[发明专利]拒绝服务攻击的检测方法、装置、电子设备和介质

权利要求书

1.一种拒绝服务攻击的检测方法，包括：

获取访问请求；

将所述访问请求中的访问特征与行为知识库进行比对，以确定所述访问请求是否是异常访问，其中，所述行为知识库是根据多个历史异常访问的异常访问特征而生成的；

在确定所述访问请求是异常访问的情况下，确定针对所述访问请求的访问流量阈值；以及

在所述访问请求在一定时间段内的访问流量大于所述访问流量阈值的情况下，确定所述访问请求为拒绝服务攻击。

2.根据权利要求1所述的检测方法，其中，所述确定针对所述访问请求的访问流量阈值包括：

确定与所述访问请求相符的异常访问特征；

基于与所述访问请求相符的异常访问特征，确定所述访问请求所属的异常访问的异常访问类型；

将所述异常访问类型的访问流量阈值作为针对所述访问请求的访问流量阈值。

3.根据权利要求2所述的检测方法，还包括：

获取多个异常访问类型各自的历史访问流量；

基于所述历史访问流量，利用机器学习确定所述多个异常访问类型各自的访问流量阈值。

4.根据权利要求1所述的检测方法，其中，所述将所述访问请求的访问特征与行为知识库比对包括：

将所述访问请求所属的协议类型，和/或，生成所述访问请求的应用的应用信息，和/或，生成所述访问请求的设备信息，分别与行为知识库中的相应项目进行比对。

5.根据权利要求1所述的检测方法，其中，所述将所述访问请求的访问特征与行为知识库比对，以确定所述访问请求是否是异常访问包括：

确定所述访问请求所属的协议类型；

确定所述访问请求的数据包的数量和所述数据包的内容；以及

基于所述协议类型、所述数据包的数量和所述数据包的内容确定所述访问请求是否是异常访问。

6.一种拒绝服务攻击的检测装置，包括：

第一获取模块，用于获取访问请求；

分析模块，用于将所述访问请求的访问特征与行为知识库进行比对，以确定所述访问请求是否是异常访问，其中，所述行为知识库是根据多个历史异常访问的异常访问特征而生成的；

第一确定模块，用于在确定所述访问请求是异常访问的情况下，确定针对所述访问请求的访问流量阈值；以及

第二确定模块，用于在所述访问请求在一定时间段内的访问流量大于所述访问流量阈值的情况下，确定所述防问请求为拒绝服务攻击。

7.根据权利要求6所述的检测装置，其中，所述第一确定模块包括：

第一确定子模块，用于确定与所述访问请求相符的异常访问特征；

第二确定子模块，用于基于与所述访问请求相符的异常访问特征，确定所述访问请求所属的异常访问的异常访问类型；

第三确定子模块，用于将所述异常访问类型的访问流量阈值作为针对所述访问请求的访问流量阈值。

8.一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如权利要求1～5所述任意一项的方法。

9.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行如权利要求1～5所述任意一项的方法。

10.一种计算机程序产品，其包括计算机可执行指令，该该指令被处理器执行时使处理器执行如权利要求1～5所述任意一项的方法。