[发明专利]网络攻击检测方法及装置

权利要求书

1.一种网络攻击检测方法，其特征在于，包括：

将防火墙系统设置于服务器与终端的访问路径中，所述防火墙系统对所述终端发送的访问请求进行攻击行为检测；

获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求；

确定检测特征项，并根据所述多个目标访问请求确定所述检测特征项的访问特征值；

获得与所述检测特征项对应的目标检测规则；

使用所述目标检测规则对所述访问特征值进行判断，获得第一攻击检测结果；所述第一攻击检测结果用于表示是否存在对所述同一会话的网络攻击行为；

所述获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求，包括：

获得目标终端向目标服务器发送的属于同一会话的访问请求；

从获得的访问请求中，提取属于同一时间段的多个访问请求作为目标访问请求，包括：从访问请求中获取携带的标识 SID，根据所述标识 SID 提取属于同一时间段的多个访问请求作为目标访问请求；所述标识 SID 基于所述目标服务器根据访问请求生成应答数据包，在所述应答数据包通过所述防火墙系统返回所述目标目标终端时，所述防火墙系统在所述应答数据包中添加的，以使所述目标终端接收所述携带标识 SID 的应答数据包后，存储所述标识 SID，并在下次向所述目标服务器发送同一会话的访问请求中携带该标识SID；所述标识 SID 具有时效性。

2.根据权利要求 1 所述的网络攻击检测方法，其特征在于，所述确定检测特征项，并根据所述多个目标访问请求确定所述检测特征项的访问特征值，包括：

确定检测特征项为针对同一对象的访问频次；其中所述同一对象包括：同一所述目标服务器，同一所述目标服务器的同一网址，以及同一所述会话关联的同一网址中的任意一项或多项；

确定与所述同一对象对应的目标访问请求，并统计与所述同一对象对应的目标访问请求的个数；

将统计的个数作为所述检测特征项的访问特征值。

3.根据权利要求 1 所述的网络攻击检测方法，其特征在于，所述确定检测特征项，并根据所述多个目标访问请求确定所述检测特征项的访问特征值，包括：

确定检测特征项为会话关联的网址；

分别确定每个所述目标访问请求对应的网址；

按照所述目标访问请求的时间先后顺序，为目标访问请求对应的不同的网址分配不同的网址标识，以得到网址标识序列；其中所述网址标识序列作为访问特征值。

4.根据权利要求 3 所述的网络攻击检测方法，其特征在于，

所述获得与所述检测特征项对应的目标检测规则，包括：

将预先训练的隐马尔可夫模型，确定为与所述检测特征项对应的目标检测规则；所述隐马尔可夫模型用于计算访问请求对应的会话存在网络攻击行为的概率值；

所述使用所述目标检测规则对所述访问特征值进行判断，获得第一攻击检测结果，包括：

将网址标识序列输入至所述隐马尔可夫模型中，得到多个所述目标访问请求对应的会话存在网络攻击行为的概率值；

若所述概率值满足预设的概率阈值，则确定第一攻击检测结果为存在对所述同一会话的网络攻击行为；

若所述概率值不满足预设的概率阈值，则确定第一攻击检测结果为不存在对所述同一会话的网络攻击行为。

5.根据权利要求 1 所述的网络攻击检测方法，其特征在于，还包括：

获得会话黑名单；其中所述会话黑名单中记录的是第一攻击检测结果为存在网络攻击行为的会话；

判断所述同一会话是否包含在所述会话黑名单中，获得第二攻击检测结果；

对第一攻击检测结果与第二攻击检测结果进行综合判断，得到目标攻击检测结果。

6.根据权利要求 1 所述的网络攻击检测方法，其特征在于，所述获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求，包括：

从消息队列中，获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求；其中消息队列中记录的是，终端向服务器发送的属于同一会话的经过预设检测规则检验为不存在网络攻击行为的访问请求。