[发明专利]基于流量解析的网络攻击检测方法和系统

权利要求书

1.一种基于流量解析的网络攻击检测方法，其特征在于，包括：

基于流量解析引擎对目标流量进行解析，得到解析日志；

根据黑名单和白名单匹配解析日志；

确定所述解析日志中存在与所述黑名单匹配的第一流量，则针对所述第一流量执行预设的防护措施；

确定所述解析日志中存在第三流量，则将所述第三流量添加至告警库；所述第三流量是指所述解析日志中第一流量和第二流量以外的流量；所述第二流量是指与所述白名单匹配的第二流量；

所述黑名单和/或所述白名单的至少一部分是通过推荐模型获得的；所述推荐模型是以历史告警库为输入，得到流量和流量性质间映射关系的模型；所述流量性质包括攻击流量和/或信任流量；所述黑名单中流量的流量性质为攻击流量；所述白名单中流量的流量性质为信任流量。

2.根据权利要求1所述的基于流量解析的网络攻击检测方法，其特征在于，所述流量性质还包括未知流量；

在所述确定所述解析日志中存在第三流量，则将所述第三流量添加至告警库的步骤后，所述基于流量解析的网络攻击检测方法还包括：

接收所述第三流量的流量性质，并：

针对流量性质为攻击流量的所述第三流量执行预设的防护措施；和/或，

针对流量性质为未知流量的所述第三流量添加标记、执行预设的监测操作。

3.根据权利要求1所述的基于流量解析的网络攻击检测方法，其特征在于，所述推荐模型为基于神经网络的模型；所述推荐模型的输入量包括历史告警库和历史告警库中流量的流量性质真值。

4.根据权利要求1所述的基于流量解析的网络攻击检测方法，其特征在于，所述推荐模型为基于统计分析的模型，包括如下任一者或任多者组合：

基于时间维度统计所述历史告警库中的流量，将不满足设定时刻、设定时段或者设定时间规律的流量解析为攻击流量的时间统计子模型；

基于次数维度统计所述历史告警库中的流量，将超出设定次数阈值或频率阈值的流量解析为攻击流量的次数统计子模型；

将设定时段内满足设定的安全条件的流量解析为信任流量的信任子模型。

5.根据权利要求1所述的基于流量解析的网络攻击检测方法，其特征在于，所述推荐模型为基于关联分析的模型，包括根据至少两个流量请求间的关联，将满足设定的关联异常条件的流量解析为攻击流量的模型。

6.根据权利要求1至5中任一项所述的基于流量解析的网络攻击检测方法，其特征在于，所述黑名单包括具有设定权限的设备接收或发送的、不满足所述权限的流量。

7.根据权利要求1至5中任一项所述的基于流量解析的网络攻击检测方法，其特征在于，所述白名单包括访问条件相似度大于设定阈值的流量和/或数据包中包括安全校验信息的流量；

所述访问条件包括源ip、目的ip、源端口、目的端口以及传输层协议；所述安全校验信息是源设备与目的设备间预先约定的字符串或标志位。

8.一种基于流量解析的网络攻击检测系统，其特征在于，包括：

解析模块，用于基于流量解析引擎对目标流量进行解析，得到解析日志；

匹配模块，用于根据黑名单和白名单匹配解析日志；

防护模块，用于确定所述解析日志中存在与所述黑名单匹配的第一流量，则针对所述第一流量执行预设的防护措施；

告警模块，用于确定所述解析日志中存在第三流量，则将所述第三流量添加至告警库；所述第三流量是指所述解析日志中第一流量和第二流量以外的流量；所述第二流量是指与所述白名单匹配的第二流量；

所述黑名单和/或所述白名单的至少一部分是通过推荐模型获得的；所述推荐模型是以历史告警库为输入，得到流量和流量性质间映射关系的模型；所述流量性质包括攻击流量和/或信任流量；所述黑名单中流量的流量性质为攻击流量；所述白名单中流量的流量性质为信任流量。