【技术实现步骤摘要】
网络攻击检测方法及装置
本专利技术涉及网络安全
,更具体地,是网络攻击检测方法及装置。
技术介绍
在互联网中,终端与服务器进行交互的过程,可能遭受黑客等恶意程序的网络攻击。为了保证网络访问的安全性,通常在终端与服务器的访问路径上部署应用防火墙,基于应用防火墙的防护规则,对访问过程进行攻击检测及攻击处理。目前,应用防火墙主要有两种形式:一种是以硬件服务器作为防火墙的主体,以独立设备的形态接入到网络拓扑结构中;另一种是使用云端应用防火墙,修改访问请求的DNS解析方式将云端应用防火墙入到网络拓扑结构中。终端的访问请求由以上某种形式的应用防火墙进行攻击检测,但上述应用防火墙的攻击检测准确度较低。
技术实现思路
有鉴于此,本专利技术提供了一种网络攻击检测方法和装置,用以提高网络攻击检测准确度。为实现所述目的,本专利技术提供的技术方案如下:第一方面,本专利技术提供了一种网络攻击检测方法,包括:获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求;确定检测特征项,并根据多个目标访问请求确定检测特征项的访问特征值;获得与检测特征项对应的目标检测规则;使用目标检测规则对访问特征值进行判断,获得第一攻击检测结果;第一攻击检测结果用于表示是否存在对同一会话的网络攻击行为。第二方面,本专利技术提供了一种网络攻击检测装置,包括:访问请求获取模块,用于获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求;特征项确定模块,用于确定检测特征项,并根据所述多个目标访问请求确定所述检测特征项的访问特征值;规则获取模块,用于获得与所述检测特征项对应的目标检测规则;第一攻击检测 ...
【技术保护点】
1.一种网络攻击检测方法,其特征在于,包括:获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求;确定检测特征项,并根据所述多个目标访问请求确定所述检测特征项的访问特征值;获得与所述检测特征项对应的目标检测规则;使用所述目标检测规则对所述访问特征值进行判断,获得第一攻击检测结果;所述第一攻击检测结果用于表示是否存在对所述同一会话的网络攻击行为。
【技术特征摘要】
1.一种网络攻击检测方法,其特征在于,包括:获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求;确定检测特征项,并根据所述多个目标访问请求确定所述检测特征项的访问特征值;获得与所述检测特征项对应的目标检测规则;使用所述目标检测规则对所述访问特征值进行判断,获得第一攻击检测结果;所述第一攻击检测结果用于表示是否存在对所述同一会话的网络攻击行为。2.根据权利要求1所述的网络攻击检测方法,其特征在于,所述获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求,包括:获得目标终端向目标服务器发送的属于同一会话的访问请求;从获得的访问请求中,提取属于同一时间段的多个访问请求作为目标访问请求。3.根据权利要求1所述的网络攻击检测方法,其特征在于,所述确定检测特征项,并根据所述多个目标访问请求确定所述检测特征项的访问特征值,包括:确定检测特征项为针对同一对象的访问频次;其中所述同一对象包括:同一所述目标服务器,同一所述目标服务器的同一网址,以及同一所述会话关联的同一网址中的任意一项或多项;确定与所述同一对象对应的目标访问请求,并统计与所述同一对象对应的目标访问请求的个数;将统计的个数作为所述检测特征项的访问特征值。4.根据权利要求1所述的网络攻击检测方法,其特征在于,所述确定检测特征项,并根据所述多个目标访问请求确定所述检测特征项的访问特征值,包括:确定检测特征项为会话关联的网址;分别确定每个所述目标访问请求对应的网址;按照所述目标访问请求的时间先后顺序,为目标访问请求对应的不同的网址分配不同的网址标识,以得到网址标识序列;其中所述网址标识序列作为访问特征值。5.根据权利要求4所述的网络攻击检测方法,其特征在于,所述获得与所述检测特征项对应的目标检测规则,包括:将预先训练的隐马尔可夫模型,确定为与所述检测特征项对应的目标检测规则;所述隐马尔可夫模型用于计算访问请求对应的会话存在网络攻击行为的概率值;所述使用所述目标检测规则对所述访问特征值进行判断,获得第一攻击检测结果,包括:将网址标识序列输入至所述隐马尔可夫模型中,得到多个所述目标访问请求对应的会话存在网络攻击行为的概率值;若所述概率值满足预设的概率阈值,则确定第一攻击检测结果为存在对所述同一会话的网络攻击行为;若所述概率值不满足预设的概率阈值,则确定第一攻击检测结果为不存在对所述同一会话的网络攻击行为。6.根据权利要求1所述的网络攻击检测方法,其特征在于,还包括:获得会话黑名单;其中所述会话黑名单中记录的是第一攻击检测结果为存在网络攻击行为的会话;判断所述同一会话是否包含在所述会话黑名单中,获得第二攻击检测结果;对第一攻击检测结果与第二攻击检测结果进行综合判断,得到目标攻击检测结果。7.根据权利要求1所述的网络攻击检测方法,其特征在于,所述获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求,包括:从消息队列中,获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求;其中消息队列中记录的是,终端向服务器发送的属于同一会话的经过预设检测规则检验为不存在网络攻击行为的访问请求。8.根据权利要求7所述的网络攻击检测方法,其特征在于,所述消息队列中访问请求的记录步骤包括:获得终端向服务器发送的属于同一会话的访问请求;获得预设检测规则;其中所述预设检测规则是针对单个访问请求的字段的检测规则;从访问请求中获取所述预设检测规则所检测字段的字段值;若所述字段值不满足所述预设检测规则,则将所述...
【专利技术属性】
技术研发人员:刘铁铮,
申请(专利权)人:宜人恒业科技发展北京有限公司,普信恒业科技发展北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。