本發明實施例提供一種網絡攻擊檢測方法及裝置，該方法包括：獲取用戶的訪問記錄；訪問記錄是用戶對同一訪問地址進行訪問的訪問信息；對訪問記錄進行特征提取，得到訪問記錄的特征數據。將特征數據輸入機器學習模型，確定用戶對訪問地址的訪問是否為惡意訪問；機器學習模型是通過歷史正常訪問記錄和歷史惡意訪問記錄進行訓練得到的。相比于現有技術中的正則匹配方法檢測攻擊；本申請實施例提供的方法不需要技術人員撰寫復雜的正則表達式，也無需技術人員對正則庫進行維護；消除因為正則表達式條數過多，影響正則引擎的性能，延長檢測時間的問題。節省了大量的人力成本和時間成本，且增加對網絡攻擊的檢測的準確性，提升服務器和信息的安全性。

技術領域

本申請涉及網絡技術領域，尤其涉及一種網絡攻擊檢測方法及裝置。

背景技術

近年來，隨著網絡技術的迅速發展，網絡應用的快速普及，越來越多的人使用網絡，使得網絡信息呈井噴式增加，如用戶私人信息或企業關鍵數據等；而這些網絡信息的安全也相應成為如今人們最關心的話題之一。

現有技術中，一般通過在服務器中設置檢測引擎，在該檢測引擎中內置正則表達式；正則表達式由技術人員編寫，用于匹配包含黑客攻擊代碼的相應報文，以確定服務器是否受到攻擊。但若是正則表達式編寫的過于寬泛，則會使得很多正常報文遭到攔截；若是正則表達式編寫的過于狹細，又會使得黑客易于繞過正則表達式的匹配，使服務器遭受到攻擊，造成信息泄露或服務器損壞。且正則表達式的語句過多也會拖慢檢測引擎的檢測速度。另外，隨著計算機的發展與普及，網絡黑客對服務器的攻擊方式也越來越多樣化，例如XSS攻擊，SQL注入等。而因此，正則表達式的編寫變得復雜且不便更新，需要技術人員花費大量的時間與精力來維護正則表達式的準確性。

因此，現在亟需一種網絡攻擊檢測方法及裝置，增加對網絡攻擊的檢測的準確性，提升服務器和信息的安全性。

發明內容

本發明實施例提供一種網絡攻擊檢測方法及裝置，增加對網絡攻擊的檢測的準確性，提升服務器和信息的安全性。

第一方面，本發明實施例提供一種網絡攻擊檢測方法及裝置，該方法包括：

獲取用戶的訪問記錄；所述訪問記錄是用戶對同一訪問地址進行訪問的訪問信息；對所述訪問記錄進行特征提取，得到所述訪問記錄的特征數據。將所述特征數據輸入機器學習模型，確定所述用戶對所述訪問地址的訪問是否為惡意訪問；所述機器學習模型是通過歷史正常訪問記錄和歷史惡意訪問記錄進行訓練得到的。

采用上述方法，獲取訪問記錄，提取訪問記錄的特征數據，將特征數據輸入機器學習模型，以此確定該訪問是惡意訪問還是正常訪問。相比于現有技術中的正則匹配方法檢測惡意代碼來說，本申請實施例提供的方法不需要技術人員撰寫復雜的正則表達式，也不需要技術人員對正則庫進行維護，消除了因為正則表達式條數過多，影響正則引擎的性能，從而延長檢測時間的問題；節省了大量的人力成本和時間成本，且增加對網絡攻擊的檢測的準確性，提升服務器和信息的安全性。

在一種可能的設計中，獲取用戶的訪問記錄，包括：確定所述用戶對所述訪問地址進行訪問后，在預設時間內沒有再對所述訪問地址進行訪問；獲取所述用戶在所述預設時間之前對所述訪問地址連續訪問的訪問信息，作為所述訪問記錄；所述連續訪問指相鄰兩次訪問的時間間隔小于所述預設時間。

采用上述方法，通過兩種方式獲取訪問信息，可以針對用戶兩種訪問場景，即連續訪問與可以為非連續訪問，進行網絡攻擊檢測。例如，在一種場景下，即，用戶為非法用戶，嘗試對該訪問地址進行網絡攻擊時，一般來說，網絡攻擊不是一瞬間可以完成的，需要較長時間進行大量的訪問、試錯等，才能實現網絡攻擊的成功；因此，通過上述兩種方式，可以根據訪問地址的防火墻性能、密鑰、認證等設置，具體確定獲取連續訪問的訪問記錄，或獲取包括連續訪問和\或非連續訪問的訪問記錄，以便于網絡攻擊的檢測。