(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111354393.2 (22)申请日 2021.11.16 (71)申请人 北京网宿科技有限公司 地址 100083 北京市海淀区学院路39号唯 实大厦6层 (72)发明人 陈志勇　王凤杰　蔡舒晗　 (74)专利代理 机构 北京华智 则铭知识产权代理 有限公司 1 1573 代理人 王昌贵 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 攻击防御方法、 装置、 设备及可读存 储介质 (57)摘要 本申请公开了一种攻击防御方法、 装置、 设 备及可读存储介质， 数据分析集群根据历史日志 生成用于记录历史请求的特征的第一信息表， 根 据测试日志生成用于记录测试请求的特征的第 二信息表， 关联第一信息表和第二信息表生成安 全策略并发送给安全服务器。 安全服务器接收到 安全策略后， 根据安全策略对来自终端设备的业 务请求进行检测。 采用该种方案， 数据分析集群 通过基于最新的历史日志和测试日志生成并更 新安全策略， 能够适应不断变化的爬虫攻击特 征， 时效性强、 准确度高， 极大程度上提高了网络 安全性。 权利要求书3页 说明书15页 附图3页 CN 114244564 A 2022.03.25 CN 114244564 A 1.一种攻击防御方法， 其特 征在于， 应用于数据分析集群， 所述方法包括： 获取历史日志以得到历史日志集合， 所述历史日志包括来自安全服务器的安全日志和 来自业务服务器的访问日志； 根据所述历史日志集 合生成第一信息表， 所述第一信息表用于记录历史请求的特 征； 从所述业务服务器获取测试 日志得到测试 日志集合， 根据 所述测试 日志集合生成第 二 信息表， 所述第二信息表用于记录测试请求的特 征； 根据所述第一信息表和所述第二信息表生成安全策略； 向所述安全服务器发送所述安全策略， 以使得所述安全服务器根据所述安全策略检测 当前业务请求。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述历史日志集合生成第 一信息 表， 包括： 针对所述历史日志集合中的每一条历史日志提取历史信息， 所述历史信息包括域名、 请求方法、 统一资源定位符URL、 HT TP请求头和所述HT TP请求头的值； 根据所述历史信 息将所述历史日志集合划分为多个子集， 所述多个子集中不同子集对 应的域名、 请求方法或URL中的至少一个不同； 根据所述多个子集 生成所述第一信息表。 3.根据权利要求2所述的方法， 其特征在于， 所述根据所述多个子集生成所述第 一信息 表， 包括： 对于所述多个子集中的每个子集， 根据从所述子集包含的每条历史日志中提取出的历 史信息， 确定第一统计信息， 所述第一统计信息包括每种HTTP请求头的出现次数、 每种HTTP 请求头不同的值的出现的次数； 根据所述多个子集中每 个子集的第一统计信息生成所述第一信息表。 4.根据权利要求2所述的方法， 其特征在于， 所述针对所述历史日志集合中的每一条历 史日志提取历史信息， 包括： 当所述历史日志集合中存在HTTP请求头为cookie的历史日志时， 从HTTP请求头为 cookie的历史日志中确定出至少一个键值对， 将所述键值对作为所述co okie的值。 5.根据权利要求2 ‑4任一项所述的方法， 其特征在于， 所述根据 所述第一信息表和所述 第二信息表生成安全策略， 包括： 从所述第一信 息表中确定出目标子集的第 一统计信 息， 从所述第 二信息表中确定出第 二统计信息， 所述目标子集是所述多个子集中对应目标域名、 目标请求方法和目标URL的子 集， 所述第二统计信息用于指示 根据测试日志得到的； 根据所述第一统计信息和所述第二统计信息确定符合预设条件的业务请求的安全策 略， 所述预设条件 包括： 包含所述目标域名、 所述目标请求方法和所述目标URL。 6.根据权利要求5所述的方法， 其特征在于， 所述根据所述第 一统计信 息和所述第 二统 计信息确定符合预设条件的业 务请求的安全策略， 包括： 根据所述第一统计信息和所述第二统计信息确定所述符合预设条件的业务请求的指 示信息， 所述指示信息包括下述信息中的至少一个： 必须携带的HTTP请求头、 不能携带的 HTTP请求头、 非必须携带的HTTP请求头、 所述必须携带的HTTP请求头的正确值、 所述必须携 带的HTTP请求的错 误值；权　利　要　求　书 1/3 页 2 CN 114244564 A 2根据所述指示信息生成所述符合预设条件的业 务请求的安全策略。 7.根据权利要求6所述的方法， 其特征在于， 所述根据所述第 一统计信 息和所述第 二统 计信息确定所述符合预设条件的业 务请求的指示信息， 包括： 从所述第一统计信息中确定出第一HTTP请求头， 所述第一HTTP请求头的占比超过第一 占比； 当所述第二统计信息表中存在所述第一HTTP请求头时， 确定所述第一HTTP请求头为必 须携带的HT TP请求头 。 8.根据权利要求6所述的方法， 其特征在于， 所述根据所述第 一统计信 息和所述第 二统 计信息确定所述符合预设条件的业 务请求的指示信息， 包括： 从所述第一统计信息中确定出第二HTTP请求头， 所述第二HTTP请求头的占比超过第二 占比； 当所述第二统计信息表指示部分符合预设条件的业务请求包含所述第二HTTP请求头 时， 确定所述第二HT TP请求头是非必须携带的HT TP请求头 。 9.根据权利要求6所述的方法， 其特征在于， 所述根据所述第 一统计信 息和所述第 二统 计信息确定所述符合预设条件的业 务请求的指示信息， 包括： 从所述第一统计信息中确定出第三HTTP请求头， 所述第三HTTP请求头的占比超过第三 占比； 当所述第二统计信息表中不存在所述第三HTTP请求头时， 确定所述第三HTTP请求头为 不能携带的HT TP请求头 。 10.根据权利要求6所述的方法， 其特征在于， 所述根据所述第一统计信息和所述第二 统计信息确定所述符合预设条件的业 务请求的指示信息， 包括： 针对每个必 须携带的HTTP请求头， 从所述第一统计信息中确定出所述必 须携带的HTTP 请求头的至少一个值； 从所述至少一个值中确定出第一 值， 所述第一 值的占比超过第四占比； 当所述第二统计信息表中存在值为所述第一值的必须携带的HTTP请求头时， 确定所述 第一值为所述正确值， 所述至少一个值中除所述第一 值以外的其 他值为错误值。 11.根据权利要求6所述的方法， 其特征在于， 所述根据所述第一统计信息和所述第二 统计信息确定所述符合预设条件的业 务请求的指示信息， 包括： 针对每个必 须携带的HTTP请求头， 从所述第一统计信息中确定出所述必 须携带的HTTP 请求头的至少一个值； 从所述至少一个值中确定出第二 值， 所述第二 值的占比超过第五占比； 当所述第二统计信息表中不存在值为所述第二值的所述必须携带的HTTP请求头时， 确 定所述第二 值为错误值。 12.根据权利要求1 ‑4任一项所述的方法， 其特征在于， 所述从所述业务服务器获取测 试日志得到测试日志集 合， 根据所述测试日志集 合生成第二信息表之前， 还 包括： 向所述业务服务器发送测试业务请求， 以使得所述业务服务器处理所述测试业务请求 生成所述测试日志。 13.根据权利要求1 ‑4任一项所述的方法， 其特征在于， 所述获取历史日志以得到历史 日志集合， 包括：权　利　要　求　书 2/3 页 3 CN 114244564 A 3