[发明专利]对Web服务器群的攻击的检测方法和装置

说明书

本发明实施例公开了一种对Web服务器群的攻击的检测方法和装置，用于应对快速变化的Web攻击。本发明实施例方法包括：获取潜在攻击集合，该潜在攻击集合是根据在预置时段内向Web服务器群发送的Web请求的请求字符串确定的；对请求字符串聚类分析，并根据聚类分析的结果将该请求字符串划分到潜在攻击聚类中；计算潜在每个潜在攻击聚类的过滤因子，该过滤因子为潜在攻击聚类中请求字符串的数量与请求字符串对应的Web服务器的数量的比值；根据过滤因子是否存在攻击。本发明实施例能够应对快速变化的Web攻击。

技术领域

本发明涉及互联网领域，尤其涉及一种对Web服务器群的攻击的检测方法和装置。

背景技术

随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上。

Web业务的迅速发展也引起了攻击者更大的兴趣，并采用拉网式的Web漏洞扫描方式，来获取最大的攻击利益。当一种新的漏洞出现时，攻击者往往采用编写工具对互联网进行采点扫描，以最大化发现存在漏洞的Web服务器并对其进行攻击。

然而，现有技术中常用的对Web攻击的防护方法一般是对某种特定类型的攻击的防护，例如针对结构化查询语言(Structured Query Language，SQL)注入的防护。这些防护方法都不能应对现在的快速变化的Web攻击。

发明内容

本发明实施例提供了一种对Web服务器群的攻击的检测方法和装置，用于应对现在的快速变化的Web攻击。

本发明实施例第一方面提供一种对Web服务器群的攻击的检测方法，包括：

获取潜在攻击集合，其中所述潜在攻击集合是根据在预置时间段内向所述Web服务器群发送的Web请求中的请求字符串确定的；

对所述潜在攻击集合中的请求字符串进行聚类分析，获取聚类分析的结果，并根据所述聚类分析的结果将所述潜在攻击集合中的请求字符串划分到潜在攻击聚类中，其中同一个潜在攻击聚类中的任意两个请求字符串之间的相似距离小于或者等于预置距离，且任意一个潜在攻击聚类中的任意一个请求字符串与其他任意一个潜在攻击聚类中的任意一个请求字符串之间的相似距离大于所述预置距离；

计算所述潜在攻击聚类的过滤因子，其中任意一个所述潜在攻击聚类的过滤因子为所述潜在攻击聚类中请求字符串的数量与所述潜在攻击集合中请求字符串所对应的Web服务器的数量的比值；

根据所述过滤因子确定是否存在攻击。

结合本发明实施例的第一方面，本发明实施例的第一方面的第一种实现方式中，所述根据所述过滤因子确定是否存在攻击具体包括：

当所述过滤因子小于或者等于预置数值时，确定存在攻击；

所述确定存在攻击之后，还包括：

将所述过滤因子对应的潜在攻击聚类确定为攻击聚类；

将所述攻击聚类加入到攻击集合。

结合本发明实施例的第一方面，本发明实施例的第一方面的第二种实现方式中，所述根据所述过滤因子确定是否存在攻击具体包括：

当所述过滤因子与所述预置距离的乘积小于或者等于预置数值时，确定存在攻击；

所述确定存在攻击之后，还包括：

将所述过滤因子对应的潜在攻击聚类确定为攻击聚类；

将所述攻击聚类加入到攻击集合。

结合本发明实施例的第一方面、或第一方面的第一种实现方式、或第一方面的第二种实现方式，本发明实施例的第一方面的第三种实现方式中，所述获取潜在攻击集合之前还包括：