本申請(qǐng)的實(shí)施方式提供了攻擊檢測(cè)方法和裝置，在獲取訪問(wèn)請(qǐng)求中的用戶標(biāo)識(shí)和URL后；確定所述URL歸屬的預(yù)設(shè)URL分組的分組標(biāo)識(shí)；并構(gòu)建一條包含所述用戶標(biāo)識(shí)和所述分組標(biāo)識(shí)的訪問(wèn)行為描述信息；若預(yù)設(shè)時(shí)長(zhǎng)內(nèi)包含所述用戶標(biāo)識(shí)和所述分組標(biāo)識(shí)的訪問(wèn)行為描述信息的數(shù)量大于預(yù)設(shè)閾值，則確定檢測(cè)到攻擊。這樣，本申請(qǐng)相當(dāng)于將用戶的訪問(wèn)行為抽象成用戶行為描述信息。用戶行為描述信息是基于用戶標(biāo)識(shí)和訪問(wèn)的URL的分組標(biāo)識(shí)構(gòu)建的，相對(duì)于現(xiàn)有技術(shù)中僅通過(guò)IP地址來(lái)檢測(cè)，能夠提高檢測(cè)結(jié)果的準(zhǔn)確性。

技術(shù)領(lǐng)域

本申請(qǐng)的實(shí)施方式涉及網(wǎng)絡(luò)安全領(lǐng)域，更具體地，本申請(qǐng)的實(shí)施方式涉及攻擊檢測(cè)方法和裝置。

背景技術(shù)

本部分旨在為權(quán)利要求書(shū)中陳述的本申請(qǐng)的實(shí)施方式提供背景或上下文。此處的描述不因?yàn)榘ㄔ诒静糠种芯统姓J(rèn)是現(xiàn)有技術(shù)。

目前，隨著網(wǎng)絡(luò)能夠?yàn)橛脩籼峁┑膬?nèi)容越來(lái)越多，而且用戶數(shù)量不斷增大，如何提高網(wǎng)絡(luò)安全成為行業(yè)內(nèi)不但深入解決的問(wèn)題。

具體來(lái)說(shuō)，為了維護(hù)網(wǎng)絡(luò)安全，需要對(duì)惡意用戶的攻擊行為進(jìn)行檢測(cè)。相關(guān)技術(shù)中通常統(tǒng)計(jì)同一用戶在一定時(shí)間段內(nèi)發(fā)送的訪問(wèn)請(qǐng)求的數(shù)量。具體的，統(tǒng)計(jì)同一IP(InternetProtocol，網(wǎng)絡(luò)之間互連的協(xié)議)地址，在一定時(shí)間段內(nèi)發(fā)送的URL(Uniform ResourceLocator，統(tǒng)一資源定位符)的數(shù)量，若該數(shù)量超過(guò)閾值，則確定檢測(cè)到攻擊行為。并進(jìn)一步的攔截該IP發(fā)送的訪問(wèn)請(qǐng)求。

發(fā)明內(nèi)容

出于相關(guān)技術(shù)中僅通過(guò)IP地址來(lái)檢測(cè)是否發(fā)生攻擊行為的原因，現(xiàn)有技術(shù)中，網(wǎng)絡(luò)攻擊檢測(cè)的檢測(cè)維度單一，檢測(cè)結(jié)果不夠準(zhǔn)確。此外，考慮到誤判的影響，現(xiàn)有技術(shù)中攻擊檢測(cè)的閾值設(shè)置的較高，使得攻擊檢測(cè)的靈敏度低。而且，現(xiàn)有技術(shù)中，一旦檢測(cè)到攻擊行為，就封鎖用戶IP，該用戶不能夠在發(fā)送訪問(wèn)請(qǐng)求，在存在誤判的情況下，使得誤判的用戶無(wú)法繼續(xù)進(jìn)行訪問(wèn)操作，降低用戶體驗(yàn)。

因此在現(xiàn)有技術(shù)中，存在檢測(cè)維度單一、檢測(cè)結(jié)果不夠準(zhǔn)確、靈敏度低以及誤判率高的問(wèn)題，使得用戶被誤判后無(wú)法操作，用戶整體滿意度低，這是非常令人煩惱的過(guò)程。

為此，非常需要一種改進(jìn)的攻擊檢測(cè)方法和裝置，達(dá)到提高檢測(cè)準(zhǔn)確性，降低誤判率的目的，并能夠提高用戶的應(yīng)用體驗(yàn)。

在本上下文中，本申請(qǐng)的實(shí)施方式期望提供一種攻擊檢測(cè)方法和裝置。

在本申請(qǐng)實(shí)施方式的第一方面中，提供了一種攻擊檢測(cè)方法，包括：

獲取訪問(wèn)請(qǐng)求中的用戶標(biāo)識(shí)和URL；

確定所述URL歸屬的預(yù)設(shè)URL分組的分組標(biāo)識(shí)；

構(gòu)建一條包含所述用戶標(biāo)識(shí)和所述分組標(biāo)識(shí)的訪問(wèn)行為描述信息；

若預(yù)設(shè)時(shí)長(zhǎng)內(nèi)包含所述用戶標(biāo)識(shí)和所述分組標(biāo)識(shí)的訪問(wèn)行為描述信息的數(shù)量大于預(yù)設(shè)閾值，則確定檢測(cè)到攻擊。

進(jìn)一步的，所述若預(yù)設(shè)時(shí)長(zhǎng)內(nèi)包含所述用戶標(biāo)識(shí)和所述分組標(biāo)識(shí)的訪問(wèn)行為描述信息的數(shù)量大于預(yù)設(shè)閾值，則確定檢測(cè)到攻擊之前，所述方法還包括：

確定構(gòu)建的所述訪問(wèn)行為描述信息不在訪問(wèn)行為白名單中；和/或，

確定所述用戶標(biāo)識(shí)不在攻擊者名單中。

進(jìn)一步的，若所述用戶標(biāo)識(shí)不在所述攻擊者名單中，所述方法還包括：

將構(gòu)建的所述訪問(wèn)行為描述信息提交到預(yù)置分析隊(duì)列中；

所述若預(yù)設(shè)時(shí)長(zhǎng)內(nèi)包含所述用戶標(biāo)識(shí)和所述分組標(biāo)識(shí)的訪問(wèn)行為描述信息的數(shù)量大于預(yù)設(shè)閾值，則確定檢測(cè)到攻擊，具體包括：

采用獨(dú)立的線程處理所述預(yù)置分析隊(duì)列，并若預(yù)設(shè)時(shí)長(zhǎng)內(nèi)包含所述用戶標(biāo)識(shí)和所述分組標(biāo)識(shí)的訪問(wèn)行為描述信息的數(shù)量大于預(yù)設(shè)閾值，則確定檢測(cè)到攻擊。

進(jìn)一步的，所述方法還包括：