The present application discloses a network attack detection method for providing more diverse and in-depth information for network attack detection. Including network attack detection method provided by the application: get the forwarding device forwarded P session information, wherein the P session belong to an object Q object, the object and the attack detection device determines the amount of data in the Q object, and determine the first object according to the object data. In second time period and statistics of the first object session worth to the statistical results, the statistical results used to determine whether the attack exists in the network. This application also provides a related attack detection device.
【技术实现步骤摘要】
网络攻击检测方法以及攻击检测装置
本申请涉及数据处理领域,尤其涉及一种网络攻击检测方法以及攻击检测装置。
技术介绍
互联网络中时刻会产生大量的会话,这些会话组成了巨量的数据流。巨量的数据流要求网络对数据流进行准确的流量监控、计费、潜在攻击检测。现阶段一般采用报文抽样技术对网络中转发设备所转发数据流是否安全进行检测。但是,现有的报文抽样技术所能够分析获得的数据流量的特征非常少,只能检测到数据流量突发等简单已知的网络异常形式。由于无法对数据流量的特征进行深度分析,因此难以为网络攻击的检测提供更多有用的信息,导致攻击检测的效率过低。
技术实现思路
本申请提供了一种网络攻击检测方法,用于为网络攻击检测提供更多的有用信息。本申请第一方面提供了一种网络攻击检测方法,包括:获取网络中的转发设备在第一时间段中转发的P个会话的信息。该P个会话中的每个会话属于Q个对象中的一个对象,其中P和Q均为大于或等于1的整数,并且P大于或等于Q。根据该P个会话的信息,确定该Q个对象中每个对象的数据量。根据该Q个对象中每个对象的数据量,确定第一对象,然后统计转发设备在第二时间段中转发的第一对象的多个会话的特征值,得到统计结果。其中,该统计结果用于判断转发设备所在的网络中是否存在攻击。本申请通过这样的方法对数据流进行了深度的分析,得到的统计信息能够反映网络数据流量更为多样、深度、复杂、精确的特征,有利于攻击检测装置对网络中的未知攻击和隐藏较深的攻击进行检测。可选的,该Q个对象中每个对象的数据量可以是准确计算得到的,也可以是估算得到的。可选的,第二时间段可以与第一时间段是同一个时间段,也可以是不同 ...
【技术保护点】
一种网络攻击检测方法,其特征在于,所述方法包括:获取转发设备在第一时间段中转发的P个会话的信息,所述P个会话中的每个会话属于Q个对象中的一个对象,其中所述P和所述Q均为大于或等于1的整数,并且所述P大于或等于所述Q;根据所述P个会话的信息,确定所述Q个对象中每个对象的数据量;根据所述Q个对象中每个对象的数据量,确定第一对象;统计所述转发设备在第二时间段中转发的所述第一对象的多个会话的特征值,获得统计结果,所述统计结果被用于判断所述转发设备所在的网络中是否存在攻击。
【技术特征摘要】
2016.05.31 CN 20161038022911.一种网络攻击检测方法,其特征在于,所述方法包括:获取转发设备在第一时间段中转发的P个会话的信息,所述P个会话中的每个会话属于Q个对象中的一个对象,其中所述P和所述Q均为大于或等于1的整数,并且所述P大于或等于所述Q;根据所述P个会话的信息,确定所述Q个对象中每个对象的数据量;根据所述Q个对象中每个对象的数据量,确定第一对象;统计所述转发设备在第二时间段中转发的所述第一对象的多个会话的特征值,获得统计结果,所述统计结果被用于判断所述转发设备所在的网络中是否存在攻击。2.根据权利要求1所述的网络攻击检测方法,其特征在于,所述每个对象的数据量为所述每个对象在所述第一时间段中所包括的会话的会话个数,或在所述第一时间段中所包括的会话的数据流量大小,或在所述第一时间段中所包括的会话的报文个数。3.根据权利要求1或2所述的网络攻击检测方法,其特征在于,所述根据所述Q个对象中每个对象的数据量,确定第一对象包括:按照数据量由大到小的顺序对所述Q个对象进行排序,并确定所述第一对象,所述第一对象为排序后的所述Q个对象中排序位于前N的对象当中的对象,所述N为小于所述Q的整数。4.根据权利要求1或2所述的网络攻击检测方法,其特征在于,所述根据所述Q个对象中每个对象的数据量,确定第一对象包括:从所述Q个对象中除去预置的M个对象,并将余下的Q-M个对象按照数据量由大到小的顺序进行排序,并确定所述第一对象,所述第一对象为,所述预置的M个对象,以及排序后的所述Q-M个对象中排序位于前N的对象当中的对象,所述M为小于所述Q的整数,所述N为小于所述Q-M的整数。5.根据权利要求1至4中任一项所述的网络攻击检测方法,其特征在于,所述方法还包括:将所述统计结果输入预置的机器模型,并根据所述机器模型判断所述网络中是否存在攻击。6.根据权利要求1至4中任一项所述的网络攻击检测方法,其特征在于,所述方法还包括:将所述统计结果与预置的基线比较,判断所述网络中是否存在攻击。7.根据权利要求1至6所述的网络攻击检测方法,其特征在于,所述方法还包括:根据所述统计结果,修正预置的基线,所述...
【专利技术属性】
技术研发人员:周冲,付天福,刘金华,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。