攻击检测方法和装置制造方法及图纸

本申请的实施方式提供了攻击检测方法和装置，在获取访问请求中的用户标识和URL后；确定所述URL归属的预设URL分组的分组标识；并构建一条包含所述用户标识和所述分组标识的访问行为描述信息；若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。这样，本申请相当于将用户的访问行为抽象成用户行为描述信息。用户行为描述信息是基于用户标识和访问的URL的分组标识构建的，相对于现有技术中仅通过IP地址来检测，能够提高检测结果的准确性。

Attack detection method and device

Implementation of this application provides attack detection method and apparatus in obtaining user identification and access request in URL; determine the packet identification preset URL packets of the URL ownership; access behavior and construct a contains the user identification and description of the group identification information contained in the number of long; if the user ID and preset the packet access identifier description information is greater than the preset threshold, it is determined to attack detection. In this way, this application is equivalent to abstracting user's access behavior into user's behavior description information. User behavior description information is constructed based on user identification and access to the URL packet identifier, which can improve the accuracy of the detection results relative to existing technologies only through IP addresses.

【技术实现步骤摘要】
攻击检测方法和装置
本申请的实施方式涉及网络安全领域，更具体地，本申请的实施方式涉及攻击检测方法和装置。
技术介绍
本部分旨在为权利要求书中陈述的本申请的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。目前，随着网络能够为用户提供的内容越来越多，而且用户数量不断增大，如何提高网络安全成为行业内不但深入解决的问题。具体来说，为了维护网络安全，需要对恶意用户的攻击行为进行检测。相关技术中通常统计同一用户在一定时间段内发送的访问请求的数量。具体的，统计同一IP(InternetProtocol，网络之间互连的协议)地址，在一定时间段内发送的URL(UniformResourceLocator，统一资源定位符)的数量，若该数量超过阈值，则确定检测到攻击行为。并进一步的拦截该IP发送的访问请求。
技术实现思路
出于相关技术中仅通过IP地址来检测是否发生攻击行为的原因，现有技术中，网络攻击检测的检测维度单一，检测结果不够准确。此外，考虑到误判的影响，现有技术中攻击检测的阈值设置的较高，使得攻击检测的灵敏度低。而且，现有技术中，一旦检测到攻击行为，就封锁用户IP，该用户不能够在发送访问请求，在存在误判的情况下，使得误判的用户无法继续进行访问操作，降低用户体验。因此在现有技术中，存在检测维度单一、检测结果不够准确、灵敏度低以及误判率高的问题，使得用户被误判后无法操作，用户整体满意度低，这是非常令人烦恼的过程。为此，非常需要一种改进的攻击检测方法和装置，达到提高检测准确性，降低误判率的目的，并能够提高用户的应用体验。在本上下文中，本申请的实施方式期望提供一种攻击检测方法和装置。在本申请实施方式的第一方面中，提供了一种攻击检测方法，包括：获取访问请求中的用户标识和URL；确定所述URL归属的预设URL分组的分组标识；构建一条包含所述用户标识和所述分组标识的访问行为描述信息；若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。进一步的，所述若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击之前，所述方法还包括：确定构建的所述访问行为描述信息不在访问行为白名单中；和/或，确定所述用户标识不在攻击者名单中。进一步的，若所述用户标识不在所述攻击者名单中，所述方法还包括：将构建的所述访问行为描述信息提交到预置分析队列中；所述若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击，具体包括：采用独立的线程处理所述预置分析队列，并若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。进一步的，所述方法还包括：判断所述预置分析队列中的访问行为描述信息总量是否达到指定总量；若是，则丢弃构建的所述访问行为描述信息；若否，则将构建的所述访问行为描述信息提交到预置分析队列中。进一步的，所述采用独立的线程处理所述预置分析队列，并若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击，具体包括：采用独立的线程从所述预置分析队列中获取构建的所述访问行为描述信息；并，采用原子操作的方式将分布式内存缓存中记录的包含所述用户标识和所述分组标识的访问行为描述信息的数量累加1，并获取累加结果；若在预设时长内所述累加结果大于所述预设阈值，则确定检测到攻击。进一步的，所述获取访问请求中的用户标识和统一资源定位符URL之前，所述方法还包括：确定自动熔断开关处于关闭状态；所述方法还包括：若第一指定时长内未获取到累加结果的次数超过第一预设次数，则配置所述自动熔断开关处于打开状态。进一步的，所述确定构建的所述访问行为描述信息不在访问行为白名单中，具体包括：确定构建的所述访问行为描述信息不在分布式内存缓存中存储的访问行为白名单中；所述确定所述用户标识不在攻击者名单中，具体包括：确定所述用户标识不在分布式内存缓存中存储的攻击者名单中。进一步的，所述获取访问请求中的用户标识和统一资源定位符URL之前，所述方法还包括：确定自动熔断开关处于关闭状态；所述方法还包括：若第二指定时长内确定访问行为描述信息是否在访问行为白名单中的操作和/或确定用户标识是否在攻击者名单中的操作的超时的总次数超过第二预设次数，则配置所述自动熔断开关处于打开状态。进一步的，若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，所述方法还包括：若确定所述用户标识不在所述攻击者名单中，则将所述用户标识添加到所述攻击者名单中。进一步的，确定所述URL归属的预设URL分组的分组标识，具体包括：确定所述URL与满足预设正则规则的URL集合中的URL类是否匹配；若匹配，则将匹配的URL类对应的分组标识、确定为所述URL归属的预设URL分组的分组标识。进一步的，所述方法还包括：接收携带至少一组URL分组的攻击检测参数的配置指令；根据所述配置指令配置所述至少一组攻击检测参数；其中，所述攻击检测参数包括：对应URL分组的所述预设时长、对应URL分组和对应URL分组的所述预设阈值。进一步的，若确定所述用户标识在所述攻击者名单中，所述方法还包括：请求用于发送所述访问请求的终端返回指定的需要手动输入的验证信息；若所述终端返回正确的验证信息，则将构建的所述用户访问行为描述信息添加到所述访问行为白名单中；以及，将所述访问请求所请求的数据发送给所述终端。进一步的，所述确定检测到攻击之后，所述方法还包括：输出遭到攻击的报警提示。进一步的，所述获取访问请求中的用户标识和统一资源定位符URL之前，所述方法还包括：确定手动拦截校验开关处于关闭状态、且自动检测开关处于打开状态、以及所述访问请求对应的IP地址不在预置的IP地址白名单中。进一步的，所述方法还包括：针对所述访问行为白名单中的每一条访问行为描述信息，若该条访问行为描述信息在所述访问行为白名单中的存储时长大于第一预设存储时长，则删除该条访问行为描述信息；针对所述攻击者名单中的每一个用户标识，若该用户标识在所述攻击者名单中的存储时长大于第二预设存储时长，则删除该用户标识。在本申请实施方式的第二方面中，提供了一种攻击检测装置，包括：URL获取模块，用于获取访问请求中的用户标识和URL；分组标识确定模块，用于确定所述URL归属的预设URL分组的分组标识；构建模块，用于构建一条包含所述用户标识和所述分组标识的访问行为描述信息；检测模块，用于若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。在本申请实施方式的第三方面中，提供了一种攻击检测设备，例如，可以包括存储器和处理器，其中，处理器可以用于读取存储器中的程序，执行下列过程：获取访问请求中的用户标识和URL；确定所述URL归属的预设URL分组的分组标识；构建一条包含所述用户标识和所述分组标识的访问行为描述信息；若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。在本申请实施方式的第四方面中，提供了一种程序产品，其包括程序代码，当所述程序产品运行时，所述程序代码用于执行以下过程：获取本文档来自技高网...

【技术保护点】
一种攻击检测方法，包括：获取访问请求中的用户标识和统一资源定位符URL；确定所述URL归属的预设URL分组的分组标识；构建一条包含所述用户标识和所述分组标识的访问行为描述信息；若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。

【技术特征摘要】
1.一种攻击检测方法，包括：获取访问请求中的用户标识和统一资源定位符URL；确定所述URL归属的预设URL分组的分组标识；构建一条包含所述用户标识和所述分组标识的访问行为描述信息；若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。2.根据权利要求1所述的方法，所述若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击之前，所述方法还包括：确定构建的所述访问行为描述信息不在访问行为白名单中；和/或，确定所述用户标识不在攻击者名单中。3.根据权利要求2所述的方法，若所述用户标识不在所述攻击者名单中，所述方法还包括：将构建的所述访问行为描述信息提交到预置分析队列中；所述若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击，具体包括：采用独立的线程处理所述预置分析队列，并若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。4.根据权利要求3所述的方法，所述方法还包括：判断所述预置分析队列中的访问行为描述信息总量是否达到指定总量；若是，则丢弃构建的所述访问行为描述信息；若否，则将构建的所述访问行为描述信息提交到预置分析队列中。5.根据权利要求3所述的方法，所述采用独立的线程处理所述预置分析队列，并若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击，具体包括：采用独立的线程从所述预置分析队列中获取构建的所述访问行为描述信息；并，采用原子操作的方式将分布式内存缓存中记录的包含所述用户标识和所述分组标识的访问行为描述信息的数量累加1，并获取累...

【专利技术属性】
技术研发人员：王远涛，喻立久，
申请(专利权)人：网易无尾熊杭州科技有限公司，
类型：发明
国别省市：浙江,33