WO2017084529A1

WO2017084529A1 - 识别网络攻击的方法和装置

Info

Publication number: WO2017084529A1
Application number: PCT/CN2016/105286
Authority: WO
Inventors: 郑学剑
Original assignee: Alibaba Group Holding Ltd
Current assignee: Alibaba Group Holding Ltd
Priority date: 2015-11-19
Filing date: 2016-11-10
Publication date: 2017-05-26
Anticipated expiration: 2018-05-19
Also published as: CN106789831B; US11240258B2; EP3379788A4; EP3379788A1; CN106789831A; US20180278638A1; US20220116412A1; EP3379788B1; JP2018536351A; JP6921069B2

Abstract

本申请实施例公开了一种识别网络攻击的方法，包括：按照预设字段获取目标网站服务器至少两个时间段内的访问数据；统计每个所述时间段内各个预设字段内容相同的访问数据的数量；判断每个所述时间段内预设字段相同的访问数据的数量是否相同；若是，则确定包含所述数量相同的访问数据对应的访问请求为小流量的网络攻击。本申请还公开了一种识别网络攻击的装置实施例。利用本申请实施例可以识别小流量的网络攻击。

Description

识别网络攻击的方法和装置

本申请要求2015年11月19日递交的申请号为201510802440.3、发明名称为“识别网络攻击的方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络安全技术领域，特别涉及一种识别网络攻击的方法及装置。

背景技术

随着互联网技术的不断发展，针对网站服务器的攻击行为越来越多，从而给网站服务器带来很多的不利影响。

目前针对网站服务器的攻击方式呈现为两种类型，第一类为大流量的网络攻击，其攻击方式具有攻击时间短但流量大的特点(例如1秒钟攻击1万次)。如DOS(Denial Of Service，拒绝服务)，DDOS(Distributed Denial of Service，分布式拒绝服务)，大流量的网络攻击通过短时间内向目标网站服务器发送大量的访问请求，以达到消耗所述目标网站服务器的资源，导致所述目标服务器超负荷运行、网络不畅，从而影响网站的正常访问。第二类为小流量的网络攻击，其攻击方式具有攻击持续时间长但流量小的特点(例如持续攻击1天，但是1秒钟攻击10次)。小流量的网络攻击通过长时间向目标网站服务器发送少量的访问请求，从而扫描所述目标网站服务器的资源，虽然短时间内只扫描了很小一部分的资源，但日积月累后很可能会扫描得到所述目标网站服务器中所有资源，这样无疑会对所述目标网站服务器构成安全问题，例如攻击方从所述资源中找到服务器的漏洞。

现有技术中，对于大流量攻击，可以采用如图1所示的方法：

S100：获取目标网站服务器的网络访问数据包，从所述网络访问数据包中解析出IP；其中，所述IP为所述网络访问数据包的来源IP地址；

S110：在预定时间段内统计相同IP的第一数量；

S120：若所述第一数量达到预定阈值，则将包含该IP的网络访问确定为网络攻击。

通过上述方法中解析网络访问数据包得到IP，在预定时间段内统计得到的相同IP访问目标网站服务器的第一数量，并且如果所述第一数量达到预定阈值，则认为包含该IP 的网络访问是网络攻击。

然而，对于小流量的网络攻击，由于其在预设时间段内访问请求的数量并不大，与许多正常访问请求的数量类似，通过上述方法得到的所述小流量的网络攻击的第一数量都小于预定阈值，所以上述方法不能确定其为网络攻击；而如果上述方法中预定阈值设置的过小，则容易将正常访问请求也确定为网络攻击。

综上所述，现有技术中存在无法识别小流量的网络攻击的问题。

发明内容

本申请实施例的目的是提供一种识别网络攻击的方法及装置，用以解决现有技术中无法识别小流量的网络攻击的问题。

为解决上述技术问题，本申请一实施例提供的一种识别网络攻击的方法，包括：

按照预设字段获取目标网站服务器至少两个时间段内的访问数据；

统计每个所述时间段内各个预设字段内容相同的访问数据的数量；

判断每个所述时间段内预设字段相同的访问数据的数量是否相同；

若是，则确定包含所述数量相同的访问数据对应的访问请求为小流量的网络攻击。

一种识别网络攻击的方法，包括：

获取所述数量中的最大值和最小值；

计算所述最大值和最小值的差值；

判断所述差值是否小于预设差值；

若是，则确定包含所述差值小于预设差值的访问数据对应的访问请求为小流量的网络攻击。

一种识别网络攻击的方法，包括：

计算各个预设字段内容相同的访问数据的平均值；

计算每个所述时间段内各个预设字段内容相同的访问数据的数量与所述平均值的差值；

判断每一差值是否都小于预设差值；

若是，则确定包含所述每一差值都小于预设差值的访问数据对应的访问请求为小流量的网络攻击。

一种识别网络攻击的装置，包括：

获取单元，用于按照预设字段获取目标网站服务器至少两个时间段内的访问数据；

统计单元，用于统计每个所述时间段内各个预设字段内容相同的访问数据的数量；

判断单元，用于判断每个所述时间段内预设字段相同的访问数据的数量是否相同；

确定单元，用于在每个所述时间段内预设字段相同的访问数据的数量相同时，则确定包含所述数量相同的访问数据对应的访问请求为小流量的网络攻击。

一种识别网络攻击的装置，包括：

第二获取单元，用于获取所述数量中的最大值和最小值；

计算单元，用于计算所述最大值和最小值的差值；

判断单元，用于判断所述差值是否小于预设差值；

确定单元，用于在所述差值小于预设差值时，则确定包含所述差值小于预设差值的访问数据对应的访问请求为小流量的网络攻击。

一种识别网络攻击的装置，包括：

第二计算单元，用于计算所述数量的平均值；

第三计算单元，用于计算每个所述数量与所述平均值的差值；

第三判断单元，用于判断每一差值是否都小于预设差值；

确定单元，用于在每一差值都小于预设差值时，则确定包含所述每一差值都小于预设差值的访问数据对应的访问请求为小流量的网络攻击。

由以上本申请实施例提供的技术方案可见，通过判断至少两个时间段内预设字段相同的访问数据的数量是否相同；如果是，则符合小流量网络攻击的特点，就可以确定包含所述数量相同的访问数据对应的访问请求为小流量的网络攻击。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中识别网络攻击方法的流程图；

图2为本申请一实施例中提供的识别网络攻击方法的流程图；

图3为本申请一实施例中提供的识别网络攻击方法的流程图；

图4为本申请一实施例中提供的识别网络攻击方法的流程图；

图5为本申请一实施例中提供的识别网络攻击方法的流程图；

图6为本申请一实施例中提供的识别网络攻击装置的模块示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

图2为本申请一实施例中提供的识别网络攻击方法的流程图。本实施例中，所述方法包括如下步骤：

S200：按照预设字段获取目标网站服务器至少两个时间段内的访问数据。

本实施例中，所述预设字段可以包括ip、host、useragent和url中的至少一种。其中，所述ip(Internet Protocol，网络互连协议)表示访问目标网站的来源ip地址；所述host表示访问目标网站的域名；所述useragent(用户代理)表示访问目标网站的浏览器，例如谷歌浏览器、QQ浏览器、IE浏览器等，useragent还可以表示访问目标网站的搜索引擎，例如网络爬虫等；所述url(Uniform Resoure Locator，统一资源定位符)表示访问目标网站的地址。

所述时间段的时长可以是预先设置的，例如时间段的时长为1分钟。即按照预设字段获取目标网站服务器至少两个1分钟内的访问数据。

本实施例中，所述时间段可以包括相邻的时间段。

系统可以对访问所述目标网站服务器的访问请求进行拦截，并通过Java类库解析该访问请求，获取网络层中的字段为ip的内容，应用层中的字段为host的内容、字段为 useragent的内容和字段为url的内容。

S210：统计每个所述时间段内各个预设字段内容相同的访问数据的数量。

以下的例子1为按照预设字段(host、ip、useragent)获取目标网站服务器3个时间段内(1分钟)的访问数据：

第一时间段(2013-09-18 17:20:00至2013-09-18 17:21:00)：

第二时间段(2013-09-18 17:21:00至2013-09-18 17:22:00)：

第三时间段(2013-09-18 17:22:00至2013-09-18 17:23:00)：

如上述例子1所示的内容，通过S210后，统计每个所述时间段内host、ip、useragent内容相同的访问数据的数量，如下例子2所示：

第一时间段内：

第二时间段内：

第三时间段内：

再例如，以下的例子3为按照预设字段(ip)获取目标网站服务器3个时间段内(1分钟)的访问数据：

第一时间段(2013-09-18 17:20:00至2013-09-18 17:21:00)：

ip

1.1.1.1

1.1.1.2

1.1.1.3

1.1.1.1

1.1.1.2

1.1.1.1

第二时间段(2013-09-18 17:21:00至2013-09-18 17:22:00)：

ip

1.1.1.1

第三时间段(2013-09-18 17:22:00至2013-09-18 17:23:00)：

ip

1.1.1.4

1.1.1.1

如上述例子3所述的内容，通过S210后，统计每个时间段内ip内容相同的访问数据的数量，如下例子4所示：

第一时间段内：

第二时间段内：

ip 访问次数

1.1.1.1 4

第三时间段内：

ip 访问次数

1.1.1.1 4

1.1.1.4 1

S220：判断每个所述时间段内预设字段相同的访问数据的数量是否相同；若是，则执行S230步骤。

如上述例子4所示，ip为“1.1.1.1”的数量在第一时间段内至第三时间段内相同，则系统执行S230步骤。

如上述例子2所示，第一：host为“www.aaa.com”、ip为“1.1.1.1”、useragent为“Mozilla/5.0”的数量在第一时间段内至第三时间段内相同。第二：host为“www.aaa.com”、ip为“1.1.1.1”、useragent为“Mozilla/4.0”的数量在第一时间段内至第三时间段内相同，则系统执行S230步骤。

S230：确定包含所述数量相同的访问数据对应的访问请求为小流量的网络攻击。

通过本实施例，根据小流量网络攻击的特点，通过判断至少两个时间段内预设字段相同的访问数据的数量是否相同；如果是，则符合小流量网络攻击的特点，就可以确定包含所述数量相同的访问数据对应的访问请求为小流量的网络攻击。

在本申请的一个实施例中，所述S200步骤，如图3所示具体可以包括：

S201：采集目标网站服务器的访问日志。

一般互联网中网站都是多层架构的，例如ngnix和tomact的网站架构。由于nanix和tomcat都拥有自己的访问日志，对于同一个访问请求，nanix和tomcat都会记录在自己的访问日志中。为了避免重复采集访问日志，所以采集目标网址服务器的访问日志时只采集最前端应用的访问日志。这里的nanix是比tomcat更前端的应用，所以只需采集nanix的访问日志即可。

S202：按照预设字段从所述访问日志中获取至少两个时间段内的访问数据。

所述预设字段可以包括ip、host、useragent和url中的至少一种。其中，所述ip(Internet Protocol，网络互连协议)表示访问目标网站的来源ip地址；所述host表示访问目标网站的域名；所述useragent(用户代理)表示访问目标网站的浏览器，例如谷歌浏览器、QQ浏览器、IE浏览器等，useragent还可以表示访问目标网站的搜索引擎，例如网络爬虫等；所述url(Uniform Resoure Locator，统一资源定位符)表示访问目标网站的地址。

本实施例中，系统在采集目标网站服务器的访问日志后，可以通过预设指令，例如通过$time_local可以获取访问日志中的记录时间，$host可以获取记录的host，$remote_addr可以获取ip，$http_user_agent可以获取useragent，$request_uri用于获取url。

例如下面所示的按照预设字段(host、ip、useragent)获取的访问数据(记录了时间从2013-09-18 17:58:00之后的访问数据)：

本实施例中，所述时间段包括相邻的时间段。所述时间段的时长可以是预先设置的，例如时间段的时长为1分钟，则可以获取如下所示的3个时间段内的访问数据：

第一时间段(2013-09-18 17:20:00至2013-09-18 17:21:00)：

第二时间段(2013-09-18 17:21:00至2013-09-18 17:22:00)：

第三时间段(2013-09-18 17:22:00至2013-09-18 17:23:00)：

通过本实施例，依据采集的访问日志，可以获取更为精准且数据量更多的访问数据。如此得到的访问数据易于系统根据小流量网络攻击的特点，判断所述预设数量个时间段内同一访问数据的访问次数是否相同；如果是，则符合小流量网络攻击的特点，就可以确定包含所述同一访问数据的访问请求属于小流量的网络攻击。

一般的，网站服务器的访问日志中记录了大量的访问数据，系统在采集到所述访问日志后如果不将这些访问数据储存入数据库中，会占用大量的系统内存，导致系统运行效率降低。为了解决上述问题，在本实施例的一个实施例中，在S202步骤之后，还可以包括：

将所述至少两个时间段内的访问数据存储入数据库中；

相应地，所述统计每个所述时间段内各个预设字段内容相同的访问数据的数量，包括：

查询数据库中至少两个时间段内的访问数据，统计每个所述时间段内各个预设字段内容相同的访问数据的数量。

本实施例中，所述数据库可以是系统内部的数据库，当然也可以是与所述系统关联的外部数据库，该数据库还可以关联其它数据库，以增加数据库的存储空间。

所述查询数据库中至少两个时间段内的访问数据，具体可以是系统通过查询指令(如sql语句)来查询所述至少两个时间段内的访问数据。

在实际应用中，系统除了要识别小流量的网络攻击外，还需要应对大流量的网络攻击。为了识别大流量的网络攻击，在S230步骤之后还可以包括如下步骤：

若否，则判断每个所述时间段内预设字段相同的访问数据的数量是否相同是否达到预设阈值。

若是，则确定包含所述数量达到预设阈值的访问数据对应的访问请求为大流量的网络攻击。

本实施例中，所述预设阈值可以是人为设置的一个经验值。该预设阈值可以设置为符合大流量的网络攻击时访问次数大的特定。例如所述预设阈值设置为10000次。如例子4所示的内容，假设预设阈值为10000，第三时间段内ip为“1.1.1.4”的访问次数为12000次。则判断所述访问次数是否达到预设阈值10000，由于只有第三时间段内ip为“1.1.1.4”的访问次数达到预设阈值，所以执行S250步骤，即将包含ip为“1.1.1.4”的访问请求确定为大流量的网络攻击。

在实际应用中，小流量的网络攻击虽然呈现攻击频率固定的特定，但是某些小流量的网络攻击在不同的时间段内访问次数可能会存在少许偏差，如以下例子5所示：

第一时间段内：ip为“1.1.1.1”的访问次数为8；

第二时间段内：ip为“1.1.1.1”的访问次数为7；

第三时间段内：ip为“1.1.1.1”的访问次数为8；

第四时间段内：ip为“1.1.1.1”的访问次数为8；

第五时间段内：ip为“1.1.1.1”的访问次数为9；

第六时间段内：ip为“1.1.1.1”的访问次数为8。

在以上内容中，ip为“1.1.1.1”的访问次数在第一时间段内到第六时间段内不完全相同。然而，这样访问次数会存在少许偏差的情况也属于小流量的网络攻击，如果只是判断每个所述时间段内预设字段相同的访问数据的数量是否相同，则不能识别出这种情况，达不到识别小流量的网络攻击的目的。为解决以上问题，如图4所示为本申请一实施例中提供的识别网络攻击方法的流程图。本实施例中，所述方法包括如下步骤：

S300：按照预设字段获取目标网站服务器至少两个时间段内的访问数据。

本步骤与上述S200步骤相同，此处不再赘述。

S310：统计每个所述时间段内各个预设字段内容相同的访问数据的数量。

本步骤与上述S210步骤相同，此处不再赘述。

S320：获取所述数量中的最大值和最小值。

如例子5所示的内容，获取该六个时间段内预设字段(ip)内容相同的访问数据“1.1.1.1”的数量中最大值为9，最小值为7。

S321：计算所述最大值和最小值的差值。

沿用S320中所述的例子，计算所述最大值9与最小值7的差值为2。

S322：判断所述差值是否小于预设差值；若是，则执行S330步骤。

本实施例中，所述预设差值可以是预先设置的一个经验值。

沿用S321中所述的例子，如果所述预设差值小于等于2，则所述差值不小于预设差值，从而可以确定包含ip为“1.1.1.1”的访问请求不是小流量的网络攻击。如果所述预设差值大于2，则所述差值小于预设差值，执行S330步骤。

S330：确定包含所述差值小于预设差值的访问数据对应的访问请求为小流量的网络攻击。

在本申请的一个实施例中，所述S300步骤，具体可以包括：

采集目标网站服务器的访问日志。

本步骤与上述S201步骤相同，此处不再赘述。

按照预设字段从所述访问日志中获取至少两个时间段内的访问数据。

本步骤与上述S302步骤相同，此处不再赘述。

一般的，网站服务器的访问日志中记录了大量的访问数据，系统在采集到所述访问日志后如果不将这些访问数据储存入数据库中，会占用大量的系统内存，导致系统运行效率降低。为了解决上述问题，在本实施例的一个实施例中，在按照预设字段从所述访问日志中获取至少两个时间段内的访问数据之后，还可以包括：

将所述至少两个时间段内的访问数据存储入数据库中；

在实际应用中，系统除了要识别小流量的网络攻击外，还需要应对大流量的网络攻击。为了识别大流量的网络攻击，在S330步骤之后还可以包括如下步骤：

本实施例中，所述预设阈值可以是人为设置的一个经验值。该预设阈值可以设置为符合大流量的网络攻击时访问次数大的特定。例如所述预设阈值设置为10000次。如例子4所示的内容，假设预设阈值为10000，第三时间段内ip为“1.1.1.4”的访问次数为12000次。则判断所述访问次数是否达到预设阈值10000，由于只有第三时间段内ip为“1.1.1.4”的访问次数达到预设阈值，则将包含ip为“1.1.1.4”的访问请求确定为大流量的网络攻击。

为解决例子5所示的问题，如图5所示为本申请一实施例中提供的识别网络攻击方法的流程图。本实施例中，所述方法包括如下步骤：

S400：按照预设字段获取目标网站服务器至少两个时间段内的访问数据。

本步骤与上述S200步骤相同，此处不再赘述。

S410：统计每个所述时间段内各个预设字段内容相同的访问数据的数量。

本步骤与上述S210步骤相同，此处不再赘述。

S420：计算所述数量的平均值。

如例子5所示的内容，计算所述数量(8、7、8、8、9、8)的平均值为8。

S421：计算每个数量与所述平均值的差值。

沿用S420中所述的例子，计算每个数量与所述平均值的差值：

第一时间段内的差值为0；

第一时间段内的差值为1；

第一时间段内的差值为0；

第一时间段内的差值为1；

第一时间段内的差值为0。

S422：判断每一差值是否都小于预设差值；若是，则执行S430步骤。

沿用S421中所述的例子，如果所述预设差值小于等于1，则每一差值不都小于预设差值，从而可以确定包含ip为“1.1.1.1”的访问请求不是小流量的网络攻击。如果所述预设差值大于1，则每一差值都小于预设差值，执行S430步骤。

S430：若是，则确定包含所述每一差值都小于预设差值的访问数据对应的访问请求为小流量的网络攻击。

在本申请的一个实施例中，所述S400步骤，具体可以包括：

采集目标网站服务器的访问日志。

本步骤与上述S201步骤相同，此处不再赘述。

本步骤与上述S202步骤相同，此处不再赘述。

将所述至少两个时间段内的访问数据存储入数据库中；

在实际应用中，系统除了要识别小流量的网络攻击外，还需要应对大流量的网络攻击。为了识别大流量的网络攻击，在S430步骤之后还可以包括如下步骤：

本申请实施例提供还提供一种装置，可以实现上述的方法步骤，且该装置可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为逻辑意义上的装置，是通过服务器的CPU(Central Process Unit，中央处理器)将对应的计算机程序指令读取到内存中运行形成的。

图6为本申请一实施例中提供的网址防攻击装置的模块示意图。本实施例中，所述装置包括：

获取模块500，用于按照预设字段获取目标网站服务器至少两个时间段内的访问数据；

统计单元510，用于统计每个所述时间段内各个预设字段内容相同的访问数据的数量；

判断单元520，用于判断每个所述时间段内预设字段相同的访问数据的数量是否相同；

确定单元530，用于在每个所述时间段内预设字段相同的访问数据的数量相同时，则确定包含所述数量相同的访问数据对应的访问请求为小流量的网络攻击。

优选地，所述获取单元500，具体还可以包括：

第一获取子单元，用于采集目标网站服务器的访问日志；

第二获取子单元，用于按照预设字段从所述访问日志中获取至少两个时间段内的访问数据。

优选地，所述第一获取子单元，还用于采集目标网站服务器最前端应用的访问日志。

优选地，在所述第二获取子单元之后，还包括：

存储单元，用于将所述至少两个时间段内的访问数据存储入数据库中；

相应地，所述统计单元510，还用于查询数据库中至少两个时间段内的访问数据，统计每个所述时间段内各个预设字段内容相同的访问数据的数量。

优选地，所述时间段包括相邻的时间段。

优选地，所述预设字段包括ip、host、useragent、url中的至少一种。

本申请一实施例中提供的网址防攻击装置，所述装置包括：

第二获取单元，用于获取所述数量中的最大值和最小值；

计算单元，用于计算所述最大值和最小值的差值；

判断单元，用于判断所述差值是否小于预设差值；

优选地，所述获取单元，具体包括：

第一获取子单元，用于采集目标网站服务器的访问日志；

优选地，在所述第二获取子单元之后，还包括：

相应地，所述统计单元，还用于查询数据库中至少两个时间段内的访问数据，统计每个所述时间段内各个预设字段内容相同的访问数据的数量。

优选地，所述时间段包括相邻的时间段。

本申请一实施例中提供的网址防攻击装置，所述装置包括：

第二计算单元，用于计算所述数量的平均值；

第三判断单元，用于判断每一差值是否都小于预设差值；

优选地，所述获取单元，具体包括：

第一获取子单元，用于采集目标网站服务器的访问日志；

优选地，在所述第二获取子单元之后，还包括：

优选地，所述时间段包括相邻的时间段。

在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable Gate Array，FPGA))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(Hardware Description Language，HDL)，而HDL也并非仅有一种，而是有许多种，如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware Description Language)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(Ruby Hardware Description Language)等，目前最普遍使用的是VHDL(Very-High-Speed Integrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。

控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之。

Claims

一种识别网络攻击的方法，其特征在于，包括：

按照预设字段获取目标网站服务器至少两个时间段内的访问数据；

统计每个所述时间段内各个预设字段内容相同的访问数据的数量；

判断每个所述时间段内预设字段相同的访问数据的数量是否相同；

若是，则确定包含所述数量相同的访问数据对应的访问请求为小流量的网络攻击。
如权利要求1所述的方法，其特征在于，按照预设字段获取目标网站服务器至少两个时间段内的访问数据，具体包括：

采集目标网站服务器的访问日志；

按照预设字段从所述访问日志中获取至少两个时间段内的访问数据。
如权利要求2所述的方法，其特征在于，所述采集目标网站服务器的访问日志，具体包括：

采集目标网站服务器最前端应用的访问日志。
如权利要求2所述的方法，其特征在于，在按照预设字段从所述访问日志中获取至少两个时间段内的访问数据之后，还包括：

将所述至少两个时间段内的访问数据存储入数据库中；

相应地，所述统计每个所述时间段内各个预设字段内容相同的访问数据的数量，包括：

查询数据库中至少两个时间段内的访问数据，统计每个所述时间段内各个预设字段内容相同的访问数据的数量。
一种识别网络攻击的方法，其特征在于，包括：

按照预设字段获取目标网站服务器至少两个时间段内的访问数据；

统计每个所述时间段内各个预设字段内容相同的访问数据的数量；

获取所述数量中的最大值和最小值；

计算所述最大值和最小值的差值；

判断所述差值是否小于预设差值；

若是，则确定包含所述差值小于预设差值的访问数据对应的访问请求为小流量的网络攻击。
如权利要求5所述的方法，其特征在于，按照预设字段获取目标网站服务器至少两个时间段内的访问数据，具体包括：

采集目标网站服务器的访问日志；

按照预设字段从所述访问日志中获取至少两个时间段内的访问数据。
如权利要求6所述的方法，其特征在于，所述采集目标网站服务器的访问日志，具体包括：

采集目标网站服务器最前端应用的访问日志。
如权利要求6所述的方法，其特征在于，在按照预设字段从所述访问日志中获取至少两个时间段内的访问数据之后，还包括：

将所述至少两个时间段内的访问数据存储入数据库中；

相应地，所述统计每个所述时间段内各个预设字段内容相同的访问数据的数量，包括：

查询数据库中至少两个时间段内的访问数据，统计每个所述时间段内各个预设字段内容相同的访问数据的数量。
一种识别网络攻击的方法，其特征在于，包括：

按照预设字段获取目标网站服务器至少两个时间段内的访问数据；

统计每个所述时间段内各个预设字段内容相同的访问数据的数量；

计算各个预设字段内容相同的访问数据的平均值；

计算每个所述时间段内各个预设字段内容相同的访问数据的数量与所述平均值的差值；

判断每一差值是否都小于预设差值；

若是，则确定包含所述每一差值都小于预设差值的访问数据对应的访问请求为小流量的网络攻击。
如权利要求9所述的方法，其特征在于，按照预设字段获取目标网站服务器至少两个时间段内的访问数据，具体包括：

采集目标网站服务器的访问日志；

按照预设字段从所述访问日志中获取至少两个时间段内的访问数据。
如权利要求10所述的方法，其特征在于，所述采集目标网站服务器的访问日志，具体包括：

采集目标网站服务器最前端应用的访问日志。
如权利要求10所述的方法，其特征在于，在按照预设字段从所述访问日志中获取至少两个时间段内的访问数据之后，还包括：

将所述至少两个时间段内的访问数据存储入数据库中；

相应地，所述统计每个所述时间段内各个预设字段内容相同的访问数据的数量，包括：

查询数据库中至少两个时间段内的访问数据，统计每个所述时间段内各个预设字段内容相同的访问数据的数量。
如权利要求1-12中任一项所述的方法，其特征在于，所述时间段包括相邻的时间段。
如权利要求1-12中任一项所述的方法，其特征在于，所述预设字段包括ip、host、useragent、url中的至少一种。
一种识别网络攻击的装置，其特征在于，包括：

获取单元，用于按照预设字段获取目标网站服务器至少两个时间段内的访问数据；

统计单元，用于统计每个所述时间段内各个预设字段内容相同的访问数据的数量；

判断单元，用于判断每个所述时间段内预设字段相同的访问数据的数量是否相同；

确定单元，用于在每个所述时间段内预设字段相同的访问数据的数量相同时，则确定包含所述数量相同的访问数据对应的访问请求为小流量的网络攻击。
如权利要求15所述的装置，其特征在于，所述获取单元，具体包括：

第一获取子单元，用于采集目标网站服务器的访问日志；

第二获取子单元，用于按照预设字段从所述访问日志中获取至少两个时间段内的访问数据。
如权利要求15所述的装置，其特征在于，所述第一获取子单元，还用于采集目标网站服务器最前端应用的访问日志。
如权利要求15所述的装置，其特征在于，在所述第二获取子单元之后，还包括：

存储单元，用于将所述至少两个时间段内的访问数据存储入数据库中；

相应地，所述统计单元，还用于查询数据库中至少两个时间段内的访问数据，统计每个所述时间段内各个预设字段内容相同的访问数据的数量。
一种识别网络攻击的装置，其特征在于，包括：

获取单元，用于按照预设字段获取目标网站服务器至少两个时间段内的访问数据；

统计单元，用于统计每个所述时间段内各个预设字段内容相同的访问数据的数量；

第二获取单元，用于获取所述数量中的最大值和最小值；

计算单元，用于计算所述最大值和最小值的差值；

判断单元，用于判断所述差值是否小于预设差值；

确定单元，用于在所述差值小于预设差值时，则确定包含所述差值小于预设差值的访问数据对应的访问请求为小流量的网络攻击。
如权利要求19所述的装置，其特征在于，所述获取单元，具体包括：

第一获取子单元，用于采集目标网站服务器的访问日志；

第二获取子单元，用于按照预设字段从所述访问日志中获取至少两个时间段内的访问数据。
如权利要求20所述的装置，其特征在于，所述第一获取子单元，还用于采集目标网站服务器最前端应用的访问日志。
如权利要求20所述的装置，其特征在于，在所述第二获取子单元之后，还包括：

存储单元，用于将所述至少两个时间段内的访问数据存储入数据库中；

相应地，所述统计单元，还用于查询数据库中至少两个时间段内的访问数据，统计每个所述时间段内各个预设字段内容相同的访问数据的数量。
一种识别网络攻击的装置，其特征在于，包括：

获取单元，用于按照预设字段获取目标网站服务器至少两个时间段内的访问数据；

统计单元，用于统计每个所述时间段内各个预设字段内容相同的访问数据的数量；

第二计算单元，用于计算所述数量的平均值；

第三计算单元，用于计算每个所述数量与所述平均值的差值；

第三判断单元，用于判断每一差值是否都小于预设差值；

确定单元，用于在每一差值都小于预设差值时，则确定包含所述每一差值都小于预设差值的访问数据对应的访问请求为小流量的网络攻击。
如权利要求23所述的装置，其特征在于，所述获取单元，具体包括：

第一获取子单元，用于采集目标网站服务器的访问日志；

第二获取子单元，用于按照预设字段从所述访问日志中获取至少两个时间段内的访问数据。
如权利要求24所述的装置，其特征在于，所述第一获取子单元，还用于采集目标网站服务器最前端应用的访问日志。
如权利要求24所述的装置，其特征在于，在所述第二获取子单元之后，还包括：

存储单元，用于将所述至少两个时间段内的访问数据存储入数据库中；

相应地，所述统计单元，还用于查询数据库中至少两个时间段内的访问数据，统计每个所述时间段内各个预设字段内容相同的访问数据的数量。
如权利要求15-26中任一项所述的装置，其特征在于，所述时间段包括相邻的时间段。
如权利要求15-26中任一项所述的装置，其特征在于，所述预设字段包括ip、host、useragent、url中的至少一种。