[发明专利]一种基于统计学方法的cc攻击检测的方法

权利要求书

1.一种基于统计学方法的cc攻击检测的方法，其特征在于，包括以下步骤：

A.按照访问日志中的domain字段对访问请求进行分组，对于分组后的各组数据再按照客户端ip进行分组，并统计当前时间段每个相同domain下每个ip的访问次数；

B.设定访问上限值，判定当前时间段内相同domain下访问次数超过访问上限值的ip为访问次数过多ip；

所述步骤B中访问上限值的设定如下：

通过IQR离群值检测算法计算相同domain下在当前时间段内各ip访问次数构成的数据集合的上四分位数与下四分位数及上四分位数与下四分位数的差值即四分位距，则访问上限值＝上四分位数+m*四分位距，其中，四分位距＝上四分位数-下四分位数，m0；

C.计算该访问次数过多ip的平均访问阈值，若访问次数过多ip的当前时间段的访问次数超过平均访问阈值则判定访问次数过多ip为疑似异常ip；

所述步骤C中，访问次数过多ip的平均访问阈值的计算方式如下：

取访问次数过多ip前n天中同时段的访问次数数据，则加上今天同时段的访问次数数据即得n+1个访问次数数据，通过IQR离群值检测算法计算n+1个访问次数数据构成的数据集合的上四分位数与下四分位数及上四分位数与下四分位数的差值即四分位距，则平均访问阈值＝上四分位数+m*四分位距，其中，四分位距＝上四分位数-下四分位数，m0；

D.对疑似异常ip的当前时间段内各次访问间的间隔时间进行计算，设定间隔阈值，若疑似异常ip的访问间的间隔时间小于间隔阈值则判定该疑似异常ip为访问过快ip；

所述步骤D中具体为：

D1.通过IQR离群值检测算法计算疑似异常ip的当前时间段内各次访问间的间隔时间构成的数据集合的上四分位数与下四分位数及上四分位数与下四分位数的差值即四分位距；

D2.设定间隔阈值为n秒；

D3.若步骤D1计算得出的四分位距＜n，则判定该疑似异常ip为访问过快ip；

E.计算异常值，所述异常值用于表示访问过快ip的异常的置信度，所述异常值的计算方式如下：

异常值＝异常值N1*0.5+异常值N2*0.5；

其中，异常值N1＝min((访问过快ip当前时段的访问次数-访问上限值)/访问上限值，1)；

异常值N2＝min((访问过快ip当前时段的访问次数-平均访问阈值)/平均访问阈值，1)。

2.根据权利要求1所述的一种基于统计学方法的cc攻击检测的方法，其特征在于，还包括步骤F，计算滚动平均异常值rolling_score，若步骤E中计算的异常值为在当前检测时间窗口t1得出的异常值为threat_score_t1，设定滚动时间为delta_t，则下一个检测时间窗口t2对应的检测时间段为t2＝t1+delta_t，且检测时间窗口t2在t2时间段内获取数据并检测出的异常值为threat_score_t2，检测时间窗口tN在tN时间段内获取数据并检测出的异常值为threat_score_tN，则滚动平均异常值rolling_score的计算公式为：