技術領域

本申請涉及網絡安全技術領域，尤其涉及一種網絡攻擊檢測方法及其裝置。

背景技術

網絡安全的基本屬性主要表現為機密性、完整性、合法性和可用性，而攻擊者就是通過一切可能的方法和手段來破壞這些屬性。分布式拒絕服務攻擊（Distributed Denial of Service，簡稱為DDoS）的目的就是破壞網絡的可用性。在互聯網業務中，Web服務已經占有相當大的比例，越來越多的人通過Web提供的服務來獲取和發布信息，所以Web安全也是當今網絡安全的研究熱點。超文本傳輸協議（Hypertext Transfer Protocol，簡稱為HTTP）作為Web應用的關鍵協議，經常被黑客利用來實施DDoS攻擊，并且非常難以檢測和防御。

HTTP-Flood攻擊（基于HTTP協議的DDoS攻擊）的主要目標是Web服務器的網頁。攻擊發生時，攻擊者利用工具偽造或劫持瀏覽器向特定的網站（統一資源定位符，Uniform Resource Locator，簡稱為URL）發送大量的HTTP請求，使服務器忙于向攻擊者提供資源而無法響應其他合法用戶的服務請求，進而使網站達到處理瓶頸，從而達到網站拒絕服務的目的。

一般來說，HTTP-Flood攻擊具有以下幾個特點：

1、發起攻擊比較容易，成本較低，簡單的幾行腳本就能對一個網站發起一個攻擊。

2、難以檢測，因為HTTP屬于標準開放協議，協議格式簡單，容易偽造，攻擊時發起的HTTP請求可以偽造成和正常用戶的請求一模一樣，Web Server無法進行區分。

3、對網站危害較大，一旦網站遭受HTTP-Flood攻擊，小則影響用戶體驗（網站訪問速度變慢），大則可能導致網站癱瘓，無法對外提供服務，對于按流量收費的托管網站，可能需要付出高額的費用。

以上的這些攻擊特點，使得各個網站對防護HTTP-Flood攻擊成為頭等安全事件，現有技術中的HTTP-Flood防護方案都是從網站提供的服務來考慮，進行訪問頻率的檢測或控制。當某個IP地址的訪問在一定時間內超過某個次數，就認為是HTTP-Flood攻擊，還有些方案更精細化一些，將頻率的統計限制在某些指定的URL上或者指定的Cookie值上。

但是，基于訪問頻率的防護技術方案存在著如下的缺陷：

1、和業務高度耦合，需要指定特定的URL或者Cookie才能進行統計，對于業務量（URL數量）比較大的網站，不太容易部署和運維。

2、訪問頻率的閾值難以設定，不同的URL承載的業務不同，訪問量也不同，且給網站服務器造成的壓力也不同，所以不同的URL的訪問閾值很難統一設定，并且正常情況下的訪問頻率和攻擊發生時的訪問頻率很難有一個清晰的閾值來進行設定。

3、單純的IP地址訪問頻率統計，對于共享IP出口的NAT（Network Address Translation，網絡地址轉換）用戶和獨立的IP地址用戶，很容易導致NAT用戶被誤殺。

4、無法檢測分布式的HTTP-Flood攻擊，因為單個攻擊IP地址（肉雞）的訪問頻率都不高，無法達到攻擊的頻率閾值，但幾十萬個IP地址（肉雞）同時發起請求的，也會導致網站拒絕服務。

各大網站迫切需要有更先進的HTTP-Flood檢測方法來規避以上這些缺陷，真正的能夠精確的檢測出HTTP-Flood攻擊。

綜上所述，現有技術中亟待一種HTTP-Flood攻擊檢測技術方案能夠精確而有效地檢測對網站的HTTP-Flood攻擊。

發明內容

本申請的主要目的在于提供一種網絡攻擊檢測方法及其裝置，以解決現有技術存在的缺少精確而有效地檢測對網站的HTTP-Flood攻擊的技術問題，其中：

本申請實施例提供的一種網絡攻擊檢測方法包括：獲取訪問網站服務器的訪問請求信息；統計預設時間段內的訪問請求信息；根據預設時間段內的訪問請求信息計算IP地址的相關訪問信息，若所述IP地址對應的相關訪問信息小于預設值，則判定該IP地址為攻擊IP地址。

本申請實施例提供的一種網絡攻擊檢測方法包括：獲取訪問網站服務器的訪問請求信息，所述訪問請求信息包括訪問者的以下信息：IP地址和訪問時間；統計預設時間段內的訪問請求信息；根據預設時間段內的訪問請求信息計算IP地址的訪問平均時間間隔及其離散度，若所述IP地址的訪問平均時間間隔的離散度與訪問平均時間間隔的比值小于預設值，則判定該IP地址為攻擊IP地址。