阅读说明：本技术 防御攻击行为的方法、装置、设备、终端和介质 (Method, device, equipment, terminal and medium for defending attack behavior ) 是由 赵万里 钱华钩 于 2019-09-20 设计创作，主要内容包括：本申请公开了一种防御攻击行为的方法、装置、设备、终端和介质,涉及信息安全技术领域。具体实现方案为：应用于防御节点设备,防御节点设备的数量为至少两个,方法包括：接收安装有APP的终端发送的信令请求,信令请求用于请求与防御节点设备建立可信连接,信令请求中至少包括终端和APP的信息；根据终端和APP的信息对终端进行认证,若认证通过,则与终端建立可信连接,并将来自终端的APP流量转发至APP的源站；向终端返回调度指令,调度指令用于指示终端下一次发送信令请求所到的防御节点设备。本申请实施例通过防御节点对终端和APP进行认证,从而有效区分安全终端和攻击者,对进攻行为实现了有效的防御,并且通过调度指令实现节点的合理分配。(the application discloses a method, a device, equipment, a terminal and a medium for defending against attack behaviors, and relates to the technical field of information security. The specific implementation scheme is as follows: the method is applied to defense node devices, the number of the defense node devices is at least two, and the method comprises the following steps: receiving a signaling request sent by a terminal provided with an APP, wherein the signaling request is used for requesting to establish trusted connection with defense node equipment, and the signaling request at least comprises information of the terminal and the APP; authenticating the terminal according to the information of the terminal and the APP, if the authentication is passed, establishing a trusted connection with the terminal, and forwarding the APP flow from the terminal to a source station of the APP; and returning a scheduling instruction to the terminal, wherein the scheduling instruction is used for indicating the defense node equipment to which the terminal sends the signaling request next time. According to the embodiment of the application, the terminal and the APP are authenticated through the defense node, so that the safety terminal and an attacker are effectively distinguished, effective defense is achieved for attack, and reasonable distribution of the node is achieved through the scheduling instruction.)

防御攻击行为的方法、装置、设备、终端和介质

技术领域

本申请涉及互联网技术领域，尤其涉及一种信息安全技术，具体涉及一种防御攻击行为的方法、装置、设备、终端和介质。

背景技术

随着互联网的高速发展，网络安全也显得尤为重要。近年来，网络攻击事件频发，网络攻击为利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击。例如，CC(ChallengeCollapsar，挑战黑洞)攻击为模拟大量用户不停地访问那些需要消耗大量服务器资源的页面，耗尽服务器资源，使得服务器长时间处于永远都有处理不完的请求的状态，致使服务器无法对正常的请求进行服务。

目前，通常是通过限制并发数或者封禁大量的高并发相似特征请求的方式进行防御。但是对于限制并发数的方法来说，虽然能确保服务器的稳定性，但是目前APP使用的都是共享IP或者移动基站等，如果直接封禁，容易把攻击的请求透过，把真正的用户拦截。对于封禁高并发请求的方式来说，由于业务的不同，如果限定URL访问频次，则容易对业务产生影响，而且封禁某个高频URL请求的IP，同样也是由于APP业务访问源的特殊性使用共享IP或者移动基站情况较多，造成对正常用户进行错误防御。

发明内容

本申请实施例提供的一种防御攻击行为的方法、装置、设备、终端和介质，在对网络攻击进行防御时，可以提高防御的安全性和有效性。

本申请实施例公开了一种防御攻击行为的方法，应用于防御节点设备，所述防御节点设备的数量为至少两个，该方法包括：

接收安装有APP的终端发送的信令请求，其中，所述信令请求用于请求与所述防御节点设备建立可信连接，并且信令请求中至少包括所述终端和所述APP的信息；

根据所述终端和所述APP的信息对所述终端进行认证，如果认证通过，则与所述终端建立可信连接，并将来自所述终端的APP流量转发至所述APP的源站；

向所述终端返回调度指令，其中，所述调度指令用于指示所述终端下一次发送信令请求所到的防御节点设备。

上述实施例具有如下优点或有益效果：通过防御节点对终端和APP进行认证，根据认证结果建立可信连接，从而通过防御节点有效区分安全终端和攻击者，克服了错误地将安全终端拦截的问题，进而实现了准确检测出攻击者以进行有效防御的技术效果。通过调度指令直接将下一次发送信令请求所到的防御节点的地址发送至建立可信连接的终端，从而避免将所有节点都暴露给终端，从而提高了防御节点设备的安全性。

进一步地，所述向所述终端返回调度指令之前，所述方法还包括：

根据防御策略确定所述终端下一次发送信令请求所到的防御节点设备，其中，所述防御策略用于在所述至少两个防御节点设备中进行调度。

据此，上述实施例具有如下优点或有益效果：通过调度策略合理分配防御节点，从而根据当前的防御情况和资源占用情况对防御节点的使用进行合理地调度，从而实现提高防御处理效率的技术效果。

进一步地，所述根据防御策略确定所述终端下一次发送信令请求所到的防御节点设备，包括：

获取当前各个防御节点设备的攻击情况；

根据所述攻击情况确定当前各个防御节点设备的响应性能，并按照响应性能均衡的原则，确定所述终端下一次发送信令请求所到的防御节点设备。

据此，上述实施例具有如下优点或有益效果：通过防御节点设备的攻击情况适应性地调整终端下一次发送信令请求所到的防御节点设备，从而实现防御节点设备的合理分配，保证了防御的有效性，提高处理效率。

进一步地，所述根据防御策略确定所述终端下一次发送信令请求所到的防御节点设备，包括：

获取所述终端的用户等级，所述用户等级是根据用户的APP业务特征进行划分；

按照所述用户等级和节点等级的对应关系，确定所述终端下一次发送信令请求所到的防御节点设备；

其中，所述至少两个防御节点设备是按照节点等级进行划分。

据此，上述实施例具有如下优点或有益效果：通过用户等级和节点等级的对应关系，对防御节点进行分配，从而缩小攻击产生的范围，提高防御的有效性和稳定性。

进一步地，所述节点等级包括高等级和除高等级之外的其他等级；相应的，如果与所述终端建立可信连接的当前防御节点设备属于高等级，则所述方法还包括：

如果监测到在所述高等级的防御节点设备上发生攻击行为，则将所述高等级的防御节点设备上建立可信连接的至少一个终端中用户等级高于第一设定阈值的终端，通过返回所述调度指令的方式调度到备份防御节点设备。

据此，上述实施例具有如下优点或有益效果：通过将等级高于第一设定阈值的终端调度到备份防御节点设备，从而保证终端与防御节点设备的正常连接，避免影响终端的正常使用。

进一步地，如果与所述终端建立可信连接的当前防御节点设备属于其他等级，则所述方法还包括：

如果监测到在所述其他等级的防御节点设备上发生攻击行为，则将所述其他等级的防御节点设备上建立可信连接的至少一个终端中用户等级低于第二设定阈值的终端，通过返回所述调度指令的方式调度到高防节点设备；

其中，所述高防节点设备的响应性能高于其他防御节点设备。

据此，上述实施例具有如下优点或有益效果：通过将等级低于第二设定阈值的终端调度至高防节点设备，从而通过高防节点设备对可疑度高的终端进行严格的防御和监控，以保证网络的安全性。

进一步地，所述高防节点设备还用于将可信连接时长达到预设时长阈值的终端，通过所述调度指令的方式将该终端调度到上一次为其分配的防御节点设备。

据此，上述实施例具有如下优点或有益效果：通过将可信连接时长达到预设时长阈值的终端分配至上一次为其分配的防御节点设备，从而实现将可疑度低的终端分配至原防御节点进行防御和监控，从而实现防御节点的合理分配的利用。

进一步地，所述高防节点设备还用于与首次启动所述APP的终端建立可信连接。

据此，上述实施例具有如下优点或有益效果：通过高防节点对首次启动APP的终端进行认证和防御，由于高防节点的响应性能高于其他防御节点，因此更加严格地对终端的安全性进行验证，保证终端的安全性。

进一步地，所述调度指令中包括所述终端下一次发送信令请求所到的防御节点设备的地址，以及所述终端下一次发送信令请求的时间；

其中，在所述时间到来之前，所述终端与当前防御节点设备建立可信连接。

据此，上述实施例具有如下优点或有益效果：通过向终端发送包含防御节点设备的地址和信令请求的发送时间，从而实现对防御节点的合理分批和调度。

本申请实施例公开了一种防御攻击行为的方法，应用于安装有APP的终端，该方法包括：

将信令请求发送至防御节点设备，其中，所述防御节点设备的数量为至少两个，所述信令请求用于请求与所述防御节点设备建立可信连接，并且信令请求中至少包括所述终端和所述APP的信息；

如果所述防御节点设备根据所述终端和所述APP的信息对所述终端认证通过，则与所述防御节点设备建立可信连接，以通过所述防御节点设备将所述终端的APP流量转发至所述APP的源站；

根据所述防御节点设备返回的调度指令，确定下一次发送信令请求所到的防御节点设备。

据此，上述实施例具有如下优点或有益效果：通过向防御节点发送信令请求，由防御节点对终端和APP进行认证，根据认证结果建立可信连接，从而通过防御节点有效区分安全终端和攻击者，克服了错误地将安全终端拦截的问题，进而实现了准确检测出攻击者以进行有效防御的技术效果。

进一步地，在所述将信令请求发送至防御节点设备之前，所述方法还包括：响应所述APP的启动，通过域名解析服务器获取所述防御节点设备的地址；其中，所述域名解析服务器用于通过域名解析为所述终端分配防御节点设备，并且所述防御节点设备为高防节点设备，所述高防节点设备的响应性能高于其他防御节点设备。

据此，上述实施例具有如下优点或有益效果：通过域名解析服务器获取所述防御节点设备的地址，并且为终端分配高防节点设备，从而通过高防节点设备进行严格安全的防御，保证了终端连接的安全性。

进一步的，所述调度指令中包括所述终端下一次发送信令请求所到的防御节点设备的地址，以及所述终端下一次发送信令请求的时间；其中，在所述时间到来之前，所述终端与当前防御节点设备建立可信连接。

据此，上述实施例具有如下优点或有益效果：通过域名解析服务器获取所述防御节点设备的地址，并且为终端分配高防节点设备，从而通过高防节点设备进行严格安全的防御，保证了终端连接的安全性。

本申请实施例还公开了一种防御攻击行为的装置，配置于防御节点设备，所述防御节点设备的数量为至少两个，其中，所述装置包括：

接收模块，用于接收安装有APP的终端发送的信令请求，其中，所述信令请求用于请求与所述防御节点设备建立可信连接，并且信令请求中至少包括所述终端和所述APP的信息；

认证模块，用于根据所述终端和所述APP的信息对所述终端进行认证，如果认证通过，则与所述终端建立可信连接，并将来自所述终端的APP流量转发至所述APP的源站；

调度指令返回模块，用于向所述终端返回调度指令，其中，所述调度指令用于指示所述终端下一次发送信令请求所到的防御节点设备。

本申请实施例还公开了一种防御攻击行为的装置，配置于安装有APP的终端，所述装置包括：

信令请求发送模块，用于将信令请求发送至防御节点设备，其中，所述防御节点设备的数量为至少两个，所述信令请求用于请求与所述防御节点设备建立可信连接，并且信令请求中至少包括所述终端和所述APP的信息；

可信连接建立模块，用于如果所述防御节点设备根据所述终端和所述APP的信息对所述终端认证通过，则与所述防御节点设备建立可信连接，以通过所述防御节点设备将所述终端的APP流量转发至所述APP的源站；

调度指令响应模块，用于根据所述防御节点设备返回的调度指令，确定下一次发送信令请求所到的防御节点设备。

本申请实施例还公开了一种电子设备，该设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如本申请实施例中任一项所述的应用于防御节点设备的防御攻击行为的方法。

本申请实施例还公开了一种终端，该终端包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如本申请实施例中任一项所述的应用于安装有APP的终端的防御攻击行为的方法。

本申请实施例还公开了一种存储有计算机指令的非瞬时计算机可读存储介质，所述计算机指令用于使所述计算机执行如本申请实施例中任一项所述的应用于防御节点设备的防御攻击行为的方法。

本申请实施例还公开了一种存储有计算机指令的非瞬时计算机可读存储介质，所述计算机指令用于使所述计算机执行如本申请实施例中任一项所述的应用于安装有APP的终端的防御攻击行为的方法。

上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。

附图说明

附图用于更好地理解本方案，不构成对本申请的限定。其中：

图1是根据本申请实施例提供的防御攻击行为的方法的流程示意图；

图2是根据本申请实施例提供的另一种防御攻击行为的方法的流程示意图；

图3是根据本申请实施例提供的又一种防御攻击行为的方法的流程示意图；

图4是根据本申请实施例提供的防御攻击行为的装置的结构示意图；

图5是根据本申请实施例提供的另一种防御攻击行为的装置的结构示意图；

图6是用来实现本申请实施例的防御攻击行为的方法的电子设备的框图；

图7是用来实现本申请实施例的防御攻击行为的方法的终端的框图。

具体实施方式

以下结合附图对本申请的示范性实施例做出说明，其中包括本申请实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本申请的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

图1是根据本申请实施例提供的防御攻击行为的方法的流程示意图。本实施例可适用于对网络攻击进行防御的情况。典型地，本实施例可以适用于，终端中安装的APP进行网络访问过程中，网络攻击者模仿APP对网络进行攻击时，对攻击者进行防御的情况。本实施公开的防御攻击行为的方法应用于防御节点设备，所述防御节点设备的数量为至少两个，可以由一种防御攻击行为的装置来执行，该装置可以由软件和/或硬件的方式实现，并配置在防御节点设备中。参见图1，本实施例提供的防御攻击行为的方法包括：

S110、接收安装有APP的终端发送的信令请求，其中，所述信令请求用于请求与所述防御节点设备建立可信连接，并且信令请求中至少包括所述终端和所述APP的信息。

其中，信令请求可以包括防御节点设备认证所需的加密字段、终端型号、终端序列号等，以及APP版本、安装包路径、安装包大小等，信令请求中包含的信息可以表明终端和APP的身份，从而区分出终端为安全终端还是攻击者。

示例性的，终端中安装的APP在启动时，终端中预先加载的特定软件开发工具包(SDK)可以通过域名解析服务确定防御节点设备的地址，该SDK根据防御节点设备的地址，向防御节点设备发送信令请求，以请求与防御节点设备建立连接。其中，所述SDK可以是用来实现本申请实施例流程的SDK，预先加载在终端中即可，而不需要对APP做任何改变，适用性更广，而且很便捷。

为了避免终端直接访问APP的服务器，导致攻击者直接访问服务器并对其进行网络攻击，本申请实施例通过防御节点设备接收终端发送的信令请求，从而将终端与服务器进行隔离，有效地防御攻击者的网络进攻。通过发送用于请求与防御节点设备建立可信连接的信令请求，从而使防御节点设备能够与安全的终端进行连接，实现流量的转发。

S120、根据所述终端和所述APP的信息对所述终端进行认证，如果认证通过，则与所述终端建立可信连接，并将来自所述终端的APP流量转发至所述APP的源站。

示例性的，为了有效地区分安全终端和攻击者，防御节点设备需要对终端的身份进行认证。防御节点设备根据信令请求中的终端信息和APP信息，对终端进行认证，认证方式可以为，防御节点设备中预先存储安全终端的终端信息和APP信息，将接收到的终端信息和APP信息，与安全终端的终端信息和APP信息进行匹配，若匹配成功，则说明终端为安全终端，则响应信令请求，与终端建立可信连接，并将来自终端的APP流量转发至APP的源站。若匹配不成功，则说明终端可能为攻击者，则拒绝进行可信连接，防止其进行网络攻击。

通过防御节点设备对终端进行认证，从而准确区分出安全终端和攻击者，与安全终端建立可新连接，保证安全终端对服务器的正常访问，拒绝与攻击者进行可信连接，实现攻击的有效防御。

S130、向所述终端返回调度指令，其中，所述调度指令用于指示所述终端下一次发送信令请求所到的防御节点设备。

具体的，若终端始终与一个防御节点设备保持建立可信连接，则当该防御节点设备的负载过大，或者受到网络攻击者的攻击时，无法保证正常的流量转发和攻击防御。因此，本申请实施例中的防御节点设备向终端返回调度指令，从而通过调度指令对至少两个防御节点设备进行分配调度，实现防御节点设备资源的合理利用，保证流量转发和攻击防御的稳定处理。

可选的，所述调度指令中包括所述终端下一次发送信令请求所到的防御节点设备的地址，以及所述终端下一次发送信令请求的时间；其中，在所述时间到来之前，所述终端与当前防御节点设备建立可信连接。

具体的，为了保证防御节点设备的合理分配，本申请实施例的调度指令中包括下一次发送信令请求所到的防御节点的地址，以及终端下一次发送信令请求的时间，从而在当前可信连接的防御节点设备变更地址、出现故障或者受到网络攻击时，及时调度终端连接至其他防御节点设备，保证防御的顺利进行以及对终端服务的稳定性。另外，由于调度指令直接将下一次发送信令请求所到的防御节点的地址发送至建立可信连接的终端，从而避免将所有节点都暴露给任一终端，从而提高了防御节点设备以及整个防御系统的安全性。

本申请实施例的技术方案，通过防御节点对终端和APP进行认证，根据认证结果建立可信连接，从而通过防御节点有效区分安全终端和攻击者，克服了错误地将安全终端拦截的问题，进而实现了准确检测出攻击者以进行有效防御的技术效果。

图2是根据本申请实施例提供的另一种防御攻击行为的方法的流程示意图。本实施例是在上述实施例的基础上进行优化。参见图2，本实施例提供的防御攻击行为的方法包括：

S210、接收安装有APP的终端发送的信令请求，其中，所述信令请求用于请求与所述防御节点设备建立可信连接，并且信令请求中至少包括所述终端和所述APP的信息。

S220、根据所述终端和所述APP的信息对所述终端进行认证，如果认证通过，则与所述终端建立可信连接，并将来自所述终端的APP流量转发至所述APP的源站。

S230、根据防御策略确定所述终端下一次发送信令请求所到的防御节点设备，其中，所述防御策略用于在所述至少两个防御节点设备中进行调度。

可选的，所述根据防御策略确定所述终端下一次发送信令请求所到的防御节点设备，包括：获取当前各个防御节点设备的攻击情况；根据所述攻击情况确定当前各个防御节点设备的响应性能，并按照响应性能均衡的原则，确定所述终端下一次发送信令请求所到的防御节点设备。

示例性的，防御节点设备受到网络攻击者的攻击时，可能会出现对终端的信令请求响应性能减弱的情况，而此时未受到网络攻击的防御节点设备的响应性能正常，可以令终端与响应性能正常的防御节点设备建立可信连接，因此，本申请实施例中，获取当前各个防御节点设备的攻击情况，从而根据攻击情况对各个防御节点设备的响应性能进行分析，从而按照响应性能均衡的原则，确定终端下一次应该将信令请求发送到哪个防御节点设备。例如，若当前与终端建立可信连接的防御节点设备受到了网络攻击，响应性能减弱，则令终端下一次发送信令请求至未受到网络攻击的防御节点设备，从而保证对终端信令请求的正常响应。

另一可选的，所述根据防御策略确定所述终端下一次发送信令请求所到的防御节点设备，包括：获取所述终端的用户等级，所述用户等级是根据用户的APP业务特征进行划分；按照所述用户等级和节点等级的对应关系，确定所述终端下一次发送信令请求所到的防御节点设备；其中，所述至少两个防御节点设备是按照节点等级进行划分。

示例性的，为了缩小网络攻击所产生的影响，本申请实施例中按照用户等级和节点等级之间的对应关系，确定终端下一次发送信令请求所到的防御节点设备。例如，对于一款APP，若用户注册该APP账号的时间较早，或者充值金额较多，则将该用户确定为高等级用户，对于该类用户的APP所对应的终端，可以确定其为安全终端。同时，将防御节点设备的等级划分为不同的等级，例如划分为高等级防御节点设备、中等级防御节点设备和低等级防御节点设备。可以将等级低的用户对应的终端分配给低等级防御节点设备，将等级中等的用户对应的终端分配给中等级防御节点设备，将等级高的用户对应的终端分配给高等级防御节点设备。通过按照用户等级和节点等级的对应关系，对防御节点设备进行分配，从而实现对同等级的用户对应终端进行集中化管理与防御，避免网络攻击时影响其他等级用户对应的终端，从而缩小攻击所产生的影响。

S240、向所述终端返回调度指令，其中，所述调度指令用于指示所述终端下一次发送信令请求所到的防御节点设备。

本申请实施例的技术方案，通过防御策略确定终端下一次发送信令请求所到的防御节点设备，并根据防御策略在至少两个防御节点设备中进行调度，实现了对各防御节点设备的合理分配，从而提高了防御的安全性和服务的稳定性。

可选的，还可以根据负载均衡策略确定终端下一次发送信令请求所到的防御节点设备，并根据负载均衡策略在至少两个防御节点设备中进行调度，例如，当与终端建立可信连接的防御节点设备负载较大时，则令终端下一次将信令请求发送至负载较小的其他防御节点设备，以请求与其他防御节点设备建立可信连接，从而实现防御节点设备的合理分配与应用。

可选的，所述节点等级包括高等级和除高等级之外的其他等级；相应的，如果与所述终端建立可信连接的当前防御节点设备属于高等级，则所述方法还包括：如果监测到在所述高等级的防御节点设备上发生攻击行为，则将所述高等级的防御节点设备上建立可信连接的至少一个终端中用户等级高于第一设定阈值的终端，通过返回所述调度指令的方式调度到备份防御节点设备。

如果与所述终端建立可信连接的当前防御节点设备属于其他等级，则所述方法还包括：如果监测到在所述其他等级的防御节点设备上发生攻击行为，则将所述其他等级的防御节点设备上建立可信连接的至少一个终端中用户等级低于第二设定阈值的终端，通过返回所述调度指令的方式调度到高防节点设备；其中，所述高防节点设备的响应性能高于其他防御节点设备。所述高防节点设备还用于将可信连接时长达到预设时长阈值的终端，通过所述调度指令的方式将该终端调度到上一次为其分配的防御节点设备

具体的，若防御节点设备受到攻击，则可以将用户等级高于第一预设阈值的终端调度至备份防御节点设备，以由备份防御节点设备对等级较高的用户对应的终端进行攻击防御，以保证其进行正常的网络访问，满足这部分用户的服务需求。而对于终端中用户等级低于第二设定阈值的终端，由于其为攻击者的可疑度较高，因此可以将其调度至响应性能高于其他防御节点设备的高防节点设备，以由高防节点设备对其进行严格的防御和监控，避免发生攻击行为。若高防节点与用户等级低于第二设定阈值的终端保持可信连接的时长达到预设时长阈值，则说明该终端为安全终端，此时则将其调度至上次一对其进行监控的防御节点设备，以节省高防节点设备资源，对各防御节点设备的资源进行合理调度利用。

可选的，所述高防节点设备还用于与首次启动所述APP的终端建立可信连接。具体的，由于APP首次启动时，无法获知APP对应的终端是否为安全终端，因此，避免终端为攻击者，产生攻击行为，则由高防节点设备与该终端进行监控和防御，增加防御力度，以保证网络安全。

图3是根据本申请实施例提供的又一种防御攻击行为的方法的流程示意图。本实施例可适用于对网络攻击进行防御的情况。典型地，本实施例可以适用于，终端中安装的APP进行网络访问过程中，网络攻击者模仿APP对网络进行攻击时，对其进行防御的情况。本实施公开的防御攻击行为的方法应用于安装有APP的终端，可以由一种防御攻击行为的装置来执行，该装置可以由软件和/或硬件的方式实现，并可配置于所述终端中。参见图3，本实施例提供的防御攻击行为的方法包括：

S310、将信令请求发送至防御节点设备，其中，所述防御节点设备的数量为至少两个，所述信令请求用于请求与所述防御节点设备建立可信连接，并且信令请求中至少包括所述终端和所述APP的信息。

其中，信令请求可以包括防御节点设备认证所需的加密字段，终端型号、终端序列号等，APP版本、安装包路径、安装包大小等信息，信令请求中包含的信息可以表明终端和APP的身份，从而由防御节点设备区分出终端为安全终端还是攻击者，以实现对攻击行为的防御。

可选的，在所述将信令请求发送至防御节点设备之前，所述方法还包括：响应所述APP的启动，通过域名解析服务器获取所述防御节点设备的地址；其中，所述域名解析服务器用于通过域名解析为所述终端分配防御节点设备，并且所述防御节点设备为高防节点设备，所述高防节点设备的响应性能高于其他防御节点设备。

示例性的，终端中安装的APP在启动时，终端中预先加载的特定软件开发工具包(SDK)可以通过域名解析服务确定防御节点设备的地址，该SDK根据防御节点设备的地址，向防御节点设备发送信令请求，以请求与防御节点设备建立连接。。

由于APP首次启动时，无法获知APP对应的终端是否为安全终端，为了避免终端为攻击者，产生攻击行为，因此域名解析服务器首次为终端分配响应性能高于其他防御节点设备的高防节点设备，由高防节点设备与该终端进行监控和防御，增加防御力度，以保证网络安全。

S320、如果所述防御节点设备根据所述终端和所述APP的信息对所述终端认证通过，则与所述防御节点设备建立可信连接，以通过所述防御节点设备将所述终端的APP流量转发至所述APP的源站。

为了有效地区分安全终端和攻击者，防御节点设备需要对终端的身份进行认证。防御节点设备根据信令请求中的终端信息和APP信息，对终端进行认证，若认证成功，则终端与防御节点设备建立可信连接，从而通过防御节点设备将APP流量转发至APP的源站，即APP的服务器。

S330、根据所述防御节点设备返回的调度指令，确定下一次发送信令请求所到的防御节点设备。

所述调度指令中包括所述终端下一次发送信令请求所到的防御节点设备的地址，以及所述终端下一次发送信令请求的时间；其中，在所述时间到来之前，所述终端与当前防御节点设备建立可信连接。

具体的，为了保证防御节点设备的合理分配，本申请实施例的调度指令中包括下一次发送信令请求所到的防御节点的地址，以及终端下一次发送信令请求的时间，从而在当前可信连接的防御节点设备变更地址、出现故障或者受到网络攻击时，及时调度终端所连接的防御节点设备，保证攻击防御的稳定性。终端根据防御节点设备返回的调度指令，确定下一次发送信令请求所到的防御节点设备的地址，以及所述终端下一次发送信令请求的时间，从而在下一次发送信令请求的时间到来之前，根据调度指令中的下一次发送信令请求所到的防御节点设备的地址，向防御节点设备发送信令请求，以请求防御设备节点与其建立可信连接，实现攻击行为的防御。

本申请实施例的技术方案，通过向防御节点发送信令请求，由防御节点对终端和APP进行认证，根据认证结果建立可信连接，从而通过防御节点有效区分安全终端和攻击者，克服了错误地将安全终端拦截的问题，进而实现了准确检测出攻击者以进行有效防御的技术效果。

图4是根据本申请实施例提供的防御攻击行为的装置的结构示意图。参见图4，本申请实施例公开了一种防御攻击行为的装置400，配置于防御节点设备，所述防御节点设备的数量为至少两个，该装置400包括：接收模块401、认证模块402和调度指令返回模块403。

其中，接收模块401，用于接收安装有APP的终端发送的信令请求，其中，所述信令请求用于请求与所述防御节点设备建立可信连接，并且信令请求中至少包括所述终端和所述APP的信息；

认证模块402，用于根据所述终端和所述APP的信息对所述终端进行认证，如果认证通过，则与所述终端建立可信连接，并将来自所述终端的APP流量转发至所述APP的源站；

调度指令返回模块403，用于向所述终端返回调度指令，其中，所述调度指令用于指示所述终端下一次发送信令请求所到的防御节点设备。

本申请实施例的技术方案，通过防御节点对终端和APP进行认证，根据认证结果建立可信连接，从而通过防御节点有效区分安全终端和攻击者，克服了错误地将安全终端拦截的问题，进而实现了准确检测出攻击者以进行有效防御的技术效果。

进一步地，所述装置还包括：

发送确定模块，用于根据防御策略确定所述终端下一次发送信令请求所到的防御节点设备，其中，所述防御策略用于在所述至少两个防御节点设备中进行调度。

进一步地，所述发送确定模块，包括：

攻击情况获取单元，用于获取当前各个防御节点设备的攻击情况；

均衡分配单元，用于根据所述攻击情况确定当前各个防御节点设备的响应性能，并按照响应性能均衡的原则，确定所述终端下一次发送信令请求所到的防御节点设备。

进一步地，所述发送确定模块，包括：

划分单元，用于获取所述终端的用户等级，所述用户等级是根据用户的APP业务特征进行划分；

对应关系分配单元，用于按照所述用户等级和节点等级的对应关系，确定所述终端下一次发送信令请求所到的防御节点设备；

其中，所述至少两个防御节点设备是按照节点等级进行划分。

进一步地，所述节点等级包括高等级和除高等级之外的其他等级；相应的，如果与所述终端建立可信连接的当前防御节点设备属于高等级，所述装置还包括：

第一调度模块，用于如果监测到在所述高等级的防御节点设备上发生攻击行为，则将所述高等级的防御节点设备上建立可信连接的至少一个终端中用户等级高于第一设定阈值的终端，通过返回所述调度指令的方式调度到备份防御节点设备。

进一步地，如果与所述终端建立可信连接的当前防御节点设备属于其他等级，则所述装置还包括：

第二调度模块，用于如果监测到在所述其他等级的防御节点设备上发生攻击行为，则将所述其他等级的防御节点设备上建立可信连接的至少一个终端中用户等级低于第二设定阈值的终端，通过返回所述调度指令的方式调度到高防节点设备；

其中，所述高防节点设备的响应性能高于其他防御节点设备。

进一步地，所述高防节点设备还用于将可信连接时长达到预设时长阈值的终端，通过所述调度指令的方式将该终端调度到上一次为其分配的防御节点设备。

进一步地，所述高防节点设备还用于与首次启动所述APP的终端建立可信连接。

进一步地，所述调度指令中包括所述终端下一次发送信令请求所到的防御节点设备的地址，以及所述终端下一次发送信令请求的时间；

其中，在所述时间到来之前，所述终端与当前防御节点设备建立可信连接。

本申请实施例所提供的防御攻击行为的装置可执行本申请任意实施例所提供的应用于防御节点设备的防御攻击行为的方法，具备执行方法相应的功能模块和有益效果。

图5是根据本申请实施例提供的另一种防御攻击行为的装置的结构示意图。参见图5，本申请实施例公开了一种防御攻击行为的装置500，配置于安装有APP的终端，该装置500包括：信令请求发送模块501、可信连接建立模块502和调度指令响应模块503。

其中，信令请求发送模块501，用于将信令请求发送至防御节点设备，其中，所述防御节点设备的数量为至少两个，所述信令请求用于请求与所述防御节点设备建立可信连接，并且信令请求中至少包括所述终端和所述APP的信息；

可信连接建立模块502，用于如果所述防御节点设备根据所述终端和所述APP的信息对所述终端认证通过，则与所述防御节点设备建立可信连接，以通过所述防御节点设备将所述终端的APP流量转发至所述APP的源站；

调度指令响应模块503，用于根据所述防御节点设备返回的调度指令，确定下一次发送信令请求所到的防御节点设备。

本申请实施例的技术方案，通过向防御节点发送信令请求，由防御节点对终端和APP进行认证，根据认证结果建立可信连接，从而通过防御节点有效区分安全终端和攻击者，克服了错误地将安全终端拦截的问题，进而实现了准确检测出攻击者以进行有效防御的技术效果。

进一步地，所述装置还包括：

响应模块，用于响应所述APP的启动，通过域名解析服务器获取所述防御节点设备的地址；

其中，所述域名解析服务器用于通过域名解析为所述终端分配防御节点设备，并且所述防御节点设备为高防节点设备，所述高防节点设备的响应性能高于其他防御节点设备。

进一步地，所述调度指令中包括所述终端下一次发送信令请求所到的防御节点设备的地址，以及所述终端下一次发送信令请求的时间；

其中，在所述时间到来之前，所述终端与当前防御节点设备建立可信连接。

本申请实施例所提供的防御攻击行为的装置可执行本申请任意实施例所提供的应用于终端的防御攻击行为的方法，具备执行方法相应的功能模块和有益效果。

根据本申请的实施例，本申请还提供了一种电子设备和一种可读存储介质。

如图6所示，是根据本申请实施例的防御攻击行为的方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本申请的实现。

如图6所示，该电子设备包括：一个或多个处理器601、存储器602，以及用于连接各部件的接口，包括高速接口和低速接口。各个部件利用不同的总线互相连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如，耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样，可以连接多个电子设备，各个设备提供部分必要的操作(例如，作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图6中以一个处理器601为例。

存储器602即为本申请所提供的非瞬时计算机可读存储介质。其中，所述存储器存储有可由至少一个处理器执行的指令，以使所述至少一个处理器执行本申请所提供的应用于防御节点设备的防御攻击行为的方法。本申请的非瞬时计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行本申请所提供的应用于防御节点设备的防御攻击行为的方法。

存储器602作为一种非瞬时计算机可读存储介质，可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块，如本申请实施例中的应用于防御节点设备的防御攻击行为的方法对应的程序指令/模块(例如，图4所示的接收模块401、认证模块402和调度指令返回模块403)。处理器601通过运行存储在存储器602中的非瞬时软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例中的应用于防御节点设备的防御攻击行为的方法。

存储器602可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据防御攻击行为的电子设备的使用所创建的数据等。此外，存储器602可以包括高速随机存取存储器，还可以包括非瞬时存储器，例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中，存储器602可选包括相对于处理器601远程设置的存储器，这些远程存储器可以通过网络连接至防御攻击行为的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

防御攻击行为的方法的电子设备还可以包括：输入装置603和输出装置604。处理器601、存储器602、输入装置603和输出装置604可以通过总线或者其他方式连接，图6中以通过总线连接为例。

输入装置603可接收输入的数字或字符信息，以及产生与防御攻击行为的电子设备的用户设置以及功能控制有关的键信号输入，例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置604可以包括显示设备、辅助照明装置(例如，LED)和触觉反馈装置(例如，振动电机)等。该显示设备可以包括但不限于，液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中，显示设备可以是触摸屏。

此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令，并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的，术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如，磁盘、光盘、存储器、可编程逻辑装置(PLD))，包括，接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。

为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)和互联网。

计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。

根据本申请的实施例，本申请还提供了一种终端和一种可读存储介质。

如图7所示，是根据本申请实施例的防御攻击行为的方法的终端的框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本申请的实现。

如图7所示，该电子设备包括：一个或多个处理器701、存储器702，以及用于连接各部件的接口，包括高速接口和低速接口。各个部件利用不同的总线互相连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如，耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样，可以连接多个电子设备，各个设备提供部分必要的操作(例如，作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图7中以一个处理器701为例。

存储器702即为本申请所提供的非瞬时计算机可读存储介质。其中，所述存储器存储有可由至少一个处理器执行的指令，以使所述至少一个处理器执行本申请所提供的应用于安装有APP的终端的防御攻击行为的方法。本申请的非瞬时计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行本申请所提供的应用于安装有APP的终端的防御攻击行为的方法。

存储器702作为一种非瞬时计算机可读存储介质，可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块，如本申请实施例中的应用于安装有APP的终端的防御攻击行为的方法对应的程序指令/模块(例如，图5所示的信令请求发送模块501、可信连接建立模块502和调度指令响应模块503)。处理器701通过运行存储在存储器702中的非瞬时软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例中的应用于安装有APP的终端的防御攻击行为的方法。

存储器702可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据防御攻击行为的电子设备的使用所创建的数据等。此外，存储器702可以包括高速随机存取存储器，还可以包括非瞬时存储器，例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中，存储器702可选包括相对于处理器701远程设置的存储器，这些远程存储器可以通过网络连接至防御攻击行为的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

防御攻击行为的方法的电子设备还可以包括：输入装置703和输出装置704。处理器701、存储器702、输入装置703和输出装置704可以通过总线或者其他方式连接，图7中以通过总线连接为例。

输入装置703可接收输入的数字或字符信息，以及产生与防御攻击行为的电子设备的用户设置以及功能控制有关的键信号输入，例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置704可以包括显示设备、辅助照明装置(例如，LED)和触觉反馈装置(例如，振动电机)等。该显示设备可以包括但不限于，液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中，显示设备可以是触摸屏。

此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令，并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的，术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如，磁盘、光盘、存储器、可编程逻辑装置(PLD))，包括，接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。

为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)和互联网。

计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本申请公开的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本申请保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等，均应包含在本申请保护范围之内。