(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111357815.1 (22)申请日 2021.11.16 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园玉泉慧谷1号楼 (72)发明人 张道林　杨飞　肖新光　 (74)专利代理 机构 北京科衡知识产权代理有限 公司 11928 代理人 王淑静 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种数据请求频次统计方法、 装置、 电子设 备及存储介质 (57)摘要 本发明实施例公开一种数据请求频次统计 方法、 装置、 电子设备及存储介质， 涉及网络安全 技术领域。 数据请求频次统计方法包括步骤： 接 收第一设备发送的数据请求消息； 所述数据请求 消息中携带有第一设备的身份标识信息； 根据所 述第一设备的身份标识信息为第一设备发送的 数据请求消息建立消息队列； 所述消息队列为一 固定时长的时间窗口； 基于时间滑动窗口算法对 进入所述时间窗口中的数据请求消息进行频次 统计。 由于采用时间窗口滑动统计的方式， 统计 更加精细， 可以在一定程度上避免上述现有统计 方案中存在的安全漏洞， 从而能够提升服务器的 安全性。 本发明适用于网络攻击 检测场景中。 权利要求书3页 说明书9页 附图4页 CN 114124507 A 2022.03.01 CN 114124507 A 1.一种数据请求频次统计方法， 其特 征在于， 包括 步骤： 接收第一设备发送的数据请求消息； 所述数据请求消息中携带有第 一设备的身份标识 信息； 根据所述第 一设备的身份标识信 息为第一设备发送的数据请求消息建立消息队列； 所 述消息队列为 一固定时长的时间窗口； 基于时间滑动窗口算法对进入所述时间窗口中的数据请求消息进行 频次统计。 2.根据权利要求1所述的数据请求频次统计方法， 其特征在于， 所述基于时间滑动窗口 算法对进入所述时间窗口中的数据请求消息进行 频次统计包括： 根据所述时间窗口 的固定时长将所述时间窗口连续划分成多个时间子窗口； 对进入每 个时间子窗口中的数据请求频次根据预定滑动步长进行滑动统计； 根据当前时间窗口滑动的时间戳， 计算所述固定时间长度内所有子窗口统计的频次 和， 得到频次统计结果。 3.根据权利要求1所述的数据请求频次统计方法， 其特征在于， 所述 时间窗口中预设有 第一检测规则， 所述第一检测规则中包括： 第一请求频次阈值； 在基于时间滑动窗口算法对进入所述 时间窗口中的数据请求消息进行频次统计之后， 所述方法还 包括： 查询预设的第一检测规则； 根据频次统计结果与第一检测规则中的第一请求频次判断阈值进行比较； 若所述频次统计结果大于或等于所述第一请求频次阈值， 则触发限制请求和/或告警。 4.根据权利要求3所述的数据请求频次统计方法， 其特征在于， 所述第 一检测规则中还 包括： 网络攻击类型及所述网络攻击类型与第一请求频次阈值之间的判定关系； 所述若所述频次统计结果大于所述第一请求频次阈值之后， 所述方法还包括： 根据所 述网络攻击类型与第一请求频次阈值之间的判定关系确定对应的网络攻击类型。 5.根据权利要求3所述的数据请求频次统计方法， 其特征在于， 所述 时间窗口中还预设 有第二检测规则， 第二检测规则包括： 第二请求频次阈值； 所述方法还包括： 接收第二设备发送的数据请求消息； 所述数据请求消息中携带有第 二设备的身份标识信息； 根据所述第二设备的身份标识信息为第二设备发送的数据请求消息建立消息队列； 基于时间滑动 窗口算法对进入所述时间窗口中的第一设备和第二设备分别发送的数 据请求消息进行 频次统计； 根据得到的统计结果， 分别基于第 一检测规则和第 二检测规则判定是否对第 一设备和 第二设备发送的数据请求进行限制； 分别记录在当前一个时间窗口内处理第一设备与第二设备发送的数据请求频次统计 及判定任务对应的最 早时间戳； 比较多个统计及判定任务的最 早时间戳的大小； 将多个统计及判定任务已经处 理完成的且位于较小的最 早时间戳之前的数据删除。 6.根据权利要求4所述的数据请求频次统计方法， 其特征在于， 所述网络攻击类型包 括： DOS攻击、 DDOS攻击、 口令爆破攻击、 端口扫描攻击、 网段扫描攻击、 目录扫描攻击及利用 失效的身份认证和会话 攻击中的一种或多种。 7.一种数据请求频次统计装置， 其特 征在于， 包括：权　利　要　求　书 1/3 页 2 CN 114124507 A 2接收程序模块， 用于接收第一设备发送的数据请求消息； 所述数据请求消息中携带有 第一设备的身份标识信息； 建立程序模块， 用于根据所述第 一设备的身份标识信 息为第一设备发送的数据请求消 息建立消息队列； 所述消息队列为 一固定时长的时间窗口； 统计程序模块， 用于基于时间滑动窗口算法对进入所述 时间窗口中的数据请求消息进 行频次统计。 8.根据权利要求7所述的数据请求频次统计装置， 其特征在于， 所述统计程序模块包 括： 划分程序单元， 用于根据所述时间窗口的固定时长将所述时间窗口连续划分成多个时 间子窗口； 滑动统计程序 单元， 对进入每个时间子窗口中的数据请求频次根据预定滑动步长进行 滑动统计； 计算程序单元， 用于根据当前时间窗口滑动的时间戳， 计算所述固定时间长度内所有 子窗口统计的频次和， 得到频次统计结果。 9.根据权利要求7所述的数据请求频次统计装置， 其特征在于， 所述 时间窗口中预设有 第一检测规则， 所述第一检测规则中包括： 第一请求频次阈值； 所述装置还包括： 查询程序模块， 用于在基于时间滑动 窗口算法对进入所述时间窗口 中的数据请求消息进行 频次统计之后， 查询预设的第一检测规则； 第一比较程序模块， 用于根据频次统计结果与第 一检测规则中的第 一请求频次判断阈 值进行比较； 处置程序模块， 用于若所述频次统计结果大于或等于所述第一请求频次阈值， 则触发 限制请求和/或告警。 10.根据权利要求9所述的数据请求频次统计装置， 其特征在于， 所述第一检测规则中 还包括： 网络攻击类型及所述网络攻击类型与第一请求频次阈值之间的判定关系； 所述处置程序模块， 还用于在若所述频次统计结果大于所述第一请求频次阈值之后， 根据所述网络攻击类型与第一请求频次阈值之间的判定关系确定对应的网络攻击类型。 11.根据权利要求9或10所述的数据请求频次统计装置， 其特征在于， 所述时间窗口中 还预设有第二检测规则， 第二检测规则包括： 第二请求频次阈值； 所述接收程序模块， 还用于接收第二设备发送的数据请求消息； 所述数据请求消息中 携带有第二设备的身份标识信息； 所述建立程序模块， 还用于根据所述第 二设备的身份标识信 息为第二设备发送的数据 请求消息建立消息队列； 所述统计程序模块， 还用于基于时间滑动窗口算法对进入所述 时间窗口中的第 一设备 和第二设备分别发送的数据请求消息进行 频次统计； 所述装置还包括： 判定程序模块， 用于根据 得到的统计结果， 分别基于第 一检测规则和 第二检测规则判定是否对第一设备和第二设备发送的数据请求进行限制； 记录程序模块， 用于分别记录在 当前一个时间窗口内处理第 一设备与第 二设备发送的 数据请求频次统计及判定任务对应的最 早时间戳； 第二比较程序模块， 用于比较多个统计及判定任务的最 早时间戳的大小； 删除程序模块， 用于将多个统计及判定任务已经处理完成的且位于较小的最早时间戳权　利　要　求　书 2/3 页 3 CN 114124507 A 3