一种网络攻击检测方法、装置及存储介质转让专利
申请号 : CN202110823652.5
文献号 : CN115701024A
文献日 : 2023-02-07
发明人 : 程向阳
申请人 : 中移(苏州)软件技术有限公司 , 中国移动通信集团有限公司
摘要 :
本发明公开了一种网络攻击检测方法、装置及存储介质,方法包括:获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息;对至少一个流表状态信息进行数据分析处理,得到流表特征信息;利用已训练的攻击检测模型,基于流表特征信息对目标检测网络进行攻击检测判断,得到攻击检测结果。通过上述方案,提高了网络攻击检测的准确性和效率。
权利要求 :
1.一种网络攻击检测方法,其特征在于,所述方法包括:获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息;
对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息;
利用已训练的攻击检测模型,基于所述流表特征信息对所述目标检测网络进行攻击检测判断,得到攻击检测结果。
2.根据权利要求1所述的方法,其特征在于,所述流表特征信息包括:源互联网协议地址速率、攻击源端口速率、流包数无偏标准差、流比特数无偏标准差、流表项速率,以及交互流比例。
3.根据权利要求2所述的方法,其特征在于,所述对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:获取所述至少一个流表状态信息中,每个流表状态信息的数据包数量,得到至少一个数据包数量;
利用所述至少一个数据包数量,确定所述至少一个流表状态信息对应的数据包均值;
利用所述至少一个流表状态信息的数量,所述至少一个数据包数量和所述数据包均值,确定所述流包数无偏标准差。
4.根据权利要求2所述的方法,其特征在于,所述对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:获取所述至少一个流表状态信息中,每个流表状态信息的比特数量,得到至少一个比特数量;
利用所述至少一个比特数量,确定所述至少一个流表状态信息对应的比特均值;
利用所述至少一个流表状态信息的数量,所述至少一个比特数量和所述比特均值,确定所述流比特数无偏标准差。
5.根据权利要求2所述的方法,其特征在于,所述对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:将所述至少一个流表状态信息的数量与所述预设时长之比,确定为所述流表项速率。
6.根据权利要求2所述的方法,其特征在于,所述对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:获取所述至少一个流表状态信息中,每个流表状态信息包括的数据包的源互联网协议地址、源端口、目的端口以及目的互联网协议地址;
利用所述源互联网协议地址、所述源端口、所述目的端口以及所述目的互联网协议地址,确定所述至少一个流表状态信息中的交互流数量;
利用所述至少一个流表状态信息的数量和所述交互流数量,确定所述交互流比例。
7.根据权利要求1所述的方法,其特征在于,所述利用已训练的攻击检测模型,基于所述流表特征信息对所述目标检测网络进行攻击检测判断,得到攻击检测结果之后,还包括:在所述攻击检测结果为所述目标检测网络受到攻击的情况下,输出表征所述目标检测网络受到攻击的告警提示信息。
8.一种网络攻击检测装置,其特征在于,包括:
获取模块,用于获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息;
处理模块,用于对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息;
检测模块,用于利用已训练的攻击检测模型,基于所述流表特征信息对所述目标检测网络进行攻击检测判断,得到攻击检测结果。
9.一种网络攻击检测装置,其特征在于,包括:处理器、存储器和通信总线;
所述通信总线,用于实现所述处理器和所述存储器之间的通信连接;
所述处理器,用于执行所述存储器中存储的网络攻击检测程序,以实现权利要求1‑7任一项所述的网络攻击检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可以被一个或者多个处理器执行,以实现权利要求1‑7任一项所述的网络攻击检测方法。
说明书 :
一种网络攻击检测方法、装置及存储介质
技术领域
[0001] 本发明涉及网络安全的技术领域,尤其涉及一种网络攻击检测方法、装置及存储介质。
背景技术
[0002] 在互联网时代,由于网络技术的不断发展,网络业务需求的持续扩大,互联网经济增长迅速,具有重要业务及产业信息的网络服务已经分布扩散到现状社会的生产及生活当中。网络攻击的出现会导致相关的网络服务异常,造成巨额的经济损失,甚至会引发其它灾难性的后果。
[0003] 现有技术中,对于网络攻击的检测方法一般为计算目的互联网地址的熵值或者使用自组织神经网络算法进行检测,但是,利用目的互联网地址的熵值进行网络攻击检测时,需要确定合理的阈值,该阈值的确定随着网络的复杂程度变化不一,确定难度较大,使得网络攻击检测的准确性较低,而利用自组织神经网络算法进行检测,收敛速度较慢,检测滞后。
发明内容
[0004] 为解决上述技术问题,本发明提供了一种网络攻击检测方法、装置及存储介质,利用已训练的攻击检测模型,对提取的目标检测网络的流表特征信息进行分析处理,以确定目标检测网络是否被攻击,从而提高了网络攻击检测的准确性和效率。
[0005] 本发明的技术方案是这样实现的:
[0006] 本发明提供了一种网络攻击检测方法,所述方法包括:
[0007] 获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息;
[0008] 对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息;
[0009] 利用已训练的攻击检测模型,基于所述流表特征信息对所述目标检测网络进行攻击检测判断,得到攻击检测结果。
[0010] 在上述方法中,所述流表特征信息包括:源互联网协议地址速率、攻击源端口速率、流包数无偏标准差、流比特数无偏标准差、流表项速率以及交互流比例。
[0011] 在上述方法中,所述对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:
[0012] 获取所述至少一个流表状态信息中,每个流表状态信息的数据包数量,得到至少一个数据包数量;
[0013] 利用所述至少一个数据包数量,确定所述至少一个流表状态信息对应的数据包均值;
[0014] 利用所述至少一个流表状态信息的数量,所述至少一个数据包数量和所述数据包均值,确定所述流包数无偏标准差。
[0015] 在上述方法中,所述对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:
[0016] 获取所述至少一个流表状态信息中,每个流表状态信息的比特数量,得到至少一个比特数量;
[0017] 利用所述至少一个比特数量,确定所述至少一个流表状态信息对应的比特均值;
[0018] 利用所述至少一个流表状态信息的数量,所述至少一个比特数量和所述比特均值,确定所述流比特数无偏标准差。
[0019] 在上述方法中,所述对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:
[0020] 将所述至少一个流表状态信息的数量与所述预设时长之比,确定为所述流表项速率。
[0021] 在上述方法中,所述对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:
[0022] 获取所述至少一个流表状态信息中,每个流表状态信息包括的数据包的源互联网协议地址、源端口、目的端口以及目的互联网协议地址;
[0023] 利用所述源互联网协议地址、所述源端口、所述目的端口以及所述目的互联网协议地址,确定所述至少一个流表状态信息中的交互流数量;
[0024] 利用所述至少一个流表状态信息的数量和所述交互流数量,确定所述交互流比例。
[0025] 在上述方法中,所述利用已训练的攻击检测模型,基于所述流表特征信息对所述目标检测网络进行攻击检测判断,得到攻击检测结果之后,还包括:
[0026] 在所述攻击检测结果为所述目标检测网络受到攻击的情况下,输出表征所述目标检测网络受到攻击的告警提示信息。
[0027] 本发明提供了一种网络攻击检测装置,包括:
[0028] 获取模块,用于获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息;
[0029] 处理模块,用于对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息;
[0030] 检测模块,用于利用已训练的攻击检测模型,基于所述流表特征信息对所述目标检测网络进行攻击检测判断,得到攻击检测结果。
[0031] 在上述装置中,所述流表特征信息包括:源互联网协议地址速率、攻击源端口速率、流包数无偏标准差、流比特数无偏标准差、流表项速率以及交互流比例。
[0032] 在上述装置中,所述处理模块,具体用于获取所述至少一个流表状态信息中,每个流表状态信息的数据包数量,得到至少一个数据包数量;利用所述至少一个数据包数量,确定所述至少一个流表状态信息对应的数据包均值;利用所述至少一个流表状态信息的数量,所述至少一个数据包数量和所述数据包均值,确定所述流包数无偏标准差。
[0033] 在上述装置中,所述处理模块,具体用于获取所述至少一个流表状态信息中,每个流表状态信息的比特数量,得到至少一个比特数量;利用所述至少一个比特数量,确定所述至少一个流表状态信息对应的比特均值;利用所述至少一个流表状态信息的数量,所述至少一个比特数量和所述比特均值,确定所述流比特数无偏标准差。
[0034] 在上述装置中,所述处理模块,具体用于将所述至少一个流表状态信息的数量与所述预设时长之比,确定为所述流表项速率。
[0035] 在上述装置中,所述处理模块,具体用于获取所述至少一个流表状态信息中,每个流表状态信息包括的数据包的源互联网协议地址、源端口、目的端口以及目的互联网协议地址;利用所述源互联网协议地址、所述源端口、所述目的端口以及所述目的互联网协议地址,确定所述至少一个流表状态信息中的交互流数量;利用所述至少一个流表状态信息的数量和所述交互流数量,确定所述交互流比例。
[0036] 在上述装置中,还包括告警模块,用于在所述攻击检测结果为所述目标检测网络受到攻击的情况下,输出表征所述目标检测网络受到攻击的告警提示信息。
[0037] 本发明提供了一种网络攻击检测装置,包括:处理器、存储器和通信总线;
[0038] 所述通信总线,用于实现所述处理器和所述存储器之间的通信连接;
[0039] 所述处理器,用于执行所述存储器中存储的网络攻击检测程序,以实现上述网络攻击检测方法。
[0040] 本发明提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可以被一个或者多个处理器执行,以实现上述网络攻击检测的方法。
[0041] 本发明提供了一种网络攻击检测方法、装置及存储介质,方法包括:获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息;对至少一个流表状态信息进行数据分析处理,得到流表特征信息;利用已训练的攻击检测模型,基于流表特征信息对目标检测网络进行攻击检测判断,得到攻击检测结果。本发明提供的技术方案,利用已训练的攻击检测模型,对提取的目标检测网络的流表特征信息进行分析处理,以确定目标检测网络是否被攻击,从而提高了网络攻击检测的准确性和效率。
附图说明
[0042] 图1为本发明实施例提供的一种网络攻击检测方法的流程示意图;
[0043] 图2为本发明实施例提供的一种示例性的流表项结构示意图;
[0044] 图3为本发明实施例提供的一种示例性的分类超平面示意图;
[0045] 图4为本发明实施例提供的一种网络攻击检测装置的结构示意图一;
[0046] 图5为本发明实施例提供的一种网络攻击检测装置的结构示意图二。
具体实施方式
[0047] 下面将结合本发明实施例中的附图,对本发明中的技术方案进行清楚、完整地描述。可以理解的是,此处所描述的具体实施例仅仅用于解释相关申请,而非对该申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关申请相关的部分。
[0048] 本发明提供了一种网络攻击检测方法,应用于网络攻击检测装置,图1为本发明实施例提供的一种网络攻击检测方法的流程示意图。如图1所示,主要包括以下步骤:
[0049] S101、获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息。
[0050] 在本发明的实施例中,网络攻击检测装置可以直接获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息。
[0051] 需要说明的是,在本发明的实施例中,目标检测网络可以为软件定义网络(Software Defined Network,SDN),也可以为其他任意需要进行攻击性检测的网络,对此,本申请不作限定。
[0052] 具体的,在目标检测网络为SDN的情况下,SDN包括的控制器对流表状态信息的收集主要通过Openflow协议来进行完成。SDN包括SDN控制器和Openflow交换机,Openflow交换机主要负责网络数据的转发,SDN控制器完成转发决策的下发和管理,以及流表状态信息的收集。SDN控制器在进行流表状态信息的收集时,需要向Openflow交换机发送流表请求,然后,Openflow交换机会将回复的流表状态信息通过加密信道发送给SDN控制器,最后,SDN控制器可以将预设时长内的每一个流表状态信息发送至网络攻击检测装置,相应的,网络攻击检测装置即可接收到至少一个流表状态信息。
[0053] 其中,Openflow交换机在进行数据包转发时,主要依据数据包的流表项信息,一个流表状态信息包括多个流表项,即一个流表状态信息可以包括至少一个数据包的转发信息。图2为本发明实施例提供的一种示例性的流表项结构示意图。如图2所示,流表项包括包头域、计数器和流表动作三个域,Openflow交换机在进行数据包转发时,主要依靠流表项信息中的包头域的互联网协议地址和端口等信息以及流表动作的转发定义动作,流表项结构中的计数器主要用于数据包和字节的统计,其中,MAC为物理地址,VLAN为虚拟局域网,ID为身份标识,TOS为服务类型。
[0054] 需要说明的是,在发明的实施例中,预设时长可以为1秒、5秒、1分钟,10分钟等等,也可以根据虚拟交换机(Open vSwitch,OVS)设置的流表状态信息的删除时间进行设定,具体的预设时长可以根据实际需求和应用场景进行设定,本发明实施例不作限定。
[0055] 需要说明的是,在本发明的实施例中,网络攻击检测装置在预设时长内可以获取目标检测网络的一个或多个流表状态信息,具体的流表状态信息的数量本发明实施例不作限定。
[0056] 示例性的,网络攻击检测装置获取的一个流表状态信息可以包括n_packets=1,n_bytes=42,actions=output:1,其中,n_packets=1表示这个流表状态信息中数据包的数量为1,n_bytes=42表示这个流表状态信息中比特的数量为42,actions=output:1为目的端口。此外,一个流表状态信息还可以包括其它数据包交互的相关信息。
[0057] S102、对至少一个流表状态信息进行数据分析处理,得到流表特征信息。
[0058] 在本发明的实施例中,网络攻击检测装置直接对至少一个流表状态信息进行数据分析处理,得到流表特征信息。
[0059] 具体的,在本发明的实施例中,流表特征信息包括:源互联网协议地址速率、攻击源端口速率、流包数无偏标准差、流比特数无偏标准差、流表项速率以及交互流比例。
[0060] 需要说明的是,在本发明的实施例中,当目标检测网络发生攻击时,目标检测网络中会随机产生大量伪造的数据包对网络进行攻击,其中,攻击流在网络中体现一定的相似性和规律性,可以通过分析流表状态信息判断该目标检测网络是否受到攻击。
[0061] 需要说明的是,在本发明的实施例中,流表特征信息包括源互联网协议地址速率,网络攻击检测装置对至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:将至少一个流表状态信息包括的源互联网协议地址的数量与预设时长之比,确定为源互联网协议地址速率,具体的公式可以为:
[0062]
[0063] 其中,SSIP为源互联网协议地址速率,Sum_IPsrc为预设时长内的源互联网协议地址总数,interval为预设时长。
[0064] 需要说明的是,在本发明的实施例中,网络攻击检测装置利用至少一个流表状态信息,可以计算源互联网协议地址速率,比如,在预设时长5秒内,网络攻击检测装置获取到了1000个流表状态信息,其中包括800个源互联网协议地址,那么,源互联网协议地址速率即为800除以5,该源互联网协议地址速率为单位时间内源互联网协议地址的数量。
[0065] 需要说明的是,在本发明的实施例中,当目标检测网络被攻击时,会被随机伪造的大量攻击流发送数据包,此时,源互联网协议地址的数量会快速增加,源互联网协议地址速率变大。
[0066] 需要说明的是,在本发明的实施例中,流表特征信息包括攻击源端口速率,网络攻击检测装置对至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:将至少一个流表状态信息包括的攻击源端口的数量与预设时长之比,确定为攻击源端口速率,具体的公式可以为:
[0067]
[0068] 其中,SSP为攻击源端口速率,Sum_Portsrc为预设时长内的攻击源端口总数,interval为预设时长。
[0069] 需要说明的是,在本发明的实施例中,网络攻击检测装置利用至少一个流表状态信息,可以计算攻击源端口速率,比如,在预设时长5秒内,网络攻击检测装置获取到了1000个流表状态信息,其中包括600个攻击源端口,那么,攻击源端口速率即为600除以5,该攻击源端口速率为单位时间内攻击源端口的数量。
[0070] 需要说明的是,在本发明的实施例中,当目标检测网络被攻击时,会被随机伪造的大量攻击源端口号,此时,攻击源端口号的数量会快速增加,攻击源端口速率变大。
[0071] 具体的,在本发明的实施例中,流表特征信息包括流包数无偏标准差,网络攻击检测装置对至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:获取至少一个流表状态信息中,每个流表状态信息的数据包数量,得到至少一个数据包数量;利用至少一个数据包数量,确定至少一个流表状态信息对应的数据包均值;利用至少一个流表状态信息的数量,至少一个数据包数量和数据包均值,确定流包数无偏标准差。
[0072] 需要说明的是,在本发明的实施例中,网络攻击检测装置可以从至少一个流表状态信息中,获取每个流表状态信息的数据包数量,比如,网络攻击装置在预设时长5秒内获取1000个流表状态信息,每个流表状态信息中均包含n_packets=m(m可以为任意整数)的信息,则表示该流表状态信息中的数据包数量为m,那么,就可以获取到1000个流表状态信息的数据包数量。
[0073] 需要说明的是,在本发明的实施例中,网络攻击检测装置可以利用至少一个数据包数量,确定至少一个流表状态信息对应的数据包均值,比如,网络攻击检测装置将获取到1000个流表状态信息的数据包数量相加,再除以1000,即可得到数据包均值。
[0074] 需要说明的是,在本发明的实施例中,网络攻击检测装置利用至少一个流表状态信息的数量,至少一个数据包数量和数据包均值,确定流包数无偏标准差的具体公式为:
[0075]
[0076] 其中, 为数据包均值,packetsi为第i个数据包数量(i为1~N的任意整数),SDFP为流包数无偏标准差,N为至少一个流表状态信息的数量。
[0077] 需要说明的是,在本发明的实施例中,当目标检测网络被攻击时,攻击的数据包比较小,攻击流的流包数无偏标准差会比正常流的流包数无偏标准差大。
[0078] 具体的,在本发明的实施例中,流表特征信息包括流比特数无偏标准差,网络攻击检测装置对至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:获取至少一个流表状态信息中,每个流表状态信息的比特数量,得到至少一个比特数量;利用至少一个比特数量,确定至少一个流表状态信息对应的比特均值;利用至少一个流表状态信息的数量,至少一个比特数量和比特均值,确定流比特数无偏标准差。
[0079] 需要说明的是,在本发明的实施例中,网络攻击检测装置可以从至少一个流表状态信息中,获取每个流表状态信息的比特数量,比如,网络攻击装置在预设时长5秒内获取1000个流表状态信息,每个流表状态信息中均包含n_bytes=t(t可以为任意整数)的信息,则表示该流表状态信息中的比特数量为t,那么,就可以获取到1000个流表状态信息的比特数量。
[0080] 需要说明的是,在本发明的实施例中,网络攻击检测装置可以利用至少一个比特数量,确定至少一个流表状态信息对应的比特均值,比如,网络攻击检测装置将获取到1000个流表状态信息的比特数量相加,再除以1000,即可得到比特均值。
[0081] 需要说明的是,在本发明的实施例中,网络攻击检测装置利用至少一个流表状态信息的数量,至少一个比特数量和比特均值,确定流比特数无偏标准差的具体公式为:
[0082]
[0083] 其中, 为比特均值,bytesi为第i个比特数量(i为1~N的任意整数),SDFB为流比特数无偏标准差,N为至少一个流表状态信息的数量。
[0084] 需要说明的是,在本发明的实施例中,当目标检测网络被攻击时,为了降低数据包的负载,会发送比较小的比特数据包,攻击流的流比特数无偏标准差会比正常流的流比特数无偏标准差大。
[0085] 具体的,在本发明的实施例中,流表特征信息包括流表项速率,网络攻击检测装置对至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:将至少一个流表状态信息的数量与预设时长之比,确定为流表项速率。
[0086] 需要说明的是,在本发明的实施例中,网络攻击检测装置计算流表项速率的公式为:
[0087]
[0088] 其中,RFE为流表项速率,interval为预设时长,N为至少一个流表状态信息的数量。
[0089] 需要说明的是,在本发明的实施例中,当目标检测网络被攻击时,单位时间内的流表项数量会急剧增加,攻击流的流表项数量高于正常流的流表项数量。
[0090] 具体的,在本发明的实施例中,流表特征信息包括交互流比例,网络攻击检测装置对至少一个流表状态信息进行数据分析处理,得到流表特征信息,包括:获取至少一个流表状态信息中,每个流表状态信息包括的数据包的源互联网协议地址、源端口、目的端口以及目的互联网协议地址;利用源互联网协议地址、源端口、目的端口以及目的互联网协议地址,确定至少一个流表状态信息中的交互流数量;利用至少一个流表状态信息的数量和交互流数量,确定交互流比例。
[0091] 需要说明的是,在本发明的实施例中,网络攻击检测装置可以从至少一个流表状态信息中,每个流表状态信息获取数据包的源互联网协议地址、源端口、目的端口以及目的互联网协议地址,如果网络攻击检测装置在预设时长获取的任意两个数据包的源互联网协议地址与目的互联网协议地址一致、源端口与目的端口一致,则可确定为一个交互流。
[0092] 示例性的,如果任意两个数据包同时满足以下公式,则将其确定为一个交互流,具体公式为:
[0093] Src_IPi=Dst_IPj,Src_Porti=Dst_Portj,Src_IPj=Dst_IPi,Src_Portj=Dst_Porti (6)
[0094]
[0095] 其中,Src_IPi为数据包i的源互联网协议地址,Dst_IPj为数据包j的目的互联网协议地址,Src_Porti为数据包i的源端口,Dst_Portj为数据包j的目的端口,Src_IPj为数据包j的源互联网协议地址,Dst_IPi为数据包i的目的互联网协议地址,Src_Portj为数据包j的源端口,Dst_Porti为数据包i的目的端口。
[0096] 需要说明的是,在本发明的实施例中,当目标检测网络被攻击时,单位时间内发送给目的主机的数据包会急剧增加,而目的主机不能及时发出响应的数据包,使得单位时间内的交互流的数量会下降。
[0097] S103、利用已训练的攻击检测模型,基于流表特征信息对目标检测网络进行攻击检测判断,得到攻击检测结果。
[0098] 在本发明的实施例中,网络攻击检测装置利用已训练的攻击检测模型,基于流表特征信息对目标检测网络进行攻击检测判断,得到攻击检测结果。
[0099] 需要说明的是,在本发明的实施例中,已训练的攻击检测模型可以为基于支持向量机(Support Vector Machine,SVM)算法的分类学习模型,可以是基于聚类算法的学习模型,具体的已训练的攻击检测模型可以根据实际需求和应用场景进行选择,本发明对此不作限定。
[0100] 需要说明的是,在本发明的实施例中,网络攻击检测装置可以先采集流表样本信息,再利用流表样本信息对预设的算法模型进行网络攻击检测训练,从而将训练后得到的模型确定为已训练的攻击检测模型。
[0101] 需要说明的是,在本发明实施例中,网络攻击检测装置利用已训练的攻击检测模型对得到的流表特征信息进行分析处理,已训练的攻击检测模型根据输入的流表特征信息,确定目标检测网络是否被攻击。
[0102] 图3为本发明实施例提供的一种示例性的分类超平面示意图。如图3所示,攻击检测结果被分类超平面分到了两个区域,如果攻击检测结果落到图3中虚线圈的范围,则表明目标检测网络受到攻击,如果攻击检测结果落到图3中实线圈的范围,则表明目标检测网络未受到攻击。
[0103] 示例性的,如果已训练的攻击检测模型为基于支持向量机(Support Vector Machine,SVM)算法的分类学习模型,网络攻击检测装置将得到的流表特征信息和根据流表特征信息映射的预先定义的类标号输入分类学习模型,被一个超平面线性划分,高维空间中的线性分类超平面方程可写成ω·xi+b=0,ω为权重系数,b为偏差量,同时使得分开的两类向量距离超平面最远,那么这个超平面就称为最优超平面,即图3中的线条1,离最优超平面最近的不同类别的向量叫做支持向量,即图3中的线条2和线条3。
[0104] 具体的,在本发明的实施例中,网络攻击检测装置利用已训练的攻击检测模型,基于流表特征信息对目标检测网络进行攻击检测判断,得到攻击检测结果之后,还包括:在攻击检测结果为目标检测网络受到攻击的情况下,输出表征目标检测网络受到攻击的告警提示信息。
[0105] 需要说明的是,在本发明的实施例中,告警提示信息可以为语音提示信息,也可以是文字提示信息,当然,还可以为其它形式的提示信息,具体的告警提示信息本发明实施例不作限定。
[0106] 本发明提供的一种网络攻击检测方法,方法包括:获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息;对至少一个流表状态信息进行数据分析处理,得到流表特征信息;利用已训练的攻击检测模型,基于流表特征信息对目标检测网络进行攻击检测判断,得到攻击检测结果。本发明提供的技术方案,利用已训练的攻击检测模型,对提取的目标检测网络的流表特征信息进行分析处理,以确定目标检测网络是否被攻击,从而提高了网络攻击检测的准确性和效率。
[0107] 本发明提供了一种网络攻击检测装置,图4为本发明实施例提供的一种网络攻击检测装置的结构示意图一。如图4所示,包括:
[0108] 获取模块401,用于获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息;
[0109] 处理模块402,用于对所述至少一个流表状态信息进行数据分析处理,得到流表特征信息;
[0110] 检测模块403,用于利用已训练的攻击检测模型,基于所述流表特征信息对所述目标检测网络进行攻击检测判断,得到攻击检测结果。
[0111] 可选的,所述流表特征信息包括:源互联网协议地址速率、攻击源端口速率、流包数无偏标准差、流比特数无偏标准差、流表项速率以及交互流比例。
[0112] 可选的,所述处理模块402,具体用于获取所述至少一个流表状态信息中,每个流表状态信息的数据包数量,得到至少一个数据包数量;利用所述至少一个数据包数量,确定所述至少一个流表状态信息对应的数据包均值;利用所述至少一个流表状态信息的数量,所述至少一个数据包数量和所述数据包均值,确定所述流包数无偏标准差。
[0113] 可选的,所述处理模块402,具体用于获取所述至少一个流表状态信息中,每个流表状态信息的比特数量,得到至少一个比特数量;利用所述至少一个比特数量,确定所述至少一个流表状态信息对应的比特均值;利用所述至少一个流表状态信息的数量,所述至少一个比特数量和所述比特均值,确定所述流比特数无偏标准差。
[0114] 可选的,所述处理模块402,具体用于将所述至少一个流表状态信息的数量与所述预设时长之比,确定为所述流表项速率。
[0115] 可选的,所述处理模块402,具体用于获取所述至少一个流表状态信息中,每个流表状态信息包括的数据包的源互联网协议地址、源端口、目的端口以及目的互联网协议地址;利用所述源互联网协议地址、所述源端口、所述目的端口以及所述目的互联网协议地址,确定所述至少一个流表状态信息中的交互流数量;利用所述至少一个流表状态信息的数量和所述交互流数量,确定所述交互流比例。
[0116] 可选的,所述网络攻击检测装置还包括:告警模块(图中未示出),用于在所述攻击检测结果为所述目标检测网络受到攻击的情况下,输出表征所述目标检测网络受到攻击的告警提示信息。
[0117] 本发明提供了一种网络攻击检测装置,图5为本发明实施例提供的一种网络攻击检测装置的结构示意图二。如图5所示,网络攻击检测装置包括:处理器501、存储器502和通信总线503;
[0118] 所述通信总线503,用于实现所述处理器501和所述存储器502之间的通信连接;
[0119] 所述处理器501,用于执行所述存储器502中存储的网络攻击检测程序,以实现上述网络攻击检测方法。
[0120] 本发明提供了一种网络攻击检测装置,获取目标检测网络在预设时长内的每一个流表状态信息,得到至少一个流表状态信息;对至少一个流表状态信息进行数据分析处理,得到流表特征信息;利用已训练的攻击检测模型,基于流表特征信息对目标检测网络进行攻击检测判断,得到攻击检测结果。本发明提供的技术方案,利用已训练的攻击检测模型,对提取的目标检测网络的流表特征信息进行分析处理,以确定目标检测网络是否被攻击,从而提高了网络攻击检测的准确性和效率。
[0121] 本发明提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可以被一个或者多个处理器执行,以实现上述网络攻击检测方法。计算机可读存储介质可以是是易失性存储器(volatile memory),例如随机存取存储器(Random‑Access Memory,RAM);或者非易失性存储器(non‑volatile memory),例如只读存储器(Read‑Only Memory,ROM),快闪存储器(flash memory),硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid‑State Drive,SSD);也可以是包括上述存储器之一或任意组合的各自设备,如移动电话、计算机、平板设备、个人数字助理等。
[0122] 本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
[0123] 本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的实现流程示意图和/或方框图来描述的。应理解可由计算机程序指令实现流程示意图和/或方框图中的每一流程和/或方框、以及实现流程示意图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在实现流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0124] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在实现流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0125] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在实现流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0126] 以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本实用申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。