分辨爬虫和CC攻击的方法、装置、电子设备及存储介质与流程

本发明涉及移动互联网领域，具体而言，涉及一种分辨爬虫和cc攻击的方法、装置、电子设备及存储介质。

背景技术：

cc(challengecollapsar)攻击作为拒绝服务攻击的一种，通过模拟客户端向http服务器快速发送大量请求，达到消耗服务器资源，造成正常用户无法访问的目的。网络爬虫也是通过模拟客户端向http服务器发送请求，与cc攻击不同的是，爬虫的目的在于获取url对应的资源数据。

因此，作为监控网络安全的一方，都希望能够准确分辨出用户访问的url(uniformresourcelocator)属于正常访问还是属于cc攻击或者网络爬虫。

技术实现要素：

有鉴于此，本发明实施例的目的在于提供一种分辨爬虫和cc攻击的方法、装置，以分辨爬虫和cc攻击。

第一方面，本发明实施例提供了一种分辨爬虫和cc攻击的方法，所述方法包括：获取至少两个由同一用户访问的url；计算每两两所述url之间的距离，得到多个距离值；将所述多个距离值进行累加得到表征所述用户访问的离散度的距离和；在判断所述距离和不属于预先保存的阈值范围时，确定所述用户的访问为爬虫访问或者为cc攻击。通过该方法，可以在用户所访问的url的离散度不属于预先保存的阈值范围时，确定用户的访问为爬虫访问或者为cc攻击。

结合第一方面的一种实施方式，所述阈值范围包括阈值上限以及阈值下限，在判断所述距离和不属于预先保存的阈值范围时，确定所述用户的访问为爬虫访问或者为cc攻击，包括：在判断所述距离和小于所述阈值下限时，确定所述用户的访问为cc攻击；在判断所述距离和大于所述阈值上限时，确定所述用户的访问为爬虫。通过该方法，在用户所访问的url的离散度小于所述阈值下限时，确定所述用户的访问为cc攻击，在用户所访问的url的离散度大于所述阈值上限时，确定所述用户的访问为爬虫。

结合第一方面的一种实施方式，计算每两两所述url之间的距离，包括：将待计算的每个所述url所包括的内容按照第一预设顺序组成一个包含n个元素的数组，其中，所述数组包含一个参数元素以及至少一个字符串元素；针对待计算的每两个所述url所对应的两个数组，按照第二预设规则比对所述两个数组所包括的所述字符串元素以及按照第三预设规则比对所述两个数组所包括的所述参数元素，得到与所述待计算的每两个所述url对应的比较结果数组；根据第四预设规则，将所述比较结果数组转换成一个数值，所述数值为所述待计算的每两个所述url之间的距离。

结合第一方面的一种实施方式，每个所述url包括host、path以及arguments；将待计算的每个所述url所包括的内容按照第一预设顺序组成一个包含n个元素的数组，包括：针对每个所述url，将与该url所对应的host按照排列顺序根据“.”进行拆分，得到至少一个host元素，将与该url所对应的path按照排列顺序根据“/”进行拆分，得到至少一个path元素，将与该url所对应的arguments根据“&”进行拆分，得到arguments元素；将所述至少一个host元素、所述至少一个path元素以及所述arguments元素组成一个包含n个元素的数组其中，将所述arguments元素填入a0，形成所述参数元素，将所述至少一个host元素经过逆序排序且将所述至少一个path元素顺序排序后依次填入an-1到a1，形成所述字符串元素。

结合第一方面的一种实施方式，针对待计算的每两个所述url所对应的两个数组，按照第二预设规则比对所述两个数组所包括的所述字符串元素以及按照第三预设规则比对所述两个数组所包括的所述参数元素，得到与所述待计算的每两个所述url对应的比较结果数组，包括：构建一个元素个数为n的比较结果数组针对待计算的每两个所述url所对应的两个数组以及中的字符串元素，若处于同一元素下标的两个元素相同，则将所述比较结果数组中与所述元素下标所对应的元素置0，否则置得到所述cn-1，cn-2，…c1；针对所述待计算的每两个所述url所对应的两个数组中的参数元素，将所述a0与所述b0取交集后得到的个数除以所述a0与所述b0取并集后得到的个数将得到的结果作为所述结果数组中的c0。

结合第一方面的一种实施方式，根据第四预设规则，将所述比较结果数组转换成一个数值，包括：基于公式将所述比较结果数组转换成一个数值，其中，所述d为所述数值。

第二方面，本发明实施例提供了一种分辨爬虫和cc攻击的装置，所述装置包括：获取模块，用于获取至少两个由同一用户访问的url；计算模块，用于计算每两两所述url之间的距离，得到多个距离值；所述计算模块，还用于将所述多个距离值进行累加得到表征所述用户访问的离散度的距离和；判断执行模块，用于在判断所述距离和不属于预先保存的阈值范围时，确定所述用户的访问为爬虫访问或者为cc攻击。

第三方面，本发明实施例提供一种电子设备，包括存储器以及处理器，所述存储器内存储有计算机程序，当所述计算机程序被所述处理器执行时，使得所述电子设备执行第一方面中任一项所述的方法。

第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如第一方面中任一项所述的方法。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的电子设备的结构框图；

图2为本发明第一实施例提供的分辨爬虫和cc攻击的方法的流程图；

图3为本发明第二实施例提供的分辨爬虫和cc攻击的装置的结构框图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和展示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

如图1所示，是电子设备100的方框示意图。所述电子设备100可以是个人电脑(personalcomputer，pc)、平板电脑、智能手机、个人数字助理(personaldigitalassistant，pda)等。所述电子设备100包括：分辨爬虫和cc攻击的装置、存储器110、存储控制器120、处理器130、外设接口140、输入输出单元150、音频单元160、显示单元170。

所述存储器110、存储控制器120、处理器130、外设接口140、输入输出单元150、音频单元160以及显示单元170各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述分辨爬虫和cc攻击的装置包括至少一个可以软件或固件(firmware)的形式存储于所述存储器110中或固化在客户端设备的操作系统(operatingsystem，os)中的软件功能模块。所述处理器130用于执行存储器110中存储的可执行模块，例如所述分辨爬虫和cc攻击的装置包括的软件功能模块或计算机程序。

其中，存储器110可以是，但不限于，随机存取存储器(randomaccessmemory，ram)，只读存储器(readonlymemory，rom)，可编程只读存储器(programmableread-onlymemory，prom)，可擦除只读存储器(erasableprogrammableread-onlymemory，eprom)，电可擦除只读存储器(electricerasableprogrammableread-onlymemory，eeprom)等。其中，存储器110用于存储程序，所述处理器130在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流程定义的电子设备100所执行的方法可以应用于处理器130中，或者由处理器130实现。

处理器130可能是一种集成电路芯片，具有信号的处理能力。上述的处理器130可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述外设接口140将各种输入/输出装置耦合至处理器130以及存储器110。在一些实施例中，外设接口140，处理器130以及存储控制器120可以在单个芯片中实现。在其他一些实例中，他们可以分别由独立的芯片实现。

输入输出单元150用于提供给用户输入数据实现用户与电子设备100的交互。所述输入输出单元150可以是，但不限于，鼠标和键盘等。

音频单元160向用户提供音频接口，其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。

显示单元170在电子设备100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中，所述显示单元170可以是液晶显示器或触控显示器。若为触控显示器，其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作，并将该感应到的触控操作交由处理器130进行计算和处理。

第一实施例

请参照图2，图2是本发明第一实施例提供的一种分辨爬虫和cc攻击的方法的流程图,所述方法应用于电子设备。下面将对图2所示的流程进行详细阐述，所述方法包括：

步骤s110：获取至少两个由同一用户访问的url。

正常用户的访问url之间是具有一定规律的，既不会短时间大量重复访问某一个或一类url，也不会短时间访问大量分散的url。

因此，在分辨某个用户的访问是否是正常访问时，可以在http的服务器上，收集该用户最近k次的访问url。其中，k为大于1的整数。

步骤s120：计算每两两所述url之间的距离，得到多个距离值。

下面以计算两个url(a、b)之间的距离为例来进行介绍。

将待计算的每个所述url所包括的内容按照第一预设顺序组成一个包含n个元素的数组，其中，所述数组包含一个参数元素以及至少一个字符串元素。

对应于urla，其对应的数组为其中，an-1到a1为字符串元素，a0为参数元素；对应于urlb，其对应的数组为其中，bn-1到b1为字符串元素，b0为参数元素。

可选的，每个所述url至少包括host、path以及arguments三部分。host是主机名，通常使用域名，按照“.”进行分割按照级别倒叙排列，从前到后级别依次升高，范围逐渐加大。例如www.a.com是a.com的子域名而a.com又是com的子域名。path用于标识资源在当前主机上的路径，与本地路径名相似，由多层文件夹和文件名组成，例如/news/sport/ball.html有两次目录news与sport，最终文件名为ball.html。arguments通常存在于path之后，用“？”与path分割，arguments可以包含多个参数由“&”分割，例如在www.a.com/news/sport/ball.html？date＝20180922&size＝5中date＝20180101&size＝5是arguments部分，并且包含date和size两个参数。在将待计算的每个所述url所包括的内容按照第一预设顺序组成一个包含n个元素的数组时，可以将与该url所对应的host按照排列顺序根据“.”进行拆分，得到至少一个host元素，将与该url所对应的path按照排列顺序根据“/”进行拆分，得到至少一个path元素，将与该url所对应的arguments根据“&”进行拆分，得到arguments元素；将所述至少一个host元素、所述至少一个path元素以及所述arguments元素组成一个包含n个元素的数组其中，将所述arguments元素填入a0，形成所述参数元素，将所述至少一个host元素经过逆序排序且将所述至少一个path元素顺序排序后依次填入an-1到a1，形成所述字符串元素。

可选的，可能存在某个url的host与path拆分成字符串元素后，得到的元素个数小于n-1的情况或者大于n-1的情况。此时，若将host与path拆分成字符串元素后，得到的元素个数小于n-1，那么不足的元素个数用空格替代，若将host与path拆分成字符串元素后，得到的元素个数大于n-1，那么将超出部分的字符串元素舍弃，数组的最后一位始终用于存放参数元素。

例如在url为“http://www.a.com/news/sport/201809/1.html？x＝1&y＝5”中，host为www.a.com，path为news/1.html，arguments为x＝1&y＝5。

当n＝10时，与该url对应的数组内容如下：

("com","a","www","news","sport","201809","1.html","","",""，{"x＝1","y＝5"})

当n＝5时数组内容如下：

("com","a","www","news","sport"，{"x＝1","y＝5"})。

当然，值得指出的是，对于待计算的两个url而言，其数组对应的n值相同。

针对待计算的每两个所述url所对应的两个数组，按照第二预设规则比对所述两个数组所包括的所述字符串元素以及按照第三预设规则比对所述两个数组所包括的所述参数元素，得到与所述待计算的每两个所述url对应的比较结果数组；根据第四预设规则，将所述比较结果数组转换成一个数值，所述数值为所述待计算的每两个所述url之间的距离。

可选的，针对待计算的每两个所述url所对应的两个数组，按照第二预设规则比对所述两个数组所包括的所述字符串元素以及按照第三预设规则比对所述两个数组所包括的所述参数元素，得到与所述待计算的每两个所述url对应的比较结果数组时，可以先构建一个元素个数为n的比较结果数组然后针对待计算的每两个所述url所对应的两个数组以及中的字符串元素，若处于同一元素下标的两个元素相同，则将所述比较结果数组中与所述元素下标所对应的元素置0，否则置得到所述cn-1，cn-2，…c1。

针对所述待计算的每两个所述url所对应的两个数组中的参数元素，由于参数属于各个层级的最低的一部分，参数本身不具有顺序(即x＝5&y＝2与y＝2&x＝5的意义是一样的)，所以将参数元素切分成一个无序的集合，通过交集和并集的数量比值定义两个集合的相似程度，即将所述a0与所述b0取交集后得到的个数除以所述a0与所述b0取并集后得到的个数将得到的结果作为所述结果数组中的c0。

在得到比较结果数组后，可以根据第四预设规则，将所述比较结果数组转换成一个数值。可选的，可以基于公式将所述比较结果数组转换成一个数值，其中，所述d为所述数值。

步骤s130：将所述多个距离值进行累加得到表征所述用户访问的离散度的距离和。

最后计算该用户最后k次访问的url两两之间的距离之和，判断是否是cc攻击或者爬虫。例如某用户最近3次访问的url是x,y和z。距离总和为d(x,y)+d(y,z)+d(x,z)。

步骤s140：在判断所述距离和不属于预先保存的阈值范围时，确定所述用户的访问为爬虫访问或者为cc攻击。

所述阈值范围包括阈值上限以及阈值下限，在判断所述距离和不属于预先保存的阈值范围时，确定所述用户的访问为爬虫访问或者为cc攻击，包括：在判断所述距离和小于所述阈值下限时，确定所述用户的访问为cc攻击；在判断所述距离和大于所述阈值上限时，确定所述用户的访问为爬虫。

本发明第一实施例提供的一种分辨爬虫和cc攻击的方法，先获取至少两个由同一用户访问的url；然后计算每两两所述url之间的距离，得到多个距离值；然后将所述多个距离值进行累加得到表征所述用户访问的离散度的距离和；在判断所述距离和不属于预先保存的阈值范围时，确定所述用户的访问为爬虫访问或者为cc攻击。

第二实施例

请参照图3，图3是本发明第二实施例提供的一种分辨爬虫和cc攻击的装置400的结构框图。下面将对图3所示的结构框图进行阐述，所示装置包括：

获取模块410，用于获取至少两个由同一用户访问的url；

计算模块420，用于计算每两两所述url之间的距离，得到多个距离值；

所述计算模块420，还用于将所述多个距离值进行累加得到表征所述用户访问的离散度的距离和；

判断执行模块430，用于在判断所述距离和不属于预先保存的阈值范围时，确定所述用户的访问为爬虫访问或者为cc攻击。

可选的，所述阈值范围包括阈值上限以及阈值下限，所述判断执行模块430，用于在判断所述距离和小于所述阈值下限时，确定所述用户的访问为cc攻击；在判断所述距离和大于所述阈值上限时，确定所述用户的访问为爬虫。

可选的，所述计算模块420，用于将待计算的每个所述url所包括的内容按照第一预设顺序组成一个包含n个元素的数组，其中，所述数组包含一个参数元素以及至少一个字符串元素；针对待计算的每两个所述url所对应的两个数组，按照第二预设规则比对所述两个数组所包括的所述字符串元素以及按照第三预设规则比对所述两个数组所包括的所述参数元素，得到与所述待计算的每两个所述url对应的比较结果数组；根据第四预设规则，将所述比较结果数组转换成一个数值，所述数值为所述待计算的每两个所述url之间的距离。

每个所述url包括host、path以及arguments；可选的，所述计算模块420，用于针对每个所述url，将与该url所对应的host按照排列顺序根据“.”进行拆分，得到至少一个host元素，将与该url所对应的path按照排列顺序根据“/”进行拆分，得到至少一个path元素，将与该url所对应的arguments根据“&”进行拆分，得到arguments元素；将所述至少一个host元素、所述至少一个path元素以及所述arguments元素组成一个包含n个元素的数组其中，将所述arguments元素填入a0，形成所述参数元素，将所述至少一个host元素经过逆序排序且将所述至少一个path元素顺序排序后依次填入an-1到a1，形成所述字符串元素。

可选的，所述计算模块420，用于构建一个元素个数为n的比较结果数组针对待计算的每两个所述url所对应的两个数组以及中的字符串元素，若处于同一元素下标的两个元素相同，则将所述比较结果数组中与所述元素下标所对应的元素置0，否则置1，得到所述cn-1，cn-2，…c1；针对所述待计算的每两个所述url所对应的两个数组中的参数元素，将所述a0与所述b0取交集后得到的个数除以所述a0与所述b0取并集后得到的个数，将得到的结果作为所述结果数组中的c0。

可选的，所述计算模块420，用于基于公式将所述比较结果数组转换成一个数值，其中，所述d为所述数值。

本实施例对分辨爬虫和cc攻击的装置400的各功能模块实现各自功能的过程，请参见上述图1至图2所示实施例中描述的内容，此处不再赘述。

此外，本发明实施例还提供一种电子设备，其结构可以如图1所示，包括相互耦合的存储器、处理器，所述存储器内存储计算机程序，当所述计算机程序被所述处理器执行时，使得所述电子设备执行本发明任一项实施方式所提供的分辨爬虫和cc攻击的方法。

此外，本发明实施例还提供了一种计算机可读存储介质，在该计算机可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行本发明任一项实施方式所提供的分辨爬虫和cc攻击的方法。

综上所述，本发明实施例提出的分辨爬虫和cc攻击的方法、装置、电子设备及存储介质，先获取至少两个由同一用户访问的url；然后计算每两两所述url之间的距离，得到多个距离值；然后将所述多个距离值进行累加得到表征所述用户访问的离散度的距离和；在判断所述距离和不属于预先保存的阈值范围时，确定所述用户的访问为爬虫访问或者为cc攻击。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。