公开(公告)号：CN105337985A

公开(公告)日：2016-02-17

申请号：CN201510809546.6

申请日：2015-11-19

Applicant: 北京师范大学

Inventor： 王晶 ,  高岩 ,  王红蕊

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L67/02

Abstract: 本发明实施例公开了一种攻击检测方法及系统，预先建立与HTTP请求相关的多个检测模型，分别利用每个检测模型对web访问日志分解后的每条记录进行检测，得到每个检测模型针对该条记录的参数异常值；计算每个检测模型的参数异常值对应的优化加权值，加权计算最终参数异常值，并确定最终异常门限阈值；判断针对待检测日志记录计算出的最终参数异常值是否大于所确定的最终异常门限阈值；如果是，将待检测日志记录的HTTP请求确定为攻击行为。应用本发明实施例，可以主动发现未知攻击，提高了对未知攻击的检测率，且采用多检测模型的优化加权进行检测，避免了单一检测模型的局限性，减少了误报及漏报情况，降低了误检率。