[发明专利]网络攻击的识别方法、装置及设备

说明书

本申请公开了一种网络攻击的识别方法、装置及设备，涉及网络安全技术领域，通过对网络数据进行综合分析，可精确判定网络来源IP地址是否为攻击地址，减少用户误封率，无需加载或修改程序，提高服务端处理效率。其中方法包括：获取接入被攻击服务器的来源地址；获取SDK请求成功的地址列表，并基于SDK请求成功的地址列表，判断所述地址列表中是否存在所述来源地址；若不存在，则将所述来源地址作为异常接入地址，并拦截所述异常接入地址的访问权限。

技术领域

本申请涉及网络安全技术领域，尤其是涉及到一种网络攻击的识别方法、装置及设备。

背景技术

随着网络应用深入人们生活和工作，网络攻击也层出不穷，尤其针对互联网游戏中的网络攻击，玩家需要连接到游戏服务器和频繁更新的在线游戏，攻击者视图解析网络游戏中的源代码，进而寻找可以用于攻击的漏洞，对游戏中的源代码进行网络攻击。

目前，网络游戏中经常会遇到的网络攻击有应用层的cc攻击，cc攻击在网络上有多种技术实现，具体可通过模拟用户的请求进行高频的并发访问。对于cc攻击的识别方式主要有两种方式，一种是综合URL请求、响应码等分布特征来判断异常行为中的恶意特征攻击，进而拦截针对请求中的常见头部字段内出现的恶意特征以配置访问控制，这种识别方式虽然可以过滤掉一些比较主流的攻击方式，但在策略生效时会对现有用户造成失去连接，也就是误封的情况，并且随着攻击者变换攻击手段，用户的误封率随之增加，影响游戏网络的运营；另一种是通过在客户端/服务端之间通讯协议中增加特征包，进而对非法流量的识别以配置访问控制，这种方式会带来网络封包的增加，导致服务端处理能力下降而造成网络稳定性较差，影响用户游戏体验。

发明内容

有鉴于此，本申请提供了一种网络攻击的识别方法、装置及设备，主要目的在于解决现有技术中用户误封率较高以及网络稳定性较差的问题。

根据本申请的第一个方面，提供了一种网络攻击的识别方法，该方法包括：

获取接入被攻击服务器的来源地址；

获取SDK请求成功的地址列表，并基于SDK请求成功的地址列表，判断所述地址列表中是否存在所述来源地址；

若不存在，则将所述来源地址作为异常接入地址，并拦截所述异常接入地址的访问权限。

在另一个实施例中，在所述获取接入被攻击服务器的来源地址之前，所述方法还包括：

监控网络请求所接入地址信息的流量数据以及所述网络请求所产生的资源占用率；

若所述流量数据达到第一预设值和/或所述资源占用率达到第二预设值，则获取接入被攻击服务器的来源地址。

在另一个实施例中，所述获取接入被攻击服务器的来源地址，具体包括：

基于接入被攻击服务器的地址信息，统计所述被攻击服务器的连接信息；

从所述接入被攻击服务器的地址信息中筛选出所述连接信息满足预设条件的地址信息作为来源地址。

在另一个实施例中，所述从所述接入被攻击服务器的地址信息中筛选出所述连接信息满足预设条件的地址信息作为来源地址，具体包括：

基于所述被攻击服务器的连接信息，查询预设时间内被攻击服务器针对各个地址信息所形成的接入次数；

从所述接入被攻击服务器的地址信息中筛选出所述接入次数达到预设数值的地址信息作为来源地址。

在另一个实施例中，所述获取SDK请求成功的地址列表，具体包括：

基于所述被攻击服务器的连接信息，获取接入被攻击服务器的来源地址的起始时间点；

收集在所述起始时间点之后上传的SDK日志；