[发明专利]一种攻击识别方法、装置、设备及计算机可读存储介质

说明书

本发明公开了一种攻击识别方法，该方法包括以下步骤：按照预设时间周期进行攻击次数统计，得到各目标攻击次数；获取各目标攻击次数分别对应的目标攻击阈值；判断是否存在超出相应目标攻击阈值的目标攻击次数；若是，则将超出相应目标攻击阈值的目标攻击次数的攻击确定为异常攻击。应用本发明所提供的攻击识别方法，提高了对异常的攻击识别的准确性，降低了系统被攻击的概率，提升了系统安全性。本发明还公开了一种攻击识别装置、设备及存储介质，具有相应技术效果。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种攻击识别方法、装置、设备及计算机可读存储介质。

背景技术

现有的安全设备和防护产品在处理攻击行为(如WEB攻击行为)时，仍会有大部分攻击行为能成功渗过，甚至成功入侵。且现有的安全设备和防护产品仅对匹配了单个策略的某一个攻击进行拦截并形成告警记录。

但系统(如web系统)无时无刻都在被攻击，包括一些针对性的攻击和无差别扫描攻击。在此情况下，用户面对时时刻刻都在产生的告警记录时，无法从中提取出异常的攻击并及时采取行动，也不可能时时刻刻盯着告警日志去发现系统是否遭受异常攻击。因此，当系统在短时间内遭受了突增的大批量攻击，并产生了大量的告警日志时，用户也无法及时知晓和采取行动，系统极有可能被攻破。

综上所述，如何有效地解决现有的攻击识别方式不能对异常的攻击进行准确识别，易发生系统被攻击等问题，是目前本领域技术人员急需解决的问题。

发明内容

本发明的目的是提供一种攻击识别方法，该方法提高了对异常的攻击识别的准确性，降低了系统被攻击的概率，提升了系统安全性；本发明的另一目的是提供一种攻击识别装置、设备及计算机可读存储介质。

为解决上述技术问题，本发明提供如下技术方案：

一种攻击识别方法，包括：

按照预设时间周期进行攻击次数统计，得到各目标攻击次数；

获取各所述目标攻击次数分别对应的目标攻击阈值；

判断是否存在超出相应目标攻击阈值的目标攻击次数；

若是，则将超出相应目标攻击阈值的目标攻击次数的攻击确定为异常攻击。

在本发明的一种具体实施方式中，获取各所述目标攻击次数分别对应的目标攻击阈值，包括：

获取各所述目标攻击次数分别对应的前第一预设数量个所述预设时间周期内的各历史攻击次数；

对每个目标攻击次数和对应的各所述历史攻击次数进行大小排序，得到排序结果；

按照预设阈值选取规则从各所述排序结果中选取得到各所述目标攻击阈值。

在本发明的一种具体实施方式中，在将超出相应目标攻击阈值的目标攻击次数的攻击确定为异常攻击之后，还包括：

对所述异常攻击进行告警操作。

在本发明的一种具体实施方式中，对所述异常攻击进行告警操作，包括：

判断所述异常攻击所在的目标预设时间周期的前第二预设数量个所述预设时间周期内是否存在告警操作；

若否，则对所述异常攻击进行告警操作。

在本发明的一种具体实施方式中，在确定所述异常攻击所在的目标预设时间周期的前第二预设数量个所述预设时间周期内存在告警操作，或对所述异常攻击进行告警操作之后，还包括：

将所述异常攻击从统计结果中剔除。

一种攻击识别装置，包括：

攻击次数获得模块，用于按照预设时间周期进行攻击次数统计，得到各目标攻击次数；