恶意攻击识别方法及系统与流程

技术特征：
1.一种恶意攻击识别方法，其特征在于，包括以下步骤：读取最新的web访问日志；判断所述最新的web访问日志中是否包含静态资源文件，若是，则不作处理，反之，则进行下一步骤；所述静态资源文件包含图片、css样式文件或javascript脚本文件；获取所述最新的web访问日志中所包含的IP地址的页面请求数，判断单个IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击；其中，所述读取最新的web访问日志包括：间隔预定时间读取固定数量的web访问日志；记录每次读取的最新web访问日志产生的时间点，并进行标识；若下次读取的web访问日志中包含有前一次读取的最新web访问日志产生的时间点，则只保留该时间点之后的web访问日志。2.如权利要求1所述的恶意攻击识别方法，其特征在于，所述读取最新的web访问日志包括：间隔预定时间读取一次；或对最新的web访问日志数量进行监控，若最新的web访问日志数量超过预定值，则读取一次。3.如权利要求1所述的恶意攻击识别方法，其特征在于，判断所述最新的web访问日志中是否包含静态资源文件包括：获取最新的web访问日志中各文件的后缀；将所述后缀与预先存储的后缀进行匹配；若最新的web访问日志中任何一个文件的后缀能与预先存储的后缀中的任何一个匹配上，则确定最新的web访问日志中包含有静态资源文件。4.如权利要求1所述的恶意攻击识别方法，其特征在于，所述判断单个IP地址的页面请求数是否超过阈值包括：统计最新的web访问日志中每个IP地址分别对应的页面请求数；选取页面请求数最大的IP地址；判断该IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并进行下一步骤；反之，则确定最新的web访问日志中所包含的IP地址的页面请求数未超过阈值；从余下的IP地址中选取页面请求数最大的IP地址，并重复前一步骤。5.如权利要求1所述的恶意攻击识别方法，其特征在于，所述判断单个IP地址的页面请求数是否超过阈值包括：S1，统计最新的web访问日志中每个IP地址分别对应的页面请求数；S2，按照页面请求数从大到小的顺序对所有的IP地址进行排序；S3，选取序号在预定数值内的IP地址；S4，逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并进行步骤S5，反之，则不作处理；S5，对未被选取的IP地址按照页面请求数从大到小的顺序重新进行排序，并重复步骤S3和S4。6.如权利要求5所述的恶意攻击识别方法，其特征在于，所述步骤S4包括：按照序号从大到小选取最大序号的IP地址；判断该IP地址的页面请求数是否超过阈值，若是，则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值；若否，则进行下一步骤；按照序号从大到小选取下一序号的IP地址，重复前一步骤。7.如权利要求1至6任一项所述的恶意攻击识别方法，其特征在于，所述方法还包括：禁止确定为恶意攻击的IP地址的访问。8.如权利要求7所述的恶意攻击识别方法，其特征在于，所述禁止确定为恶意攻击的IP地址的访问包括：将确定为恶意攻击的IP地址加入软件防火墙的禁用列表中。9.一种恶意攻击识别系统，其特征在于，包括：访问日志读取模块，用于读取最新的web访问日志；静态资源文件判断模块，用于判断所述最新的web访问日志中是否包含静态资源文件；所述静态资源文件包含图片、css样式文件或javascript脚本文件；页面请求数判断模块，用于获取所述最新的web访问日志中所包含的IP地址的页面请求数，判断单个IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击；其中，所述访问日志读取模块包括：读取单元，用于间隔预定时间读取固定数量的web访问日志；时间点标识单元，用于记录每次读取的最新web访问日志产生的时间点，并进行标识；选择单元，用于判断下次读取的web访问日志中是否包含有前一次读取的最新web访问日志产生的时间点，若有，则只保留该时间点之后的web访问日志。10.如权利要求9所述的恶意攻击识别系统，其特征在于，所述访问日志读取模块包括：时间单元，用于间隔预定时间触发访问日志模块读取最新的web访问日志；或数量单元，用于对最新的web访问日志数量进行监控，若最新的web访问日志数量超过预定值，则触发访问日志模块读取最新的web访问日志。11.如权利要求9所述的恶意攻击识别系统，其特征在于，所述静态资源文件判断模块包括：后缀获取单元，用于获取最新的web访问日志中各文件的后缀；匹配单元，用于将所述后缀与预先存储的后缀进行匹配；确定单元，用于根据匹配结果确定最新的web访问日志中是否包含静态资源文件。12.如权利要求9所述的恶意攻击识别系统，其特征在于，所述页面请求数判断模块包括：统计单元，用于统计最新的web访问日志中每个IP地址分别对应的页面请求数；最大页面请求数选取单元，用于选取页面请求数最大的IP地址；比较单元，用于判断该IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并触发最大页面请求数选取单元重新选取最新的IP地址再次进行比较；反之，则确定最新的web访问日志中所包含的IP地址的页面请求数未超过阈值。13.如权利要求9所述的恶意攻击识别系统，其特征在于，所述页面请求数判断模块包括：统计单元，用于统计最新的web访问日志中每个IP地址分别对应的页面请求数；排序单元，用于按照页面请求数从大到小的顺序对所有的IP地址进行排序；选取单元，用于选取序号在预定数值内的IP地址；判断单元，用于逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并触发排序单元对余下的IP地址重新排序，然后通过选取单元和判断单元重新选取和判断，反之，则不作处理。14.如权利要求13所述的恶意攻击识别系统，其特征在于，所述判断单元包括：最大序号选取子单元，用于按照序号从大到小选取最大序号的IP地址；确定子单元，用于判断该IP地址的页面请求数是否超过阈值，若是，则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值，若否，则触发最大序号选取子单元重新选取并再次判断。15.如权利要求9至14任一项所述的恶意攻击识别系统，其特征在于，所述系统还包括：禁止访问模块，用于禁止确定为恶意攻击的IP地址的访问。