CN114338210A

CN114338210A - 全局暴刷攻击检测方法、装置、设备、介质及程序产品

Info

Publication number: CN114338210A
Application number: CN202111674154.5A
Authority: CN
Inventors: 姚旺; 许家华
Original assignee: China Merchants Bank Co Ltd
Current assignee: China Merchants Bank Co Ltd
Priority date: 2021-12-31
Filing date: 2021-12-31
Publication date: 2022-04-12
Anticipated expiration: 2041-12-31
Also published as: CN114338210B

Abstract

本发明公开了一种全局暴刷攻击检测方法、装置、设备、介质及程序产品，该方法包括：从预设数据库中获取历史网络请求响应信息，基于历史网络请求响应信息计算历史请求均值和历史响应失败率均值；接收当前网络请求，基于当前网络请求计算响应失败率、风险账号数及账号遍历率，并获取当前网络请求对应的请求数量；根据风险账号数、响应失败率与历史响应失败率均值的第一比值、账号遍历率，及请求数量与历史请求均值的第二比值，计算当前网络请求的综合风险等级；基于综合风险等级，确定当前网络请求的暴刷攻击检测结果。本发明通过分析网络请求，计算响应数据，再通过响应数据确定网络请求的暴刷攻击检测结果，提高了暴刷攻击检测的准确度。

Description

全局暴刷攻击检测方法、装置、设备、介质及程序产品

技术领域

本发明涉及网络安全领域，尤其涉及全局暴刷攻击检测方法、装置、设备、介质及程序产品。

背景技术

随着网络规模的不断增大，利用网络违规进行暴刷单的行为屡见不鲜，目前，对于这种违规暴刷攻击行为缺少有效的检测方法，现有的暴刷检测方法主要是检测网络请求是否具有不同用户聚集特征，在网络请求具有不同用户聚集特征时，确定该网络请求是暴刷攻击行为，以此检测暴刷攻击行为，但现有的这种检测方法准确度较低。

发明内容

本发明的主要目的在于提供一种全局暴刷攻击检测方法、装置、设备、介质及程序产品，旨在解决现有对于利用网络违规暴刷的行为的检测准确度较低的技术问题。

此外，为实现上述目的，本发明还提供一种全局暴刷攻击检测方法，所述全局暴刷攻击检测方法包括以下步骤：

从预设数据库中获取历史网络请求响应信息，基于所述历史网络请求响应信息计算历史请求均值和历史响应失败率均值；

接收当前网络请求，基于所述当前网络请求计算响应失败率、风险账号数及账号遍历率，并获取所述当前网络请求对应的请求数量；

根据所述风险账号数、所述响应失败率与所述历史响应失败率均值的第一比值、所述账号遍历率，及所述请求数量与所述历史请求均值的第二比值，计算所述当前网络请求的综合风险等级；

基于所述综合风险等级，确定所述当前网络请求的暴刷攻击检测结果。

可选地，所述从预设数据库中获取历史网络请求响应信息，基于所述历史网络请求响应信息计算历史请求均值和历史响应失败率均值的步骤之前，包括：

当接收到的目标网络请求成功响应时，获取所述目标网络请求对应的目标网络地址和目标请求账号，并将所述目标网络地址和所述目标请求账号存入预设数据库。

可选地，所述基于所述当前网络请求计算响应失败率的步骤包括：

获取所述当前网络请求对应的响应数量、当前网络地址及当前请求账号；

基于所述当前网络地址与所述目标网络地址的第一匹配结果、所述当前请求账号与所述目标请求账号的第二匹配结果及所述响应数量，计算响应失败率。

可选地，所述历史网络请求响应信息包括历史响应失败率，所述基于所述当前网络请求计算风险账号数的步骤包括：

若所述历史响应失败率大于第一预设阈值，则获取历史响应失败率对应的历史请求账号，对所述历史请求账号进行截取，得到目标号段；

将所述当前请求账号中与所述目标号段匹配的账号作为风险账号，并统计风险账号数。

可选地，所述基于所述当前网络请求计算账号遍历率的步骤包括：

基于ASCII码对所述当前请求账号进行排序，并计算排序相邻的两个前请求账号的相似度；

若所述相似度大于第二预设阈值，则确定排序相邻的两个前请求账号为相似账号，并根据所述相似账号的数量及所述当前请求账号的数量，计算账号遍历率。

可选地，所述根据所述风险账号数、所述响应失败率与所述历史响应失败率均值的第一比值、所述账号遍历率，及所述请求数量与所述历史请求均值的第二比值，计算所述当前网络请求的综合风险等级的步骤包括：

查询预设风险等级表，确定所述风险账号数对应的第一风险等级，所述第一比值对应的第二风险等级，所述账号遍历率对应的第三风险等级，及所述第二比值对应的第四风险等级；

筛选出所述第一风险等级、第二风险等级和第四风险等级中的最小风险等级，将所述第三风险等级与所述最小风险等级之中的最大风险等级作为所述当前网络请求的综合风险等级。

此外，为实现上述目的，本发明还提供一种全局暴刷攻击检测装置，所述全局暴刷攻击检测装置包括：

历史网络请求响应信息获取模块，用于从预设数据库中获取历史网络请求响应信息，基于所述历史网络请求响应信息计算历史请求均值和历史响应失败率均值；

第一计算模块，用于接收当前网络请求，基于所述当前网络请求计算响应失败率、风险账号数及账号遍历率，并获取所述当前网络请求对应的请求数量；

第二计算模块，用于根据所述风险账号数、所述响应失败率与所述历史响应失败率均值的第一比值、所述账号遍历率，及所述请求数量与所述历史请求均值的第二比值，计算所述当前网络请求的综合风险等级；

检测结果确定模块，用于基于所述综合风险等级，确定所述当前网络请求的暴刷攻击检测结果。

此外，为实现上述目的，本发明还提供一种全局暴刷攻击检测设备，所述全局暴刷攻击检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的全局暴刷攻击检测程序，所述全局暴刷攻击检测程序被所述处理器执行时实现如上述的全局暴刷攻击检测方法的步骤。

此外，为实现上述目的，本发明还提供一种介质，所述介质上存储有全局暴刷攻击检测程序，所述全局暴刷攻击检测程序被处理器执行时实现如上述的全局暴刷攻击检测方法的步骤。

此外，为实现上述目的，本发明还提供一种程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述的全局暴刷攻击检测方法的步骤。

本发明实施例提出的一种全局暴刷攻击检测方法、装置、设备、介质及程序产品。本发明实施例中，从预设数据库中获取历史网络请求响应信息，进而基于历史网络请求响应信息，计算历史请求均值和历史响应失败率均值，然后，接收当前网络请求，基于当前网络请求计算响应失败率、风险账号数及账号遍历率，并获取当前网络请求对应的请求数量，进一步根据风险账号数、响应失败率与历史响应失败率均值的第一比值、账号遍历率，及请求数量与历史请求均值的第二比值，计算当前网络请求的综合风险等级，最终基于综合风险等级，确定当前网络请求的暴刷攻击检测结果，本发明通过分析网络请求，计算响应数据，再通过响应数据确定网络请求的暴刷攻击检测结果，提高了暴刷攻击检测的准确度。

附图说明

图1为本发明实施例提供的全局暴刷攻击检测设备一种实施方式的硬件结构示意图；

图2为本发明全局暴刷攻击检测方法第一实施例的流程示意图；

图3为本发明全局暴刷攻击检测方法第二实施例的流程示意图；

图4为本发明全局暴刷攻击检测装置一实施例的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身没有特定的意义。因此，“模块”、“部件”或“单元”可以混合地使用。

本发明实施例全局暴刷攻击检测终端(又叫终端、设备或者终端设备)可以是个人电脑(具有程序编译功能的终端设备)。

如图1所示，该终端可以包括：处理器1001，例如CPU(Central Processing Unit，中央处理器)，通信总线1002，存储器1003。其中，通信总线1002用于实现这些组件之间的连接通信。存储器1003可以是高速RAM存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1003可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的终端结构并不构成对终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1003中可以包括全局暴刷攻击检测程序。

在图1所示的终端中，处理器1001可以用于调用存储器1003中存储的全局暴刷攻击检测程序，并执行以下操作：

进一步地，目标请求还包含目标IP，处理器1001可以用于调用存储器1003中存储的全局暴刷攻击检测程序，还执行以下操作：

进一步地，目标请求中还包括目标URL，处理器1001可以用于调用存储器1003中存储的全局暴刷攻击检测程序，还执行以下操作：

进一步地，处理器1001可以用于调用存储器1003中存储的全局暴刷攻击检测程序，还执行以下操作：

基于上述设备硬件结构，提出了本发明全局暴刷攻击检测方法的实施例。

参照图2，在本发明全局暴刷攻击检测方法的第一实施例中，所述全局暴刷攻击检测方法包括：

步骤S10，从预设数据库中获取历史网络请求响应信息，基于所述历史网络请求响应信息计算历史请求均值和历史响应失败率均值；

需要说明的是，本发明是针对恶意暴刷的技术解决方案，可知地，暴刷可以是高频率的网址访问或者页面加载，常见的有信用卡暴刷，票务系统暴刷以及短信暴刷，无论是哪种暴刷行为都会对被暴刷方造成不好的影响。

可以理解的是，本发明实施例以web(World Wide Web，全球广域网)应用为例，其中，web应用对应有服务器，用以处理用户通过终端发送过去的请求，本实施例中的预设数据库是指，存放过去一定时间内用户通过终端发送过去的请求信息(包括请求数量)，以及请求对应的响应信息(包括响应成功和响应失败)。从预设数据库中获取历史网络请求响应信息，基于历史网络请求响应信息计算历史请求均值和历史响应失败率均值，具体地，从预设数据库中获取历史网络请求的数量，响应成功的请求数量以及响应失败的请求数量，然后计算历史请求均值(单位时间内服务器接收到的历史请求总数)和历史响应失败率均值(单位时间内历史响应失败的请求数量除以历史请求总数)，历史请求均值和历史响应失败率均值具有很好的参考价值。

步骤S20，接收当前网络请求，基于所述当前网络请求计算响应失败率、风险账号数及账号遍历率，并获取所述当前网络请求对应的请求数量；

需要说明的是，本实施例中的当前网络请求也可以是多条，以便于通过对多条网络请求分析，进而确定这些网络请求是否为暴刷请求，以及哪些网络请求是暴刷请求，服务器接收当前网络请求，基于当前网络请求计算响应失败率、风险账号数及账号遍历率，并获取当前网络请求对应的请求数量，具体地，当前网络请求包含请求的IP、(发送当前网络请求的)终端的信息、会话(终端用户与交互系统进行通讯的过程)、发送当前网络请求的web应用账号、请求发送时间等信息，以基于当前网络请求计算响应失败率的过程举例说明，响应失败的情况可以包括当前网络请求访问的网址错误，发送当前网络请求的web应用账号不存在、发送当前网络请求的web应用账号的密码不正常，或者发送当前网络请求的业务流程上的失败错误等情况，因此，当接收到当前网络请求后，获取当前网络请求包括的发送当前网络请求的web应用账号，以及当前网络请求访问的网址，然后，将当前网络地址与预设数据库中已知悉响应结果的目标网络地址进行匹配，若当前网络地址与预设数据库中响应失败的目标网络地址匹配，则说明当前网络地址为错误网址，若当前网络地址与预设数据库中响应成功的目标网络地址匹配，则说明当前网络地址为正确网址；将当前请求账号与预设数据库中已知悉响应结果的目标请求账号进行匹配，若当前请求账号与预设数据库中响应失败的目标请求账号匹配，则说明当前请求账号为非法账号，若当前请求账号与预设数据库中响应成功的目标请求账号匹配，则说明当前请求账号为合法账号。

步骤S30，根据所述风险账号数、所述响应失败率与所述历史响应失败率均值的第一比值、所述账号遍历率，及所述请求数量与所述历史请求均值的第二比值，计算所述当前网络请求的综合风险等级；

可知地，上述计算得到响应失败率、风险账号数、账号遍历率及当前网络请求对应的请求数量等数据后，根据风险账号数、响应失败率与历史响应失败率均值的第一比值、账号遍历率，及请求数量与历史请求均值的第二比值，计算当前网络请求的综合风险等级，例如，预设四个阈值分别为A、B、C和D，若风险账号数为1.2A，响应失败率与历史响应失败率均值的比值(即，第一比值)大于B，账号遍历率大于C，以及请求数量与历史请求均值的比值(即，第二比值)大于D，则可以确定当前网络请求的综合风险等级为一级，其中，一级可以是最高等级，也可以是最低等级；具体地，还可以根据单机遍历率风险等级Q，全局请求数风险等级P，单机失败数风险等级M，以及单机失败率风险等级N来计算综合风险等级，例如，从全局请求数风险等级P，单机失败数风险等级M，以及单机失败率风险等级N中选择一个最小值，然后再从这个最小值和单机遍历率风险等级Q中选择一个最大值作为综合风险等级。

步骤S40，基于所述综合风险等级，确定所述当前网络请求的暴刷攻击检测结果。

可知地，全局暴刷攻击检测程序在计算得到综合风险等级后，会获取防御阈值，在基于综合风险等级，确定的当前网络请求的暴刷攻击检测结果为当前网络请求是暴刷攻击的情况下，由综合风险等级、防御阈值和防御手段(人机验证、人脸识别以及拒绝访问)生成防御策略表。

进一步地，在一种可行的实施例中，上述步骤S10，从预设数据库中获取历史网络请求响应信息，基于所述历史网络请求响应信息计算历史请求均值和历史响应失败率均值，之前的步骤还包括：

步骤a1，当接收到的目标网络请求成功响应时，获取所述目标网络请求对应的目标网络地址和目标请求账号，并将所述目标网络地址和所述目标请求账号存入预设数据库。

需要说明的是，在对历史网络请求进行响应的同时，还会对响应成功的目标网络请求进行保存，具体地，目标网络请求成功响应可以包括以下两种情况或者以下两种情况之一，第一，目标网络请求发送成功但没有收到对应的反馈，例如，目标网络请求包括的web应用账号错误，目标网络请求会成功发送，但服务器会返回错误反馈信息，第二，目标网络请求发送成功也收到了对应的反馈。当接收到的目标网络请求成功响应时，获取目标网络请求对应的目标网络地址和目标请求账号，并将目标网络地址和目标请求账号存入预设数据库，用以预先存储，为后续网络请求的综合风险等级计算提供参考。

进一步地，在一种可行的实施例中，上述步骤S20，基于所述当前网络请求计算响应失败率，细化的步骤包括：

步骤b1，获取所述当前网络请求对应的响应数量、当前网络地址及当前请求账号；

步骤b2，基于所述当前网络地址与所述目标网络地址的第一匹配结果、所述当前请求账号与所述目标请求账号的第二匹配结果及所述响应数量，计算响应失败率。

响应失败的情况包括当前网络请求访问的网址错误，发送当前网络请求的web应用账号错误等情况，因此，当接收到当前网络请求后，获取当前网络请求包括的发送当前网络请求的web应用账号，以及当前网络请求访问的网址，然后，将当前网络地址与预设数据库中已知悉响应结果的目标网络地址进行匹配，得到第一匹配结果，若第一匹配结果为当前网络地址与预设数据库中响应失败的目标网络地址匹配(相同)，则说明当前网络地址为错误网址，若第一匹配结果为当前网络地址与预设数据库中响应成功的目标网络地址匹配，则说明当前网络地址为正确网址；将当前请求账号与预设数据库中已知悉响应结果的目标请求账号进行匹配，得到第二匹配结果，若第二匹配结果为当前请求账号与预设数据库中响应失败的目标请求账号匹配(相同或者当前请求账号与目标请求账号的数量比例大于一定值)，则说明当前请求账号为非法账号，若第二匹配结果为当前请求账号与预设数据库中响应成功的目标请求账号匹配，则说明当前请求账号为合法账号。

进一步地，在一种可行的实施例中，历史网络请求响应信息包括历史响应失败率，上述步骤S20，基于所述当前网络请求计算风险账号数，细化的步骤还包括：

步骤c1，若所述历史响应失败率大于第一预设阈值，则获取历史响应失败率对应的历史请求账号，对所述历史请求账号进行截取，得到目标号段；

步骤c2，将所述当前请求账号中与所述目标号段匹配的账号作为风险账号，并统计风险账号数。

需要说明的是，历史响应失败率大于第一预设阈值表示历史网络请求中有太多的异常请求，这种情况下，通过获取历史响应失败率对应的历史请求账号，即，响应失败的历史网络请求的账号发起方(即，本实施例中的历史请求账号)，当历史响应失败率(所有服务器的总失败率)超过第一预设阈值时，取一段时间内的账号(即，历史请求账号)，截取历史请求账号的前几位作为账号段(即，目标号段)，若一段时间内当前请求账号中命中目标号段的次数多于一定值，则认为当前请求账号中与目标号段匹配的账号是风险号段，并统计风险账号的数量。

进一步地，在一种可行的实施例中，历史网络请求响应信息包括历史响应失败率，上述步骤S20，基于所述当前网络请求计算账号遍历率，细化的步骤还包括：

步骤d1，基于ASCII码对所述当前请求账号进行排序，并计算排序相邻的两个前请求账号的相似度；

步骤d2，若所述相似度大于第二预设阈值，则确定排序相邻的两个前请求账号为相似账号，并根据所述相似账号的数量及所述当前请求账号的数量，计算账号遍历率。

需要说明的是，历史网络请求响应信息包括历史响应失败率，在基于当前网络请求计算账号遍历率时，首先需要基于ASCII码对当前请求账号进行排序，并计算排序相邻的两个前请求账号的相似度，具体地，基于ASCII码对当前请求账号进行排序的过程可以是，两个账号同一位置的字符按照其ASCII值的大小排序，比31、12、22的升序排序是12，22，31，基于ASCII码对当前请求账号进行排序后，得到按顺序排列的当前请求账号，分别计算相邻的两个当前请求账号的相似度，具体地，相邻的两个当前请求账号的相似度可以基于位置和对应的字符是否相同。若相邻的两个当前请求账号的相似度大于第二预设阈值，则确定这两个前请求账号为相似账号，并根据相似账号的数量及当前请求账号的数量，计算账号遍历率，具体地，假设共有100个账号，排序后相邻账号两两对比计算相似度，共需对比99次，若99次对比中有50次对比结果是相似，则账号遍历率等于50除以99。

在本实施例中，从预设数据库中获取历史网络请求响应信息，进而基于历史网络请求响应信息，计算历史请求均值和历史响应失败率均值，然后，接收当前网络请求，基于当前网络请求计算响应失败率、风险账号数及账号遍历率，并获取当前网络请求对应的请求数量，进一步根据风险账号数、响应失败率与历史响应失败率均值的第一比值、账号遍历率，及请求数量与历史请求均值的第二比值，计算当前网络请求的综合风险等级，最终基于综合风险等级，确定当前网络请求的暴刷攻击检测结果，本发明通过分析网络请求，计算响应数据，再通过响应数据确定网络请求的暴刷攻击检测结果，提高了暴刷攻击检测的准确度。

进一步地，参照图3，在本发明上述实施例的基础上，提出了本发明全局暴刷攻击检测方法的第二实施例。

本实施例是第一实施例中步骤S30细化的步骤，本实施例与本发明上述实施例的区别在于：

步骤S31，查询预设风险等级表，确定所述风险账号数对应的第一风险等级，所述第一比值对应的第二风险等级，所述账号遍历率对应的第三风险等级，及所述第二比值对应的第四风险等级；

步骤S32，筛选出所述第一风险等级、第二风险等级和第四风险等级中的最小风险等级，将所述第三风险等级与所述最小风险等级之中的最大风险等级作为所述当前网络请求的综合风险等级。

需要说明的是，预设风险等级表中包括不同的风险账号数对应的不同等级(即，本实施例中的第一风险等级)，不同的第一比值对应的不同等级(即，本实施例中的第二风险等级)，不同的账号遍历率对应的不同等级(即，本实施例中的第三风险等级)，以及不同的第二比值对应的不同等级(即，本实施例中的第四风险等级)，从第一风险等级、第二风险等级和第四风险等级中筛选出值最小的风险等级，然后将第三风险等级与筛选出的最小风险等级这两者之中的最大风险等级作为当前网络请求的综合风险等级，例如，第一风险等级、第二风险等级和第四风险等级中值最小的是第一风险等级，然后，第一风险等级和第三风险等级中值最大的是第三风险等级，则第三风险等级即是当前网络请求的综合风险等级。

在本实施例中，通过分析网络请求，计算网络请求对应的风险等级，再通过风险等级确定网络请求的暴刷攻击检测结果，提高了暴刷攻击检测的准确度。

此外，参照,4，本发明实施例还提出一种全局暴刷攻击检测装置，所述全局暴刷攻击检测装置包括：

历史网络请求响应信息获取模块10，用于从预设数据库中获取历史网络请求响应信息，基于所述历史网络请求响应信息计算历史请求均值和历史响应失败率均值；

第一计算模块20，用于接收当前网络请求，基于所述当前网络请求计算响应失败率、风险账号数及账号遍历率，并获取所述当前网络请求对应的请求数量；

第二计算模块30，用于根据所述风险账号数、所述响应失败率与所述历史响应失败率均值的第一比值、所述账号遍历率，及所述请求数量与所述历史请求均值的第二比值，计算所述当前网络请求的综合风险等级；

检测结果确定模块40，用于基于所述综合风险等级，确定所述当前网络请求的暴刷攻击检测结果。

可选地，所述全局暴刷攻击检测装置，还包括：

存储模块，用于当接收到的目标网络请求成功响应时，获取所述目标网络请求对应的目标网络地址和目标请求账号，并将所述目标网络地址和所述目标请求账号存入预设数据库。

可选地，所述第一计算模块20，包括：

获取单元，用于获取所述当前网络请求对应的响应数量、当前网络地址及当前请求账号；

响应失败率计算单元，用于基于所述当前网络地址与所述目标网络地址的第一匹配结果、所述当前请求账号与所述目标请求账号的第二匹配结果及所述响应数量，计算响应失败率。

可选地，所述历史网络请求响应信息包括历史响应失败率，所述第一计算模块20，还包括：

账号截取单元，用于若所述历史响应失败率大于第一预设阈值，则获取历史响应失败率对应的历史请求账号，对所述历史请求账号进行截取，得到目标号段；

风险账号数统计单元，用于将所述当前请求账号中与所述目标号段匹配的账号作为风险账号，并统计风险账号数。

可选地，所述第一计算模块20，还包括：

相似度计算单元，用于基于ASCII码对所述当前请求账号进行排序，并计算排序相邻的两个前请求账号的相似度；

账号遍历率计算单元，用于若所述相似度大于第二预设阈值，则确定排序相邻的两个前请求账号为相似账号，并根据所述相似账号的数量及所述当前请求账号的数量，计算账号遍历率。

可选地，所述第二计算模块30，包括：

风险等级确定单元，用于查询预设风险等级表，确定所述风险账号数对应的第一风险等级，所述第一比值对应的第二风险等级，所述账号遍历率对应的第三风险等级，及所述第二比值对应的第四风险等级；

风险等级筛选单元，用于筛选出所述第一风险等级、第二风险等级和第四风险等级中的最小风险等级，将所述第三风险等级与所述最小风险等级之中的最大风险等级作为所述当前网络请求的综合风险等级。

此外，本发明实施例还提出一种介质，所述介质上存储有全局暴刷攻击检测程序，所述全局暴刷攻击检测程序被处理器执行时实现上述实施例提供的全局暴刷攻击检测方法中的操作。

上述各程序模块所执行的方法可参照本发明方法各个实施例，此处不再赘述。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体/操作/对象与另一个实体/操作/对象区分开来，而不一定要求或者暗示这些实体/操作/对象之间存在任何这种实际的关系或者顺序；术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的。可以根据实际的需要选择中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的全局暴刷攻击检测方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种全局暴刷攻击检测方法，其特征在于，所述全局暴刷攻击检测方法包括以下步骤：

2.如权利要求1所述的全局暴刷攻击检测方法，其特征在于，所述从预设数据库中获取历史网络请求响应信息，基于所述历史网络请求响应信息计算历史请求均值和历史响应失败率均值的步骤之前，包括：

3.如权利要求2所述的全局暴刷攻击检测方法，其特征在于，所述基于所述当前网络请求计算响应失败率的步骤包括：

4.如权利要求3所述的全局暴刷攻击检测方法，其特征在于，所述历史网络请求响应信息包括历史响应失败率，所述基于所述当前网络请求计算风险账号数的步骤包括：

5.如权利要求3所述的全局暴刷攻击检测方法，其特征在于，所述基于所述当前网络请求计算账号遍历率的步骤包括：

基于ASCI I码对所述当前请求账号进行排序，并计算排序相邻的两个前请求账号的相似度；

6.如权利要求1所述的全局暴刷攻击检测方法，其特征在于，所述根据所述风险账号数、所述响应失败率与所述历史响应失败率均值的第一比值、所述账号遍历率，及所述请求数量与所述历史请求均值的第二比值，计算所述当前网络请求的综合风险等级的步骤包括：

7.一种全局暴刷攻击检测装置，其特征在于，所述全局暴刷攻击检测装置包括：

8.一种全局暴刷攻击检测设备，其特征在于，所述全局暴刷攻击检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的全局暴刷攻击检测程序，所述全局暴刷攻击检测程序被所述处理器执行时实现如权利要求1至6中任一项所述的全局暴刷攻击检测方法的步骤。

9.一种介质，其特征在于，所述介质上存储有全局暴刷攻击检测程序，所述全局暴刷攻击检测程序被处理器执行时实现如权利要求1至6中任一项所述的全局暴刷攻击检测方法的步骤。

10.一种程序产品，其特征在于，所述程序产品包括计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的全局暴刷攻击检测方法的步骤。