网络攻击检测方法及装置的制造方法
【技术领域】
[0001] 本发明涉及互联网领域,具体而言,涉及一种网络攻击检测方法及装置。
【背景技术】
[0002] CC攻击(ChallengeCollapsar)是应用层的一种DDos攻击方式,其原理基于木桶 理论,主要针对应用层中需要较多资源开销的应用进行攻击,例如频繁访问需要占用服务 器大量的CPU资源进行运算的页面、或需要大量访问数据库的应用。CC攻击的主要特点是 攻击的流量不需要很大,访问请求数量也不需要很多,但是却能占用服务器大量资源,使服 务器瘫痪。
[0003] 目前对于CC攻击的检测方法大多是从访问源,例如发出请求的IP,入手,通过实 时统计IP的请求频率,并根据事先设定的阈值来判断是否受到攻击;又或者是从被请求的 资源入手,通过统计资源被访问的频率和事先设定的阈值来判断是否受到攻击。
[0004] 然而,不论是统计IP的请求频率还是目标资源被访问的频率,现有技术中的检测 方法均考虑得较为片面,没有综合考虑访问整体情况,进而使得在检测攻击时经常出现漏 检或者误检的情况,检测精度通常不高。进一步地,事先设定的阈值也会影响检测结果,当 阈值设定不合理时,检测结果准确性也会降低。
[0005] 针对上述的问题,目前尚未提出有效的解决方案。
【发明内容】
[0006] 本发明实施例提供了一种网络攻击检测方法及装置,以至少解决由于相关技术中 仅根据访问源的访问频率或者仅根据目标资源被访问的频率,判断目标域名是否受到攻 击,而造成的网络攻击检测准确率低的技术问题。
[0007] 根据本发明实施例的一个方面,提供了一种网络攻击检测方法,包括:获取在待检 测时段内,访问源访问目标资源的次数,其中,目标资源为与目标域名相关联的至少一个资 源;根据访问源访问目标资源的次数,计算待检测条件熵,其中,待检测条件熵为在待检测 时段内,当目标资源被访问时访问源的条件熵;判断待检测条件熵是否落入第一检测数据 集,其中,在判断出待检测条件熵落入第一检测数据集的情况下,确定在待检测时段内,目 标域名受到攻击。
[0008] 根据本发明实施例的另一方面,还提供了一种网络攻击检测装置,包括:第一获取 模块,用于获取在待检测时段内,访问源访问目标资源的次数,其中,目标资源为与目标域 名相关联的至少一个资源;第一计算模块,用于根据访问源访问目标资源的次数,计算待检 测条件熵,其中,待检测条件熵为在待检测时段内,当目标资源被访问时访问源的条件熵; 第一判断模块,用于判断待检测条件熵是否落入第一检测数据集,其中,在判断出待检测条 件熵落入第一检测数据集的情况下,确定在待检测时段内,目标域名受到攻击。
[0009] 在本发明实施例中,采用计算待检测时段内,当目标资源被访问时访问源的条件 熵以得到待检测条件熵的方式,通过判断待检测条件熵是否落入第一检测数据集,达到了 在判断出待检测条件熵落入第一检测数据集的情况下,确定在待检测时段内,目标域名受 到攻击的目的,从而实现了综合考虑访问源的访问频率与目标资源的被访问频率之间的关 联关系,达到较高的检测精度的技术效果,进而解决了由于相关技术中仅根据访问源的访 问频率或者仅根据目标资源被访问的频率,判断目标域名是否受到攻击,而造成的网络攻 击检测准确率低的技术问题。
【附图说明】
[0010] 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0011] 图1是根据本发明实施例一的一种可选的网络攻击检测方法的流程示意图;
[0012] 图2是根据本发明图1所示实施例的一种可选的网络攻击检测方法的流程图;
[0013] 图3是根据本发明具体实例的对待检测时段内目标域名被访问次数进行卡尔曼 滤波的结果示意图;
[0014] 图4是根据本发明具体实例的条件熵值的聚类结果示意图;
[0015] 图5是根据本发明具体实例的平均访问数的聚类结果示意图;以及
[0016] 图6是是根据本发明实施例二的一种可选的网络攻击检测装置的结构示意图;
【具体实施方式】
[0017] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的 附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是 本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术 人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范 围。
[0018] 需要说明的是,本发明的说明书和权利要求书及上述附图中的术语"第一"、"第 二"等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用 的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或 描述的那些以外的顺序实施。此外,术语"包括"和"具有"以及他们的任何变形,意图在于 覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限 于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产 品或设备固有的其它步骤或单元。
[0019] 根据本发明实施例,提供了一种网络攻击检测方法的方法实施例,需要说明的是, 在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并 且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所 示出或描述的步骤。
[0020] 图1是根据本发明实施例的网络攻击检测方法,如图1所示,该方法包括如下步 骤:
[0021] 步骤S102,获取在待检测时段内,访问源访问目标资源的次数,其中,目标资源为 与目标域名相关联的至少一个资源;
[0022] 在本发明上述步骤S102中,待检测时段指需要判断是否被攻击的一段时间,待检 测时段的长度可以为一分钟到几十分钟。访问源是指访问目标域名中目标资源的终端,可 以为计算机终端、移动终端、代理服务器等。访问源通过互联网访问目标资源,故而也可以 通过访问源使用的IP地址来标识访问源。访问源既包括正常访问目标资源的终端,也包括 蓄意发起网络攻击的终端。在本发明实施例中,目标域名可以指被访问源访问的网站域名。 与目标域名相关联的目标资源既包括静态资源,也包括非静态资源。非静态资源例如动态 页面。目标资源可以通过同一资源标识符(URI)来标识。
[0023] 步骤S104,根据访问源访问目标资源的次数,计算待检测条件熵,其中,待检测条 件熵为在待检测时段内,当目标资源被访问时访问源的条件熵;
[0024] 在本发明上述步骤S104中,条件熵通常用H(X|Y)表示,意为考虑到Y各种可能 值,在已知Y的情况下(不特指Y的某一个具体值,而是泛指Y的值已知),X发生的条件 熵,也可以说,意为将根据每一个Y的具体值求得的X的熵按照每一个Y出现的概率做加权 平均。在本申请中,当至少一个访问源访问至少一个目标资源时,当目标资源被访问时访问 源的条件熵可用通过H(访问源I目标资源)来形象表示。可选的,其含义可以解释为:在 已知目标资源被访问次数时(不特指某一个目标资源被访问次数,而是泛指目标资源被访 问次数已知),访问源(同样不特指)访问目标资源的平均不确定度。
[0025] 在本发明实施例中,给出如下一种可选的计算方法。
[0026] 首先,可以计算:当目标资源被访问次数为某一个值(例如Yj)时,访问源访问次 数X的条件熵,公式如下:
示第i个访问源访问目标资源的次数,Yj表示第j个目标资源被访问的次数,P(XiIYj)表示 在第j个目标资源被访问的情况下,是第i个访问源访问第j个目标资源的概率,H(XlYj) 表示第j个目标资源的被访问次数为Yj时,访问源X访问目标资源的不确定度。
[0028] 其次,对于每一个Y可能的取值,计算H(XIYj),并取其平均值,可得到当目标资源 被访问次数不特指时访问源访问次数的条件熵,公式如下,
[0030] 步骤S106,判断待检测条件熵是否落入第一检测数据集,其中,在判断出待检测条 件熵落入第一检测数据集的情况下,确定在待检测时段内,目标域名受到攻击。
[0031] 在本发明上述步骤S106中,第一检测数据集可以为预先设定好的数据集,也可以 是综合考虑现在和过去的一大段时间中目标域名被访问情况而实时设定的数据集。当判断 出待检测条件熵没有落入第一检测数据集的情况下,则确定在待检测时段内目标域名未受 到攻击。
[0032] 通过上述步骤S102至步骤S106,通过获取待检测时段内,访问源访问目标资源的 次数,计算得到待检测条件熵,并通过判断待检测条件熵是否落入第一检测数据集,达到了 在判断出待检测条件熵落入第一检测数据集的情况下,确定在待检测时段内,目标域名受 到攻击的目的,从而实现了综合分析多个访问源访问目标资源的频率与多个目标资源的被 访问源访问的频率之间的关联关系,达到较高的检测精度的技术效果,进而解决了由于相 关技术中仅根据访问源的访问频率或者仅根据目标资源被访问的频率,判断目标域名是否 受到攻击,而造成的网络攻击检测准确率低的技术问题。
[0033] 可选地,步骤S106 :判断待检测条件熵是否落入第一检测数据集又包括如下具体 实施步骤:
[0034] 步骤S1062 :使用预设条件对至少一个历史条件熵和待检测条件熵进行聚类,形 成条件熵的聚类结果,其中,历史条件熵为在历史时段内,当目标资源被访问时访问源的条 件熵;
[0035] 在本发明上述步骤S1062中,历史条件熵的算法优选地与待检测条件熵的算法一 致。历史时段可以与待检测时段连续(例如多个历史时段按时间顺序排列后,任意两个相 邻的历史时段之间、以及最后一个历史时段和待检测时段之间在时间上呈现连续性),也可 以与待检测时段相对应(例如历史时段是前一天或前一个小时中与待检测时段相对应的 时段)。在一种可选的应用场景中,将从某一历史时间点到当前待检测时间点的这段时间拆 分为多个历史时段。历史时段的长短也优选地与待检测时段的长短一致,例如当待检测时 段为3分钟时,历史时段也优选为3分钟,以使得获得更准确的检测结果。当历史时段的长 短与待检测时段长短一致时,历史时间点的选择决定历史时段和历