[发明专利]一种攻击识别方法及其识别系统

权利要求书

1.一种攻击识别方法，其特征在于，包括以下步骤：

S1：获取一域名的访问日志流，基于去掉了静态资源的访问日志流获取各用户在访问所述域名时的浏览路径信息，并基于所述浏览路径信息确定该域名的浏览路径规律；

S2：根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率；

S3：获取一用户访问所述域名时采用该浏览路径的次数；

S4：基于所述次数和所述概率，确定所述用户采用所述浏览路径访问所述域名的威胁程度。

2.根据权利要求1所述的攻击识别方法，其特征在于，步骤S1中基于所述浏览路径信息确定该域名的浏览路径规律的步骤包括：

S11：确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中；

S12：确定包含一个或多个地址节点的浏览路径的最后地址节点，

其中，当满足下述条件中任一项时，确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中：

一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值；

一地址节点为关键节点；

一地址节点的前一个地址节点为关键节点，

其中，通过以下方式之一确定关键节点：

将节点流量I大于指定阈值的节点确定为关键节点；

将流量I按照从大到小的顺序对节点进行排序，将前K个节点确定为关键节点，

其中，I＝pv×uip，pv代表页面浏览量，uip代表访问的IP数量。

3.根据权利要求2所述的攻击识别方法，其特征在于，确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项：

一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值，则该地址节点为其所在浏览路径中的最后地址节点；

一地址节点的前一个地址节点为关键节点，则该地址节点为其所在浏览路径中的最后地址节点；

一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值，则该地址节点为所述浏览路径中的最后地址节点。

4.根据权利要求1所述的攻击识别方法，其特征在于，根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率包括：

其中q_i表示各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率，uip_i表示访问所述域名时采用该浏览路径的用户IP数量，uip_k表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的用户IP数量，n表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的路径数量。

5.根据权利要求4所述的攻击识别方法，其特征在于，确定该用户采用该浏览路径访问所述域名的威胁程度的方法包括：

计算其中

并且其中，w表示该用户采用该浏览路径访问所述域名的威胁指数，r表示该用户访问所述域名时采用该浏览路径的次数，q表示各用户访问所述域名时采用该浏览路径的概率，且a的取值范围为0-1；若所述威胁指数大于设定指数阈值，则确定该用户采用该浏览路径对所述域名的访问为威胁访问。

6.一种攻击识别系统，其特征在于，包括：

浏览路径规律模块：用于获取一域名的访问日志流，基于去掉了静态资源的访问日志流获取各用户在访问所述域名时的浏览路径信息，并基于所述浏览路径信息确定该域名的浏览路径规律；

概率模块：与所述浏览路径规律模块相连，用于根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率；

次数模块：用于获取一用户访问所述域名时采用该浏览路径的次数；

威胁程度模块：与所述概率模块和所述次数模块相连，基于所述次数和所述概率，确定所述用户采用所述浏览路径访问所述域名的威胁程度。