CC攻击的检测方法及装置与流程

本发明涉及网络信息安全的技术领域，尤其是涉及一种cc攻击的检测方法及装置。

背景技术：

随着互联网技术的不断发展，计算机网络技术在各行各业得到了广泛应用。互联网应用的快速发展，伴生了许多安全漏洞。这些漏洞，会使计算机遭受病毒和黑客攻击，从而可能导致数据丢失，严重可能导致用户数据丢失或财产损失。因此互联网安全的防护是互联网技术中的重点。

cc全称为challengecollapsar，意为“挑战黑洞”。cc攻击是ddos分布式拒绝服务的一种，cc攻击利用不断对网站发送连接请求致使形成拒绝服务，且cc攻击具备一定的隐蔽性。

目前cc攻击检测和防御手段大致如下：限制源ip即配置黑白名单、限制源ip的连接数、对所有的请求源ip进行统计并计算其请求速率。然而，如今大多数cc攻击通常是通过大量的傀儡机对被攻击的服务器发起请求。当被控制的傀儡机达到一定数量时，这些傀儡机发起请求的ip各不相同，黑白名单策略很难奏效；这些傀儡机ip发送的请求数并不高，不会超过ip连接数的阀值，因此配置连接数阀值手段也很容易被绕过；这些傀儡机ip的请求速率也不一定很高，低于请求速率的阀值、发向每个网站的每个url的请求速率是不固定的，设置一个ip请求速率阈值，使之适合网站内所有的统一资源定位符(uniformresourcelocator，简称url)是不现实的。

技术实现要素：

有鉴于此，本发明的目的在于提供一种cc攻击的检测方法及装置，以缓解了现有技术中存在的无法及时有效，并准确的检测cc攻击的技术问题。

第一方面，本发明实施例提供了一种cc攻击的检测方法，包括：计算web页面正常访问流量的第一先验概率和所述web页面cc攻击访问流量的第二先验概率，其中，所述第一先验概率表示样本数据中正常访问流量与url访问概率相匹配的概率，所述第二先验概率表示所述样本数据中cc攻击访问流量与所述url访问概率相匹配的概率；获取正常访问流量的比率和cc攻击访问流量的比率，所述正常访问流量的比率和所述cc攻击访问流量的比率均为基于所述样本数据确定出的；采用第一后验概率模型，基于所述第一先验概率和所述正常访问流量的比率计算所述正常访问流量的第一后验概率；采用第二后验概率模型，基于所述第二先验概率和所述cc攻击访问流量的比率计算所述cc攻击访问流量的第二后验概率；基于所述第一后验概率和所述第二后验概率确定所述web页面是否受到cc攻击。

进一步地，采用第一后验概率模型，基于所述第一先验概率和所述正常访问流量的比率计算所述正常访问流量的第一后验概率包括：通过所述第一后验概率计算模型计算所述第一后验概率，其中，所述第一后验概率计算模型表示为：p(c＝正常流量|a1＝a1,a2＝a2,…,an＝an)为所述第一后验概率，p(c＝正常流量)为所述正常访问流量的比率，p(ai＝ai|c＝正常流量)为所述第一先验概率。

进一步地，采用第二后验概率模型，基于所述第二先验概率和所述cc攻击访问流量的比率计算所述cc攻击访问流量的第二后验概率包括：通过所述第二后验概率计算模型计算所述第二后验概率，其中，所述第二后验概率计算模型为：p(c＝cc攻击流量|a1＝a1,a2＝a2,…,an＝an)为所述第二后验概率，p(c＝cc攻击流量)为所述cc攻击访问流量的比率，p(ai＝ai|c＝cc攻击流量)为所述第二先验概率。

进一步地，基于所述第一后验概率和所述第二后验概率确定web页面是否受到cc攻击包括：在所述第一后验概率大于所述第二后验概率的情况下，确定当前时刻访问所述web页面的访问流量为正常流量；在所述第一后验概率小于所述第二后验概率的情况下，确定当前时刻访问所述web页面的访问流量为cc攻击流量。

进一步地，计算web页面正常访问流量的第一先验概率和所述web页面cc攻击访问流量的第二先验概率包括：获取实时流量访问日志；在所述流量访问日志中提取url和所述url的访问时间信息；基于所述url和所述访问时间信息确定访问概率集合，其中，所述访问概率集合中包括每个url的访问概率；基于所述样本数据和所述访问概率集合确定所述第一先验概率和所述第二先验概率。

进一步地，在计算web页面正常访问流量的第一先验概率和所述web页面cc攻击访问流量的第二先验概率之前，所述方法还包括：获取所述样本数据；基于所述样本数据确定所述正常访问流量的比率和所述cc攻击访问流量的比率；基于所述正常访问流量的比率和所述cc攻击访问流量的比率，采用朴素贝叶斯分类模型构建所述第一后验概率计算模型和所述第二后验概率计算模型。

进一步地，基于所述样本数据确定所述正常访问流量的比率和所述cc攻击访问流量的比率包括：通过第一公式计算所述正常访问流量的比率，其中，所述第一公式表示为：其中，a1为在所述样本数据中统计出的正常流量次数，b1为在所述样本数据中统计出cc攻击流量次数；通过第二公式计算所述正常访问流量的比率，其中，所述第二公式表示为：

第二方面，本发明实施例还提供一种cc攻击的检测装置，包括：第一计算单元，用于计算web页面正常访问流量的第一先验概率和所述web页面cc攻击访问流量的第二先验概率，其中，所述第一先验概率表示样本数据中正常访问流量与url访问概率相匹配的概率，所述第二先验概率表示所述样本数据中cc攻击访问流量与所述url访问概率相匹配的概率；第一获取单元，用于获取正常访问流量的比率和cc攻击访问流量的比率，所述正常访问流量的比率和所述cc攻击访问流量的比率均为基于所述样本数据确定出的；第二计算单元，用于采用第一后验概率模型，基于所述第一先验概率和所述正常访问流量的比率计算所述正常访问流量的第一后验概率；第三计算单元，用于采用第二后验概率模型，基于所述第二先验概率和所述cc攻击访问流量的比率计算所述cc攻击访问流量的第二后验概率；第一确定单元，用于基于所述第一后验概率和所述第二后验概率确定所述web页面是否受到cc攻击。

进一步地，所述第二计算单元用于：通过所述第一后验概率计算模型计算所述第一后验概率，其中，所述第一后验概率计算模型表示为：p(c＝正常流量|a1＝a1，a2＝a2，...，an＝an)为所述第一后验概率，p(c＝正常流量)为所述正常访问流量的比率，p(ai＝ai|c＝正常流量)为所述第一先验概率。

进一步地，所述第三计算单元用于：通过所述第二后验概率计算模型计算所述第二后验概率，其中，所述第二后验概率计算模型为：p(c＝cc攻击流量|a1＝a1,a2＝a2,…,an＝an)为所述第二后验概率，p(c＝cc攻击流量)为所述cc攻击访问流量的比率，p(ai＝ai|c＝cc攻击流量)为所述第二先验概率。

在本发明实施例中，首先计算web页面正常访问流量的第一先验概率和web页面cc攻击访问流量的第二先验概率；然后，获取正常访问流量的比率和cc攻击访问流量的比率；接下来，采用第一后验概率模型，基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率；并采用第二后验概率模型，基于第二先验概率和cc攻击访问流量的比率计算cc攻击访问流量的第二后验概率；最后，基于第一后验概率和第二后验概率确定web页面是否受到cc攻击。在本发明实施例中，通过对无cc攻击的日志和有cc攻击的日志进行样本训练并建模，模型建立后对实时流量进行模式匹配从而检测cc攻击，从而达到了及时并准确的检测出cc攻击的目的，进而缓解了现有技术中存在的无法及时有效，并准确的检测cc攻击的技术问题，从而实现了提高cc攻击检测效率的技术效果。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的一种cc攻击的检测方法的流程图；

图2是根据本发明实施例的一种cc攻击的检测方法的示意图；

图3是根据本发明实施例的一种cc攻击的检测装置的示意图；

图4是根据本发明实施例的另一种cc攻击的检测装置的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一：

根据本发明实施例，提供了一种cc攻击的检测方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种cc攻击的检测方法的流程图，如图1所示，该方法包括如下步骤：

步骤s102，计算web页面正常访问流量的第一先验概率和web页面cc攻击访问流量的第二先验概率，其中，第一先验概率表示样本数据中正常访问流量与url访问概率相匹配的概率，第二先验概率表示样本数据中cc攻击访问流量与url访问概率相匹配的概率；

步骤s104，获取正常访问流量的比率和cc攻击访问流量的比率，正常访问流量的比率和cc攻击访问流量的比率均为基于样本数据确定出的；

步骤s106，采用第一后验概率模型，基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率；

步骤s108，采用第二后验概率模型，基于第二先验概率和cc攻击访问流量的比率计算cc攻击访问流量的第二后验概率；

步骤s110，基于第一后验概率和第二后验概率确定web页面是否受到cc攻击。

在本发明实施例中，首先计算web页面正常访问流量的第一先验概率和web页面cc攻击访问流量的第二先验概率；然后，获取正常访问流量的比率和cc攻击访问流量的比率；接下来，采用第一后验概率模型，基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率；并采用第二后验概率模型，基于第二先验概率和cc攻击访问流量的比率计算cc攻击访问流量的第二后验概率；最后，基于第一后验概率和第二后验概率确定web页面是否受到cc攻击。在本发明实施例中，通过对无cc攻击的日志和有cc攻击的日志进行样本训练并建模，模型建立后对实时流量进行模式匹配从而检测cc攻击，从而达到了及时并准确的检测出cc攻击的目的，进而缓解了现有技术中存在的无法及时有效，并准确的检测cc攻击的技术问题，从而实现了提高cc攻击检测效率的技术效果。

在本发明实施例中，在计算web页面正常访问流量的第一先验概率和web页面cc攻击访问流量的第二先验概率之前，还需要构建后验概率计算模型(即，第一后验概率计算模型和第二后验概率计算模型)，在构建后验概率计算模型时，是基于样本数据来构建的，其中，样本数据中包括web页面的无cc攻击日志和web页面有cc攻击日志，具体过程描述如下：

首先，获取样本数据；

然后，基于样本数据确定正常访问流量的比率和cc攻击访问流量的比率；

最后，基于正常访问流量的比率和cc攻击访问流量的比率，采用朴素贝叶斯分类模型构建第一后验概率计算模型和第二后验概率计算模型。

具体地，首先搜集m份受保护对象(例如，受保护web网页)的访问流量，并且已知这些流量中包括正常流量和cc攻击流量；然后，对该访问流量进行分类统计得到点击率矩阵a(即，样本数据)。

其中，点击率矩阵a的表达式为：在本发明实施例中，在矩阵a中，正常流量为第一行至第x行，cc攻击流量为第x+1行至第m行。在该矩阵中，aij表示第i份访问流量中第j个url出现的概率。需要说明的是，样本数据是由受保护对象服务商提供，样本数据的质量和数量通常是决定一个模型性能的关键因素。

在确定出样本数据之后，就可以基于样本数据确定正常访问流量的比率和cc攻击访问流量的比率。

在一个可选的实施方式中，基于样本数据确定正常访问流量的比率和cc攻击访问流量的比率的过程描述如下：

通过第一公式计算正常访问流量的比率，其中，第一公式表示为：其中，a1为在样本数据中统计出的正常流量次数，b1为在样本数据中统计出cc攻击流量次数；

通过第二公式计算正常访问流量的比率，其中，第二公式表示为：

需要说明的是，上述第一公式和第二公式中的次数是在样本数据中计算得到的。

在本发明实施例中，可以通过下述方式计算正常访问流量的比率：p(c＝正常流量)＝正常流量次数a1/(正常流量次数a1+cc攻击流量次数b1)。

在本发明实施例中，可以通过下述方式计算cc攻击访问流量的比率：p(c＝cc攻击流量)＝cc攻击流量次数b1/(正常流量次数a1+cc攻击流量次数b1)。

在确定出上述cc攻击访问流量的比率和正常访问流量的比率之后，就可以构建第一后验概率模型和构建第二后验概率模型。

在本发明实施例中，可以通过朴素贝叶斯分类器建立后验概率模型，例如，通过公式：构建第一后验概率模型；以及，通过公式构建第二后验概率模型。需要说明的是，在上述公式中，p(a1＝a1,a2＝a2,…,an＝an)是一个常量。

在构建上述第一后验概率模型和第二后验概率模型之后，就可以对实时访问流量进行模式匹配从而检测cc攻击。

在对实时访问流量进行模式匹配来检测cc攻击时，首先，计算web页面正常访问流量的第一先验概率和web页面cc攻击访问流量的第二先验概率，具体计算步骤包括如下：

步骤s1021，获取实时流量访问日志；

步骤s1022，在流量访问日志中提取url和url的访问时间信息；

步骤s1023，基于url和访问时间信息确定访问概率集合，其中，访问概率集合中包括每个url的访问概率；

步骤s1024，基于样本数据和访问概率集合确定第一先验概率和第二先验概率。

首先，从实时流量访问日志中，按字段来提取url和访问时间信息，得到提取结果。然后，根据提取结果，计算实时访问流量中，每个url访问概率，得到访问概率集合：[a1、a2、…、an]。

在确定出上述访问概率集合之后，就可以结合样本数据和访问概率集合来计算先验概率。

其中，计算得到的正常流量先验概率(即，第一先验概率)表示为：p(ai＝ai|c＝正常流量)，i∈1,2,…,n，其中，该正常流量先验概率表示为样本数据中正常访问流量即1…x行中第i列匹配到与访问概率集合中ai值相等的概率。计算得到的cc攻击流量先验概率(即，第二先验概率)表示为：p(ai＝ai|c＝cc攻击流量)，i∈1,2,…,n，其中，该cc攻击流量先验概率表示为样本数据中cc攻击访问流量即x+1…m行中第i列匹配到与访问概率集合中ai值相等的概率。

在确定出第一先验概率，第二先验概率，以及确定出正常访问流量的比率和cc攻击访问流量的比率之后，就可以通过后验概率模型来确定第一后验概率和第二后验概率。

在一个可选的实施方式中，上述步骤s106，即，采用第一后验概率模型，基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率包括如下步骤：

步骤s1061，通过第一后验概率计算模型计算第一后验概率，其中，第一后验概率计算模型表示为：p(c＝正常流量|a1＝a1,a2＝a2,…,an＝an)为第一后验概率，p(c＝正常流量)为正常访问流量的比率，p(ai＝ai|c＝正常流量)为第一先验概率。

具体地，在本发明实施例中，可以将常量p(a1＝a1,a2＝a2,…,an＝an)、p(c＝正常流量)，以及正常访问流量的比率p(ai＝ai|c＝正常流量)，i∈1,2,…,n代入到建立的第一后验概率模型中，计算出正常流量第一后验概率p(c＝正常流量|a1＝a1,a2＝a2,…,an＝an)。

在一个可选的实施方式中，上述步骤s108，即，采用第二后验概率模型，基于第二先验概率和cc攻击访问流量的比率计算cc攻击访问流量的第二后验概率包括如下步骤：

步骤s1081，通过第二后验概率计算模型计算第二后验概率，其中，第二后验概率计算模型为：p(c＝cc攻击流量|a1＝a1,a2＝a2,…,an＝an)为第二后验概率，p(c＝cc攻击流量)为cc攻击访问流量的比率，p(ai＝ai|c＝cc攻击流量)为第二先验概率。

将常量p(a1＝a1,a2＝a2,…,an＝an)、p(c＝cc攻击流量)、以及cc攻击流量先验概率(即，上述第二先验概率)p(ai＝ai|c＝cc攻击流量)，i∈1,2,…,n代入到建立的第二后验概率模型中，从而计算出cc攻击流量后验概率(即，第二后验概率)p(c＝cc攻击流量|a1＝a1,a2＝a2,…,an＝an)。

在本发明实施例中，在确定出上述第一后验概率和第二后验概率之后，就可以基于第一后验概率和第二后验概率确定web页面是否受到cc攻击，具体过程描述如下：

在第一后验概率大于第二后验概率的情况下，确定当前时刻访问web页面的访问流量为正常流量；

在第一后验概率小于第二后验概率的情况下，确定当前时刻访问web页面的访问流量为cc攻击流量。

也就是说，如果正常流量后验概率大于cc攻击流量后验概率，此实时流量为正常流量。如果cc攻击流量后验概率大于正常流量后验概率，此实时流量为cc攻击。

综上各实施例提供的cc攻击的检测方法，为了直观理解上述过程，以图2所示的cc攻击的检测方法的示意图为例进行说明，该方法主要包括：

首先，获取样本数据；然后，对样本数据进行机器学习处理，其中，机器学习指让计算机从已知类别的样本数据，采用朴素贝叶斯分类器，建立模型参数。

上述样本数据的获取和机器学习处理具体包括以下步骤：

a1、样本数据

搜集m份受保护对象的访问流量，并且已知这些流量中正常流量和cc攻击流量，然后进行分类统计得到点击率矩阵(即，样本数据)。其中，该点击率矩阵表示为：其中，在矩阵a中，正常流量为第一行至第x行，cc攻击流量为第x+1行至第m行。在该矩阵中，aij表示第i份访问流量中第j个url出现的概率。需要说明的是，样本数据是由受保护对象服务商提供，样本数据的质量和数量通常是决定一个模型性能的关键因素。

a2、建立模型

在本发明实施例中，可以通过朴素贝叶斯分类器建立后验概率模型，例如，通过公式：构建第一后验概率模型；以及通过公式构建第二后验概率模型。需要说明的是，在上述公式中，p(a1＝a1,a2＝a2,…,an＝an)是一个常量。其中，zz是一个常量p(a1＝a1,a2＝a2,…,an＝an)。

在建立后验概率模型之后，就可以基于样本数据计算正常访问流量的比率p(c＝正常流量)和cc攻击访问流量的比率p(c＝cc攻击流量)。

其中，正常访问流量的比率可以通过下述公式来计算：p(c＝正常流量)＝正常流量次数/正常流量次数+cc攻击流量次数。

cc攻击访问流量的比率可以通过下述公式来计算：p(c＝cc攻击流量)＝cc攻击流量次数/正常流量次数+cc攻击流量次数。

需要说明的是，在上述公式中的次数是在样本数据中计算得出次数。

计算先验概率：从步骤a中的后验概率模型可知，计算后验概率需先计算出正常流量先验概率p(ai＝ai|c＝正常流量)，i∈1,2,…,n、cc攻击流量先验概率p(ai＝ai|c＝cc攻击流量)，i∈1,2,…,n。具体步骤如下：

b、计算正常流量先验概率(即，第一先验概率)和cc攻击流量先验概率(即，第二先验概率)，其中，计算先验概率包括如下步骤：

b1、提取访问样本：从实时流量访问日志按字段来提取url、访问时间信息。

b2、计算访问概率：根据步骤b1结果，计算实时访问流量中，每个url访问概率[a1、a2、…、an]。

b3、计算先验概率。

计算得到的正常流量先验概率(即，第一先验概率)表示为：p(ai＝ai|c＝正常流量)，i∈1,2,…,n，其中，该正常流量先验概率表示为样本数据中正常访问流量即1…x行中第i列匹配到与访问概率集合中ai值相等的概率。计算得到的cc攻击流量先验概率(即，第二先验概率)表示为：p(ai＝ai|c＝cc攻击流量)，i∈1,2,…,n，其中，该cc攻击流量先验概率表示为样本数据中cc攻击访问流量即x+1…m行中第i列匹配到与访问概率集合中ai值相等的概率。

c、计算正常流量后验概率(即，第一后验概率)和cc攻击流量后验概率(即，第二后验概率)，其中，计算后验概率包括如下步骤：

c1、正常流量后验概率。

将常量p(a1＝a1,a2＝a2,…,an＝an)、p(c＝正常流量)、步骤b3的正常流量先验概率p(ai＝ai|c＝正常流量)，i∈1,2,…,n代入到a2建立的后验概率模型中，计算出正常流量后验概率p(c＝正常流量|a1＝a1,a2＝a2,…,an＝an)

c2、cc攻击流量后验概率。

将常量p(a1＝a1,a2＝a2,…,an＝an)、p(c＝cc攻击流量)、步骤b3的cc攻击流量先验概率p(ai＝ai|c＝cc攻击流量)，i∈1,2,…,n代入到a2建立的后验概率模型中，计算出cc攻击流量后验概率p(c＝cc攻击流量|a1＝a1,a2＝a2,…,an＝an)。

d、检测cc攻击

如果正常流量后验概率大于cc攻击流量后验概率，此实时流量为正常流量。如果cc攻击流量后验概率大于正常流量后验概率，此实时流量为cc攻击。具体实现过程如上，这里不再赘述。

实施例二：

本发明实施例还提供了一种cc攻击的检测装置，该cc攻击的检测装置主要用于执行本发明实施例上述内容所提供的cc攻击的检测方法，以下对本发明实施例提供的cc攻击的检测装置做具体介绍。

图3是根据本发明实施例的一种cc攻击的检测装置的示意图，如图3所示，该cc攻击的检测装置主要包括：第一计算单元31，第一获取单元32，第二计算单元33，第三计算单元34和第一确定单元35，其中：

第一计算单元31，用于计算web页面正常访问流量的第一先验概率和web页面cc攻击访问流量的第二先验概率，其中，第一先验概率表示样本数据中正常访问流量与url访问概率相匹配的概率，第二先验概率表示样本数据中cc攻击访问流量与url访问概率相匹配的概率；

第一获取单元32，用于获取正常访问流量的比率和cc攻击访问流量的比率，正常访问流量的比率和cc攻击访问流量的比率均为基于样本数据确定出的；

第二计算单元33，用于采用第一后验概率模型，基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率；

第三计算单元34，用于采用第二后验概率模型，基于第二先验概率和cc攻击访问流量的比率计算cc攻击访问流量的第二后验概率；

第一确定单元35，用于基于第一后验概率和第二后验概率确定web页面是否受到cc攻击。

在本发明实施例中，首先计算web页面正常访问流量的第一先验概率和web页面cc攻击访问流量的第二先验概率；然后，获取正常访问流量的比率和cc攻击访问流量的比率；接下来，采用第一后验概率模型，基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率；并采用第二后验概率模型，基于第二先验概率和cc攻击访问流量的比率计算cc攻击访问流量的第二后验概率；最后，基于第一后验概率和第二后验概率确定web页面是否受到cc攻击。在本发明实施例中，通过对无cc攻击的日志和有cc攻击的日志进行样本训练并建模，模型建立后对实时流量进行模式匹配从而检测cc攻击，从而达到了及时并准确的检测出cc攻击的目的，进而缓解了现有技术中存在的无法及时有效，并准确的检测cc攻击的技术问题，从而实现了提高cc攻击检测效率的技术效果。

可选地，第二计算单元用于：通过第一后验概率计算模型计算第一后验概率，其中，第一后验概率计算模型表示为：p(c＝正常流量|a1＝a1，a2＝a2，...，an＝an)为第一后验概率，p(c＝正常流量)为正常访问流量的比率，p(ai＝ai|c＝正常流量)为第一先验概率。

可选地，第三计算单元用于：通过第二后验概率计算模型计算第二后验概率，其中，第二后验概率计算模型为：p(c＝cc攻击流量|a1＝a1,a2＝a2,…,an＝an)为第二后验概率，p(c＝cc攻击流量)为cc攻击访问流量的比率，p(ai＝ai|c＝cc攻击流量)为第二先验概率。

可选地，第一确定单元用于：在第一后验概率大于第二后验概率的情况下，确定当前时刻访问web页面的访问流量为正常流量；在第一后验概率小于第二后验概率的情况下，确定当前时刻访问web页面的访问流量为cc攻击流量。

可选地，第一计算单元用于：获取实时流量访问日志；在流量访问日志中提取url和url的访问时间信息；基于url和访问时间信息确定访问概率集合，其中，访问概率集合中包括每个url的访问概率；基于样本数据和访问概率集合确定第一先验概率和第二先验概率。

可选地，如图4所示，该装置还包括：第二获取单元41，用于在计算web页面正常访问流量的第一先验概率和web页面cc攻击访问流量的第二先验概率之前，获取样本数据；第二确定单元42，用于基于样本数据确定正常访问流量的比率和cc攻击访问流量的比率；构建单元43，用于基于正常访问流量的比率和cc攻击访问流量的比率，采用朴素贝叶斯分类模型构建第一后验概率计算模型和第二后验概率计算模型。

可选地，第二确定单元用于：通过第一公式计算正常访问流量的比率，其中，第一公式表示为：其中，a1为在样本数据中统计出的正常流量次数，b1为在样本数据中统计出cc攻击流量次数；通过第二公式计算正常访问流量的比率，其中，第二公式表示为：

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明实施例所提供的一种cc攻击的检测方法及装置的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，程序代码包括的指令可用于执行前面方法实施例中的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。