本申请公开了一种攻击检测方法,包括:获取目标主机的加密流量;对加密流量进行行为特征提取,获得流量行为特征;其中,流量行为特征包括流量包数量和/或流量包大小和/或流量包时间;基于历史流量行为特征对流量行为特征进行极值差异评估,得到评估值;其中,历史流量行为特征的时间长度大于流量行为特征的时间长度;根据评估值确定目标主机是否被攻击。应用本申请所提供的技术方案,根据历史流量行为特征和加密流量的特征信息检测出恶意的加密流量,进而检出失陷主机,能够充分利用异常的特征信息检测出更多的恶意加密流量。本申请还公开了一种攻击检测装置、设备及计算机可读存储介质,均具上述有益效果。均具上述有益效果。均具上述有益效果。
【技术实现步骤摘要】
一种攻击检测方法、装置及相关设备
[0001]本申请涉及计算机安全
,特别涉及一种攻击检测方法,还涉及一种攻击检测装置、设备及计算机可读存储介质。
技术介绍
[0002]随着SSL(Secure Sockets Layer,安全套接层)/TLS(Transport Layer Security Protocol,安全传输层协议)加密技术在互联网上的普及,越来越多的恶意软件也使用SSL/TLS加密方式传输数据。然而,现在存在的检测恶意加密流量的技术都是基于解密后的解析规则来实现的,不仅存在泛化能力弱、召回率低、漏检等问题,还会消耗大量的资源,成本很高,同时也违反了加密的初衷,解密过程会受到隐私保护相关法律法规的严格限制。
[0003]因此,如何实现加密攻击数据的精准检测,同时降低检测成本是本领域技术人员亟待解决的问题。
技术实现思路
[0004]本申请的目的是提供一种攻击检测方法,该攻击检测方法可以实现加密攻击数据的精准检测,同时降低检测成本;本申请的另一目的是提供一种攻击检测装置、设备及计算机可读存储介质,均具有上述有益效果。
[0005]第一方面,本申请提供了一种攻击检测方法,包括:
[0006]获取目标主机的加密流量;
[0007]对所述加密流量进行行为特征提取,获得流量行为特征;其中,所述流量行为特征包括流量包数量和/或流量包大小和/或流量包时间;
[0008]基于历史流量行为特征对所述流量行为特征进行极值差异评估,得到评估值;其中,所述历史流量行为特征的时间长度大于所述流量行为特征的时间长度;
[0009]根据所述评估值确定所述目标主机是否被攻击。
[0010]可选的,所述获取目标主机的加密流量之前,还包括:
[0011]获取目标网络区域内所有主机在当前时间段内的流量数据;
[0012]将存在加密流量的流量数据所属的主机作为所述目标主机。
[0013]可选的,所述历史流量特征包括历史数据中加密流量包数量的最大值和/或历史数据中加密流量包长的最大值和/或历史数据中所有加密流量包的时间集合。
[0014]可选的,基于历史流量行为特征对所述流量行为特征进行极值差异评估,得到评估值,包括:
[0015]将所述流量行为特征的流量包数量与所述历史流量特征的加密流量包数量的最大值进行差异分值计算,获得数量的异常分值;
[0016]和/或将所述流量行为特征的流量包大小与所述历史流量特征的加密流量包长的最大值进行差异分值计算,获得大小的异常分值;
[0017]和/或将所述流量行为特征的流量包时间与所述历史流量特征的所有加密流量包
的时间集合进行差异分值计算,获得时间的异常分值;
[0018]基于所述异常分值确定所述评估值。
[0019]可选的,基于历史流量行为特征对所述流量行为特征进行极值差异评估,得到评估值,包括:
[0020]将所述历史流量行为特征与所述流量行为特征分别进行向量化处理,得到历史流量行为特征向量和流量行为特征向量;
[0021]计算所述历史流量行为特征向量和所述流量行为特征向量的距离,得到作为所述评估值的距离数值。
[0022]可选的,基于历史流量行为特征对所述流量行为特征进行极值差异评估,得到评估值,包括:
[0023]利用人工智能特征评估模型对所述流量行为特征和所述历史流量行为特征进行分值评估,获得所述评估值。
[0024]可选的,根据所述评估值确定所述目标主机是否被攻击,包括:
[0025]当所述评估值大于预设阈值时,确定所述目标主机被攻击。
[0026]第二方面,本申请还公开了一种攻击检测装置,包括:
[0027]流量获取模块,用于获取目标主机的加密流量;
[0028]特征提取模块,用于对所述加密流量进行行为特征提取,获得流量行为特征;其中,所述流量行为特征包括流量包数量和/或流量包大小和/或流量包时间;
[0029]特征评估模块,用于基于历史流量行为特征对所述流量行为特征进行极值差异评估,得到评估值;其中,所述历史流量行为特征的时间长度大于所述流量行为特征的时间长度;
[0030]攻击判定模块,用于根据所述评估值确定所述目标主机是否被攻击。
[0031]第三方面,本申请还公开了一种攻击检测设备,包括:
[0032]存储器,用于存储计算机程序;
[0033]处理器,用于执行所述计算机程序时实现如上所述的任一种攻击检测方法的步骤。
[0034]第四方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任一种攻击检测方法的步骤。
[0035]本申请所提供的一种攻击检测方法,包括:获取目标主机的加密流量;对所述加密流量进行行为特征提取,获得流量行为特征;其中,所述流量行为特征包括流量包数量和/或流量包大小和/或流量包时间;基于历史流量行为特征对所述流量行为特征进行极值差异评估,得到评估值;其中,所述历史流量行为特征的时间长度大于所述流量行为特征的时间长度;根据所述评估值确定所述目标主机是否被攻击。
[0036]可见,本申请所提供的攻击检测方法,首先获取待检测主机的加密流量,然后对其进行特征提取,进而利用历史流量行为特征对提取得到的流量行为特征进行评估,得到相应的评估值,最后,即可基于该评估值确定待检测主机是否存在网络攻击。可见,该种实现方式可以直接根据加密流量的特征信息检测出恶意的加密流量,进而检出失陷主机,能够充分利用异常的特征信息检测出更多的恶意加密流量,且误报率低,泛化能力强,极大地提
高了业界检测能力;此外,由于无需对加密流量进行解密,可以大大降低检测成本。
[0037]本申请所提供的一种攻击检测装置、设备及计算机可读存储介质,均具有上述有益效果,在此不再赘述。
附图说明
[0038]为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
[0039]图1为本申请所提供的一种攻击检测方法的流程示意图;
[0040]图2为本申请所提供的另一种攻击检测方法的流程示意图;
[0041]图3为本申请所提供的一种攻击检测装置的结构示意图;
[0042]图4为本申请所提供的一种攻击检测设备的结构示意图。
具体实施方式
[0043]本申请的核心是提供一种攻击检测方法,该攻击检测方法可以实现加密攻击数据的精准检测,同时降低检测成本;本申请的另一核心是提供一种攻击检测装置、设备及计算机可读存储介质,也具有上述有益效果。
[0044]为了对本申请本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击检测方法,其特征在于,包括:获取目标主机的加密流量;对所述加密流量进行行为特征提取,获得流量行为特征;其中,所述流量行为特征包括流量包数量和/或流量包大小和/或流量包时间;基于历史流量行为特征对所述流量行为特征进行极值差异评估,得到评估值;其中,所述历史流量行为特征的时间长度大于所述流量行为特征的时间长度;根据所述评估值确定所述目标主机是否被攻击。2.根据权利要求1所述的攻击检测方法,其特征在于,所述获取目标主机的加密流量之前,还包括:获取目标网络区域内所有主机在当前时间段内的流量数据;将存在加密流量的流量数据所属的主机作为所述目标主机。3.根据权利要求1所述的攻击检测方法,其特征在于,所述历史流量特征包括历史数据中加密流量包数量的最大值和/或历史数据中加密流量包长的最大值和/或历史数据中所有加密流量包的时间集合。4.根据权利要求3所述的攻击检测方法,其特征在于,基于历史流量行为特征对所述流量行为特征进行极值差异评估,得到评估值,包括:将所述流量行为特征的流量包数量与所述历史流量特征的加密流量包数量的最大值进行差异分值计算,获得数量的异常分值;和/或将所述流量行为特征的流量包大小与所述历史流量特征的加密流量包长的最大值进行差异分值计算,获得大小的异常分值;和/或将所述流量行为特征的流量包时间与所述历史流量特征的所有加密流量包的时间集合进行差异分值计算,获得时间的异常分值;基于所述异常分值确定所述评估值。5.根据权利要求1所述的攻击检测方法,其特征在于,基于历史流量行为特征对所述流量行为特征进行极值差异评估,得到评估...
【专利技术属性】
技术研发人员:张士峰,宁阳,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。