本申请提供一种恶意访问数据判定方法、装置、介质及电子设备,涉及计算机技术领域,包括:根据采集到的合法访问数据生成用户画像;当检测到目标访问数据时,确定目标访问数据与恶意访问数据库的匹配结果,并根据用户画像计算目标访问数据对应的流量值;根据用户画像和恶意访问数据库确定目标访问数据对应的置信度;若匹配结果、流量值和置信度中至少一项符合预设判定条件,则判定目标访问数据为恶意访问数据。可见,实施上述方法可以提升恶意访问数据的判定精度,降低漏判定的概率,从而有利于避免恶意访问数据对计算资源的攻击。于避免恶意访问数据对计算资源的攻击。于避免恶意访问数据对计算资源的攻击。
【技术实现步骤摘要】
恶意访问数据判定方法、装置、介质及电子设备
[0001]本申请涉及计算机
,具体而言,涉及一种恶意访问数据判定方法、恶意访问数据判定装置、计算机可读存储介质及电子设备。
技术介绍
[0002]分布式拒绝服务攻击(Distributed Denial of service,DDos)是互联网中最重要的威胁之一,DDos攻击是指攻击者通过傀儡主机,消耗攻击目标的计算资源,阻止目标为合法用户提供服务,Web服务器和DNS服务器是较为常见的攻击目标。DDos攻击消耗的计算资源一般可以包括CPU、内存、带宽、数据库服务器等。
[0003]一般来说,DDos攻击属于一种恶意访问数据,对于此类恶意访问数据的处理方式一般为:根据此类访问数据的特征(如,源地址)进行筛选或是根据源地址的访问频率进行恶意访问数据判定。但是,实质上恶意访问数据的判定条件更为复杂,仅仅通过特征或访问频率判定容易导致漏判定的问题。
[0004]需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本申请的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0005]本申请的目的在于提供一种恶意访问数据判定方法、恶意访问数据判定装置、计算机可读存储介质及电子设备,可以提升恶意访问数据的判定精度,降低漏判定的概率,从而有利于避免恶意访问数据对计算资源的攻击。
[0006]本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
[0007]根据本申请的一方面,提供一种恶意访问数据判定方法,包括:
[0008]根据采集到的合法访问数据生成用户画像;
[0009]当检测到目标访问数据时,确定目标访问数据与恶意访问数据库的匹配结果,并根据用户画像计算目标访问数据对应的流量值;
[0010]根据用户画像和恶意访问数据库确定目标访问数据对应的置信度;
[0011]若匹配结果、流量值和置信度中至少一项符合预设判定条件,则判定目标访问数据为恶意访问数据。
[0012]在本申请的一种示例性实施例中,确定目标访问数据与恶意访问数据库的匹配结果之前,上述方法还包括:
[0013]根据历史判定结果中的恶意访问数据构建恶意访问数据库;
[0014]根据云服务器中的恶意访问数据更新消息实时同步更新恶意访问数据库。
[0015]在本申请的一种示例性实施例中,根据采集到的合法访问数据生成用户画像,包括:
[0016]将合法访问数据解析为结构化数据,并将结构化数据确定为用户画像;
[0017]其中,结构化数据包括多个预设字段和多个预设字段分别对应的字段信息;多个预设字段包括流量成分、访问源IP、接入运营商、地域归属以及访问源IP的访问频率中至少一种。
[0018]在本申请的一种示例性实施例中,确定目标访问数据与恶意访问数据库的匹配结果,包括:
[0019]解析目标访问数据中的目标源地址;
[0020]检测目标源地址是否命中恶意访问数据库中的恶意源地址集合;
[0021]如果是,则判定目标访问数据与恶意访问数据库相匹配。
[0022]在本申请的一种示例性实施例中,根据用户画像计算目标访问数据对应的流量值,包括:
[0023]从用户画像中确定与目标源地址相对应的目标用户画像;
[0024]将目标用户画像中的访问频率确定为目标访问数据对应的流量值。
[0025]在本申请的一种示例性实施例中,根据用户画像和恶意访问数据库确定目标访问数据对应的置信度,包括:
[0026]根据置信度数据库确定目标访问数据的先验信息;其中,置信度数据库包括合法访问数据和恶意访问数据中至少一种数据对应的置信度;
[0027]确定目标用户画像中的访问频率在单位时间内的流量分布,并根据流量分布计算目标访问数据的似然函数;
[0028]根据先验信息和似然函数计算目标访问数据对应的后验信息作为置信度。
[0029]在本申请的一种示例性实施例中,上述方法还包括:
[0030]根据历史时刻的流量计算当前时刻对应的流量阈值,若目标访问数据的流量值大于或等于流量阈值,则判定流量值符合预设判定条件;
[0031]若匹配结果用于表示目标访问数据与恶意访问数据库相匹配,则判定匹配结果符合预设判定条件;
[0032]若置信度为发散结果,则判定置信度符合预设判定条件。
[0033]根据本申请的一方面,提供一种恶意访问数据判定装置,包括:用户画像生成单元、数据计算单元和恶意访问判定单元,其中:
[0034]用户画像生成单元,用于根据采集到的合法访问数据生成用户画像;
[0035]数据计算单元,用于当检测到目标访问数据时,确定目标访问数据与恶意访问数据库的匹配结果,并根据用户画像计算目标访问数据对应的流量值;
[0036]数据计算单元,还用于根据用户画像和恶意访问数据库确定目标访问数据对应的置信度;
[0037]恶意访问判定单元,用于在匹配结果、流量值和置信度中至少一项符合预设判定条件时,判定目标访问数据为恶意访问数据。
[0038]在本申请的一种示例性实施例中,上述装置还包括:
[0039]数据库构建单元,用于在数据计算单元确定目标访问数据与恶意访问数据库的匹配结果之前,根据历史判定结果中的恶意访问数据构建恶意访问数据库;
[0040]数据库更新单元,用于根据云服务器中的恶意访问数据更新消息实时同步更新恶意访问数据库。
[0041]在本申请的一种示例性实施例中,用户画像生成单元根据采集到的合法访问数据生成用户画像,包括:
[0042]将合法访问数据解析为结构化数据,并将结构化数据确定为用户画像;
[0043]其中,结构化数据包括多个预设字段和多个预设字段分别对应的字段信息;多个预设字段包括流量成分、访问源IP、接入运营商、地域归属以及访问源IP的访问频率中至少一种。
[0044]在本申请的一种示例性实施例中,数据计算单元确定目标访问数据与恶意访问数据库的匹配结果,包括:
[0045]解析目标访问数据中的目标源地址;
[0046]检测目标源地址是否命中恶意访问数据库中的恶意源地址集合;
[0047]如果是,则判定目标访问数据与恶意访问数据库相匹配。
[0048]在本申请的一种示例性实施例中,数据计算单元根据用户画像计算目标访问数据对应的流量值,包括:
[0049]从用户画像中确定与目标源地址相对应的目标用户画像;
[0050]将目标用户画像中的访问频率确定为目标访问数据对应的流量值。
[0051]在本申请的一种示例性实施例中,数据计算单元根据用户画像和恶意访问数据库确定目标访问数据对应的置信度,包括:
[0052]根据置信度数据库确定目标访问数据的先验信息;其中,置信度数据库包括合法访问数据和恶意访问数据中至少一种数本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意访问数据判定方法,其特征在于,包括:根据采集到的合法访问数据生成用户画像;当检测到目标访问数据时,确定所述目标访问数据与恶意访问数据库的匹配结果,并根据所述用户画像计算所述目标访问数据对应的流量值;根据所述用户画像和所述恶意访问数据库确定所述目标访问数据对应的置信度;若所述匹配结果、所述流量值和所述置信度中至少一项符合预设判定条件,则判定所述目标访问数据为恶意访问数据。2.根据权利要求1所述的方法,其特征在于,确定所述目标访问数据与恶意访问数据库的匹配结果之前,所述方法还包括:根据历史判定结果中的恶意访问数据构建所述恶意访问数据库;根据云服务器中的恶意访问数据更新消息实时同步更新所述恶意访问数据库。3.根据权利要求1所述的方法,其特征在于,根据采集到的合法访问数据生成用户画像,包括:将所述合法访问数据解析为结构化数据,并将所述结构化数据确定为所述用户画像;其中,所述结构化数据包括多个预设字段和所述多个预设字段分别对应的字段信息;所述多个预设字段包括流量成分、访问源IP、接入运营商、地域归属以及所述访问源IP的访问频率中至少一种。4.根据权利要求1所述的方法,其特征在于,确定所述目标访问数据与恶意访问数据库的匹配结果,包括:解析所述目标访问数据中的目标源地址;检测所述目标源地址是否命中所述恶意访问数据库中的恶意源地址集合;如果是,则判定所述目标访问数据与恶意访问数据库相匹配。5.根据权利要求4所述的方法,其特征在于,根据所述用户画像计算所述目标访问数据对应的流量值,包括:从所述用户画像中确定与所述目标源地址相对应的目标用户画像;将所述目标用户画像中的访问频率确定为所述目标访问数据对应的流量值。6.根据权利要求5所述的方法,其特征在于,根据所述用户画像和所述恶意访问数据库确定所述目标访问数据对应的置信度...
【专利技术属性】
技术研发人员:张琳,黄海,汪有杰,赵鹏程,陈云峰,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。