[发明专利]CC攻击检测方法及CC攻击检测装置

权利要求书

1.一种CC攻击检测方法，其特征在于，

流量解析步骤，对于历史流量日志中的HTTP协议进行解析，提取单个URI的请求频次；

特征处理步骤，从所述流量解析步骤输出的单个URI的请求频次中提取规定时间内的单个URI的请求频次的时序特征作为训练集和测试集；

机器学习步骤，基于所述训练集和测试集利用机器学习算法生成预测模型，所述预测模型用于根据当前时刻的单个URI的请求频次预测下一时刻的单个URI的请求频次；以及

实时告警步骤，将根据当前时刻的单个URI的请求频次利用所述预测模型预测得到的下一时刻的单个URI的请求频次与预先设置的告警阈值进行比较，基于比较结果判断是否发出告警。

2.如权利要求1所述的CC攻击检测方法，其特征在于，所述流量解析步骤包括：

汇聚子步骤，汇聚历史流量通信日志；

解析子步骤，从流量通信日志中解析HTTP协议的各个字段；以及

提取子步骤，从解析出的各个字段提取单个URI的请求频次并进行汇聚。

3.如权利要求1所述的CC攻击检测方法，其特征在于，

在所述提取子步骤中，以分钟级将提取的单个URI的请求频次进行汇聚。

4.如权利要求1所述的CC攻击检测方法，其特征在于，所述特征处理步骤包括：

获取子步骤，获取所述流量解析步骤输出的单个URI的请求频次；

第一提取子步骤，提取规定时间内的单个URI的请求频次的时序特征作为训练集和测试集；

清洗子步骤，对于训练集和测试集中的数据进行数据清洗；以及

第二提取子步骤，对于清洗后的数据提取单个URI的请求频次的时序特征。

5.如权利要求4所述的CC攻击检测方法，其特征在于，

在所述第一提取子步骤中，按时序将所提取的规定时间内的单个URI的请求频次的时序特征分为训练集和测试集。

6.如权利要求4所述的CC攻击检测方法，其特征在于，

在所述第二提取子步骤中，提取特定时刻的单个URI的请求频次的时序特征。

7.如权利要求4所述的CC攻击检测方法，其特征在于，

在所述第二提取子步骤中，所提取的此时刻的单个URI的请求频次的时序特征包括以下的一项或多项：

前n天同一分钟请求次数；

前n天该小时请求次数均值；以及

该时刻前24小时的请求次数均值，其中，n为正整数。

8.如权利要求7所述的CC攻击检测方法，其特征在于，所述机器学习步骤包括：

获取子步骤，获取单个URI的请求频次的时序特征构成的训练集和测试集；

模型建立子步骤，基于所述训练集和测试集利用机器学习算法建立预测模型；以及

优化子步骤，选取URI的真实值来验证所述模型建立子步骤建立的预测模型，当利用预测模型得到的测试值与所述真实值的拟合优度不满足规定条件的情况下，优化预测模型参数直至拟合优度满足规定条件。

9.如权利要求8所述的CC攻击检测方法，其特征在于，

在所述模型建立子步骤中，按照以下公式建立多元线性回归模型：

其中，为时序特征，为回归系数，y为因变量，k为提取的时序特征的个数。

10.如权利要求7所述的CC攻击检测方法，其特征在于，

在所述第二提取子步骤中，所提取的此时刻的单个URI的请求频次的时序特征包括以下：

前n天同一分钟请求次数；

前n天该小时请求次数均值；

该时刻前24小时的请求次数均值；

节假日的权重量化；以及

营销活动的权重量化，

其中，n为正整数。