CN115102727A - 基于动态ip黑名单的网络入侵主动防御系统及方法 - Google Patents

Abstract

本发明公开了一种基于动态IP黑名单的网络入侵主动防御系统及方法，系统包括：IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块；通过IP阻断模块、预过滤模块和主动防御检测模块实现对恶意IP地址访问请求依次进行初始化阻断、初步检测过滤和主动检测等多级防御检测，降低主动防御漏报和误报率，满足了高性能的要求。通过威胁度计算模块，对动态IP黑名单进行动态实时更新，提高了防御效果和执行效率。

Description

基于动态IP黑名单的网络入侵主动防御系统及方法

技术领域

本发明涉及网络安全技术领域，更具体的说是涉及一种基于动态IP黑名单的网络入侵主动防御系统及方法。

背景技术

随着计算机网络技术的高速发展和普及，信息化已成为人类社会发展的大趋势。但是，由于计算机网络具有联结形式多样性，终端分布不均匀性和网络额开放性、互联性等特征，致使网络容易收到黑客、恶意软件和其他不轨行为的攻击，威胁网络信息的安全。

传统的安全防御措施大多是通过分析某些设备安全设备的日志对已经发生的攻击行为进行分析和监测，基本都是被动防御的思路，缺乏网络安全态势感知与联动预警的能力，防御效果差，且无法对入侵详情进行自动统计和可视化显示。

因此，如何提供一种能够对网络进行动态实时主动防御，且能对入侵详情进行可视化显示的主动防御系统及方法是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种基于动态IP黑名单的网络入侵主动防御系统及方法，能够Web网络进行动态实时主动防御，并能对入侵详情进行可视化显示，提高了防御效果和执行效率。

为了实现上述目的，本发明采用如下技术方案：

一种基于动态IP黑名单的网络入侵主动防御系统，包括：IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块；

所述IP阻断模块设置于防火墙中，其用于对客户机进行初始化阻断，并将客户机地址添加至所述第一IP地址锁定模块中的IP地址共享池中；

所述Http/Https请求接收模块用于对客户机的访问请求进行捕获，并针对Https协议进行SSL解密和加密，对各种编码和字符集进行标准化处理，将访问请求缓存至接受队列中等待被检测；

所述预过滤模块用于对客户机地址进行初步检测，若未通过初步检测，则阻止访问请求，若通过初步检测，则将访问请求发送到所述主动防御检测模块；

所述主动防御检测模块用于对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果检测到疑似攻击入侵动作，则进行客户机地址阻断的同时，将疑似攻击入侵动作以日志形式进行缓存并存储；

所述威胁度计算模块用于对同一周期内缓存的日志进行分析，计算客户机地址的威胁系数，并将客户机地址和对应的威胁系数添加至动态IP黑名单中；

所述IP地址锁定模块用于对动态IP黑名单中的地址进行锁定，并将锁定的地址存放至防火墙IP阻断模块。

进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御系统中，所述主动防御检测模块包括：主动防御检测单元、IP地址锁定单元、日志缓存单元、日志存储单元和转发单元；

所述主动防御检测单元用于获取消息队列中等待被检测的访问请求，对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果未检测到疑似攻击入侵动作，则将访问请求通过所述转发单元发送至WEB服务器；

所述IP地址锁定单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，对客户机地址进行阻断；

所述日志缓存单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，将疑似攻击入侵动作以日志形式进行缓存；

所述日志存储单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，将疑似攻击入侵动作以日志形式进行存储，得到攻击日志。

进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御系统中，还包括：可视化显示模块；

所述可视化显示模块用于对存储的日志进行分析，得到可视化图；所述可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成；

所述入口文件视图用于对入口的文件进行分时攻击次数统计，并可视化显示相关文件名；

所述主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示；

所述入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示；

所述受侵网站统计图用于实时对受侵网站和次数进行可视化显示。

进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御系统中，所述预过滤模块用于判断客户机地址是否存在于动态IP黑名单中，若存在，则将客户机地址的威胁系数数值与预设值进行对比，大于预设值，则阻止访问请求，小于预设值或不存在于动态IP黑名单中，则将访问请求发送至所述主动防御检测模块进行进一步检测。

进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御系统中，所述威胁度计算模块还用于当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时，将该IP地址从动态IP黑名单中移除。

本发明还公开一种基于动态IP黑名单的网络入侵主动防御方法，包括：

对客户机进行初始化阻断，并将客户机地址进行锁定，并存放于IP地址共享池中；

对客户机的访问请求进行捕获，并针对Https协议进行SSL解密和加密，对各种编码和字符集进行标准化处理，将访问请求缓存至接受队列中等待被检测；

对客户机地址进行初步检测，若未通过初步检测，则阻止访问请求，若通过初步检测，则对访问请求进行主动防御检测；

对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果检测到疑似攻击入侵动作，则进行客户机地址阻断的同时，将疑似攻击入侵动作以日志形式进行缓存并存储；

对同一周期内缓存的日志进行分析，计算客户机地址的威胁系数，并将客户机地址和对应的威胁系数添加至动态IP黑名单中；

对动态IP黑名单中的地址进行锁定，并将锁定的地址存放至防火墙中，后续锁定的地址访问防火墙时，直接阻断。

进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御方法中，还包括：

对当前周期访问请求中出现的网络异常行为和WEB内容进行分析时，如果未检测到疑似攻击入侵动作，则将访问请求转发至WEB服务器。

进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御方法中，客户机地址的威胁系数的计算过程为：

分析所存储的攻击入侵动作日志，确定不同攻击源地址IP₁,IP₂,IP₃，…,IP_i对应的攻击事件子集A₁,A₂,…A_i；

根据IP_i对应的攻击事件子集A_i中不同频次、不同时间段、不同地域、不同规则的重要性，分别确定IP_i对应的攻击事件子集A_i中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数；

根据IP_i对应的攻击事件子集A_i中不同频次、不同时间段、不同地域、不同规则对WEB中网络的影响程度，分别为IP_i对应的攻击事件子集A_i中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则赋予威胁系数权值；

对当前周期IP_i对应的攻击事件子集A_i中攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数和威胁系数权值进行加权求和，得到攻击源地址为IP_i的客户机当前周期的威胁系数；威胁系数的计算公式为：

Threat(IP_i)＝λ₁F(IP_i)+λ₂T{IP_i)+λ₃S(IP_i)+λ₄R(IP_i)

其中，F(IPi)＝Frequency/N；T(IPi)＝Time/N；S(IPi)＝Region/N；R(IPi)＝Rule/N；N表示不同目标主机的总数；Frequency、Time、Region、Rule分别表示IPi对应的攻击事件子集A_i中攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数；λ₁、λ₂、λ₃、λ₄分别表示IPi对应的攻击事件子集A_i中攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数权值，且λ₁+λ₂+λ₃+λ₄＝1。

进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御方法中，还包括：

当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时，将该IP地址从动态IP黑名单中移除。

进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御方法中，还包括：

对存储的日志进行分析，得到可视化图；所述可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成；

所述入口文件视图用于对入口的文件进行分时攻击次数统计，并可视化显示相关文件名；

所述主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示；

所述入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示；

所述受侵网站统计图用于实时对受侵网站和次数进行可视化显示。

经由上述的技术方案可知，与现有技术相比，本发明公开提供了一种基于动态IP黑名单的网络入侵主动防御系统及方法，能够对Web网络进行动态实时主动防御，解决了HTTPS协议的攻击和Web应用层的各种变种攻击问题。同时，本发明提供强大的分析、处理能力，整个检测过程包括对恶意IP地址访问请求进行初始化阻断、初步检测过滤和主动检测等多级防御检测，降低主动防御漏报和误报率，满足了高性能的要求。通过动态IP黑名单的动态实时更新，实时将恶意地址加入黑名单，以便下一次访问初始便进行阻断，提高了防御效果和执行效率。本发明还提供可视化入侵监测度量，便于对入侵详情进行直观的可视化显示。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明提供的基于动态IP黑名单的网络入侵主动防御系统的结构示意图；

图2为本发明提供的主动防御分时统计图；

图3为本发明提供的基于动态IP黑名单的网络入侵主动防御系统的实现模块组成图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例公开了一种基于动态IP黑名单的网络入侵主动防御系统，包括：IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块；

IP阻断模块设置于防火墙中，其用于对客户机进行初始化阻断，并将客户机地址添加至第一IP地址锁定模块中的IP地址共享池中；

Http/Https请求接收模块用于对客户机的访问请求进行捕获，并针对Https协议进行SSL解密和加密，对各种编码和字符集进行标准化处理，将访问请求缓存至接受队列中等待被检测；

预过滤模块用于对客户机地址进行初步检测，若未通过初步检测，则阻止访问请求，若通过初步检测，则将访问请求发送到主动防御检测模块；

主动防御检测模块用于对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果检测到疑似攻击入侵动作，则进行客户机地址阻断的同时，将疑似攻击入侵动作以日志形式进行缓存并存储；

威胁度计算模块用于对同一周期内缓存的日志进行分析，计算客户机地址的威胁系数，并将客户机地址和对应的威胁系数添加至动态IP黑名单中；

IP地址锁定模块用于对动态IP黑名单中的地址进行锁定，并将锁定的地址存放至防火墙IP阻断模块，以在后续该客户机访问时，直接阻断。

在一个具体实施例中，主动防御检测模块包括：主动防御检测单元、IP地址锁定单元、日志缓存单元、日志存储单元和转发单元；

主动防御检测单元用于获取消息队列中等待被检测的访问请求，对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果未检测到疑似攻击入侵动作，则将访问请求通过转发单元发送至WEB服务器；

IP地址锁定单元用于在主动防御检测单元检测到疑似攻击入侵动作时，对客户机地址进行阻断；

日志缓存单元用于在主动防御检测单元检测到疑似攻击入侵动作时，将疑似攻击入侵动作以日志形式进行缓存；

日志存储单元用于在主动防御检测单元检测到疑似攻击入侵动作时，将疑似攻击入侵动作以日志形式进行存储，得到攻击日志。

在一个实施例中，还包括：可视化显示模块；

可视化显示模块用于对存储的日志进行分析，得到可视化图；可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成；

入口文件视图用于对入口的文件进行分时攻击次数统计，并可视化显示相关文件名；

主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示，如图2所示；

入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示；

受侵网站统计图用于实时对受侵网站和次数进行可视化显示。

在一个实施例中，预过滤模块用于判断客户机地址是否存在于动态IP黑名单中，若存在，则将客户机地址的威胁系数数值与预设值进行对比，大于预设值，则阻止访问请求，小于预设值或不存在于动态IP黑名单中，则将访问请求发送至主动防御检测模块进行进一步检测。

在其他实施例中，威胁度计算模块还用于当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时，将该IP地址从动态IP黑名单中移除。

具体的，如图3所示，本发明基于动态IP黑名单的网络入侵主动防御系统的实现模块包括：配置模块、协议解析模块、规则模块、动作模块、错误处理模块和日志模块；

配置模块用于实现：规则全局设置、协议解析全局设置、规则引擎运行设置、Active设置和日志记录粒度。

规则模块实现：规则处理、规则解析和规则检测；

动作模块实现：拦截/断开/封锁IP、重定向、URL重写代理、设置验证码、屏蔽恶意内容、自定义响应体和JS代码、重置回话id。

日志模块完成防火墙日志和主动防御日志。

本发明实施例还公开一种基于动态IP黑名单的网络入侵主动防御方法，包括：

对客户机进行初始化阻断，并将客户机地址进行锁定，并存放于IP地址共享池中；

对客户机的访问请求进行捕获，并针对Https协议进行SSL解密和加密，对各种编码和字符集进行标准化处理，将访问请求缓存至接受队列中等待被检测；

对客户机地址进行初步检测，若未通过初步检测，则阻止访问请求，若通过初步检测，则对访问请求进行主动防御检测；

对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果检测到疑似攻击入侵动作，则进行客户机地址阻断的同时，将疑似攻击入侵动作以日志形式进行缓存并存储；如果未检测到疑似攻击入侵动作，则将访问请求转发至WEB服务器。

对同一周期内缓存的日志进行分析，计算客户机地址的威胁系数，并将客户机地址和对应的威胁系数添加至动态IP黑名单中；

对动态IP黑名单中的地址进行锁定，并将锁定的地址存放至防火墙中，后续锁定的地址访问防火墙时，直接阻断。

在一个实施例中，客户机地址的威胁系数的计算过程为：

分析所存储的攻击入侵动作日志，确定不同攻击源地址IP₁,IP₂,IP₃，…,IP_i对应的攻击事件子集A₁,A₂,…A_i；具体而言，通过研究不同频次、不同时间段、不同地域、不同规则的攻击事件对目标主机造成影响程度不同，对属于不同频次、不同时间段、不同地域、不同规则的攻击源的攻击事件子集根据不同攻击属性H，进行分类。

根据IP_i对应的攻击事件子集A_i中不同频次、不同时间段、不同地域、不同规则的重要性，分别确定IP_i对应的攻击事件子集A_i中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数；

根据IP_i对应的攻击事件子集A_i中不同频次、不同时间段、不同地域、不同规则对WEB中网络的影响程度，分别为IP_i对应的攻击事件子集A_i中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则赋予威胁系数权值；

对当前周期IP_i对应的攻击事件子集A_i中攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数和威胁系数权值进行加权求和，得到攻击源地址为IP_i的客户机当前周期的威胁系数；计算公式为：

Threat(IP_i)＝λ₁F(IP_i)+λ₂T{IP_i)+λ₃S(IP_i)+λ₄R(IP_i)

其中，F(IPi)＝Frequency/N；T(IPi)＝Time/N；S(IPi)＝Region/N；R(IPi)＝Rule/N；N表示不同目标主机的总数(相当于多个服务器)；Frequency、Time、Region、Rule分别表示IPi对应的攻击事件子集A_i中攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数；λ₁、λ₂、λ₃、λ₄分别表示IPi对应的攻击事件子集A_i中攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数的权值，且λ₁+λ₂+λ₃+λ₄＝1。

在一个实施例中，还包括：

当动态IP黑名单中某一IP地址对应的威胁系数小于等于零时，将该IP地址从动态IP黑名单中移除。

具体的，(1)当IP_i∈X时，X表示动态IP黑名单：

Threati＝Threat_lasti+Threat(IP_i)-ThreatΔ；

Threat_lasti表示IP_i上个周期的威胁系数，Threat(IP_i)表示当前周期的威胁系数；ThreatΔ表示经过一个固定时间段T后攻击IP_i威胁系数的衰减程度，该值可以根据网络实际情况设置。Threati表示攻击源IP_i的威胁系数。

(2)当IP_iiX(即IPi不存在于集合X中)时有：Threati＝Threat(IPi)，此时，威胁系数Threati通过线程函数Threat(IPi)计算得到。

(3)如果IP_i不存在集合X中，其威胁系数数值Threati和IP_i地址同时添加至X中；如果IP_i对应的威胁系数数值小于等于零时，该IP_i地址会从集合X中移除。ThreatΔ值越大，攻击者的威胁系数衰减速度越快，当黑名单中某个IP的威胁系数值衰减到小于0时，该IP地址将自动从动态IP黑名单当中被移除。

在另一个实施例中，还包括：

对存储的日志进行分析，得到可视化图；可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成；

入口文件视图用于对入口的文件进行分时攻击次数统计，并可视化显示相关文件名；

主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示；

入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示；

受侵网站统计图用于实时对受侵网站和次数进行可视化显示。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种基于动态IP黑名单的网络入侵主动防御系统，其特征在于，包括：IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块；

所述IP阻断模块设置于防火墙中，其用于对客户机进行初始化阻断，并将客户机地址添加至所述第一IP地址锁定模块中的IP地址共享池中；

所述Http/Https请求接收模块用于对客户机的访问请求进行捕获，并针对Https协议进行SSL解密和加密，对各种编码和字符集进行标准化处理，将访问请求缓存至接受队列中等待被检测；

所述预过滤模块用于对客户机地址进行初步检测，若未通过初步检测，则阻止访问请求，若通过初步检测，则将访问请求发送到所述主动防御检测模块；

所述主动防御检测模块用于对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果检测到疑似攻击入侵动作，则进行客户机地址阻断的同时，将疑似攻击入侵动作以日志形式进行缓存并存储；

所述威胁度计算模块用于对同一周期内缓存的日志进行分析，计算客户机地址的威胁系数，并将客户机地址和对应的威胁系数添加至动态IP黑名单中；

所述IP地址锁定模块用于对动态IP黑名单中的地址进行锁定，并将锁定的地址存放至防火墙IP阻断模块。

2.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统，其特征在于，所述主动防御检测模块包括：主动防御检测单元、IP地址锁定单元、日志缓存单元、日志存储单元和转发单元；

所述主动防御检测单元用于获取消息队列中等待被检测的访问请求，对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果未检测到疑似攻击入侵动作，则将访问请求通过所述转发单元发送至WEB服务器；

所述IP地址锁定单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，对客户机地址进行阻断；

所述日志缓存单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，将疑似攻击入侵动作以日志形式进行缓存；

所述日志存储单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，将疑似攻击入侵动作以日志形式进行存储，得到攻击日志。

3.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统，其特征在于，还包括：可视化显示模块；

所述可视化显示模块用于对存储的日志进行分析，得到可视化图；所述可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成；

所述入口文件视图用于对入口的文件进行分时攻击次数统计，并可视化显示相关文件名；

所述主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示；

所述入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示；

所述受侵网站统计图用于实时对受侵网站和次数进行可视化显示。

4.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统，其特征在于，所述预过滤模块用于判断客户机地址是否存在于动态IP黑名单中，若存在，则将客户机地址的威胁系数数值与预设值进行对比，大于预设值，则阻止访问请求，小于预设值或不存在于动态IP黑名单中，则将访问请求发送至所述主动防御检测模块进行进一步检测。

5.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统，其特征在于，所述威胁度计算模块还用于当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时，将该IP地址从动态IP黑名单中移除。

6.一种基于动态IP黑名单的网络入侵主动防御方法，其特征在于，包括：

对客户机进行初始化阻断，并将客户机地址进行锁定，并存放于IP地址共享池中；

对客户机的访问请求进行捕获，并针对Https协议进行SSL解密和加密，对各种编码和字符集进行标准化处理，将访问请求缓存至接受队列中等待被检测；

对客户机地址进行初步检测，若未通过初步检测，则阻止访问请求，若通过初步检测，则对访问请求进行主动防御检测；

对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果检测到疑似攻击入侵动作，则进行客户机地址阻断的同时，将疑似攻击入侵动作以日志形式进行缓存并存储；

对同一周期内缓存的日志进行分析，计算客户机地址的威胁系数，并将客户机地址的对应的威胁系数添加至动态IP黑名单中；

对动态IP黑名单中的地址进行锁定，并将锁定的地址存放至防火墙中，后续锁定的地址访问防火墙时，直接阻断。

7.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御方法，其特征在于，还包括：

对当前周期访问请求中出现的网络异常行为和WEB内容进行分析时，如果未检测到疑似攻击入侵动作，则将访问请求转发至WEB服务器。

8.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御方法，其特征在于，客户机地址的威胁系数的计算过程为：

分析所存储的攻击入侵动作日志，确定不同攻击源地址IP₁,IP₂,IP₃，…,IP_i对应的攻击事件子集A₁,A₂,…A_i；

根据IP_i对应的攻击事件子集A_i中不同频次、不同时间段、不同地域、不同规则的重要性，分别确定IP_i对应的攻击事件子集A_i中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数；

根据IP_i对应的攻击事件子集A_i中不同频次、不同时间段、不同地域、不同规则对WEB中网络的影响程度，分别为IP_i对应的攻击事件子集A_i中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则赋予威胁系数权值；

对当前周期IP_i对应的攻击事件子集A_i中攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数和威胁系数权值进行加权求和，得到攻击源地址为IP_i的客户机当前周期的威胁系数；威胁系数的计算公式为：

Threat(IP_i)＝λ₁F(IP_i)+λ₂T{IP_i)+λ₃S(IP_i)+λ₄R(IP_i)

其中，F(IPi)＝Frequency/N；T(IPi)＝Time/N；S(IPi)＝Region/N；R(IPi)＝Rule/N；N表示不同目标主机的总数；Frequency、Time、Region、Rule分别表示IPi对应的攻击事件子集A_i中攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数；λ₁、λ₂、λ₃、λ₄分别表示IPi对应的攻击事件子集A_i中攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数权值，且λ₁+λ₂+λ₃+λ₄＝1。

9.根据权利要求6所述的一种基于动态IP黑名单的网络入侵主动防御方法，其特征在于，还包括：

当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时，将该IP地址从动态IP黑名单中移除。

10.根据权利要求6所述的一种基于动态IP黑名单的网络入侵主动防御方法，其特征在于，还包括：

对存储的日志进行分析，得到可视化图；所述可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成；

所述入口文件视图用于对入口的文件进行分时攻击次数统计，并可视化显示相关文件名；

所述主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示；

所述入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示；

所述受侵网站统计图用于实时对受侵网站和次数进行可视化显示。

Images