[发明专利]攻击检测方法和装置

权利要求书

1.一种攻击检测方法，包括：

获取访问请求中的用户标识和统一资源定位符URL；

确定所述URL归属的预设URL分组的分组标识；

构建一条包含所述用户标识和所述分组标识的访问行为描述信息；

若预设时长内包含相同用户标识和分组标识的相同访问行为描述信息的数量大于预设阈值，则确定检测到攻击；

其中，所述若预设时长内包含相同用户标识和分组标识的相同访问行为描述信息的数量大于预设阈值，则确定检测到攻击之前，所述方法还包括：

确定构建的所述访问行为描述信息不在访问行为白名单中；和/或，

确定所述用户标识不在攻击者名单中；

其中，若所述用户标识不在所述攻击者名单中，所述方法还包括：

将构建的所述访问行为描述信息提交到预置分析队列中；

所述若预设时长内包含相同用户标识和分组标识的相同访问行为描述信息的数量大于预设阈值，则确定检测到攻击，具体包括：

采用独立的线程处理所述预置分析队列，并若预设时长内包含相同用户标识和分组标识的相同访问行为描述信息的数量大于预设阈值，则确定检测到攻击。

2.根据权利要求1所述的方法，所述方法还包括：

判断所述预置分析队列中的访问行为描述信息总量是否达到指定总量；

若是，则丟弃构建的所述访问行为描述信息；

若否，则将构建的所述访问行为描述信息提交到预置分析队列中。

3.根据权利要求1所述的方法，所述采用独立的线程处理所述预置分析队列，并若预设时长内包含相同用户标识和分组标识的相同访问行为描述信息的数量大于预设阈值，则确定检测到攻击，具体包括：

采用独立的线程从所述预置分析队列中获取构建的所述访问行为描述信息；并，

采用原子操作的方式将分布式内存缓存中记录的包含相同用户标识和分组标识的相同访问行为描述信息的数量累加1，并获取累加结果；

若在预设时长内所述累加结果大于所述预设阈值，则确定检测到攻击。

4.根据权利要求3所述的方法，所述获取访问请求中的用户标识和统一资源定位符URL之前，所述方法还包括：

确定自动熔断开关处于关闭状态，所述自动熔断开关处于关闭状态时用于进行攻击检测；所述方法还包括：

若第一指定时长内未获取到累加结果的次数超过第一预设次数，则配置所述自动熔断开关处于打开状态，所述自动熔断开关处于打开状态时用于暂停攻击检测。

5.根据权利要求1-4中任一所述的方法，所述确定构建的所述访问行为描述信息不在访问行为白名单中，具体包括：

确定构建的所述访问行为描述信息不在分布式内存缓存中存储的访问行为白名单中；

所述确定所述用户标识不在攻击者名单中，具体包括：

确定所述用户标识不在分布式内存缓存中存储的攻击者名单中。

6.根据权利要求5所述的方法，所述获取访问请求中的用户标识和统一资源定位符URL之前，所述方法还包括：

确定自动熔断开关处于关闭状态，所述自动熔断开关处于关闭状态时用于进行攻击检测；

所述方法还包括：

若第二指定时长内确定访问行为描述信息是否在访问行为白名单中的操作和/或确定用户标识是否在攻击者名单中的操作的超时的总次数超过第二预设次数，则配置所述自动熔断开关处于打开状态，所述自动熔断开关处于打开状态时用于暂停攻击检测。

7.根据权利要求1所述的方法，若预设时长内包含相同用户标识和分组标识的相同访问行为描述信息的数量大于预设阈值，所述方法还包括:

若确定所述用户标识不在所述攻击者名单中，则将所述用户标识添加到所述攻击者名单中。