Implementation of this application provides attack detection method and apparatus in obtaining user identification and access request in URL; determine the packet identification preset URL packets of the URL ownership; access behavior and construct a contains the user identification and description of the group identification information contained in the number of long; if the user ID and preset the packet access identifier description information is greater than the preset threshold, it is determined to attack detection. In this way, this application is equivalent to abstracting user's access behavior into user's behavior description information. User behavior description information is constructed based on user identification and access to the URL packet identifier, which can improve the accuracy of the detection results relative to existing technologies only through IP addresses.
【技术实现步骤摘要】
攻击检测方法和装置
本申请的实施方式涉及网络安全领域,更具体地,本申请的实施方式涉及攻击检测方法和装置。
技术介绍
本部分旨在为权利要求书中陈述的本申请的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。目前,随着网络能够为用户提供的内容越来越多,而且用户数量不断增大,如何提高网络安全成为行业内不但深入解决的问题。具体来说,为了维护网络安全,需要对恶意用户的攻击行为进行检测。相关技术中通常统计同一用户在一定时间段内发送的访问请求的数量。具体的,统计同一IP(InternetProtocol,网络之间互连的协议)地址,在一定时间段内发送的URL(UniformResourceLocator,统一资源定位符)的数量,若该数量超过阈值,则确定检测到攻击行为。并进一步的拦截该IP发送的访问请求。
技术实现思路
出于相关技术中仅通过IP地址来检测是否发生攻击行为的原因,现有技术中,网络攻击检测的检测维度单一,检测结果不够准确。此外,考虑到误判的影响,现有技术中攻击检测的阈值设置的较高,使得攻击检测的灵敏度低。而且,现有技术中,一旦检测到攻击行为,就封锁用户IP,该用户不能够在发送访问请求,在存在误判的情况下,使得误判的用户无法继续进行访问操作,降低用户体验。因此在现有技术中,存在检测维度单一、检测结果不够准确、灵敏度低以及误判率高的问题,使得用户被误判后无法操作,用户整体满意度低,这是非常令人烦恼的过程。为此,非常需要一种改进的攻击检测方法和装置,达到提高检测准确性,降低误判率的目的,并能够提高用户的应用体验。在本上下文中,本申请的实施方式期望提 ...
【技术保护点】
一种攻击检测方法,包括:获取访问请求中的用户标识和统一资源定位符URL;确定所述URL归属的预设URL分组的分组标识;构建一条包含所述用户标识和所述分组标识的访问行为描述信息;若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值,则确定检测到攻击。
【技术特征摘要】
1.一种攻击检测方法,包括:获取访问请求中的用户标识和统一资源定位符URL;确定所述URL归属的预设URL分组的分组标识;构建一条包含所述用户标识和所述分组标识的访问行为描述信息;若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值,则确定检测到攻击。2.根据权利要求1所述的方法,所述若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值,则确定检测到攻击之前,所述方法还包括:确定构建的所述访问行为描述信息不在访问行为白名单中;和/或,确定所述用户标识不在攻击者名单中。3.根据权利要求2所述的方法,若所述用户标识不在所述攻击者名单中,所述方法还包括:将构建的所述访问行为描述信息提交到预置分析队列中;所述若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值,则确定检测到攻击,具体包括:采用独立的线程处理所述预置分析队列,并若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值,则确定检测到攻击。4.根据权利要求3所述的方法,所述方法还包括:判断所述预置分析队列中的访问行为描述信息总量是否达到指定总量;若是,则丢弃构建的所述访问行为描述信息;若否,则将构建的所述访问行为描述信息提交到预置分析队列中。5.根据权利要求3所述的方法,所述采用独立的线程处理所述预置分析队列,并若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值,则确定检测到攻击,具体包括:采用独立的线程从所述预置分析队列中获取构建的所述访问行为描述信息;并,采用原子操作的方式将分布式内存缓存中记录的包含所述用户标识和所述分组标识的访问行为描述信息的数量累加1,并获取累...
【专利技术属性】
技术研发人员:王远涛,喻立久,
申请(专利权)人:网易无尾熊杭州科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。