CN110071941B

CN110071941B - 一种网络攻击检测方法、设备、存储介质及计算机设备

Info

Publication number: CN110071941B
Application number: CN201910379112.5A
Authority: CN
Inventors: 王巍巍; 殷昊
Original assignee: Beijing QIYI Century Science and Technology Co Ltd
Current assignee: Beijing QIYI Century Science and Technology Co Ltd
Priority date: 2019-05-08
Filing date: 2019-05-08
Publication date: 2021-10-29
Anticipated expiration: 2039-05-08
Also published as: CN110071941A

Abstract

本发明公开了一种网络攻击检测方法、设备、存储介质及计算机设备，可以通过确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。本发明可以有效提高对于网络攻击的检测和识别能力，提升对于网络攻击的防御能力。

Description

一种网络攻击检测方法、设备、存储介质及计算机设备

技术领域

本发明涉及网络安全防护领域，尤其涉及一种网络攻击检测方法、设备、存储介质及计算机设备。

背景技术

随着科学技术的发展，网络安全变得尤为重要，当前的网站服务器经常受到各种非法攻击。CC(Challenge Collapsar，挑战黑洞)攻击即是其中一种常见的攻击行为。CC攻击是DDoS(分布式拒绝服务，Distributed Denial of Service)的一种，CC攻击通过访问URI(Uniform Resource Identifier，统一资源标识符)不断对网站服务器发送访问请求致使网站服务器无法处理合法用户对于正常网络资源的访问，从而形成拒绝服务的目的。

现有的网络攻击检测技术通过在网站服务器端统计单个IP在单位时间内的访问该网站服务器的URI的次数来检测网络攻击。当某个IP在单位时间内的访问该网站服务器的URI的次数超过阈值时，现有的网络攻击检测技术可以将该IP的访问行为确定为网络攻击。

但是，随着技术的发展，当前出现了通过多个不同的IP来进行网络攻击的事件。例如，发动CC攻击的攻击者可以多次修改IP，通过不同的IP访问网站服务器的URI向网站服务器发送占据大量处理资源和时间的页面请求(访问请求的一种)，造成网站服务器处理资源的浪费，网站服务器CPU长时间处于100％使用状态，这样CPU就没有办法处理来自合法用户的正常请求。

可见，攻击者可以通过多个不同的IP来对被攻击的URI进行访问，每个IP对URI进行访问的次数都不会超过阈值，这就使得现有的网络攻击检测技术无法检测到这种网络攻击。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的网络攻击检测方法、设备、存储介质及计算机设备，技术方案如下：

一种网络攻击检测方法，所述方法包括：

确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；

对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。

可选的，所述访问信息组包括：设备指纹、用户标识、用户代理UA和HTTP_Referer中的至少一种访问信息。

可选的，所述确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方，包括：

获得访问方在预设时间段内对统一资源标识符URI进行访问的访问请求，所述访问请求中还携带有访问方的IP地址；

将所述IP地址和所述访问信息组构成的信息组合确定为访问方标识，将携带的所述访问方标识相同的访问请求确定为同一访问方的访问请求；

对每个访问方：获得该访问方在所述预设时间段内对URI进行访问的各访问请求中携带的所访问的URI的数量，在该数量低于预设数量时，将该访问方确定为：所述预设时间段内访问的URI的数量低于预设数量的访问方。

可选的，所述确定所述预设时间段内访问该URI的访问方的数量，包括：

根据携带有该URI的各访问请求中携带的所述访问方标识，确定所述预设时间段内访问该URI的访问方的数量。

可选的，所述将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击，包括：

将携带所述高危访问信息组且访问该URI的访问请求确定为分布式网络攻击。

可选的，所述方法还包括：

将在所述预设时间段内被所有访问方访问的次数总和超过第二阈值的URI确定为被攻击URI；

对每个被攻击URI：将所确定的访问方发出的、在所述预设时间段内访问该被攻击URI次数超过第三阈值的访问请求确定为网络攻击。

可选的，所述对每个被攻击URI：将在所述预设时间段内访问该被攻击URI次数超过第三阈值的、所确定的访问方访问该被攻击URI的访问请求确定为网络攻击，包括：

对每个被攻击URI：将所确定的访问方发出的、在所述预设时间段内访问该被攻击URI次数超过第三阈值的访问请求确定为高频式网络攻击。

一种网络攻击检测设备，所述网络攻击检测设备包括访问方确定单元和第一网络攻击确定单元，其中：

所述访问方确定单元，用于确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；

所述第一网络攻击确定单元，用于对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。

可选的，所述访问方确定单元，具体包括：访问请求获得子单元、访问请求确定子单元和数量确定子单元，其中：

所述访问请求获得子单元，用于获得访问方在预设时间段内对统一资源标识符URI进行访问的访问请求，所述访问请求中还携带有访问方的IP地址；

所述访问请求确定子单元，用于将所述IP地址和所述访问信息组构成的信息组合确定为访问方标识，将携带的所述访问方标识相同的访问请求确定为同一访问方的访问请求；

所述数量确定子单元，用于对每个访问方：获得该访问方在所述预设时间段内对URI进行访问的各访问请求中携带的所访问的URI的数量，在该数量低于预设数量时，将该访问方确定为：所述预设时间段内访问的URI的数量低于预设数量的访问方。

可选的，所述网络攻击检测设备还包括URI确定单元和第二网络攻击确定单元，其中：

所述URI确定单元，用于将在所述预设时间段内被所有访问方访问的次数总和超过第二阈值的URI确定为被攻击URI；

所述第二网络攻击确定单元，用于对每个被攻击URI：将所确定的访问方发出的、在所述预设时间段内访问该被攻击URI次数超过第三阈值的访问请求确定为网络攻击。

一种存储介质，所述存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现任一种所述的网络攻击检测方法。

一种计算机设备，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述处理器执行程序时至少实现以下步骤：

借由上述技术方案，本发明提供的网络攻击检测方法、设备、存储介质及计算机设备，可以通过确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。本发明可以有效提高对于网络攻击的检测和识别能力，提升对于网络攻击的防御能力。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种网络攻击检测方法的流程图；

图2示出了本发明实施例提供的另一种网络攻击检测方法的流程图；

图3示出了本发明实施例提供的一种网络攻击检测设备的结构示意图；

图4示出了本发明实施例提供的另一种网络攻击检测设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明实施例提供了一种网络攻击检测方法，如图1所示，该方法可以包括以下步骤：

S100、确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；

可选的，技术人员可以根据实际检测需要对预设时间段进行设置。在实际应用中，本发明中的预设时间段的数量可以为一个，也可以为多个。例如：从某年某月某日的0点0分0秒开始，每10秒为一个预设时间段，这样就可以设置多个预设时间段。当然，当预设时间段为多个时，各预设时间段之间并不一定依次相连，相邻的两个预设时间段之间也可以有时间间隔，本发明在此不做限定。对每个预设时间段本发明都可以进行图1所示的各个步骤以确定该预设时间段内是否存在网络攻击，即：在本申请提供的网络攻击检测方法的一次执行过程中所涉及的步骤中的预设时间段为同一预设时间段。

其中，统一资源标识符(URI，Uniform Resource Identifier)可以是一个用于标识某一互联网资源(包括页面、多媒体文件等)名称的字符串。在实际应用中，访问方向服务器发送特定的访问请求时，例如发送对于某一页面的访问请求，该访问请求中可以携带对应该页面的URI，服务器在接收到该访问请求后，可以通过识别该访问请求中携带的URI将对应该URI的地址的资源(如：页面)返回至访问方。可选的，访问方可以是电脑、手机或iPad等能够访问服务器的网络资源的设备。服务器可以为网站服务器等。本发明图1所示方法可以应用于服务器中，也可以应用于为服务器提供安全保护的设备或与服务器通信连接的设备中。

可选的，预设数量可以较小，例如：技术人员可以将预设数量设置为2。相应的，若某个访问方在预设时间段内只访问了1个URI，那么，该访问方即为步骤S100中所要确定的访问方。若技术人员也可以将预设数量设置3，若某个访问方在预设时间段内只访问了1或2个URI，那么，该访问方即为步骤S100中所要确定的访问方。当然，技术人员也可以将预设数量设置为其它数量。本发明实施例对预设数量的设置不做限定。

在实际应用中，进行网络攻击的访问方通常具有集中访问少量URI的特征，即进行网络攻击的访问方通常向目标服务器发送针对一个或少数几个URI的访问请求，而不会请求其它资源。当某访问方具有集中访问少量URI的特征时，本发明可以将这个访问方确定为疑似进行网络攻击的访问方。针对该特征，本发明设置步骤S100以锁定疑似进行网络攻击的访问方。进一步，为更好的实现步骤S100锁定疑似进行网络攻击的访问方的目的，预设数量可以设置为较小些。具体的，如需检测只访问一个URI的网络攻击，预设数量设置为2就可以确定疑似进行网络攻击的访问方。

其中，访问请求中可以携带有访问信息组。可选的，所述访问信息组可以包括：设备指纹、用户标识、用户代理UA和HTTP_Referer中的至少一种访问信息。具体的，所述访问信息组中不包括IP地址。

其中，设备指纹可以是用于唯一标识出某个设备的设备标识，该设备标识可以是设备固有且难以篡改的，例如手机的国际移动设备识别码(IMEI，International MobileEquipment Identity)，可以作为唯一确定某部手机的设备指纹；例如电脑网卡的媒体访问控制地址(MAC，Media Access Control Address)，可以作为唯一确定某个电脑网卡的设备指纹。本发明可以通过识别不同设备的设备指纹来识别不同的访问方。

其中，用户标识可以为用户访问服务器中某一互联网资源时所使用的用户名(例如：张三、zhangsan123和zhangsan-123等)，也可以是用户所使用的手机号码等标识用户身份的信息。本发明可以通过用户标识来识别不同的访问方。

其中，用户代理(UserAgent，UA)可以是一个特殊字符串头。服务器在接收到访问方发送的访问请求后，可以通过访问请求中的UA识别访问方所使用的操作***及版本、CPU类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

其中，HTTP_Referer可以是HTTP请求头中的一部分。具体的，当访问方通过某一浏览器向服务器发送对于某一页面的访问请求时，该访问请求中的HTTP请求头信息中包含有对应该浏览器的HTTP_Referer。通过该HTTP_Referer，服务器可得知访问方请求该页面的页面来源。例如，张三通过搜狗浏览器https://123.sogou.com直接访问百度官网首页www.***.com，在点击搜狗浏览器中出现的链接www.***.com后，百度服务器接收的访问请求的请求头信息里就有HTTP_Referer＝https://123.sogou.com的信息。

可选的，步骤S100可以具体包括：

可选的，所述访问信息组可以包括：设备指纹。由于设备指纹的重复率较低(百万分之一)，因此本发明可以将携带的所述设备指纹和访问方的IP地址均相同的访问请求确定为同一访问方的访问请求。当然，本发明也可以将用户标识、用户代理UA和HTTP_Referer中的至少一种访问信息与设备指纹一起作为访问信息组。例如：将用户代理UA、HTTP_Referer与设备指纹一起作为访问信息组。这样，本发明可以将携带的访问方的IP地址、UA、HTTP_Referer和设备指纹均相同的访问请求确定为同一访问方的访问请求。

可选的，所述访问信息组可以包括：用户标识。由于用户标识具有唯一性，因此本发明可以将携带的所述用户标识和访问方的IP地址均相同的访问请求确定为同一访问方的访问请求。可以理解的是，并不是所有的访问请求中均携带有用户标识。当然，本发明也可以将设备指纹、用户代理UA和HTTP_Referer中的至少一种访问信息与用户标识一起作为访问信息组。

可选的，所述访问信息组可以包括：用户代理UA和HTTP_Referer。本发明可以将携带的访问方的IP地址、所述UA和HTTP_Referer均相同的访问请求确定为同一访问方的访问请求。当然，本发明也可以将用户标识和设备指纹中的至少一种访问信息与“UA和HTTP_Referer”一起作为访问信息组。

可选的，本发明可以将IP地址、UA和HTTP_Referer确定为访问方标识，将携带的所述访问方标识相同的访问请求确定为同一访问方的访问请求。例如：在预设时间段内获得了第一访问请求和第二访问请求，第一访问请求中携带有：IP1、URI1、UA1和HTTP_Referer1，第二访问请求中携带有：IP1、URI2、UA1和HTTP_Referer1，则由于这两个访问请求中携带的IP地址、UA和HTTP_Referer构成的访问方标识相同(均为IP1、UA1和HTTP_Referer1)，因此本发明可以确定这两个访问请求为同一访问方的访问请求，该访问方的访问方标识即为：IP1、UA1和HTTP_Referer1。由于第一访问请求和第二访问请求中携带的URI不同，因此可以确定IP1、UA1和HTTP_Referer1对应的访问方在预设时间段内访问的URI的数量为2个，当步骤S100中的预设数量为3个时，可以确定该访问方为预设时间段内访问的URI的数量低于预设数量的访问方。

S200、对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。

可选的，所述确定所述预设时间段内访问该URI的访问方的数量，可以包括：

具体的，在确定携带有该URI的各访问请求中携带有N种访问方标识后，就可以确定预设时间段内访问该URI的访问方的数量为N。

下面通过举例1(该例中IP地址、UA与HTTP_Referer构成访问方标识)进行说明。

举例1：某网站的服务器在一个预设时间段内获得了9个访问请求，分别为：

第一访问请求(携带有：IP1、URI1、UA1和HTTP_Referer1)；

第二访问请求(携带有：IP1、URI1、UA1和HTTP_Referer1)；

第三访问请求(携带有：IP1、URI1、UA1和HTTP_Referer1)；

第四访问请求(携带有：IP2、URI1、UA1和HTTP_Referer1)；

第五访问请求(携带有：IP2、URI1、UA1和HTTP_Referer1)；

第六访问请求(携带有：IP2、URI1、UA1和HTTP_Referer1)；

第七访问请求(携带有：IP3、URI1、UA1和HTTP_Referer1)；

第八访问请求(携带有：IP3、URI1、UA1和HTTP_Referer1)；

第九访问请求(携带有：IP3、URI1、UA1和HTTP_Referer1)。

根据步骤S100可知第一访问请求至第三访问请求均为同一访问方(设为访问方甲)发出的访问请求，第四访问请求至第六访问请求均为同一访问方(设为访问方乙)发出的访问请求，第七访问请求至第九访问请求均为同一访问方(设为访问方丙)发出的访问请求。当步骤S100中的预设数量为2时，可知访问方甲、乙、丙均仅访问了一个URI，即URI1，因此为预设时间段内访问的URI的数量低于预设数量的访问方。由于甲、乙、丙均仅访问URI1，则从该URI1的角度看，在预设时间段内访问该URI1的访问方的数量为三个，分别为访问方甲、乙、丙。

可选的，所述第一阈值与URI相对应，不同的UIR对应的所述第一阈值可以相同或不同。对某URI而言，该URI对应的第一阈值的设定过程可以包括：获得至少一个历史时间段内访问该URI的访问方的数量，根据获得的访问方的数量确定与该URI对应的第一阈值。

其中，历史时间段的长度可以和预设时间段相同，历史时间段中也可以包括一定数量的预设时间段。

步骤S200中的第一阈值可以根据统计获得，例如：对某网站而言，该网站的服务器可以统计自己重点监控的几个URI在平时的被访问情况，从而确定第一阈值。如对URI1，网站服务器可以在某个未发生网络攻击的较长的历史时间段(该时间段包含多个预设时间段)统计该历史时间段内多个预设时间段内访问URI1的访问方的数量。设预设时间段为1分钟，未发生网络攻击的较长的历史时间段为1小时，则网站服务器可以获得这1小时内的第1分钟、第11分钟、第21分钟、第31分钟、第41分钟、第51分钟对应的1分钟时长内访问URI1的访问方的数量，例如分别为：1、0、0、2、1、0，则可以通过平均算法确定其平均值，并根据平均值确定第一阈值，例如第一阈值为平均值的某个倍数，或第一阈值为：平均值+3标准差。当然，第一阈值的确定方式还有多种，本发明在此不做限定。

其中，各历史时间段内访问该URI的访问方的数量可以通过目标服务器的历史流量日志获得。历史流量日志中包含的信息不仅仅为各URI在各个时间段内的访问量，还包含了其它的信息，例如访问各URI的访问方所发送的访问请求中携带的信息(例如包括访问方的IP地址、所访问的URI、访问方的UA和访问方的HTTP_Referer等)、访问方发送给服务器的HTTP请求头以及访问方对于URI的访问时间段等。当然，当预设时间段为当前时刻之前的预设时间段时，预设时间段内的各访问请求携带的各种信息也可以从历史流量日志中获得。

可选的，历史流量日志可以通过流式处理***spark streaming(可以对实时数据流进行高通量、容错处理的流式处理***)从kafka(一种高吞吐量的分布式发布订阅消息***)中收集并存入hdfs(Hadoop分布式文件***)获得。

需要说明的是，当确定预设时间段内访问某URI的访问方的数量超过第一阈值时，说明该预设时间段内访问该URI的访问方的数量较多，有可能是由于攻击者通过多个不同的IP对该URI进行网络攻击而导致的。这种情况下，本发明可以进一步获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组(如用户代理UA和HTTP_Referer)，将所述各访问请求中出现次数最多的一种访问信息组确定为高危访问信息组。虽然攻击者可以修改IP，但是一般不会修改访问信息组中的访问信息。这是由于修改访问信息组中的访问信息较为困难且花费时间较多。例如：如果修改UA，则需要修改操作***、CPU、浏览器、浏览器插件中的至少一个，而这种修改要么无法完成(如修改CPU)，要么较为困难，因此攻击者一般不会进行修改。因此，本发明将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组。为方便理解，仍使用举例1说明：

对于举例1的9个访问请求，设访问信息组由UA和HTTP_Referer构成。从URI1的角度看，在预设时间段内访问该URI1的访问方的数量为三个，分别为访问方甲、乙、丙。当第一阈值为2时，可以获得并统计在预设时间段内访问该URI1的9个访问请求中携带的UA和HTTP_Referer构成的访问信息组，可知访问信息组只有一种：UA1和HTTP_Referer1，该UA1和HTTP_Referer1构成的访问信息组在这9个访问请求中出现次数最多，因此为高危访问信息组。则步骤S200可以将携带该高危访问信息组且访问该URI1的访问请求确定为网络攻击，即将第一访问请求至第九访问请求全部确定为网络攻击。

在实际应用中，本发明可以将携带所述高危访问信息组且访问该URI的访问请求确定为分布式网络攻击。通过上述对于网络攻击的确定过程的分析可知，当在一个预设时间段内某些访问方访问的URI较为集中，且被集中访问的URI在该预设时间段内被访问的访问方也较多时，本发明可以确定已发生网络攻击，并将该预设时间段内访问被集中访问的URI的访问请求中携带出现次数最多的访问信息组的访问请求确定为网络攻击。由于这种网络攻击行为的IP可能发生变化，因此为分布式网络攻击。

在本发明实施例中，步骤S200确定的网络攻击除可以为通过修改IP进行的网络攻击外，也可以为通过控制肉鸡来实现通过多个不同IP进行的网络攻击。

本发明实施例公开的网络攻击检测方法，可以通过确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击，提高服务器对于网络攻击的检测和识别能力。

本申请发明人在实现本发明的过程中研究发现，现有的网络攻击检测技术还存在如下问题：由于现有的网络攻击检测技术仅通过在网站服务器端统计单个IP在单位时间内的访问该网站服务器的URI的次数来检测网络攻击，因此当网页卡顿时，用户可能会在短时间内多次刷新网页，这就使得该用户的电子设备在短时间内多次向该网页的网站服务器发送对同一URI的访问请求。这种情况下，当该用户短时间内发出的对同一URI的访问请求超过阈值时，现有的网络攻击检测技术将把该用户发出的访问请求确定为网络攻击，从而出现“误杀”情况。为了解决该问题，本发明实施例基于图1所示的步骤还提供了另一种网络攻击检测方法，如图2所示，在步骤S100之后，该方法还可以包括以下步骤：

S300、将在所述预设时间段内被所有访问方访问的次数总和超过第二阈值的URI确定为被攻击URI；

S400、对每个被攻击URI：将所确定的访问方发出的、在所述预设时间段内访问该被攻击URI次数超过第三阈值的访问请求确定为网络攻击。

其中，步骤S300与步骤S100、S200的执行顺序本发明不做限定，步骤S300可以先于或晚于步骤S100和S200中的至少一个执行，步骤S300也可以在步骤S100和S200之间执行，步骤S300也可以和步骤S100并行执行，步骤S300也可以和S200并行执行。

其中，步骤S400在步骤S300之后执行，且步骤S400在步骤S100之后执行。

具体的，步骤S400可以对每个被攻击URI：将所确定的访问方发出的、在所述预设时间段内访问该被攻击URI次数超过第三阈值的访问请求确定为高频式网络攻击。

其中，当某URI在所述预设时间段内被所有访问方访问的次数总和超过第二阈值时，说明该URI被访问的次数较多，有可能正在受到攻击。这种情况下，再将访问可能被攻击的URI的次数较多的访问方确定为攻击者，将攻击者访问可能被攻击的URI的访问请求确定为网络攻击。

可见，本发明实施例通过增加步骤S300中超过第二阈值的条件，一定程度上减少了“误杀”情况。例如：虽然某用户在短时间内多次刷新同一网页，但该网页当前被访问的次数总和并未超过第二阈值，则该用户发出的访问请求不会被误认为是网络攻击，也就避免了“误杀”。

可选的，所述第二阈值与URI相对应，不同的URI对应的所述第二阈值可以相同或不同。对某URI而言，该URI对应的第二阈值的设定过程可以包括：

获得至少一个历史时间段内所有访问方访问该URI的次数总和，根据获得的访问次数总和确定与该URI对应的第二阈值。

具体的，当历史时间段为多个且每个历史时间段的长度与预设时间段的长度均相等时，本实施例在获得的各历史时间段内所有访问方访问该URI的次数总和后，可以根据高斯分布中判别异常数据的三倍标准差法确定第二阈值。当然，也可以通过两倍标准差法进行确定。

其中，各历史时间段内所有访问方访问该URI的次数总和可以通过目标服务器的历史流量日志获得。

具体的，可以在历史流量中提取出各历史时间段内所有访问方访问该URI的次数总和，并根据次数总和确定第二阈值的数值。例如，预设时间段与历史时间段的时长均为4分钟，以4分钟为单位时间，在历史流量日志中，提取当天的前一周的每一天里在单位时间内所有访问方访问该URI的次数总和，进一步，确定这七天中的每天里在单位时间内所有访问方访问该URI的次数总和的最大值，例如最大值依次为62、71、58、73、65、67和59。之后，将该七个数据进行平均值计算以得到均值A，将该7个数据进行标准差计算以得到标准差B，之后，根据三倍标准差法计算公式，将A加上3倍的B的值作为相应URI的第二阈值。

可选的，所述第三阈值与URI相对应，不同的URI对应的所述第三阈值可以相同或不同。

本发明实施例公开的图2所示的网络攻击检测方法，可以通过对高频式网络攻击的识别，有效避免在网络攻击检测过程中出现的“误杀”情况。

与图1所示方法相对应，本发明实施例提供了一种网络攻击检测设备，如图3所示，所述网络攻击检测设备可以包括：访问方确定单元100和第一网络攻击确定单元200，其中：

所述访问方确定单元100，用于确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；

可选的，技术人员可以根据实际检测需要对预设时间段进行设置。在实际应用中，本发明中的预设时间段的数量可以为一个，也可以为多个。例如：从某年某月某日的0点0分0秒开始，每10秒为一个预设时间段，这样就可以设置多个预设时间段。当然，当预设时间段为多个时，各预设时间段之间并不一定依次相连，相邻的两个预设时间段之间也可以有时间间隔，本发明在此不做限定。对每个预设时间段本发明都可以确定该预设时间段内是否存在网络攻击。

所述第一网络攻击确定单元200，用于对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。

可选的，所述访问信息组可以包括：设备指纹、用户标识、用户代理UA和HTTP_Referer中的至少一种访问信息。具体的，所述访问信息组中不包括IP地址。

其中，所述访问方确定单元100，可以具体包括：访问请求获得子单元、访问请求确定子单元和数量确定子单元，其中：

可选的，所述第一网络攻击确定单元200确定所述预设时间段内访问该URI的访问方的数量具体设置为：

具体的，第一网络攻击确定单元200在确定携带有该URI的各访问请求中携带有N种访问方标识后，就可以确定预设时间段内访问该URI的访问方的数量为N。

可选的，所述第一阈值与URI相对应，不同的UIR对应的所述第一阈值可以相同或不同。

可选的，所述第一网络攻击确定单元200将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击，具体设置为：

在本发明实施例中，第一网络攻击确定单元200确定的网络攻击除可以为通过修改IP进行的网络攻击外，也可以为通过控制肉鸡来实现通过多个不同IP进行的网络攻击。

本发明实施例公开的网络攻击检测设备，可以通过确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击，提高服务器对于网络攻击的检测和识别能力。

与图2所示方法相对应，如图4所示，本发明实施例提供了另一种网络攻击检测设备，在图3所示网络攻击检测设备基础上，还包括URI确定单元300和第二网络攻击确定单元400，其中：

所述URI确定单元300，用于将在所述预设时间段内被所有访问方访问的次数总和超过第二阈值的URI确定为被攻击URI；

所述第二网络攻击确定单元400，用于对每个被攻击URI：将所确定的访问方发出的、在所述预设时间段内访问该被攻击URI次数超过第三阈值的访问请求确定为网络攻击。

可见，本发明实施例通过增加URI确定单元300中超过第二阈值的条件，一定程度上减少了“误杀”情况。例如：虽然某用户在短时间内多次刷新同一网页，但该网页当前被访问的次数总和并未超过第二阈值，则该用户发出的访问请求不会被误认为是网络攻击，也就避免了“误杀”。

可选的，所述第二阈值与URI相对应，不同的URI对应的所述第二阈值可以相同或不同。

可选的，所述第二网络攻击确定单元400，可以具体用于对每个被攻击URI：将所确定的访问方发出的、在所述预设时间段内访问该被攻击URI次数超过第三阈值的访问请求确定为高频式网络攻击。

本发明实施例公开的图4所示的网络攻击检测设备，可以通过对高频式网络攻击的识别，有效避免在网络攻击检测过程中出现的“误杀”情况。

所述网络攻击检测设备包括处理器和存储器，上述访问方确定单元100和第一网络攻击确定单元200等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来检测网络攻击。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

本发明实施例提供了一种存储介质，所述存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现本发明实施例提供的网络攻击检测方法。

本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述网络攻击检测方法。

本发明实施例提供了一种计算机设备，其特征在于，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述处理器执行程序时至少实现以下步骤：

本文中的计算机设备可以是服务器、PC、PAD、手机等。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于至少执行初始化有如下方法步骤的程序：

本领域内的技术人员应明白，本申请的实施例可提供为方法、设备(***)、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、设备(***)或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

1.一种网络攻击检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述访问信息组包括：设备指纹、用户标识、用户代理UA和HTTP_Referer中的至少一种访问信息。

3.根据权利要求1所述的方法，其特征在于，所述确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方，包括：

4.根据权利要求3所述的方法，其特征在于，所述确定所述预设时间段内访问该URI的访问方的数量，包括：

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击，包括：

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

7.根据权利要求6所述的方法，其特征在于，所述对每个被攻击URI：将在所述预设时间段内访问该被攻击URI次数超过第三阈值的、所确定的访问方访问该被攻击URI的访问请求确定为网络攻击，包括：

8.一种网络攻击检测设备，其特征在于，所述网络攻击检测设备包括访问方确定单元和第一网络攻击确定单元，其中：

9.一种存储介质，其特征在于，所述存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现如上权利要求1至7任一项所述的网络攻击检测方法。

10.一种计算机设备，其特征在于，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述处理器执行程序时至少实现以下步骤：