[发明专利]一种网络攻击检测方法、设备、存储介质及计算机设备

权利要求书

1.一种网络攻击检测方法，其特征在于，所述方法包括：

确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；

对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。

2.根据权利要求1所述的方法，其特征在于，所述访问信息组包括：设备指纹、用户标识、用户代理UA和HTTP_Referer中的至少一种访问信息。

3.根据权利要求1所述的方法，其特征在于，所述确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方，包括：

获得访问方在预设时间段内对统一资源标识符URI进行访问的访问请求，所述访问请求中还携带有访问方的IP地址；

将所述IP地址和所述访问信息组构成的信息组合确定为访问方标识，将携带的所述访问方标识相同的访问请求确定为同一访问方的访问请求；

对每个访问方：获得该访问方在所述预设时间段内对URI进行访问的各访问请求中携带的所访问的URI的数量，在该数量低于预设数量时，将该访问方确定为：所述预设时间段内访问的URI的数量低于预设数量的访问方。

4.根据权利要求3所述的方法，其特征在于，所述确定所述预设时间段内访问该URI的访问方的数量，包括：

根据携带有该URI的各访问请求中携带的所述访问方标识，确定所述预设时间段内访问该URI的访问方的数量。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击，包括：

将携带所述高危访问信息组且访问该URI的访问请求确定为分布式网络攻击。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

将在所述预设时间段内被所有访问方访问的次数总和超过第二阈值的URI确定为被攻击URI；

对每个被攻击URI：将所确定的访问方发出的、在所述预设时间段内访问该被攻击URI次数超过第三阈值的访问请求确定为网络攻击。

7.根据权利要求6所述的方法，其特征在于，所述对每个被攻击URI：将在所述预设时间段内访问该被攻击URI次数超过第三阈值的、所确定的访问方访问该被攻击URI的访问请求确定为网络攻击，包括：

对每个被攻击URI：将所确定的访问方发出的、在所述预设时间段内访问该被攻击URI次数超过第三阈值的访问请求确定为高频式网络攻击。

8.一种网络攻击检测设备，其特征在于，所述网络攻击检测设备包括访问方确定单元和第一网络攻击确定单元，其中：

所述访问方确定单元，用于确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；

所述第一网络攻击确定单元，用于对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。

9.一种存储介质，其特征在于，所述存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现如上权利要求1至7任一项所述的网络攻击检测方法。

10.一种计算机设备，其特征在于，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述处理器执行程序时至少实现以下步骤：

确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；

对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。