網(wǎng)絡攻擊的檢測方法、裝置及系統(tǒng)的制作方法
【專利摘要】本申請公開了一種網(wǎng)絡攻擊的檢測方法和裝置���。本申請?zhí)峁┑木W(wǎng)絡攻擊的檢測方法包括:獲取并統(tǒng)計N個連續(xù)的統(tǒng)計周期內(nèi)的P個會話中每個會話的特征值���,得到第一統(tǒng)計結果,并根據(jù)第一統(tǒng)計結果判斷轉發(fā)設備所在的網(wǎng)絡是否被攻擊���。再獲取第一統(tǒng)計周期內(nèi)的Q個中每個會話的特征值�����,統(tǒng)計該Q個會話的特征值以及該P個會話中不屬于第二統(tǒng)計周期的會話的特征值����,得到第二統(tǒng)計結果,并根據(jù)第二統(tǒng)計結果判斷所述轉發(fā)設備所在的網(wǎng)絡是否被攻擊���。該網(wǎng)絡攻擊檢測方法和裝置有助于減小網(wǎng)絡偶然性波動對攻擊檢測結果的影響�����,提高網(wǎng)絡攻擊的檢測精度�����。
【專利說明】
網(wǎng)絡攻擊的檢測方法����、裝置及系統(tǒng)
技術領域
[0001]本申請涉及通信領域�,尤其涉及一種網(wǎng)絡攻擊的檢測方法、裝置及系統(tǒng)�?����!颈尘凹夹g】
[0002]網(wǎng)絡中轉發(fā)設備時刻會轉發(fā)大量的會話(英文sess1n)�。因此����,對這些會話的抽樣檢測,成為分析網(wǎng)絡是否受到攻擊的重要手段���。由于短時間的網(wǎng)絡攻擊就可能對網(wǎng)絡中的轉發(fā)設備的正常通信造成嚴重損害,因此需要對網(wǎng)絡中的會話進行高頻率的抽樣檢測���, 從而盡早發(fā)現(xiàn)網(wǎng)絡攻擊�。[〇〇〇3]但是��,短時間中對會話抽樣檢測獲得的結果如果出現(xiàn)異常���,難以區(qū)分該異常是由網(wǎng)絡攻擊造成的��,還是由于短時間內(nèi)偶然性數(shù)據(jù)波動造成的�����,導致攻擊檢測裝置很容易將網(wǎng)絡的偶然性波動誤判為網(wǎng)絡攻擊�����,網(wǎng)絡攻擊檢測的誤判率高����,精確度達不到用戶要求。
【發(fā)明內(nèi)容】
[0004]本申請?zhí)峁┝艘环N網(wǎng)絡攻擊的檢測方法��,用于降低網(wǎng)絡攻擊檢測中統(tǒng)計樣本不足造成的網(wǎng)絡攻擊誤判的概率�,提升網(wǎng)絡攻擊檢測的準確程度。
[0005]本申請第一方面提供了一種網(wǎng)絡攻擊的檢測方法����,包括:根據(jù)N個連續(xù)的統(tǒng)計周期內(nèi)來自轉發(fā)設備的P個會話的信息,獲取該P個會話中每個會話的特征值�。其中該中N個連續(xù)的統(tǒng)計周期中的最后一個統(tǒng)計周期的結束時刻為第一時刻,P為大于1的整數(shù)��,N為大于1的整數(shù)����。統(tǒng)計該P個會話的特征值,得到第一統(tǒng)計結果�。根據(jù)第一統(tǒng)計結果���,判斷轉發(fā)設備所在的網(wǎng)絡是否被攻擊。根據(jù)第一統(tǒng)計周期內(nèi)來自所述轉發(fā)設備的Q個會話的信息����,獲取該Q個會話中每個會話的特征值。其中第一統(tǒng)計周期的起始時刻為所述第一時刻���,所述Q為大于或等于1的整數(shù)�����。統(tǒng)計所述Q個會話的所述特征值�,以及所述P個會話中不屬于第二統(tǒng)計周期的一個或多個會話的所述特征值���,得到第二統(tǒng)計結果,第二統(tǒng)計周期為該N個連續(xù)的統(tǒng)計周期中的第一個統(tǒng)計周期����。根據(jù)第二統(tǒng)計結果,判斷所述轉發(fā)設備所在的網(wǎng)絡是否被攻擊���。
[0006]通過對連續(xù)的N個統(tǒng)計周期內(nèi)獲取的特征值進行統(tǒng)計���,在保證了統(tǒng)計周期較短的情況下��,增大了每次統(tǒng)計時的樣本個數(shù)���,有效的減小了網(wǎng)絡偶然性波動對攻擊檢測結果的影響,提高了網(wǎng)絡攻擊的檢測精度�����。[〇〇〇7]可選的�,第一統(tǒng)計周期由M個采樣周期組成,M為大于1的整數(shù)���。攻擊檢測裝置具體通過如下方式獲取該Q個會話中每個會話的特征值:在該M個采樣周期中的每個采樣周期內(nèi)����,接收來自轉發(fā)設備的一個或多個會話信息�,該M個采樣周期內(nèi)所接收到的會話的信息即為該Q個會話的信息。根據(jù)該Q個會話的信息��,獲取該Q個會話中每個會話的特征值�����。[〇〇〇8]通過將一個統(tǒng)計周期劃分為多個采樣周期,在每個采樣周期中獲取一次會話的信息���,可以為攻擊檢測裝置根據(jù)網(wǎng)絡中需求變化而縮短統(tǒng)計周期提供了便利��。在攻擊檢測裝置需要縮短統(tǒng)計周期時��,無需再與轉發(fā)設備進行協(xié)商�。
[0009]可選的����,該Q個會話中包括第一會話,第一會話為長時會話���,持續(xù)的時長大于第一統(tǒng)計周期的時長���。
[0010]可選的���,該N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期的時長相等�,且第一統(tǒng)計周期的時長與該N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期的時長相等���。
[0011]可選的�����,每個會話的特征值包括每個會話的流量大小�、會話的平均報文長度、會話終結原因���、會話持續(xù)時間����、會話中最大報文的長度��、會話中最小報文的長度或者會話的五元組信息中的一項或多項��。
[0012]可選的���,所述第一統(tǒng)計結果為所述P個會話的所述特征值的平均值���、方差、標準差�����、 基尼系數(shù)、信息熵�、向量和、向量積或卷積中的一項或多項�����。
[0013]可選的����,所述第二統(tǒng)計結果為所述Q個會話的所述特征值的平均值、方差��、標準差��、 基尼系數(shù)�����、信息熵�、向量和、向量積或卷積中的一項或多項����。
[0014]可選的,攻擊檢測裝置可以將第一統(tǒng)計結果以及第二統(tǒng)計結果與預設的參考結果進行比較���,以判斷轉發(fā)設備所在的網(wǎng)絡是否存在攻擊���。
[0015]本發(fā)明第二方面提供了一種攻擊檢測裝置,包括:獲取模塊���,用于根據(jù)N個連續(xù)的統(tǒng)計周期內(nèi)來自轉發(fā)設備的P個會話的信息�����,獲取所述P個會話中每個會話的特征值����,該N個連續(xù)的統(tǒng)計周期中的最后一個統(tǒng)計周期的結束時刻為第一時刻�����,P為大于1的整數(shù)����,N為大于 1的整數(shù)。統(tǒng)計模塊����,用于統(tǒng)計所述獲取模塊獲取的所述P個會話的所述特征值,得到第一統(tǒng)計結果。判斷模塊��,用于根據(jù)所述統(tǒng)計模塊得到的第一統(tǒng)計結果�����,判斷所述轉發(fā)設備所在的網(wǎng)絡是否被攻擊�。所述獲取模塊,還用于根據(jù)第一統(tǒng)計周期內(nèi)來自所述轉發(fā)設備的Q個會話的信息����,獲取該Q個會話中每個會話的特征值,所述第一統(tǒng)計周期的起始時刻為所述第一時刻�����,Q為大于或等于1的整數(shù)�。所述統(tǒng)計模塊,還用于統(tǒng)計所述獲取模塊獲取的該Q個會話的特征值�����,以及該P個會話中不屬于第二統(tǒng)計周期的一個或多個會話的特征值���,得到第二統(tǒng)計結果�。第二統(tǒng)計周期為所述N個連續(xù)的統(tǒng)計周期中的第一個統(tǒng)計周期。所述判斷模塊�����,還用于根據(jù)所述統(tǒng)計模塊得到的第二統(tǒng)計結果�,判斷轉發(fā)設備所在的網(wǎng)絡是否被攻擊�����。
[0016]可選的�,第一統(tǒng)計周期由M個采樣周期組成,M為大于1的整數(shù)���。獲取模塊具體用于: 在所述M個采樣周期中的每個采樣周期內(nèi)����,接收來自所述轉發(fā)設備的一個或多個會話的信息��,所述M個采樣周期內(nèi)接收的會話的信息為所述Q個會話的信息�。根據(jù)所述Q個會話的信息,獲取所述Q個會話中每個會話的特征值�。
[0017]可選的,該Q個會話中包括第一會話����,該第一會話持續(xù)的時長大于所述第一統(tǒng)計周期的時長����。
[0018]可選的����,該N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期的時長相等,該第一統(tǒng)計周期的時長與所述N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期的時長相等���。
[0019]可選的��,每個會話的特征值包括所述每個會話的流量大小�����、會話的平均報文長度���、 會話終結原因、會話持續(xù)時間�、會話中最大報文的長度、會話中最小報文的長度或者會話的五元組信息中的一項或多項��。
[0020]可選的�����,所述第一統(tǒng)計結果為所述P個會話的所述特征值的平均值、方差��、標準差��、 基尼系數(shù)���、信息熵、向量和�����、向量積或卷積中的一項或多項�。
[0021]可選的,所述第二統(tǒng)計結果為所述Q個會話的所述特征值的平均值����、方差、標準差�、 基尼系數(shù)、信息熵��、向量和�、向量積或卷積中的一項或多項���。[〇〇22]本申請的第三方面提供了另一種攻擊檢測裝置,包括處理器以及通信接口���。
[0023]其中��,所述通信接口用于:接收N個連續(xù)的統(tǒng)計周期內(nèi)來自轉發(fā)設備的P個會話的信息�����,以及接收第一周期內(nèi)來自轉發(fā)設備的Q個會話的信息����。[〇〇24] 所述處理器用于執(zhí)行以下操作:
[0025]根據(jù)所述通信接口接收的該N個連續(xù)的統(tǒng)計周期內(nèi)來自轉發(fā)設備的P個會話的信息����,獲取所述P個會話中每個會話的特征值,所述N個連續(xù)的統(tǒng)計周期中的最后一個統(tǒng)計周期的結束時刻為第一時刻��,所述P為大于1的整數(shù)��,所述N為大于1的整數(shù)�;
[0026]統(tǒng)計所述P個會話的所述特征值,得到第一統(tǒng)計結果����;
[0027]根據(jù)所述第一統(tǒng)計結果����,判斷所述轉發(fā)設備所在的網(wǎng)絡是否被攻擊���;
[0028]根據(jù)所述通信接口接收的所述第一統(tǒng)計周期內(nèi)來自所述轉發(fā)設備的Q個會話的信息��,獲取所述Q個會話中每個會話的特征值��,所述第一統(tǒng)計周期的起始時刻為所述第一時亥IJ,所述Q為大于或等于1的整數(shù)��;
[0029]統(tǒng)計所述Q個會話的所述特征值��,以及所述P個會話中不屬于第二統(tǒng)計周期的一個或多個會話的所述特征值�����,得到第二統(tǒng)計結果��,所述第二統(tǒng)計周期為所述N個連續(xù)的統(tǒng)計周期中的第一個統(tǒng)計周期���;
[0030]根據(jù)所述第二統(tǒng)計結果��,判斷所述轉發(fā)設備所在的網(wǎng)絡是否被攻擊���。
[0031]本發(fā)明的第四方面提供了一種攻擊檢測系統(tǒng)����,包括實時子系統(tǒng)和離線子系統(tǒng)�。其中,實時子系統(tǒng)包括如本申請第二方面或第三方面所述的第一攻擊檢測裝置�����,離線子系統(tǒng)包括如本申請第二方面或第三方面所述的第二攻擊檢測裝置���。所述實時子系統(tǒng)具體用于根據(jù)第一攻擊檢測裝置對網(wǎng)絡是否被攻擊的判斷結果��,對網(wǎng)絡中的攻擊進行實時攔截;所述離線子系統(tǒng)具體用于根據(jù)第二攻擊檢測裝置對網(wǎng)絡是否被攻擊的判斷結果�����,生成告警信息和/或日志信息�����?����!靖綀D說明】
[0032]圖1為本申請實施例提供的一種可用系統(tǒng)架構圖����;
[0033]圖2(a)為本申請實施例提供的一種攻擊檢測裝置的結構圖;
[0034]圖2(b)為本申請實施例提供的一種攻擊檢測系統(tǒng)的功能層級示意圖�;
[0035]圖2(c)為本申請實施例提供的另一種攻擊檢測系統(tǒng)的功能層級示意圖;
[0036]圖3(a)為本申請實施例提供的一種網(wǎng)絡攻擊的檢測方法的流程圖��;[〇〇37]圖3(b)為圖3(a)實施例中N+1個連續(xù)的統(tǒng)計周期的示意圖���;[〇〇38]圖4為本申請實施例提供的另一種攻擊檢測裝置的結構圖���?����!揪唧w實施方式】
[0039]本申請?zhí)峁┝艘环N網(wǎng)絡攻擊的檢測方法����,用于降低網(wǎng)絡攻擊檢測中統(tǒng)計樣本不足造成的網(wǎng)絡攻擊誤判的概率,提升網(wǎng)絡攻擊檢測的準確程度。本申請還提供了相關的攻擊檢測裝置����,以下將分別進行描述。
[0040]本申請實施例中���,會話指的是在一個不中斷的特定操作時間內(nèi)����,網(wǎng)絡中兩個設備之間的通信交互���。在一個會話期間���,兩個設備之間相互傳輸?shù)乃袌笪亩紝儆谠摃挕?br>[0041]在“會話”的一種示例中,在第一設備和第二設備之間通信的報文是傳輸控制協(xié)議 (英文〖Transmiss1n Control Protocol;縮寫:TCP)報文的情況下����,或者在第一設備和第二設備之間通信的報文是用戶數(shù)據(jù)報協(xié)議(英文:User Datagram Protocol;縮寫:UDP)報文的情況下,該TCP報文或UDP報文中攜帶五元組信息�����。同一個會話的多個報文的五元組信息相匹配���。即�����,第一設備給第二設備發(fā)送的報文所攜帶的五元組信息中��,源IP地址是第一設備的IP地址����,源端口號是第一設備的端口號,目的IP地址是第二設備的IP地址���,目的端口號是第二設備的端口號�����;第二設備給第一設備發(fā)送的報文所攜帶的五元組信息中�,源IP地址是第二設備的IP地址�,源端口號是第二設備的端口號,目的IP地址是第一設備的IP地址�����,目的端口號是第一設備的端口號;兩個設備之間相互發(fā)送的報文所采用的傳輸層協(xié)議號都相同�。這些報文都屬于同一個TCP/UDP會話。[〇〇42]在“會話”的另一種示例中�����,在第一設備和第二設備之間通信的報文不是TCP報文或UDP報文的情況下�����,例如在第一設備和第二設備之間通信的報文是因特網(wǎng)控制消息協(xié)議 (英文:Internet Control Message Protocol;縮寫:ICMP)報文的情況下�����,也可以認為二元組信息相匹配的多個報文屬于同一個會話的報文���。即��,第一設備給第二設備發(fā)送的報文所攜帶的二元組信息中���,源IP地址是第一設備的IP地址,目的IP地址是第二設備的IP地址;第二設備給第一設備發(fā)送的報文所攜帶的二元組信息中���,源IP地址是第二設備的IP地址,目的IP地址是第一設備的IP地址;兩個設備之間相互發(fā)送的報文所采用的傳輸層協(xié)議號都相同�。這些報文都屬于同一個ICMP會話�����。[0〇43]本申請中���,會話的特征值是指用于描述會話的特征(英文:feature)的值���。所述特征值可以是表示大小的數(shù)值,也可以是用于描述會話特征的其他信息���。舉例來說�,會話的特征值可以包括會話中流量大小�、會話的平均報文長度、會話終結原因����、會話持續(xù)時間、會話中最大報文的長度�����、會話中最小報文的長度���、會話中報文的五元組信息中的一項或多項����。在會話為TCP會話的示例中���,會話的特征值還可以是TCP會話中某個標志位的值等于1的報文的個數(shù)���。
[0044]圖1是本申請?zhí)峁┑囊环N可用的系統(tǒng)架構圖。其中�,網(wǎng)絡中可以包括多個轉發(fā)設備,如轉發(fā)設備101����、轉發(fā)設備102以及轉發(fā)設備103。每個轉發(fā)設備均可以是路由器�����、交換機�、防火墻、分組傳送網(wǎng)設備��、波分復用設備��、光傳送網(wǎng)設備����、基站或者基站控制器��。轉發(fā)設備用于轉發(fā)網(wǎng)絡中的報文�����,每個報文可以被歸屬于一個會話���。轉發(fā)設備在轉發(fā)這些會話的報文的過程中,按照預先設置的規(guī)則對會話進行抽樣�����,并獲取被抽樣的會話的信息�。
[0045]攻擊檢測裝置104,用于與互聯(lián)網(wǎng)絡中的一個或多個轉發(fā)設備耦合,本申請實施例中����,攻擊檢測裝置104可以是獨立的物理設備,如服務器等����。攻擊檢測裝置104還可以是部署在物理設備上的功能模塊。攻擊檢測裝置104還可以是若干物理設備組成的集群���。
[0046]攻擊檢測裝置104用于獲取來自轉發(fā)設備的會話的信息���,并根據(jù)這些會話的信息獲取每個會話的特征值,并根據(jù)對會話特征值的統(tǒng)計結果�,判斷該轉發(fā)設備所在的網(wǎng)絡是否被攻擊。例如���,攻擊檢測裝置104與轉發(fā)設備103耦合��,獲取轉發(fā)設備103轉發(fā)的多個會話的信息���,并根據(jù)這些會話的特征值的統(tǒng)計結果,判斷轉發(fā)設備103所在的網(wǎng)絡是否被攻擊���。
[0047]舉例來說��,攻擊檢測裝置104可以接收轉發(fā)設備103轉發(fā)的會話的信息���,然后根據(jù)會話的信息確定會話的特征值。當然���,攻擊檢測裝置104也可以分別接收轉發(fā)設備101��,轉發(fā)設備102和轉發(fā)設備103的會話的信息����。為敘述方便,下面僅以攻擊檢測裝置104接收轉發(fā)設備103的會話的信息為例進行說明�����。舉例來說���,會話的信息可以是轉發(fā)設備103在接收到會話時���,鏡像該會話中的報文保存在所述轉發(fā)設備103中,隨后再從鏡像的報文中獲取的�;也可以是轉發(fā)設備103在轉發(fā)過程中直接獲取的。轉發(fā)設備在獲取了網(wǎng)絡中會話的信息后���,可以根據(jù)預先建立的連接將該會話的信息發(fā)送給攻擊檢測裝置104,使得攻擊檢測裝置104獲取到網(wǎng)絡中的會話的信息��。會話的信息具體形式可以為IPFIX數(shù)據(jù)的形式���,也可以為 NetFlow數(shù)據(jù)的形式,也可以是轉發(fā)設備103或攻擊檢測裝置104均可以支持的其它形式,此處不做限定����。會話的信息中可以攜帶很多參數(shù),如會話的會話標識����、源/目的IP地址、源/目的端口�����、協(xié)議類型���、服務類型、流量大小等方方面面的參數(shù)����,這些參數(shù)中可以直接包括該會話的特征值,或者會話的信息包括了用于計算出會話的特征值的數(shù)據(jù)��。
[0048]會話的信息可以由轉發(fā)設備103主動上報給攻擊檢測裝置104���。也可以向轉發(fā)設備 103發(fā)送指示該轉發(fā)設備上報會話信息的指示���,主動獲取會話的信息�����。攻擊檢測裝置104獲取會話的信息的時間間隔稱為采樣周期���,攻擊檢測裝置104在每個采樣周期內(nèi)獲取一次來自轉發(fā)設備103的會話的信息。不同的采樣周期的時長可以相等也可以不等��。[〇〇49]攻擊檢測裝置104在每個統(tǒng)計周期內(nèi)對會話的特征值進行一次統(tǒng)計����。由于短時間的網(wǎng)絡攻擊就可能使網(wǎng)絡中的轉發(fā)設備的正常工作造成重大影響,因此�����,統(tǒng)計周期的時長需要選取得較短�����,從而在網(wǎng)絡被攻擊的情況下盡可能早的檢測出來����。
[0050]但是�,統(tǒng)計結果的準確性與用于的統(tǒng)計的會話的數(shù)量存在著一定的正相關��。例如�����, 轉發(fā)設備轉發(fā)的會話的數(shù)據(jù)量在短時間內(nèi)可能因偶然性而出現(xiàn)較大的波動����,導致統(tǒng)計結果也相應的出現(xiàn)較大波動。若攻擊檢測裝置104僅觀察當前統(tǒng)計周期內(nèi)獲取的會話的特征值�, 則很容易將網(wǎng)絡的偶然性波動誤認為網(wǎng)絡攻擊。
[0051]例如����,轉發(fā)設備可能會轉發(fā)一些長時會話����。長時會話是指持續(xù)時間較長的會話,例如持續(xù)時間大于一個或多個統(tǒng)計周期的會話���。如果轉發(fā)設備在長時會話結束后��,才將會話的信息發(fā)送給攻擊檢測裝置104,那么該長時會話將對會話結束時的統(tǒng)計周期的統(tǒng)計結果造成較大的影響��。如果會話的特征值是會話的數(shù)據(jù)流量����、會話包括的報文數(shù)等與會話中包括的數(shù)據(jù)量相關的值的情況下,由于長時會話通常包括的數(shù)據(jù)量較大���,會對該統(tǒng)計周期的統(tǒng)計結果造成明顯影響����,例如攻擊檢測裝置104可能會將包括一個或多個長時會話的特征值的統(tǒng)計結果誤認為網(wǎng)絡中存在攻擊�����。[〇〇52]為了解決上述問題����,本申請實施例將N個連續(xù)的統(tǒng)計周期作為一個時間窗。本申請實施例將當前最新的N個連續(xù)的統(tǒng)計周期����,作為當前最新的時間窗。每個統(tǒng)計周期中��,攻擊檢測裝置104在統(tǒng)計會話的特征值時����,不是對當前的統(tǒng)計周期內(nèi)獲取的會話的特征值進行統(tǒng)計�,而是對當前最新的時間窗內(nèi)獲取的會話的特征值進行統(tǒng)計��。通過對連續(xù)的N個統(tǒng)計周期內(nèi)獲取的會話的特征值進行統(tǒng)計��,增大了單次統(tǒng)計時的樣本個數(shù)���,能夠有效的均衡掉網(wǎng)絡的偶然性波動�,提高攻擊檢測結果的精度�����。
[0053]圖2(a)為本申請實施例提供的一種攻擊檢測裝置的結構示意圖����。圖1所示的攻擊檢測裝置104可以由圖2(a)所示的攻擊檢測裝置200來實現(xiàn)�����,攻擊檢測裝置200包括處理器 201�、存儲器202、通信接口 203����?�?蛇x的��,還包括總線204�����。處理器201���、存儲器202和通信接口 203可以通過總線204實現(xiàn)彼此之間的通信連接。當然�����,也可以通過無線傳輸?shù)绕渌侄螌崿F(xiàn)通信����。[〇〇54] 存儲器202可以包括易失性存儲器(英文volatile memory),例如隨機存取存儲器(英文:random-access memory��,縮寫:RAM);也可以包括非易失性存儲器(英文:nonvolatile memory) ���,例如只讀存儲器 (英文:read-〇nly memory ��,縮寫:ROM) �,快閃存儲器 (英文:flash memory),硬盤(英文:hard disk drive���,縮寫:HDD)或SSD;存儲器202還可以包括上述種類的存儲器的組合��。在通過軟件來實現(xiàn)本申請?zhí)峁┑募夹g方案時�,用于實現(xiàn)本申請圖3提供的攻擊檢測方法的程序代碼可以保存在存儲器202中�,并由處理器201來執(zhí)行。 [〇〇55]通信接口 203可以是可以是有線接口�,例如光纖分布式數(shù)據(jù)接口(英文:Fiber Distributed Data Interface,簡稱:FDDI)���、以太網(wǎng)(英文:Ethernet)接口�。通信接口203也可以是無線接口����,例如無線局域網(wǎng)接口。通信接口 203用于:接收N個連續(xù)的統(tǒng)計周期內(nèi)來自轉發(fā)設備的P個會話的信息����,以及接收第一周期內(nèi)來自轉發(fā)設備的Q個會話的信息����。
[0056] 處理器201可以為中央處理器(英文:central processing unit���,簡稱:CPU),硬件芯片或CPU和硬件芯片的組合�����。處理器201在運行時�,通過調(diào)用存儲器202的程序代碼,可以執(zhí)行如下步驟:[〇〇57]根據(jù)通信接口 203接收的所述N個連續(xù)的統(tǒng)計周期內(nèi)來自轉發(fā)設備的P個會話的信息�,獲取所述P個會話中每個會話的特征值,該N個連續(xù)的統(tǒng)計周期中的最后一個統(tǒng)計周期的結束時刻為第一時刻�����,P為大于1的整數(shù)���,N為大于1的整數(shù)�;[〇〇58]統(tǒng)計該P個會話的特征值��,得到第一統(tǒng)計結果���;
[0059]根據(jù)第一統(tǒng)計結果�,判斷轉發(fā)設備所在的網(wǎng)絡是否被攻擊;
[0060]根據(jù)通信接口 203接收的所述第一統(tǒng)計周期內(nèi)來自所述轉發(fā)設備的Q個會話的信息�����,獲取該Q個會話中每個會話的特征值�,該第一統(tǒng)計周期的起始時刻為該第一時刻,Q為大于或等于1的整數(shù)�;[〇〇61]統(tǒng)計該Q個會話的特征值,以及該P個會話中不屬于第二統(tǒng)計周期的一個或多個會話的特征值��,得到第二統(tǒng)計結果����,第二統(tǒng)計周期為該N個連續(xù)的統(tǒng)計周期中的第一個統(tǒng)計周期;
[0062]根據(jù)第二統(tǒng)計結果��,判斷所述轉發(fā)設備所在的網(wǎng)絡是否被攻擊�。[〇〇63] 可選的,第一統(tǒng)計周期由M個采樣周期組成���,處理器201在根據(jù)第一統(tǒng)計周期內(nèi)來自所述轉發(fā)設備的Q個會話的信息���,獲取該Q個會話中每個會話的特征值具體包括:在M個采樣周期中每個采樣周期內(nèi),通過通信接口 203接收來自所述轉發(fā)設備的一個或多個會話的信息,所述M個采樣周期內(nèi)接收的會話的信息為所述Q個會話的信息;根據(jù)通信接口 203獲取的該Q個會話的信息�����,獲取該Q個會話中每個會話的特征值�。
[0064]可選的�,該Q個會話中包括第一會話,第一會話持續(xù)的時長大于第一統(tǒng)計周期的時長�。
[0065]可選的,該N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期的時長相等���,且第一統(tǒng)計周期的時長與該N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期的時長相等����。
[0066]可選的����,每個會話的特征值包括每個會話的流量大小、會話中平均報文長度���、會話終結原因�、會話持續(xù)時間�����、會話中最大報文長度、會話中最小報文長度或者會話的五元組信息中的一項或多項����。
[0067]可選的,所述統(tǒng)計該P個會話的特征值�����,得到第一統(tǒng)計結果具體包括:統(tǒng)計該P個會話的所述特征值的平均值�����、方差或標準差�、基尼系數(shù)、信息熵���、向量和/積����、卷積中的一項或多項���,得到第一統(tǒng)計結果�����。
[0068]可選的�,攻擊檢測裝置200可以位于攻擊檢測系統(tǒng)210中。攻擊檢測系統(tǒng)210在功能上可以劃分為多個層級�,主要包括數(shù)據(jù)采集層�����、數(shù)據(jù)分析層�、數(shù)據(jù)呈現(xiàn)層和用戶感知層,詳情請參閱圖2(b)�����。其中�,數(shù)據(jù)采集層用于接收轉發(fā)設備轉發(fā)的會話的信息。數(shù)據(jù)分析層用于根據(jù)數(shù)據(jù)采集層獲取的會話的信息�,確定會話的特征值,對會話的特征值進行統(tǒng)計�,并根據(jù)統(tǒng)計結果判斷網(wǎng)絡是否被攻擊。數(shù)據(jù)呈現(xiàn)層用于實現(xiàn)商務智能(英文:Business Intelligence)功能�,如存儲檢測數(shù)據(jù),篩選呈現(xiàn)給用戶的數(shù)據(jù)等��。用戶感知層為用戶界面, 用于直接與用戶進行信息互動���。本申請?zhí)峁┑墓魴z測裝置主要用于實現(xiàn)攻擊檢測系統(tǒng)的數(shù)據(jù)分析層的功能�。
[0069]值得指出的是���,本申請中攻擊檢測系統(tǒng)210的各個層級�����,只是基于便于描述的目的所進行的功能劃分��。在實際應用中����,攻擊檢測系統(tǒng)的各個層級的功能均可以由相同的模塊或設備來實現(xiàn)�。攻擊檢測系統(tǒng)也可以不包括上述一個或多個層級,本申請不做限定����。只要攻擊檢測系統(tǒng)執(zhí)行了本申請?zhí)峁┑木W(wǎng)絡攻擊的檢測方法,就不超出本申請的保護范圍����。
[0070]在圖2(b)所示的功能層級的基礎上���,數(shù)據(jù)分析層可以進一步的劃分出兩個系統(tǒng): 實時子系統(tǒng)211和離線子系統(tǒng)212,具體的系統(tǒng)架構請參閱圖2(c)。其中��,實時子系統(tǒng)211可以由第一攻擊檢測裝置來實現(xiàn)�����,離線子系統(tǒng)212可以由第二攻擊檢測裝置來實現(xiàn)���,第一攻擊檢測裝置和第二攻擊檢測裝置均可以由圖2(a)所示的攻擊檢測裝置200實現(xiàn)。兩個子系統(tǒng)的區(qū)別在于:在執(zhí)行獲取會話的特征值的步驟時�����,實時子系統(tǒng)211僅確定少量的特征值����,故實時子系統(tǒng)211的計算量小、計算速度快����,能夠保證網(wǎng)絡攻擊檢測的實時性,適宜用于進行表層的網(wǎng)絡攻擊檢測�����。離線子系統(tǒng)212則確定大量的特征值,故離線子系統(tǒng)212計算量較大����、 計算速度慢,網(wǎng)絡攻擊的檢測結果往往需要滯后一段時間才能得到�,在用戶直觀上仿佛是 “離線”的網(wǎng)絡攻擊檢測。但離線子系統(tǒng)212統(tǒng)計的特征值更多���,故檢測結果更為精準��,適宜用于對未知的或隱藏較深的攻擊進行深度檢測��。本申請中�,攻擊檢測系統(tǒng)并行使用實時子系統(tǒng)211和離線子系統(tǒng)212,根據(jù)實時子系統(tǒng)211的攻擊檢測結果對網(wǎng)絡中的攻擊進行實時攔截��,根據(jù)離線子系統(tǒng)212的攻擊檢測結果生成告警信息�、日志信息或其它信息上報,以兼顧攻擊檢測的實時性和準確性��。
[0071]圖3(a)示出了本申請實施例提供的網(wǎng)絡攻擊檢測方法的流程圖�����。圖3(a)所述的攻擊檢測裝置,可以是圖1所示的攻擊檢測裝置104,可以是圖2(a)的攻擊檢測裝置200,還可以是圖2(b)或圖2(c)的攻擊檢測系統(tǒng)210����。圖3(a)所示的實施例中的轉發(fā)設備可以是圖1所示的轉發(fā)設備101?103中的一個或多個。所述網(wǎng)絡攻擊檢測方法包括以下步驟�����。[〇〇72]S301����、根據(jù)N個連續(xù)的統(tǒng)計周期內(nèi)來自轉發(fā)設備的P個會話的信息,獲取所述P個會話中每個會話的特征值�����,所述N個連續(xù)的統(tǒng)計周期中的最后一個統(tǒng)計周期的結束時刻為第一時刻�����,所述P為大于1的整數(shù)�,所述N為大于1的整數(shù)�。[〇〇73]S302、統(tǒng)計該P個會話的特征值�����,得到第一統(tǒng)計結果。[〇〇74]S303�����、根據(jù)第一統(tǒng)計結果���,判斷所述轉發(fā)設備所在的網(wǎng)絡是否被攻擊����。
[0075]S304���、根據(jù)第一統(tǒng)計周期內(nèi)來自所述轉發(fā)設備的Q個會話的信息���,獲取所述Q個會話中每個會話的特征值,所述第一統(tǒng)計周期的起始時刻為所述第一時刻�,所述Q為大于或等于1的整數(shù)。[〇〇76]S305���、統(tǒng)計該Q個會話的特征值��,以及該P個會話中不屬于第二統(tǒng)計周期的一個或多個會話的特征值���,得到第二統(tǒng)計結果�,所述第二統(tǒng)計周期為所述N個連續(xù)的統(tǒng)計周期中的第一個統(tǒng)計周期���。[〇〇77]S306�����、根據(jù)第二統(tǒng)計結果��,判斷所述轉發(fā)設備所在的網(wǎng)絡是否被攻擊���。
[0078]舉例來說,攻擊檢測裝置在每個統(tǒng)計周期內(nèi)一次或多次從轉發(fā)設備獲取會話的信息����,并在每個統(tǒng)計周期結束時對最近的N個連續(xù)的統(tǒng)計周期內(nèi)獲取的會話中�����,會話的特征值進行一次統(tǒng)計�����,根據(jù)統(tǒng)計結果判斷網(wǎng)絡是否被攻擊。[〇〇79]圖3(b)示出了圖3(a)實施例中���,N+1個連續(xù)的統(tǒng)計周期的示意圖����。該N+1個連續(xù)的統(tǒng)計周期依次為統(tǒng)計周期1���、統(tǒng)計周期2����、……統(tǒng)計周期N以及統(tǒng)計周期N+US301中“所述N個連續(xù)的統(tǒng)計周期中的最后一個統(tǒng)計周期的結束時刻為第一時刻”����,以及S304中“所述第一統(tǒng)計周期的起始時刻為所述第一時刻”,是指所述N個連續(xù)的統(tǒng)計周期中的最后一個周期與所述第一統(tǒng)計周期是兩個連續(xù)的統(tǒng)計周期����。因此,為敘述方便����,本實施例中,均以所述N個連續(xù)的統(tǒng)計周期中的最后一個統(tǒng)計周期為統(tǒng)計周期N,所述第一統(tǒng)計周期為統(tǒng)計周期N+1為例進行說明��。
[0080]舉例來說���,圖3(b)所示的每個統(tǒng)計周期中����,包括一個或多個采樣周期�。每個采樣周期,攻擊檢測裝置從轉發(fā)設備接收信息����,該信息包括轉發(fā)設備在該采樣周期內(nèi)采樣得到的會話的信息。因此���,每個統(tǒng)計周期都會從轉發(fā)設備中獲得若干個會話的信息����。例如�����,攻擊檢測裝置在統(tǒng)計周期1中從轉發(fā)設備獲取了 m個會話的信息��,在統(tǒng)計周期2從轉發(fā)設備獲取了 m2個會話的信息�,依次類推,在統(tǒng)計周期N從轉發(fā)設備獲取了施個會話的信息��。S301中�����,上述 nu到施之和等于P����。即,S301中����,所述P個會話,是圖3(b)所示的時間窗1中轉發(fā)設備采樣得到的會話���?�?蛇x的�����,如果每個統(tǒng)計周期獲取的會話的信息中��,會話數(shù)量都大于〇,則所述P為大于或等于N的整數(shù)��。
[0081]舉例來說���,攻擊檢測裝置在統(tǒng)計周期N結束時����,獲取到了全部P個會話的信息���,并在所述統(tǒng)計周期N結束時�����,執(zhí)行S302�。當然�����,S302只需在獲取到了全部P個會話的信息之后合理的時間范圍內(nèi)執(zhí)行����,均可以認為是在所述統(tǒng)計周期N結束時執(zhí)行的。
[0082]舉例來說����,S302中����,統(tǒng)計所述P個會話的所述特征值�,可以是對每個會話的特征值求和���,也可以是對每個會話的特征值進行更為復雜的運算��。例如�����,統(tǒng)計所述P個會話的所述特征值的平均值�、方差或標準差���、基尼系數(shù)��、信息熵���、向量和/積、卷積中的一項或多項��,得到所述第一統(tǒng)計結果。[〇〇83]舉例來說���,S303中�,攻擊檢測裝置可以將所述第一統(tǒng)計結果�,與預設的參考結果進行比較,如果所述第一統(tǒng)計結果與預設的參考結果之間的差異超過預設的條件�����,則確定所述轉發(fā)設備所在的網(wǎng)絡被攻擊���。所述參考結果可以是直接存儲在所述攻擊檢測裝置中的��, 也可以是攻擊檢測裝置根據(jù)此前的多次統(tǒng)計結果生成的�����。[〇〇84]舉例來說����,S304中所述的第一統(tǒng)計周期��,是圖3(b)所示的統(tǒng)計周期N+US304中�,攻擊檢測裝置獲取了統(tǒng)計周期N+1內(nèi)來自轉發(fā)設備的Q個會話的信息���。
[0085]具體來說,���,S305中所述的第二統(tǒng)計周期�����,是所述N個連續(xù)的統(tǒng)計周期中起始時刻最早的統(tǒng)計周期,也就是所述N個連續(xù)的統(tǒng)計周期中起始時刻距離所述第一時刻最遠的統(tǒng)計周期����。例如,所述第二統(tǒng)計周期可以是圖3(b)所示的統(tǒng)計周期1���。所述不屬于第二統(tǒng)計周期的一個或多個會話��,是指所述一個或多個會話的信息����,是攻擊檢測裝置在統(tǒng)計周期1之外的其他統(tǒng)計周期中從轉發(fā)設備接收的�。即,用于第二統(tǒng)計結果中包括的會話���,是所述Q個會話�����,以及所述P-nu個會話���,也就是圖3(b)中時間窗2中攻擊檢測裝置獲得信息的會話����。[〇〇86]舉例來說���,S305中對會話特征值進行統(tǒng)計的方式�,可以和S302中對會話特征值進行統(tǒng)計的方式相同�。
[0087]舉例來說,S306根據(jù)統(tǒng)計結果判斷網(wǎng)絡是否被攻擊的實現(xiàn)方式�����,與S303的具體實現(xiàn)方式相同��。
[0088]舉例來說�,攻擊檢測裝置在新的統(tǒng)計周期中根據(jù)當前最新時間窗內(nèi)來自轉發(fā)設備的會話的特征值,獲取統(tǒng)計結果。其中當前最新時間窗指的是當前最新的N個連續(xù)的統(tǒng)計周期�����,即距離當前時刻最接近的N個連續(xù)的統(tǒng)計周期����。舉例來說,對于統(tǒng)計周期N而言����,當前最新的時間窗是時間窗1;對于統(tǒng)計周期N+1而言��,當前最新的時間窗是時間窗2���。[〇〇89]可選的�,每個統(tǒng)計周期中可以包括多個采樣周期�,攻擊檢測裝置在每個采樣周期內(nèi),接收來自轉發(fā)設備的會話的信息���。舉例來說��,第一統(tǒng)計周期可以由M個采樣周期組成���,M 為大于1的整數(shù)�����。攻擊檢測裝置在該M個采樣周期中每個采樣周期內(nèi)�����,接收來自轉發(fā)設備的一個或多個會話的信息�����,在該M個采樣周期內(nèi)接收到的全部的會話的信息即為該Q個會話的信息���。攻擊檢測裝置根據(jù)該Q個會話的信息,獲取該Q個會話中每個會話的特征值���。[〇〇9〇]通過將一個統(tǒng)計周期劃分為多個采樣周期����,在每個采樣周期中獲取一次會話的信息�����,為攻擊檢測裝置根據(jù)網(wǎng)絡中需求變化而縮短統(tǒng)計周期提供了便利。在攻擊檢測裝置需要縮短統(tǒng)計周期時�����,無需再與轉發(fā)設備進行協(xié)商��。
[0091]舉例來說�����,所述Q個會話中包括第一會話�,所述第一會話持續(xù)的時長大于所述第一統(tǒng)計周期的時長。例如����,所述第一會話是圖1中所述的長時會話。具體來說�����,長時會話的持續(xù)時間較長���,例如長達數(shù)個統(tǒng)計周期,若僅統(tǒng)計單個統(tǒng)計周期內(nèi)獲取的特征值��,則攻擊檢測裝置很容易將長時會話的信息誤認為網(wǎng)絡中存在數(shù)據(jù)量突發(fā)。但是若攻擊檢測裝置對N個統(tǒng)計周期內(nèi)獲取的特征值進行統(tǒng)計��,則可以降低長時會話對統(tǒng)計結果的影響����,進而減小了將長時會話誤判為網(wǎng)絡攻擊的幾率,在長時會話較多的場景下能夠大幅度提升網(wǎng)絡攻擊的檢測精度���。
[0092]可選的�����,所述N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期的時長相等��,所述第一統(tǒng)計周期的時長與所述N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期的時長相等���。
[0093]上述方案,通過對連續(xù)的N個統(tǒng)計周期內(nèi)獲取的特征值進行統(tǒng)計�����,在保證了統(tǒng)計周期較短的情況下��,增大了每次統(tǒng)計時的樣本個數(shù)���,有效的減小了網(wǎng)絡偶然性波動對攻擊檢測結果的影響���,提高了網(wǎng)絡攻擊的檢測精度���。
[0094]本發(fā)明還提供了一種攻擊檢測裝置,用于實現(xiàn)圖3(a)所示的網(wǎng)絡攻擊的檢測方法��,其基本結構請參閱圖4�,攻擊檢測裝置400包括:
[0095]獲取模塊401,用于根據(jù)N個連續(xù)的統(tǒng)計周期內(nèi)來自轉發(fā)設備的P個會話的信息�,獲取該P個會話中每個會話的特征值。該N個連續(xù)的統(tǒng)計周期中的最后一個統(tǒng)計周期的結束時刻為第一時刻�����。其中P為大于1的整數(shù)����,N為大于1的整數(shù);
[0096]統(tǒng)計模塊402��,用于統(tǒng)計該P個會話的特征值�����,得到第一統(tǒng)計結果����;
[0097]判斷模塊403,用于根據(jù)第一統(tǒng)計結果,判斷轉發(fā)設備所在的網(wǎng)絡是否被攻擊�����;
[0098]獲取模塊401還用于:根據(jù)第一統(tǒng)計周期內(nèi)來自轉發(fā)設備的Q個會話的信息�����,獲取該Q個會話中每個會話的特征值�����。該第一統(tǒng)計周期的起始時刻為所述第一時刻�����,Q為大于或等于1的整數(shù)�����。
[0099]統(tǒng)計模塊402還用于:統(tǒng)計該Q個會話的所述特征值�����,以及該P個會話中不屬于第二統(tǒng)計周期的一個或多個會話的特征值,得到第二統(tǒng)計結果�����。其中��,第二統(tǒng)計周期為該N個連續(xù)的統(tǒng)計周期中的第一個統(tǒng)計周期�。
[0100]判斷模塊403還用于:根據(jù)第二統(tǒng)計結果,判斷轉發(fā)設備所在的網(wǎng)絡是否被攻擊����。
[0101]可選的,第一統(tǒng)計周期由M個采樣周期組成�,其中M為大于1的整數(shù)。所述獲取模塊 401具體通過如下方法獲取該Q個會話中每個會話的特征值:在該M個采樣周期中的每個采樣周期內(nèi)���,接收來自轉發(fā)設備的一個或多個會話的信息���,該M個采樣周期內(nèi)一共接收到的會話的信息即為該Q個會話的信息。然后根據(jù)該Q個會話的信息�,獲取該Q個會話中每個會話的特征值。
[0102]可選的�����,該Q個會話中包括第一會話��,該第一會話持續(xù)的時長大于第一統(tǒng)計周期的時長�。
[0103]可選的,該N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期的時長相等��,且第一統(tǒng)計周期的時長與該N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期的時長相等�。
[0104]可選的,每個會話的特征值包括所述每個會話的流量大小���、會話的平均報文長度��、 會話終結原因����、會話持續(xù)時間��、會話中最大報文的長度�、會話中最小報文的長度中的一項或多項。
[0105]可選的�����,統(tǒng)計模塊402具體通過如下方式統(tǒng)計該P個會話的特征值得到第一統(tǒng)計結果:統(tǒng)計該P個會話的特征值的平均值、方差或標準差����、基尼系數(shù)、信息熵��、向量和/積��、卷積中的一項或多項���,得到第一統(tǒng)計結果�����。
[0106]上述攻擊檢測裝置通過對連續(xù)的N個統(tǒng)計周期內(nèi)獲取的特征值進行統(tǒng)計��,在保證了統(tǒng)計周期較短的情況下����,增大了每次統(tǒng)計時的樣本個數(shù)�,有效的減小了網(wǎng)絡偶然性波動對攻擊檢測結果的影響,提高了網(wǎng)絡攻擊的檢測精度��。
[0107]圖4所示的攻擊檢測裝置400的詳細描述和具體應用方法可以參考圖3所示的方法實施例,此處不做贅述�����。
[0108]可選的�,圖4所示的各個模塊僅為對攻擊檢測裝置400功能上的劃分��,圖4所示的攻擊檢測裝置400實質(zhì)上可以與圖2(a)的攻擊檢測裝置200是相同的攻擊檢測裝置��,圖4是從邏輯的角度進行描述����,圖2(a)是從結構的角度進行描述。例如���,圖4所示的統(tǒng)計模塊402和判斷模塊403可以由圖2(a)所示的處理器201實現(xiàn)����,圖4所示的獲取模塊401�,可以由圖2(a)的處理器201和通信接口 203共同實現(xiàn)。
[0109]可選的���,圖2(b)中的數(shù)據(jù)分析層��,以及圖2(c)中的實時子系統(tǒng)211和離線子系統(tǒng) 212�����,均可以由圖4所示的攻擊檢測裝置400來實現(xiàn)�。
[0110]所屬領域的技術人員可以清楚地了解到,為描述的方便和簡潔�����,上述描述的系統(tǒng)���, 裝置和單元的具體工作過程�����,可以參考前述方法實施例中的對應過程���,在此不再贅述。
[0111]在本申請所提供的幾個實施例中�����,應該理解到���,所揭露的系統(tǒng)���,裝置和方法�����,可以通過其它的方式實現(xiàn)���。例如����,以上所描述的裝置實施例僅僅是示意性的,例如�����,所述單元的劃分�,僅僅為一種邏輯功能劃分,實際實現(xiàn)時可以有另外的劃分方式�����,例如多個單元或組件可以結合或者可以集成到另一個系統(tǒng)���,或一些特征可以忽略��,或不執(zhí)行��。另一點����,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,裝置或單元的間接耦合或通信連接���,可以是電性��,機械或其它的形式�����。[〇112]所述作為分離部件說明的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方�����,或者也可以分布到多個網(wǎng)絡單元上�����。可以根據(jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的����。
[0113]另外,在本申請各個實施例中的各功能單元可以集成在一個處理單元中�,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中��。上述集成的單元既可以采用硬件的形式實現(xiàn)�,也可以采用軟件功能單元的形式實現(xiàn)。[〇114]所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時���,可以存儲在一個計算機可讀取存儲介質(zhì)中?����;谶@樣的理解��,本申請的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�����,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺計算機設備(可以是個人計算機����,服務器,或者網(wǎng)絡設備等)執(zhí)行本申請各個實施例所述方法的全部或部分步驟����。而前述的存儲介質(zhì)包括:U盤、移動硬盤��、只讀存儲器(ROM�,Read-Only Memory)、隨機存取存儲器(RAM���,Random Access Memory)��、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)��。
[0115]以上所述����,以上實施例僅用以說明本申請的技術方案����,而非對其限制;盡管參照前述實施例對本申請進行了詳細的說明����,本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改�,或者對其中部分技術特征進行等同替換;而這些修改或者替換,并不使相應技術方案的本質(zhì)脫離本申請各實施例技術方案的范圍��。
【主權項】
1.一種網(wǎng)絡攻擊的檢測方法��,其特征在于�����,所述方法包括:根據(jù)N個連續(xù)的統(tǒng)計周期內(nèi)來自轉發(fā)設備的P個會話的信息����,獲取所述P個會話中每個 會話的特征值,所述N個連續(xù)的統(tǒng)計周期中的最后一個統(tǒng)計周期的結束時刻為第一時刻���,所 述P為大于1的整數(shù),所述N為大于1的整數(shù)�����;統(tǒng)計所述P個會話的所述特征值����,得到第一統(tǒng)計結果��;根據(jù)所述第一統(tǒng)計結果���,判斷所述轉發(fā)設備所在的網(wǎng)絡是否被攻擊;根據(jù)第一統(tǒng)計周期內(nèi)來自所述轉發(fā)設備的Q個會話的信息��,獲取所述Q個會話中每個會 話的特征值���,所述第一統(tǒng)計周期的起始時刻為所述第一時刻�����,所述Q為大于或等于1的整數(shù)�;統(tǒng)計所述Q個會話的所述特征值�,以及所述P個會話中不屬于第二統(tǒng)計周期的一個或多 個會話的所述特征值,得到第二統(tǒng)計結果��,所述第二統(tǒng)計周期為所述N個連續(xù)的統(tǒng)計周期中 的第一個統(tǒng)計周期��;根據(jù)所述第二統(tǒng)計結果�����,判斷所述轉發(fā)設備所在的網(wǎng)絡是否被攻擊。2.根據(jù)權利要求1所述的方法����,其特征在于,所述第一統(tǒng)計周期由M個采樣周期組成����,所 述M為大于1的整數(shù),所述根據(jù)第一統(tǒng)計周期內(nèi)來自所述轉發(fā)設備的Q個會話的信息獲取所 述Q個會話中每個會話的特征值�����,包括:在所述M個采樣周期中的每個采樣周期內(nèi)�,接收來自所述轉發(fā)設備的一個或多個會話 的信息,所述M個采樣周期內(nèi)接收的會話的信息為所述Q個會話的信息�����;根據(jù)所述Q個會話的信息�,獲取所述Q個會話中每個會話的所述特征值。3.根據(jù)權利要求1或2所述的方法���,其特征在于,所述Q個會話中包括第一會話�����,所述第 一會話持續(xù)的時長大于所述第一統(tǒng)計周期的時長。4.根據(jù)權利要求1至3任一所述的方法����,其特征在于,所述N個連續(xù)的統(tǒng)計周期中每個統(tǒng) 計周期的時長相等���,所述第一統(tǒng)計周期的時長與所述N個連續(xù)的統(tǒng)計周期中每個統(tǒng)計周期 的時長相等����。5.根據(jù)權利要求1至4任一所述的方法�,其特征在于,所述每個會話的特征值包括所述 每個會話的流量大小��、會話的平均報文長度��、會話終結原因����、會話持續(xù)時間、會話中最大報 文的長度����、會話中最小報文的長度或者會話的五元組信息中的一項或多項�����。6.根據(jù)權利要求1至5中任一所述的方法����,其特征在于��,所述第一統(tǒng)計結果為所述P個會 話的所述特征值的平均值����、方差、標準差��、基尼系數(shù)�����、信息熵���、向量和���、向量積或卷積中的一 項或多項�����。7.—種攻擊檢測裝置,其特征在于��,包括:獲取模塊��,用于根據(jù)N個連續(xù)的統(tǒng)計周期內(nèi)來自轉發(fā)設備的P個會話的信息����,獲取所述P 個會話中每個會話的特征值,所述N個連續(xù)的統(tǒng)計周期中的最后一個統(tǒng)計周期的結束時刻 為第一時刻��,所述P為大于1的整數(shù)���,所述N為大于1的整數(shù)��;統(tǒng)計模塊����,用于統(tǒng)計所述獲取模塊獲取的所述P個會話的所述特征值�,得到第一統(tǒng)計結 果;判斷模塊���,用于根據(jù)所述統(tǒng)計模塊得到的所述第一統(tǒng)計結果�����,判斷所述轉發(fā)設備所在 的網(wǎng)絡是否被攻擊�;所述獲取模塊,還用于根據(jù)第一統(tǒng)計周期內(nèi)來自所述轉發(fā)設備的Q個會話的信息����,獲取 所述Q個會話中每個會話的特征值,所述第一統(tǒng)計周期的起始時刻為所述第一時刻�����,所述Q為大于或等于1的整數(shù)�����;所述統(tǒng)計模塊�,還用于統(tǒng)計所述獲取模塊獲取的所述Q個會話的所述特征值,以及所述 P個會話中不屬于第二統(tǒng)計周期的一個或多個會話的所述特征值�����,得到第二統(tǒng)計結果����,所述 第二統(tǒng)計周期為所述N個連續(xù)的統(tǒng)計周期中的第一個統(tǒng)計周期�;所述判斷模塊�,還用于根據(jù)所述統(tǒng)計模塊得到的所述第二統(tǒng)計結果,判斷所述轉發(fā)設 備所在的網(wǎng)絡是否被攻擊��。8.根據(jù)權利要求7所述的攻擊檢測裝置��,其特征在于����,所述第一統(tǒng)計周期由M個采樣周 期組成�,所述M為大于1的整數(shù),所述獲取模塊具體用于:在所述M個采樣周期中的每個采樣周期內(nèi)���,接收來自所述轉發(fā)設備的一個或多個會話 的信息���,所述M個采樣周期內(nèi)接收的會話的信息為所述Q個會話的信息;根據(jù)所述Q個會話的信息�����,獲取所述Q個會話中每個會話的特征值���。9.根據(jù)權利要求7或8所述的攻擊檢測裝置��,其特征在于��,所述Q個會話中包括第一會 話�����,所述第一會話持續(xù)的時長大于所述第一統(tǒng)計周期的時長�。10.根據(jù)權利要求7至9任一所述的攻擊檢測裝置,其特征在于�����,所述N個連續(xù)的統(tǒng)計周 期中每個統(tǒng)計周期的時長相等����,所述第一統(tǒng)計周期的時長與所述N個連續(xù)的統(tǒng)計周期中每 個統(tǒng)計周期的時長相等。11.根據(jù)權利要求7至10任一所述的攻擊檢測裝置����,其特征在于,所述每個會話的特征 值包括所述每個會話的流量大小�����、會話的平均報文長度、會話終結原因�、會話持續(xù)時間、會 話中最大報文的長度����、會話中最小報文的長度或者會話的五元組信息中的一項或多項。12.根據(jù)權利要求7至11中任一所述的攻擊檢測裝置����,其特征在于�����,所述第一統(tǒng)計結果 為所述P個會話的所述特征值的平均值��、方差��、標準差�����、基尼系數(shù)�、信息熵、向量和��、向量積或 卷積中的一項或多項。13.—種攻擊檢測系統(tǒng)����,其特征在于,包括實時子系統(tǒng)和離線子系統(tǒng)�,所述實時子系統(tǒng) 包括如權利要求7至12中任一項所述的第一攻擊檢測裝置,所述離線子系統(tǒng)包括如權利要 求7至12中任一項所述的第二攻擊檢測裝置�;所述實時子系統(tǒng),用于根據(jù)所述第一攻擊檢測裝置對所述網(wǎng)絡是否被攻擊的判斷結 果��,對所述網(wǎng)絡中的攻擊進行實時攔截���;所述離線子系統(tǒng)����,用于根據(jù)所述第二攻擊檢測裝置對所述網(wǎng)絡是否被攻擊的判斷結 果�,生成告警信息和/或日志信息。
【文檔編號】H04L29/06GK106027546SQ201610486225
【公開日】2016年10月12日
【申請日】2016年6月28日
【發(fā)明人】周沖, 李佳玲
【申請人】華為技術有限公司