[发明专利]恶意攻击识别方法及系统

权利要求书

1.一种恶意攻击识别方法，其特征在于，包括以下步骤：

读取最新的web访问日志；

判断所述最新的web访问日志中是否包含静态资源文件，若是，则不作处理，反之，则进行下一步骤；所述静态资源文件包含图片、css样式文件或javascript脚本文件；

获取所述最新的web访问日志中所包含的IP地址的页面请求数，判断单个IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击；

其中，所述读取最新的web访问日志包括：

间隔预定时间读取固定数量的web访问日志；

记录每次读取的最新web访问日志产生的时间点，并进行标识；

若下次读取的web访问日志中包含有前一次读取的最新web访问日志产生的时间点，则只保留该时间点之后的web访问日志。

2.如权利要求1所述的恶意攻击识别方法，其特征在于，所述读取最新的web访问日志包括：

间隔预定时间读取一次；或

对最新的web访问日志数量进行监控，若最新的web访问日志数量超过预定值，则读取一次。

3.如权利要求1所述的恶意攻击识别方法，其特征在于，判断所述最新的web访问日志中是否包含静态资源文件包括：

获取最新的web访问日志中各文件的后缀；

将所述后缀与预先存储的后缀进行匹配；

若最新的web访问日志中任何一个文件的后缀能与预先存储的后缀中的任何一个匹配上，则确定最新的web访问日志中包含有静态资源文件。

4.如权利要求1所述的恶意攻击识别方法，其特征在于，所述判断单个IP地址的页面请求数是否超过阈值包括：

统计最新的web访问日志中每个IP地址分别对应的页面请求数；

选取页面请求数最大的IP地址；

判断该IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并进行下一步骤；反之，则确定最新的web访问日志中所包含的IP地址的页面请求数未超过阈值；

从余下的IP地址中选取页面请求数最大的IP地址，并重复前一步骤。

5.如权利要求1所述的恶意攻击识别方法，其特征在于，所述判断单个IP地址的页面请求数是否超过阈值包括：

S1，统计最新的web访问日志中每个IP地址分别对应的页面请求数；

S2，按照页面请求数从大到小的顺序对所有的IP地址进行排序；

S3，选取序号在预定数值内的IP地址；

S4，逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值，若是，则确定所述IP地址的访问为恶意攻击，并进行步骤S5，反之，则不作处理；

S5，对未被选取的IP地址按照页面请求数从大到小的顺序重新进行排序，并重复步骤S3和S4。

6.如权利要求5所述的恶意攻击识别方法，其特征在于，所述步骤S4包括：

按照序号从大到小选取最大序号的IP地址；

判断该IP地址的页面请求数是否超过阈值，若是，则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值；若否，则进行下一步骤；

按照序号从大到小选取下一序号的IP地址，重复前一步骤。

7.如权利要求1至6任一项所述的恶意攻击识别方法，其特征在于，所述方法还包括：

禁止确定为恶意攻击的IP地址的访问。

8.如权利要求7所述的恶意攻击识别方法，其特征在于，所述禁止确定为恶意攻击的IP地址的访问包括：

将确定为恶意攻击的IP地址加入软件防火墙的禁用列表中。