本發明公開了一種攻擊識別方法，該方法包括以下步驟：按照預設時間周期進行攻擊次數統計，得到各目標攻擊次數；獲取各目標攻擊次數分別對應的目標攻擊閾值；判斷是否存在超出相應目標攻擊閾值的目標攻擊次數；若是，則將超出相應目標攻擊閾值的目標攻擊次數的攻擊確定為異常攻擊。應用本發明所提供的攻擊識別方法，提高了對異常的攻擊識別的準確性，降低了系統被攻擊的概率，提升了系統安全性。本發明還公開了一種攻擊識別裝置、設備及存儲介質，具有相應技術效果。

技術領域

本發明涉及網絡安全技術領域，特別是涉及一種攻擊識別方法、裝置、設備及計算機可讀存儲介質。

背景技術

現有的安全設備和防護產品在處理攻擊行為(如WEB攻擊行為)時，仍會有大部分攻擊行為能成功滲過，甚至成功入侵。且現有的安全設備和防護產品僅對匹配了單個策略的某一個攻擊進行攔截并形成告警記錄。

但系統(如web系統)無時無刻都在被攻擊，包括一些針對性的攻擊和無差別掃描攻擊。在此情況下，用戶面對時時刻刻都在產生的告警記錄時，無法從中提取出異常的攻擊并及時采取行動，也不可能時時刻刻盯著告警日志去發現系統是否遭受異常攻擊。因此，當系統在短時間內遭受了突增的大批量攻擊，并產生了大量的告警日志時，用戶也無法及時知曉和采取行動，系統極有可能被攻破。

綜上所述，如何有效地解決現有的攻擊識別方式不能對異常的攻擊進行準確識別，易發生系統被攻擊等問題，是目前本領域技術人員急需解決的問題。

發明內容

本發明的目的是提供一種攻擊識別方法，該方法提高了對異常的攻擊識別的準確性，降低了系統被攻擊的概率，提升了系統安全性；本發明的另一目的是提供一種攻擊識別裝置、設備及計算機可讀存儲介質。

為解決上述技術問題，本發明提供如下技術方案：

一種攻擊識別方法，包括：

按照預設時間周期進行攻擊次數統計，得到各目標攻擊次數；

獲取各所述目標攻擊次數分別對應的目標攻擊閾值；

判斷是否存在超出相應目標攻擊閾值的目標攻擊次數；

若是，則將超出相應目標攻擊閾值的目標攻擊次數的攻擊確定為異常攻擊。

在本發明的一種具體實施方式中，獲取各所述目標攻擊次數分別對應的目標攻擊閾值，包括：

獲取各所述目標攻擊次數分別對應的前第一預設數量個所述預設時間周期內的各歷史攻擊次數；

對每個目標攻擊次數和對應的各所述歷史攻擊次數進行大小排序，得到排序結果；

按照預設閾值選取規則從各所述排序結果中選取得到各所述目標攻擊閾值。

在本發明的一種具體實施方式中，在將超出相應目標攻擊閾值的目標攻擊次數的攻擊確定為異常攻擊之后，還包括：

對所述異常攻擊進行告警操作。

在本發明的一種具體實施方式中，對所述異常攻擊進行告警操作，包括：

判斷所述異常攻擊所在的目標預設時間周期的前第二預設數量個所述預設時間周期內是否存在告警操作；

若否，則對所述異常攻擊進行告警操作。

在本發明的一種具體實施方式中，在確定所述異常攻擊所在的目標預設時間周期的前第二預設數量個所述預設時間周期內存在告警操作，或對所述異常攻擊進行告警操作之后，還包括：

將所述異常攻擊從統計結果中剔除。

一種攻擊識別裝置，包括：

攻擊次數獲得模塊，用于按照預設時間周期進行攻擊次數統計，得到各目標攻擊次數；