本發明實施例公開了一種對Web服務器群的攻擊的檢測方法和裝置，用于應對快速變化的Web攻擊。本發明實施例方法包括：獲取潛在攻擊集合，該潛在攻擊集合是根據在預置時段內向Web服務器群發送的Web請求的請求字符串確定的；對請求字符串聚類分析，并根據聚類分析的結果將該請求字符串劃分到潛在攻擊聚類中；計算潛在每個潛在攻擊聚類的過濾因子，該過濾因子為潛在攻擊聚類中請求字符串的數量與請求字符串對應的Web服務器的數量的比值；根據過濾因子是否存在攻擊。本發明實施例能夠應對快速變化的Web攻擊。

技術領域

本發明涉及互聯網領域，尤其涉及一種對Web服務器群的攻擊的檢測方法和裝置。

背景技術

隨著Web2.0、社交網絡、微博等等一系列新型的互聯網產品的誕生，基于Web環境的互聯網應用越來越廣泛，企業信息化的過程中各種應用都架設在Web平臺上。

Web業務的迅速發展也引起了攻擊者更大的興趣，并采用拉網式的Web漏洞掃描方式，來獲取最大的攻擊利益。當一種新的漏洞出現時，攻擊者往往采用編寫工具對互聯網進行采點掃描，以最大化發現存在漏洞的Web服務器并對其進行攻擊。

然而，現有技術中常用的對Web攻擊的防護方法一般是對某種特定類型的攻擊的防護，例如針對結構化查詢語言(Structured Query Language，SQL)注入的防護。這些防護方法都不能應對現在的快速變化的Web攻擊。

發明內容

本發明實施例提供了一種對Web服務器群的攻擊的檢測方法和裝置，用于應對現在的快速變化的Web攻擊。

本發明實施例第一方面提供一種對Web服務器群的攻擊的檢測方法，包括：

獲取潛在攻擊集合，其中所述潛在攻擊集合是根據在預置時間段內向所述Web服務器群發送的Web請求中的請求字符串確定的；

對所述潛在攻擊集合中的請求字符串進行聚類分析，獲取聚類分析的結果，并根據所述聚類分析的結果將所述潛在攻擊集合中的請求字符串劃分到潛在攻擊聚類中，其中同一個潛在攻擊聚類中的任意兩個請求字符串之間的相似距離小于或者等于預置距離，且任意一個潛在攻擊聚類中的任意一個請求字符串與其他任意一個潛在攻擊聚類中的任意一個請求字符串之間的相似距離大于所述預置距離；

計算所述潛在攻擊聚類的過濾因子，其中任意一個所述潛在攻擊聚類的過濾因子為所述潛在攻擊聚類中請求字符串的數量與所述潛在攻擊集合中請求字符串所對應的Web服務器的數量的比值；

根據所述過濾因子確定是否存在攻擊。

結合本發明實施例的第一方面，本發明實施例的第一方面的第一種實現方式中，所述根據所述過濾因子確定是否存在攻擊具體包括：

當所述過濾因子小于或者等于預置數值時，確定存在攻擊；

所述確定存在攻擊之后，還包括：

將所述過濾因子對應的潛在攻擊聚類確定為攻擊聚類；

將所述攻擊聚類加入到攻擊集合。

結合本發明實施例的第一方面，本發明實施例的第一方面的第二種實現方式中，所述根據所述過濾因子確定是否存在攻擊具體包括：

當所述過濾因子與所述預置距離的乘積小于或者等于預置數值時，確定存在攻擊；

所述確定存在攻擊之后，還包括：

將所述過濾因子對應的潛在攻擊聚類確定為攻擊聚類；

將所述攻擊聚類加入到攻擊集合。

結合本發明實施例的第一方面、或第一方面的第一種實現方式、或第一方面的第二種實現方式，本發明實施例的第一方面的第三種實現方式中，所述獲取潛在攻擊集合之前還包括：