本申請提出了一種網絡攻擊檢測方法，包括：從互聯網中收集來自各IP地址的各訪問請求；從所收集的各訪問請求中提取IP地址以及與訪問行為有關的參數并記錄；針對所記錄的每一IP地址，根據該IP地址對應的所述參數建立該IP地址的特征數據，所述特征數據用于描述該IP地址上當前訪問行為的特征；當網絡攻擊檢測被觸發時，執行如下處理：確定當前收到的各訪問請求攜帶的各IP地址；針對所確定的每一IP地址，提取該IP地址的所述特征數據，基于所述特征數據確定該IP地址是否異常；當確定該IP地址異常時，攔截來自該IP地址的各訪問請求。本申請還提出了一種相應的裝置。采用本方法和裝置能夠改善檢測性能。

技術領域

本發明涉及網絡安全技術，特別涉及網絡攻擊檢測方法及裝置。

背景技術

互聯網上的網站(Website)，是互聯網服務提供方(ISP，Internet ServiceProvider)向用戶提供信息展示、資源交換等服務的地方，用戶正常訪問網絡鏈接(如URL)的時候會獲取到ISP通過網站展示的網頁。但是用戶每一次訪問都會占用網站服務器的帶寬和計算資源。所以就產生了一個黑色產業，通過向某一個ISP的網站發送足夠多的請求去消耗網站服務器的資源。當請求達到一定量時，網站服務器的帶寬和計算資源就會被占滿，從而使得其無法再給正常用戶提供服務。通常情況下，攻擊者或黑客會借助代理服務器或者遠程控制其它用戶設備生成指向受害主機的合法請求，實現分布式阻斷服務(DDOS)攻擊。比如黑客用灰鴿子等誘導其它用戶點擊或者用戶設備被黑客攻破或用戶設備有漏洞被種植了木馬等等，在這些情況下黑客可以隨意操縱這些用戶設備并利用這些用戶設備做任何事情。其中，被黑客遠程控制的設備就被稱為傀儡機，也可稱為“肉雞”。因此，如何從眾多的訪問請求攜帶的IP地址中識別出傀儡機的IP地址，是網絡安全需要解決的重要問題之一。

發明內容

本申請提出了一種網絡攻擊檢測方法，包括：從互聯網中收集來自各IP地址的各訪問請求；從所收集的各訪問請求中提取IP地址以及與訪問行為有關的參數并記錄；針對所記錄的每一IP地址，根據該IP地址對應的所述參數建立該IP地址的特征數據，所述特征數據用于描述該IP地址上當前訪問行為的特征；當網絡攻擊檢測被觸發時，執行如下處理：確定當前收到的各訪問請求攜帶的各IP地址；針對所確定的每一IP地址，提取該IP地址的所述特征數據，基于所述特征數據確定該IP地址是否異常；當確定該IP地址異常時，攔截來自該IP地址的各訪問請求。

本申請還提出了一種網絡攻擊檢測裝置，包括：請求收集模塊，從互聯網中收集來自各IP地址的各訪問請求；特征數據模塊，從所述請求收集模塊收集的各訪問請求中提取IP地址以及與訪問行為有關的參數并記錄；針對所記錄的每一IP地址，根據該IP地址對應的所述參數建立該IP地址的特征數據，所述特征數據用于描述該IP地址上當前訪問行為的特征；攻擊檢測模塊，當網絡攻擊檢測被觸發時，確定當前收到的各訪問請求攜帶的各IP地址；針對所確定的每一IP地址，從所述特征數據模塊提取該IP地址的所述特征數據，基于所述特征數據確定該IP地址是否異常；響應模塊，當確定該IP地址異常時，攔截來自該IP地址的各訪問請求。

采用上述方法和裝置，能夠利用所收集的訪問請求建立IP地址的能夠描述訪問行為特征的特征數據，進而能在網絡攻擊檢測時利用此特征識別出異常的IP地址，能夠改善網絡攻擊檢測的性能。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本申請一實例的方法流程圖；

圖2為本申請一實例的網絡攻擊檢測的處理流程圖；

圖3為本申請一實例的應用環境圖；

圖4為本申請一實例的裝置結構圖；及