1.一种分布式实时DDoS攻击防护系统，其特征在于，包括：攻击感知模块、攻击检测模块、以及攻击防御模块，其中；

攻击感知模块，用于实时监测系统状态指标，根据系统状态指标，判断系统是否处于DDoS攻击状态；当系统处于DDoS攻击状态时，根据触发攻击感知的系统状态指标，判断DDoS攻击的类型；

攻击检测模块，用于对接口流量进行检测，筛选出DDoS攻击发起源的IP地址或访问频次异常的接口；

攻击防御模块，用于对所述接口进行正常性测试，当测试结果正确，则进入后续防御处理，对发生DDoS攻击的接口进行防御处理；

所述攻击感知模块还用于，通过数据模型进行系统状态指标数值的预测；利用预测值以及观测值获取偏离度，根据偏离度判断系统是否处于DDoS攻击状态；所述数据模型包括：AR模型、MA模型、或ARMA模型；所述通过AR模型进行系统状态指标数值的预测包括：AR模型公式：

‑1 ‑2 ‑3 ‑L

θ＝(2 ，2 ，2 …2 )；

L＝min{10,max{3,0.3≤|lg(Vt‑L/Vt‑L‑1)|}}；

其中Vt为目标系统状态指标在时间间隔次数t的预测值；t为当前统计间隔时间的次数；

St‑i为系统状态指标在t‑i时刻的观测值；i为1到L的时刻下标，即某一时刻；

θi为AR模型参数，这里θi可视为在预测中对t‑i时刻观测值的置信程度；为了保证通用性以及提高计算效率，使用参数θ代替θi；为了保证整体系数和为1，添加了θLSt‑L部分，即将最后一个参数的系数值翻倍；

L为模型的阶数，即参与预测的观测值数量Vt‑L为目标系统状态指标在向前搜索时间间隔t‑L次数的预测值，Vt‑L‑1为目标系统状态指标在向前搜索时间间隔t‑L‑1次数的预测值；

vt‑L与vt‑L‑1为向前搜索L个时刻的两个连续vt；e为误差的补偿值；

获得预测值后，根据预测值与观测值进行偏离程度计算，计算公式为：即取参与预测的所有观测值的方差与预测值的差进行比较，当预测值与观测值的差超过p倍的方差时，判断为系统正遭受DDoS攻击；所述p为DDoS攻击感知算法的判断阈值。

2.根据权利要求1所述的分布式实时DDoS攻击防护系统，其特征在于，还包括可视化模块，所述可视化模块用于对目标Web应用服务器群状态进行状态监控，所述Web应用服务器群状态包括服务器硬件信息、软件信息、以及操作系统状态。

3.根据权利要求1所述的分布式实时DDoS攻击防护系统，其特征在于，所述攻击感知模块、攻击检测模块、以及攻击防御模块之间通过消息代理服务的通讯链路方式进行通讯。

4.一种分布式实时DDoS攻击防护方法，其特征在于，包括以下步骤:实时监测系统状态指标，根据系统状态指标，判断系统是否处于DDoS攻击状态；

当系统处于DDoS攻击状态时，根据触发攻击感知的系统状态指标，判断DDoS攻击的类型；

对接口流量进行检测，筛选出DDoS攻击发起源的IP地址或访问频次异常的接口；

对所述接口进行正常性测试，当测试结果正确，则进入后续防御处理，对发生DDoS攻击的接口进行防御处理；

所述根据系统状态指标，判断系统是否处于DDoS攻击状态包括：

1.1、通过数据模型进行系统状态指标数值的预测；

1.2、利用预测值以及观测值获取偏离度，根据偏离度判断系统是否处于DDoS攻击状态；

所述数据模型包括：AR模型、MA模型、或ARMA模型；所述通过AR模型进行系统状态指标数值的预测包括：AR模型公式：

‑1 ‑2 ‑3 ‑L

θ＝(2 ，2 ，2 …2 )；

L＝min{10,max{3,0.3≤|lg(Vt‑L/Vt‑L‑1)|}}；

其中Vt为目标系统状态指标在时间间隔次数t的预测值；t为当前统计间隔时间的次数；

St‑i为系统状态指标在t‑i时刻的观测值；i为1到L的时刻下标，即某一时刻；

θi为AR模型参数，这里θi可视为在预测中对t‑i时刻观测值的置信程度；为了保证通用性以及提高计算效率，使用参数θ代替θi；为了保证整体系数和为1，添加了θLSt‑L部分，即将最后一个参数的系数值翻倍；

L为模型的阶数，即参与预测的观测值数量Vt‑L为目标系统状态指标在向前搜索时间间隔t‑L次数的预测值，Vt‑L‑1为目标系统状态指标在向前搜索时间间隔t‑L‑1次数的预测值；

vt‑L与vt‑L‑1为向前搜索L个时刻的两个连续vt；e为误差的补偿值；

获得预测值后，根据预测值与观测值进行偏离程度计算，计算公式为：即取参与预测的所有观测值的方差与预测值的差进行比较，当预测值与观测值的差超过p倍的方差时，判断为系统正遭受DDoS攻击；所述p为DDoS攻击感知算法的判断阈值。

5.根据权利要求4所述的分布式实时DDoS攻击防护方法，其特征在于，所述系统状态指标具体包括KNR、PCIR、IUR以及PUR：根据预设时间间隔，统计关键接口与普通接口的访问次数比KNR；所述关键接口为需要配合数据库使用或等待其他第三方服务的回复功能的接口；

统计关键接口访问次数比的主成分分析的接口访问频次比PCIR；

统计关键接口访问次数与当前用户的人数比IUR；

统计访问网页页面次数与当前用户人数比PUR；

所述关键接口与普通接口的访问次数比使用KNR(Key Interface to  Normal Interface Radio)表示，其计算公式：其中requestkey为关键接口的访问次数，requestnormal为其余接口的访问次数，t为算法检测的单位时间；

所述统计关键接口访问次数比的主成分分析的接口访问频次比使用PCIR表示，其计算公式：PCIR＝PCA1([Interface1,Interface2...Interfacen]t)其中t表示算法检测的单位时间，Interfacen表示Web服务应用中第n个接口的请求次数；

所述统计接口访问次数与当前用户的人数比使用IUR表示，其计算公式：其中t表示算法检测的单位时间，requestall表示该时刻下Web服务应用所有的HTTP请求次数，IP表示该时刻下Web服务应用所有活跃用户链接数量，即源IP数量；

所述统计访问网页页面次数与当前用户人数比PUR表示，其计算公式：其中t表示算法检测的单位时间，Page表示该时间内网页页面的访问个数，IP表示该时刻下Web服务应用所有活跃用户链接数量，即源IP数量；

所述当系统处于DDoS攻击状态时，根据触发攻击感知的系统状态指标，判断DDoS攻击的类型具体包括；

当KNR出现偏离时，触发asymmetric workload型DDoS攻击感知；

当IUR出现偏离时，触发request flooding型DDoS攻击感知。

6.根据权利要求4所述的分布式实时DDoS攻击防护方法，其特征在于，对接口流量进行检测，筛选出DDoS攻击发起源的IP地址或访问频次异常的接口包括：

3.1、建立检测模型，通过所述检测模型计算模型用户正常度概率；

3.2、获取用户操作序列，运算得出所述用户操作序列的操作正常度概率；

3.3、将操作正常度概率与模型用户正常度概率进行比较，当操作正常度概率包含于模型用户正常度概率，则判断该用户行为正常；当操作正常度概率不包含于模型用户正常度概率，则判断该用户行为异常。

7.根据权利要求5所述的分布式实时DDoS攻击防护方法，其特征在于，所述检测模型为隐半马尔可夫模型；

隐半马尔可夫模型参数集描述：

HSMM＝(A＝{sm},P＝{tsmn},T＝{trm(ri,τi)},D＝{numm(d)})其中A为用户访问状态的初始概率矩阵，表示用户处于某种初始状态的概率的集合；P为状态间相互转移的概率矩阵，为用户处于某浏览状态时到另一浏览状态的概率集合；T为在某状态下观察值的概率矩阵，用于描述用户的某一真实浏览状态呈现为后台服务器的某组实际请求内容以及请求时间间隔的概率，即用户浏览状态观察值的概率分布函数；D为状态驻留时间的概率分布，即用户到达下一个业务关键点或浏览状态时后台服务器实际接收用户的请求访问，即观察值的个数；

其中，sm＝∑statem/∑state；

tsmn＝(∑θ(statem,staten))/(∑statem)；

numm(d)＝∑lengthm‑1,m(d)/∑statem；

其中，sm为用户处于初始的浏览状态为statem的概率，statem表示浏览状态m，state表示任意浏览状态；tsmn表示用户的浏览状态从statem转移到staten的概率，θ(statem,staten)表示在所有观察结果序列中出现的以statem起始，staten结束的不重复子集；trm(ri,τi)表示用于到达访问状态statem时后台服务器实际接收到经过τi的时间间隔后的访问观察状态ri的概率，其中ri代表后台服务器观察到的用户浏览状态，ri‑1为浏览序列中ri的上一浏览状态，τi为相应的两个状态ri、ri‑1的访问时间间隔即 space函数为该Web应用中用户两次http请求访问间隔的概率密度函数,space(τi)即用户两次请求间隔时间为τi的概率；numm(d)为当用户到达业务关键点访问状态为statem时后台服务器接收到的观察状态访问数量为d的概率，其中lengthm‑1,m(d)函数表示在所有观察结果序列中出现的以statem‑1起始，statem结束的长度为d子集数量。