【技术实现步骤摘要】
面向大数据应用的攻击检测方法及系统
[0001]本申请属于网络安全
,具体地,涉及一种面向大数据应用的攻击检测方法及系统。
技术介绍
[0002]在大数据领域中,入侵检测系统(intrusion detection system,简称“IDS”)是一种旁路监听并通过TCP(Transmission Control Protocol)Reset进行阻断的网络安全系统,当发现一条非法的连接时,IDS将会向通信的两端各发送一个TCP Reset包,从而达到主动切断连接的目的。
[0003]然而,所有的IDS在响应攻击时都有延迟时间,当Reset到达会话端点时,对应的TCP会话可能早已结束,从而导致会话阻断失败,会导致传统的安全防御产品难以检测及阻断,大数据流量包处理存在性能瓶颈。
[0004]因此,亟需提供一种高效的面向大数据应用的攻击检测方法。
技术实现思路
[0005]本申请提供了一种面向大数据应用的攻击检测方法及系统,有效解决了因检测时延造成攻击阻断失败的问题。
[0006]为了...
【技术保护点】
【技术特征摘要】
1.一种面向大数据应用的攻击检测方法,应用于安全检测设备,其特征在于,所述方法包括:接收待检测网络流量的流量镜像数据包;对所述数据包进行特征处理,并对所述数据包进行分级检测;当从所述数据包中检测出攻击行为时,对所述待检测网络流量对应的链接进行阻断。2.根据权利要求1所述的方法,其特征在于,所述分级检测包括:规则判定及预设模型判定;所述数据包包括预设字段信息、传输层报文信息及应用层报文信息;所述预设模型包括预设应用层判定模型及预设传输层判定模型;所述对所述数据包进行特征处理,并对所述数据包进行分级检测,包括:获取所述数据包的所述预设字段信息,对所述预设字段信息进行特征处理,得到第一数据包特征,调用预设判定规则对所述第一数据包特征进行攻击行为检测;当判定所述第一数据包特征不存在所述攻击行为时,获取所述数据包的所述传输层报文信息,对所述传输层报文信息进行特征处理,得到第二数据包特征,利用所述传输层判定模型对所述第二数据包特征进行攻击行为检测;当判定所述第二数据包特征不存在所述攻击行为时,获取所述数据包的所述应用层报文信息,对所述应用层报文信息进行特征处理,得到第三数据包特征,利用所述应用层判定模型对所述第三数据包特征进行攻击行为检测。3.根据权利要求2所述的方法,其特征在于,所述当从所述数据包中检测出攻击行为时,对所述待检测网络流量对应的链接进行阻断,包括:当判定所述第一数据包特征存在所述攻击行为,或者,当判定所述第二数据包特征存在所述攻击行为,或者,当判定所述第三数据包特征存在所述攻击行为时,对所述待检测网络流量对应的链接进行阻断。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:当判定所述第三数据包特征不存在所述攻击行为时,确定所述数据包中不包含所述攻击行为。5.根据权利要求2所述的方法,其特征在于,所述预设模型包括逻辑回归模型:其中,x1、x2、...、x
m
【专利技术属性】
技术研发人员:王培博,刘英,王民,王旭,
申请(专利权)人:深圳市联合欣业科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。