[发明专利]网络流量监控设备和异常流量检测方法

说明书

本申请提供一种网络流量监控设备和异常流量检测方法，属于网络安全技术领域。其中，网络流量监控设备包括网络接口、存储器和处理器；网络接口被配置为获取网络流量数据；存储器被配置为存储网络流量监控设备所使用的程序或数据；处理器被配置为若网络流量数据中包含异常数据，将异常数据输入攻击检测网络集合；根据攻击检测网络集合输出的检测结果，确定异常数据的攻击类型。本申请实施例提供的网络流量监控设备，在确定网络流量数据中包含异常数据之后，将异常数据输入攻击检测网络集合，根据攻击检测网络集合输出的检测结果，确定异常数据的攻击类型，不仅可以识别出异常数据，还可以确定异常数据的攻击类型，更有利于识别和化解网络攻击行为。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种网络流量监控设备和异常流量检测方法。

背景技术

网络流量是指网络上传输的数据，通常在一个网络环境中绝大部分网络流量数据都是正常数据。而异常数据是指与正常数据模式相差较大的网络流量数据，异常数据很可能是攻击性行为产生的流量数据。从网络流量数据中识别出异常数据，是网络安全管理的重要基础。近年来，网络攻击的种类繁多，攻击能力急剧增强，攻击手段和攻击方式变化莫测，数据泄露、恶意软件及安全事件频发，尤其是在云计算、大数据等新技术形态下，为网络安全的检测及防御带来巨大挑战。

现有的异常流量检测方法，通常是将获取的网络流量数据与预先设置的规则库进行特征匹配，识别出具有攻击性的异常数据。由于规则库中保存的特征有限，无法识别未保存在规则库中的之前从未出现过的异常数据，因此该方式漏报率较高。并且，现有的方法仅能确定网络流量数据是正常数据还是异常数据，无法对异常数据的攻击类型进行识别，因此不利于有效地识别和化解网络攻击行为。

综上所述，现有技术中尚缺乏一种有效的异常流量检测方案。

发明内容

本申请实施例提供了一种网络流量监控设备和异常流量检测方法，不仅可以识别出异常数据，还可以确定异常数据的攻击类型，有利于识别和化解网络攻击行为。

第一方面，本申请实施例提供了一种网络流量监控设备，包括网络接口、存储器和处理器；

所述网络接口，被配置为获取网络流量数据；

所述存储器，被配置为存储所述网络流量监控设备所使用的程序或数据；

所述处理器，被配置为若所述网络流量数据中包含异常数据，将所述异常数据输入攻击检测网络集合；所述攻击检测网络集合中包括至少一个攻击检测网络；根据所述攻击检测网络集合输出的检测结果，确定所述异常数据的攻击类型。

本申请实施例提供的网络流量监控设备，处理器在确定网络流量数据中包含异常数据之后，将异常数据输入攻击检测网络集合，根据攻击检测网络集合输出的检测结果，确定异常数据的攻击类型，不仅可以识别出异常数据，还可以确定异常数据的攻击类型，更有利于识别和化解网络攻击行为。

在一种可能的实现方式中，所述攻击检测网络集合中包括多个攻击检测网络，每个攻击检测网络用于检测至少一种攻击类型，每个攻击检测网络所检测的攻击类型互不相同；

所述处理器，还被配置为：将所述异常数据并行输入每个所述攻击检测网络。

该实施例提供的网络流量监控设备，可以通过多个攻击检测网络检测异常数据的攻击类型，每个攻击检测网络可以检测至少一种攻击类型，采用只检测一种攻击类型的攻击检测网络，可以提高检测的准确性；采用检测多种攻击类型的攻击检测网络，可以减少所使用的攻击检测网络的数量，节约计算资源。每个攻击检测网络所检测的攻击类型互不相同，避免对同一攻击类型进行重复检测，节约资源。将异常数据并行输入每个攻击检测网络，各个攻击检测网络同时对异常数据进行检测，可以提高检测效率，快速输出检测效果。

在一种可能的实现方式中，所述处理器，还被配置为：