CC攻擊的檢測方法及裝置與流程

2023-06-04 23:36:21 2

本發明涉及網絡信息安全的技術領域，尤其是涉及一種cc攻擊的檢測方法及裝置。

背景技術：

隨著網際網路技術的不斷發展，計算機網絡技術在各行各業得到了廣泛應用。網際網路應用的快速發展，伴生了許多安全漏洞。這些漏洞，會使計算機遭受病毒和黑客攻擊，從而可能導致數據丟失，嚴重可能導致用戶數據丟失或財產損失。因此網際網路安全的防護是網際網路技術中的重點。

cc全稱為challengecollapsar，意為「挑戰黑洞」。cc攻擊是ddos分布式拒絕服務的一種，cc攻擊利用不斷對網站發送連接請求致使形成拒絕服務，且cc攻擊具備一定的隱蔽性。

目前cc攻擊檢測和防禦手段大致如下：限制源ip即配置黑白名單、限制源ip的連接數、對所有的請求源ip進行統計並計算其請求速率。然而，如今大多數cc攻擊通常是通過大量的傀儡機對被攻擊的伺服器發起請求。當被控制的傀儡機達到一定數量時，這些傀儡機發起請求的ip各不相同，黑白名單策略很難奏效；這些傀儡機ip發送的請求數並不高，不會超過ip連接數的閥值，因此配置連接數閥值手段也很容易被繞過；這些傀儡機ip的請求速率也不一定很高，低於請求速率的閥值、發向每個網站的每個url的請求速率是不固定的，設置一個ip請求速率閾值，使之適合網站內所有的統一資源定位符(uniformresourcelocator，簡稱url)是不現實的。

技術實現要素：

有鑑於此，本發明的目的在於提供一種cc攻擊的檢測方法及裝置，以緩解了現有技術中存在的無法及時有效，並準確的檢測cc攻擊的技術問題。

第一方面，本發明實施例提供了一種cc攻擊的檢測方法，包括：計算web頁面正常訪問流量的第一先驗概率和所述web頁面cc攻擊訪問流量的第二先驗概率，其中，所述第一先驗概率表示樣本數據中正常訪問流量與url訪問概率相匹配的概率，所述第二先驗概率表示所述樣本數據中cc攻擊訪問流量與所述url訪問概率相匹配的概率；獲取正常訪問流量的比率和cc攻擊訪問流量的比率，所述正常訪問流量的比率和所述cc攻擊訪問流量的比率均為基於所述樣本數據確定出的；採用第一後驗概率模型，基於所述第一先驗概率和所述正常訪問流量的比率計算所述正常訪問流量的第一後驗概率；採用第二後驗概率模型，基於所述第二先驗概率和所述cc攻擊訪問流量的比率計算所述cc攻擊訪問流量的第二後驗概率；基於所述第一後驗概率和所述第二後驗概率確定所述web頁面是否受到cc攻擊。

進一步地，採用第一後驗概率模型，基於所述第一先驗概率和所述正常訪問流量的比率計算所述正常訪問流量的第一後驗概率包括：通過所述第一後驗概率計算模型計算所述第一後驗概率，其中，所述第一後驗概率計算模型表示為：p(c＝正常流量|a1＝a1,a2＝a2,…,an＝an)為所述第一後驗概率，p(c＝正常流量)為所述正常訪問流量的比率，p(ai＝ai|c＝正常流量)為所述第一先驗概率。

進一步地，採用第二後驗概率模型，基於所述第二先驗概率和所述cc攻擊訪問流量的比率計算所述cc攻擊訪問流量的第二後驗概率包括：通過所述第二後驗概率計算模型計算所述第二後驗概率，其中，所述第二後驗概率計算模型為：p(c＝cc攻擊流量|a1＝a1,a2＝a2,…,an＝an)為所述第二後驗概率，p(c＝cc攻擊流量)為所述cc攻擊訪問流量的比率，p(ai＝ai|c＝cc攻擊流量)為所述第二先驗概率。

進一步地，基於所述第一後驗概率和所述第二後驗概率確定web頁面是否受到cc攻擊包括：在所述第一後驗概率大於所述第二後驗概率的情況下，確定當前時刻訪問所述web頁面的訪問流量為正常流量；在所述第一後驗概率小於所述第二後驗概率的情況下，確定當前時刻訪問所述web頁面的訪問流量為cc攻擊流量。

進一步地，計算web頁面正常訪問流量的第一先驗概率和所述web頁面cc攻擊訪問流量的第二先驗概率包括：獲取實時流量訪問日誌；在所述流量訪問日誌中提取url和所述url的訪問時間信息；基於所述url和所述訪問時間信息確定訪問概率集合，其中，所述訪問概率集合中包括每個url的訪問概率；基於所述樣本數據和所述訪問概率集合確定所述第一先驗概率和所述第二先驗概率。

進一步地，在計算web頁面正常訪問流量的第一先驗概率和所述web頁面cc攻擊訪問流量的第二先驗概率之前，所述方法還包括：獲取所述樣本數據；基於所述樣本數據確定所述正常訪問流量的比率和所述cc攻擊訪問流量的比率；基於所述正常訪問流量的比率和所述cc攻擊訪問流量的比率，採用樸素貝葉斯分類模型構建所述第一後驗概率計算模型和所述第二後驗概率計算模型。

進一步地，基於所述樣本數據確定所述正常訪問流量的比率和所述cc攻擊訪問流量的比率包括：通過第一公式計算所述正常訪問流量的比率，其中，所述第一公式表示為：其中，a1為在所述樣本數據中統計出的正常流量次數，b1為在所述樣本數據中統計出cc攻擊流量次數；通過第二公式計算所述正常訪問流量的比率，其中，所述第二公式表示為：

第二方面，本發明實施例還提供一種cc攻擊的檢測裝置，包括：第一計算單元，用於計算web頁面正常訪問流量的第一先驗概率和所述web頁面cc攻擊訪問流量的第二先驗概率，其中，所述第一先驗概率表示樣本數據中正常訪問流量與url訪問概率相匹配的概率，所述第二先驗概率表示所述樣本數據中cc攻擊訪問流量與所述url訪問概率相匹配的概率；第一獲取單元，用於獲取正常訪問流量的比率和cc攻擊訪問流量的比率，所述正常訪問流量的比率和所述cc攻擊訪問流量的比率均為基於所述樣本數據確定出的；第二計算單元，用於採用第一後驗概率模型，基於所述第一先驗概率和所述正常訪問流量的比率計算所述正常訪問流量的第一後驗概率；第三計算單元，用於採用第二後驗概率模型，基於所述第二先驗概率和所述cc攻擊訪問流量的比率計算所述cc攻擊訪問流量的第二後驗概率；第一確定單元，用於基於所述第一後驗概率和所述第二後驗概率確定所述web頁面是否受到cc攻擊。

進一步地，所述第二計算單元用於：通過所述第一後驗概率計算模型計算所述第一後驗概率，其中，所述第一後驗概率計算模型表示為：p(c＝正常流量|a1＝a1，a2＝a2，...，an＝an)為所述第一後驗概率，p(c＝正常流量)為所述正常訪問流量的比率，p(ai＝ai|c＝正常流量)為所述第一先驗概率。

進一步地，所述第三計算單元用於：通過所述第二後驗概率計算模型計算所述第二後驗概率，其中，所述第二後驗概率計算模型為：p(c＝cc攻擊流量|a1＝a1,a2＝a2,…,an＝an)為所述第二後驗概率，p(c＝cc攻擊流量)為所述cc攻擊訪問流量的比率，p(ai＝ai|c＝cc攻擊流量)為所述第二先驗概率。

在本發明實施例中，首先計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率；然後，獲取正常訪問流量的比率和cc攻擊訪問流量的比率；接下來，採用第一後驗概率模型，基於第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一後驗概率；並採用第二後驗概率模型，基於第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二後驗概率；最後，基於第一後驗概率和第二後驗概率確定web頁面是否受到cc攻擊。在本發明實施例中，通過對無cc攻擊的日誌和有cc攻擊的日誌進行樣本訓練並建模，模型建立後對實時流量進行模式匹配從而檢測cc攻擊，從而達到了及時並準確的檢測出cc攻擊的目的，進而緩解了現有技術中存在的無法及時有效，並準確的檢測cc攻擊的技術問題，從而實現了提高cc攻擊檢測效率的技術效果。

本發明的其他特徵和優點將在隨後的說明書中闡述，並且，部分地從說明書中變得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點在說明書、權利要求書以及附圖中所特別指出的結構來實現和獲得。

為使本發明的上述目的、特徵和優點能更明顯易懂，下文特舉較佳實施例，並配合所附附圖，作詳細說明如下。

附圖說明

為了更清楚地說明本發明具體實施方式或現有技術中的技術方案，下面將對具體實施方式或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施方式，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是根據本發明實施例的一種cc攻擊的檢測方法的流程圖；

圖2是根據本發明實施例的一種cc攻擊的檢測方法的示意圖；

圖3是根據本發明實施例的一種cc攻擊的檢測裝置的示意圖；

圖4是根據本發明實施例的另一種cc攻擊的檢測裝置的示意圖。

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合附圖對本發明的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。

實施例一：

根據本發明實施例，提供了一種cc攻擊的檢測方法的實施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行，並且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同於此處的順序執行所示出或描述的步驟。

圖1是根據本發明實施例的一種cc攻擊的檢測方法的流程圖，如圖1所示，該方法包括如下步驟：

步驟s102，計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率，其中，第一先驗概率表示樣本數據中正常訪問流量與url訪問概率相匹配的概率，第二先驗概率表示樣本數據中cc攻擊訪問流量與url訪問概率相匹配的概率；

步驟s104，獲取正常訪問流量的比率和cc攻擊訪問流量的比率，正常訪問流量的比率和cc攻擊訪問流量的比率均為基於樣本數據確定出的；

步驟s106，採用第一後驗概率模型，基於第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一後驗概率；

步驟s108，採用第二後驗概率模型，基於第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二後驗概率；

步驟s110，基於第一後驗概率和第二後驗概率確定web頁面是否受到cc攻擊。

在本發明實施例中，首先計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率；然後，獲取正常訪問流量的比率和cc攻擊訪問流量的比率；接下來，採用第一後驗概率模型，基於第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一後驗概率；並採用第二後驗概率模型，基於第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二後驗概率；最後，基於第一後驗概率和第二後驗概率確定web頁面是否受到cc攻擊。在本發明實施例中，通過對無cc攻擊的日誌和有cc攻擊的日誌進行樣本訓練並建模，模型建立後對實時流量進行模式匹配從而檢測cc攻擊，從而達到了及時並準確的檢測出cc攻擊的目的，進而緩解了現有技術中存在的無法及時有效，並準確的檢測cc攻擊的技術問題，從而實現了提高cc攻擊檢測效率的技術效果。

在本發明實施例中，在計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率之前，還需要構建後驗概率計算模型(即，第一後驗概率計算模型和第二後驗概率計算模型)，在構建後驗概率計算模型時，是基於樣本數據來構建的，其中，樣本數據中包括web頁面的無cc攻擊日誌和web頁面有cc攻擊日誌，具體過程描述如下：

首先，獲取樣本數據；

然後，基於樣本數據確定正常訪問流量的比率和cc攻擊訪問流量的比率；

最後，基於正常訪問流量的比率和cc攻擊訪問流量的比率，採用樸素貝葉斯分類模型構建第一後驗概率計算模型和第二後驗概率計算模型。

具體地，首先搜集m份受保護對象(例如，受保護web網頁)的訪問流量，並且已知這些流量中包括正常流量和cc攻擊流量；然後，對該訪問流量進行分類統計得到點擊率矩陣a(即，樣本數據)。

其中，點擊率矩陣a的表達式為：在本發明實施例中，在矩陣a中，正常流量為第一行至第x行，cc攻擊流量為第x+1行至第m行。在該矩陣中，aij表示第i份訪問流量中第j個url出現的概率。需要說明的是，樣本數據是由受保護對象服務商提供，樣本數據的質量和數量通常是決定一個模型性能的關鍵因素。

在確定出樣本數據之後，就可以基於樣本數據確定正常訪問流量的比率和cc攻擊訪問流量的比率。

在一個可選的實施方式中，基於樣本數據確定正常訪問流量的比率和cc攻擊訪問流量的比率的過程描述如下：

通過第一公式計算正常訪問流量的比率，其中，第一公式表示為：其中，a1為在樣本數據中統計出的正常流量次數，b1為在樣本數據中統計出cc攻擊流量次數；

通過第二公式計算正常訪問流量的比率，其中，第二公式表示為：

需要說明的是，上述第一公式和第二公式中的次數是在樣本數據中計算得到的。

在本發明實施例中，可以通過下述方式計算正常訪問流量的比率：p(c＝正常流量)＝正常流量次數a1/(正常流量次數a1+cc攻擊流量次數b1)。

在本發明實施例中，可以通過下述方式計算cc攻擊訪問流量的比率：p(c＝cc攻擊流量)＝cc攻擊流量次數b1/(正常流量次數a1+cc攻擊流量次數b1)。

在確定出上述cc攻擊訪問流量的比率和正常訪問流量的比率之後，就可以構建第一後驗概率模型和構建第二後驗概率模型。

在本發明實施例中，可以通過樸素貝葉斯分類器建立後驗概率模型，例如，通過公式：構建第一後驗概率模型；以及，通過公式構建第二後驗概率模型。需要說明的是，在上述公式中，p(a1＝a1,a2＝a2,…,an＝an)是一個常量。

在構建上述第一後驗概率模型和第二後驗概率模型之後，就可以對實時訪問流量進行模式匹配從而檢測cc攻擊。

在對實時訪問流量進行模式匹配來檢測cc攻擊時，首先，計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率，具體計算步驟包括如下：

步驟s1021，獲取實時流量訪問日誌；

步驟s1022，在流量訪問日誌中提取url和url的訪問時間信息；

步驟s1023，基於url和訪問時間信息確定訪問概率集合，其中，訪問概率集合中包括每個url的訪問概率；

步驟s1024，基於樣本數據和訪問概率集合確定第一先驗概率和第二先驗概率。

首先，從實時流量訪問日誌中，按欄位來提取url和訪問時間信息，得到提取結果。然後，根據提取結果，計算實時訪問流量中，每個url訪問概率，得到訪問概率集合：[a1、a2、…、an]。

在確定出上述訪問概率集合之後，就可以結合樣本數據和訪問概率集合來計算先驗概率。

其中，計算得到的正常流量先驗概率(即，第一先驗概率)表示為：p(ai＝ai|c＝正常流量)，i∈1,2,…,n，其中，該正常流量先驗概率表示為樣本數據中正常訪問流量即1…x行中第i列匹配到與訪問概率集合中ai值相等的概率。計算得到的cc攻擊流量先驗概率(即，第二先驗概率)表示為：p(ai＝ai|c＝cc攻擊流量)，i∈1,2,…,n，其中，該cc攻擊流量先驗概率表示為樣本數據中cc攻擊訪問流量即x+1…m行中第i列匹配到與訪問概率集合中ai值相等的概率。

在確定出第一先驗概率，第二先驗概率，以及確定出正常訪問流量的比率和cc攻擊訪問流量的比率之後，就可以通過後驗概率模型來確定第一後驗概率和第二後驗概率。

在一個可選的實施方式中，上述步驟s106，即，採用第一後驗概率模型，基於第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一後驗概率包括如下步驟：

步驟s1061，通過第一後驗概率計算模型計算第一後驗概率，其中，第一後驗概率計算模型表示為：p(c＝正常流量|a1＝a1,a2＝a2,…,an＝an)為第一後驗概率，p(c＝正常流量)為正常訪問流量的比率，p(ai＝ai|c＝正常流量)為第一先驗概率。

具體地，在本發明實施例中，可以將常量p(a1＝a1,a2＝a2,…,an＝an)、p(c＝正常流量)，以及正常訪問流量的比率p(ai＝ai|c＝正常流量)，i∈1,2,…,n代入到建立的第一後驗概率模型中，計算出正常流量第一後驗概率p(c＝正常流量|a1＝a1,a2＝a2,…,an＝an)。

在一個可選的實施方式中，上述步驟s108，即，採用第二後驗概率模型，基於第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二後驗概率包括如下步驟：

步驟s1081，通過第二後驗概率計算模型計算第二後驗概率，其中，第二後驗概率計算模型為：p(c＝cc攻擊流量|a1＝a1,a2＝a2,…,an＝an)為第二後驗概率，p(c＝cc攻擊流量)為cc攻擊訪問流量的比率，p(ai＝ai|c＝cc攻擊流量)為第二先驗概率。

將常量p(a1＝a1,a2＝a2,…,an＝an)、p(c＝cc攻擊流量)、以及cc攻擊流量先驗概率(即，上述第二先驗概率)p(ai＝ai|c＝cc攻擊流量)，i∈1,2,…,n代入到建立的第二後驗概率模型中，從而計算出cc攻擊流量後驗概率(即，第二後驗概率)p(c＝cc攻擊流量|a1＝a1,a2＝a2,…,an＝an)。

在本發明實施例中，在確定出上述第一後驗概率和第二後驗概率之後，就可以基於第一後驗概率和第二後驗概率確定web頁面是否受到cc攻擊，具體過程描述如下：

在第一後驗概率大於第二後驗概率的情況下，確定當前時刻訪問web頁面的訪問流量為正常流量；

在第一後驗概率小於第二後驗概率的情況下，確定當前時刻訪問web頁面的訪問流量為cc攻擊流量。

也就是說，如果正常流量後驗概率大於cc攻擊流量後驗概率，此實時流量為正常流量。如果cc攻擊流量後驗概率大於正常流量後驗概率，此實時流量為cc攻擊。

綜上各實施例提供的cc攻擊的檢測方法，為了直觀理解上述過程，以圖2所示的cc攻擊的檢測方法的示意圖為例進行說明，該方法主要包括：

首先，獲取樣本數據；然後，對樣本數據進行機器學習處理，其中，機器學習指讓計算機從已知類別的樣本數據，採用樸素貝葉斯分類器，建立模型參數。

上述樣本數據的獲取和機器學習處理具體包括以下步驟：

a1、樣本數據

搜集m份受保護對象的訪問流量，並且已知這些流量中正常流量和cc攻擊流量，然後進行分類統計得到點擊率矩陣(即，樣本數據)。其中，該點擊率矩陣表示為：其中，在矩陣a中，正常流量為第一行至第x行，cc攻擊流量為第x+1行至第m行。在該矩陣中，aij表示第i份訪問流量中第j個url出現的概率。需要說明的是，樣本數據是由受保護對象服務商提供，樣本數據的質量和數量通常是決定一個模型性能的關鍵因素。

a2、建立模型

在本發明實施例中，可以通過樸素貝葉斯分類器建立後驗概率模型，例如，通過公式：構建第一後驗概率模型；以及通過公式構建第二後驗概率模型。需要說明的是，在上述公式中，p(a1＝a1,a2＝a2,…,an＝an)是一個常量。其中，zz是一個常量p(a1＝a1,a2＝a2,…,an＝an)。

在建立後驗概率模型之後，就可以基於樣本數據計算正常訪問流量的比率p(c＝正常流量)和cc攻擊訪問流量的比率p(c＝cc攻擊流量)。

其中，正常訪問流量的比率可以通過下述公式來計算：p(c＝正常流量)＝正常流量次數/正常流量次數+cc攻擊流量次數。

cc攻擊訪問流量的比率可以通過下述公式來計算：p(c＝cc攻擊流量)＝cc攻擊流量次數/正常流量次數+cc攻擊流量次數。

需要說明的是，在上述公式中的次數是在樣本數據中計算得出次數。

計算先驗概率：從步驟a中的後驗概率模型可知，計算後驗概率需先計算出正常流量先驗概率p(ai＝ai|c＝正常流量)，i∈1,2,…,n、cc攻擊流量先驗概率p(ai＝ai|c＝cc攻擊流量)，i∈1,2,…,n。具體步驟如下：

b、計算正常流量先驗概率(即，第一先驗概率)和cc攻擊流量先驗概率(即，第二先驗概率)，其中，計算先驗概率包括如下步驟：

b1、提取訪問樣本：從實時流量訪問日誌按欄位來提取url、訪問時間信息。

b2、計算訪問概率：根據步驟b1結果，計算實時訪問流量中，每個url訪問概率[a1、a2、…、an]。

b3、計算先驗概率。

計算得到的正常流量先驗概率(即，第一先驗概率)表示為：p(ai＝ai|c＝正常流量)，i∈1,2,…,n，其中，該正常流量先驗概率表示為樣本數據中正常訪問流量即1…x行中第i列匹配到與訪問概率集合中ai值相等的概率。計算得到的cc攻擊流量先驗概率(即，第二先驗概率)表示為：p(ai＝ai|c＝cc攻擊流量)，i∈1,2,…,n，其中，該cc攻擊流量先驗概率表示為樣本數據中cc攻擊訪問流量即x+1…m行中第i列匹配到與訪問概率集合中ai值相等的概率。

c、計算正常流量後驗概率(即，第一後驗概率)和cc攻擊流量後驗概率(即，第二後驗概率)，其中，計算後驗概率包括如下步驟：

c1、正常流量後驗概率。

將常量p(a1＝a1,a2＝a2,…,an＝an)、p(c＝正常流量)、步驟b3的正常流量先驗概率p(ai＝ai|c＝正常流量)，i∈1,2,…,n代入到a2建立的後驗概率模型中，計算出正常流量後驗概率p(c＝正常流量|a1＝a1,a2＝a2,…,an＝an)

c2、cc攻擊流量後驗概率。

將常量p(a1＝a1,a2＝a2,…,an＝an)、p(c＝cc攻擊流量)、步驟b3的cc攻擊流量先驗概率p(ai＝ai|c＝cc攻擊流量)，i∈1,2,…,n代入到a2建立的後驗概率模型中，計算出cc攻擊流量後驗概率p(c＝cc攻擊流量|a1＝a1,a2＝a2,…,an＝an)。

d、檢測cc攻擊

如果正常流量後驗概率大於cc攻擊流量後驗概率，此實時流量為正常流量。如果cc攻擊流量後驗概率大於正常流量後驗概率，此實時流量為cc攻擊。具體實現過程如上，這裡不再贅述。

實施例二：

本發明實施例還提供了一種cc攻擊的檢測裝置，該cc攻擊的檢測裝置主要用於執行本發明實施例上述內容所提供的cc攻擊的檢測方法，以下對本發明實施例提供的cc攻擊的檢測裝置做具體介紹。

圖3是根據本發明實施例的一種cc攻擊的檢測裝置的示意圖，如圖3所示，該cc攻擊的檢測裝置主要包括：第一計算單元31，第一獲取單元32，第二計算單元33，第三計算單元34和第一確定單元35，其中：

第一計算單元31，用於計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率，其中，第一先驗概率表示樣本數據中正常訪問流量與url訪問概率相匹配的概率，第二先驗概率表示樣本數據中cc攻擊訪問流量與url訪問概率相匹配的概率；

第一獲取單元32，用於獲取正常訪問流量的比率和cc攻擊訪問流量的比率，正常訪問流量的比率和cc攻擊訪問流量的比率均為基於樣本數據確定出的；

第二計算單元33，用於採用第一後驗概率模型，基於第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一後驗概率；

第三計算單元34，用於採用第二後驗概率模型，基於第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二後驗概率；

第一確定單元35，用於基於第一後驗概率和第二後驗概率確定web頁面是否受到cc攻擊。

在本發明實施例中，首先計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率；然後，獲取正常訪問流量的比率和cc攻擊訪問流量的比率；接下來，採用第一後驗概率模型，基於第一先驗概率和正常訪問流量的比率計算正常訪問流量的第一後驗概率；並採用第二後驗概率模型，基於第二先驗概率和cc攻擊訪問流量的比率計算cc攻擊訪問流量的第二後驗概率；最後，基於第一後驗概率和第二後驗概率確定web頁面是否受到cc攻擊。在本發明實施例中，通過對無cc攻擊的日誌和有cc攻擊的日誌進行樣本訓練並建模，模型建立後對實時流量進行模式匹配從而檢測cc攻擊，從而達到了及時並準確的檢測出cc攻擊的目的，進而緩解了現有技術中存在的無法及時有效，並準確的檢測cc攻擊的技術問題，從而實現了提高cc攻擊檢測效率的技術效果。

可選地，第二計算單元用於：通過第一後驗概率計算模型計算第一後驗概率，其中，第一後驗概率計算模型表示為：p(c＝正常流量|a1＝a1，a2＝a2，...，an＝an)為第一後驗概率，p(c＝正常流量)為正常訪問流量的比率，p(ai＝ai|c＝正常流量)為第一先驗概率。

可選地，第三計算單元用於：通過第二後驗概率計算模型計算第二後驗概率，其中，第二後驗概率計算模型為：p(c＝cc攻擊流量|a1＝a1,a2＝a2,…,an＝an)為第二後驗概率，p(c＝cc攻擊流量)為cc攻擊訪問流量的比率，p(ai＝ai|c＝cc攻擊流量)為第二先驗概率。

可選地，第一確定單元用於：在第一後驗概率大於第二後驗概率的情況下，確定當前時刻訪問web頁面的訪問流量為正常流量；在第一後驗概率小於第二後驗概率的情況下，確定當前時刻訪問web頁面的訪問流量為cc攻擊流量。

可選地，第一計算單元用於：獲取實時流量訪問日誌；在流量訪問日誌中提取url和url的訪問時間信息；基於url和訪問時間信息確定訪問概率集合，其中，訪問概率集合中包括每個url的訪問概率；基於樣本數據和訪問概率集合確定第一先驗概率和第二先驗概率。

可選地，如圖4所示，該裝置還包括：第二獲取單元41，用於在計算web頁面正常訪問流量的第一先驗概率和web頁面cc攻擊訪問流量的第二先驗概率之前，獲取樣本數據；第二確定單元42，用於基於樣本數據確定正常訪問流量的比率和cc攻擊訪問流量的比率；構建單元43，用於基於正常訪問流量的比率和cc攻擊訪問流量的比率，採用樸素貝葉斯分類模型構建第一後驗概率計算模型和第二後驗概率計算模型。

可選地，第二確定單元用於：通過第一公式計算正常訪問流量的比率，其中，第一公式表示為：其中，a1為在樣本數據中統計出的正常流量次數，b1為在樣本數據中統計出cc攻擊流量次數；通過第二公式計算正常訪問流量的比率，其中，第二公式表示為：

另外，在本發明實施例的描述中，除非另有明確的規定和限定，術語「安裝」、「相連」、「連接」應做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機械連接，也可以是電連接；可以是直接相連，也可以通過中間媒介間接相連，可以是兩個元件內部的連通。對於本領域的普通技術人員而言，可以具體情況理解上述術語在本發明中的具體含義。

在本發明的描述中，需要說明的是，術語「中心」、「上」、「下」、「左」、「右」、「豎直」、「水平」、「內」、「外」等指示的方位或位置關係為基於附圖所示的方位或位置關係，僅是為了便於描述本發明和簡化描述，而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構造和操作，因此不能理解為對本發明的限制。此外，術語「第一」、「第二」、「第三」僅用於描述目的，而不能理解為指示或暗示相對重要性。

本發明實施例所提供的一種cc攻擊的檢測方法及裝置的電腦程式產品，包括存儲了處理器可執行的非易失的程序代碼的計算機可讀存儲介質，程序代碼包括的指令可用於執行前面方法實施例中的方法，具體實現可參見方法實施例，在此不再贅述。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統、裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統、裝置和方法，可以通過其它的方式實現。以上所描述的裝置實施例僅僅是示意性的，例如，單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，又例如，多個單元或組件可以結合或者可以集成到另一個系統，或一些特徵可以忽略，或不執行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些通信接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位於一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。

另外，在本發明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。

功能如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時，可以存儲在一個處理器可執行的非易失的計算機可讀取存儲介質中。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者網絡設備等)執行本發明各個實施例方法的全部或部分步驟。而前述的存儲介質包括：u盤、移動硬碟、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光碟等各種可以存儲程序代碼的介質。

最後應說明的是：以上實施例，僅為本發明的具體實施方式，用以說明本發明的技術方案，而非對其限制，本發明的保護範圍並不局限於此，儘管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解：任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內，其依然可以對前述實施例所記載的技術方案進行修改或可輕易想到變化，或者對其中部分技術特徵進行等同替換；而這些修改、變化或者替換，並不使相應技術方案的本質脫離本發明實施例技術方案的精神和範圍，都應涵蓋在本發明的保護範圍之內。因此，本發明的保護範圍應以權利要求的保護範圍為準。