网络安全防御方法、装置、计算设备及计算机存储介质与流程

1.本发明涉及网络安全技术领域，具体涉及一种网络安全防御方法、装置、计算设备及计算机存储介质。


背景技术：

2.随着信息化技术的不断发展，网络空间成为当今社会功能和社会活动的重要支撑。然而，目前针对网络空间的恶意攻击也日益增多，为了保障网络空间安全，现有技术中通常采用两类网络安全防御方法：其一为静态的被动防御方法，如防火墙、防病毒软件、基于特征的入侵检测等；其二为动态的主动防御方法，如入侵容忍、移动目标、拟态防御等。
3.然而，发明人在实施过程中发现，现有技术中存在如下缺陷：现有的被动防御方法存在较大的滞后性，并且对未知漏洞防御效果差；而现有的动态的主动防御方法系统冗余度高，从而大幅增加防御成本，并且防御方法主动性有限，防御效果较差。


技术实现要素：

4.鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的网络安全防御方法、装置、计算设备及计算机存储介质。
5.根据本发明的一个方面，提供了一种网络安全防御方法，包括：
6.配置至少一个冗余端口，并使所述冗余端口以及业务端口处于开放状态；
7.监测针对所述冗余端口的扫描行为；
8.根据所述扫描行为，判断所述扫描行为的扫描源是否为攻击源；
9.若是，则关闭所述业务端口对所述扫描源的业务服务，并通过所述冗余端口与所述扫描源进行虚假业务交互。
10.可选的，所述根据所述扫描行为，判断所述扫描行为的扫描源是否为攻击源进一步包括：
11.根据所述扫描行为对应的冗余端口的数量，判断所述扫描行为的扫描源是否为攻击源；
12.和/或，根据所述扫描行为对应的扫描路径，判断所述扫描行为的扫描源是否为攻击源。
13.可选的，所述根据所述扫描行为对应的冗余端口的数量，判断所述扫描行为的扫描源是否为攻击源进一步包括：
14.若所述扫描行为对应的冗余端口的数量超出第一预设阈值，则确定所述扫描行为的扫描源为攻击源。
15.可选的，所述根据所述扫描行为对应的扫描路径，判断所述扫描行为的扫描源是否为攻击源进一步包括：
16.若所述扫描行为对应的扫描路径为预设路径，则确定所述扫描行为的扫描源为攻击源。
17.可选的，所述预设路径包括以下路径中的至少一种：
18.依次扫描同一ip的不同类别的端口、依次扫描不同ip的同一类别端口、以及按端口优先级次序扫描。
19.可选的，在所述关闭所述业务端口对所述扫描源的业务服务，并通过所述冗余端口与所述扫描源进行虚假业务交互之后，所述方法还包括：
20.确定所述扫描源最近一次访问的访问时间，并判断所述访问时间与当前时间的差值是否超出第二预设阈值；
21.若是，则开放所述业务端口对所述扫描源的业务服务。
22.可选的，所述配置至少一个冗余端口进一步包括：
23.获取历史攻击行为数据，根据所述历史攻击行为数据统计候选端口的攻击频次；
24.根据所述攻击频次，从所述候选端口中选取至少一个端口作为冗余端口。
25.根据本发明的另一方面，提供了一种网络安全防御装置，包括：
26.配置模块，适于配置至少一个冗余端口，并使所述冗余端口以及业务端口处于开放状态；
27.监测模块，适于监测针对所述冗余端口的扫描行为；
28.判断模块，适于根据所述扫描行为，判断所述扫描行为的扫描源是否为攻击源；
29.防御模块，适于若所述扫描行为的扫描源为攻击源，则关闭所述业务端口对所述扫描源的业务服务，并通过所述冗余端口与所述扫描源进行虚假业务交互。
30.可选的，所述判断模块进一步适于：根据所述扫描行为对应的冗余端口的数量，判断所述扫描行为的扫描源是否为攻击源；
31.和/或，根据所述扫描行为对应的扫描路径，判断所述扫描行为的扫描源是否为攻击源。
32.可选的，所述判断模块进一步适于：若所述扫描行为对应的冗余端口的数量超出第一预设阈值，则确定所述扫描行为的扫描源为攻击源。
33.可选的，所述判断模块进一步适于：若所述扫描行为对应的扫描路径为预设路径，则确定所述扫描行为的扫描源为攻击源。
34.可选的，所述预设路径包括以下路径中的至少一种：
35.依次扫描同一ip的不同类别的端口、依次扫描不同ip的同一类别端口、以及按端口优先级次序扫描。
36.可选的，所述装置还包括：业务恢复模块，适于在所述关闭所述业务端口对所述扫描源的业务服务，并通过所述冗余端口与所述扫描源进行虚假业务交互之后，确定所述扫描源最近一次访问的访问时间，并判断所述访问时间与当前时间的差值是否超出第二预设阈值；若是，则开放所述业务端口对所述扫描源的业务服务。
37.可选的，所述配置模块进一步适于：
38.获取历史攻击行为数据，根据所述历史攻击行为数据统计候选端口的攻击频次；
39.根据所述攻击频次，从所述候选端口中选取至少一个端口作为冗余端口。
40.根据本发明的又一方面，提供了一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；
41.所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述
网络安全防御方法对应的操作。
42.根据本发明的再一方面，提供了一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如上述网络安全防御方法对应的操作。
43.根据本发明提供的网络安全防御方法、装置、计算设备及计算机存储介质，配置至少一个冗余端口，并使冗余端口以及业务端口处于开放状态；监测针对冗余端口的扫描行为；根据扫描行为，判断扫描行为的扫描源是否为攻击源；若是，则关闭业务端口对扫描源的业务服务，并通过冗余端口与扫描源进行虚假业务交互。本方案在网络系统的基础上仅仅配置有冗余端口，防御成本低廉；并根据针对冗余端口的攻击行为来准确地确定出攻击源；在确定出攻击源之后关闭业务端口对该攻击源的业务服务，以避免对原网络系统的侵入，并在此基础上利用冗余端口与该攻击源进行虚假业务交互，从而在拖延攻击源攻击时间，消耗攻击源攻击资源的基础上，获得攻击源的相关信息，以便后续对该攻击源进行进一步防御。
44.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
45.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
46.图1示出了根据本发明实施例一提供的一种网络安全防御方法的流程示意图；
47.图2示出了应用于本发明实施例一中的一种冗余端口配置方法的流程示意图；
48.图3示出了应用于本发明实施例一中的一种冗余端口示意图；
49.图4示出了应用于本发明实施例一中的一种业务恢复方法的流程示意图；
50.图5示出了根据本发明实施例二提供的一种网络安全防御装置的功能结构示意图；
51.图6示出了根据本发明实施例四提供的一种计算设备的结构示意图。
具体实施方式
52.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。
53.实施例一
54.图1示出了根据本发明实施例一提供的一种网络安全防御方法的流程示意图。其中，本方法能够应用于多种网络空间的安全防御。本实施例对本方法的具体执行设备不作限定。
55.如图1所示，该方法包括：
56.步骤s110：配置至少一个冗余端口，并使冗余端口以及业务端口处于开放状态。
57.其中，业务端口是原网络系统提供的真实端口，通过该业务端口能够为用户提供正常的业务服务。而冗余端口为本实施例在原网络系统基础上增设的虚假端口，通过该冗余端口并无法获得真实的业务信息。在初始状态下，冗余端口及业务端口均处于开放状态，在该开放状态下业务端口及冗余端口均可被访问。
58.本实施例对冗余端口的具体配置方式不作限定。例如，可采用随机配置的方式，随机选取至少一个非业务端口作为冗余端口。
59.在一种优选的实施方式中，为了提升安全防御效果，可采用历史数据来进行冗余端口的配置。如图2所示，具体配置过程包括如下步骤s111-s113：
60.步骤s111：获取历史攻击行为数据。
61.其中，该历史攻击行为数据可以与本网络系统有关，例如，该历史攻击行为数据可以为针对本网络系统的历史攻击行为数据，也可以为针对与本网络系统关联的系统的历史攻击行为数据。通过获取该类历史攻击行为数据，能够获得本网络系统定制化的攻击信息，从而为后续冗余端口定制化的配置提供基础，继而使得配置的冗余端口与待保护的网络系统匹配度高，有利于安全防御效果的提升；此外，该历史攻击行为数据也可以与本网络系统无关，例如，可获得相应开放平台(如论坛等)提供的相关攻击行为数据。
62.步骤s112：根据历史攻击行为数据统计候选端口的攻击频次。
63.其中，候选端口为当前网络系统能够作为冗余端口的非业务端口。具体地，可对历史攻击行为数据进行数据清洗，并统计出各个候选端口的攻击频次。
64.步骤s113：根据攻击频次，从候选端口中选取至少一个端口作为冗余端口。
65.具体地，可按照攻击频次的高低顺序进行排序，并确定攻击频次较高的候选端口，继而将该攻击频次较高的候选端口作为冗余端口。例如，若通过历史攻击行为数据的分析后，确定出80端口为最常被攻击的端口，从而可将多个ip的80端口作为冗余端口。
66.举例来说，如图3所示，ip3的443端口为真正的业务端口，而ip1的22端口等端口则为本实施例配置的冗余端口。
67.步骤s120：监测针对冗余端口的扫描行为。
68.在实际的场景中，若访问请求为非攻击性的访问请求，通常对该访问请求解析即可获得真正的业务端口信息，从而其并不会对冗余端口进行扫描。若为攻击性的访问，其通常会对网络系统中的端口进行扫描以供进行后续的攻击行为。基于此，本实施例可监测针对冗余端口的扫描行为，以筛选出攻击性访问请求。
69.步骤s130：根据扫描行为，判断扫描行为的扫描源是否为攻击源；若是，则执行步骤s140。
70.根据步骤s120中的扫描行为可确定出对应的扫描源，继而采用相应的攻击源判定方式来确定出该扫描源是否为攻击源。其中，本实施例对具体的攻击源判定方式不作限定。
71.在一种可选的实施方式中，可根据扫描行为对应的冗余端口的数量，判断扫描行为的扫描源是否为攻击源。具体地，若该扫描行为对应的冗余端口的数量超出第一预设阈值，则确定该扫描行为的扫描源为攻击源。其中，扫描行为对应的冗余端口具体为本次扫描源扫描的冗余端口。可选的，第一预设阈值的取值可根据配置的冗余端口的数量确定。例如，若配置的冗余端口数量为10个，则第一预设阈值可以为6(即总冗余端口数量的预设比例)，若当前某扫描源扫描了7个冗余端口，则可确定该扫描源为攻击源。
72.在又一种可选的实施方式中，可根据扫描行为对应的扫描路径，判断扫描行为的扫描源是否为攻击源。具体地，若扫描行为对应的扫描路径为预设路径，则确定扫描行为的扫描源为攻击源。其中，预设路径包括以下路径中的至少一种：依次扫描同一ip的不同类别的端口、依次扫描不同ip的同一类别端口、以及按端口优先级次序扫描。
73.仍以图3为例，若扫描源先后扫描有ip1的22端口，ip2的22端口，ip3的22端口，ip4的22端口以及ip5的22端口，则扫描路径为“ip1-22
→
ip2-22
→
ip3-22
→
ip4-22
→
ip5-22”，即横向扫描方式，则表明扫描源依次扫描不同ip的同一类别端口，若预设路径为依次扫描不同ip的同一类别端口，则确定该扫描源为攻击源；若扫描源先后扫描有ip1的22端口，ip1的80端口，ip1的443端口，ip1的8080端口，则扫描路径为“ip1-22
→
ip1-80
→
ip1-443
→
ip1-8080”，即纵向扫描方式，则表明扫描源依次扫描同一ip的不同类别的端口，若预设路径为依次扫描同一ip的不同类别的端口，则确定该扫描源为攻击源；此外，可根据各冗余端口的历史攻击频次确定出各冗余端口的优先级，图3中，优先级高低顺序可以为：ip1-22＞ip2-80＞ip3-8080
……
，若扫描源先后扫描有ip1的22端口，ip2的80端口，ip3的8080端口，而预设路径为按端口优先级次序扫描，则确定该扫描源为攻击源。
74.在再一种可选的实施方式中，可根据扫描行为对应的冗余端口的数量以及扫描路径综合地判断扫描行为的扫描源是否为攻击源。例如，若扫描行为对应的冗余端口的数量超出第一预设阈值，而且扫描路径为预设路径，则确定扫描行为的扫描源为攻击源。采用该种判断方式，能够准确地判断出攻击源，降低误判率，继而有利于安全防御效果的提升。
75.步骤s140：关闭业务端口对扫描源的业务服务，并通过冗余端口与扫描源进行虚假业务交互。
76.在确定扫描源为攻击源后，可及时关闭业务端口对扫描源的业务服务，从而避免攻击源对原网络系统的侵入。并且，在此基础上，进一步地通过冗余端口与扫描源进行虚假业务交互，一方面拖延攻击源攻击时间，消耗攻击源攻击资源，另一方面可通过冗余端口与扫描源进行虚假业务交互来获得攻击源的相关信息，以便后续对该攻击源进行防御。
77.进一步地可选的，还可关闭扫描源未扫描到的冗余端口，以节约系统资源。
78.其中，本实施例对冗余端口与扫描源进行虚假业务交互的方式不作限定。例如，可预先编译相应的虚假业务信息，在攻击源进行访问时，通过该攻击源已扫描的冗余端口将该虚假业务信息反馈至攻击源。
79.此外，在一种可选的实施方式中，为避免影响正常用户的业务使用体验，本实施例可在关闭业务端口对扫描源的业务服务，并通过冗余端口与扫描源进行虚假业务交互之后，进一步通过图4中的步骤s150-步骤s170来实现业务的恢复，具体地：
80.步骤s150：确定扫描源最近一次访问的访问时间。
81.步骤s160：判断访问时间与当前时间的差值是否超出第二预设阈值；若是，则执行步骤s170。
82.步骤s170：开放业务端口对扫描源的业务服务。
83.具体地，记录每次扫描源针对扫描的冗余端口的访问时间，在最近一次访问的访问时间与当前时间的差值超出第二预设阈值时，则表明攻击源已放弃针对网络系统的攻击，从而可重新开放业务端口对扫描源的业务服务。
84.可选的，若在步骤s140中关闭了扫描源未扫描到的冗余端口，则在本步骤中可进
一步将该关闭的冗余端口开放，从而使各端口状态恢复到初始状态，以便对下一攻击的防御。
85.由此可见，本实施例在网络系统的基础上仅仅配置有冗余端口，防御成本低廉；并根据针对冗余端口的攻击行为来准确地确定出攻击源；在确定出攻击源之后关闭业务端口对该攻击源的业务服务，以避免对原网络系统的侵入，并在此基础上利用冗余端口与该攻击源进行虚假业务交互，从而在拖延攻击源攻击时间，消耗攻击源攻击资源的基础上，获得攻击源的相关信息，以便后续对该攻击源进行防御；总之，本实施例能够实现主动防御，避免现有技术中因被动防御而引起的滞后性高的弊端。
86.实施例二
87.图5示出了根据本发明实施例二提供的一种网络安全防御装置的功能结构示意图。其中，该装置包括：配置模块51、监测模块52、判断模块53、以及防御模块54。
88.配置模块51，适于配置至少一个冗余端口，并使所述冗余端口以及业务端口处于开放状态；
89.监测模块52，适于监测针对所述冗余端口的扫描行为；
90.判断模块53，适于根据所述扫描行为，判断所述扫描行为的扫描源是否为攻击源；
91.防御模块54，适于若所述扫描行为的扫描源为攻击源，则关闭所述业务端口对所述扫描源的业务服务，并通过所述冗余端口与所述扫描源进行虚假业务交互。
92.可选的，所述判断模块进一步适于：根据所述扫描行为对应的冗余端口的数量，判断所述扫描行为的扫描源是否为攻击源；
93.和/或，根据所述扫描行为对应的扫描路径，判断所述扫描行为的扫描源是否为攻击源。
94.可选的，所述判断模块进一步适于：若所述扫描行为对应的冗余端口的数量超出第一预设阈值，则确定所述扫描行为的扫描源为攻击源。
95.可选的，所述判断模块进一步适于：若所述扫描行为对应的扫描路径为预设路径，则确定所述扫描行为的扫描源为攻击源。
96.可选的，所述预设路径包括以下路径中的至少一种：
97.依次扫描同一ip的不同类别的端口、依次扫描不同ip的同一类别端口、以及按端口优先级次序扫描。
98.可选的，所述装置还包括：业务恢复模块，适于在所述关闭所述业务端口对所述扫描源的业务服务，并通过所述冗余端口与所述扫描源进行虚假业务交互之后，确定所述扫描源最近一次访问的访问时间，并判断所述访问时间与当前时间的差值是否超出第二预设阈值；若是，则开放所述业务端口对所述扫描源的业务服务。
99.可选的，所述配置模块进一步适于：
100.获取历史攻击行为数据，根据所述历史攻击行为数据统计候选端口的攻击频次；
101.根据所述攻击频次，从所述候选端口中选取至少一个端口作为冗余端口。
102.其中，本实施例中各模块的具体实施过程可参照实施例一中相应部分的描述，本实施例在此不做赘述。
103.由此可见，本实施例在网络系统的基础上仅仅配置有冗余端口，防御成本低廉；并根据针对冗余端口的攻击行为来准确地确定出攻击源；在确定出攻击源之后关闭业务端口
对该攻击源的业务服务，以避免对原网络系统的侵入，并在此基础上利用冗余端口与该攻击源进行虚假业务交互，从而在拖延攻击源攻击时间，消耗攻击源攻击资源的基础上，获得攻击源的相关信息，以便后续对该攻击源进行防御；总之，本实施例能够实现主动防御，避免现有技术中因被动防御而引起的滞后性高的弊端。
104.实施例三
105.本发明实施例三提供了一种非易失性计算机存储介质，所述计算机存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的方法。
106.可执行指令具体可以用于使得处理器执行以下操作：
107.配置至少一个冗余端口，并使所述冗余端口以及业务端口处于开放状态；
108.监测针对所述冗余端口的扫描行为；
109.根据所述扫描行为，判断所述扫描行为的扫描源是否为攻击源；
110.若是，则关闭所述业务端口对所述扫描源的业务服务，并通过所述冗余端口与所述扫描源进行虚假业务交互。
111.在一种可选的实施方式中，可执行指令具体可以用于使得处理器执行以下操作：
112.根据所述扫描行为对应的冗余端口的数量，判断所述扫描行为的扫描源是否为攻击源；
113.和/或，根据所述扫描行为对应的扫描路径，判断所述扫描行为的扫描源是否为攻击源。
114.在一种可选的实施方式中，可执行指令具体可以用于使得处理器执行以下操作：
115.若所述扫描行为对应的冗余端口的数量超出第一预设阈值，则确定所述扫描行为的扫描源为攻击源。
116.在一种可选的实施方式中，可执行指令具体可以用于使得处理器执行以下操作：
117.若所述扫描行为对应的扫描路径为预设路径，则确定所述扫描行为的扫描源为攻击源。
118.在一种可选的实施方式中，所述预设路径包括以下路径中的至少一种：
119.依次扫描同一ip的不同类别的端口、依次扫描不同ip的同一类别端口、以及按端口优先级次序扫描。
120.在一种可选的实施方式中，可执行指令具体可以用于使得处理器执行以下操作：
121.在所述关闭所述业务端口对所述扫描源的业务服务，并通过所述冗余端口与所述扫描源进行虚假业务交互之后，确定所述扫描源最近一次访问的访问时间，并判断所述访问时间与当前时间的差值是否超出第二预设阈值；
122.若是，则开放所述业务端口对所述扫描源的业务服务。
123.在一种可选的实施方式中，可执行指令具体可以用于使得处理器执行以下操作：
124.获取历史攻击行为数据，根据所述历史攻击行为数据统计候选端口的攻击频次；
125.根据所述攻击频次，从所述候选端口中选取至少一个端口作为冗余端口。
126.由此可见，本实施例在网络系统的基础上仅仅配置有冗余端口，防御成本低廉；并根据针对冗余端口的攻击行为来准确地确定出攻击源；在确定出攻击源之后关闭业务端口对该攻击源的业务服务，以避免对原网络系统的侵入，并在此基础上利用冗余端口与该攻击源进行虚假业务交互，从而在拖延攻击源攻击时间，消耗攻击源攻击资源的基础上，获得
攻击源的相关信息，以便后续对该攻击源进行防御；总之，本实施例能够实现主动防御，避免现有技术中因被动防御而引起的滞后性高的弊端。
127.实施例四
128.图6示出了根据本发明实施例四提供的一种计算设备的结构示意图，本发明具体实施例并不对计算设备的具体实现做限定。
129.如图6所示，该计算设备可以包括：处理器(processor)602、通信接口(communications interface)604、存储器(memory)606、以及通信总线608。
130.其中：处理器602、通信接口604、以及存储器606通过通信总线608完成相互间的通信。通信接口604，用于与其它设备比如客户端或其它服务器等的网元通信。处理器602，用于执行程序610，具体可以执行上述方法实施例中的相关步骤。
131.具体地，程序610可以包括程序代码，该程序代码包括计算机操作指令。
132.处理器602可能是中央处理器cpu，或者是特定集成电路asic(application specific integrated circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。
133.存储器606，用于存放程序610。存储器606可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
134.程序610具体可以用于使得处理器602执行以下操作：
135.配置至少一个冗余端口，并使所述冗余端口以及业务端口处于开放状态；
136.监测针对所述冗余端口的扫描行为；
137.根据所述扫描行为，判断所述扫描行为的扫描源是否为攻击源；
138.若是，则关闭所述业务端口对所述扫描源的业务服务，并通过所述冗余端口与所述扫描源进行虚假业务交互。
139.在一种可选的实施方式中，程序610具体可以用于使得处理器602执行以下操作：
140.根据所述扫描行为对应的冗余端口的数量，判断所述扫描行为的扫描源是否为攻击源；
141.和/或，根据所述扫描行为对应的扫描路径，判断所述扫描行为的扫描源是否为攻击源。
142.在一种可选的实施方式中，程序610具体可以用于使得处理器602执行以下操作：
143.若所述扫描行为对应的冗余端口的数量超出第一预设阈值，则确定所述扫描行为的扫描源为攻击源。
144.在一种可选的实施方式中，程序610具体可以用于使得处理器602执行以下操作：
145.若所述扫描行为对应的扫描路径为预设路径，则确定所述扫描行为的扫描源为攻击源。
146.在一种可选的实施方式中，所述预设路径包括以下路径中的至少一种：
147.依次扫描同一ip的不同类别的端口、依次扫描不同ip的同一类别端口、以及按端口优先级次序扫描。
148.在一种可选的实施方式中，程序610具体可以用于使得处理器602执行以下操作：
149.在所述关闭所述业务端口对所述扫描源的业务服务，并通过所述冗余端口与所述
扫描源进行虚假业务交互之后，确定所述扫描源最近一次访问的访问时间，并判断所述访问时间与当前时间的差值是否超出第二预设阈值；
150.若是，则开放所述业务端口对所述扫描源的业务服务。
151.在一种可选的实施方式中，程序610具体可以用于使得处理器602执行以下操作：
152.获取历史攻击行为数据，根据所述历史攻击行为数据统计候选端口的攻击频次；
153.根据所述攻击频次，从所述候选端口中选取至少一个端口作为冗余端口。
154.由此可见，本实施例在网络系统的基础上仅仅配置有冗余端口，防御成本低廉；并根据针对冗余端口的攻击行为来准确地确定出攻击源；在确定出攻击源之后关闭业务端口对该攻击源的业务服务，以避免对原网络系统的侵入，并在此基础上利用冗余端口与该攻击源进行虚假业务交互，从而在拖延攻击源攻击时间，消耗攻击源攻击资源的基础上，获得攻击源的相关信息，以便后续对该攻击源进行防御；总之，本实施例能够实现主动防御，避免现有技术中因被动防御而引起的滞后性高的弊端。
155.在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
156.在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
157.类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。
158.本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
159.此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
160.本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
161.应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。