[发明专利]一种网络攻击检测方法及装置

说明书

本申请涉及网络安全技术领域，特别涉及一种网络攻击检测方法及装置。该方法包括：基于收集到的样本数据中各样本的生成时间，统计负样本数量为正样本数量的N倍的时间点，并将生成时间为该时间点之前的样本作为目标样本；基于目标样本中各维度特征的特征值随时间变化的趋势，确定各维度特征中每一特征维度分别对应的理想攻击时间点，得到每一维度特征分别对应的时间周期；分别提取各IP在各时间周期内各维度特征的第一特征值，以及所有IP在各时间周期内各维度特征的第二特征值，并将各IP对应的第一特征值和第二特征值作为该IP对应的样本特征向量；采用各IP分别对应的样本特征向量对预设分类模型进行分类训练，得到训练完成的分类模型。

技术领域

本申请涉及网络安全技术领域，特别涉及一种网络攻击检测方法及装置。

背景技术

随着信息技术的不断发展，计算机的不断普及，互联网的安全问题也日益彰显。挑战黑洞(ChallengeCollapsar，CC)攻击就是其中最常见的网页攻击方式之一，其原理是对一些消耗资源较高的页面不断的发起请求，以消耗服务器资源，导致Web应用访问速度慢甚至造成服务器无法正常连接。其特点是攻击源IP很分散但又是真实的，而其数据包又是正常的请求行为，所以无法通过数据包本身检测出是CC攻击。在安全防护中，对它的防御措施必不可少。

目前，通常采用人工智能(如，机器学习)的方式进行CC攻击的防护，如，收集正常访问行为和CC攻击行为的日志，对收集到的日志进行统计处理，形成样本特征，基于样本特征训练分类算法模型，采用训练完成的分类算法模型对生产环境的访问行为进行检测，得到检测结果。目前基于机器学习的CC攻击检测方法，对IP行为建模周期不精确，未针对性的考虑每一维度特征的特点，从而可能造成抽取出的样本特征不准确，进而造成检测结果不精确。

发明内容

本申请实施例提供了一种网络攻击检测方法及装置，用以解决现有技术中存在的检测结果不精确的问题。

本申请实施例提供的具体技术方案如下：

第一方面，本申请提供了一种网络攻击检测方法，所述方法包括：

基于收集到的样本数据中各样本的生成时间，统计负样本数量为正样本数量的N倍的时间点，并将生成时间为所述时间点之前的样本作为目标样本；

基于所述目标样本中各维度特征的特征值随时间变化的趋势，确定所述各维度特征中每一特征维度分别对应的理想攻击时间点，得到每一维度特征分别对应的时间周期；

分别提取各IP在各时间周期内各维度特征的第一特征值，以及所有IP在各时间周期内各维度特征的第二特征值，并将各IP对应的第一特征值和第二特征值作为该IP对应的样本特征向量；

采用各IP分别对应的样本特征向量对预设分类模型进行分类训练，得到训练完成的分类模型；

采用所述训练完成的分类模型对网络访问行为进行检测。

可选地，所述各维度特征包括访问次数，访问的URL的数量，请求数据源的大小。

可选地，所述基于所述目标样本中各维度特征的特征值随时间变化的趋势，确定所述各维度特征中每一特征维度分别对应的理想攻击时间点，得到每一维度特征分别对应的时间周期的步骤包括：

在维度特征为访问次数时，基于所述目标样本中各样本的生成时间，以秒为单位分别统计所述目标样本中访问次数的累加值，并确定出访问次数变化速度最快的第一时间点，以及将该第一时间点作为访问次数对应的理想攻击时间点，得到访问次数对应的第一时间周期T1；

在维度特征为访问的URL数量时，基于所述目标样本中各样本的生成时间，以秒为单位分别统计所述目标样本中访问的URL数量的累加值，并确定出访问的URL数量变化速度最快的第二时间点，以及将该第二时间点作为访问的URL数量对应的理想攻击时间点，得到访问的URL数量对应的第二时间周期T2；