網(wǎng)絡(luò)攻擊檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域,具體而言,涉及一種網(wǎng)絡(luò)攻擊檢測方法及裝置。
【背景技術(shù)】
[0002] CC攻擊(ChallengeCollapsar)是應(yīng)用層的一種DDos攻擊方式,其原理基于木桶 理論,主要針對應(yīng)用層中需要較多資源開銷的應(yīng)用進行攻擊,例如頻繁訪問需要占用服務(wù) 器大量的CPU資源進行運算的頁面、或需要大量訪問數(shù)據(jù)庫的應(yīng)用。CC攻擊的主要特點是 攻擊的流量不需要很大,訪問請求數(shù)量也不需要很多,但是卻能占用服務(wù)器大量資源,使服 務(wù)器癱瘓。
[0003] 目前對于CC攻擊的檢測方法大多是從訪問源,例如發(fā)出請求的IP,入手,通過實 時統(tǒng)計IP的請求頻率,并根據(jù)事先設(shè)定的閾值來判斷是否受到攻擊;又或者是從被請求的 資源入手,通過統(tǒng)計資源被訪問的頻率和事先設(shè)定的閾值來判斷是否受到攻擊。
[0004] 然而,不論是統(tǒng)計IP的請求頻率還是目標資源被訪問的頻率,現(xiàn)有技術(shù)中的檢測 方法均考慮得較為片面,沒有綜合考慮訪問整體情況,進而使得在檢測攻擊時經(jīng)常出現(xiàn)漏 檢或者誤檢的情況,檢測精度通常不高。進一步地,事先設(shè)定的閾值也會影響檢測結(jié)果,當 閾值設(shè)定不合理時,檢測結(jié)果準確性也會降低。
[0005] 針對上述的問題,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明實施例提供了一種網(wǎng)絡(luò)攻擊檢測方法及裝置,以至少解決由于相關(guān)技術(shù)中 僅根據(jù)訪問源的訪問頻率或者僅根據(jù)目標資源被訪問的頻率,判斷目標域名是否受到攻 擊,而造成的網(wǎng)絡(luò)攻擊檢測準確率低的技術(shù)問題。
[0007] 根據(jù)本發(fā)明實施例的一個方面,提供了一種網(wǎng)絡(luò)攻擊檢測方法,包括:獲取在待檢 測時段內(nèi),訪問源訪問目標資源的次數(shù),其中,目標資源為與目標域名相關(guān)聯(lián)的至少一個資 源;根據(jù)訪問源訪問目標資源的次數(shù),計算待檢測條件熵,其中,待檢測條件熵為在待檢測 時段內(nèi),當目標資源被訪問時訪問源的條件熵;判斷待檢測條件熵是否落入第一檢測數(shù)據(jù) 集,其中,在判斷出待檢測條件熵落入第一檢測數(shù)據(jù)集的情況下,確定在待檢測時段內(nèi),目 標域名受到攻擊。
[0008] 根據(jù)本發(fā)明實施例的另一方面,還提供了一種網(wǎng)絡(luò)攻擊檢測裝置,包括:第一獲取 模塊,用于獲取在待檢測時段內(nèi),訪問源訪問目標資源的次數(shù),其中,目標資源為與目標域 名相關(guān)聯(lián)的至少一個資源;第一計算模塊,用于根據(jù)訪問源訪問目標資源的次數(shù),計算待檢 測條件熵,其中,待檢測條件熵為在待檢測時段內(nèi),當目標資源被訪問時訪問源的條件熵; 第一判斷模塊,用于判斷待檢測條件熵是否落入第一檢測數(shù)據(jù)集,其中,在判斷出待檢測條 件熵落入第一檢測數(shù)據(jù)集的情況下,確定在待檢測時段內(nèi),目標域名受到攻擊。
[0009] 在本發(fā)明實施例中,采用計算待檢測時段內(nèi),當目標資源被訪問時訪問源的條件 熵以得到待檢測條件熵的方式,通過判斷待檢測條件熵是否落入第一檢測數(shù)據(jù)集,達到了 在判斷出待檢測條件熵落入第一檢測數(shù)據(jù)集的情況下,確定在待檢測時段內(nèi),目標域名受 到攻擊的目的,從而實現(xiàn)了綜合考慮訪問源的訪問頻率與目標資源的被訪問頻率之間的關(guān) 聯(lián)關(guān)系,達到較高的檢測精度的技術(shù)效果,進而解決了由于相關(guān)技術(shù)中僅根據(jù)訪問源的訪 問頻率或者僅根據(jù)目標資源被訪問的頻率,判斷目標域名是否受到攻擊,而造成的網(wǎng)絡(luò)攻 擊檢測準確率低的技術(shù)問題。
【附圖說明】
[0010] 此處所說明的附圖用來提供對本發(fā)明的進一步理解,構(gòu)成本申請的一部分,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當限定。在附圖中:
[0011] 圖1是根據(jù)本發(fā)明實施例一的一種可選的網(wǎng)絡(luò)攻擊檢測方法的流程示意圖;
[0012] 圖2是根據(jù)本發(fā)明圖1所示實施例的一種可選的網(wǎng)絡(luò)攻擊檢測方法的流程圖;
[0013] 圖3是根據(jù)本發(fā)明具體實例的對待檢測時段內(nèi)目標域名被訪問次數(shù)進行卡爾曼 濾波的結(jié)果示意圖;
[0014] 圖4是根據(jù)本發(fā)明具體實例的條件熵值的聚類結(jié)果示意圖;
[0015] 圖5是根據(jù)本發(fā)明具體實例的平均訪問數(shù)的聚類結(jié)果示意圖;以及
[0016] 圖6是是根據(jù)本發(fā)明實施例二的一種可選的網(wǎng)絡(luò)攻擊檢測裝置的結(jié)構(gòu)示意圖;
【具體實施方式】
[0017] 為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實施例中的 附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是 本發(fā)明一部分的實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù) 人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應(yīng)當屬于本發(fā)明保護的范 圍。
[0018] 需要說明的是,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語"第一"、"第 二"等是用于區(qū)別類似的對象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用 的數(shù)據(jù)在適當情況下可以互換,以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或 描述的那些以外的順序?qū)嵤4送?,術(shù)語"包括"和"具有"以及他們的任何變形,意圖在于 覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限 于清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn) 品或設(shè)備固有的其它步驟或單元。
[0019] 根據(jù)本發(fā)明實施例,提供了一種網(wǎng)絡(luò)攻擊檢測方法的方法實施例,需要說明的是, 在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行,并 且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所 示出或描述的步驟。
[0020] 圖1是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)攻擊檢測方法,如圖1所示,該方法包括如下步 驟:
[0021] 步驟S102,獲取在待檢測時段內(nèi),訪問源訪問目標資源的次數(shù),其中,目標資源為 與目標域名相關(guān)聯(lián)的至少一個資源;
[0022] 在本發(fā)明上述步驟S102中,待檢測時段指需要判斷是否被攻擊的一段時間,待檢 測時段的長度可以為一分鐘到幾十分鐘。訪問源是指訪問目標域名中目標資源的終端,可 以為計算機終端、移動終端、代理服務(wù)器等。訪問源通過互聯(lián)網(wǎng)訪問目標資源,故而也可以 通過訪問源使用的IP地址來標識訪問源。訪問源既包括正常訪問目標資源的終端,也包括 蓄意發(fā)起網(wǎng)絡(luò)攻擊的終端。在本發(fā)明實施例中,目標域名可以指被訪問源訪問的網(wǎng)站域名。 與目標域名相關(guān)聯(lián)的目標資源既包括靜態(tài)資源,也包括非靜態(tài)資源。非靜態(tài)資源例如動態(tài) 頁面。目標資源可以通過同一資源標識符(URI)來標識。
[0023] 步驟S104,根據(jù)訪問源訪問目標資源的次數(shù),計算待檢測條件熵,其中,待檢測條 件熵為在待檢測時段內(nèi),當目標資源被訪問時訪問源的條件熵;
[0024] 在本發(fā)明上述步驟S104中,條件熵通常用H(X|Y)表示,意為考慮到Y(jié)各種可能 值,在已知Y的情況下(不特指Y的某一個具體值,而是泛指Y的值已知),X發(fā)生的條件 熵,也可以說,意為將根據(jù)每一個Y的具體值求得的X的熵按照每一個Y出現(xiàn)的概率做加權(quán) 平均。在本申請中,當至少一個訪問源訪問至少一個目標資源時,當目標資源被訪問時訪問 源的條件熵可用通過H(訪問源I目標資源)來形象表示??蛇x的,其含義可以解釋為:在 已知目標資源被訪問次數(shù)時(不特指某一個目標資源被訪問次數(shù),而是泛指目標資源被訪 問次數(shù)已知),訪問源(同樣不特指)訪問目標資源的平均不確定度。
[0025] 在本發(fā)明實施例中,給出如下一種可選的計算方法。
[0026] 首先,可以計算:當目標資源被訪問次數(shù)為某一個值(例如Yj)時,訪問源訪問次 數(shù)X的條件熵,公式如下:
示第i個訪問源訪問目標資源的次數(shù),Yj表示第j個目標資源被訪問的次數(shù),P(XiIYj)表示 在第j個目標資源被訪問的情況下,是第i個訪問源訪問第j個目標資源的概率,H(XlYj) 表示第j個目標資源的被訪問次數(shù)為Yj時,訪問源X訪問目標資源的不確定度。
[0028] 其次,對于每一個Y可能的取值,計算H(XIYj),并取其平均值,可得到當目標資源 被訪問次數(shù)不特指時訪問源訪問次數(shù)的條件熵,公式如下,
[0030] 步驟S106,判斷待檢測條件熵是否落入第一檢測數(shù)據(jù)集,其中,在判斷出待檢測條 件熵落入第一檢測數(shù)據(jù)集的情況下,確定在待檢測時段內(nèi),目標域名受到攻擊。
[0031] 在本發(fā)明上述步驟S106中,第一檢測數(shù)據(jù)集可以為預(yù)先設(shè)定好的數(shù)據(jù)集,也可以 是綜合考慮現(xiàn)在和過去的一大段時間中目標域名被訪問情況而實時設(shè)定的數(shù)據(jù)集。當判斷 出待檢測條件熵沒有落入第一檢測數(shù)據(jù)集的情況下,則確定在待檢測時段內(nèi)目標域名未受 到攻擊。
[0032] 通過上述步驟S102至步驟S106,通過獲取待檢測時段內(nèi),訪問源訪問目標資源的 次數(shù),計算得到待檢測條件熵,并通過判斷待檢測條件熵是否落入第一檢測數(shù)據(jù)集,達到了 在判斷出待檢測條件熵落入第一檢測數(shù)據(jù)集的情況下,確定在待檢測時段內(nèi),目標域名受 到攻擊的目的,從而實現(xiàn)了綜合分析多個訪問源訪問目標資源的頻率與多個目標資源的被 訪問源訪問的頻率之間的關(guān)聯(lián)關(guān)系,達到較高的檢測精度的技術(shù)效果,進而解決了由于相 關(guān)技術(shù)中僅根據(jù)訪問源的訪問頻率或者僅根據(jù)目標資源被訪問的頻率,判斷目標域名是否 受到攻擊,而造成的網(wǎng)絡(luò)攻擊檢測準確率低的技術(shù)問題。
[0033] 可選地,步驟S106 :判斷待檢測條件熵是否落入第一檢測數(shù)據(jù)集又包括如下具體 實施步驟:
[0034] 步驟S1062 :使用預(yù)設(shè)條件對至少一個歷史條件熵和待檢測條件熵進行聚類,形 成條件熵的聚類結(jié)果,其中,歷史條件熵為在歷史時段內(nèi),當目標資源被訪問時訪問源的條 件熵;
[0035] 在本發(fā)明上述步驟S1062中,歷史條件熵的算法優(yōu)選地與待檢測條件熵的算法一 致。歷史時段可以與待檢測時段連續(xù)(例如多個歷史時段按時間順序排列后,任意兩個相 鄰的歷史時段之間、以及最后一個歷史時段和待檢測時段之間在時間上呈現(xiàn)連續(xù)性),也可 以與待檢測時段相對應(yīng)(例如歷史時段是前一天或前一個小時中與待檢測時段相對應(yīng)的 時段)。在一種可選的應(yīng)用場景中,將從某一歷史時間點到當前待檢測時間點的這段時間拆 分為多個歷史時段。歷史時段的長短也優(yōu)選地與待檢測時段的長短一致,例如當待檢測時 段為3分鐘時,歷史時段也優(yōu)選為3分鐘,以使得獲得更準確的檢測結(jié)果。當歷史時段的長 短與待檢測時段長短一致時,歷史時間點的選擇決定歷史時段和歷