[发明专利]一种攻击检测方法、装置及相关设备

权利要求书

1.一种攻击检测方法，其特征在于，包括：

获取目标主机的加密流量；

对所述加密流量进行行为特征提取，获得流量行为特征；其中，所述流量行为特征包括流量包数量和/或流量包大小和/或流量包时间；

基于历史流量行为特征对所述流量行为特征进行极值差异评估，得到评估值；其中，所述历史流量行为特征的时间长度大于所述流量行为特征的时间长度；

根据所述评估值确定所述目标主机是否被攻击。

2.根据权利要求1所述的攻击检测方法，其特征在于，所述获取目标主机的加密流量之前，还包括：

获取目标网络区域内所有主机在当前时间段内的流量数据；

将存在加密流量的流量数据所属的主机作为所述目标主机。

3.根据权利要求1所述的攻击检测方法，其特征在于，所述历史流量特征包括历史数据中加密流量包数量的最大值和/或历史数据中加密流量包长的最大值和/或历史数据中所有加密流量包的时间集合。

4.根据权利要求3所述的攻击检测方法，其特征在于，基于历史流量行为特征对所述流量行为特征进行极值差异评估，得到评估值，包括：

将所述流量行为特征的流量包数量与所述历史流量特征的加密流量包数量的最大值进行差异分值计算，获得数量的异常分值；

和/或将所述流量行为特征的流量包大小与所述历史流量特征的加密流量包长的最大值进行差异分值计算，获得大小的异常分值；

和/或将所述流量行为特征的流量包时间与所述历史流量特征的所有加密流量包的时间集合进行差异分值计算，获得时间的异常分值；

基于所述异常分值确定所述评估值。

5.根据权利要求1所述的攻击检测方法，其特征在于，基于历史流量行为特征对所述流量行为特征进行极值差异评估，得到评估值，包括：

将所述历史流量行为特征与所述流量行为特征分别进行向量化处理，得到历史流量行为特征向量和流量行为特征向量；

计算所述历史流量行为特征向量和所述流量行为特征向量的距离，得到作为所述评估值的距离数值。

6.根据权利要求1所述的攻击检测方法，其特征在于，基于历史流量行为特征对所述流量行为特征进行极值差异评估，得到评估值，包括：

利用人工智能特征评估模型对所述流量行为特征和所述历史流量行为特征进行分值评估，获得所述评估值。

7.根据权利要求1所述的攻击检测方法，其特征在于，根据所述评估值确定所述目标主机是否被攻击，包括：

当所述评估值大于预设阈值时，确定所述目标主机被攻击。

8.一种攻击检测装置，其特征在于，包括：

流量获取模块，用于获取目标主机的加密流量；

特征提取模块，用于对所述加密流量进行行为特征提取，获得流量行为特征；其中，所述流量行为特征包括流量包数量和/或流量包大小和/或流量包时间；

特征评估模块，用于基于历史流量行为特征对所述流量行为特征进行极值差异评估，得到评估值；其中，所述历史流量行为特征的时间长度大于所述流量行为特征的时间长度；

攻击判定模块，用于根据所述评估值确定所述目标主机是否被攻击。

9.一种攻击检测设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的攻击检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的攻击检测方法的步骤。