[发明专利]一种网络攻击检测方法及装置

权利要求书

1.一种网络攻击检测方法，其特征在于，所述方法包括：

基于收集到的样本数据中各样本的生成时间，统计负样本数量为正样本数量的N倍的时间点，并将生成时间为所述时间点之前的样本作为目标样本；

基于所述目标样本中各维度特征的特征值随时间变化的趋势，确定所述各维度特征中每一特征维度分别对应的理想攻击时间点，根据该时间点以及样本数据中最早样本的生成时间，得到每一维度特征分别对应的时间周期；

分别提取各IP在各时间周期内各维度特征的第一特征值，以及所有IP在各时间周期内各维度特征的第二特征值，并将各IP对应的第一特征值和第二特征值作为该IP对应的样本特征向量；

采用各IP分别对应的样本特征向量对预设分类模型进行分类训练，得到训练完成的分类模型；

采用所述训练完成的分类模型对网络访问行为进行检测。

2.如权利要求1所述的方法，其特征在于，所述各维度特征包括访问次数，访问的URL的数量，请求数据源的大小。

3.如权利要求1或2所述的方法，其特征在于，所述基于所述目标样本中各维度特征的特征值随时间变化的趋势，确定所述各维度特征中每一特征维度分别对应的理想攻击时间点，得到每一维度特征分别对应的时间周期的步骤包括：

在维度特征为访问次数时，基于所述目标样本中各样本的生成时间，以秒为单位分别统计所述目标样本中访问次数的累加值，并确定出访问次数变化速度最快的第一时间点，以及将该第一时间点作为访问次数对应的理想攻击时间点，得到访问次数对应的第一时间周期T1；

在维度特征为访问的URL数量时，基于所述目标样本中各样本的生成时间，以秒为单位分别统计所述目标样本中访问的URL数量的累加值，并确定出访问的URL数量变化速度最快的第二时间点，以及将该第二时间点作为访问的URL数量对应的理想攻击时间点，得到访问的URL数量对应的第二时间周期T2；

在维度特征为请求数据源的大小时，基于所述目标样本中各样本的生成时间，以秒为单位分别统计所述目标样本中请求数据源的大小的累加值，并确定出请求数据源的大小变化速度最快的第三时间点，以及将该第三时间点作为请求数据源的大小对应的理想攻击时间点，得到请求数据源的大小对应的第三时间周期T3。

4.如权利要求3所述的方法，其特征在于，所述分别提取各IP在各时间周期内各维度特征的第一特征值，以及所有IP在各时间周期内各维度特征的第二特征值，并将各IP对应的第一特征值和第二特征值作为该IP对应的样本特征向量的步骤包括：

针对所述目标样本包含的每一IP，分别执行以下操作：提取该IP在第一时间周期T1，第二时间周期T2和第三时间周期T3内的访问次数，访问的URL数量和请求的数据大小；

提取所述目标样本包含的所有IP在第一时间周期T1，第二时间周期T2和第三时间周期T3内的平均访问次数，平均访问的URL数量和平均请求的数据大小；

将任一IP对应的在第一时间周期T1，第二时间周期T2和第三时间周期T3内的访问次数，访问的URL数量和请求的数据大小和所有IP在第一时间周期T1，第二时间周期T2和第三时间周期T3内的平均访问次数，平均访问的URL数量和平均请求的数据大小作为该任一IP对应的样本特征向量。

5.一种网络攻击检测装置，其特征在于，所述装置包括：

统计单元，用于基于收集到的样本数据中各样本的生成时间，统计负样本数量为正样本数量的N倍的时间点，并将生成时间为所述时间点之前的样本作为目标样本；

确定单元，用于基于所述目标样本中各维度特征的特征值随时间变化的趋势，确定所述各维度特征中每一特征维度分别对应的理想攻击时间点，根据该时间点以及样本数据中最早样本的生成时间，得到每一维度特征分别对应的时间周期；

提取单元，用于分别提取各IP在各时间周期内各维度特征的第一特征值，以及所有IP在各时间周期内各维度特征的第二特征值，并将各IP对应的第一特征值和第二特征值作为该IP对应的样本特征向量；

训练单元，用于采用各IP分别对应的样本特征向量对预设分类模型进行分类训练，得到训练完成的分类模型；

检测单元，用于采用所述训练完成的分类模型对网络访问行为进行检测。