用WEB应用程序防火墙进行防御校验。

在一种可能的实现方式中，所述业务系统还用于：

将计算得到的亲密度信息携带在HTTP响应头中，并发送至所述防御平台，以使所述防御平台将所述亲密度信息进行存储。

在一种可能的实现方式中，所述防御平台用于通过以下方式判断是否阻断访问请求：

在所述第一防御策略下的校验结果或所述第二防御策略下的校验结果表征校验通过时，将所述将访问请求发送至所述业务系统，并接收所述业务系统针对所述访问请求所返回的反馈信息，将所述反馈信息进行外发；

在所述第一防御策略下的校验结果或所述第二防御策略下的校验结果表征校验未通过时，阻断所述访问请求。

需要说明的是，本实施例所提供的攻击防御系统与上述实施例中的方法相对应，具有上述方法相同、相似、相应的技术效果，本实施例中未详尽之处可参见上述实施例的相关描述，本实施例在此不作赘述。

综上所述，本申请提供一种攻击防御方法和系统，防御平台在接收到访问请求时，首先判断对应的主机IP是否为明显异常IP，若不是明显异常IP，再基于存储的亲密度信息判断主机IP是否为疑似攻击IP，亲密度信息是业务系统基于来自各个主机IP的访问行为所计算得到并发送至防御平台的。若判定主机IP为疑似攻击IP，则采用第一防御策略对访问请求进行多次校验，否则，采用第二防御策略对访问请求进行校验，最后根据校验结果判定是否阻断访问请求。本方案中，防御平台基于自身的防御规则判定主机IP是否明显异常，并且，结合业务系统从业务逻辑角度所得到的亲密度信息来判断主机IP是否疑似攻击IP，从而实现攻击防御，通过两者联动的方式可以更客观、精准识别到攻击行为进而阻断，保障网络安全。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。