亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

CC攻擊的檢測方法及裝置與流程

文檔序號:11180680閱讀:1781來源:國知局
CC攻擊的檢測方法及裝置與流程

本發(fā)明涉及網(wǎng)絡信息安全的技術領域,尤其是涉及一種cc攻擊的檢測方法及裝置。



背景技術:

隨著互聯(lián)網(wǎng)技術的不斷發(fā)展,計算機網(wǎng)絡技術在各行各業(yè)得到了廣泛應用?;ヂ?lián)網(wǎng)應用的快速發(fā)展,伴生了許多安全漏洞。這些漏洞,會使計算機遭受病毒和黑客攻擊,從而可能導致數(shù)據(jù)丟失,嚴重可能導致用戶數(shù)據(jù)丟失或財產(chǎn)損失。因此互聯(lián)網(wǎng)安全的防護是互聯(lián)網(wǎng)技術中的重點。

cc全稱為challengecollapsar,意為“挑戰(zhàn)黑洞”。cc攻擊是ddos分布式拒絕服務的一種,cc攻擊利用不斷對網(wǎng)站發(fā)送連接請求致使形成拒絕服務,且cc攻擊具備一定的隱蔽性。

目前cc攻擊檢測和防御手段大致如下:限制源ip即配置黑白名單、限制源ip的連接數(shù)、對所有的請求源ip進行統(tǒng)計并計算其請求速率。然而,如今大多數(shù)cc攻擊通常是通過大量的傀儡機對被攻擊的服務器發(fā)起請求。當被控制的傀儡機達到一定數(shù)量時,這些傀儡機發(fā)起請求的ip各不相同,黑白名單策略很難奏效;這些傀儡機ip發(fā)送的請求數(shù)并不高,不會超過ip連接數(shù)的閥值,因此配置連接數(shù)閥值手段也很容易被繞過;這些傀儡機ip的請求速率也不一定很高,低于請求速率的閥值、發(fā)向每個網(wǎng)站的每個url的請求速率是不固定的,設置一個ip請求速率閾值,使之適合網(wǎng)站內(nèi)所有的統(tǒng)一資源定位符(uniformresourcelocator,簡稱url)是不現(xiàn)實的。



技術實現(xiàn)要素:

有鑒于此,本發(fā)明的目的在于提供一種cc攻擊的檢測方法及裝置,以緩解了現(xiàn)有技術中存在的無法及時有效,并準確的檢測cc攻擊的技術問題。

第一方面,本發(fā)明實施例提供了一種cc攻擊的檢測方法,包括:計算web頁面正常訪問流量的第一先驗概率和所述web頁面cc攻擊訪問流量的第二先驗概率,其中,所述第一先驗概率表示樣本數(shù)據(jù)中正常訪問流量與url訪問概率相匹配的概率,所述第二先驗概率表示所述樣本數(shù)據(jù)中cc攻擊訪問流量與所述url訪問概率相匹配的概率;獲取正常訪問流量的比率和cc攻擊訪問流量的比率,所述正常訪問流量的比率和所述cc攻擊訪問流量的比率均為基于所述樣本數(shù)據(jù)確定出的;采用第一后驗概率模型,基于所述第一先驗概率和所述正常訪問流量的比率計算所述正常訪問流量的第一后驗概率;采用第二后驗概率模型,基于所述第二先驗概率和所述cc攻擊訪問流量的比率計算所述cc攻擊訪問流量的第二后驗概率;基于所述第一后驗概率和所述第二后驗概率確定所述web頁面是否受到cc攻擊。

進一步地,采用第一后驗概率模型,基于所述第一先驗概率和所述正常訪問流量的比率計算所述正常訪問流量的第一后驗概率包括:通過所述第一后驗概率計算模型計算所述第一后驗概率,其中,所述第一后驗概率計算模型表示為:p(c=正常流量|a1=a1,a2=a2,…,an=an)為所述第一后驗概率,p(c=正常流量)為所述正常訪問流量的比率,p(ai=ai|c=正常流量)為所述第一先驗概率。

進一步地,采用第二后驗概率模型,基于所述第二先驗概率和所述cc攻擊訪問流量的比率計算所述cc攻擊訪問流量的第二后驗概率包括:通過所述第二后驗概率計算模型計算所述第二后驗概率,其中,所述第二后驗概率計算模型為:p(c=cc攻擊流量|a1=a1,a2=a2,…,an=an)為所述第二后驗概率,p(c=cc攻擊流量)為所述cc攻擊訪問流量的比率,p(ai=ai|c=cc攻擊流量)為所述第二先驗概率。

進一步地,基于所述第一后驗概率和所述第二后驗概率確定web頁面是否受到cc攻擊包括:在所述第一后驗概率大于所述第二后驗概率的情況下,確定當前時刻訪問所述web頁面的訪問流量為正常流量;在所述第一后驗概率小于所述第二后驗概率的情況下,確定當前時刻訪問所述web頁面的訪問流量為cc攻擊流量。

進一步地,計算web頁面正常訪問流量的第一先驗概率和所述web頁面cc攻擊訪問流量的第二先驗概率包括:獲取實時流量訪問日志;在所述流量訪問日志中提取url和所述url的訪問時間信息;基于所述url和所述訪問時間信息確定訪問概率集合,其中,所述訪問概率集合中包括每個url的訪問概率;基于所述樣本數(shù)據(jù)和所述訪問概率集合確定所述第一先驗概率和所述第二先驗概率。

進一步地,在計算web頁面正常訪問流量的第一先驗概率和所述web頁面cc攻擊訪問流量的第二先驗概率之前,所述方法還包括:獲取所述樣本數(shù)據(jù);基于所述樣本數(shù)據(jù)確定所述正常訪問流量的比率和所述cc攻擊訪問流量的比率;基于所述正常訪問流量的比率和所述cc攻擊訪問流量的比率,采用樸素貝葉斯分類模型構(gòu)建所述第一后驗概率計算模型和所述第二后驗概率計算模型。

進一步地,基于所述樣本數(shù)據(jù)確定所述正常訪問流量的比率和所述cc攻擊訪問流量的比率包括:通過第一公式計算所述正常訪問流量的比率,其中,所述第一公式表示為:其中,a1為在所述樣本數(shù)據(jù)中統(tǒng)計出的正常流量次數(shù),b1為在所述樣本數(shù)據(jù)中統(tǒng)計出cc攻擊流量次數(shù);通過第二公式計算所述正常訪問流量的比率,其中,所述第二公式表示為:

第二方面,本發(fā)明實施例還提供一種cc攻擊的檢測裝置,包括:第一計算單元,用于計算web頁面正常訪問流量的第一先驗概率和所述web頁面cc攻擊訪問流量的第二先驗概率,其中,所述第一先驗概率表示樣本數(shù)據(jù)中正常訪問流量與url訪問概率相匹配的概率,所述第二先驗概率表示所述樣本數(shù)據(jù)中cc攻擊訪問流量與所述url訪問概率相匹配的概率;第一獲取單元,用于獲取正常訪問流量的比率和cc攻擊訪問流量的比率,所述正常訪問流量的比率和所述cc攻擊訪問流量的比率均為基于所述樣本數(shù)據(jù)確定出的;第二計算單元,用于采用第一后驗概率模型,基于所述第一先驗概率和所述正常訪問流量的比率計算所述正常訪問流量的第一后驗概率;第三計算單元,用于采用第二后驗概率模型,基于所述第二先驗概率和所述cc攻擊訪問流量的比率計算所述cc攻擊訪問流量的第二后驗概率;第一確定單元,用于基于所述第一后驗概率和所述第二后驗概率確定所述web頁面是否受到cc攻擊。

進一步地,所述第二計算單元用于:通過所述第一后驗概率計算模型計算所述第一后驗概率,其中,所述第一后驗概率計算模型表示為:p(c=正常流量|a1=a1,a2=a2,...,an=an)為所述第一后驗概率,p(c=正常流量)為所述正常訪問流量的比率,p(ai=ai|c=正常流量)為所述第一先驗概率。

進一步地,所述第三計算單元用于:通過所述第二后驗概率計算模型計算所述第二后驗概率,其中,所述第二后驗概率計算模型為:p(c=cc攻擊流量|a1=a1,a2=a2,…,an=an)為所述第二后驗概率,p(c=cc攻擊流量)為所述cc攻擊訪問流量的比率,p(ai=ai|c=cc攻擊流量)為所述第二先驗概率。

在本發(fā)明實施例中,首先計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率;然后,獲取正常訪問流量的比率和cc攻擊訪問流量的比率;接下來,采用第一后驗概率模型,基于第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一后驗概率;并采用第二后驗概率模型,基于第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二后驗概率;最后,基于第一后驗概率和第二后驗概率確定web頁面是否受到cc攻擊。在本發(fā)明實施例中,通過對無cc攻擊的日志和有cc攻擊的日志進行樣本訓練并建模,模型建立后對實時流量進行模式匹配從而檢測cc攻擊,從而達到了及時并準確的檢測出cc攻擊的目的,進而緩解了現(xiàn)有技術中存在的無法及時有效,并準確的檢測cc攻擊的技術問題,從而實現(xiàn)了提高cc攻擊檢測效率的技術效果。

本發(fā)明的其他特征和優(yōu)點將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點在說明書、權利要求書以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。

為使本發(fā)明的上述目的、特征和優(yōu)點能更明顯易懂,下文特舉較佳實施例,并配合所附附圖,作詳細說明如下。

附圖說明

為了更清楚地說明本發(fā)明具體實施方式或現(xiàn)有技術中的技術方案,下面將對具體實施方式或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施方式,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。

圖1是根據(jù)本發(fā)明實施例的一種cc攻擊的檢測方法的流程圖;

圖2是根據(jù)本發(fā)明實施例的一種cc攻擊的檢測方法的示意圖;

圖3是根據(jù)本發(fā)明實施例的一種cc攻擊的檢測裝置的示意圖;

圖4是根據(jù)本發(fā)明實施例的另一種cc攻擊的檢測裝置的示意圖。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。

實施例一:

根據(jù)本發(fā)明實施例,提供了一種cc攻擊的檢測方法的實施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行,并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

圖1是根據(jù)本發(fā)明實施例的一種cc攻擊的檢測方法的流程圖,如圖1所示,該方法包括如下步驟:

步驟s102,計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率,其中,第一先驗概率表示樣本數(shù)據(jù)中正常訪問流量與url訪問概率相匹配的概率,第二先驗概率表示樣本數(shù)據(jù)中cc攻擊訪問流量與url訪問概率相匹配的概率;

步驟s104,獲取正常訪問流量的比率和cc攻擊訪問流量的比率,正常訪問流量的比率和cc攻擊訪問流量的比率均為基于樣本數(shù)據(jù)確定出的;

步驟s106,采用第一后驗概率模型,基于第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一后驗概率;

步驟s108,采用第二后驗概率模型,基于第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二后驗概率;

步驟s110,基于第一后驗概率和第二后驗概率確定web頁面是否受到cc攻擊。

在本發(fā)明實施例中,首先計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率;然后,獲取正常訪問流量的比率和cc攻擊訪問流量的比率;接下來,采用第一后驗概率模型,基于第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一后驗概率;并采用第二后驗概率模型,基于第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二后驗概率;最后,基于第一后驗概率和第二后驗概率確定web頁面是否受到cc攻擊。在本發(fā)明實施例中,通過對無cc攻擊的日志和有cc攻擊的日志進行樣本訓練并建模,模型建立后對實時流量進行模式匹配從而檢測cc攻擊,從而達到了及時并準確的檢測出cc攻擊的目的,進而緩解了現(xiàn)有技術中存在的無法及時有效,并準確的檢測cc攻擊的技術問題,從而實現(xiàn)了提高cc攻擊檢測效率的技術效果。

在本發(fā)明實施例中,在計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率之前,還需要構(gòu)建后驗概率計算模型(即,第一后驗概率計算模型和第二后驗概率計算模型),在構(gòu)建后驗概率計算模型時,是基于樣本數(shù)據(jù)來構(gòu)建的,其中,樣本數(shù)據(jù)中包括web頁面的無cc攻擊日志和web頁面有cc攻擊日志,具體過程描述如下:

首先,獲取樣本數(shù)據(jù);

然后,基于樣本數(shù)據(jù)確定正常訪問流量的比率和cc攻擊訪問流量的比率;

最后,基于正常訪問流量的比率和cc攻擊訪問流量的比率,采用樸素貝葉斯分類模型構(gòu)建第一后驗概率計算模型和第二后驗概率計算模型。

具體地,首先搜集m份受保護對象(例如,受保護web網(wǎng)頁)的訪問流量,并且已知這些流量中包括正常流量和cc攻擊流量;然后,對該訪問流量進行分類統(tǒng)計得到點擊率矩陣a(即,樣本數(shù)據(jù))。

其中,點擊率矩陣a的表達式為:在本發(fā)明實施例中,在矩陣a中,正常流量為第一行至第x行,cc攻擊流量為第x+1行至第m行。在該矩陣中,aij表示第i份訪問流量中第j個url出現(xiàn)的概率。需要說明的是,樣本數(shù)據(jù)是由受保護對象服務商提供,樣本數(shù)據(jù)的質(zhì)量和數(shù)量通常是決定一個模型性能的關鍵因素。

在確定出樣本數(shù)據(jù)之后,就可以基于樣本數(shù)據(jù)確定正常訪問流量的比率和cc攻擊訪問流量的比率。

在一個可選的實施方式中,基于樣本數(shù)據(jù)確定正常訪問流量的比率和cc攻擊訪問流量的比率的過程描述如下:

通過第一公式計算正常訪問流量的比率,其中,第一公式表示為:其中,a1為在樣本數(shù)據(jù)中統(tǒng)計出的正常流量次數(shù),b1為在樣本數(shù)據(jù)中統(tǒng)計出cc攻擊流量次數(shù);

通過第二公式計算正常訪問流量的比率,其中,第二公式表示為:

需要說明的是,上述第一公式和第二公式中的次數(shù)是在樣本數(shù)據(jù)中計算得到的。

在本發(fā)明實施例中,可以通過下述方式計算正常訪問流量的比率:p(c=正常流量)=正常流量次數(shù)a1/(正常流量次數(shù)a1+cc攻擊流量次數(shù)b1)。

在本發(fā)明實施例中,可以通過下述方式計算cc攻擊訪問流量的比率:p(c=cc攻擊流量)=cc攻擊流量次數(shù)b1/(正常流量次數(shù)a1+cc攻擊流量次數(shù)b1)。

在確定出上述cc攻擊訪問流量的比率和正常訪問流量的比率之后,就可以構(gòu)建第一后驗概率模型和構(gòu)建第二后驗概率模型。

在本發(fā)明實施例中,可以通過樸素貝葉斯分類器建立后驗概率模型,例如,通過公式:構(gòu)建第一后驗概率模型;以及,通過公式構(gòu)建第二后驗概率模型。需要說明的是,在上述公式中,p(a1=a1,a2=a2,…,an=an)是一個常量。

在構(gòu)建上述第一后驗概率模型和第二后驗概率模型之后,就可以對實時訪問流量進行模式匹配從而檢測cc攻擊。

在對實時訪問流量進行模式匹配來檢測cc攻擊時,首先,計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率,具體計算步驟包括如下:

步驟s1021,獲取實時流量訪問日志;

步驟s1022,在流量訪問日志中提取url和url的訪問時間信息;

步驟s1023,基于url和訪問時間信息確定訪問概率集合,其中,訪問概率集合中包括每個url的訪問概率;

步驟s1024,基于樣本數(shù)據(jù)和訪問概率集合確定第一先驗概率和第二先驗概率。

首先,從實時流量訪問日志中,按字段來提取url和訪問時間信息,得到提取結(jié)果。然后,根據(jù)提取結(jié)果,計算實時訪問流量中,每個url訪問概率,得到訪問概率集合:[a1、a2、…、an]。

在確定出上述訪問概率集合之后,就可以結(jié)合樣本數(shù)據(jù)和訪問概率集合來計算先驗概率。

其中,計算得到的正常流量先驗概率(即,第一先驗概率)表示為:p(ai=ai|c=正常流量),i∈1,2,…,n,其中,該正常流量先驗概率表示為樣本數(shù)據(jù)中正常訪問流量即1…x行中第i列匹配到與訪問概率集合中ai值相等的概率。計算得到的cc攻擊流量先驗概率(即,第二先驗概率)表示為:p(ai=ai|c=cc攻擊流量),i∈1,2,…,n,其中,該cc攻擊流量先驗概率表示為樣本數(shù)據(jù)中cc攻擊訪問流量即x+1…m行中第i列匹配到與訪問概率集合中ai值相等的概率。

在確定出第一先驗概率,第二先驗概率,以及確定出正常訪問流量的比率和cc攻擊訪問流量的比率之后,就可以通過后驗概率模型來確定第一后驗概率和第二后驗概率。

在一個可選的實施方式中,上述步驟s106,即,采用第一后驗概率模型,基于第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一后驗概率包括如下步驟:

步驟s1061,通過第一后驗概率計算模型計算第一后驗概率,其中,第一后驗概率計算模型表示為:p(c=正常流量|a1=a1,a2=a2,…,an=an)為第一后驗概率,p(c=正常流量)為正常訪問流量的比率,p(ai=ai|c=正常流量)為第一先驗概率。

具體地,在本發(fā)明實施例中,可以將常量p(a1=a1,a2=a2,…,an=an)、p(c=正常流量),以及正常訪問流量的比率p(ai=ai|c=正常流量),i∈1,2,…,n代入到建立的第一后驗概率模型中,計算出正常流量第一后驗概率p(c=正常流量|a1=a1,a2=a2,…,an=an)。

在一個可選的實施方式中,上述步驟s108,即,采用第二后驗概率模型,基于第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二后驗概率包括如下步驟:

步驟s1081,通過第二后驗概率計算模型計算第二后驗概率,其中,第二后驗概率計算模型為:p(c=cc攻擊流量|a1=a1,a2=a2,…,an=an)為第二后驗概率,p(c=cc攻擊流量)為cc攻擊訪問流量的比率,p(ai=ai|c=cc攻擊流量)為第二先驗概率。

將常量p(a1=a1,a2=a2,…,an=an)、p(c=cc攻擊流量)、以及cc攻擊流量先驗概率(即,上述第二先驗概率)p(ai=ai|c=cc攻擊流量),i∈1,2,…,n代入到建立的第二后驗概率模型中,從而計算出cc攻擊流量后驗概率(即,第二后驗概率)p(c=cc攻擊流量|a1=a1,a2=a2,…,an=an)。

在本發(fā)明實施例中,在確定出上述第一后驗概率和第二后驗概率之后,就可以基于第一后驗概率和第二后驗概率確定web頁面是否受到cc攻擊,具體過程描述如下:

在第一后驗概率大于第二后驗概率的情況下,確定當前時刻訪問web頁面的訪問流量為正常流量;

在第一后驗概率小于第二后驗概率的情況下,確定當前時刻訪問web頁面的訪問流量為cc攻擊流量。

也就是說,如果正常流量后驗概率大于cc攻擊流量后驗概率,此實時流量為正常流量。如果cc攻擊流量后驗概率大于正常流量后驗概率,此實時流量為cc攻擊。

綜上各實施例提供的cc攻擊的檢測方法,為了直觀理解上述過程,以圖2所示的cc攻擊的檢測方法的示意圖為例進行說明,該方法主要包括:

首先,獲取樣本數(shù)據(jù);然后,對樣本數(shù)據(jù)進行機器學習處理,其中,機器學習指讓計算機從已知類別的樣本數(shù)據(jù),采用樸素貝葉斯分類器,建立模型參數(shù)。

上述樣本數(shù)據(jù)的獲取和機器學習處理具體包括以下步驟:

a1、樣本數(shù)據(jù)

搜集m份受保護對象的訪問流量,并且已知這些流量中正常流量和cc攻擊流量,然后進行分類統(tǒng)計得到點擊率矩陣(即,樣本數(shù)據(jù))。其中,該點擊率矩陣表示為:其中,在矩陣a中,正常流量為第一行至第x行,cc攻擊流量為第x+1行至第m行。在該矩陣中,aij表示第i份訪問流量中第j個url出現(xiàn)的概率。需要說明的是,樣本數(shù)據(jù)是由受保護對象服務商提供,樣本數(shù)據(jù)的質(zhì)量和數(shù)量通常是決定一個模型性能的關鍵因素。

a2、建立模型

在本發(fā)明實施例中,可以通過樸素貝葉斯分類器建立后驗概率模型,例如,通過公式:構(gòu)建第一后驗概率模型;以及通過公式構(gòu)建第二后驗概率模型。需要說明的是,在上述公式中,p(a1=a1,a2=a2,…,an=an)是一個常量。其中,zz是一個常量p(a1=a1,a2=a2,…,an=an)。

在建立后驗概率模型之后,就可以基于樣本數(shù)據(jù)計算正常訪問流量的比率p(c=正常流量)和cc攻擊訪問流量的比率p(c=cc攻擊流量)。

其中,正常訪問流量的比率可以通過下述公式來計算:p(c=正常流量)=正常流量次數(shù)/正常流量次數(shù)+cc攻擊流量次數(shù)。

cc攻擊訪問流量的比率可以通過下述公式來計算:p(c=cc攻擊流量)=cc攻擊流量次數(shù)/正常流量次數(shù)+cc攻擊流量次數(shù)。

需要說明的是,在上述公式中的次數(shù)是在樣本數(shù)據(jù)中計算得出次數(shù)。

計算先驗概率:從步驟a中的后驗概率模型可知,計算后驗概率需先計算出正常流量先驗概率p(ai=ai|c=正常流量),i∈1,2,…,n、cc攻擊流量先驗概率p(ai=ai|c=cc攻擊流量),i∈1,2,…,n。具體步驟如下:

b、計算正常流量先驗概率(即,第一先驗概率)和cc攻擊流量先驗概率(即,第二先驗概率),其中,計算先驗概率包括如下步驟:

b1、提取訪問樣本:從實時流量訪問日志按字段來提取url、訪問時間信息。

b2、計算訪問概率:根據(jù)步驟b1結(jié)果,計算實時訪問流量中,每個url訪問概率[a1、a2、…、an]。

b3、計算先驗概率。

計算得到的正常流量先驗概率(即,第一先驗概率)表示為:p(ai=ai|c=正常流量),i∈1,2,…,n,其中,該正常流量先驗概率表示為樣本數(shù)據(jù)中正常訪問流量即1…x行中第i列匹配到與訪問概率集合中ai值相等的概率。計算得到的cc攻擊流量先驗概率(即,第二先驗概率)表示為:p(ai=ai|c=cc攻擊流量),i∈1,2,…,n,其中,該cc攻擊流量先驗概率表示為樣本數(shù)據(jù)中cc攻擊訪問流量即x+1…m行中第i列匹配到與訪問概率集合中ai值相等的概率。

c、計算正常流量后驗概率(即,第一后驗概率)和cc攻擊流量后驗概率(即,第二后驗概率),其中,計算后驗概率包括如下步驟:

c1、正常流量后驗概率。

將常量p(a1=a1,a2=a2,…,an=an)、p(c=正常流量)、步驟b3的正常流量先驗概率p(ai=ai|c=正常流量),i∈1,2,…,n代入到a2建立的后驗概率模型中,計算出正常流量后驗概率p(c=正常流量|a1=a1,a2=a2,…,an=an)

c2、cc攻擊流量后驗概率。

將常量p(a1=a1,a2=a2,…,an=an)、p(c=cc攻擊流量)、步驟b3的cc攻擊流量先驗概率p(ai=ai|c=cc攻擊流量),i∈1,2,…,n代入到a2建立的后驗概率模型中,計算出cc攻擊流量后驗概率p(c=cc攻擊流量|a1=a1,a2=a2,…,an=an)。

d、檢測cc攻擊

如果正常流量后驗概率大于cc攻擊流量后驗概率,此實時流量為正常流量。如果cc攻擊流量后驗概率大于正常流量后驗概率,此實時流量為cc攻擊。具體實現(xiàn)過程如上,這里不再贅述。

實施例二:

本發(fā)明實施例還提供了一種cc攻擊的檢測裝置,該cc攻擊的檢測裝置主要用于執(zhí)行本發(fā)明實施例上述內(nèi)容所提供的cc攻擊的檢測方法,以下對本發(fā)明實施例提供的cc攻擊的檢測裝置做具體介紹。

圖3是根據(jù)本發(fā)明實施例的一種cc攻擊的檢測裝置的示意圖,如圖3所示,該cc攻擊的檢測裝置主要包括:第一計算單元31,第一獲取單元32,第二計算單元33,第三計算單元34和第一確定單元35,其中:

第一計算單元31,用于計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率,其中,第一先驗概率表示樣本數(shù)據(jù)中正常訪問流量與url訪問概率相匹配的概率,第二先驗概率表示樣本數(shù)據(jù)中cc攻擊訪問流量與url訪問概率相匹配的概率;

第一獲取單元32,用于獲取正常訪問流量的比率和cc攻擊訪問流量的比率,正常訪問流量的比率和cc攻擊訪問流量的比率均為基于樣本數(shù)據(jù)確定出的;

第二計算單元33,用于采用第一后驗概率模型,基于第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一后驗概率;

第三計算單元34,用于采用第二后驗概率模型,基于第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二后驗概率;

第一確定單元35,用于基于第一后驗概率和第二后驗概率確定web頁面是否受到cc攻擊。

在本發(fā)明實施例中,首先計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率;然后,獲取正常訪問流量的比率和cc攻擊訪問流量的比率;接下來,采用第一后驗概率模型,基于第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一后驗概率;并采用第二后驗概率模型,基于第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二后驗概率;最后,基于第一后驗概率和第二后驗概率確定web頁面是否受到cc攻擊。在本發(fā)明實施例中,通過對無cc攻擊的日志和有cc攻擊的日志進行樣本訓練并建模,模型建立后對實時流量進行模式匹配從而檢測cc攻擊,從而達到了及時并準確的檢測出cc攻擊的目的,進而緩解了現(xiàn)有技術中存在的無法及時有效,并準確的檢測cc攻擊的技術問題,從而實現(xiàn)了提高cc攻擊檢測效率的技術效果。

可選地,第二計算單元用于:通過第一后驗概率計算模型計算第一后驗概率,其中,第一后驗概率計算模型表示為:p(c=正常流量|a1=a1,a2=a2,...,an=an)為第一后驗概率,p(c=正常流量)為正常訪問流量的比率,p(ai=ai|c=正常流量)為第一先驗概率。

可選地,第三計算單元用于:通過第二后驗概率計算模型計算第二后驗概率,其中,第二后驗概率計算模型為:p(c=cc攻擊流量|a1=a1,a2=a2,…,an=an)為第二后驗概率,p(c=cc攻擊流量)為cc攻擊訪問流量的比率,p(ai=ai|c=cc攻擊流量)為第二先驗概率。

可選地,第一確定單元用于:在第一后驗概率大于第二后驗概率的情況下,確定當前時刻訪問web頁面的訪問流量為正常流量;在第一后驗概率小于第二后驗概率的情況下,確定當前時刻訪問web頁面的訪問流量為cc攻擊流量。

可選地,第一計算單元用于:獲取實時流量訪問日志;在流量訪問日志中提取url和url的訪問時間信息;基于url和訪問時間信息確定訪問概率集合,其中,訪問概率集合中包括每個url的訪問概率;基于樣本數(shù)據(jù)和訪問概率集合確定第一先驗概率和第二先驗概率。

可選地,如圖4所示,該裝置還包括:第二獲取單元41,用于在計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率之前,獲取樣本數(shù)據(jù);第二確定單元42,用于基于樣本數(shù)據(jù)確定正常訪問流量的比率和cc攻擊訪問流量的比率;構(gòu)建單元43,用于基于正常訪問流量的比率和cc攻擊訪問流量的比率,采用樸素貝葉斯分類模型構(gòu)建第一后驗概率計算模型和第二后驗概率計算模型。

可選地,第二確定單元用于:通過第一公式計算正常訪問流量的比率,其中,第一公式表示為:其中,a1為在樣本數(shù)據(jù)中統(tǒng)計出的正常流量次數(shù),b1為在樣本數(shù)據(jù)中統(tǒng)計出cc攻擊流量次數(shù);通過第二公式計算正常訪問流量的比率,其中,第二公式表示為:

另外,在本發(fā)明實施例的描述中,除非另有明確的規(guī)定和限定,術語“安裝”、“相連”、“連接”應做廣義理解,例如,可以是固定連接,也可以是可拆卸連接,或一體地連接;可以是機械連接,也可以是電連接;可以是直接相連,也可以通過中間媒介間接相連,可以是兩個元件內(nèi)部的連通。對于本領域的普通技術人員而言,可以具體情況理解上述術語在本發(fā)明中的具體含義。

在本發(fā)明的描述中,需要說明的是,術語“中心”、“上”、“下”、“左”、“右”、“豎直”、“水平”、“內(nèi)”、“外”等指示的方位或位置關系為基于附圖所示的方位或位置關系,僅是為了便于描述本發(fā)明和簡化描述,而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構(gòu)造和操作,因此不能理解為對本發(fā)明的限制。此外,術語“第一”、“第二”、“第三”僅用于描述目的,而不能理解為指示或暗示相對重要性。

本發(fā)明實施例所提供的一種cc攻擊的檢測方法及裝置的計算機程序產(chǎn)品,包括存儲了處理器可執(zhí)行的非易失的程序代碼的計算機可讀存儲介質(zhì),程序代碼包括的指令可用于執(zhí)行前面方法實施例中的方法,具體實現(xiàn)可參見方法實施例,在此不再贅述。

所屬領域的技術人員可以清楚地了解到,為描述的方便和簡潔,上述描述的系統(tǒng)、裝置和單元的具體工作過程,可以參考前述方法實施例中的對應過程,在此不再贅述。

在本申請所提供的幾個實施例中,應該理解到,所揭露的系統(tǒng)、裝置和方法,可以通過其它的方式實現(xiàn)。以上所描述的裝置實施例僅僅是示意性的,例如,單元的劃分,僅僅為一種邏輯功能劃分,實際實現(xiàn)時可以有另外的劃分方式,又例如,多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些通信接口,裝置或單元的間接耦合或通信連接,可以是電性,機械或其它的形式。

作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡單元上??梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。

功能如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時,可以存儲在一個處理器可執(zhí)行的非易失的計算機可讀取存儲介質(zhì)中?;谶@樣的理解,本發(fā)明的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例方法的全部或部分步驟。而前述的存儲介質(zhì)包括:u盤、移動硬盤、只讀存儲器(rom,read-onlymemory)、隨機存取存儲器(ram,randomaccessmemory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

最后應說明的是:以上實施例,僅為本發(fā)明的具體實施方式,用以說明本發(fā)明的技術方案,而非對其限制,本發(fā)明的保護范圍并不局限于此,盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領域的普通技術人員應當理解:任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi),其依然可以對前述實施例所記載的技術方案進行修改或可輕易想到變化,或者對其中部分技術特征進行等同替換;而這些修改、變化或者替換,并不使相應技術方案的本質(zhì)脫離本發(fā)明實施例技術方案的精神和范圍,都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應以權利要求的保護范圍為準。

當前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1