一种网络攻击检测方法及装置制造方法及图纸

本申请涉及网络安全技术领域，特别涉及一种网络攻击检测方法及装置。该方法包括：基于收集到的样本数据中各样本的生成时间，统计负样本数量为正样本数量的N倍的时间点，并将生成时间为该时间点之前的样本作为目标样本；基于目标样本中各维度特征的特征值随时间变化的趋势，确定各维度特征中每一特征维度分别对应的理想攻击时间点，得到每一维度特征分别对应的时间周期；分别提取各IP在各时间周期内各维度特征的第一特征值，以及所有IP在各时间周期内各维度特征的第二特征值，并将各IP对应的第一特征值和第二特征值作为该IP对应的样本特征向量；采用各IP分别对应的样本特征向量对预设分类模型进行分类训练，得到训练完成的分类模型。

【技术实现步骤摘要】
一种网络攻击检测方法及装置
本申请涉及网络安全
，特别涉及一种网络攻击检测方法及装置。
技术介绍
随着信息技术的不断发展，计算机的不断普及，互联网的安全问题也日益彰显。挑战黑洞(ChallengeCollapsar，CC)攻击就是其中最常见的网页攻击方式之一，其原理是对一些消耗资源较高的页面不断的发起请求，以消耗服务器资源，导致Web应用访问速度慢甚至造成服务器无法正常连接。其特点是攻击源IP很分散但又是真实的，而其数据包又是正常的请求行为，所以无法通过数据包本身检测出是CC攻击。在安全防护中，对它的防御措施必不可少。目前，通常采用人工智能(如，机器学习)的方式进行CC攻击的防护，如，收集正常访问行为和CC攻击行为的日志，对收集到的日志进行统计处理，形成样本特征，基于样本特征训练分类算法模型，采用训练完成的分类算法模型对生产环境的访问行为进行检测，得到检测结果。目前基于机器学习的CC攻击检测方法，对IP行为建模周期不精确，未针对性的考虑每一维度特征的特点，从而可能造成抽取出的样本特征不准确，进而造成检测结果不精确。本文档来自技高网...

【技术保护点】
1.一种网络攻击检测方法，其特征在于，所述方法包括：/n基于收集到的样本数据中各样本的生成时间，统计负样本数量为正样本数量的N倍的时间点，并将生成时间为所述时间点之前的样本作为目标样本；/n基于所述目标样本中各维度特征的特征值随时间变化的趋势，确定所述各维度特征中每一特征维度分别对应的理想攻击时间点，得到每一维度特征分别对应的时间周期；/n分别提取各IP在各时间周期内各维度特征的第一特征值，以及所有IP在各时间周期内各维度特征的第二特征值，并将各IP对应的第一特征值和第二特征值作为该IP对应的样本特征向量；/n采用各IP分别对应的样本特征向量对预设分类模型进行分类训练，得到训练完成的分类模型；...

【技术特征摘要】
1.一种网络攻击检测方法，其特征在于，所述方法包括：
基于收集到的样本数据中各样本的生成时间，统计负样本数量为正样本数量的N倍的时间点，并将生成时间为所述时间点之前的样本作为目标样本；
基于所述目标样本中各维度特征的特征值随时间变化的趋势，确定所述各维度特征中每一特征维度分别对应的理想攻击时间点，得到每一维度特征分别对应的时间周期；
分别提取各IP在各时间周期内各维度特征的第一特征值，以及所有IP在各时间周期内各维度特征的第二特征值，并将各IP对应的第一特征值和第二特征值作为该IP对应的样本特征向量；
采用各IP分别对应的样本特征向量对预设分类模型进行分类训练，得到训练完成的分类模型；
采用所述训练完成的分类模型对网络访问行为进行检测。


2.如权利要求1所述的方法，其特征在于，所述各维度特征包括访问次数，访问的URL的数量，请求数据源的大小。


3.如权利要求1或2所述的方法，其特征在于，所述基于所述目标样本中各维度特征的特征值随时间变化的趋势，确定所述各维度特征中每一特征维度分别对应的理想攻击时间点，得到每一维度特征分别对应的时间周期的步骤包括：
在维度特征为访问次数时，基于所述目标样本中各样本的生成时间，以秒为单位分别统计所述目标样本中访问次数的累加值，并确定出访问次数变化速度最快的第一时间点，以及将该第一时间点作为访问次数对应的理想攻击时间点，得到访问次数对应的第一时间周期T1；
在维度特征为访问的URL数量时，基于所述目标样本中各样本的生成时间，以秒为单位分别统计所述目标样本中访问的URL数量的累加值，并确定出访问的URL数量变化速度最快的第二时间点，以及将该第二时间点作为访问的URL数量对应的理想攻击时间点，得到访问的URL数量对应的第二时间周期T2；
在维度特征为请求数据源的大小时，基于所述目标样本中各样本的生成时间，以秒为单位分别统计所述目标样本中请求数据源的大小的累加值，并确定出请求数据源的大小变化速度最快的第三时间点，以及将该第三时间点作为请求数据源的大小对应的理想攻击时间点，得到请求数据源的大小对应的第三时间周期T3。


4.如权利要求3所述的方法，其特征在于，所述分别提取各IP在各时间周期内各维度特征的第一特征值，以及所有IP在各时间周期内各维度特征的第二特征值，并将各IP对应的第一特征值和第二特征值作为该IP对应的样本特征向量的步骤包括：
针对所述目标样本包含的每一IP，分别执行以下操作：提取该IP在第一时间周期T1，第二时间周期T2和第三时间周期T3内的访问次数，访问的URL数量和请求的数据大小；
提取所述目标样本包含的所有IP在第一时间周期T1，第二时间周期T2和第三时间周期T3内的平均访问次数，平均访问的URL数量和平均请求的数据大小；
将任一IP对应的在第一时间周期T1，第二时间周期T2和第三时间周期T3内的访问次数，访问的URL数量和请求的数据大小和所有IP在第一时间周期T1，第二时间周期T2和第三时间周期T3内的平均访问次数，平均访问的URL数量和平均请求的数据大小作为该任一IP对应的样本特征向量。


5.一种网络攻击检测装置，其特征在于，所述装置包括：
统计单元，用于基于收集到的样本数据中各样本的生成时间，统计负样本数量为正样本数量的N倍的时间点，并将生成时间为所述时间点之前的样本作为目标样本；
确定单元，用于基于...

【专利技术属性】
技术研发人员：孙尚勇，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽;34