[发明专利]异常攻击行为检测方法、装置、设备及存储介质

说明书

本发明实施例公开了一种异常攻击行为检测方法、装置、设备及存储介质。该方法包括：实时采集网络流数据，并间隔固定周期统计所述网络流数据的流量特征；如果统计特征值超出特征期望范围，则获取固定周期时间段内的异常网络流数据；将所述异常网络流数据输入至预先训练的攻击检测模型中，并将所述攻击检测模型输出的目标网络行为作为异常攻击行为；其中，所述攻击检测模型通过计算不同时间窗口中的异常网络流数据之间的通信相似度，确定目标网络行为。本发明实施例的技术方案，实现有效检测出各种类型的异常攻击行为，提高异常攻击行为的检测准确率。

技术领域

本发明实施例涉及网络安全及机器学习技术领域，尤其涉及一种异常攻击行为检测方法、装置、设备及存储介质。

背景技术

如今，政府和企业同时面临着一个不断演变的网络威胁环境。网络攻击者能够通过窃取知识产权来直接获取利益，也可以入侵、窃取客户的个人金融信息，甚至直接加密文档后进行勒索，更有甚者破坏对方的服务以至国家的基础设施。

网络攻击已经对各类关键信息安全、基础设施安全造成巨大威胁，开展网络攻击防御工作刻不容缓。

发明内容

本发明提供一种异常攻击行为检测方法、装置、设备及存储介质，以实现有效检测出各种类型的异常攻击行为，提高异常攻击行为的检测准确率。

第一方面，本发明实施例提供了一种异常攻击行为检测方法，包括：

实时采集网络流数据，并间隔固定周期统计网络流数据的流量特征；

如果统计特征值超出特征期望范围，则获取固定周期时间段内的异常网络流数据；

将异常网络流数据输入至预先训练的攻击检测模型中，并将攻击检测模型输出的目标网络行为作为异常攻击行为；

其中，攻击检测模型通过计算不同时间窗口中的异常网络流数据之间的通信相似度，确定目标网络行为。

可选的，将异常网络流数据输入至预先训练的攻击检测模型中，并将攻击检测模型输出的目标网络行为作为异常攻击行为，包括：

将异常网络流数据输入至预先训练的攻击检测模型中，以通过攻击检测模型计算不同时间窗口中的异常网络流数据之间的通信相似度，并根据通信相似度将各时间窗口中的异常网络流数据映射到预设高维向量中，对高维向量进行异常分析确定目标异常网络流数据；

将攻击检测模型输出的与目标异常网络流数据对应的目标网络行为作为异常攻击行为。

可选的，通过攻击检测模型计算不同时间窗口中的异常网络流数据之间的通信相似度，包括：

通过攻击检测模型对各时间窗口中不同IP端口接收的异常网络流数据进行聚合；

通过攻击检测模型，根据聚合簇，计算同类型的不同IP地址之间的相似度以及不同类型的不同IP地址之间的匹配度；

通过攻击检测模型，根据不同IP地址之间的相似度以及匹配度计算不同时间窗口之间的通信相似度。

可选的，在将攻击检测模型输出的目标网络行为作为异常攻击行为之后，还包括：

对异常攻击行为对应的网络流数据进行解析，得到攻击行为特征；攻击行为特征包括：源IP地址、目的IP地址、协议类型、源IP端口以及目的IP端口；

根据攻击行为特征查询预设的攻击行为映射表，确定与异常攻击行为对应的异常攻击类型、攻击源以及攻击危险级别。

可选的，攻击检测模型采用孤立森林算法。

可选的，异常攻击行为包括APT攻击行为。

第二方面，本发明实施例还提供了一种异常攻击行为检测装置，包括：