[发明专利]恶意攻击检测方法、系统、计算机装置及可读存储介质

说明书

本发明提供一种恶意攻击检测方法、系统、计算机装置及计算机可读存储介质。所述恶意攻击检测方法包括：获取在一检测时间段内访问IP访问目标源的访问次数及返回的访问状态码，其中所述目标源是与目标域名相关联的至少一资源；将所述检测时间段划分为N个连续的子时间段，每一所述子时间段对应配置有一访问次数权重；根据所述访问IP在每一所述子时间段的访问次数以及每一所述子时间段的访问次数权重，计算所述访问IP的访问次数的加权平均值；根据所述访问状态码及所述访问次数的加权平均值来屏蔽所述访问IP。本发明通过云监控技术实现监控访问IP对目标源的访问历程，以判断所述访问IP是否属于恶意攻击，并可及时作出相应防护措施。

技术领域

本发明涉及通信技术领域，尤其涉及一种恶意攻击检测方法、系统、计算机装置及计算机可读存储介质。

背景技术

现有网络应用或网站通常都会碰到过大批量的恶意访问，短时间内给系统带来巨大的流量，当出现恶意程序短时间内大量访问时，可能会导致服务器负载急剧升高，甚至停止响应。现有的恶意访问检测通常都是根据系统日志信息去识别检测恶意攻击，但是通过挖掘日志信息的分析手段往往具有滞后性，无法实时、快速地发现恶意攻击的行为。为保证网络安全以及确保运营服务的正常运行，准确及时地进行恶意攻击检测至关重要。

发明内容

鉴于上述，本发明提供一种恶意攻击检测方法、系统、计算机装置及计算机可读存储介质，其可实现准确定位恶意攻击，及时作出对应防护措施。

本申请一实施方式提供一种恶意攻击检测方法，所述方法包括：

获取在一检测时间段内访问IP访问目标源的访问次数及返回的访问状态码，其中所述目标源是与目标域名相关联的至少一资源；

将所述检测时间段划分为N个连续的子时间段，每一所述子时间段对应配置有一访问次数权重；

根据所述访问IP在每一所述子时间段的访问次数以及每一所述子时间段的访问次数权重，计算所述访问IP的访问次数的加权平均值；及

根据所述访问状态码及所述访问次数的加权平均值来屏蔽所述访问IP。

优选地，所述检测时间段为过去时刻到当前时刻之间的时间段，与所述当前时刻的时间差越大的子时间段配置的访问次数权重越低。

优选地，所述根据所述访问状态码及所述访问次数的加权平均值来屏蔽所述访问IP的步骤包括：

判断所述访问状态码是否属于预设异常访问码集；

当所述访问状态码属于预设异常访问码集时，判断所述访问次数的加权平均值是否大于第一阈值；及

当所述访问次数的加权平均值大于所述第一阈值，屏蔽所述访问IP。

优选地，所述判断所述访问状态码是否属于预设异常访问码集的步骤之后还包括：

当所述访问状态码不属于所述预设异常访问码集时，判断所述访问次数的加权平均值是否大于第二阈值；及

当所述访问次数的加权平均值大于所述第二阈值，屏蔽所述访问IP；

其中，所述第二阈值大于所述第一阈值。

优选地，所述判断所述访问次数的加权平均值是否大于第二阈值的步骤之后还包括：

获取所述访问IP访问目标源的历史访问记录，根据所述历史访问记录建立并训练得到访问预测模型；

根据所述访问预测模型预测所述访问IP在一将来时间段内访问所述目标源的预测访问次数；

当所述访问次数的加权平均值不大于所述第二阈值时，判断所述预测访问次数是否大于第三阈值；及

当所述预测访问次数大于所述第三阈值时，屏蔽所述访问IP。