[发明专利]网络攻击检测方法及装置

权利要求书

1.一种网络攻击检测方法，其特征在于，所述方法包括：

获取网络中的当前数据流；

基于预先建立的恶意行为攻击特征库，判断所述当前数据流的行为是否异常；

在为否时，通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常；

在为否时，提取所述当前数据流的行为特征，并将所述行为特征加入所述恶意行为攻击特征库。

2.根据权利要求1所述的方法，其特征在于，基于预先建立的恶意行为攻击特征库，判断所述当前数据流的行为是否异常，包括：

利用模式生成器挖掘所述当前数据流，获得所述当前数据流的当前行为特征；

通过数据流增量查询模型在预先建立的恶意行为攻击特征库中查询，判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配；

其中，在为不匹配时，表征所述当前数据流的行为不为异常。

3.根据权利要求2所述的方法，其特征在于，在利用模式生成器挖掘所述当前数据流，获得所述当前数据流的当前行为特征之后，所述方法还包括：

基于所述当前行为特征构建攻击图谱，并基于所述攻击图谱建立所述恶意行为攻击特征库。

4.根据权利要求1-3中任一权项所述的方法，其特征在于，在基于预先建立的恶意行为攻击特征库，判断所述当前数据流的行为是否异常之后，所述方法还包括：

在为是时，表征当前存在网络攻击，将所述当前数据流进行丢弃。

5.根据权利要求1-3中任一权项所述的方法，其特征在于，通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常，包括：

采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM并利用滑动窗口技术扫描所述当前数据流，获得当前滑动窗口数据流；

对所述当前滑动窗口数据流进行分块，形成嵌套数据子窗口群；

使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集，并合并扫描嵌套子窗口上的块频繁模式，获得当前滑动窗口中的频繁模式；

通过基于核密度估计的异常点检测模型判断所述当前滑动窗口中的频繁模式中是否存在异常点；

在为是时，表征所述当前数据流的行为异常。

6.一种网络攻击检测装置，其特征在于，所述装置包括：

获取模块，用于获取网络中的当前数据流；

一级检测模块，用于基于预先建立的恶意行为攻击特征库，判断所述当前数据流的行为是否异常；

二级检测模块，用于在所述当前数据流的行为不为异常时，通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常；

提取模块，用于在所述当前数据流的行为异常时，提取所述当前数据流的行为特征，并将所述行为特征加入所述恶意行为攻击特征库。

7.根据权利要求6所述的装置，其特征在于，所述一级检测模块包括：

挖掘单元，用于利用模式生成器挖掘所述当前数据流，获得所述当前数据流的当前行为特征；

查询单元，用于通过数据流增量查询模型在预先建立的恶意行为攻击特征库中查询，判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配；

第一表征单元，用于在所述当前行为特征与所述恶意行为攻击特征库中的恶意行为不匹配时，表征所述当前数据流的行为不为异常。

8.根据权利要求7所述的装置，其特征在于，所述装置还包括：

特征库模块，用于基于所述当前行为特征构建攻击图谱，并基于所述攻击图谱建立所述恶意行为攻击特征库。

9.根据权利要求6-8中任一权项所述的装置，其特征在于，所述装置还包括：

丢弃模块，用于在基于预先建立的恶意行为攻击特征库，判断所述当前数据流的行为异常时，表征当前存在网络攻击，将所述当前数据流进行丢弃。

10.根据权利要求6-8中任一权项所述的装置，其特征在于，所述二级检测模块包括：

扫描单元，用于采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM并利用滑动窗口技术扫描所述当前数据流，获得当前滑动窗口数据流；

分块单元，用于对所述当前滑动窗口数据流进行分块，形成嵌套数据子窗口群；

频繁单元，用于使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集，并合并扫描嵌套子窗口上的块频繁模式，获得当前滑动窗口中的频繁模式；

核密度单元，用于通过基于核密度估计的异常点检测模型判断所述当前滑动窗口中的频繁模式中是否存在异常点；

第二表征单元，用于在所述当前滑动窗口中的频繁模式中存在异常点时，表征所述当前数据流的行为异常。