一种攻击检测方法、装置、设备和计算机存储介质制造方法及图纸

本申请实施例公开了一种攻击检测方法、装置、设备和计算机存储介质，该方法包括：基于待检测网络，确定若干个互联网协议IP地址各自的总流量；对所述若干个IP地址各自的总流量进行粗粒度检测，当所述第一检测结果指示所述若干个IP地址中存在一IP地址的总流量超过第一动态阈值时，确定所述一IP地址为异常IP地址，并对所述异常IP地址的总流量进行细粒度检测；当所述第二检测结果指示所述异常IP地址中存在一流量类型对应的流量统计值超过第二动态阈值时，确定所述一流量类型存在攻击异常，并生成攻击告警信息。这样，可以在不设置防护对象的前提下，实现面向全网流量的异常攻击检测，并且还能够自适应业务流量的变化，同时提高检测的准确率。测的准确率。测的准确率。

【技术实现步骤摘要】
一种攻击检测方法、装置、设备和计算机存储介质


[0001]本申请涉及网络安全
，尤其涉及一种攻击检测方法、装置、设备和计算机存储介质。

技术介绍

[0002]分布式拒绝服务(Distributed Denial of Service，DDoS)攻击目前是网络安全中一个急需解决的重要问题，并且具有攻击量级大、分布范围广、破坏性严重等特点，因此为了降低DDoS攻击的影响，需要对DDoS攻击进行检测。
[0003]在相关技术中，DDoS防御方案都是基于特定防护对象的，不具备在不设定目标的前提下对全网流量进行态势感知分析，阻止现网内发起或者遭受的攻击。另外，现有的DDoS防御方案可能还需要人工手动配置阈值，导致工作量大，难以适应业务流量的变更，而且还存在检测的准确率偏低的问题。

技术实现思路

[0004]本申请期望提出一种攻击检测方法、装置、设备和计算机存储介质，不仅能够自适应业务流量的变化，还可以提高检测的准确率。
[0005]为达到上述目的，本申请的技术方案是这样实现的：
[0006]第一方面，本申请实施例提供了一种攻击检测方法，所述方法包括：
[0007]基于待检测网络，确定若干个互联网协议IP地址各自的总流量；
[0008]对所述若干个IP地址各自的总流量进行粗粒度检测，得到第一检测结果；
[0009]当所述第一检测结果指示所述若干个IP地址中存在一IP地址的总流量超过第一动态阈值时，确定所述一IP地址为异常IP地址，并对所述异常IP地址的总流量进行细粒度检测，得到第二检测结果；
[0010]当所述第二检测结果指示所述异常IP地址中存在一流量类型对应的流量统计值超过第二动态阈值时，确定所述一流量类型存在攻击异常，并生成攻击告警信息。
[0011]在一些实施例中，所述第一动态阈值和所述第二动态阈值是根据所述待检测网络在预设时间段内的流量进行自学习得到的。
[0012]在一些实施例中，所述基于待检测网络，确定若干个互联网协议IP地址各自的总流量，包括：
[0013]获取所述待检测网络的全量流量；
[0014]根据所述全量流量对所述若干个IP地址分别进行流量统计，得到所述若干个IP地址各自的总流量。
[0015]在一些实施例中，所述对所述若干个IP地址各自的总流量进行粗粒度检测，得到第一检测结果，包括：
[0016]确定所述若干个IP地址各自的第一动态阈值；
[0017]将所述若干个IP地址各自的总流量与各自的第一动态阈值进行比较，确定所述第
一检测结果。
[0018]在一些实施例中，所述确定所述若干个IP地址各自的第一动态阈值，包括：
[0019]基于第一IP地址，获取预设时间段内的至少一个总流量样本，将所述至少一个总流量样本确定为第一训练集；
[0020]利用预设时间平滑算法对所述第一训练集进行自学习，得到所述第一IP地址的第一动态阈值；
[0021]其中，所述第一IP地址是所述若干个IP地址中的任意一个IP地址。
[0022]在一些实施例中，所述利用预设时间平滑算法对所述第一训练集进行自学习，得到所述第一IP地址的第一动态阈值，包括：
[0023]从所述第一训练集中选取最大值，将所述最大值确定为所述第一IP地址的第一动态阈值。
[0024]在一些实施例中，所述对所述异常IP地址的总流量进行细粒度检测，得到第二检测结果，包括：
[0025]将所述异常IP地址的总流量按照流量类型进行分类统计，确定至少两种流量类型各自的流量统计值；
[0026]确定所述至少两种流量类型各自的第二动态阈值；
[0027]将所述至少两种流量类型各自的流量统计值与各自的第二动态阈值进行比较，确定所述第二检测结果。
[0028]在一些实施例中，所述确定至少两种流量类型各自的第二动态阈值，包括：
[0029]基于第一流量类型，获取预设时间段内的至少一个流量统计值样本，将所述至少一个流量统计值样本确定为第二训练集；
[0030]利用预设时间平滑算法对所述第二训练集进行自学习，得到所述第一流量类型的第二动态阈值；
[0031]其中，所述第一流量类型是所述异常IP地址的至少两种流量类型中的任意一种流量类型。
[0032]在一些实施例中，所述利用预设时间平滑算法对所述第二训练集进行自学习，得到所述第一流量类型的第二动态阈值，包括：
[0033]从所述第二训练集中选取最大值，将所述最大值确定为所述第一流量类型的第二动态阈值。
[0034]在一些实施例中，所述对所述异常IP地址的总流量进行细粒度检测，得到第二检测结果，包括：
[0035]将所述异常IP地址的总流量按照流量类型进行分类统计，确定至少两种流量类型各自的流量统计值；
[0036]确定所述至少两种流量类型各自的流量预测值以及所述至少两种流量类型各自的第三动态阈值；
[0037]对所述至少两种流量类型各自的流量统计值与各自的流量预测值进行减法运算，得到所述至少两种流量类型各自的流量差值；
[0038]将所述至少两种流量类型各自的流量差值与各自的第三动态阈值进行比较，确定所述第二检测结果；
[0039]相应地，所述方法还包括：
[0040]当所述第二检测结果指示所述异常IP地址中存在一流量类型对应的流量差值超过第三动态阈值时，确定所述一流量类型存在攻击异常，并生成攻击告警信息。
[0041]在一些实施例中，所述确定所述至少两种流量类型各自的流量预测值，包括：
[0042]基于第一流量类型，获取第i
‑
1时刻的流量统计值和第i
‑
1时刻的流量预测值；
[0043]根据所述第i
‑
1时刻的流量统计值和所述第i
‑
1时刻的流量预测值，利用预设时间平滑算法计算得到第i时刻的流量预测值；
[0044]根据所述第i时刻的流量预测值，确定所述第一流量类型对应的流量预测值；其中，i为大于零的整数，所述第一流量类型是所述至少两种流量类型中的任意一种流量类型。
[0045]在一些实施例中，所述确定所述至少两种流量类型各自的第三动态阈值，包括：
[0046]基于第一流量类型，获取预设时间段内的至少一个流量统计值样本；
[0047]根据所述至少一个流量统计值样本，利用预设时间平滑算法计算得到至少一个流量预测值样本；
[0048]对所述至少一个流量统计值样本与所述至少一个流量预测值样本进行减少运算，得到至少一个流量差值样本，将所述至少一个流量差值样本确定为第三训练集；
[0049]对所述第三训练集中所有流量差值样本进行平均值计算，得到样本均值；以及对所述第三训练集中所有流量差值样本进行标准差计算，得到样本标准差；
[0050]根据所述样本均值和所述样本标准差，确定所述第一流量类型的第三动态阈值本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击检测方法，其特征在于，所述方法包括：基于待检测网络，确定若干个互联网协议IP地址各自的总流量；对所述若干个IP地址各自的总流量进行粗粒度检测，得到第一检测结果；当所述第一检测结果指示所述若干个IP地址中存在一IP地址的总流量超过第一动态阈值时，确定所述一IP地址为异常IP地址，并对所述异常IP地址的总流量进行细粒度检测，得到第二检测结果；当所述第二检测结果指示所述异常IP地址中存在一流量类型对应的流量统计值超过第二动态阈值时，确定所述一流量类型存在攻击异常，并生成攻击告警信息。2.根据权利要求1所述的方法，其特征在于，所述第一动态阈值和所述第二动态阈值是根据所述待检测网络在预设时间段内的流量进行自学习得到的。3.根据权利要求1所述的方法，其特征在于，所述基于待检测网络，确定若干个互联网协议IP地址各自的总流量，包括：获取所述待检测网络的全量流量；根据所述全量流量对所述若干个IP地址分别进行流量统计，得到所述若干个IP地址各自的总流量。4.根据权利要求1所述的方法，其特征在于，所述对所述若干个IP地址各自的总流量进行粗粒度检测，得到第一检测结果，包括：确定所述若干个IP地址各自的第一动态阈值；将所述若干个IP地址各自的总流量与各自的第一动态阈值进行比较，确定所述第一检测结果。5.根据权利要求4所述的方法，其特征在于，所述确定所述若干个IP地址各自的第一动态阈值，包括：基于第一IP地址，获取预设时间段内的至少一个总流量样本，将所述至少一个总流量样本确定为第一训练集；利用预设时间平滑算法对所述第一训练集进行自学习，得到所述第一IP地址的第一动态阈值；其中，所述第一IP地址是所述若干个IP地址中的任意一个IP地址。6.根据权利要求5所述的方法，其特征在于，所述利用预设时间平滑算法对所述第一训练集进行自学习，得到所述第一IP地址的第一动态阈值，包括：从所述第一训练集中选取最大值，将所述最大值确定为所述第一IP地址的第一动态阈值。7.根据权利要求1所述的方法，其特征在于，所述对所述异常IP地址的总流量进行细粒度检测，得到第二检测结果，包括：将所述异常IP地址的总流量按照流量类型进行分类统计，确定至少两种流量类型各自的流量统计值；确定所述至少两种流量类型各自的第二动态阈值；将所述至少两种流量类型各自的流量统计值与各自的第二动态阈值进行比较，确定所述第二检测结果。8.根据权利要求7所述的方法，其特征在于，所述确定所述至少两种流量类型各自的第
二动态阈值，包括：基于第一流量类型，获取预设时间段内的至少一个流量统计值样本，将所述至少一个流量统计值样本确定为第二训练集；利用预设时间平滑算法对所述第二训练集进行自学习，得到所述第一流量类型的第二动态阈值；其中，所述第一流量类型是所述异常IP地址的至少两种流量类型中的任意一种流量类型。9.根据权利要求8所述的方法，其特征在于，所述利用预设时间平滑算法对所述第二训练集进行自学习，得到所述第一流量类型的第二动态阈值，包括：从所述第二训练集中选取最大值，将所述最大值确定为所述第一流量类型的第二动态阈值。10.根据权利要求1所述的方法，其特征在于，所述对所述异常IP地址的总流量进行细粒度检测，得到第二检测结果，包括：将所述异常IP地址的总流量按照流量类型进行分类统计，确定至少两种流量类型各自的流量统计值；确定所述至少两种流量类型各自的流量预测值以及所述至少两种流量类型各自的第...

【专利技术属性】
技术研发人员：王晨光，胡辉，智绪龙，宋祺，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：