本發明公開了一種網絡攻擊行為檢測方法和裝置。其中，網絡攻擊行為檢測方法包括：檢測目標時間段內網絡訪問服務器的訪問量；判斷所述目標時間段內的訪問量是否超過預設閾值，其中，所述預設閾值為根據所述目標時間段之前預設時間段內的訪問量得到的閾值，預設時間段隨著目標時間段的變化進行動態調整；如果判斷出所述目標時間段內的訪問量超過所述預設閾值，則提取訪問所述服務器的訪問行為的行為特征；判斷提取的行為特征是否符合正常訪問特征；以及如果提取的行為特征不符合正常訪問特征，則確定所述訪問行為是攻擊行為。通過本發明，解決了現有技術中無法檢測慢速攻擊行為的技術問題，達到了準確識別慢速攻擊行為的效果。

技術領域

本發明涉及攻擊檢測領域，具體而言，涉及一種網絡攻擊行為檢測方法和裝置。

背景技術

隨著互聯網的快速發展，互聯網已經成為人們生活中的一部分。然而互聯網中的服務器常常會受到一些惡意攻擊，造成服務器停止服務或者癱瘓，例如CC攻擊，其中，CC為ChallengeCollapsar縮寫，其前身名為Fatboy攻擊，是利用不斷對服務器發送連接請求致使形成拒絕服務的一種攻擊方式。因此，服務器的安全防護成為互聯網服務中比較重要的一個環節。

目前，針對服務器攻擊如CC攻擊的防護，通常采用簡單的閾值觸發對源IP進行限速的方案，以達到對攻擊行為的阻斷目的，其具體防護方式如下：

首先由管理員配置服務器的訪問閾值，在攻擊者發起對服務器的攻擊行為時，防護設備根據管理員配置的訪問閾值，檢測并發現攻擊行為；防護設備對訪問服務器的源IP進行限速。

然而，上述防護方式存在以下問題：不同業務的服務器需要配置不同的閾值，因此管理員需要對不同的服務器配置相應地訪問閾值。當需要更改訪問閾值時，管理員需要手動設置更改，訪問閾值的配置不靈活。另外，由于現有的防護方式主要通過短時間內訪問量暴增超過閾值來觸發攻擊檢測，因此無法檢測長期連續緩慢的慢速攻擊行為。

針對現有技術中無法檢測慢速攻擊行為的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種網絡攻擊行為檢測方法和裝置，以至少解決現有技術中無法檢測慢速攻擊行為的技術問題。

根據本發明實施例的一個方面，提供了一種網絡攻擊行為檢測方法，包括：檢測目標時間段內網絡訪問服務器的訪問量；判斷所述目標時間段內的訪問量是否超過預設閾值，其中，所述預設閾值為根據所述目標時間段之前預設時間段內的訪問量得到的閾值，所述預設時間段隨著所述目標時間段的變化進行動態調整；如果判斷出所述目標時間段內的訪問量超過所述預設閾值，則提取訪問所述服務器的訪問行為的行為特征；判斷提取的行為特征是否符合正常訪問特征，其中，所述正常訪問特征為根據非攻擊行為提取的行為特征；以及如果提取的行為特征不符合正常訪問特征，則確定所述訪問行為是攻擊行為。

根據本發明實施例的另一方面，還提供了一種網絡攻擊行為檢測裝置，包括：第一檢測單元，用于檢測目標時間段內網絡訪問服務器的訪問量；第一判斷單元，用于判斷所述目標時間段內的訪問量是否超過預設閾值，其中，所述預設閾值為根據所述目標時間段之前預設時間段內的訪問量得到的閾值，預設時間段隨著目標時間段的變化進行動態調整；提取單元，用于如果判斷出所述目標時間段內的訪問量超過所述預設閾值，則提取訪問所述服務器的訪問行為的行為特征；第二判斷單元，用于判斷提取的行為特征是否符合正常訪問特征，其中，所述正常訪問特征為根據非攻擊行為提取的行為特征；以及第一確定單元，用于如果提取的行為特征不符合正常訪問特征，則確定所述訪問行為是攻擊行為。

根據本發明實施例，通過提取訪問行為的行為特征，判斷該行為特征是否符合正常訪問特征來檢測攻擊行為，這樣，既能夠檢測出快速的暴力攻擊也可以識別出長期連續緩慢的慢速攻擊，從而解決了現有技術中無法檢測慢速攻擊行為的技術問題，達到了準確識別慢速攻擊行為的效果。

附圖說明