識別訪問攻擊的方法及裝置與流程

文檔序號：12693400閱讀：來源：國知局

技術(shù)特征：

1.一種識別訪問攻擊的方法，其特征在于，包括以下步驟：

獲取第一預設(shè)范圍內(nèi)來自于當前標識用戶或IP的各次訪問中相鄰訪問的第一時間間隔序列；

對所述第一時間間隔序列進行頻譜分析，獲得所述第一時間間隔序列的基頻及其各次諧波頻率的權(quán)重系數(shù)；

判斷所述第一時間間隔序列的基頻的權(quán)重系數(shù)與所述第一時間間隔序列的各次諧波頻率的權(quán)重系數(shù)的均值的比值是否大于預設(shè)閾值；

如果大于所述預設(shè)閾值，則將所述第一預設(shè)范圍內(nèi)來自于所述當前標識用戶或IP的各次訪問識別為訪問攻擊。

2.根據(jù)權(quán)利要求1所述的識別訪問攻擊的方法，其特征在于，所述第一預設(shè)范圍包括預設(shè)的時間段或訪問記錄數(shù)量。

3.根據(jù)權(quán)利要求1所述的識別訪問攻擊的方法，其特征在于，所述第一預設(shè)范圍的大小與系統(tǒng)當前處理能力相匹配。

4.根據(jù)權(quán)利要求1所述的識別訪問攻擊的方法，其特征在于，所述預設(shè)閾值通過以下方式得到：

a、設(shè)定一個當前閾值；

b、選取第二預設(shè)范圍內(nèi)來自于當前標識用戶或IP的各次訪問中相鄰訪問的第二時間間隔序列；

c、對所述第二時間間隔序列進行頻譜分析，獲得所述第二時間間隔序列的基頻及其各次諧波頻率的權(quán)重系數(shù)；

d、判斷所述第二時間間隔序列的基頻的權(quán)重系數(shù)與所述第二時間間隔序列的各次諧波頻率的權(quán)重系數(shù)的均值的比值是否大于所述當前閾值；

e、如果大于所述當前閾值，則將所述第二預設(shè)范圍內(nèi)來自于所述當前標識用戶或IP的各次訪問識別為訪問攻擊；

f、獲取本次識別的誤判率；

g、判斷本次識別的誤判率是否超過預設(shè)的誤判率上限，如果超過，則調(diào)整所述當前閾值并重復步驟b至g；如此循環(huán)直至當前次識別的誤判率不超過所述誤判率上限，則將所述當前閾值選定為預設(shè)閾值。

5.根據(jù)權(quán)利要求1所述的識別訪問攻擊的方法，其特征在于，還包括：

如果所述第一時間間隔序列的基頻的權(quán)重系數(shù)與所述第一時間間隔序列的各次諧波頻率的權(quán)重系數(shù)的均值的比值小于或等于所述預設(shè)閾值，則將所述第一預設(shè)范圍內(nèi)來自于所述當前標識用戶或IP的各次訪問識別為正常訪問。

6.根據(jù)權(quán)利要求1或5所述的識別訪問攻擊的方法，其特征在于，還包括：

在完成所述第一預設(shè)范圍內(nèi)來自于所述當前標識用戶或IP的各次訪問的識別之后，判斷是否完成所述第一預設(shè)范圍內(nèi)所有標識用戶或IP的各次訪問的識別；

如果未完成，則在所述第一預設(shè)范圍內(nèi)對來自于所述當前標識用戶或IP的下一標識用戶或IP的各次訪問的進行識別。

7.根據(jù)權(quán)利要求1所述的識別訪問攻擊的方法，其特征在于，所述獲取第一預設(shè)范圍內(nèi)來自于當前標識用戶或IP的各次訪問中相鄰訪問的第一時間間隔序列，包括：

獲取第一預設(shè)范圍內(nèi)的訪問信息；

從所述訪問信息中提取當前標識用戶或IP的各次訪問的訪問時間信息；

根據(jù)所述當前標識用戶或IP的各次訪問的訪問時間信息計算所述當前標識用戶或IP的各次訪問中相鄰訪問的時間間隔序列。

8.根據(jù)權(quán)利要求7所述的識別訪問攻擊的方法，其特征在于，所述根據(jù)所述當前標識用戶或IP的各次訪問的訪問時間信息計算所述當前標識用戶或IP的各次訪問中相鄰訪問的時間間隔序列，包括：

對所述當前標識用戶或IP的各次訪問的訪問時間信息進行差分運算，獲得所述當前標識用戶或IP的各次訪問中相鄰訪問的時間間隔序列。

9.根據(jù)權(quán)利要求1所述的識別訪問攻擊的方法，其特征在于，所述頻譜分析是基于離散傅里葉變換、快速傅里葉變換或小波變換實現(xiàn)的。

10.根據(jù)權(quán)利要求1所述的識別訪問攻擊的方法，其特征在于，所述預設(shè)閾值大于或等于1.2。

11.根據(jù)權(quán)利要求1所述的識別訪問攻擊的方法，其特征在于，所述預設(shè)閾值為1.5。

12.根據(jù)權(quán)利要求1所述的識別訪問攻擊的方法，其特征在于，在所述對所述第一時間間隔序列進行頻譜分析，獲得所述第一時間間隔序列的基頻及其各次諧波頻率的權(quán)重系數(shù)之前，還包括：

將所述第一預設(shè)范圍內(nèi)來自于當前標識用戶或IP的各次訪問中相鄰訪問的第一時間間隔序列輸出顯示。

13.一種識別訪問攻擊的裝置，其特征在于，包括：

訪問間隔獲取模塊，用于獲取第一預設(shè)范圍內(nèi)來自于當前標識用戶或IP的各次訪問中相鄰訪問的第一時間間隔序列；

權(quán)重系數(shù)獲取模塊，用于對所述第一時間間隔序列進行頻譜分析，獲得所述第一時間間隔序列的基頻及其各次諧波頻率的權(quán)重系數(shù)；

第一判斷模塊，用于判斷所述第一時間間隔序列的基頻的權(quán)重系數(shù)與所述第一時間間隔序列的各次諧波頻率的權(quán)重系數(shù)的均值的比值是否大于預設(shè)閾值；

第一識別模塊，用于當所述第一判斷模塊判斷所述第一時間間隔序列的基頻的權(quán)重系數(shù)與所述第一時間間隔序列的各次諧波頻率的權(quán)重系數(shù)的均值的比值大于所述預設(shè)閾值時，將所述第一預設(shè)范圍內(nèi)來自于所述當前標識用戶或IP的各次訪問識別為訪問攻擊。

14.根據(jù)權(quán)利要求13所述的識別訪問攻擊的裝置，其特征在于，所述第一預設(shè)范圍包括預設(shè)的時間段或訪問記錄數(shù)量。

15.根據(jù)權(quán)利要求13所述的識別訪問攻擊的裝置，其特征在于，所述第一預設(shè)范圍的大小與系統(tǒng)當前處理能力相匹配。

16.根據(jù)權(quán)利要求13所述的識別訪問攻擊的裝置，其特征在于，所述預設(shè)閾值通過以下方式得到：

a、設(shè)定一個當前閾值；

b、選取第二預設(shè)范圍內(nèi)來自于當前標識用戶或IP的各次訪問中相鄰訪問的第二時間間隔序列；

c、對所述第二時間間隔序列進行頻譜分析，獲得所述第二時間間隔序列的基頻及其各次諧波頻率的權(quán)重系數(shù)；

e、如果大于所述當前閾值，則將所述第二預設(shè)范圍內(nèi)來自于所述當前標識用戶或IP的各次訪問識別為訪問攻擊；

f、獲取本次識別的誤判率；

17.根據(jù)權(quán)利要求13所述的識別訪問攻擊的裝置，其特征在于，還包括：

第二識別模塊，用于當所述第一判斷模塊判斷所述第一時間間隔序列的基頻的權(quán)重系數(shù)與所述第一時間間隔序列的各次諧波頻率的權(quán)重系數(shù)的均值的比值小于或等于所述預設(shè)閾值，則將所述第一預設(shè)范圍內(nèi)來自于所述當前標識用戶或IP的各次訪問識別為正常訪問。

18.根據(jù)權(quán)利要求13或17所述的識別訪問攻擊的裝置，其特征在于，還包括：

第二判斷模塊，用于在完成所述第一預設(shè)范圍內(nèi)來自于所述當前標識用戶或IP的各次訪問的識別之后，判斷是否完成所述第一預設(shè)范圍內(nèi)所有標識用戶或IP的各次訪問的識別；

觸發(fā)模塊，用于當所述第二判斷模塊判斷未完成所述第一預設(shè)范圍內(nèi)所有標識用戶或IP的各次訪問的識別時，觸發(fā)在所述第一預設(shè)范圍內(nèi)對來自于所述當前標識用戶或IP的下一標識用戶或IP的各次訪問的進行識別。

19.根據(jù)權(quán)利要求13所述的識別訪問攻擊的裝置，其特征在于，所述訪問間隔獲取模塊，包括：

訪問信息獲取子模塊，用于獲取第一預設(shè)范圍內(nèi)的訪問信息；

訪問時間提取子模塊，用于從所述訪問信息中提取當前標識用戶或IP的各次訪問的訪問時間信息；

訪問間隔計算子模塊，用于根據(jù)所述當前標識用戶或IP的各次訪問的訪問時間信息計算所述當前標識用戶或IP的各次訪問中相鄰訪問的時間間隔序列。

20.根據(jù)權(quán)利要求19所述的識別訪問攻擊的裝置，其特征在于，所述根據(jù)所述當前標識用戶或IP的各次訪問的訪問時間信息計算所述當前標識用戶或IP的各次訪問中相鄰訪問的時間間隔序列，包括：

對所述當前標識用戶或IP的各次訪問的訪問時間信息進行差分運算，獲得所述當前標識用戶或IP的各次訪問中相鄰訪問的時間間隔序列。

21.根據(jù)權(quán)利要求13所述的識別訪問攻擊的裝置，其特征在于，所述頻譜分析是基于離散傅里葉變換、快速傅里葉變換或小波變換實現(xiàn)的。

22.根據(jù)權(quán)利要求13所述的識別訪問攻擊的裝置，其特征在于，所述預設(shè)閾值大于或等于1.2。

23.根據(jù)權(quán)利要求13所述的識別訪問攻擊的裝置，其特征在于，所述預設(shè)閾值為1.5。