[发明专利]一种网络攻击检测方法、设备、存储介质及计算机设备

说明书

本发明公开了一种网络攻击检测方法、设备、存储介质及计算机设备，可以通过确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。本发明可以有效提高对于网络攻击的检测和识别能力，提升对于网络攻击的防御能力。

技术领域

本发明涉及网络安全防护领域，尤其涉及一种网络攻击检测方法、设备、存储介质及计算机设备。

背景技术

随着科学技术的发展，网络安全变得尤为重要，当前的网站服务器经常受到各种非法攻击。CC(Challenge Collapsar，挑战黑洞)攻击即是其中一种常见的攻击行为。CC攻击是DDoS(分布式拒绝服务，Distributed Denial of Service)的一种，CC攻击通过访问URI(Uniform Resource Identifier，统一资源标识符)不断对网站服务器发送访问请求致使网站服务器无法处理合法用户对于正常网络资源的访问，从而形成拒绝服务的目的。

现有的网络攻击检测技术通过在网站服务器端统计单个IP在单位时间内的访问该网站服务器的URI的次数来检测网络攻击。当某个IP在单位时间内的访问该网站服务器的URI的次数超过阈值时，现有的网络攻击检测技术可以将该IP的访问行为确定为网络攻击。

但是，随着技术的发展，当前出现了通过多个不同的IP来进行网络攻击的事件。例如，发动CC攻击的攻击者可以多次修改IP，通过不同的IP访问网站服务器的URI向网站服务器发送占据大量处理资源和时间的页面请求(访问请求的一种)，造成网站服务器处理资源的浪费，网站服务器CPU长时间处于100％使用状态，这样CPU就没有办法处理来自合法用户的正常请求。

可见，攻击者可以通过多个不同的IP来对被攻击的URI进行访问，每个IP对URI进行访问的次数都不会超过阈值，这就使得现有的网络攻击检测技术无法检测到这种网络攻击。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的网络攻击检测方法、设备、存储介质及计算机设备，技术方案如下：

一种网络攻击检测方法，所述方法包括：

确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方；

对确定的所述访问方所访问的至少一个URI中的每个URI：确定所述预设时间段内访问该URI的访问方的数量，在所述访问方的数量超过第一阈值时，获得在所述预设时间段内访问该URI的各访问请求携带的访问信息组，将所述各访问请求中出现次数最多的访问信息组确定为高危访问信息组，并将携带所述高危访问信息组且访问该URI的访问请求确定为网络攻击。

可选的，所述访问信息组包括：设备指纹、用户标识、用户代理UA和HTTP_Referer中的至少一种访问信息。

可选的，所述确定预设时间段内访问的统一资源标识符URI的数量低于预设数量的访问方，包括：

获得访问方在预设时间段内对统一资源标识符URI进行访问的访问请求，所述访问请求中还携带有访问方的IP地址；

将所述IP地址和所述访问信息组构成的信息组合确定为访问方标识，将携带的所述访问方标识相同的访问请求确定为同一访问方的访问请求；

对每个访问方：获得该访问方在所述预设时间段内对URI进行访问的各访问请求中携带的所访问的URI的数量，在该数量低于预设数量时，将该访问方确定为：所述预设时间段内访问的URI的数量低于预设数量的访问方。