[发明专利]一种攻击检测方法、装置及相关设备

说明书

本申请公开了一种攻击检测方法，包括：获取目标主机的加密流量；对加密流量进行行为特征提取，获得流量行为特征；其中，流量行为特征包括流量包数量和/或流量包大小和/或流量包时间；基于历史流量行为特征对流量行为特征进行极值差异评估，得到评估值；其中，历史流量行为特征的时间长度大于流量行为特征的时间长度；根据评估值确定目标主机是否被攻击。应用本申请所提供的技术方案，根据历史流量行为特征和加密流量的特征信息检测出恶意的加密流量，进而检出失陷主机，能够充分利用异常的特征信息检测出更多的恶意加密流量。本申请还公开了一种攻击检测装置、设备及计算机可读存储介质，均具上述有益效果。

技术领域

本申请涉及计算机安全技术领域，特别涉及一种攻击检测方法，还涉及一种攻击检测装置、设备及计算机可读存储介质。

背景技术

随着SSL(Secure Sockets Layer，安全套接层)/TLS(Transport Layer SecurityProtocol，安全传输层协议)加密技术在互联网上的普及，越来越多的恶意软件也使用SSL/TLS加密方式传输数据。然而，现在存在的检测恶意加密流量的技术都是基于解密后的解析规则来实现的，不仅存在泛化能力弱、召回率低、漏检等问题，还会消耗大量的资源，成本很高，同时也违反了加密的初衷，解密过程会受到隐私保护相关法律法规的严格限制。

因此，如何实现加密攻击数据的精准检测，同时降低检测成本是本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种攻击检测方法，该攻击检测方法可以实现加密攻击数据的精准检测，同时降低检测成本；本申请的另一目的是提供一种攻击检测装置、设备及计算机可读存储介质，均具有上述有益效果。

第一方面，本申请提供了一种攻击检测方法，包括：

获取目标主机的加密流量；

对所述加密流量进行行为特征提取，获得流量行为特征；其中，所述流量行为特征包括流量包数量和/或流量包大小和/或流量包时间；

基于历史流量行为特征对所述流量行为特征进行极值差异评估，得到评估值；其中，所述历史流量行为特征的时间长度大于所述流量行为特征的时间长度；

根据所述评估值确定所述目标主机是否被攻击。

可选的，所述获取目标主机的加密流量之前，还包括：

获取目标网络区域内所有主机在当前时间段内的流量数据；

将存在加密流量的流量数据所属的主机作为所述目标主机。

可选的，所述历史流量特征包括历史数据中加密流量包数量的最大值和/或历史数据中加密流量包长的最大值和/或历史数据中所有加密流量包的时间集合。

可选的，基于历史流量行为特征对所述流量行为特征进行极值差异评估，得到评估值，包括：

将所述流量行为特征的流量包数量与所述历史流量特征的加密流量包数量的最大值进行差异分值计算，获得数量的异常分值；

和/或将所述流量行为特征的流量包大小与所述历史流量特征的加密流量包长的最大值进行差异分值计算，获得大小的异常分值；

和/或将所述流量行为特征的流量包时间与所述历史流量特征的所有加密流量包的时间集合进行差异分值计算，获得时间的异常分值；

基于所述异常分值确定所述评估值。

可选的，基于历史流量行为特征对所述流量行为特征进行极值差异评估，得到评估值，包括：

将所述历史流量行为特征与所述流量行为特征分别进行向量化处理，得到历史流量行为特征向量和流量行为特征向量；