網(wǎng)絡(luò)攻擊檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域�,具體而言�,涉及一種網(wǎng)絡(luò)攻擊檢測方法及裝置���。
【背景技術(shù)】
[0002] CC攻擊(ChallengeCollapsar)是應(yīng)用層的一種DDos攻擊方式����,其原理基于木桶 理論��,主要針對應(yīng)用層中需要較多資源開銷的應(yīng)用進行攻擊��,例如頻繁訪問需要占用服務(wù) 器大量的CPU資源進行運算的頁面���、或需要大量訪問數(shù)據(jù)庫的應(yīng)用�����。CC攻擊的主要特點是 攻擊的流量不需要很大���,訪問請求數(shù)量也不需要很多,但是卻能占用服務(wù)器大量資源�����,使服 務(wù)器癱瘓。
[0003] 目前對于CC攻擊的檢測方法大多是從訪問源���,例如發(fā)出請求的IP��,入手���,通過實 時統(tǒng)計IP的請求頻率,并根據(jù)事先設(shè)定的閾值來判斷是否受到攻擊���;又或者是從被請求的 資源入手�,通過統(tǒng)計資源被訪問的頻率和事先設(shè)定的閾值來判斷是否受到攻擊�����。
[0004] 然而��,不論是統(tǒng)計IP的請求頻率還是目標資源被訪問的頻率�����,現(xiàn)有技術(shù)中的檢測 方法均考慮得較為片面�����,沒有綜合考慮訪問整體情況,進而使得在檢測攻擊時經(jīng)常出現(xiàn)漏 檢或者誤檢的情況�����,檢測精度通常不高�。進一步地�����,事先設(shè)定的閾值也會影響檢測結(jié)果����,當 閾值設(shè)定不合理時,檢測結(jié)果準確性也會降低����。
[0005] 針對上述的問題,目前尚未提出有效的解決方案����。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明實施例提供了一種網(wǎng)絡(luò)攻擊檢測方法及裝置,以至少解決由于相關(guān)技術(shù)中 僅根據(jù)訪問源的訪問頻率或者僅根據(jù)目標資源被訪問的頻率�����,判斷目標域名是否受到攻 擊,而造成的網(wǎng)絡(luò)攻擊檢測準確率低的技術(shù)問題���。
[0007] 根據(jù)本發(fā)明實施例的一個方面�,提供了一種網(wǎng)絡(luò)攻擊檢測方法�,包括:獲取在待檢 測時段內(nèi),訪問源訪問目標資源的次數(shù)���,其中���,目標資源為與目標域名相關(guān)聯(lián)的至少一個資 源;根據(jù)訪問源訪問目標資源的次數(shù)���,計算待檢測條件熵����,其中���,待檢測條件熵為在待檢測 時段內(nèi)��,當目標資源被訪問時訪問源的條件熵��;判斷待檢測條件熵是否落入第一檢測數(shù)據(jù) 集�����,其中�,在判斷出待檢測條件熵落入第一檢測數(shù)據(jù)集的情況下,確定在待檢測時段內(nèi)��,目 標域名受到攻擊���。
[0008] 根據(jù)本發(fā)明實施例的另一方面����,還提供了一種網(wǎng)絡(luò)攻擊檢測裝置����,包括:第一獲取 模塊�,用于獲取在待檢測時段內(nèi),訪問源訪問目標資源的次數(shù)����,其中,目標資源為與目標域 名相關(guān)聯(lián)的至少一個資源���;第一計算模塊�����,用于根據(jù)訪問源訪問目標資源的次數(shù)���,計算待檢 測條件熵���,其中,待檢測條件熵為在待檢測時段內(nèi)���,當目標資源被訪問時訪問源的條件熵�����; 第一判斷模塊���,用于判斷待檢測條件熵是否落入第一檢測數(shù)據(jù)集,其中���,在判斷出待檢測條 件熵落入第一檢測數(shù)據(jù)集的情況下�����,確定在待檢測時段內(nèi)���,目標域名受到攻擊���。
[0009] 在本發(fā)明實施例中,采用計算待檢測時段內(nèi)�����,當目標資源被訪問時訪問源的條件 熵以得到待檢測條件熵的方式�,通過判斷待檢測條件熵是否落入第一檢測數(shù)據(jù)集,達到了 在判斷出待檢測條件熵落入第一檢測數(shù)據(jù)集的情況下��,確定在待檢測時段內(nèi)���,目標域名受 到攻擊的目的,從而實現(xiàn)了綜合考慮訪問源的訪問頻率與目標資源的被訪問頻率之間的關(guān) 聯(lián)關(guān)系�,達到較高的檢測精度的技術(shù)效果,進而解決了由于相關(guān)技術(shù)中僅根據(jù)訪問源的訪 問頻率或者僅根據(jù)目標資源被訪問的頻率��,判斷目標域名是否受到攻擊���,而造成的網(wǎng)絡(luò)攻 擊檢測準確率低的技術(shù)問題����。
【附圖說明】
[0010] 此處所說明的附圖用來提供對本發(fā)明的進一步理解,構(gòu)成本申請的一部分����,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當限定��。在附圖中:
[0011] 圖1是根據(jù)本發(fā)明實施例一的一種可選的網(wǎng)絡(luò)攻擊檢測方法的流程示意圖���;
[0012] 圖2是根據(jù)本發(fā)明圖1所示實施例的一種可選的網(wǎng)絡(luò)攻擊檢測方法的流程圖����;
[0013] 圖3是根據(jù)本發(fā)明具體實例的對待檢測時段內(nèi)目標域名被訪問次數(shù)進行卡爾曼 濾波的結(jié)果示意圖�����;
[0014] 圖4是根據(jù)本發(fā)明具體實例的條件熵值的聚類結(jié)果示意圖�;
[0015] 圖5是根據(jù)本發(fā)明具體實例的平均訪問數(shù)的聚類結(jié)果示意圖;以及
[0016] 圖6是是根據(jù)本發(fā)明實施例二的一種可選的網(wǎng)絡(luò)攻擊檢測裝置的結(jié)構(gòu)示意圖����;
【具體實施方式】
[0017] 為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實施例中的 附圖����,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完整地描述��,顯然��,所描述的實施例僅僅是 本發(fā)明一部分的實施例�,而不是全部的實施例����。基于本發(fā)明中的實施例�,本領(lǐng)域普通技術(shù) 人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應(yīng)當屬于本發(fā)明保護的范 圍�。
[0018] 需要說明的是,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語"第一"��、"第 二"等是用于區(qū)別類似的對象�,而不必用于描述特定的順序或先后次序�����。應(yīng)該理解這樣使用 的數(shù)據(jù)在適當情況下可以互換,以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或 描述的那些以外的順序?qū)嵤?���。此外,術(shù)語"包括"和"具有"以及他們的任何變形����,意圖在于 覆蓋不排他的包含,例如����,包含了一系列步驟或單元的過程、方法����、系統(tǒng)、產(chǎn)品或設(shè)備不必限 于清楚地列出的那些步驟或單元����,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法����、產(chǎn) 品或設(shè)備固有的其它步驟或單元。
[0019] 根據(jù)本發(fā)明實施例�����,提供了一種網(wǎng)絡(luò)攻擊檢測方法的方法實施例,需要說明的是���, 在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行��,并 且�����,雖然在流程圖中示出了邏輯順序�����,但是在某些情況下�����,可以以不同于此處的順序執(zhí)行所 示出或描述的步驟�。
[0020] 圖1是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)攻擊檢測方法����,如圖1所示,該方法包括如下步 驟:
[0021] 步驟S102,獲取在待檢測時段內(nèi)�,訪問源訪問目標資源的次數(shù),其中�����,目標資源為 與目標域名相關(guān)聯(lián)的至少一個資源�;
[0022] 在本發(fā)明上述步驟S102中,待檢測時段指需要判斷是否被攻擊的一段時間���,待檢 測時段的長度可以為一分鐘到幾十分鐘����。訪問源是指訪問目標域名中目標資源的終端�,可 以為計算機終端、移動終端����、代理服務(wù)器等。訪問源通過互聯(lián)網(wǎng)訪問目標資源�,故而也可以 通過訪問源使用的IP地址來標識訪問源。訪問源既包括正常訪問目標資源的終端��,也包括 蓄意發(fā)起網(wǎng)絡(luò)攻擊的終端���。在本發(fā)明實施例中��,目標域名可以指被訪問源訪問的網(wǎng)站域名�。 與目標域名相關(guān)聯(lián)的目標資源既包括靜態(tài)資源,也包括非靜態(tài)資源��。非靜態(tài)資源例如動態(tài) 頁面����。目標資源可以通過同一資源標識符(URI)來標識。
[0023] 步驟S104,根據(jù)訪問源訪問目標資源的次數(shù)����,計算待檢測條件熵,其中�,待檢測條 件熵為在待檢測時段內(nèi),當目標資源被訪問時訪問源的條件熵����;
[0024] 在本發(fā)明上述步驟S104中,條件熵通常用H(X|Y)表示�,意為考慮到Y(jié)各種可能 值,在已知Y的情況下(不特指Y的某一個具體值�����,而是泛指Y的值已知)��,X發(fā)生的條件 熵,也可以說��,意為將根據(jù)每一個Y的具體值求得的X的熵按照每一個Y出現(xiàn)的概率做加權(quán) 平均���。在本申請中,當至少一個訪問源訪問至少一個目標資源時�,當目標資源被訪問時訪問 源的條件熵可用通過H(訪問源I目標資源)來形象表示??蛇x的,其含義可以解釋為:在 已知目標資源被訪問次數(shù)時(不特指某一個目標資源被訪問次數(shù)�,而是泛指目標資源被訪 問次數(shù)已知),訪問源(同樣不特指)訪問目標資源的平均不確定度���。
[0025] 在本發(fā)明實施例中���,給出如下一種可選的計算方法。
[0026] 首先�,可以計算:當目標資源被訪問次數(shù)為某一個值(例如Yj)時,訪問源訪問次 數(shù)X的條件熵��,公式如下:
示第i個訪問源訪問目標資源的次數(shù)���,Yj表示第j個目標資源被訪問的次數(shù)�����,P(XiIYj)表示 在第j個目標資源被訪問的情況下�,是第i個訪問源訪問第j個目標資源的概率,H(XlYj) 表示第j個目標資源的被訪問次數(shù)為Yj時�����,訪問源X訪問目標資源的不確定度���。
[0028] 其次�,對于每一個Y可能的取值�,計算H(XIYj),并取其平均值�,可得到當目標資源 被訪問次數(shù)不特指時訪問源訪問次數(shù)的條件熵,公式如下��,
[0030] 步驟S106,判斷待檢測條件熵是否落入第一檢測數(shù)據(jù)集�,其中,在判斷出待檢測條 件熵落入第一檢測數(shù)據(jù)集的情況下����,確定在待檢測時段內(nèi),目標域名受到攻擊。
[0031] 在本發(fā)明上述步驟S106中�,第一檢測數(shù)據(jù)集可以為預(yù)先設(shè)定好的數(shù)據(jù)集,也可以 是綜合考慮現(xiàn)在和過去的一大段時間中目標域名被訪問情況而實時設(shè)定的數(shù)據(jù)集���。當判斷 出待檢測條件熵沒有落入第一檢測數(shù)據(jù)集的情況下��,則確定在待檢測時段內(nèi)目標域名未受 到攻擊�����。
[0032] 通過上述步驟S102至步驟S106,通過獲取待檢測時段內(nèi),訪問源訪問目標資源的 次數(shù)��,計算得到待檢測條件熵�����,并通過判斷待檢測條件熵是否落入第一檢測數(shù)據(jù)集��,達到了 在判斷出待檢測條件熵落入第一檢測數(shù)據(jù)集的情況下�,確定在待檢測時段內(nèi),目標域名受 到攻擊的目的�����,從而實現(xiàn)了綜合分析多個訪問源訪問目標資源的頻率與多個目標資源的被 訪問源訪問的頻率之間的關(guān)聯(lián)關(guān)系,達到較高的檢測精度的技術(shù)效果���,進而解決了由于相 關(guān)技術(shù)中僅根據(jù)訪問源的訪問頻率或者僅根據(jù)目標資源被訪問的頻率����,判斷目標域名是否 受到攻擊�,而造成的網(wǎng)絡(luò)攻擊檢測準確率低的技術(shù)問題。
[0033] 可選地�,步驟S106 :判斷待檢測條件熵是否落入第一檢測數(shù)據(jù)集又包括如下具體 實施步驟:
[0034] 步驟S1062 :使用預(yù)設(shè)條件對至少一個歷史條件熵和待檢測條件熵進行聚類,形 成條件熵的聚類結(jié)果�����,其中��,歷史條件熵為在歷史時段內(nèi)����,當目標資源被訪問時訪問源的條 件熵;
[0035] 在本發(fā)明上述步驟S1062中��,歷史條件熵的算法優(yōu)選地與待檢測條件熵的算法一 致����。歷史時段可以與待檢測時段連續(xù)(例如多個歷史時段按時間順序排列后,任意兩個相 鄰的歷史時段之間、以及最后一個歷史時段和待檢測時段之間在時間上呈現(xiàn)連續(xù)性)�����,也可 以與待檢測時段相對應(yīng)(例如歷史時段是前一天或前一個小時中與待檢測時段相對應(yīng)的 時段)����。在一種可選的應(yīng)用場景中,將從某一歷史時間點到當前待檢測時間點的這段時間拆 分為多個歷史時段��。歷史時段的長短也優(yōu)選地與待檢測時段的長短一致�����,例如當待檢測時 段為3分鐘時�,歷史時段也優(yōu)選為3分鐘��,以使得獲得更準確的檢測結(jié)果���。當歷史時段的長 短與待檢測時段長短一致時����,歷史時間點的選擇決定歷史時段和歷