【技术实现步骤摘要】
一种攻击检测方法及装置
本申请涉及网络安全
,特别是涉及一种攻击检测方法及装置。
技术介绍
分布式拒绝服务攻击(英文:DistributedDenialofService,简称:DDoS)是指将多个网络计算机联合起来作为攻击平台,对一个或多个目标计算机发送拒绝服务攻击(英文:DenialofService,简称:DoS)攻击,从而成倍地提高DoS的威力。目前,DDoS报文主要采用预设报文特征进行检测。具体的,检测设备预先设置DDoS报文的报文特征;当接收到网络报文时,检测设备提取网络报文的特征,将提取的特征与预设的报文特征匹配。若二者匹配,则检测设备可确定网络报文为DDoS报文。随着网络技术的发展,网络环境越来越复杂,DDoS的手段呈现出多样化,DDoS报文的报文特征也变得多样化。检测设备利用预设报文特征来检测DDoS报文,评判标准单一,无法适应网络环境的变化,很容易造成DDoS报文被漏检,不能形成有效的DDoS防御。
技术实现思路
本申请实施例的目的在于提供一种攻击检测方法及装置,以提高攻击检测的自适应性,以及攻击报文的检出率。具体技术方案如下:一方面,本申请...
【技术保护点】
1.一种攻击检测方法,其特征在于,应用于网络设备,所述方法包括:获取待检测报文;提取所述待检测报文在预设的多个特征维度下的多类特征数据;将所述多类特征数据分别输入对应的预设分类器,得到所述待检测报文的多个分类结果,其中,一个所述预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器;根据所述多个分类结果,确定所述待检测报文是否为攻击报文。
【技术特征摘要】
1.一种攻击检测方法,其特征在于,应用于网络设备,所述方法包括:获取待检测报文;提取所述待检测报文在预设的多个特征维度下的多类特征数据;将所述多类特征数据分别输入对应的预设分类器,得到所述待检测报文的多个分类结果,其中,一个所述预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器;根据所述多个分类结果,确定所述待检测报文是否为攻击报文。2.根据权利要求1所述的方法,其特征在于,每一特征维度下的预设分类器用于,根据该特征维度下的一类特征数据,确定在该特征维度下所述待检测报文为攻击报文的第一概率;若所述第一概率大于预设概率阈值,则输出所述待检测报文为攻击报文的分类结果;若所述第一概率不大于所述预设概率阈值,则输出所述待检测报文为正常报文的分类结果。3.根据权利要求1或2所述的方法,其特征在于,所述多个特征维度包括基于网络连接的特征维度、基于时间的特征维度和基于主机的特征维度中的至少两个维度;所述基于网络连接的特征维度下的特征数据包括:用于传输所述待检测报文的第一连接的持续时长、从所述第一连接具有的源主机向所述第一连接具有的目的主机传输的网络报文的总字节数、从所述目的主机向所述源主机传输的网络报文的总字节数、指示所述源主机与所述目的主机间的多个连接的端口是否相同的信息、所述源主机与所述目的主机间传输的网络报文中错误分段的数量、以及所述源主机与所述目的主机间传输的网络报文中加急报文的个数中的一个或多个;所述基于时间的特征维度下的特征数据包括:在接收所述待检测报文之前的预设时长内,具有所述目的主机的连接的数量、具有所述目的主机的连接中出现同步SYN报文错误的连接的百分比、具有所述目的主机的连接中出现拒绝REJ报文错误的连接的百分比、与所述第一连接提供相同服务的连接的数量、与所述第一连接提供相同服务的连接中出现SYN报文错误的连接的百分比、与所述第一连接提供相同服务的连接中出现REJ报文错误的连接的百分比、具有所述目的主机的连接中与所述第一连接提供相同服务的连接的百分比、具有所述目的主机的连接中与所述第一连接提供不同服务的连接的百分比、以及与所述第一连接提供相同服务的连接中具有所述目的主机的连接的百分比中的一个或多个;所述基于主机的特征维度下的特征数据包括:在所述第一连接之前的预设数量个连接中,具有所述目的主机的连接的数量、具有所述目的主机且与所述第一连接提供相同服务的连接的数量、具有所述目的主机且与所述第一连接提供相同服务的连接的百分比、具有所述目的主机且与所述第一连接提供不同服务的连接的百分比、具有所述目的主机和所述源主机的连接的百分比、具有所述目的主机且与所述第一连接提供相同服务的连接中不具有所述源主机的连接的百分比、具有所述目的主机的连接中出现SYN报文错误的连接的百分比、具有所述目的主机且与所述第一连接提供相同服务的连接中出现SYN报文错误的连接的百分比、具有所述目的主机的连接中出现REJ报文错误的连接的百分比、以及具有所述目的主机且与所述第一连接提供相同服务的连接中出现REJ报文错误的连接的百分比中的一个或多个。4.根据权利要求1所述的方法,其特征在于,针对所述多个特征维度的第一特征维度,采用如下步骤训练得到所述第一特征维度下的预设分类器:获取多个样本报文;提取所述多个样本报文在所述第一特征维度下的样本特征数据;针对所述多个样本报文的样本特征数据,采用朴素贝叶斯算法进行计算,得到每一样本报文为攻击报文的第二概率;根据每一样本报文的第二概率,确定每一样本报文的分类结果;统计所述多个样本报文的分类结果的样本正确率;若所述样本正确率小于第一预设正确率阈值,则调整所述朴素贝叶斯算法的参数,并返回所述针对所述多个样本报文的样本特征数据,采用朴素贝叶斯算法进行计算,得到每一样本报文为攻击报文的第二概率的步骤;若所述样本正确率不小于所述第一预设正确率阈值,则将基于所述朴素贝叶斯算法的分类器,确定为在所述第一特征维度下的预设分类器。5.根据权利要求4所述的方法,其特征在于,在所述第一特征维度下的预设分类器训练结束后,还包括:获取多个测试报文;提取每一测试报文在所述第一特征维度下的测试特征数据;针对每一测试报文,将该测试报文的测试特征数据输入所述第一特征维度下的预设分类器,得到该测试报文的分类结果;统计所述多个测试报文的分类结果的测试正确率;若所述测试正确率小于第二预设正确率阈值,则重新获取多个样本报文,对所述第一特征维度下的预设分类器进行训练。6.一种攻...
【专利技术属性】
技术研发人员:王春磊,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。