一种基于动态时间窗口的网络攻击实时检测方法及装置制造方法及图纸

本申请提供一种基于动态时间窗口的网络攻击实时检测方法及装置。所述方法包括：针对全网所有资产主机生成的类型符合网络攻击检测场景的流量日志，根据流量日志的时间戳、动态时间窗口的预设偏移量以及长度，确定流量日志触发的动态时间窗口的起始时间，将动态时间窗口从起始时间开始按照预设移动间隔在消息队列中所有实时流量日志上进行移动，在停止移动以后，从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据，最后对目标小样本数据进行与网络攻击检测场景相对应的处理，生成流量日志的检测结果。整个方法聚焦于目标小样本数据，分析过程较为简单，可以及时发现异常日志，能够较好地满足实时检测网络攻击的需求。时检测网络攻击的需求。时检测网络攻击的需求。

【技术实现步骤摘要】
一种基于动态时间窗口的网络攻击实时检测方法及装置


[0001]本申请涉及计算机安全
，特别涉及一种基于动态时间窗口的网络攻击实时检测方法及装置。

技术介绍

[0002]随着IT技术和通信技术的发展，中大型企业的全网各种类型的资产主机会实时产生海量的无边界、乱序、大规模日志数据集，与此同时，网络环境日趋复杂，云计算和虚拟化等技术的应用，也使得主机边界、网络边界也变得动态和模糊。目前，隐蔽性、持续性、趋利性等高级网络攻击日益增多，这些网络攻击产生的行为日志会分散在不同类型的资产主机上，并且隐藏于其他正常行为日志中。如同一滴墨水滴入一杯清水，从墨水滴入到污染整杯清水可能仅需要几秒钟的扩散时间，同样地，整个网络攻击的过程可能只需几分钟或者几秒钟的时间即可完成。因此，需要对海量日志数据集进行分析以得到网络攻击的相关数据，并对网络攻击进行及时防护。
[0003]目前传统的网络攻击检测方式主要是对收集到的大批量历史日志数据进行离线数据清洗，对数据清洗得到的样本日志数据进行分析，最终检测出隐藏在历史日志数据中的异常日志。此种检测方式的分析过程较为复杂，且分析结果延迟较高，无法满足对网络攻击进行实时检测的需求。

技术实现思路

[0004]本申请提供了一种基于动态时间窗口的网络攻击实时检测方法及装置，可用于解决现有检测方式的分析过程较为复杂，且分析结果延迟较高，无法满足对网络攻击进行实时检测的需求的技术问题。
[0005]第一方面，本申请实施例提供一种基于动态时间窗口的网络攻击实时检测方法，包括：<br/>[0006]实时获取全网所有资产主机生成的各个待测流量日志；
[0007]如果所述待测流量日志的数据特征符合预设网络攻击检测场景，则根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量，以及所述动态时间窗口的长度，确定所述待测流量日志触发的所述动态时间窗口的起始时间，所述动态时间窗口的类型是根据所述预设网络攻击检测场景所对应的威胁事件的特征预设的；
[0008]从所述起始时间开始，将所述动态时间窗口按照预设移动间隔，在消息队列中所有实时流量日志上进行移动，生成每次移动所得到的数据快照图，其中，所有实时流量日志在所述消息队列中是按照时间戳从早到晚的顺序进行排列的，所述实时流量日志为全网所有资产主机历史生成的，且生成时间早于所述待测流量日志的流量日志；
[0009]在所述动态时间窗口的开始时间晚于或等于停止时间阈值时，停止移动所述动态时间窗口，并从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据，所述停止时间阈值为所述待测流量日志的时间戳与所述动态时间窗口的长度的
差值；
[0010]按照所述预设网络攻击检测场景，对所述目标小样本数据进行处理，生成所述待测流量日志是否为异常日志的结果，所述处理包括统计操作、聚合操作、序列操作中的至少一种。
[0011]结合第一方面，在第一方面的一种可实现方式中，所述根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量，以及所述动态时间窗口的长度，确定所述待测流量日志触发的所述动态时间窗口的起始时间，包括：
[0012]通过以下公式确定所述待测流量日志触发的所述动态时间窗口的起始时间：
[0013]lastStartTime＝timestamp
‑
(timestamp
‑
offset+size)/size
[0014]其中，lastStartTime为所述待测流量日志触发的所述动态时间窗口的起始时间，timestamp为所述待测流量日志的时间戳，offset为动态时间窗口的预设偏移量，size为所述动态时间窗口的长度。
[0015]结合第一方面，在第一方面的一种可实现方式中，所述从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据，包括：
[0016]从已生成的多个数据快照图中获取最后获取到的数据快照图；
[0017]利用SWTC算法从所述最后获取到的数据快照图中获取对应的目标小样本数据。
[0018]结合第一方面，在第一方面的一种可实现方式中，所述预设网络攻击检测场景为第一预设时段内的网络流量超过第二预设时段内预设比例的网络流量。
[0019]结合第一方面，在第一方面的一种可实现方式中，所述动态时间窗口包括第一时间窗口和第二时间窗口，所述第一时间窗口的长度为所述第一预设时段，所述第二时间窗口的长度为所述第二预设时段。
[0020]结合第一方面，在第一方面的一种可实现方式中，所述按照所述预设网络攻击检测场景，对所述目标小样本数据进行处理，生成所述待测流量日志是否为异常日志的结果，包括：
[0021]获取第一目标小样本数据的网络流量特征平均值，所述第一目标小样本数据为第一数据快照图所对应的目标小样本数据，所述第一数据快照图为从所述第一时间窗口的起始时间开始，将所述第一时间窗口按照对应的移动间隔，在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图；
[0022]获取第二目标小样本数据的网络流量特征平均值，所述第二目标小样本数据为第二数据快照图所对应的目标小样本数据，所述第二数据快照图为从所述第二时间窗口的起始时间开始，将所述第二时间窗口按照对应的移动间隔，在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图；
[0023]检测所述第一目标小样本数据的网络流量特征平均值是否大于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积；
[0024]如果所述第一目标小样本数据的网络流量特征平均值大于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积，则生成所述待测流量日志为异常日志的结果；
[0025]或者，如果所述第一目标小样本数据的网络流量特征平均值小于或等于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积，则生成所述待测流量日志不为
异常日志的结果。
[0026]结合第一方面，在第一方面的一种可实现方式中，在实时获取全网所有资产主机生成的各个待测流量日志之后，所述方法还包括：
[0027]对各个待测流量日志进行结构化处理。
[0028]结合第一方面，在第一方面的一种可实现方式中，所述实时获取全网所有资产主机生成的各个待测流量日志，包括：
[0029]利用旁路探针的方式实时获取全网所有资产主机生成的各个待测流量日志。
[0030]结合第一方面，在第一方面的一种可实现方式中，所述动态时间窗口的类型包括滑动和滚动。
[0031]第二方面，本申请实施例提供一种基于动态时间窗口的网络攻击实时检测装置，包括：
[0032]待测流量日志获取模块，用于实时获取全网所有资产主机生成的各个待测流量日志；
[0033]时间窗口起始时间确定模块，用于如果所述待测流量日志的数据特征符合预设网络攻击检测场景，则根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量，以及本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于动态时间窗口的网络攻击实时检测方法，其特征在于，包括：实时获取全网所有资产主机生成的各个待测流量日志；如果所述待测流量日志的数据特征符合预设网络攻击检测场景，则根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量，以及所述动态时间窗口的长度，确定所述待测流量日志触发的所述动态时间窗口的起始时间，所述动态时间窗口的类型是根据所述预设网络攻击检测场景所对应的威胁事件的特征预设的；从所述起始时间开始，将所述动态时间窗口按照预设移动间隔，在消息队列中所有实时流量日志上进行移动，生成每次移动所得到的数据快照图，其中，所有实时流量日志在所述消息队列中是按照时间戳从早到晚的顺序进行排列的，所述实时流量日志为全网所有资产主机历史生成的，且生成时间早于所述待测流量日志的流量日志；在所述动态时间窗口的开始时间晚于或等于停止时间阈值时，停止移动所述动态时间窗口，并从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据，所述停止时间阈值为所述待测流量日志的时间戳与所述动态时间窗口的长度的差值；按照所述预设网络攻击检测场景，对所述目标小样本数据进行处理，生成所述待测流量日志是否为异常日志的结果，所述处理包括统计操作、聚合操作、序列操作中的至少一种。2.根据权利要求1所述的方法，其特征在于，所述根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量，以及所述动态时间窗口的长度，确定所述待测流量日志触发的所述动态时间窗口的起始时间，包括：通过以下公式确定所述待测流量日志触发的所述动态时间窗口的起始时间：lastStartTime＝timestamp
‑
(timestamp
‑
offset+size)/size其中，lastStartTime为所述待测流量日志触发的所述动态时间窗口的起始时间，timestamp为所述待测流量日志的时间戳，offset为动态时间窗口的预设偏移量，size为所述动态时间窗口的长度。3.根据权利要求1所述的方法，其特征在于，所述从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据，包括：从已生成的多个数据快照图中获取最后获取到的数据快照图；利用SWTC算法从所述最后获取到的数据快照图中获取对应的目标小样本数据。4.根据权利要求1所述的方法，其特征在于，所述预设网络攻击检测场景为第一预设时段内的网络流量超过第二预设时段内预设比例的网络流量。5.根据权利要求4所述的方法，其特征在于，所述动态时间窗口包括第一时间窗口和第二时间窗口，所述第一时间窗口的长度为所述第一预设时段，所述第二时间窗口的长度为所述第二预设时段。6.根据权利要求5所述的方法，其特征在于，所述按照所述预设网络攻击检测场景，对所述目标小样本数据进行处理，生成所述待测流量日志是否为异常日志的结果，包括：获取第一目标小样本数据的网络流量特征平均值，所述第一目标小样本数据为第一数据快照图所对应的目...

【专利技术属性】
技术研发人员：张洋，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：