一种网络攻击检测方法及装置制造方法及图纸

技术编号：37199849 阅读：30 留言：0更新日期：2023-04-20 22:56

本发明专利技术实施例提供了一种网络攻击检测方法及装置，该方法包括：获取在预设检测期间网络的第一流量序列，所述第一流量序列包括按时间排序的所述网络中各终端在预设检测期间采集到的流量数据；根据所述第一流量序列中各终端的流量数据之间的相似度，得到所述网络的网络态势感知值；根据所述网络态势感知值和所述第一流量序列，得到各流量数据在各采样时间点的取值范围；若预设的标准流量序列中存在超过对应采样时间点的取值范围的流量数据，则确定受到网络攻击；其中，所述标准流量序列包括各流量数据在各采样时间点的均值。通过本发明专利技术实施例，实现了对网络攻击的自动检测，增加了检测的准确度，提升了网络的安全性。提升了网络的安全性。提升了网络的安全性。

全部详细技术资料下载

【技术实现步骤摘要】
一种网络攻击检测方法及装置

[0001]本专利技术涉及网络安全
，尤其涉及一种网络攻击检测方法及装置。

技术介绍

[0002]当前对于来自物联网的抗分布式拒绝服务(Distributed Denial of Service，DDOS)攻击检测，重点分析的是被攻击目标的网络态势。所需的数据来自于路由器产生的日志，例如Netflow日志。该日志是被集中收集后再送入检测系统分析，属于深度流量分析(Deep Flow Inspection，DFI)范畴。
[0003]检测技术方案为对流进某个IP的报文包数或者报文流量，按照每一分钟为单位建立一个阈值，当发现某一类包数或者流量异常增大，超过阈值，则认为受到了来自物联网的DDOS攻击。当检测到攻击后，需要联动对应的清洗设备，进行引流等方式清洗攻击流量。
[0004]当前的攻击检测方法的生成方式基于经验生成的阈值，可能存在大量误报和漏报的情况，使攻击检测不够准确。

技术实现思路

[0005]本专利技术实施例的目的是提供一种网络攻击检测方法及装置，以解决由于存在大量误报和漏报的情况，使攻击检测不够准确的问题。
[0006]为了解决上述技术问题，本专利技术实施例是这样实现的：
[0007]第一方面，本专利技术实施例提供了一种网络攻击检测方法，包括：
[0008]获取在预设检测期间网络的第一流量序列，所述第一流量序列包括按时间排序的所述网络中各终端在预设检测期间采集到的流量数据；
[0009]根据所述第一流量序列中各终...

【技术保护点】

【技术特征摘要】
1.一种网络攻击检测方法，其特征在于，所述方法包括：获取在预设检测期间网络的第一流量序列，所述第一流量序列包括按时间排序的所述网络中各终端在预设检测期间采集到的流量数据；根据所述第一流量序列中各终端的流量数据之间的相似度，得到所述网络的网络态势感知值；根据所述网络态势感知值和所述第一流量序列，得到各流量数据在各采样时间点的取值范围；若预设的标准流量序列中存在超过对应采样时间点的取值范围的流量数据，则确定受到网络攻击；其中，所述标准流量序列包括各流量数据在各采样时间点的均值。2.根据权利要求1所述的方法，其特征在于，所述根据所述第一流量序列中各终端的流量数据之间的相似度，得到所述网络的网络态势感知值，包括：根据所述第一流量序列中各终端的流量数据之间的相似度，确定各终端的安全值；根据各终端的安全值，通过第一计算公式得到所述网络的网络态势感知值。3.根据权利要求2所述的方法，其特征在于，所述第一计算公式表示如下：B＝A
min
×
∑A
i
/A
max
其中，A
min
为所述网络中各终端的安全值的最小值，∑A
i
为所述网络中各终端i的安全值A
i
的和，A
max
为所述网络中各终端的安全值的最大值。4.根据权利要求2所述的方法，其特征在于，所述根据所述第一流量序列中各终端的流量数据之间的相似度，确定各终端的安全值，包括：从第一流量序列中提取出终端i的流量数据；从所述终端i的流量数据中依次选取一个流量数据作为第一流量数据j，并通过第二计算公式，计算所述第一流量数据j与采样时间点在后的其它所述终端i的流量数据间的相似度；统计相似度低于相似度阈值的其它所述终端i的流量数据的数量，作为所述第一流量数据j的相似度统计值n
j
；将所述终端i对应的所有第一流量数据j的相似度统计值n
j
中的最大值作为所述终端i的安全值A
i
。5.根据权利要求4所述的方法，其特征在于，所述第二计算公式表示如下：sim(j，u)＝(w
t
×
sim
t
(j，u)+w
v
×
sim
v
(j，u))/|t(j，u...

【专利技术属性】
技术研发人员：陈学涧，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人