[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN107231383B - Cc攻击的检测方法及装置 - Google Patents

Cc攻击的检测方法及装置 Download PDF

Info

Publication number
CN107231383B
CN107231383B CN201710655723.9A CN201710655723A CN107231383B CN 107231383 B CN107231383 B CN 107231383B CN 201710655723 A CN201710655723 A CN 201710655723A CN 107231383 B CN107231383 B CN 107231383B
Authority
CN
China
Prior art keywords
probability
access
attack
traffic
normal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710655723.9A
Other languages
English (en)
Other versions
CN107231383A (zh
Inventor
范渊
徐静
郭晓
龙文洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201710655723.9A priority Critical patent/CN107231383B/zh
Publication of CN107231383A publication Critical patent/CN107231383A/zh
Application granted granted Critical
Publication of CN107231383B publication Critical patent/CN107231383B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种CC攻击的检测方法及装置,涉及网络信息安全的技术领域,该方法包括:计算Web页面正常访问流量的第一先验概率和Web页面CC攻击访问流量的第二先验概率;获取正常访问流量的比率和CC攻击访问流量的比率,正常访问流量的比率和CC攻击访问流量的比率均为基于样本数据确定出的;采用第一后验概率模型,基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率;采用第二后验概率模型,基于第二先验概率和CC攻击访问流量的比率计算CC攻击访问流量的第二后验概率;基于第一后验概率和第二后验概率确定Web页面是否受到CC攻击,缓解了现有技术中存在的无法及时有效,并准确的检测CC攻击的技术问题。

Description

CC攻击的检测方法及装置
技术领域
本发明涉及网络信息安全的技术领域,尤其是涉及一种CC攻击的检测方法及装置。
背景技术
随着互联网技术的不断发展,计算机网络技术在各行各业得到了广泛应用。互联网应用的快速发展,伴生了许多安全漏洞。这些漏洞,会使计算机遭受病毒和黑客攻击,从而可能导致数据丢失,严重可能导致用户数据丢失或财产损失。因此互联网安全的防护是互联网技术中的重点。
CC全称为Challenge Collapsar,意为“挑战黑洞”。CC攻击是DDOS分布式拒绝服务的一种,CC攻击利用不断对网站发送连接请求致使形成拒绝服务,且CC攻击具备一定的隐蔽性。
目前CC攻击检测和防御手段大致如下:限制源IP即配置黑白名单、限制源IP的连接数、对所有的请求源IP进行统计并计算其请求速率。然而,如今大多数CC攻击通常是通过大量的傀儡机对被攻击的服务器发起请求。当被控制的傀儡机达到一定数量时,这些傀儡机发起请求的IP各不相同,黑白名单策略很难奏效;这些傀儡机IP发送的请求数并不高,不会超过IP连接数的阀值,因此配置连接数阀值手段也很容易被绕过;这些傀儡机IP的请求速率也不一定很高,低于请求速率的阀值、发向每个网站的每个URL的请求速率是不固定的,设置一个IP请求速率阈值,使之适合网站内所有的统一资源定位符(Uniform ResourceLocator,简称URL)是不现实的。
发明内容
有鉴于此,本发明的目的在于提供一种CC攻击的检测方法及装置,以缓解了现有技术中存在的无法及时有效,并准确的检测CC攻击的技术问题。
第一方面,本发明实施例提供了一种CC攻击的检测方法,包括:计算Web页面正常访问流量的第一先验概率和所述Web页面CC攻击访问流量的第二先验概率,其中,所述第一先验概率表示样本数据中正常访问流量与URL访问概率相匹配的概率,所述第二先验概率表示所述样本数据中CC攻击访问流量与所述URL访问概率相匹配的概率;获取正常访问流量的比率和CC攻击访问流量的比率,所述正常访问流量的比率和所述CC攻击访问流量的比率均为基于所述样本数据确定出的;采用第一后验概率模型,基于所述第一先验概率和所述正常访问流量的比率计算所述正常访问流量的第一后验概率;采用第二后验概率模型,基于所述第二先验概率和所述CC攻击访问流量的比率计算所述CC攻击访问流量的第二后验概率;基于所述第一后验概率和所述第二后验概率确定所述Web页面是否受到CC攻击。
进一步地,采用第一后验概率模型,基于所述第一先验概率和所述正常访问流量的比率计算所述正常访问流量的第一后验概率包括:通过所述第一后验概率计算模型计算所述第一后验概率,其中,所述第一后验概率计算模型表示为:
Figure GDA0002203000020000021
P(C=正常流量|A1=a1,A2=a2,…,AN=aN)为所述第一后验概率,P(C=正常流量)为所述正常访问流量的比率,P(Ai=ai|C=正常流量)为所述第一先验概率。
进一步地,采用第二后验概率模型,基于所述第二先验概率和所述CC攻击访问流量的比率计算所述CC攻击访问流量的第二后验概率包括:通过所述第二后验概率计算模型计算所述第二后验概率,其中,所述第二后验概率计算模型为:
Figure GDA0002203000020000031
P(C=CC攻击流量|A1=a1,A2=a2,…,AN=aN)为所述第二后验概率,P(C=CC攻击流量)为所述CC攻击访问流量的比率,P(Ai=ai|C=CC攻击流量)为所述第二先验概率。
进一步地,基于所述第一后验概率和所述第二后验概率确定Web页面是否受到CC攻击包括:在所述第一后验概率大于所述第二后验概率的情况下,确定当前时刻访问所述Web页面的访问流量为正常流量;在所述第一后验概率小于所述第二后验概率的情况下,确定当前时刻访问所述Web页面的访问流量为CC攻击流量。
进一步地,计算Web页面正常访问流量的第一先验概率和所述Web页面CC攻击访问流量的第二先验概率包括:获取实时流量访问日志;在所述流量访问日志中提取URL和所述URL的访问时间信息;基于所述URL和所述访问时间信息确定访问概率集合,其中,所述访问概率集合中包括每个URL的访问概率;基于所述样本数据和所述访问概率集合确定所述第一先验概率和所述第二先验概率。
进一步地,在计算Web页面正常访问流量的第一先验概率和所述Web页面CC攻击访问流量的第二先验概率之前,所述方法还包括:获取所述样本数据;基于所述样本数据确定所述正常访问流量的比率和所述CC攻击访问流量的比率;基于所述正常访问流量的比率和所述CC攻击访问流量的比率,采用朴素贝叶斯分类模型构建所述第一后验概率计算模型和所述第二后验概率计算模型。
进一步地,基于所述样本数据确定所述正常访问流量的比率和所述CC攻击访问流量的比率包括:通过第一公式计算所述正常访问流量的比率,其中,所述第一公式表示为:
Figure GDA0002203000020000041
其中,B2为在所述样本数据中统计出的正常流量次数,B1为在所述样本数据中统计出CC攻击流量次数;通过第二公式计算所述攻击访问流量的比率,其中,所述第二公式表示为:
Figure GDA0002203000020000042
第二方面,本发明实施例还提供一种CC攻击的检测装置,包括:第一计算单元,用于计算Web页面正常访问流量的第一先验概率和所述Web页面CC攻击访问流量的第二先验概率,其中,所述第一先验概率表示样本数据中正常访问流量与URL访问概率相匹配的概率,所述第二先验概率表示所述样本数据中CC攻击访问流量与所述URL访问概率相匹配的概率;第一获取单元,用于获取正常访问流量的比率和CC攻击访问流量的比率,所述正常访问流量的比率和所述CC攻击访问流量的比率均为基于所述样本数据确定出的;第二计算单元,用于采用第一后验概率模型,基于所述第一先验概率和所述正常访问流量的比率计算所述正常访问流量的第一后验概率;第三计算单元,用于采用第二后验概率模型,基于所述第二先验概率和所述CC攻击访问流量的比率计算所述CC攻击访问流量的第二后验概率;第一确定单元,用于基于所述第一后验概率和所述第二后验概率确定所述Web页面是否受到CC攻击。
进一步地,所述第二计算单元用于:通过所述第一后验概率计算模型计算所述第一后验概率,其中,所述第一后验概率计算模型表示为:
Figure GDA0002203000020000051
P(C=正常流量|A1=a1,A2=a2,…,AN=aN)为所述第一后验概率,P(C=正常流量)为所述正常访问流量的比率,P(Ai=ai|C=正常流量)为所述第一先验概率。
进一步地,所述第三计算单元用于:通过所述第二后验概率计算模型计算所述第二后验概率,其中,所述第二后验概率计算模型为:
P(C=CC攻击流量|A1=a1,A2=a2,…,AN=aN)为所述第二后验概率,P(C=CC攻击流量)为所述CC攻击访问流量的比率,P(Ai=ai|C=CC攻击流量)为所述第二先验概率。
在本发明实施例中,首先计算Web页面正常访问流量的第一先验概率和Web页面CC攻击访问流量的第二先验概率;然后,获取正常访问流量的比率和CC攻击访问流量的比率;接下来,采用第一后验概率模型,基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率;并采用第二后验概率模型,基于第二先验概率和CC攻击访问流量的比率计算CC攻击访问流量的第二后验概率;最后,基于第一后验概率和第二后验概率确定Web页面是否受到CC攻击。在本发明实施例中,通过对无CC攻击的日志和有CC攻击的日志进行样本训练并建模,模型建立后对实时流量进行模式匹配从而检测CC攻击,从而达到了及时并准确的检测出CC攻击的目的,进而缓解了现有技术中存在的无法及时有效,并准确的检测CC攻击的技术问题,从而实现了提高CC攻击检测效率的技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种CC攻击的检测方法的流程图;
图2是根据本发明实施例的一种CC攻击的检测方法的示意图;
图3是根据本发明实施例的一种CC攻击的检测装置的示意图;
图4是根据本发明实施例的另一种CC攻击的检测装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
根据本发明实施例,提供了一种CC攻击的检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种CC攻击的检测方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,计算Web页面正常访问流量的第一先验概率和Web页面CC攻击访问流量的第二先验概率,其中,第一先验概率表示样本数据中正常访问流量与URL访问概率相匹配的概率,第二先验概率表示样本数据中CC攻击访问流量与URL访问概率相匹配的概率;
步骤S104,获取正常访问流量的比率和CC攻击访问流量的比率,正常访问流量的比率和CC攻击访问流量的比率均为基于样本数据确定出的;
步骤S106,采用第一后验概率模型,基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率;
步骤S108,采用第二后验概率模型,基于第二先验概率和CC攻击访问流量的比率计算CC攻击访问流量的第二后验概率;
步骤S110,基于第一后验概率和第二后验概率确定Web页面是否受到CC攻击。
在本发明实施例中,首先计算Web页面正常访问流量的第一先验概率和Web页面CC攻击访问流量的第二先验概率;然后,获取正常访问流量的比率和CC攻击访问流量的比率;接下来,采用第一后验概率模型,基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率;并采用第二后验概率模型,基于第二先验概率和CC攻击访问流量的比率计算CC攻击访问流量的第二后验概率;最后,基于第一后验概率和第二后验概率确定Web页面是否受到CC攻击。在本发明实施例中,通过对无CC攻击的日志和有CC攻击的日志进行样本训练并建模,模型建立后对实时流量进行模式匹配从而检测CC攻击,从而达到了及时并准确的检测出CC攻击的目的,进而缓解了现有技术中存在的无法及时有效,并准确的检测CC攻击的技术问题,从而实现了提高CC攻击检测效率的技术效果。
在本发明实施例中,在计算Web页面正常访问流量的第一先验概率和Web页面CC攻击访问流量的第二先验概率之前,还需要构建后验概率计算模型(即,第一后验概率计算模型和第二后验概率计算模型),在构建后验概率计算模型时,是基于样本数据来构建的,其中,样本数据中包括Web页面的无CC攻击日志和Web页面有CC攻击日志,具体过程描述如下:
首先,获取样本数据;
然后,基于样本数据确定正常访问流量的比率和CC攻击访问流量的比率;
最后,基于正常访问流量的比率和CC攻击访问流量的比率,采用朴素贝叶斯分类模型构建第一后验概率计算模型和第二后验概率计算模型。
具体地,首先搜集m份受保护对象(例如,受保护Web网页)的访问流量,并且已知这些流量中包括正常流量和CC攻击流量;然后,对该访问流量进行分类统计得到点击率矩阵A(即,样本数据)。
其中,点击率矩阵A的表达式为:
Figure GDA0002203000020000081
在本发明实施例中,在矩阵A中,正常流量为第一行至第x行,CC攻击流量为第x+1行至第m行。在该矩阵中,aij表示第i份访问流量中第j个URL出现的概率。需要说明的是,样本数据是由受保护对象服务商提供,样本数据的质量和数量通常是决定一个模型性能的关键因素。
在确定出样本数据之后,就可以基于样本数据确定正常访问流量的比率和CC攻击访问流量的比率。
在一个可选的实施方式中,基于样本数据确定正常访问流量的比率和CC攻击访问流量的比率的过程描述如下:
通过第一公式计算正常访问流量的比率,其中,第一公式表示为:
Figure GDA0002203000020000092
其中,B2为在样本数据中统计出的正常流量次数,B1为在样本数据中统计出CC攻击流量次数;
通过第二公式计算攻击访问流量的比率,其中,第二公式表示为:
Figure GDA0002203000020000093
需要说明的是,上述第一公式和第二公式中的次数是在样本数据中计算得到的。
在本发明实施例中,可以通过下述方式计算正常访问流量的比率:P(C=正常流量)=正常流量次数B2/(正常流量次数B2+CC攻击流量次数B1)。
在本发明实施例中,可以通过下述方式计算CC攻击访问流量的比率:P(C=CC攻击流量)=CC攻击流量次数B1/(正常流量次数B2+CC攻击流量次数B1)。
在确定出上述CC攻击访问流量的比率和正常访问流量的比率之后,就可以构建第一后验概率模型和构建第二后验概率模型。
在本发明实施例中,可以通过朴素贝叶斯分类器建立后验概率模型,例如,通过公式:
Figure GDA0002203000020000101
构建第一后验概率模型;以及,通过公式
Figure GDA0002203000020000102
构建第二后验概率模型。需要说明的是,在上述公式中,P(A1=a1,A2=a2,…,AN=aN)是一个常量。
在构建上述第一后验概率模型和第二后验概率模型之后,就可以对实时访问流量进行模式匹配从而检测CC攻击。
在对实时访问流量进行模式匹配来检测CC攻击时,首先,计算Web页面正常访问流量的第一先验概率和Web页面CC攻击访问流量的第二先验概率,具体计算步骤包括如下:
步骤S1021,获取实时流量访问日志;
步骤S1022,在流量访问日志中提取URL和URL的访问时间信息;
步骤S1023,基于URL和访问时间信息确定访问概率集合,其中,访问概率集合中包括每个URL的访问概率;
步骤S1024,基于样本数据和访问概率集合确定第一先验概率和第二先验概率。
首先,从实时流量访问日志中,按字段来提取URL和访问时间信息,得到提取结果。然后,根据提取结果,计算实时访问流量中,每个URL访问概率,得到访问概率集合:[a1、a2、…、an]。
在确定出上述访问概率集合之后,就可以结合样本数据和访问概率集合来计算先验概率。
其中,计算得到的正常流量先验概率(即,第一先验概率)表示为:P(Ai=ai|C=正常流量),i∈1,2,…,N,其中,该正常流量先验概率表示为样本数据中正常访问流量即1…x行中第i列匹配到与访问概率集合中ai值相等的概率。计算得到的CC攻击流量先验概率(即,第二先验概率)表示为:P(Ai=ai|C=CC攻击流量),i∈1,2,…,N,其中,该CC攻击流量先验概率表示为样本数据中CC攻击访问流量即x+1…m行中第i列匹配到与访问概率集合中ai值相等的概率。
在确定出第一先验概率,第二先验概率,以及确定出正常访问流量的比率和CC攻击访问流量的比率之后,就可以通过后验概率模型来确定第一后验概率和第二后验概率。
在一个可选的实施方式中,上述步骤S106,即,采用第一后验概率模型,基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率包括如下步骤:
步骤S1061,通过第一后验概率计算模型计算第一后验概率,其中,第一后验概率计算模型表示为:
Figure GDA0002203000020000111
P(C=正常流量|A1=a1,A2=a2,…,AN=aN)为第一后验概率,P(C=正常流量)为正常访问流量的比率,P(Ai=ai|C=正常流量)为第一先验概率。
具体地,在本发明实施例中,可以将常量P(A1=a1,A2=a2,…,AN=aN)、P(C=正常流量),以及正常访问流量的比率P(Ai=ai|C=正常流量),i∈1,2,…,N代入到建立的第一后验概率模型中,计算出正常流量第一后验概率P(C=正常流量|A1=a1,A2=a2,…,AN=aN)。
在一个可选的实施方式中,上述步骤S108,即,采用第二后验概率模型,基于第二先验概率和CC攻击访问流量的比率计算CC攻击访问流量的第二后验概率包括如下步骤:
步骤S1081,通过第二后验概率计算模型计算第二后验概率,其中,第二后验概率计算模型为:
Figure GDA0002203000020000121
P(C=CC攻击流量|A1=a1,A2=a2,…,AN=aN)为第二后验概率,P(C=CC攻击流量)为CC攻击访问流量的比率,P(Ai=ai|C=CC攻击流量)为第二先验概率。
将常量P(A1=a1,A2=a2,…,AN=aN)、P(C=CC攻击流量)、以及CC攻击流量先验概率(即,上述第二先验概率)P(Ai=ai|C=CC攻击流量),i∈1,2,…,N代入到建立的第二后验概率模型中,从而计算出CC攻击流量后验概率(即,第二后验概率)P(C=CC攻击流量|A1=a1,A2=a2,…,AN=aN)。
在本发明实施例中,在确定出上述第一后验概率和第二后验概率之后,就可以基于第一后验概率和第二后验概率确定Web页面是否受到CC攻击,具体过程描述如下:
在第一后验概率大于第二后验概率的情况下,确定当前时刻访问Web页面的访问流量为正常流量;
在第一后验概率小于第二后验概率的情况下,确定当前时刻访问Web页面的访问流量为CC攻击流量。
也就是说,如果正常流量后验概率大于CC攻击流量后验概率,此实时流量为正常流量。如果CC攻击流量后验概率大于正常流量后验概率,此实时流量为CC攻击。
综上各实施例提供的CC攻击的检测方法,为了直观理解上述过程,以图2所示的CC攻击的检测方法的示意图为例进行说明,该方法主要包括:
首先,获取样本数据;然后,对样本数据进行机器学习处理,其中,机器学习指让计算机从已知类别的样本数据,采用朴素贝叶斯分类器,建立模型参数。
上述样本数据的获取和机器学习处理具体包括以下步骤:
A1、样本数据
搜集m份受保护对象的访问流量,并且已知这些流量中正常流量和CC攻击流量,然后进行分类统计得到点击率矩阵(即,样本数据)。其中,该点击率矩阵表示为:
Figure GDA0002203000020000131
其中,在矩阵A中,正常流量为第一行至第x行,CC攻击流量为第x+1行至第m行。在该矩阵中,aij表示第i份访问流量中第j个URL出现的概率。需要说明的是,样本数据是由受保护对象服务商提供,样本数据的质量和数量通常是决定一个模型性能的关键因素。
A2、建立模型
在本发明实施例中,可以通过朴素贝叶斯分类器建立后验概率模型,例如,通过公式:
Figure GDA0002203000020000132
构建第一后验概率模型;以及通过公式
Figure GDA0002203000020000133
构建第二后验概率模型。需要说明的是,在上述公式中,P(A1=a1,A2=a2,…,AN=aN)是一个常量。其中,Z是一个常量P(A1=a1,A2=a2,…,AN=aN)。
在建立后验概率模型之后,就可以基于样本数据计算正常访问流量的比率P(C=正常流量)和CC攻击访问流量的比率P(C=CC攻击流量)。
其中,正常访问流量的比率可以通过下述公式来计算:P(C=正常流量)=正常流量次数/正常流量次数+CC攻击流量次数。
CC攻击访问流量的比率可以通过下述公式来计算:P(C=CC攻击流量)=CC攻击流量次数/正常流量次数+CC攻击流量次数。
需要说明的是,在上述公式中的次数是在样本数据中计算得出次数。
计算先验概率:从步骤A中的后验概率模型可知,计算后验概率需先计算出正常流量先验概率P(Ai=ai|C=正常流量),i∈1,2,…,N、CC攻击流量先验概率P(Ai=ai|C=CC攻击流量),i∈1,2,…,N。具体步骤如下:
B、计算正常流量先验概率(即,第一先验概率)和CC攻击流量先验概率(即,第二先验概率),其中,计算先验概率包括如下步骤:
B1、提取访问样本:从实时流量访问日志按字段来提取URL、访问时间信息。
B2、计算访问概率:根据步骤B1结果,计算实时访问流量中,每个URL访问概率[a1、a2、…、an]。
B3、计算先验概率。
计算得到的正常流量先验概率(即,第一先验概率)表示为:P(Ai=ai|C=正常流量),i∈1,2,…,N,其中,该正常流量先验概率表示为样本数据中正常访问流量即1…x行中第i列匹配到与访问概率集合中ai值相等的概率。计算得到的CC攻击流量先验概率(即,第二先验概率)表示为:P(Ai=ai|C=CC攻击流量),i∈1,2,…,N,其中,该CC攻击流量先验概率表示为样本数据中CC攻击访问流量即x+1…m行中第i列匹配到与访问概率集合中ai值相等的概率。
C、计算正常流量后验概率(即,第一后验概率)和CC攻击流量后验概率(即,第二后验概率),其中,计算后验概率包括如下步骤:
C1、正常流量后验概率。
将常量P(A1=a1,A2=a2,…,AN=aN)、P(C=正常流量)、步骤B3的正常流量先验概率P(Ai=ai|C=正常流量),i∈1,2,…,N代入到A2建立的后验概率模型中,计算出正常流量后验概率P(C=正常流量|A1=a1,A2=a2,…,AN=aN)
C2、CC攻击流量后验概率。
将常量P(A1=a1,A2=a2,…,AN=aN)、P(C=CC攻击流量)、步骤B3的CC攻击流量先验概率P(Ai=ai|C=CC攻击流量),i∈1,2,…,N代入到A2建立的后验概率模型中,计算出CC攻击流量后验概率P(C=CC攻击流量|A1=a1,A2=a2,…,AN=aN)。
D、检测CC攻击
如果正常流量后验概率大于CC攻击流量后验概率,此实时流量为正常流量。如果CC攻击流量后验概率大于正常流量后验概率,此实时流量为CC攻击。具体实现过程如上,这里不再赘述。
实施例二:
本发明实施例还提供了一种CC攻击的检测装置,该CC攻击的检测装置主要用于执行本发明实施例上述内容所提供的CC攻击的检测方法,以下对本发明实施例提供的CC攻击的检测装置做具体介绍。
图3是根据本发明实施例的一种CC攻击的检测装置的示意图,如图3所示,该CC攻击的检测装置主要包括:第一计算单元31,第一获取单元32,第二计算单元33,第三计算单元34和第一确定单元35,其中:
第一计算单元31,用于计算Web页面正常访问流量的第一先验概率和Web页面CC攻击访问流量的第二先验概率,其中,第一先验概率表示样本数据中正常访问流量与URL访问概率相匹配的概率,第二先验概率表示样本数据中CC攻击访问流量与URL访问概率相匹配的概率;
第一获取单元32,用于获取正常访问流量的比率和CC攻击访问流量的比率,正常访问流量的比率和CC攻击访问流量的比率均为基于样本数据确定出的;
第二计算单元33,用于采用第一后验概率模型,基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率;
第三计算单元34,用于采用第二后验概率模型,基于第二先验概率和CC攻击访问流量的比率计算CC攻击访问流量的第二后验概率;
第一确定单元35,用于基于第一后验概率和第二后验概率确定Web页面是否受到CC攻击。
在本发明实施例中,首先计算Web页面正常访问流量的第一先验概率和Web页面CC攻击访问流量的第二先验概率;然后,获取正常访问流量的比率和CC攻击访问流量的比率;接下来,采用第一后验概率模型,基于第一先验概率和正常访问流量的比率计算正常访问流量的第一后验概率;并采用第二后验概率模型,基于第二先验概率和CC攻击访问流量的比率计算CC攻击访问流量的第二后验概率;最后,基于第一后验概率和第二后验概率确定Web页面是否受到CC攻击。在本发明实施例中,通过对无CC攻击的日志和有CC攻击的日志进行样本训练并建模,模型建立后对实时流量进行模式匹配从而检测CC攻击,从而达到了及时并准确的检测出CC攻击的目的,进而缓解了现有技术中存在的无法及时有效,并准确的检测CC攻击的技术问题,从而实现了提高CC攻击检测效率的技术效果。
可选地,第二计算单元用于:通过第一后验概率计算模型计算第一后验概率,其中,第一后验概率计算模型表示为:
Figure GDA0002203000020000171
P(C=正常流量|A1=a1,A2=a2,…,AN=aN)为第一后验概率,P(C=正常流量)为正常访问流量的比率,P(Ai=ai|C=正常流量)为第一先验概率。
可选地,第三计算单元用于:通过第二后验概率计算模型计算第二后验概率,其中,第二后验概率计算模型为:
Figure GDA0002203000020000172
P(C=CC攻击流量|A1=a1,A2=a2,…,AN=aN)为第二后验概率,P(C=CC攻击流量)为CC攻击访问流量的比率,P(Ai=ai|C=CC攻击流量)为第二先验概率。
可选地,第一确定单元用于:在第一后验概率大于第二后验概率的情况下,确定当前时刻访问Web页面的访问流量为正常流量;在第一后验概率小于第二后验概率的情况下,确定当前时刻访问Web页面的访问流量为CC攻击流量。
可选地,第一计算单元用于:获取实时流量访问日志;在流量访问日志中提取URL和URL的访问时间信息;基于URL和访问时间信息确定访问概率集合,其中,访问概率集合中包括每个URL的访问概率;基于样本数据和访问概率集合确定第一先验概率和第二先验概率。
可选地,如图4所示,该装置还包括:第二获取单元41,用于在计算Web页面正常访问流量的第一先验概率和Web页面CC攻击访问流量的第二先验概率之前,获取样本数据;第二确定单元42,用于基于样本数据确定正常访问流量的比率和CC攻击访问流量的比率;构建单元43,用于基于正常访问流量的比率和CC攻击访问流量的比率,采用朴素贝叶斯分类模型构建第一后验概率计算模型和第二后验概率计算模型。
可选地,第二确定单元用于:通过第一公式计算正常访问流量的比率,其中,第一公式表示为:
Figure GDA0002203000020000181
其中,A1为在样本数据中统计出的正常流量次数,B1为在样本数据中统计出CC攻击流量次数;通过第二公式计算正常访问流量的比率,其中,第二公式表示为:
Figure GDA0002203000020000183
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明实施例所提供的一种CC攻击的检测方法及装置的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,程序代码包括的指令可用于执行前面方法实施例中的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (5)

1.一种CC攻击的检测方法,其特征在于,包括:
计算Web页面正常访问流量的第一先验概率和所述Web页面CC攻击访问流量的第二先验概率,其中,所述第一先验概率表示样本数据中正常访问流量与URL访问概率相匹配的概率,所述第二先验概率表示所述样本数据中CC攻击访问流量与所述URL访问概率相匹配的概率;
获取正常访问流量的比率和CC攻击访问流量的比率,所述正常访问流量的比率和所述CC攻击访问流量的比率均为基于所述样本数据确定出的;
通过所述第一后验概率计算模型计算所述第一后验概率,其中,所述第一后验概率计算模型表示为:
Figure FDA0002203000010000011
P(C=正常流量|A1=a1,A2=a2,…,AN=aN)为所述第一后验概率,P(C=正常流量)为所述正常访问流量的比率,P(Ai=ai|C=正常流量)为所述第一先验概率;
通过所述第二后验概率计算模型计算所述第二后验概率,其中,所述第二后验概率计算模型为:
Figure FDA0002203000010000012
P(C=CC攻击流量|A1=a1,A2=a2,…,AN=aN)为所述第二后验概率,P(C=CC攻击流量)为所述CC攻击访问流量的比率,P(Ai=ai|C=CC攻击流量)为所述第二先验概率;其中,Z为常量,ai为访问概率集合中的元素,N为i的最大取值;
在所述第一后验概率大于所述第二后验概率的情况下,确定当前时刻访问所述Web页面的访问流量为正常流量;
在所述第一后验概率小于所述第二后验概率的情况下,确定当前时刻访问所述Web页面的访问流量为CC攻击流量。
2.根据权利要求1所述的方法,其特征在于,计算Web页面正常访问流量的第一先验概率和所述Web页面CC攻击访问流量的第二先验概率包括:
获取实时流量访问日志;
在所述流量访问日志中提取URL和所述URL的访问时间信息;
基于所述URL和所述访问时间信息确定访问概率集合,其中,所述访问概率集合中包括每个URL的访问概率;
基于所述样本数据和所述访问概率集合确定所述第一先验概率和所述第二先验概率。
3.根据权利要求1所述的方法,其特征在于,在计算Web页面正常访问流量的第一先验概率和所述Web页面CC攻击访问流量的第二先验概率之前,所述方法还包括:
获取所述样本数据;
基于所述样本数据确定所述正常访问流量的比率和所述CC攻击访问流量的比率;
基于所述正常访问流量的比率和所述CC攻击访问流量的比率,采用朴素贝叶斯分类模型构建所述第一后验概率计算模型和所述第二后验概率计算模型。
4.根据权利要求3所述的方法,其特征在于,基于所述样本数据确定所述正常访问流量的比率和所述CC攻击访问流量的比率包括:
通过第一公式计算所述正常访问流量的比率,其中,所述第一公式表示为:
Figure FDA0002203000010000021
其中,B2为在所述样本数据中统计出的正常流量次数,B1为在所述样本数据中统计出CC攻击流量次数;
通过第二公式计算所述攻击访问流量的比率,其中,所述第二公式表示为:
Figure FDA0002203000010000031
5.一种CC攻击的检测装置,其特征在于,包括:
第一计算单元,用于计算Web页面正常访问流量的第一先验概率和所述Web页面CC攻击访问流量的第二先验概率,其中,所述第一先验概率表示样本数据中正常访问流量与URL访问概率相匹配的概率,所述第二先验概率表示所述样本数据中CC攻击访问流量与所述URL访问概率相匹配的概率;
第一获取单元,用于获取正常访问流量的比率和CC攻击访问流量的比率,所述正常访问流量的比率和所述CC攻击访问流量的比率均为基于所述样本数据确定出的;
第二计算单元,用于通过所述第一后验概率计算模型计算所述第一后验概率,其中,所述第一后验概率计算模型表示为:P(C=正常流量|A1=a1,A2=a2,…,AN=aN)为所述第一后验概率,P(C=正常流量)为所述正常访问流量的比率,P(Ai=ai|C=正常流量)为所述第一先验概率;
第三计算单元,用于通过所述第二后验概率计算模型计算所述第二后验概率,其中,所述第二后验概率计算模型为:
Figure FDA0002203000010000033
P(C=CC攻击流量|A1=a1,A2=a2,…,AN=aN)为所述第二后验概率,P(C=CC攻击流量)为所述CC攻击访问流量的比率,P(Ai=ai|C=CC攻击流量)为所述第二先验概率;其中,Z为常量,ai为访问概率集合中的元素,N为i的最大取值;
第一确定单元,用于在所述第一后验概率大于所述第二后验概率的情况下,确定当前时刻访问所述Web页面的访问流量为正常流量;在所述第一后验概率小于所述第二后验概率的情况下,确定当前时刻访问所述Web页面的访问流量为CC攻击流量。
CN201710655723.9A 2017-08-03 2017-08-03 Cc攻击的检测方法及装置 Active CN107231383B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710655723.9A CN107231383B (zh) 2017-08-03 2017-08-03 Cc攻击的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710655723.9A CN107231383B (zh) 2017-08-03 2017-08-03 Cc攻击的检测方法及装置

Publications (2)

Publication Number Publication Date
CN107231383A CN107231383A (zh) 2017-10-03
CN107231383B true CN107231383B (zh) 2020-01-17

Family

ID=59957946

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710655723.9A Active CN107231383B (zh) 2017-08-03 2017-08-03 Cc攻击的检测方法及装置

Country Status (1)

Country Link
CN (1) CN107231383B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108234472A (zh) * 2017-12-28 2018-06-29 北京百度网讯科技有限公司 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质
CN108566392B (zh) * 2018-04-11 2020-10-23 四川长虹电器股份有限公司 基于机器学习的防御cc攻击系统与方法
CN109525551A (zh) * 2018-10-07 2019-03-26 杭州安恒信息技术股份有限公司 一种基于统计机器学习的cc攻击防护的方法
CN110769003B (zh) * 2019-11-05 2022-02-22 杭州安恒信息技术股份有限公司 一种网络安全预警的方法、系统、设备及可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102882881A (zh) * 2012-10-10 2013-01-16 常州大学 针对dns服务的拒绝服务攻击的数据过滤方法
CN105608251A (zh) * 2015-12-02 2016-05-25 西北工业大学 直升机火控系统精度敏感性分析的BNSobol法
CN106789871A (zh) * 2016-11-10 2017-05-31 东软集团股份有限公司 攻击检测方法、装置、网络设备及终端设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102882881A (zh) * 2012-10-10 2013-01-16 常州大学 针对dns服务的拒绝服务攻击的数据过滤方法
CN105608251A (zh) * 2015-12-02 2016-05-25 西北工业大学 直升机火控系统精度敏感性分析的BNSobol法
CN106789871A (zh) * 2016-11-10 2017-05-31 东软集团股份有限公司 攻击检测方法、装置、网络设备及终端设备

Also Published As

Publication number Publication date
CN107231383A (zh) 2017-10-03

Similar Documents

Publication Publication Date Title
US11310268B2 (en) Systems and methods using computer vision and machine learning for detection of malicious actions
Rao et al. Detection of phishing websites using an efficient feature-based machine learning framework
US10560471B2 (en) Detecting web exploit kits by tree-based structural similarity search
JP6530786B2 (ja) Webページの悪意のある要素を検出するシステム及び方法
CN107888616B (zh) 基于URI的分类模型的构建方法和Webshell攻击网站的检测方法
Niakanlahiji et al. Phishmon: A machine learning framework for detecting phishing webpages
US10721245B2 (en) Method and device for automatically verifying security event
CN110099059B (zh) 一种域名识别方法、装置及存储介质
US10296739B2 (en) Event correlation based on confidence factor
US20110208714A1 (en) Large scale search bot detection
CN110830445B (zh) 一种异常访问对象的识别方法及设备
CN107231383B (zh) Cc攻击的检测方法及装置
US20180004941A1 (en) Model-based computer attack analytics orchestration
US20120072982A1 (en) Detecting potential fraudulent online user activity
CN107992738B (zh) 一种账号登录异常检测方法、装置及电子设备
CN108924118B (zh) 一种撞库行为检测方法及系统
JP2012527691A (ja) アプリケーションレベルセキュリティのためのシステムおよび方法
Krishnaveni et al. Ensemble approach for network threat detection and classification on cloud computing
CN113315742B (zh) 攻击行为检测方法、装置及攻击检测设备
WO2018066221A1 (ja) 分類装置、分類方法及び分類プログラム
CN107463844B (zh) Web木马检测方法及系统
CN109257390B (zh) Cc攻击的检测方法、装置及电子设备
CN109947814B (zh) 用于检测数据集合中的异常数据组的方法和设备
CN110300127A (zh) 一种基于深度学习的网络入侵检测方法、装置以及设备
CN110602021A (zh) 一种基于http请求行为与业务流程相结合的安全风险值评估方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 310051 No. 188 Lianhui Street, Xixing Street, Binjiang District, Hangzhou City, Zhejiang Province

Applicant after: Hangzhou Annan information technology Limited by Share Ltd

Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer

Applicant before: Dbappsecurity Co.,ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant