本發明提供了一種惡意批量訪問行為的檢測方法、裝置和計算機存儲介質，其中方法包括：獲取客戶端采集的網絡環境數據；依據預設第一時長內客戶端采集到的網絡環境數據對客戶端進行歸類，以使得具有相似網絡環境數據的客戶端歸為一類；依據各類包含的客戶端數量，檢測是否存在惡意批量訪問行為的攻擊。本發明能夠實現對惡意批量訪問行為的有效檢測。

【技術領域】

本發明涉及計算機網絡安全技術領域，特別涉及一種惡意批量訪問行為的檢測方法、裝置和計算機存儲介質。

【背景技術】

近年來隨著移動互聯網的興起，各種傳統的業務逐漸轉至線上，互聯網金融、電子商務迅速發展，商家針對營銷及交易環節的推廣活動經常以返利的形式進行。由于有利可圖，因此迅速滋生了惡意批量訪問行為，例如針對返利的系統性的優惠套利欺詐行為，俗稱“薅羊毛”。攻擊者往往會采用大量的真實移動設備放置在固定的機架或機房內，分別登陸不同賬戶后循環發送大量的業務請求來薅羊毛，這類新型的攻擊稱為“薅羊毛”攻擊。現有技術中，對此類惡意訪問的檢測通常采用檢測是否為相同來源IP地址的方式，然而，這種方式具有較大的局限性，對于使用代理服務器更換來源IP地址的批量惡意訪問則無法有效檢測。

【發明內容】

有鑒于此，本發明提供了一種惡意批量訪問行為的檢測方法、裝置和計算機存儲介質，以便于實現對惡意批量訪問行為的有效檢測。

具體技術方案如下：

本發明提供了一種惡意批量訪問行為的檢測方法，該方法包括：

獲取客戶端采集的網絡環境數據；

依據預設第一時長內客戶端采集到的網絡環境數據對客戶端進行歸類，以使得具有相似網絡環境數據的客戶端歸為一類；

依據各類包含的客戶端數量，檢測是否存在惡意批量訪問行為的攻擊。

根據本發明一具體實施方式，所述獲取客戶端采集的網絡環境數據包括：

獲取客戶端每隔第二時長采集并上報的網絡環境數據，所述第一時長大于或等于所述第二時長。

根據本發明一具體實施方式，所述網絡環境數據包括以下至少一種：

客戶端所在局域網中運行同類客戶端的聯網設備信息、客戶端所在設備使用的路由網關信息以及客戶端所在局域網中存在的應用服務信息。

根據本發明一具體實施方式，依據預設第一時長內客戶端采集到的網絡環境數據對客戶端進行歸類，以使得具有相似網絡環境數據的客戶端歸為一類包括：

將預設第一時長內客戶端采集到的網絡環境數據分別進行數值化處理，得到網絡環境向量；

依據客戶端的網絡環境向量之間的相似度，對客戶端進行聚類。

根據本發明一具體實施方式，依據各類包含的客戶端數量，檢測是否存在惡意批量訪問行為的攻擊包括：

若某類包含的客戶端數量大于或等于預設數量閾值，則確定所述某類包含的客戶端為攻擊來源。

根據本發明一具體實施方式，在所述獲取客戶端采集的網絡環境數據時，進一步獲取所述客戶端的來源IP地址；

依據各類包含的客戶端數量，檢測是否存在惡意批量訪問行為的攻擊包括：

若某類包含的客戶端數量大于或等于預設數量閾值且客戶端的來源IP地址呈現非一致性分布，則確定所述某類包含的客戶端為攻擊來源。

根據本發明一具體實施方式，該方法進一步包括：對確定出的攻擊來源采用以下措施：

拒絕攻擊來源發送的業務請求；或者，

限制攻擊來源的連接速度；或者，