[发明专利]基于流量的攻击检测方法、装置及计算机可读存储介质

权利要求书

1.一种基于流量的攻击检测方法，其特征在于，包括：

获取网络总出口的镜像流量，并将所述镜像流量传输至流量探针；

通过所述流量探针对所述镜像流量进行解析，并将解析得到的所有流量元数据上传至全流量攻击检测模型；其中，所述全流量攻击检测模型基于预设的攻击事件样本训练得到；

通过所述全流量攻击检测模型对所述流量元数据进行攻击检测，并基于攻击检测结果输出全局流量的攻击事件。

2.如权利要求1所述的攻击检测方法，其特征在于，所述基于攻击检测结果输出全局流量的攻击事件包括：

实时获取当前的安全威胁热点事件类型，并基于攻击检测结果对符合所述安全威胁热点事件类型的全局流量的攻击事件进行输出；

或，获取预设的自定义攻击事件类型，并基于攻击检测结果对符合所述自定义攻击事件类型的全局流量的攻击事件进行输出。

3.如权利要求1所述的攻击检测方法，其特征在于，所述基于攻击检测结果输出全局流量的攻击事件之后，还包括：

基于所述攻击事件的攻击属性信息获取可疑失陷资产；

对所述可疑失陷资产进行失陷度评估；

根据所述失陷度评估结果输出失陷资产总体信息。

4.如权利要求1所述的攻击检测方法，其特征在于，所述基于攻击检测结果输出全局流量的攻击事件之后，还包括：

通过查询流量日志，或针对所述攻击事件下钻到原始流量，从所述流量探针所存储的全局流量pcap包信息中获取关联于所述攻击事件的pcap包信息。

5.如权利要求1所述的攻击检测方法，其特征在于，所述基于攻击检测结果输出全局流量的攻击事件之后，还包括：

获取所述攻击事件所对应的攻击者的IP地址；

在出口路由器上针对所述攻击者的IP地址添加黑洞路由。

6.如权利要求1所述的攻击检测方法，其特征在于，所述基于攻击检测结果输出全局流量的攻击事件之后，还包括：

基于所述攻击事件的攻击属性信息提取攻击者特征信息；

对所述攻击者特征信息进行关联查询，并基于查询结果输出攻击者画像。

7.如权利要求1至6中任意一项所述的攻击检测方法，其特征在于，所述基于攻击检测结果输出全局流量的攻击事件之后，还包括：

基于所述攻击事件的攻击属性信息，获取关联攻击事件；

基于所述攻击事件以及关联攻击事件建立攻击链；其中，所述攻击链用于表征攻击事件之间的关联关系。

8.一种基于流量的攻击检测装置，其特征在于，包括：

获取模块，用于获取网络总出口的镜像流量，并将所述镜像流量传输至流量探针；

解析模块，用于通过所述流量探针对所述镜像流量进行解析，并将解析得到的所有流量元数据上传至全流量攻击检测模型；其中，所述全流量攻击检测模型基于预设的攻击事件样本训练得到；

检测模块，用于通过所述全流量攻击检测模型对所述流量元数据进行攻击检测，并基于攻击检测结果输出全局流量的攻击事件。

9.一种电子装置，其特征在于，包括：处理器、存储器和通信总线；

所述通信总线用于实现所述处理器和存储器之间的连接通信；

所述处理器用于执行所述存储器中存储的一个或者多个程序，以实现如权利要求1至7中任意一项所述的基于流量的攻击检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1至7中任意一项所述的基于流量的攻击检测方法的步骤。