[发明专利]网络攻击的处理方法和装置

权利要求书

1.一种网络攻击的处理方法，其特征在于，包括：

采集数据流中的数据包信息；

解析所述数据包信息，得到攻击检测维度数据和包特征维度数据；

将所述攻击检测维度数据和所述包特征维度数据与预设/学习数据进行比较， 判断所述攻击检测维度数据和所述包特征维度数据是否存在异常；

当判断结果为否时，将所述攻击检测维度数据和所述包特征维度数据分别输 入预先建立的分析模型，生成对应的分析数据；

当判断结果为是时，上报异常事件，并依据预设/学习数据检测所述包特征维 度数据是否存在异常特征，所述异常事件用于指示所述数据流中的数据包存在洪 泛攻击的威胁；

当检测结果为是时，依据所述包特征维度数据匹配对应的缓解方案；

执行所述缓解方案。

2.根据权利要求1所述的方法，其特征在于，在所述数据包信息包括数据包类型、 每个类型的数据包个数及所述数据流中的数据包总数的情况下，所述解析所述数 据包信息，得到攻击检测维度数据和包特征维度数据包括：

将采集到的所述数据流中数据包的类型进行分类，得到所述数据包类型、所 述每个类型的数据包个数及所述数据流中的数据包总数；

依据所述每个类型的数据包的个数，得到所述类型的数据包在所述数据流中 所占的数据包比例；

将所述每个类型数据包的数据包比例作为所述攻击检测维度数据；

采集所述每个类型的数据包的所述数据包类型和数据包头信息，得到所述包 特征维度数据。

3.根据权利要求1所述的方法，其特征在于，在所述预设/学习数据包括预设/学习攻 击检测维度数据和预设/学习包特征维度数据的情况下，所述将所述维度数据和所 述包特征维度数据与预设/学习数据进行比较，判断所述攻击检测维度数据和所述 包特征维度数据是否存在异常包括：

将所述维度数据和对应的所述预设/学习攻击检测维度数据进行对比，判断所 述攻击检测维度数据是否大于所述预设/学习维度数据的第一预设阈值；

将所述包特征维度数据和对应的所述预设/学习包特征维度数据进行对比，判 断所述包特征维度数据中的数据包头信息是否大于所述预设/学习特征数据的第 二预设阈值。

4.根据权利要求1所述的方法，其特征在于，所述将所述攻击检测维度数据和所述 包特征维度数据分别输入预先建立的分析模型，生成对应的分析数据包括：

将所述攻击检测维度数据和所述包特征维度数据与所述预设/学习数据结合， 运算得到所述分析数据。

5.根据权利要求1所述的方法，其特征在于，所述依据预设/学习数据检测所述包特 征维度数据是否存在异常特征包括：

提取所述包特征维度数据中的数据包头的字段信息；

依据所述预设/学习数据匹配所述字段信息，检测所述字段信息与所述预设/ 学习数据中的所述异常特征是否匹配。

6.根据权利要求1所述的方法，其特征在于，所述依据所述包特征维度数据匹配对 应的缓解方案包括：

依据所述包特征维度数据生成对应异常攻击包的缓解规则；

依据所述缓解规则匹配所述包特征维度数据对应的缓解方案。

7.根据权利要求6所述的方法，其特征在于，所述执行所述缓解方案包括：

依据预设比例丢弃所述包特征维度数据对应的数据包；检测所述数据流中的 数据包的所述攻击检测维度数据和所述包特征维度数据是否存在异常；

在检测结果为是的情况下，依据所述预设比例丢弃所述包特征维度数据对应 的数据包，直至对所述数据流中的数据包的所述攻击检测维度数据和所述包特征 维度数据检测不到异常时，停止执行所述缓解方案。