CN109729094B - 恶意攻击检测方法、系统、计算机装置及可读存储介质 - Google Patents

恶意攻击检测方法、系统、计算机装置及可读存储介质 Download PDF

Info

Publication number
CN109729094B
CN109729094B CN201910069787.XA CN201910069787A CN109729094B CN 109729094 B CN109729094 B CN 109729094B CN 201910069787 A CN201910069787 A CN 201910069787A CN 109729094 B CN109729094 B CN 109729094B
Authority
CN
China
Prior art keywords
access
time period
sub
weighted average
access times
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910069787.XA
Other languages
English (en)
Other versions
CN109729094A (zh
Inventor
石晓龙
黄望
饶鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Life Insurance Company of China Ltd
Original Assignee
Ping An Life Insurance Company of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Life Insurance Company of China Ltd filed Critical Ping An Life Insurance Company of China Ltd
Priority to CN201910069787.XA priority Critical patent/CN109729094B/zh
Publication of CN109729094A publication Critical patent/CN109729094A/zh
Application granted granted Critical
Publication of CN109729094B publication Critical patent/CN109729094B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种恶意攻击检测方法、系统、计算机装置及计算机可读存储介质。所述恶意攻击检测方法包括:获取在一检测时间段内访问IP访问目标源的访问次数及返回的访问状态码,其中所述目标源是与目标域名相关联的至少一资源;将所述检测时间段划分为N个连续的子时间段,每一所述子时间段对应配置有一访问次数权重;根据所述访问IP在每一所述子时间段的访问次数以及每一所述子时间段的访问次数权重,计算所述访问IP的访问次数的加权平均值;根据所述访问状态码及所述访问次数的加权平均值来屏蔽所述访问IP。本发明通过云监控技术实现监控访问IP对目标源的访问历程,以判断所述访问IP是否属于恶意攻击,并可及时作出相应防护措施。

Description

恶意攻击检测方法、系统、计算机装置及可读存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种恶意攻击检测方法、系统、计算机装置及计算机可读存储介质。
背景技术
现有网络应用或网站通常都会碰到过大批量的恶意访问,短时间内给系统带来巨大的流量,当出现恶意程序短时间内大量访问时,可能会导致服务器负载急剧升高,甚至停止响应。现有的恶意访问检测通常都是根据系统日志信息去识别检测恶意攻击,但是通过挖掘日志信息的分析手段往往具有滞后性,无法实时、快速地发现恶意攻击的行为。为保证网络安全以及确保运营服务的正常运行,准确及时地进行恶意攻击检测至关重要。
发明内容
鉴于上述,本发明提供一种恶意攻击检测方法、系统、计算机装置及计算机可读存储介质,其可实现准确定位恶意攻击,及时作出对应防护措施。
本申请一实施方式提供一种恶意攻击检测方法,所述方法包括:
获取在一检测时间段内访问IP访问目标源的访问次数及返回的访问状态码,其中所述目标源是与目标域名相关联的至少一资源;
将所述检测时间段划分为N个连续的子时间段,每一所述子时间段对应配置有一访问次数权重;
根据所述访问IP在每一所述子时间段的访问次数以及每一所述子时间段的访问次数权重,计算所述访问IP的访问次数的加权平均值;及
根据所述访问状态码及所述访问次数的加权平均值来屏蔽所述访问IP。
优选地,所述检测时间段为过去时刻到当前时刻之间的时间段,与所述当前时刻的时间差越大的子时间段配置的访问次数权重越低。
优选地,所述根据所述访问状态码及所述访问次数的加权平均值来屏蔽所述访问IP的步骤包括:
判断所述访问状态码是否属于预设异常访问码集;
当所述访问状态码属于预设异常访问码集时,判断所述访问次数的加权平均值是否大于第一阈值;及
当所述访问次数的加权平均值大于所述第一阈值,屏蔽所述访问IP。
优选地,所述判断所述访问状态码是否属于预设异常访问码集的步骤之后还包括:
当所述访问状态码不属于所述预设异常访问码集时,判断所述访问次数的加权平均值是否大于第二阈值;及
当所述访问次数的加权平均值大于所述第二阈值,屏蔽所述访问IP;
其中,所述第二阈值大于所述第一阈值。
优选地,所述判断所述访问次数的加权平均值是否大于第二阈值的步骤之后还包括:
获取所述访问IP访问目标源的历史访问记录,根据所述历史访问记录建立并训练得到访问预测模型;
根据所述访问预测模型预测所述访问IP在一将来时间段内访问所述目标源的预测访问次数;
当所述访问次数的加权平均值不大于所述第二阈值时,判断所述预测访问次数是否大于第三阈值;及
当所述预测访问次数大于所述第三阈值时,屏蔽所述访问IP。
优选地,所述判断所述访问次数的加权平均值是否大于第一阈值的步骤之后还包括:
获取所述访问IP访问目标源的历史访问记录,根据所述历史访问记录建立并训练得到访问预测模型;
根据所述访问预测模型预测所述访问IP在一将来时间段内访问所述目标源的预测访问次数;
当所述访问次数的加权平均值不大于所述第一阈值时,判断所述预测访问次数是否大于第四阈值;及
当所述预测访问次数大于所述第四阈值时,屏蔽所述访问IP。
优选地,所述访问IP的访问次数的加权平均值等于所述访问IP在每一所述子时间段的访问次数的加权平均值之和,所述访问IP在每一所述子时间段的访问次数的加权平均值通过以下公式计算得到:
Figure BDA0001956898860000031
其中,Q为所述访问IP在每个子时间段的访问次数的加权平均值;n为子时间段的序号,与检测时间段的起始时间的时间差越大的子时间段,n的值越大,1≤n≤N;qn为第n个子时间段的访问次数,f(n)为第n个子时间段所配置的访问次数权重值,f(n)=(2/3)n-1
本申请一实施方式提供一种恶意攻击检测系统,所述系统包括:
获取模块,用于获取在一检测时间段内访问IP访问目标源的访问次数及返回的访问状态码,其中所述目标源是与目标域名相关联的至少一资源;
配置模块,用于将所述检测时间段划分为N个连续的子时间段,每一所述子时间段对应配置有一访问次数权重;
计算模块,用于根据所述访问IP在每一所述子时间段的访问次数以及每一所述子时间段的访问次数权重,计算所述访问IP的访问次数的加权平均值;及
屏蔽模块,用于根据所述访问状态码及所述访问次数的加权平均值来屏蔽所述访问IP。
本申请一实施方式提供一种计算机装置,所述计算机装置包括处理器及存储器,所述存储器上存储有若干计算机程序,所述处理器用于执行存储器中存储的计算机程序时实现如前面所述的恶意攻击检测方法的步骤。
本申请一实施方式提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前面所述的恶意攻击检测方法的步骤。
上述恶意攻击检测方法、系统、计算机装置及计算机可读存储介质,通过对客户端访问IP的访问次数及访问时返回的访问状态码来进行统计分析,并根据分析结果来触发告警并调用访问屏蔽功能,同时还可以通过对访问IP的历史访问记录数据来建立访问次数预测模型,并根据模型预测结果来触发告警并调用访问屏蔽功能,可实现准确定位出可能存在恶意攻击行为的访问IP,及时做出应急处理,恶意攻击检测实时性高、准确性强。
附图说明
为了更清楚地说明本发明实施方式的技术方案,下面将对实施方式描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例中恶意攻击检测方法的步骤流程图。
图2为本发明一实施例中恶意攻击检测系统的功能模块图。
图3为本发明一实施例中计算机装置示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行详细描述。需要说明的是,在不冲突的情况下,本申请的实施方式及实施方式中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施方式的目的,不是旨在于限制本发明。
优选地,本发明的恶意攻击检测方法应用在一个或者多个计算机装置中。所述计算机装置是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific IntegratedCircuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机装置可以是桌上型计算机、笔记本电脑、平板电脑、服务器等计算设备。所述计算机装置可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
实施例一:
图1是本发明恶意攻击检测方法较佳实施例的步骤流程图。根据不同的需求,所述流程图中步骤的顺序可以改变,某些步骤可以省略。
参阅图1所示,所述恶意攻击检测方法具体包括以下步骤。
步骤S11、获取在一检测时间段内访问IP访问目标源的访问次数及返回的访问状态码,其中所述目标源是与目标域名相关联的至少一资源。
在一实施方式中,所述检测时间段可以是指目标源需要判断是否被攻击的一段时间,也可以是被指定的一采样时间段。所述检测时间段的长度可以根据实际需求进行设定,例如所述检测时间段可以是一分钟到几十分钟。所述访问IP可以是一访问源的IP地址,所述访问源可以接入互联网并访问目标域名中的资源,所述访问源可以是计算机终端、移动终端、代理服务器等。所述访问源既包括正常访问目标资源的终端,也包括蓄意发起网络攻击的终端。
在一实施例中,所述目标域名可以指被访问源访问的网站域名。与目标域名相关联的资源可以包括静态资源(静态Web页面),也可以包括非静态资源。所述非静态资源可以是动态页面、视频等。所述目标域名相关联的资源可以通过同一资源标识符(URI)来标识。当接收到一IP地址的访问请求时,记录所述地址的请求时间,并根据预设的统计算法或者插件即可统计得到该IP地址在任意一时间段内的访问次数。
在一实施方式中,访问IP访问目标源返回的访问状态码可以是HTTP状态码,其由三位数字组成,第一个数字定义了响应类别,共分为五种类别(1xx、2xx、3xx、4xx、5xx)。比如所述访问状态码可以包括以下几种:105--DNS解析失败、200--请求被正常处理、301永久重定向、302--临时重定向、303--请求的资源存在另一个URL、400--报文中有语法错误、403--服务器收到请求,但拒绝服务、404--服务器上没有该资源、500--服务器发生不可预期的错误、503--服务器超负载,正在维护。
步骤S12、将所述检测时间段划分为N个连续的子时间段,每一所述子时间段对应配置有一访问次数权重。
在一实施方式中,当将所述检测时间段划分为N个连续的子时间段时,每个子时间段的时间长度可以是相同的时间长度,所述N个子时间段分别被配置了不同的访问次数权重且与起始时刻的时间差越大的子时间段被配置的访问次数权重值越低。比如,所述检测时间段为时间节点t1-t2(时间节点t2晚于时间节点t1)之间的时间段,与时间节点t1的时间差越大的子时间段被配置的访问次数权重值越低。在本发明的其他实施方式中,每个子时间段的时间长度也可以是不相同的时间长度。
步骤S13,根据所述访问IP在每一所述子时间段的访问次数以及每一所述子时间段的访问次数权重,计算所述访问IP的访问次数的加权平均值。
在一实施方式中,所述访问IP的访问次数的加权平均值优选等于所述访问IP在每一所述子时间段的访问次数的加权平均值之和,所述访问IP在每一所述子时间段的访问次数的加权平均值通过以下公式计算得到:
Figure BDA0001956898860000081
其中,Q为所述访问IP在每个子时间段的访问次数的加权平均值;n为子时间段的序号,与检测时间段的起始时间t1的时间差越大的子时间段,n的值越大,1≤n≤N;qn为第n个子时间段的访问次数,f(n)为第n个子时间段所配置的访问次数权重值,f(n)=(2/3)n-1
步骤S14、根据所述访问状态码及所述访问次数的加权平均值来屏蔽所述访问IP。
在一实施方式中,所述根据所述访问状态码及所述访问次数的加权平均值来屏蔽所述访问IP的步骤可以具体包括:判断所述访问状态码是否属于预设异常访问码集,所述预设异常访问码集是指包含有多个异常访问码的集合,所述异常访问码优选是指所述访问IP无法正常访问目标源而返回的访问状态码,比如,所述异常访问码可以是:404--服务器上没有该资源、500--服务器发生不可预期的错误、503--服务器超负载,正在维护;当所述访问状态码属于预设异常访问码集时,判断所述访问次数的加权平均值是否大于第一阈值;当所述访问次数的加权平均值大于所述第一阈值,屏蔽所述访问IP,并可同时输出告警信息。当所述访问次数的加权平均值不大于所述第一阈值时,还可以通过建立一访问预测模型来预测所述访问IP在一将来时间段内访问所述目标源的预测访问次数,以进一步来判断是否需要屏蔽所述访问IP。具体地,当所述访问次数的加权平均值不大于所述第一阈值时,判断所述预测访问次数是否大于第四阈值;当所述预测访问次数大于所述第四阈值时,屏蔽所述访问IP。
在一实施方式中,所述将来时间段同样可以根据实际使用需求来设定。
举例而言,对于正常访问目标资源的终端,当在发起访问的过程中若出现返回服务器端错误(状态码为500、503等),此时一般会过一段时间再尝试发起访问或进行有限次的几次尝试,而不会频繁地继续进行尝试访问,但对于蓄意发起网络攻击的终端,其仍然会频繁发起访问请求,因此可以结合当前访问的状态码信息与访问次数来判断是否需要屏蔽所述访问IP。
在一实施方式中,当所述访问状态码不属于所述预设异常访问码集时,判断所述访问次数的加权平均值是否大于第二阈值;当所述访问次数的加权平均值大于所述第二阈值,屏蔽所述访问IP;其中,所述第二阈值优选大于所述第一阈值。当所述访问次数的加权平均值不大于所述第二阈值时,同样可以根据所述访问预测模型来预测所述访问IP在一将来时间段内访问所述目标源的预测访问次数,以进一步来判断是否需要屏蔽所述访问IP。具体地,当所述访问次数的加权平均值不大于所述第二阈值时,判断所述预测访问次数是否大于第三阈值;当所述预测访问次数大于所述第三阈值时,屏蔽所述访问IP。
在一实施方式中,所述第一阈值、所述第二阈值、所述第三阈值及所述第四阈值均可以根据实际的使用情形进行设定。
在一实施方式中,可以通过以下方式来实现建立所述访问预测模型:获取样本组的时间序列数据,所述样本组优选包括所述访问IP访问目标源的所有历史访问记录;以预设时间单元为基准,从所述时间序列数据中提取m个间隔预设周期的时间单元的历史数据,作为同比数据特征,其中,m≥1;从所述时间序列数据中提取所述预设时间单元前的n个连续的时间单元的历史数据,作为环比数据特征,其中,n≥1;对所述环比数据特征取均值和方差,作为统计学特征;将获取的同比数据特征与环比数据特征输入到一回归模型中进行训练;获取所述回归模型的预测因子,将确定预测因子后的回归模型作为所述访问预测模型,进而可以实现预测所述访问IP在下一将来时间段内访问目标源的访问次数。
举例而言,访问IP对所述访问源在一小时(8点-9点)内一共有180次访问次数,其时间序列数据即为180次访问次数按照时间顺序排列而成。按照预设周期从其中提取m个访问数据作为同比数据特征,其中,预设周期和m的个数可有用户根据实际需求预先设置,例如,预设周期为5分钟,m=6,从上述目标时间序列中提取8:00~8:05、8:10~8:15、8:20~8:25、8:30~8:35、8:40~8:45、8:50~8:55的访问数据,作为同比数据特征,其中8:00~8:05为所述预设时间单元。假设n=10,则需要获取7:10~7:15、7:15~7:20…7:50~7:55、7:55~8:00之间的10个数据作为环比数据特征。
上述恶意攻击检测方法,通过对客户端访问IP的访问次数及访问时返回的访问状态码来进行统计分析,并根据分析结果来触发告警并调用访问屏蔽功能,同时还可以通过对访问IP的历史访问记录数据来建立访问次数预测模型,并根据模型预测结果来触发告警并调用访问屏蔽功能,可实现准确定位出可能存在恶意攻击行为的访问IP,及时做出应急处理,恶意攻击检测实时性高、准确性强。
实施例二:
图2为本发明恶意攻击检测系统较佳实施例的功能模块图。
参阅图2所示,所述恶意攻击检测系统10可以包括获取模块101、配置模块102、计算模块103、屏蔽模块104及建立模块105。
所述获取模块101用于获取在一检测时间段内访问IP访问目标源的访问次数及返回的访问状态码,其中所述目标源是与目标域名相关联的至少一资源。
在一实施方式中,所述检测时间段可以是指目标源需要判断是否被攻击的一段时间,也可以是被指定的一采样时间段。所述检测时间段的长度可以根据实际需求进行设定,例如所述检测时间段可以是一分钟到几十分钟。所述访问IP可以是一访问源的IP地址,所述访问源可以接入互联网并访问目标域名中的资源,所述访问源可以是计算机终端、移动终端、代理服务器等。所述访问源既包括正常访问目标资源的终端,也包括蓄意发起网络攻击的终端。
在一实施例中,所述目标域名可以指被访问源访问的网站域名。与目标域名相关联的资源可以包括静态资源(静态Web页面),也可以包括非静态资源。所述非静态资源可以是动态页面、视频等。所述目标域名相关联的资源可以通过同一资源标识符(URI)来标识。当接收到一IP地址的访问请求时,所述获取模块101记录所述地址的请求时间,并根据预设的统计算法或者插件即可统计得到该IP地址在任意一时间段内的访问次数。
在一实施方式中,访问IP访问目标源返回的访问状态码可以是HTTP状态码,其由三位数字组成,第一个数字定义了响应类别,共分为五种类别(1xx、2xx、3xx、4xx、5xx)。比如所述访问状态码可以包括以下几种:105--DNS解析失败、200--请求被正常处理、301永久重定向、302--临时重定向、303--请求的资源存在另一个URL、400--报文中有语法错误、403--服务器收到请求,但拒绝服务、404--服务器上没有该资源、500--服务器发生不可预期的错误、503--服务器超负载,正在维护。
所述配置模块102用于将所述检测时间段划分为N个连续的子时间段,每一所述子时间段对应配置有一访问次数权重。
在一实施方式中,当将所述检测时间段划分为N个连续的子时间段时,每个子时间段的时间长度可以是相同的时间长度,所述N个子时间段分别被配置了不同的访问次数权重且与起始时刻的时间差越大的子时间段被配置的访问次数权重值越低。比如,所述检测时间段为时间节点t1-t2(时间节点t2晚于时间节点t1)之间的时间段,与时间节点t1的时间差越大的子时间段被配置的访问次数权重值越低。在本发明的其他实施方式中,每个子时间段的时间长度也可以是不相同的时间长度。
所述计算模块103用于根据所述访问IP在每一所述子时间段的访问次数以及每一所述子时间段的访问次数权重,计算所述访问IP的访问次数的加权平均值。
在一实施方式中,所述访问IP的访问次数的加权平均值优选等于所述访问IP在每一所述子时间段的访问次数的加权平均值之和,所述访问IP在每一所述子时间段的访问次数的加权平均值通过以下公式计算得到:
Figure BDA0001956898860000121
其中,Q为所述访问IP在每个子时间段的访问次数的加权平均值;n为子时间段的序号,与检测时间段的起始时间t1的时间差越大的子时间段,n的值越大,1≤n≤N;qn为第n个子时间段的访问次数,f(n)为第n个子时间段所配置的访问次数权重值,f(n)=(2/3)n-1
所述屏蔽模块104用于根据所述访问状态码及所述访问次数的加权平均值来屏蔽所述访问IP。
在一实施方式中,所述屏蔽模块104可以通过以下方式来判断是否需要屏蔽所述访问IP:判断所述访问状态码是否属于预设异常访问码集,所述预设异常访问码集是指包含有多个异常访问码的集合,所述异常访问码优选是指所述访问IP无法正常访问目标源而返回的访问状态码,比如,所述异常访问码可以是:404--服务器上没有该资源、500--服务器发生不可预期的错误、503--服务器超负载,正在维护;当所述访问状态码属于预设异常访问码集时,判断所述访问次数的加权平均值是否大于第一阈值;当所述访问次数的加权平均值大于所述第一阈值,所述屏蔽模块104屏蔽所述访问IP,并可同时输出告警信息。
当所述访问次数的加权平均值不大于所述第一阈值时,还可以通过建立模块105来建立一访问预测模型预测所述访问IP在一将来时间段内访问所述目标源的预测访问次数,以进一步来判断是否需要屏蔽所述访问IP。具体地,当所述访问次数的加权平均值不大于所述第一阈值时,判断所述预测访问次数是否大于第四阈值;当所述预测访问次数大于所述第四阈值时,所述屏蔽模块104屏蔽所述访问IP。
在一实施方式中,所述将来时间段同样可以根据实际使用需求来设定。
举例而言,对于正常访问目标资源的终端,当在发起访问的过程中若出现返回服务器端错误(状态码为500、503等),此时一般会过一段时间再尝试发起访问或进行有限次的几次尝试,而不会频繁地继续进行尝试访问,但对于蓄意发起网络攻击的终端,其仍然会频繁发起访问请求,因此可以结合当前访问的状态码信息与访问次数来判断是否需要屏蔽所述访问IP。
在一实施方式中,当所述访问状态码不属于所述预设异常访问码集时,判断所述访问次数的加权平均值是否大于第二阈值;当所述访问次数的加权平均值大于所述第二阈值,屏蔽所述访问IP;其中,所述第二阈值优选大于所述第一阈值。当所述访问次数的加权平均值不大于所述第二阈值时,同样可以根据所述建立模块105建立的访问预测模型来预测所述访问IP在一将来时间段内访问所述目标源的预测访问次数,以进一步来判断是否需要屏蔽所述访问IP。具体地,当所述访问次数的加权平均值不大于所述第二阈值时,判断所述预测访问次数是否大于第三阈值;当所述预测访问次数大于所述第三阈值时,屏蔽所述访问IP。
在一实施方式中,所述第一阈值、所述第二阈值、所述第三阈值及所述第四阈值均可以根据实际的使用情形进行设定。
在一实施方式中,所述建立模块105可以通过以下方式来实现建立所述访问预测模型:获取样本组的时间序列数据,所述样本组优选包括所述访问IP访问目标源的所有历史访问记录;以预设时间单元为基准,从所述时间序列数据中提取m个间隔预设周期的时间单元的历史数据,作为同比数据特征,其中,m≥1;从所述时间序列数据中提取所述预设时间单元前的n个连续的时间单元的历史数据,作为环比数据特征,其中,n≥1;对所述环比数据特征取均值和方差,作为统计学特征;将获取的同比数据特征与环比数据特征输入到一回归模型中进行训练;获取所述回归模型的预测因子,将确定预测因子后的回归模型作为所述访问预测模型,进而可以实现预测所述访问IP在下一将来时间段内访问目标源的访问次数。
举例而言,访问IP对所述访问源在一小时(8点-9点)内一共有180次访问次数,其时间序列数据即为180次访问次数按照时间顺序排列而成。按照预设周期从其中提取m个访问数据作为同比数据特征,其中,预设周期和m的个数可有用户根据实际需求预先设置,例如,预设周期为5分钟,m=6,从上述目标时间序列中提取8:00~8:05、8:10~8:15、8:20~8:25、8:30~8:35、8:40~8:45、8:50~8:55的访问数据,作为同比数据特征,其中8:00~8:05为所述预设时间单元。假设n=10,则需要获取7:10~7:15、7:15~7:20…7:50~7:55、7:55~8:00之间的10个数据作为环比数据特征。
上述恶意攻击检测系统,通过对客户端访问IP的访问次数及访问时返回的访问状态码来进行统计分析,并根据分析结果来触发告警并调用访问屏蔽功能,同时还可以通过对访问IP的历史访问记录数据来建立访问次数预测模型,并根据模型预测结果来触发告警并调用访问屏蔽功能,可实现准确定位出可能存在恶意攻击行为的访问IP,及时做出应急处理,恶意攻击检测实时性高、准确性强。
图3为本发明计算机装置较佳实施例的示意图。
所述计算机装置1包括存储器20、处理器30以及存储在所述存储器20中并可在所述处理器30上运行的计算机程序40,例如恶意攻击检测程序。所述处理器30执行所述计算机程序40时实现上述恶意攻击检测方法实施例中的步骤,例如图1所示的步骤S11~S14。或者,所述处理器30执行所述计算机程序40时实现上述恶意攻击检测系统实施例中各模块的功能,例如图2中的模块101~105。
示例性的,所述计算机程序40可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器20中,并由所述处理器30执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,所述指令段用于描述所述计算机程序40在所述计算机装置1中的执行过程。例如,所述计算机程序40可以被分割成图2中的获取模块101、配置模块102、计算模块103、屏蔽模块104、建立模块105。各模块具体功能参见实施例二。
所述计算机装置1可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。本领域技术人员可以理解,所述示意图仅仅是计算机装置1的示例,并不构成对计算机装置1的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机装置1还可以包括输入输出设备、网络接入设备、总线等。
所称处理器30可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者所述处理器30也可以是任何常规的处理器等,所述处理器30是所述计算机装置1的控制中心,利用各种接口和线路连接整个计算机装置1的各个部分。
所述存储器20可用于存储所述计算机程序40和/或模块/单元,所述处理器30通过运行或执行存储在所述存储器20内的计算机程序和/或模块/单元,以及调用存储在存储器20内的数据,实现所述计算机装置1的各种功能。所述存储器20可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机装置1的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器20可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
所述计算机装置1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,所述计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
在本发明所提供的几个实施例中,应该理解到,所揭露的计算机装置和方法,可以通过其它的方式实现。例如,以上所描述的计算机装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
另外,在本发明各个实施例中的各功能单元可以集成在相同处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在相同单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。计算机装置权利要求中陈述的多个单元或计算机装置也可以由同一个单元或计算机装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (8)

1.一种恶意攻击检测方法,其特征在于,所述方法包括:
获取在一检测时间段内访问IP访问目标源的访问次数及返回的访问状态码,其中所述目标源是与目标域名相关联的至少一资源;
将所述检测时间段划分为N个连续的子时间段,每一所述子时间段对应配置有一访问次数权重;
根据所述访问IP在每一所述子时间段的访问次数以及每一所述子时间段的访问次数权重,计算所述访问IP的访问次数的加权平均值;
判断所述访问状态码是否属于预设异常访问码集;
当所述访问状态码属于预设异常访问码集时,判断所述访问次数的加权平均值是否大于第一阈值;
当所述访问次数的加权平均值大于所述第一阈值,屏蔽所述访问IP;
当所述访问次数的加权平均值不大于所述第一阈值时,根据访问预测模型预测所述访问IP在一将来时间段内访问所述目标源的预测访问次数,其中所述访问预测模型基于所述访问IP访问所述目标源的历史访问记录建立并训练得到;
判断所述预测访问次数是否大于第四阈值;及
当所述预测访问次数大于所述第四阈值时,屏蔽所述访问IP。
2.如权利要求1所述的恶意攻击检测方法,其特征在于,所述检测时间段为过去时刻到当前时刻之间的时间段,与所述当前时刻的时间差越大的子时间段配置的访问次数权重越低。
3.如权利要求1所述的恶意攻击检测方法,其特征在于,所述判断所述访问状态码是否属于预设异常访问码集的步骤之后还包括:
当所述访问状态码不属于所述预设异常访问码集时,判断所述访问次数的加权平均值是否大于第二阈值;及
当所述访问次数的加权平均值大于所述第二阈值时,屏蔽所述访问IP;
其中,所述第二阈值大于所述第一阈值。
4.如权利要求3所述的恶意攻击检测方法,其特征在于,所述判断所述访问次数的加权平均值是否大于第二阈值的步骤之后还包括:
当所述访问次数的加权平均值不大于所述第二阈值时,判断所述预测访问次数是否大于第三阈值;及
当所述预测访问次数大于所述第三阈值时,屏蔽所述访问IP。
5.如权利要求1或2所述的恶意攻击检测方法,其特征在于,所述访问IP的访问次数的加权平均值等于所述访问IP在每一所述子时间段的访问次数的加权平均值之和,所述访问IP在每一所述子时间段的访问次数的加权平均值通过以下公式计算得到:
Figure FDA0003674347370000021
其中,Q为所述访问IP在每个子时间段的访问次数的加权平均值;n为子时间段的序号,与检测时间段的起始时间的时间差越大的子时间段,n的值越大,1≤n≤N;qn为第n个子时间段的访问次数,f(n)为第n个子时间段所配置的访问次数权重值,f(n)=(2/3)n-1
6.一种恶意攻击检测系统,其特征在于,所述系统包括:
获取模块,用于获取在一检测时间段内访问IP访问目标源的访问次数及返回的访问状态码,其中所述目标源是与目标域名相关联的至少一资源;
配置模块,用于将所述检测时间段划分为N个连续的子时间段,每一所述子时间段对应配置有一访问次数权重;
计算模块,用于根据所述访问IP在每一所述子时间段的访问次数以及每一所述子时间段的访问次数权重,计算所述访问IP的访问次数的加权平均值;
屏蔽模块,用于判断所述访问状态码是否属于预设异常访问码集,及在所述访问状态码属于预设异常访问码集时,判断所述访问次数的加权平均值是否大于第一阈值;
所述屏蔽模块还用于在所述访问次数的加权平均值大于所述第一阈值,屏蔽所述访问IP;
建立模块,用于获取所述访问IP访问目标源的历史访问记录,及根据所述历史访问记录建立并训练得到访问预测模型;
所述屏蔽模块还用于在所述访问次数的加权平均值不大于所述第一阈值时,根据所述访问预测模型预测所述访问IP在一将来时间段内访问所述目标源的预测访问次数;及
所述屏蔽模块还用于判断所述预测访问次数是否大于第四阈值,及在所述预测访问次数大于所述第四阈值时,屏蔽所述访问IP。
7.一种计算机装置,所述计算机装置包括处理器及存储器,所述存储器上存储有若干计算机程序,其特征在于,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至5中任意一项所述的恶意攻击检测方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5中任意一项所述的恶意攻击检测方法的步骤。
CN201910069787.XA 2019-01-24 2019-01-24 恶意攻击检测方法、系统、计算机装置及可读存储介质 Active CN109729094B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910069787.XA CN109729094B (zh) 2019-01-24 2019-01-24 恶意攻击检测方法、系统、计算机装置及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910069787.XA CN109729094B (zh) 2019-01-24 2019-01-24 恶意攻击检测方法、系统、计算机装置及可读存储介质

Publications (2)

Publication Number Publication Date
CN109729094A CN109729094A (zh) 2019-05-07
CN109729094B true CN109729094B (zh) 2022-11-18

Family

ID=66300083

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910069787.XA Active CN109729094B (zh) 2019-01-24 2019-01-24 恶意攻击检测方法、系统、计算机装置及可读存储介质

Country Status (1)

Country Link
CN (1) CN109729094B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112565164B (zh) * 2019-09-26 2023-07-25 中国电信股份有限公司 危险ip的识别方法、装置和计算机可读存储介质
CN112839010B (zh) * 2019-11-22 2023-08-04 北京数安鑫云信息技术有限公司 标记样本的方法、系统、设备及介质
CN111881686A (zh) * 2020-07-20 2020-11-03 杭州安恒信息技术股份有限公司 新出现实体的检测方法、装置、电子装置和存储介质
CN111865999A (zh) * 2020-07-24 2020-10-30 中国工商银行股份有限公司 访问行为的识别方法、装置、计算设备和介质
CN113904839A (zh) * 2021-09-30 2022-01-07 杭州数梦工场科技有限公司 访问请求管理方法及装置
CN114640504B (zh) * 2022-02-24 2024-02-06 京东科技信息技术有限公司 Cc攻击防护方法、装置、设备和存储介质
CN114791524A (zh) * 2022-04-13 2022-07-26 中国第一汽车股份有限公司 车辆测试报告生成方法及装置
CN115001759B (zh) * 2022-05-19 2024-01-12 国网数字科技控股有限公司 一种访问信息处理方法、装置、电子设备和可读存储介质
CN115065507A (zh) * 2022-05-26 2022-09-16 厦门立林科技有限公司 一种sql攻击检测方法、系统及可存储介质
CN115102747B (zh) * 2022-06-17 2024-03-29 中铁水利信息科技有限公司 基于数字孪生的互联网管理平台
CN117040777A (zh) * 2023-06-13 2023-11-10 五矿国际信托有限公司 一种针对数据接口恶意请求行为进行检测过滤的方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017107965A1 (zh) * 2015-12-25 2017-06-29 北京奇虎科技有限公司 一种web异常检测方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105491054B (zh) * 2015-12-22 2018-12-11 网易(杭州)网络有限公司 恶意访问的判断方法、拦截方法与装置
US10425443B2 (en) * 2016-06-14 2019-09-24 Microsoft Technology Licensing, Llc Detecting volumetric attacks
CN108259425A (zh) * 2016-12-28 2018-07-06 阿里巴巴集团控股有限公司 攻击请求的确定方法、装置及服务器

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017107965A1 (zh) * 2015-12-25 2017-06-29 北京奇虎科技有限公司 一种web异常检测方法和装置

Also Published As

Publication number Publication date
CN109729094A (zh) 2019-05-07

Similar Documents

Publication Publication Date Title
CN109729094B (zh) 恶意攻击检测方法、系统、计算机装置及可读存储介质
AU2017224993B2 (en) Malicious threat detection through time series graph analysis
US10044737B2 (en) Detection of beaconing behavior in network traffic
US20160197947A1 (en) System for detecting abnormal behavior by analyzing personalized use behavior pattern during entire access period
US20160197948A1 (en) System for detecting abnormal behavior by analyzing personalized initial use behavior pattern
JP2019523952A (ja) ストリーミングデータ分散処理方法及び装置
US20210029086A1 (en) Method and system for intrusion detection and prevention
WO2005101720A2 (en) Method and system for distinguishing network threats from false positives
CN113162794A (zh) 下一步攻击事件预测方法及相关设备
CN111740868A (zh) 告警数据的处理方法和装置及存储介质
CN111327466B (zh) 一种告警分析方法、系统、设备以及介质
CN111158926B (zh) 业务请求分析方法、装置及设备
CN112559489A (zh) 基于跨链的区块链监管方法、设备及存储介质
CN114363062A (zh) 一种域名检测方法、系统、设备及计算机可读存储介质
CN114338372A (zh) 网络信息安全监控方法及系统
CN117501658A (zh) 安全事件告警的可能性评估
CN115296904B (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
CN114900375A (zh) 一种基于ai图分析的恶意威胁侦测方法
US9118563B2 (en) Methods and apparatus for detecting and filtering forced traffic data from network data
US11418543B2 (en) Automated identification of security issues
CN112583827A (zh) 一种数据泄露检测方法及装置
CN115982703B (zh) 用户行为数据处理方法、装置、电子设备和计算机可读介质
CN110166421B (zh) 基于日志监控的入侵控制方法、装置及终端设备
CN116468280A (zh) 一种风险检测预警方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant