[发明专利]基于Web日志分析检测DDos攻击的方法、系统和电子装置

说明书

本申请涉及一种基于Web日志分析检测DDos攻击的方法、系统和电子装置，其中，基于Web日志分析检测DDos攻击的方法包括：获取网站平台的日志数据，在日志数据中提取用户的会话集合；在会话集合中，获取用户的访问信息，其中，访问信息包括网页的访问频率、平均请求流量和平均访问比例；通过决策树，在访问信息满足判断条件的情况下，判定用户的访问为DDos攻击，判断条件包括访问频率大于频率阈值、平均请求流量小于请求流量阈值、平均访问比例小于访问比例阈值中的至少一种。通过本申请，解决了相关技术中通过流量信息来区分DDos攻击与正常访问行为，准确度较低的问题，提高了对DDos攻击进行检测的速度和准确度。

技术领域

本申请涉及网络安全技术领域，特别是涉及基于Web日志分析检测DDos攻击的方法、系统和电子装置。

背景技术

随着计算机技术的快速发展，网络技术得到了广泛应用，用户对网站平台的访问频率也随之升高，然而，在种类繁多的访问行为中，存在一些恶意访问对网站平台进行攻击，从而对网站平台的信息安全造成了极大威胁。其中，分布式拒绝服务攻击(Distributeddenial of service attack，简称为DDos)是一种常见的网络攻击行为，DDos基于网络通信协议的不同分为两大类：第一类是利用传输层和网络层协议的漏洞发起攻击，即传统的拒绝服务攻击；第二类是针对网络的最高层对应用层发起攻击。

在相关技术中，获取openFlow交换机返回的流量信息，在该流量信息大于一定流量阈值的情况下，认为本次访问为DDos攻击，但是在实际的生产环境中，很容易产生大流量的访问行为，因此通过流量信息来区分DDos攻击与正常访问行为，准确度较低。

目前针对相关技术中通过流量信息来区分DDos攻击与正常访问行为，准确度较低的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种基于Web日志分析检测DDos攻击的方法、系统、电子装置和存储介质，以至少解决相关技术中通过流量信息来区分DDos攻击与正常访问行为，准确度较低的问题。

第一方面，本申请实施例提供了一种基于Web日志分析检测DDos攻击的方法，所述方法包括：

获取网站平台的日志数据，在所述日志数据中提取用户的会话集合；

在所述会话集合中，获取所述用户的访问信息，其中，所述访问信息包括网页的访问频率、平均请求流量和平均访问比例；

通过决策树，在所述访问信息满足判断条件的情况下，判定所述用户的访问为DDos攻击，所述判断条件包括所述访问频率大于频率阈值、所述平均请求流量小于请求流量阈值、所述平均访问比例小于访问比例阈值中的至少一种。

在其中一些实施例中，获取所述平均访问比例包括：

根据所述日志数据，获取所述会话集合中各所述网页的访问量和所述网站平台的总访问量；

根据各所述网页的访问量和所述总访问量，得到各所述网页在所述会话集合中的访问比例；

根据各所述访问比例之和与所述会话集合中的请求次数，得到所述平均访问比例。

在其中一些实施例中，获取所述平均请求流量包括：

根据所述用户在所述会话集合中的请求次数和请求流量总数，计算所述平均请求流量。

在其中一些实施例中，获取所述访问频率包括：

根据所述用户在所述会话集合中的请求次数和所述会话集合的会话时长，计算所述访问频率。

在其中一些实施例中，在所述频率阈值、所述请求流量阈值和所述访问比例阈值均为访问阈值的情况下，计算所述访问阈值包括：

从多个历史会话集合中获取每一种所述访问信息的多个数据；