本發(fā)明涉及網(wǎng)絡(luò)信息安全的技術(shù)領(lǐng)域,尤其是涉及一種cc攻擊的檢測(cè)方法及裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在各行各業(yè)得到了廣泛應(yīng)用。互聯(lián)網(wǎng)應(yīng)用的快速發(fā)展,伴生了許多安全漏洞。這些漏洞,會(huì)使計(jì)算機(jī)遭受病毒和黑客攻擊,從而可能導(dǎo)致數(shù)據(jù)丟失,嚴(yán)重可能導(dǎo)致用戶數(shù)據(jù)丟失或財(cái)產(chǎn)損失。因此互聯(lián)網(wǎng)安全的防護(hù)是互聯(lián)網(wǎng)技術(shù)中的重點(diǎn)。
cc全稱為challengecollapsar,意為“挑戰(zhàn)黑洞”。cc攻擊是ddos分布式拒絕服務(wù)的一種,cc攻擊利用不斷對(duì)網(wǎng)站發(fā)送連接請(qǐng)求致使形成拒絕服務(wù),且cc攻擊具備一定的隱蔽性。
目前cc攻擊檢測(cè)和防御手段大致如下:限制源ip即配置黑白名單、限制源ip的連接數(shù)、對(duì)所有的請(qǐng)求源ip進(jìn)行統(tǒng)計(jì)并計(jì)算其請(qǐng)求速率。然而,如今大多數(shù)cc攻擊通常是通過大量的傀儡機(jī)對(duì)被攻擊的服務(wù)器發(fā)起請(qǐng)求。當(dāng)被控制的傀儡機(jī)達(dá)到一定數(shù)量時(shí),這些傀儡機(jī)發(fā)起請(qǐng)求的ip各不相同,黑白名單策略很難奏效;這些傀儡機(jī)ip發(fā)送的請(qǐng)求數(shù)并不高,不會(huì)超過ip連接數(shù)的閥值,因此配置連接數(shù)閥值手段也很容易被繞過;這些傀儡機(jī)ip的請(qǐng)求速率也不一定很高,低于請(qǐng)求速率的閥值、發(fā)向每個(gè)網(wǎng)站的每個(gè)url的請(qǐng)求速率是不固定的,設(shè)置一個(gè)ip請(qǐng)求速率閾值,使之適合網(wǎng)站內(nèi)所有的統(tǒng)一資源定位符(uniformresourcelocator,簡(jiǎn)稱url)是不現(xiàn)實(shí)的。
技術(shù)實(shí)現(xiàn)要素:
有鑒于此,本發(fā)明的目的在于提供一種cc攻擊的檢測(cè)方法及裝置,以緩解了現(xiàn)有技術(shù)中存在的無法及時(shí)有效,并準(zhǔn)確的檢測(cè)cc攻擊的技術(shù)問題。
第一方面,本發(fā)明實(shí)施例提供了一種cc攻擊的檢測(cè)方法,包括:計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和所述web頁面cc攻擊訪問流量的第二先驗(yàn)概率,其中,所述第一先驗(yàn)概率表示樣本數(shù)據(jù)中正常訪問流量與url訪問概率相匹配的概率,所述第二先驗(yàn)概率表示所述樣本數(shù)據(jù)中cc攻擊訪問流量與所述url訪問概率相匹配的概率;獲取正常訪問流量的比率和cc攻擊訪問流量的比率,所述正常訪問流量的比率和所述cc攻擊訪問流量的比率均為基于所述樣本數(shù)據(jù)確定出的;采用第一后驗(yàn)概率模型,基于所述第一先驗(yàn)概率和所述正常訪問流量的比率計(jì)算所述正常訪問流量的第一后驗(yàn)概率;采用第二后驗(yàn)概率模型,基于所述第二先驗(yàn)概率和所述cc攻擊訪問流量的比率計(jì)算所述cc攻擊訪問流量的第二后驗(yàn)概率;基于所述第一后驗(yàn)概率和所述第二后驗(yàn)概率確定所述web頁面是否受到cc攻擊。
進(jìn)一步地,采用第一后驗(yàn)概率模型,基于所述第一先驗(yàn)概率和所述正常訪問流量的比率計(jì)算所述正常訪問流量的第一后驗(yàn)概率包括:通過所述第一后驗(yàn)概率計(jì)算模型計(jì)算所述第一后驗(yàn)概率,其中,所述第一后驗(yàn)概率計(jì)算模型表示為:
進(jìn)一步地,采用第二后驗(yàn)概率模型,基于所述第二先驗(yàn)概率和所述cc攻擊訪問流量的比率計(jì)算所述cc攻擊訪問流量的第二后驗(yàn)概率包括:通過所述第二后驗(yàn)概率計(jì)算模型計(jì)算所述第二后驗(yàn)概率,其中,所述第二后驗(yàn)概率計(jì)算模型為:
進(jìn)一步地,基于所述第一后驗(yàn)概率和所述第二后驗(yàn)概率確定web頁面是否受到cc攻擊包括:在所述第一后驗(yàn)概率大于所述第二后驗(yàn)概率的情況下,確定當(dāng)前時(shí)刻訪問所述web頁面的訪問流量為正常流量;在所述第一后驗(yàn)概率小于所述第二后驗(yàn)概率的情況下,確定當(dāng)前時(shí)刻訪問所述web頁面的訪問流量為cc攻擊流量。
進(jìn)一步地,計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和所述web頁面cc攻擊訪問流量的第二先驗(yàn)概率包括:獲取實(shí)時(shí)流量訪問日志;在所述流量訪問日志中提取url和所述url的訪問時(shí)間信息;基于所述url和所述訪問時(shí)間信息確定訪問概率集合,其中,所述訪問概率集合中包括每個(gè)url的訪問概率;基于所述樣本數(shù)據(jù)和所述訪問概率集合確定所述第一先驗(yàn)概率和所述第二先驗(yàn)概率。
進(jìn)一步地,在計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和所述web頁面cc攻擊訪問流量的第二先驗(yàn)概率之前,所述方法還包括:獲取所述樣本數(shù)據(jù);基于所述樣本數(shù)據(jù)確定所述正常訪問流量的比率和所述cc攻擊訪問流量的比率;基于所述正常訪問流量的比率和所述cc攻擊訪問流量的比率,采用樸素貝葉斯分類模型構(gòu)建所述第一后驗(yàn)概率計(jì)算模型和所述第二后驗(yàn)概率計(jì)算模型。
進(jìn)一步地,基于所述樣本數(shù)據(jù)確定所述正常訪問流量的比率和所述cc攻擊訪問流量的比率包括:通過第一公式計(jì)算所述正常訪問流量的比率,其中,所述第一公式表示為:
第二方面,本發(fā)明實(shí)施例還提供一種cc攻擊的檢測(cè)裝置,包括:第一計(jì)算單元,用于計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和所述web頁面cc攻擊訪問流量的第二先驗(yàn)概率,其中,所述第一先驗(yàn)概率表示樣本數(shù)據(jù)中正常訪問流量與url訪問概率相匹配的概率,所述第二先驗(yàn)概率表示所述樣本數(shù)據(jù)中cc攻擊訪問流量與所述url訪問概率相匹配的概率;第一獲取單元,用于獲取正常訪問流量的比率和cc攻擊訪問流量的比率,所述正常訪問流量的比率和所述cc攻擊訪問流量的比率均為基于所述樣本數(shù)據(jù)確定出的;第二計(jì)算單元,用于采用第一后驗(yàn)概率模型,基于所述第一先驗(yàn)概率和所述正常訪問流量的比率計(jì)算所述正常訪問流量的第一后驗(yàn)概率;第三計(jì)算單元,用于采用第二后驗(yàn)概率模型,基于所述第二先驗(yàn)概率和所述cc攻擊訪問流量的比率計(jì)算所述cc攻擊訪問流量的第二后驗(yàn)概率;第一確定單元,用于基于所述第一后驗(yàn)概率和所述第二后驗(yàn)概率確定所述web頁面是否受到cc攻擊。
進(jìn)一步地,所述第二計(jì)算單元用于:通過所述第一后驗(yàn)概率計(jì)算模型計(jì)算所述第一后驗(yàn)概率,其中,所述第一后驗(yàn)概率計(jì)算模型表示為:
進(jìn)一步地,所述第三計(jì)算單元用于:通過所述第二后驗(yàn)概率計(jì)算模型計(jì)算所述第二后驗(yàn)概率,其中,所述第二后驗(yàn)概率計(jì)算模型為:
在本發(fā)明實(shí)施例中,首先計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和web頁面cc攻擊訪問流量的第二先驗(yàn)概率;然后,獲取正常訪問流量的比率和cc攻擊訪問流量的比率;接下來,采用第一后驗(yàn)概率模型,基于第一先驗(yàn)概率和正常訪問流量的比率計(jì)算正常訪問流量的第一后驗(yàn)概率;并采用第二后驗(yàn)概率模型,基于第二先驗(yàn)概率和cc攻擊訪問流量的比率計(jì)算cc攻擊訪問流量的第二后驗(yàn)概率;最后,基于第一后驗(yàn)概率和第二后驗(yàn)概率確定web頁面是否受到cc攻擊。在本發(fā)明實(shí)施例中,通過對(duì)無cc攻擊的日志和有cc攻擊的日志進(jìn)行樣本訓(xùn)練并建模,模型建立后對(duì)實(shí)時(shí)流量進(jìn)行模式匹配從而檢測(cè)cc攻擊,從而達(dá)到了及時(shí)并準(zhǔn)確的檢測(cè)出cc攻擊的目的,進(jìn)而緩解了現(xiàn)有技術(shù)中存在的無法及時(shí)有效,并準(zhǔn)確的檢測(cè)cc攻擊的技術(shù)問題,從而實(shí)現(xiàn)了提高cc攻擊檢測(cè)效率的技術(shù)效果。
本發(fā)明的其他特征和優(yōu)點(diǎn)將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)在說明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。
為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能更明顯易懂,下文特舉較佳實(shí)施例,并配合所附附圖,作詳細(xì)說明如下。
附圖說明
為了更清楚地說明本發(fā)明具體實(shí)施方式或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)具體實(shí)施方式或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實(shí)施方式,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1是根據(jù)本發(fā)明實(shí)施例的一種cc攻擊的檢測(cè)方法的流程圖;
圖2是根據(jù)本發(fā)明實(shí)施例的一種cc攻擊的檢測(cè)方法的示意圖;
圖3是根據(jù)本發(fā)明實(shí)施例的一種cc攻擊的檢測(cè)裝置的示意圖;
圖4是根據(jù)本發(fā)明實(shí)施例的另一種cc攻擊的檢測(cè)裝置的示意圖。
具體實(shí)施方式
為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
實(shí)施例一:
根據(jù)本發(fā)明實(shí)施例,提供了一種cc攻擊的檢測(cè)方法的實(shí)施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行,并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
圖1是根據(jù)本發(fā)明實(shí)施例的一種cc攻擊的檢測(cè)方法的流程圖,如圖1所示,該方法包括如下步驟:
步驟s102,計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和web頁面cc攻擊訪問流量的第二先驗(yàn)概率,其中,第一先驗(yàn)概率表示樣本數(shù)據(jù)中正常訪問流量與url訪問概率相匹配的概率,第二先驗(yàn)概率表示樣本數(shù)據(jù)中cc攻擊訪問流量與url訪問概率相匹配的概率;
步驟s104,獲取正常訪問流量的比率和cc攻擊訪問流量的比率,正常訪問流量的比率和cc攻擊訪問流量的比率均為基于樣本數(shù)據(jù)確定出的;
步驟s106,采用第一后驗(yàn)概率模型,基于第一先驗(yàn)概率和正常訪問流量的比率計(jì)算正常訪問流量的第一后驗(yàn)概率;
步驟s108,采用第二后驗(yàn)概率模型,基于第二先驗(yàn)概率和cc攻擊訪問流量的比率計(jì)算cc攻擊訪問流量的第二后驗(yàn)概率;
步驟s110,基于第一后驗(yàn)概率和第二后驗(yàn)概率確定web頁面是否受到cc攻擊。
在本發(fā)明實(shí)施例中,首先計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和web頁面cc攻擊訪問流量的第二先驗(yàn)概率;然后,獲取正常訪問流量的比率和cc攻擊訪問流量的比率;接下來,采用第一后驗(yàn)概率模型,基于第一先驗(yàn)概率和正常訪問流量的比率計(jì)算正常訪問流量的第一后驗(yàn)概率;并采用第二后驗(yàn)概率模型,基于第二先驗(yàn)概率和cc攻擊訪問流量的比率計(jì)算cc攻擊訪問流量的第二后驗(yàn)概率;最后,基于第一后驗(yàn)概率和第二后驗(yàn)概率確定web頁面是否受到cc攻擊。在本發(fā)明實(shí)施例中,通過對(duì)無cc攻擊的日志和有cc攻擊的日志進(jìn)行樣本訓(xùn)練并建模,模型建立后對(duì)實(shí)時(shí)流量進(jìn)行模式匹配從而檢測(cè)cc攻擊,從而達(dá)到了及時(shí)并準(zhǔn)確的檢測(cè)出cc攻擊的目的,進(jìn)而緩解了現(xiàn)有技術(shù)中存在的無法及時(shí)有效,并準(zhǔn)確的檢測(cè)cc攻擊的技術(shù)問題,從而實(shí)現(xiàn)了提高cc攻擊檢測(cè)效率的技術(shù)效果。
在本發(fā)明實(shí)施例中,在計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和web頁面cc攻擊訪問流量的第二先驗(yàn)概率之前,還需要構(gòu)建后驗(yàn)概率計(jì)算模型(即,第一后驗(yàn)概率計(jì)算模型和第二后驗(yàn)概率計(jì)算模型),在構(gòu)建后驗(yàn)概率計(jì)算模型時(shí),是基于樣本數(shù)據(jù)來構(gòu)建的,其中,樣本數(shù)據(jù)中包括web頁面的無cc攻擊日志和web頁面有cc攻擊日志,具體過程描述如下:
首先,獲取樣本數(shù)據(jù);
然后,基于樣本數(shù)據(jù)確定正常訪問流量的比率和cc攻擊訪問流量的比率;
最后,基于正常訪問流量的比率和cc攻擊訪問流量的比率,采用樸素貝葉斯分類模型構(gòu)建第一后驗(yàn)概率計(jì)算模型和第二后驗(yàn)概率計(jì)算模型。
具體地,首先搜集m份受保護(hù)對(duì)象(例如,受保護(hù)web網(wǎng)頁)的訪問流量,并且已知這些流量中包括正常流量和cc攻擊流量;然后,對(duì)該訪問流量進(jìn)行分類統(tǒng)計(jì)得到點(diǎn)擊率矩陣a(即,樣本數(shù)據(jù))。
其中,點(diǎn)擊率矩陣a的表達(dá)式為:
在確定出樣本數(shù)據(jù)之后,就可以基于樣本數(shù)據(jù)確定正常訪問流量的比率和cc攻擊訪問流量的比率。
在一個(gè)可選的實(shí)施方式中,基于樣本數(shù)據(jù)確定正常訪問流量的比率和cc攻擊訪問流量的比率的過程描述如下:
通過第一公式計(jì)算正常訪問流量的比率,其中,第一公式表示為:
通過第二公式計(jì)算正常訪問流量的比率,其中,第二公式表示為:
需要說明的是,上述第一公式和第二公式中的次數(shù)是在樣本數(shù)據(jù)中計(jì)算得到的。
在本發(fā)明實(shí)施例中,可以通過下述方式計(jì)算正常訪問流量的比率:p(c=正常流量)=正常流量次數(shù)a1/(正常流量次數(shù)a1+cc攻擊流量次數(shù)b1)。
在本發(fā)明實(shí)施例中,可以通過下述方式計(jì)算cc攻擊訪問流量的比率:p(c=cc攻擊流量)=cc攻擊流量次數(shù)b1/(正常流量次數(shù)a1+cc攻擊流量次數(shù)b1)。
在確定出上述cc攻擊訪問流量的比率和正常訪問流量的比率之后,就可以構(gòu)建第一后驗(yàn)概率模型和構(gòu)建第二后驗(yàn)概率模型。
在本發(fā)明實(shí)施例中,可以通過樸素貝葉斯分類器建立后驗(yàn)概率模型,例如,通過公式:
在構(gòu)建上述第一后驗(yàn)概率模型和第二后驗(yàn)概率模型之后,就可以對(duì)實(shí)時(shí)訪問流量進(jìn)行模式匹配從而檢測(cè)cc攻擊。
在對(duì)實(shí)時(shí)訪問流量進(jìn)行模式匹配來檢測(cè)cc攻擊時(shí),首先,計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和web頁面cc攻擊訪問流量的第二先驗(yàn)概率,具體計(jì)算步驟包括如下:
步驟s1021,獲取實(shí)時(shí)流量訪問日志;
步驟s1022,在流量訪問日志中提取url和url的訪問時(shí)間信息;
步驟s1023,基于url和訪問時(shí)間信息確定訪問概率集合,其中,訪問概率集合中包括每個(gè)url的訪問概率;
步驟s1024,基于樣本數(shù)據(jù)和訪問概率集合確定第一先驗(yàn)概率和第二先驗(yàn)概率。
首先,從實(shí)時(shí)流量訪問日志中,按字段來提取url和訪問時(shí)間信息,得到提取結(jié)果。然后,根據(jù)提取結(jié)果,計(jì)算實(shí)時(shí)訪問流量中,每個(gè)url訪問概率,得到訪問概率集合:[a1、a2、…、an]。
在確定出上述訪問概率集合之后,就可以結(jié)合樣本數(shù)據(jù)和訪問概率集合來計(jì)算先驗(yàn)概率。
其中,計(jì)算得到的正常流量先驗(yàn)概率(即,第一先驗(yàn)概率)表示為:p(ai=ai|c=正常流量),i∈1,2,…,n,其中,該正常流量先驗(yàn)概率表示為樣本數(shù)據(jù)中正常訪問流量即1…x行中第i列匹配到與訪問概率集合中ai值相等的概率。計(jì)算得到的cc攻擊流量先驗(yàn)概率(即,第二先驗(yàn)概率)表示為:p(ai=ai|c=cc攻擊流量),i∈1,2,…,n,其中,該cc攻擊流量先驗(yàn)概率表示為樣本數(shù)據(jù)中cc攻擊訪問流量即x+1…m行中第i列匹配到與訪問概率集合中ai值相等的概率。
在確定出第一先驗(yàn)概率,第二先驗(yàn)概率,以及確定出正常訪問流量的比率和cc攻擊訪問流量的比率之后,就可以通過后驗(yàn)概率模型來確定第一后驗(yàn)概率和第二后驗(yàn)概率。
在一個(gè)可選的實(shí)施方式中,上述步驟s106,即,采用第一后驗(yàn)概率模型,基于第一先驗(yàn)概率和正常訪問流量的比率計(jì)算正常訪問流量的第一后驗(yàn)概率包括如下步驟:
步驟s1061,通過第一后驗(yàn)概率計(jì)算模型計(jì)算第一后驗(yàn)概率,其中,第一后驗(yàn)概率計(jì)算模型表示為:
具體地,在本發(fā)明實(shí)施例中,可以將常量p(a1=a1,a2=a2,…,an=an)、p(c=正常流量),以及正常訪問流量的比率p(ai=ai|c=正常流量),i∈1,2,…,n代入到建立的第一后驗(yàn)概率模型中,計(jì)算出正常流量第一后驗(yàn)概率p(c=正常流量|a1=a1,a2=a2,…,an=an)。
在一個(gè)可選的實(shí)施方式中,上述步驟s108,即,采用第二后驗(yàn)概率模型,基于第二先驗(yàn)概率和cc攻擊訪問流量的比率計(jì)算cc攻擊訪問流量的第二后驗(yàn)概率包括如下步驟:
步驟s1081,通過第二后驗(yàn)概率計(jì)算模型計(jì)算第二后驗(yàn)概率,其中,第二后驗(yàn)概率計(jì)算模型為:
將常量p(a1=a1,a2=a2,…,an=an)、p(c=cc攻擊流量)、以及cc攻擊流量先驗(yàn)概率(即,上述第二先驗(yàn)概率)p(ai=ai|c=cc攻擊流量),i∈1,2,…,n代入到建立的第二后驗(yàn)概率模型中,從而計(jì)算出cc攻擊流量后驗(yàn)概率(即,第二后驗(yàn)概率)p(c=cc攻擊流量|a1=a1,a2=a2,…,an=an)。
在本發(fā)明實(shí)施例中,在確定出上述第一后驗(yàn)概率和第二后驗(yàn)概率之后,就可以基于第一后驗(yàn)概率和第二后驗(yàn)概率確定web頁面是否受到cc攻擊,具體過程描述如下:
在第一后驗(yàn)概率大于第二后驗(yàn)概率的情況下,確定當(dāng)前時(shí)刻訪問web頁面的訪問流量為正常流量;
在第一后驗(yàn)概率小于第二后驗(yàn)概率的情況下,確定當(dāng)前時(shí)刻訪問web頁面的訪問流量為cc攻擊流量。
也就是說,如果正常流量后驗(yàn)概率大于cc攻擊流量后驗(yàn)概率,此實(shí)時(shí)流量為正常流量。如果cc攻擊流量后驗(yàn)概率大于正常流量后驗(yàn)概率,此實(shí)時(shí)流量為cc攻擊。
綜上各實(shí)施例提供的cc攻擊的檢測(cè)方法,為了直觀理解上述過程,以圖2所示的cc攻擊的檢測(cè)方法的示意圖為例進(jìn)行說明,該方法主要包括:
首先,獲取樣本數(shù)據(jù);然后,對(duì)樣本數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)處理,其中,機(jī)器學(xué)習(xí)指讓計(jì)算機(jī)從已知類別的樣本數(shù)據(jù),采用樸素貝葉斯分類器,建立模型參數(shù)。
上述樣本數(shù)據(jù)的獲取和機(jī)器學(xué)習(xí)處理具體包括以下步驟:
a1、樣本數(shù)據(jù)
搜集m份受保護(hù)對(duì)象的訪問流量,并且已知這些流量中正常流量和cc攻擊流量,然后進(jìn)行分類統(tǒng)計(jì)得到點(diǎn)擊率矩陣(即,樣本數(shù)據(jù))。其中,該點(diǎn)擊率矩陣表示為:
a2、建立模型
在本發(fā)明實(shí)施例中,可以通過樸素貝葉斯分類器建立后驗(yàn)概率模型,例如,通過公式:
在建立后驗(yàn)概率模型之后,就可以基于樣本數(shù)據(jù)計(jì)算正常訪問流量的比率p(c=正常流量)和cc攻擊訪問流量的比率p(c=cc攻擊流量)。
其中,正常訪問流量的比率可以通過下述公式來計(jì)算:p(c=正常流量)=正常流量次數(shù)/正常流量次數(shù)+cc攻擊流量次數(shù)。
cc攻擊訪問流量的比率可以通過下述公式來計(jì)算:p(c=cc攻擊流量)=cc攻擊流量次數(shù)/正常流量次數(shù)+cc攻擊流量次數(shù)。
需要說明的是,在上述公式中的次數(shù)是在樣本數(shù)據(jù)中計(jì)算得出次數(shù)。
計(jì)算先驗(yàn)概率:從步驟a中的后驗(yàn)概率模型可知,計(jì)算后驗(yàn)概率需先計(jì)算出正常流量先驗(yàn)概率p(ai=ai|c=正常流量),i∈1,2,…,n、cc攻擊流量先驗(yàn)概率p(ai=ai|c=cc攻擊流量),i∈1,2,…,n。具體步驟如下:
b、計(jì)算正常流量先驗(yàn)概率(即,第一先驗(yàn)概率)和cc攻擊流量先驗(yàn)概率(即,第二先驗(yàn)概率),其中,計(jì)算先驗(yàn)概率包括如下步驟:
b1、提取訪問樣本:從實(shí)時(shí)流量訪問日志按字段來提取url、訪問時(shí)間信息。
b2、計(jì)算訪問概率:根據(jù)步驟b1結(jié)果,計(jì)算實(shí)時(shí)訪問流量中,每個(gè)url訪問概率[a1、a2、…、an]。
b3、計(jì)算先驗(yàn)概率。
計(jì)算得到的正常流量先驗(yàn)概率(即,第一先驗(yàn)概率)表示為:p(ai=ai|c=正常流量),i∈1,2,…,n,其中,該正常流量先驗(yàn)概率表示為樣本數(shù)據(jù)中正常訪問流量即1…x行中第i列匹配到與訪問概率集合中ai值相等的概率。計(jì)算得到的cc攻擊流量先驗(yàn)概率(即,第二先驗(yàn)概率)表示為:p(ai=ai|c=cc攻擊流量),i∈1,2,…,n,其中,該cc攻擊流量先驗(yàn)概率表示為樣本數(shù)據(jù)中cc攻擊訪問流量即x+1…m行中第i列匹配到與訪問概率集合中ai值相等的概率。
c、計(jì)算正常流量后驗(yàn)概率(即,第一后驗(yàn)概率)和cc攻擊流量后驗(yàn)概率(即,第二后驗(yàn)概率),其中,計(jì)算后驗(yàn)概率包括如下步驟:
c1、正常流量后驗(yàn)概率。
將常量p(a1=a1,a2=a2,…,an=an)、p(c=正常流量)、步驟b3的正常流量先驗(yàn)概率p(ai=ai|c=正常流量),i∈1,2,…,n代入到a2建立的后驗(yàn)概率模型中,計(jì)算出正常流量后驗(yàn)概率p(c=正常流量|a1=a1,a2=a2,…,an=an)
c2、cc攻擊流量后驗(yàn)概率。
將常量p(a1=a1,a2=a2,…,an=an)、p(c=cc攻擊流量)、步驟b3的cc攻擊流量先驗(yàn)概率p(ai=ai|c=cc攻擊流量),i∈1,2,…,n代入到a2建立的后驗(yàn)概率模型中,計(jì)算出cc攻擊流量后驗(yàn)概率p(c=cc攻擊流量|a1=a1,a2=a2,…,an=an)。
d、檢測(cè)cc攻擊
如果正常流量后驗(yàn)概率大于cc攻擊流量后驗(yàn)概率,此實(shí)時(shí)流量為正常流量。如果cc攻擊流量后驗(yàn)概率大于正常流量后驗(yàn)概率,此實(shí)時(shí)流量為cc攻擊。具體實(shí)現(xiàn)過程如上,這里不再贅述。
實(shí)施例二:
本發(fā)明實(shí)施例還提供了一種cc攻擊的檢測(cè)裝置,該cc攻擊的檢測(cè)裝置主要用于執(zhí)行本發(fā)明實(shí)施例上述內(nèi)容所提供的cc攻擊的檢測(cè)方法,以下對(duì)本發(fā)明實(shí)施例提供的cc攻擊的檢測(cè)裝置做具體介紹。
圖3是根據(jù)本發(fā)明實(shí)施例的一種cc攻擊的檢測(cè)裝置的示意圖,如圖3所示,該cc攻擊的檢測(cè)裝置主要包括:第一計(jì)算單元31,第一獲取單元32,第二計(jì)算單元33,第三計(jì)算單元34和第一確定單元35,其中:
第一計(jì)算單元31,用于計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和web頁面cc攻擊訪問流量的第二先驗(yàn)概率,其中,第一先驗(yàn)概率表示樣本數(shù)據(jù)中正常訪問流量與url訪問概率相匹配的概率,第二先驗(yàn)概率表示樣本數(shù)據(jù)中cc攻擊訪問流量與url訪問概率相匹配的概率;
第一獲取單元32,用于獲取正常訪問流量的比率和cc攻擊訪問流量的比率,正常訪問流量的比率和cc攻擊訪問流量的比率均為基于樣本數(shù)據(jù)確定出的;
第二計(jì)算單元33,用于采用第一后驗(yàn)概率模型,基于第一先驗(yàn)概率和正常訪問流量的比率計(jì)算正常訪問流量的第一后驗(yàn)概率;
第三計(jì)算單元34,用于采用第二后驗(yàn)概率模型,基于第二先驗(yàn)概率和cc攻擊訪問流量的比率計(jì)算cc攻擊訪問流量的第二后驗(yàn)概率;
第一確定單元35,用于基于第一后驗(yàn)概率和第二后驗(yàn)概率確定web頁面是否受到cc攻擊。
在本發(fā)明實(shí)施例中,首先計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和web頁面cc攻擊訪問流量的第二先驗(yàn)概率;然后,獲取正常訪問流量的比率和cc攻擊訪問流量的比率;接下來,采用第一后驗(yàn)概率模型,基于第一先驗(yàn)概率和正常訪問流量的比率計(jì)算正常訪問流量的第一后驗(yàn)概率;并采用第二后驗(yàn)概率模型,基于第二先驗(yàn)概率和cc攻擊訪問流量的比率計(jì)算cc攻擊訪問流量的第二后驗(yàn)概率;最后,基于第一后驗(yàn)概率和第二后驗(yàn)概率確定web頁面是否受到cc攻擊。在本發(fā)明實(shí)施例中,通過對(duì)無cc攻擊的日志和有cc攻擊的日志進(jìn)行樣本訓(xùn)練并建模,模型建立后對(duì)實(shí)時(shí)流量進(jìn)行模式匹配從而檢測(cè)cc攻擊,從而達(dá)到了及時(shí)并準(zhǔn)確的檢測(cè)出cc攻擊的目的,進(jìn)而緩解了現(xiàn)有技術(shù)中存在的無法及時(shí)有效,并準(zhǔn)確的檢測(cè)cc攻擊的技術(shù)問題,從而實(shí)現(xiàn)了提高cc攻擊檢測(cè)效率的技術(shù)效果。
可選地,第二計(jì)算單元用于:通過第一后驗(yàn)概率計(jì)算模型計(jì)算第一后驗(yàn)概率,其中,第一后驗(yàn)概率計(jì)算模型表示為:
可選地,第三計(jì)算單元用于:通過第二后驗(yàn)概率計(jì)算模型計(jì)算第二后驗(yàn)概率,其中,第二后驗(yàn)概率計(jì)算模型為:
可選地,第一確定單元用于:在第一后驗(yàn)概率大于第二后驗(yàn)概率的情況下,確定當(dāng)前時(shí)刻訪問web頁面的訪問流量為正常流量;在第一后驗(yàn)概率小于第二后驗(yàn)概率的情況下,確定當(dāng)前時(shí)刻訪問web頁面的訪問流量為cc攻擊流量。
可選地,第一計(jì)算單元用于:獲取實(shí)時(shí)流量訪問日志;在流量訪問日志中提取url和url的訪問時(shí)間信息;基于url和訪問時(shí)間信息確定訪問概率集合,其中,訪問概率集合中包括每個(gè)url的訪問概率;基于樣本數(shù)據(jù)和訪問概率集合確定第一先驗(yàn)概率和第二先驗(yàn)概率。
可選地,如圖4所示,該裝置還包括:第二獲取單元41,用于在計(jì)算web頁面正常訪問流量的第一先驗(yàn)概率和web頁面cc攻擊訪問流量的第二先驗(yàn)概率之前,獲取樣本數(shù)據(jù);第二確定單元42,用于基于樣本數(shù)據(jù)確定正常訪問流量的比率和cc攻擊訪問流量的比率;構(gòu)建單元43,用于基于正常訪問流量的比率和cc攻擊訪問流量的比率,采用樸素貝葉斯分類模型構(gòu)建第一后驗(yàn)概率計(jì)算模型和第二后驗(yàn)概率計(jì)算模型。
可選地,第二確定單元用于:通過第一公式計(jì)算正常訪問流量的比率,其中,第一公式表示為:
另外,在本發(fā)明實(shí)施例的描述中,除非另有明確的規(guī)定和限定,術(shù)語“安裝”、“相連”、“連接”應(yīng)做廣義理解,例如,可以是固定連接,也可以是可拆卸連接,或一體地連接;可以是機(jī)械連接,也可以是電連接;可以是直接相連,也可以通過中間媒介間接相連,可以是兩個(gè)元件內(nèi)部的連通。對(duì)于本領(lǐng)域的普通技術(shù)人員而言,可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義。
在本發(fā)明的描述中,需要說明的是,術(shù)語“中心”、“上”、“下”、“左”、“右”、“豎直”、“水平”、“內(nèi)”、“外”等指示的方位或位置關(guān)系為基于附圖所示的方位或位置關(guān)系,僅是為了便于描述本發(fā)明和簡(jiǎn)化描述,而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構(gòu)造和操作,因此不能理解為對(duì)本發(fā)明的限制。此外,術(shù)語“第一”、“第二”、“第三”僅用于描述目的,而不能理解為指示或暗示相對(duì)重要性。
本發(fā)明實(shí)施例所提供的一種cc攻擊的檢測(cè)方法及裝置的計(jì)算機(jī)程序產(chǎn)品,包括存儲(chǔ)了處理器可執(zhí)行的非易失的程序代碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),程序代碼包括的指令可用于執(zhí)行前面方法實(shí)施例中的方法,具體實(shí)現(xiàn)可參見方法實(shí)施例,在此不再贅述。
所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡(jiǎn)潔,上述描述的系統(tǒng)、裝置和單元的具體工作過程,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過程,在此不再贅述。
在本申請(qǐng)所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到,所揭露的系統(tǒng)、裝置和方法,可以通過其它的方式實(shí)現(xiàn)。以上所描述的裝置實(shí)施例僅僅是示意性的,例如,單元的劃分,僅僅為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,又例如,多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另一點(diǎn),所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些通信接口,裝置或單元的間接耦合或通信連接,可以是電性,機(jī)械或其它的形式。
作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上??梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。
另外,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中,也可以是各個(gè)單元單獨(dú)物理存在,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。
功能如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí),可以存儲(chǔ)在一個(gè)處理器可執(zhí)行的非易失的計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括:u盤、移動(dòng)硬盤、只讀存儲(chǔ)器(rom,read-onlymemory)、隨機(jī)存取存儲(chǔ)器(ram,randomaccessmemory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。
最后應(yīng)說明的是:以上實(shí)施例,僅為本發(fā)明的具體實(shí)施方式,用以說明本發(fā)明的技術(shù)方案,而非對(duì)其限制,本發(fā)明的保護(hù)范圍并不局限于此,盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),其依然可以對(duì)前述實(shí)施例所記載的技術(shù)方案進(jìn)行修改或可輕易想到變化,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換;而這些修改、變化或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明實(shí)施例技術(shù)方案的精神和范圍,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)。