[发明专利]安全攻击检测方法及装置

说明书

本发明涉及了一种安全攻击检测方法及装置，所述安全攻击检测方法包括：获取请求方的入流量；根据固定窗长的滑动窗口对所述请求方的入流量进行滑动控制，得到固定窗长的待检测流量；由所述待检测流量提取得到服务提供方的流量特征，所述服务提供方与所述请求方之间存在网络连接；将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对，得到比对结果；根据所述比对结果判断所述服务提供方是否受到安全攻击。采用本发明所提供的安全攻击检测方法及装置解决了现有技术中安全攻击检测无法兼顾检测速率和检测精准度的问题。

技术领域

本发明涉及计算机技术领域，尤其涉及一种安全攻击检测方法及装置。

背景技术

DDOS是英文Distributed Denial of Service的缩写，意为“分布式拒绝服务”。DDOS的精髓是：以分布式的客户端作为请求方，向服务提供方发起大量看似合法的服务请求，消耗或者长期占用服务提供方的大量资源，从而达到服务提供方拒绝提供服务的目的。

目前，针对DDOS攻击的安全攻击检测方法主要分为两种：第一种方法基于NetFlow技术，第二种方法基于DPI技术。然而，第一种方法受限于流量采样方式而使得小流量攻击检测难以察觉，无法保证检测精准度；第二种方法虽然能够完全还原攻击流量，但是对安全攻击检测装置的设备性能要求较高，仍然无法兼顾检测速率和检测精准度。

由上可知，如何保证安全攻击检测兼顾检测速率和检测精准度仍亟待解决。

发明内容

为了解决上述技术问题，本发明的一个目的在于提供一种安全攻击检测方法及装置。

其中，本发明所采用的技术方案为：

一种安全攻击检测方法，包括：获取请求方的入流量；根据固定窗长的滑动窗口对所述请求方的入流量进行滑动控制，得到固定窗长的待检测流量；由所述待检测流量提取得到服务提供方的流量特征，所述服务提供方与所述请求方之间存在网络连接；将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对，得到比对结果；根据所述比对结果判断所述服务提供方是否受到安全攻击。

一种安全攻击检测装置，包括：流量获取模块，用于获取请求方的入流量；滑动控制模块，用于根据固定窗长的滑动窗口对所述请求方的入流量进行滑动控制，得到固定窗长的待检测流量；特征提取模块，用于由所述待检测流量提取得到服务提供方的流量特征，所述服务提供方与所述请求方之间存在网络连接；特征比对模块，用于将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对，得到比对结果；判断模块，用于根据所述比对结果判断所述服务提供方是否受到安全攻击。

一种安全攻击检测装置，包括处理器及存储器，所述存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时实现如上所述的安全攻击检测方法。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的安全攻击检测方法。

在上述技术方案中，通过获取请求方的入流量，以根据固定窗长的滑动窗口对请求方的入流量进行滑动控制，得到固定窗长的检测流量，进而由待检测流量提取得到与请求方之间存在网络连接的服务提供方的流量特征，并将服务提供方的流量特征与服务提供方所对应的动态基线阈值进行比对，得到比对结果，最终根据比对结果判断服务提供方是否受到安全攻击，由此，在安全攻击检测中，不仅保证攻击流量按照滑动窗口的固定窗长还原，不失检测精准度，而且随着滑动窗口的滑动，有效地提高了检测速率，从而解决了现有技术中安全攻击检测无法兼顾检测速率和检测精准度的问题。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并于说明书一起用于解释本发明的原理。