的。
[0030]根据本发明的另一方面的网络攻击检测设备,在所述访问数据采集单元的前级,包括:既存网络攻击处理单元,根据预先设置的存储有已被确定为网络攻击的访问请求的信息的网络攻击信息表,来判定所述访问请求是否是既存网络攻击,并进行分支处理,BP:当所述访问请求存在于所述网络攻击信息表中时,判定为所述访问请求是既存网络攻击,并直接判定为所述访问请求是网络攻击,而不进行所述访问数据采集单元及其之后的单元的动作;当所述访问请求不存在于所述网络攻击信息表中时,判定为所述访问请求不是既存网络攻击,接着进行所述访问数据采集单元的动作。
[0031]根据本发明的另一方面的网络攻击检测设备,所述攻击数据判定单元包括:网络攻击信息追加单元,在所述攻击数据判定单元的所述判定结果为所述访问请求是网络攻击时,将所述访问请求的信息追加入所述网络攻击信息表中。
[0032]根据本发明的另一方面的网络攻击检测设备,在所述访问数据采集单元的前级,包括:网络攻击预侦测单元,计算所述访问请求在第二预定时间内的访问频率,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述访问数据采集单元的动作,当所述访问频率未超过所述可疑访问频率阈值时,不进行所述访问数据采集单元及其之后的单元的动作,而直接判定为所述访问请求不是网络攻击。
[0033]根据本发明的另一方面的网络攻击检测设备,在所述既存网络攻击处理单元的前级,包括:网络攻击预侦测单元,计算所述访问请求在第二预定时间内的访问频率,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述既存网络攻击处理单元的动作,当所述访问频率未超过所述可疑访问频率阈值时,不进行所述既存网络攻击处理单元及其之后的单元的动作,而直接判定为所述访问请求不是网络攻击。
[0034]根据本发明的另一方面的网络攻击检测设备,所述可疑访问频率阈值是根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值。
[0035]根据本发明的另一方面的网络攻击检测设备,所述可疑访问频率阈值是比根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值低的值。
[0036]根据本发明的另一方面的网络攻击检测设备,所述可疑访问频率阈值是比根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值低20%的值。
[0037]根据本发明的另一方面的网络攻击检测设备,所述第一预定时间与所述第二预定时间相同。
[0038]根据本发明的上述技术方案,不需要指定特定的URL或者Cookie就可以进行处理,与网站业务具有低耦合的特性,部署和运维成本得到有效降低。
[0039]根据本发明的上述技术方案,不再是单纯的IP地址访问频率统计,对于共享IP出口的NAT用户,能够有效地识别判定访问是否是用户行为,降低了 NAT用户被误杀的概率。
[0040]根据本发明的上述技术方案,能够检测分布式的ΗΤΤΡ-Flood攻击这类的网络攻击,针对单个攻击IP地址(肉鸡)的访问频率都不高的情况,通过降低网络攻击预侦测单元的可疑访问频率阈值,将肉鸡纳入到后级的网络攻击排查处理中,再通过后级的网络攻击排查处理排查并判定网络攻击,可以有效防护这类网站拒绝服务。
[0041]如上所述,根据本发明的网络攻击检测方法及检测设备,能够精确且有效地检测对网站的网络攻击。
【附图说明】
[0042]图1是本发明的实施例1的网络攻击检测方法的整体流程图。
[0043]图2是本发明的实施例1的网络攻击检测方法的访问数据离散程度计算步骤S2的一个示例的流程图。
[0044]图3是本发明的实施例1的网络攻击检测设备100的功能框图。
[0045]图4是本发明的实施例2的网络攻击检测方法的流程简图。
[0046]图5是本发明的实施例3的网络攻击检测方法的流程简图。
【具体实施方式】
[0047]首先,本发明人为了解决现有技术的技术问题,而把目光关注于:正常用户和网络攻击(例如,ΗΤΤΡ-Flood攻击等)使用脚本的攻击都是IP地址不变的情况,网络攻击的检测核心就在于,如何将用户正常的访问和网络攻击(例如,ΗΤΤΡ-Flood攻击等)使用脚本的攻击区分开来。于是,本发明人针对ΗΤΤΡ-Flood攻击等网络攻击进行了大量的实验和研宄,其结果表明,正常用户访问某网站时,由于网站的每个URL承载的信息量或内容不同,用户停留在单个URL的时间是不固定的,也就是说,正常用户的相邻两次访问网站的时间间隔是有一定波动的。而类似如ΗΤΤΡ-Flood攻击等网络攻击方式,由于是工具脚本或恶意程序自动发起请求,所以相邻两次请求之间的时间间隔基本是一个常数。基于上述分析,用户正常请求和网络攻击请求的时间分布特征存在较大的差异性,而如ΗΤΤΡ-Flood攻击等单一 IP地址进行网络攻击时,该IP地址的相邻两次请求的平均时间间隔很短,并且该IP地址的所有访问时间间隔很接近,不会有大的波动,与平均时间间隔的差值(也就是标准差)非常小。因此,本发明人根据上述分析结果,考虑突破现有技术方案的仅利用访问频率这一指标作为网络攻击的判定标准的局限,而发明了一种从IP地址访问网站的时间间隔入手,并运用统计学上的运算方法,例如加上方差、标准差或平均差等因素,来分析时间间隔数据的离散程度,以此作为网络攻击行为的判断标准的网络攻击检测方法及检测设备。
[0048]为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
[0049]《实施例1》
[0050]图1是本发明的实施例1的网络攻击检测方法的整体流程图。
[0051]如图1所示,本发明的实施例1的网络攻击检测方法包括:访问数据采集步骤S1、访问数据离散程度计算步骤S2、和攻击数据判定步骤S3。
[0052]首先,在访问数据采集步骤SI中,在预定时间内开始采集IP每次访问URL的时间信息,并根据所采集的这些时间信息来计算出各个相邻的两次访问请求之间的访问时间间隔数据,并组成访问时间间隔数据组,输出给访问数据离散程度计算步骤S2。其中,所述预定的采集时间可以根据网站的网络环境的实际状况来预先设置,例如,一般通常的网站设置I至2分钟即可。
[0053]接着,在访问数据离散程度计算步骤S2中,根据通过访问数据采集步骤SI组成的访问时间间隔数据组,例如利用方差、标准差、或平均差等统计学上运算方法等,计算出访问时间间隔数据组的离散程度,输出给攻击数据判定步骤S3。
[0054]然后,在攻击数据判定步骤S3中,根据通过访问数据离散程度计算步骤S2计算出的访问时间间隔数据组的离散程度,来判定该访问IP是否是网络攻击IP。具体而言,当访问时间间隔数据组的离散程度在预定的攻击数据离散范围内时,判定为该访问IP是网络攻击IP,当访问时间间隔数据组的离散程度超过预定的攻击数据离散范围时,判定为该访问IP不是网络攻击IP,并输出该判定结果作为最终检测结果。
[0055]在此,所述预定的攻击数据离散范围可以根据网站的网络环境的实际状况、以及访问数据离散程度计算步骤S2采用的访问时间间隔数据组的离散程度的计算方法来预先确定。另外,所谓离散程度在该预定的攻击数据离散范围内就是指:访问时间间隔数据组中的各个访问时间间隔数据没有大的差异,能够被视为基本上是一个常数,从而能够区别于用户正常访问请求的时间分布特性。
[0056]另外,关于访问数据离散程度计算步骤S2中的访问时间间隔数据组的离散程度的具体运算方法,可以采用公知的统计学上的评估数据离散程度的运算方法,例如,方差、标准差、平方差等。在此,本发明人以采用方差来分析时间间隔数据组的离散程度作为示例,对访问数据离散程度计算步骤S2的具体计算流程进行说明。但这里仅仅是采用方差的一种示例。本领技术人员也可以采用标准差、平方差等其他统计学运算等来替代该方差的运算。只要能够正确计算出时间间隔数据组的离散程度即可,对其具体运算方法并无限定。
[0057]图2是本发明的实施例1的网络攻击检测方法的访问数据离散程度计算步骤S2的一个示例的流程图。
[0058]如图2所示,访问数据离散程度计算步骤S2包括:常数波动范围确定步骤S2-1、常数数量计数步骤S2-2和离散程度计算步骤S2-3。
[0059]首先,在常数波动范围确定步骤S2-1中,根据通过访问数据采集步骤SI组成的访问时间间隔数据组,计算出所有访问时间间隔数据的平均值,以作为常数期望值,并采用下列公式(I)来确定常数波动范围。
[0060]常数波动范围彡常数期望值X (I 土预定的方差)...(I)
[0061]在此,预定的方差可以根据网站的网络环境的实际状况来预先确定,例如,一般可以设为8%。
[0062]接着,在常数数量计数步骤S2-2中,根据通过常数波动范围确定步骤S2-1确定的常数波动范围,判断访问时间间隔数据中的每个访问时间间隔数据是否在该常数波动范围内,并对在该常数波动范围内的访问时间间隔数据进行计数,计算出符合该常数波动范围的访问时间间隔数据的数