[发明专利]一种检测对Web站点的团伙攻击的方法、装置及介质

说明书

本申请公开了一种检测对Web站点团伙攻击的方法、装置及介质，方法包括：获取Web站点的Web审计日志，根据Web审计日志以及预设时间窗口获取时序特征；利用时序特征中的历史时序特征训练出攻击检测模型，并利用当前时序特征更新攻击检测模型；若当前时序特征在攻击检测模型中的得分超过预设阈值，将当前时序特征判定为异常时序特征，确定出团伙攻击时间。因此，本方法能够同时关注多种具有团伙攻击特性的攻击类型，通过对多维时间序列进行实时检测，能够根据当前时序特征及时准确地确定出异常时序特征，及时确定出对Web站点的团伙攻击的团伙攻击时间。

技术领域

本发明涉及信息安全领域，特别涉及一种检测对Web站点的团伙攻击的方法、装置及计算机可读存储介质。

背景技术

随着信息技术的快速发展，信息安全形势也愈加严峻。在Web站点的攻击中，团伙攻击的形势相对严峻。团伙攻击指的是由某一个或一组攻击控制者控制的一批IP，对Web站点发起攻击。例如，CC攻击、恶意爬虫、扫描、Webshell以及敏感文件探测等可使用脚本等自动化工具发起的攻击都具有团伙攻击的特性。

现有技术对Web站点的团伙攻击的检测方法，一般从攻击类型出发，制定对应的策略规则或者算法进行检测。但是，现有技术的方法，一方面仅能够制定单类型攻击的检测策略，而实际上，攻击者发动攻击时会使用多种攻击方法结合，甚至对同一个目标的一次攻击中会使用多种攻击混合的方法。此时，传统的基于单类型攻击制定的策略规则或者算法就达不到期望的检测效果。另一方面，现有技术是通过检测Web站点是否存在异常，来检测Web站点是否发生团伙攻击。但是，这种检测方式是滞后的，即，只有在发生团伙攻击并对Web站点造成严重影响之后，才会检测出发生团伙攻击了，也就是说，现有技术的方法，只能在Web站点被团伙攻击之后检测出异常，再检测出团伙攻击的时间，而不能及时检测出会造成Web站点异常情况的团伙攻击的时间。因此，在实际发生团伙攻击到检测到Web站点异常这期间，会对Web站点的正常运行造成严重影响。

因此，如何准确检测出对Web站点的团伙攻击方式，并及时确定出团伙攻击的发生时间，是本领域技术人员目前需要解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种检测对Web站点的团伙攻击的方法，能够准确检测出对Web站点的团伙攻击方式，并及时确定出团伙攻击的发生时间；本发明的另一目的是提供一种检测对Web站点的团伙攻击的装置、设备及计算机可读存储介质，均具有上述有益效果。

为解决上述技术问题，本发明提供一种检测对Web站点的团伙攻击的方法，包括：

获取Web站点的Web审计日志，根据所述Web审计日志以及预设时间窗口获取时序特征；

利用所述时序特征中的历史时序特征训练出攻击检测模型，并利用当前时序特征更新所述攻击检测模型；

若所述当前时序特征在所述攻击检测模型中的得分超过预设阈值，将所述当前时序特征判定为异常时序特征，确定出团伙攻击时间。

优选地，在确定出所述团伙攻击时间之后，进一步包括：

根据所述团伙攻击时间和预设时间长度追溯得出对应的历史Web审计日志；

获取所述历史Web审计日志中每个IP的实体特征；

根据各所述实体特征对各所述IP进行聚类；

根据聚类结果确定出异常的聚类簇，确定出攻击团伙对应的IP。

优选地，所述根据聚类结果确定出异常的聚类簇，确定出攻击团伙对应的IP的过程，具体包括：

结合策略规则和开源情报，找出所述聚类簇中异常IP数量最多的N个目标聚类簇；

分别计算各所述目标聚类簇的簇内IP相似度和策略规则告警相似度；