[发明专利]攻击检测方法和装置

说明书

本申请的实施方式提供了攻击检测方法和装置，在获取访问请求中的用户标识和URL后；确定所述URL归属的预设URL分组的分组标识；并构建一条包含所述用户标识和所述分组标识的访问行为描述信息；若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。这样，本申请相当于将用户的访问行为抽象成用户行为描述信息。用户行为描述信息是基于用户标识和访问的URL的分组标识构建的，相对于现有技术中仅通过IP地址来检测，能够提高检测结果的准确性。

技术领域

本申请的实施方式涉及网络安全领域，更具体地，本申请的实施方式涉及攻击检测方法和装置。

背景技术

本部分旨在为权利要求书中陈述的本申请的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

目前，随着网络能够为用户提供的内容越来越多，而且用户数量不断增大，如何提高网络安全成为行业内不但深入解决的问题。

具体来说，为了维护网络安全，需要对恶意用户的攻击行为进行检测。相关技术中通常统计同一用户在一定时间段内发送的访问请求的数量。具体的，统计同一IP(InternetProtocol，网络之间互连的协议)地址，在一定时间段内发送的URL(Uniform ResourceLocator，统一资源定位符)的数量，若该数量超过阈值，则确定检测到攻击行为。并进一步的拦截该IP发送的访问请求。

发明内容

出于相关技术中仅通过IP地址来检测是否发生攻击行为的原因，现有技术中，网络攻击检测的检测维度单一，检测结果不够准确。此外，考虑到误判的影响，现有技术中攻击检测的阈值设置的较高，使得攻击检测的灵敏度低。而且，现有技术中，一旦检测到攻击行为，就封锁用户IP，该用户不能够在发送访问请求，在存在误判的情况下，使得误判的用户无法继续进行访问操作，降低用户体验。

因此在现有技术中，存在检测维度单一、检测结果不够准确、灵敏度低以及误判率高的问题，使得用户被误判后无法操作，用户整体满意度低，这是非常令人烦恼的过程。

为此，非常需要一种改进的攻击检测方法和装置，达到提高检测准确性，降低误判率的目的，并能够提高用户的应用体验。

在本上下文中，本申请的实施方式期望提供一种攻击检测方法和装置。

在本申请实施方式的第一方面中，提供了一种攻击检测方法，包括：

获取访问请求中的用户标识和URL；

确定所述URL归属的预设URL分组的分组标识；

构建一条包含所述用户标识和所述分组标识的访问行为描述信息；

若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。

进一步的，所述若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击之前，所述方法还包括：

确定构建的所述访问行为描述信息不在访问行为白名单中；和/或，

确定所述用户标识不在攻击者名单中。

进一步的，若所述用户标识不在所述攻击者名单中，所述方法还包括：

将构建的所述访问行为描述信息提交到预置分析队列中；

所述若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击，具体包括：

采用独立的线程处理所述预置分析队列，并若预设时长内包含所述用户标识和所述分组标识的访问行为描述信息的数量大于预设阈值，则确定检测到攻击。

进一步的，所述方法还包括：