网络攻击检测方法以及攻击检测装置制造方法及图纸

本申请公开了一种网络攻击检测方法，用于为网络攻击检测提供更为多样且深入的信息。本申请提供的网络攻击检测方法包括：获取转发设备转发的P个会话的信息，其中该P个会话分别属于Q个对象中的一个对象，然后攻击检测装置确定该Q个对象中各对象的数据量，并根据各对象的数据量确定第一对象，然后统计第一对象的会话在第二时间段内的特征值得到统计结果，该统计结果用于判断网络中是否存在攻击。本申请还提供了相关的攻击检测装置。

Network attack detection method and attack detection device

The present application discloses a network attack detection method for providing more diverse and in-depth information for network attack detection. Including network attack detection method provided by the application: get the forwarding device forwarded P session information, wherein the P session belong to an object Q object, the object and the attack detection device determines the amount of data in the Q object, and determine the first object according to the object data. In second time period and statistics of the first object session worth to the statistical results, the statistical results used to determine whether the attack exists in the network. This application also provides a related attack detection device.

【技术实现步骤摘要】
网络攻击检测方法以及攻击检测装置
本申请涉及数据处理领域，尤其涉及一种网络攻击检测方法以及攻击检测装置。
技术介绍
互联网络中时刻会产生大量的会话，这些会话组成了巨量的数据流。巨量的数据流要求网络对数据流进行准确的流量监控、计费、潜在攻击检测。现阶段一般采用报文抽样技术对网络中转发设备所转发数据流是否安全进行检测。但是，现有的报文抽样技术所能够分析获得的数据流量的特征非常少，只能检测到数据流量突发等简单已知的网络异常形式。由于无法对数据流量的特征进行深度分析，因此难以为网络攻击的检测提供更多有用的信息，导致攻击检测的效率过低。
技术实现思路
本申请提供了一种网络攻击检测方法，用于为网络攻击检测提供更多的有用信息。本申请第一方面提供了一种网络攻击检测方法，包括：获取网络中的转发设备在第一时间段中转发的P个会话的信息。该P个会话中的每个会话属于Q个对象中的一个对象，其中P和Q均为大于或等于1的整数，并且P大于或等于Q。根据该P个会话的信息，确定该Q个对象中每个对象的数据量。根据该Q个对象中每个对象的数据量，确定第一对象，然后统计转发设备在第二时间段中转发的第一对象的多个会话的特征值，得到统计结果。其中，该统计结果用于判断转发设备所在的网络中是否存在攻击。本申请通过这样的方法对数据流进行了深度的分析，得到的统计信息能够反映网络数据流量更为多样、深度、复杂、精确的特征，有利于攻击检测装置对网络中的未知攻击和隐藏较深的攻击进行检测。可选的，该Q个对象中每个对象的数据量可以是准确计算得到的，也可以是估算得到的。可选的，第二时间段可以与第一时间段是同一个时间段，也可以是不同的时间段。可选的，该Q个对象中每个对象的数据量包括：该每个对象在第一时间段中所包括的会话的会话个数、或在第一时间段中所包括的会话的数据流量大小、或在第一时间段中所包括的会话的报文个数。可选的，攻击检测装置可以按照数据量由大到小的顺序对该Q个对象进行排序，并确定第一对象，第一对象为：排序后的该Q个对象中排序位于前N的对象当中的对象，其中N为小于Q的整数。这样有利于将数据量较大的对象选择为第一对象。可选的，攻击检测装置可以从该Q个对象中除去预置的M个对象，并将余下的Q-M个对象按照数据量由大到小的顺序进行排序，并确定所述第一对象为：该预置的M个对象，以及排序后的Q-M个对象中排序位于前N的对象当中的对象，其中该预置的M个对象可以为人为指定或攻击检测装置自行设定，其中M为小于Q的整数，N为小于Q-M的整数。可选的，攻击检测装置还可以将得到的统计结果输入预置的机器模型，该机器模型是一种分类器，能够根据统计结果判断网络中是否存在攻击。可选的，攻击检测装置还可以将得到的统计结果与预置的基线比较，该基线可以视为第一对象的统计结果正常或异常的分界线，或是判定第一对象的统计结果是否正常的标准或规则，通过将统计结果与基线进行比较，能够判断出网络中是否存在攻击。可选的，攻击检测装置还可以根据统计结果，修正预置的的基线，以适应变化的网络环境。本发申请第二方面提供了一种攻击检测装置，包括：信息获取模块，用于获取转发设备在第一时间段中转发的P个会话的信息，该P个会话中的每个会话属于Q个对象中的一个对象。数据量确定模块，用于根据该P个会话的信息，确定该Q个对象中每个对象的数据量。对象确定模块，用于根据该Q个对象中每个对象的数据量，确定第一对象。特征值统计模块，用于统计转发设备在第二时间段中转发的第一对象的多个会话的特征值，获得统计结果，该统计结果被用于判断转发设备所在的网络中是否存在攻击。本申请提供的攻击检测装置能够对数据流进行深度的分析，得到的统计信息能够反映网络数据流量更为多样、深度、复杂、精确的特征，有利于对网络中的未知攻击和隐藏较深的攻击进行检测。可选的，该Q个对象中每个对象的数据量包括：该每个对象在第一时间段中所包括的会话的会话个数、或在第一时间段中所包括的会话的数据流量大小、或在第一时间段中所包括的会话的报文个数。可选的，对象确定模块具体用于：按照数据量由大到小的顺序对该Q个对象进行排序，并确定第一对象，第一对象为：排序后的该Q个对象中排序位于前N的对象当中的对象，其中N为小于Q的整数。这样有利于将数据量较大的对象选择为第一对象。可选的，对象确定模块还可以用于：从该Q个对象中除去预置的M个对象，并将余下的Q-M个对象按照数据量由大到小的顺序进行排序，并确定第一对象，第一对象为：该预置的M个对象，以及排序后的Q-M个对象中排序位于前N的对象当中的对象，。可选的，攻击检测装置还可以包括攻击判断模块，该攻击判断模块可以用于将得到的统计结果输入预置的机器模型，并通过机器模块判断网络中是否存在攻击。该机器模型是一种分类器，能够根据统计结果判断网络中是否存在攻击。可选的，攻击判断模块还可以将得到的统计结果与预置的基线比较，该基线可以视为第一对象的统计结果正常或异常的分界线，或是判定第一对象的统计结果是否正常的标准或规则，通过将统计结果与基线进行比较，能够判断出网络中是否存在攻击。可选的，攻击判断模块还可以根据统计结果，修正预置的的基线，以适应变化的网络环境。本申请的第三方面提供了另一种攻击检测装置，包括处理器以及通信接口。其中，通信接口用于获取网络中的转发设备在第一时间段中转发的P个会话的信息，该P个会话中的每个会话属于Q个对象中的一个对象，其中P和Q均为大于或等于1的整数，并且P大于或等于Q。处理器用于执行：根据通信接口获取的所述P个会话的信息，确定该Q个对象中每个对象的数据量；根据该Q个对象中每个对象的数据量，确定第一对象，然后统计转发设备在第二时间段中转发的第一对象的多个会话的特征值，得到统计结果。附图说明图1为本申请实施例提供的一种可用的系统架构图；图2为本申请实施例提供的一种攻击检测装置的结构图；图3为本申请实施例提供的一种网络攻击检测方法的流程图；图4为本申请实施例提供的另一种攻击检测装置的结构图。具体实施方式本申请提供了一种攻击检测方法，用于提升数据流的攻击检测效率。本申请还提供了相关的攻击检测装置，以下将分别进行描述。图1是本申请提供的一种可用的系统架构图。其中，网络中可以包括多个转发设备，如转发设备101、转发设备102以及转发设备103。每个转发设备均可以是路由器、交换机、防火墙、分组传送网设备、波分复用设备、光传送网设备、基站或者基站控制器。攻击检测装置104，用于与互联网络中的一个或多个转发设备耦合，并检测该转发设备收发的报文中是否存在攻击。例如，攻击检测装置104与转发设备103耦合，用于检测转发设备103收发的报文中是否存在攻击。本申请实施例中，攻击检测装置104可以是独立的物理设备，如服务器等。攻击检测装置104还可以是部署在物理设备上的功能模块，本申请中不做限定。本申请中的一种示例中，会话(英文：session)指的是在一个不中断的特定操作时间内，网络中两个设备之间的通信交互。在一个会话期间，两个设备之间相互传输的所有报文都属于该会话。隶属于同一个会话的报文具有相匹配的地址信号，例如在传输控制协议(英文：TransmissionControlProtocol；缩写：TCP)或用户数据报协议(英文：UserDatagra本文档来自技高网...

【技术保护点】
一种网络攻击检测方法，其特征在于，所述方法包括：获取转发设备在第一时间段中转发的P个会话的信息，所述P个会话中的每个会话属于Q个对象中的一个对象，其中所述P和所述Q均为大于或等于1的整数，并且所述P大于或等于所述Q；根据所述P个会话的信息，确定所述Q个对象中每个对象的数据量；根据所述Q个对象中每个对象的数据量，确定第一对象；统计所述转发设备在第二时间段中转发的所述第一对象的多个会话的特征值，获得统计结果，所述统计结果被用于判断所述转发设备所在的网络中是否存在攻击。

【技术特征摘要】
2016.05.31 CN 20161038022911.一种网络攻击检测方法，其特征在于，所述方法包括：获取转发设备在第一时间段中转发的P个会话的信息，所述P个会话中的每个会话属于Q个对象中的一个对象，其中所述P和所述Q均为大于或等于1的整数，并且所述P大于或等于所述Q；根据所述P个会话的信息，确定所述Q个对象中每个对象的数据量；根据所述Q个对象中每个对象的数据量，确定第一对象；统计所述转发设备在第二时间段中转发的所述第一对象的多个会话的特征值，获得统计结果，所述统计结果被用于判断所述转发设备所在的网络中是否存在攻击。2.根据权利要求1所述的网络攻击检测方法，其特征在于，所述每个对象的数据量为所述每个对象在所述第一时间段中所包括的会话的会话个数，或在所述第一时间段中所包括的会话的数据流量大小，或在所述第一时间段中所包括的会话的报文个数。3.根据权利要求1或2所述的网络攻击检测方法，其特征在于，所述根据所述Q个对象中每个对象的数据量，确定第一对象包括：按照数据量由大到小的顺序对所述Q个对象进行排序，并确定所述第一对象，所述第一对象为排序后的所述Q个对象中排序位于前N的对象当中的对象，所述N为小于所述Q的整数。4.根据权利要求1或2所述的网络攻击检测方法，其特征在于，所述根据所述Q个对象中每个对象的数据量，确定第一对象包括：从所述Q个对象中除去预置的M个对象，并将余下的Q-M个对象按照数据量由大到小的顺序进行排序，并确定所述第一对象，所述第一对象为，所述预置的M个对象，以及排序后的所述Q-M个对象中排序位于前N的对象当中的对象，所述M为小于所述Q的整数，所述N为小于所述Q-M的整数。5.根据权利要求1至4中任一项所述的网络攻击检测方法，其特征在于，所述方法还包括：将所述统计结果输入预置的机器模型，并根据所述机器模型判断所述网络中是否存在攻击。6.根据权利要求1至4中任一项所述的网络攻击检测方法，其特征在于，所述方法还包括：将所述统计结果与预置的基线比较，判断所述网络中是否存在攻击。7.根据权利要求1至6所述的网络攻击检测方法，其特征在于，所述方法还包括：根据所述统计结果，修正预置的基线，所述...

【专利技术属性】
技术研发人员：周冲，付天福，刘金华，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44