本公開涉及一種攻擊檢測方法、裝置、網絡設備及終端設備，所述方法包括：獲取gzip壓縮的待檢測web文本；將所述待檢測web文本轉換為特征向量；根據訓練得到的分類器，以及所述特征向量，對所述待檢測web文本進行攻擊檢測。本公開在對gzip壓縮的web文本進行攻擊檢測時，不需要進行gzip解壓縮，而是直接對gzip壓縮的原始web文本進行檢測，可提高攻擊檢測效率，極大的降低系統內存消耗；使得web攻擊檢測系統在大流量下的部署成為可能。

技術領域

本公開涉及網絡檢測技術領域，具體地，涉及一種攻擊檢測方法、裝置、網絡設備及終端設備。

背景技術

隨著互聯網的普及以及信息技術的高速發展，網絡已經成為與人們生活密不可分的一部分。網絡為人們提供方便的同時，網絡攻擊問題也帶來了新的麻煩與威脅。不法攻擊者利用web服務做為傳播惡意代碼的手段，非法竊取用戶信息、破壞用戶環境，給用戶帶來巨大損失。因此，如何有效檢測web類攻擊成為亟待解決的問題。

相關技術中，檢測web攻擊的方法包括誤用檢測、利用機器學習進行檢測、利用學習算法(例如，支持向量機算法(SVM)、基于ID3決策樹算法、貝葉斯網絡等)進行檢測。

為了提高網絡傳輸效率，web文本絕大多數是采用gzip壓縮的。在對經gzip壓縮的web文本進行檢測前，上述相關技術的攻擊檢測方法都需要先對web文本進行解壓縮。由于gzip解壓算法的設計原因，每次解壓縮都需要在內存中開辟一定大小的解壓空間(例如，32K大小)。因此，對gzip壓縮的web文本解壓縮后再進行攻擊檢測，不但耗費系統大量處理時間，同時也消耗了系統大量內存。當網絡中連接數很大時，對檢測系統內存的要求很高，使得大部分系統不可能滿足要求。

公開內容

為解決相關技術的缺陷，本公開的目的是提供一種攻擊檢測方法、裝置、網絡設備及終端設備。

第一方面，本公開提供一種攻擊檢測方法，包括：

獲取gzip壓縮的待檢測web文本；

將所述待檢測web文本轉換為特征向量；

根據訓練得到的分類器，以及所述特征向量，對所述待檢測web文本進行攻擊檢測。

在一個實施例中，所述方法還包括：

獲取初始特征詞集合，所述初始特征詞集合中包括一個或多個特征詞；

確定訓練樣本和類別集合，所述類別集合包括：攻擊類別和非攻擊類別；

根據所述訓練樣本中屬于攻擊類別的文本數、所述訓練樣本中屬于非攻擊類別的文本數和所述訓練樣本中出現每個特征詞的文本數，獲取攻擊類別對應的第一先驗概率、非攻擊類別對應的第二先驗概率，以及每個特征詞在攻擊類別下的第一條件概率和在非攻擊類別下的第二條件概率；

將所述第一先驗概率、所述第二先驗概率、所述第一條件概率和所述第二條件概率作為所述分類器的分類參數。

在一個實施例中，所述方法還包括：

對于所述初始特征詞集合中的每個特征詞，生成字節長度大于預設長度的一個或多個子串，得到所述初始特征詞集合的子串矩陣；

獲取所述子串矩陣中每個子串對應的概率，得到子串概率矩陣。

在一個實施例中，根據以下公式獲取所述子串矩陣中每個子串對應的概率：

P_ij＝T0_ij/T1_ij