[发明专利]一种网络攻击的检测方法、装置及存储介质

权利要求书

1.一种网络攻击的检测方法，其特征在于，包括：

接收第一用户对应的用户访问请求；

提取所述第一用户对应的用户访问请求的第一用户行为特征信息；所述第一用户行为特征信息具体包括如下信息：在预置的时间内发起用户访问请求的次数，动态页面占比，访问时间，访问深度，是否能反向验证的特征及公共网关接口CGI信息熵；其中，所述访问深度指所述第一用户通过客户端发起所述用户访问请求所经过的网络节点，所述反向验证是指当接收到所述用户访问请求后，向发起所述用户访问请求对应用户的客户端发送验证信息；

获取对用户访问请求进行分类的机器模型，所述机器模型用于根据用户访问请求的用户行为特征信息确定用户访问请求是否为合法的类型；所述机器模型是事先已储存在装置中的数学模型，且以一定的周期进行更新的；

根据所述机器模型及所述第一用户行为特征信息确定所述第一用户对应的用户访问请求是否为合法的类型。

2.如权利要求1所述的方法，其特征在于，所述机器模型为决策树模型，所述决策树模型包括合法类型的第一节点，非法类型的第二节点及多个第三节点，所述多个第三节点中每个第三节点用于指示用户访问请求的用户行为特征信息；

所述第一节点与任一所述第三节点之间的路径用于指示合法用户的用户访问请求的条件信息，所述第二节点与任一所述第三节点之间的路径用于指示非法用户的用户访问请求的条件信息。

3.如权利要求1或2所述的方法，其特征在于，所述接收第一用户对应的用户访问请求之前，所述方法还包括：

获取合法用户的合法访问请求，及非法用户的非法访问请求；

分别对所述合法访问请求及所述非法访问请求的用户行为特征信息进行提取；

根据所述提取的用户行为特征信息形成所述机器模型。

4.如权利要求1或2所述的方法，其特征在于，所述方法还包括：

储存所述第一用户的标注信息，所述标注信息用于指示所述第一用户的用户访问请求是否合法的类型。

5.如权利要求1或2所述的方法，其特征在于，所述方法还包括：

如果所述第一用户对应的用户访问请求的类型为非法，将所述第一用户加入惩罚名单，对所述惩罚名单中的用户对应的用户访问请求进行拦截。

6.一种网络攻击的检测装置，其特征在于，包括：

请求接收单元，用于接收第一用户对应的用户访问请求；

提取单元，用于提取所述第一用户对应的用户访问请求的第一用户行为特征信息；所述第一用户行为特征信息具体包括如下信息：在预置的时间内发起用户访问请求的次数，动态页面占比，访问时间，访问深度，是否能反向验证的特征及公共网关接口CGI信息熵；其中，所述访问深度指所述第一用户通过客户端发起所述用户访问请求所经过的网络节点，所述反向验证是指当接收到所述用户访问请求后，向发起所述用户访问请求对应用户的客户端发送验证信息；

模型获取单元，用于获取对用户访问请求进行分类的机器模型，所述机器模型用于根据用户访问请求的用户行为特征信息确定用户访问请求是否为合法的类型；所述机器模型是事先已储存在装置中的数学模型，且以一定的周期进行更新的；

类型确定单元，用于根据所述模型获取单元获取的机器模型及所述提取单元提取得到的第一用户行为特征信息确定所述第一用户对应的用户访问请求是否为合法的类型。

7.如权利要求6所述的装置，其特征在于，所述机器模型为决策树模型，所述决策树模型包括合法类型的第一节点，非法类型的第二节点及多个第三节点，所述多个第三节点中每个第三节点用于指示用户访问请求的用户行为特征信息；

所述第一节点与任一所述第三节点之间的路径用于指示合法用户的用户访问请求的条件信息，所述第二节点与任一所述第三节点之间的路径用于指示非法用户的用户访问请求的条件信息。