[发明专利]一种检测对Web站点的团伙攻击的方法、装置及介质

权利要求书

1.一种检测对Web站点的团伙攻击的方法，其特征在于，包括：

获取Web站点的Web审计日志，根据所述Web审计日志以及预设时间窗口获取时序特征；

利用所述时序特征中的历史时序特征训练出攻击检测模型，并利用当前时序特征更新所述攻击检测模型；其中，所述攻击检测模型为rrcf模型；

若所述当前时序特征在所述攻击检测模型中的得分超过预设阈值，将所述当前时序特征判定为异常时序特征，确定出团伙攻击时间；在确定出所述团伙攻击时间之后，进一步包括：

根据所述团伙攻击时间和预设时间长度追溯得出对应的历史Web审计日志；

获取所述历史Web审计日志中每个IP的实体特征；

根据各所述实体特征对各所述IP进行聚类；

根据聚类结果确定出异常的聚类簇，确定出攻击团伙对应的IP；

所述根据聚类结果确定出异常的聚类簇，确定出攻击团伙对应的IP的过程，具体包括：

结合策略规则和开源情报，找出所述聚类簇中异常IP数量最多的N个目标聚类簇；

分别计算各所述目标聚类簇的簇内IP相似度和策略规则告警相似度；

若根据所述簇内IP相似度和所述策略规则告警相似度计算出的告警值超过预设告警阈值，则判定对应的目标聚类簇为攻击团伙；

其中，目标聚类簇的簇内IP相似度的计算方法为：

步骤11：将目标聚类簇内的各IP的IP地址补零并转化为字符串形式以得出IP字符串；

步骤12：计算簇内各IP对应的IP字符串两两之间的编辑距离；

步骤13：若其中一个IP对应的IP字符串与同簇内50％以上其他IP字符串相似程度超过0.75，则将该IP放入相似IP集合内；

步骤14：计算簇内IP相似度ai＝相似IP集合中的IP个数/簇内IP总数；

其中，策略规则告警相似度bi的计算方法为：

步骤21：根据簇内出现的所有团伙攻击类型以及各访问实体所对应的团伙攻击类型，对各IP访问实体的攻击进行独热编码；

步骤22：将各IP对应的独热编码转化为编码字符串，并计算簇内各IP对应的编码字符串之间的编辑距离；

步骤23：若某个IP对应的编码字符串与同簇内50％以上其他编码字符串相似程度超过0.75，则将该IP放入相似IP集合内；

步骤24：计算簇内策略规则告警相似度bi＝相似IP集合中的IP个数/簇内IP总数。

2.根据权利要求1所述的方法，其特征在于，所述根据各所述实体特征对各所述IP进行聚类的过程，具体为：

根据各所述实体特征，利用DBSCAN算法对各所述IP进行聚类。

3.根据权利要求1所述的方法，其特征在于，在确定出所述告警值超过所述预设告警阈值之后，进一步包括：

发出对应的提示信息。

4.根据权利要求1所述的方法，其特征在于，在所述若根据所述簇内IP相似度和所述策略规则告警相似度计算出的告警值超过预设告警阈值，则判定对应的目标聚类簇为攻击团伙之后，进一步包括：

对确定为所述攻击团伙中的各IP进行封禁。