异常攻击行为检测方法、装置、设备及存储介质制造方法及图纸

本发明专利技术实施例公开了一种异常攻击行为检测方法、装置、设备及存储介质。该方法包括：实时采集网络流数据，并间隔固定周期统计所述网络流数据的流量特征；如果统计特征值超出特征期望范围，则获取固定周期时间段内的异常网络流数据；将所述异常网络流数据输入至预先训练的攻击检测模型中，并将所述攻击检测模型输出的目标网络行为作为异常攻击行为；其中，所述攻击检测模型通过计算不同时间窗口中的异常网络流数据之间的通信相似度，确定目标网络行为。本发明专利技术实施例的技术方案，实现有效检测出各种类型的异常攻击行为，提高异常攻击行为的检测准确率。

【技术实现步骤摘要】
异常攻击行为检测方法、装置、设备及存储介质
本专利技术实施例涉及网络安全及机器学习
，尤其涉及一种异常攻击行为检测方法、装置、设备及存储介质。
技术介绍
如今，政府和企业同时面临着一个不断演变的网络威胁环境。网络攻击者能够通过窃取知识产权来直接获取利益，也可以入侵、窃取客户的个人金融信息，甚至直接加密文档后进行勒索，更有甚者破坏对方的服务以至国家的基础设施。网络攻击已经对各类关键信息安全、基础设施安全造成巨大威胁，开展网络攻击防御工作刻不容缓。
技术实现思路
本专利技术提供一种异常攻击行为检测方法、装置、设备及存储介质，以实现有效检测出各种类型的异常攻击行为，提高异常攻击行为的检测准确率。第一方面，本专利技术实施例提供了一种异常攻击行为检测方法，包括：实时采集网络流数据，并间隔固定周期统计网络流数据的流量特征；如果统计特征值超出特征期望范围，则获取固定周期时间段内的异常网络流数据；将异常网络流数据输入至预先训练的攻击检测模型中，并将攻击检测模型输出的目标网络行为作为异常攻击行为；其中，攻击检测模型通过计算不同时间窗口中的异常网络流数据之间的通信相似度，确定目标网络行为。可选的，将异常网络流数据输入至预先训练的攻击检测模型中，并将攻击检测模型输出的目标网络行为作为异常攻击行为，包括：将异常网络流数据输入至预先训练的攻击检测模型中，以通过攻击检测模型计算不同时间窗口中的异常网络流数据之间的通信相似度，并根据通信相似度将各时间窗口中的异常网络流数据映射到预设高维向量中，对高维向量进行异常分析确定目标异常网络流数据；将攻击检测模型输出的与目标异常网络流数据对应的目标网络行为作为异常攻击行为。可选的，通过攻击检测模型计算不同时间窗口中的异常网络流数据之间的通信相似度，包括：通过攻击检测模型对各时间窗口中不同IP端口接收的异常网络流数据进行聚合；通过攻击检测模型，根据聚合簇，计算同类型的不同IP地址之间的相似度以及不同类型的不同IP地址之间的匹配度；通过攻击检测模型，根据不同IP地址之间的相似度以及匹配度计算不同时间窗口之间的通信相似度。可选的，在将攻击检测模型输出的目标网络行为作为异常攻击行为之后，还包括：对异常攻击行为对应的网络流数据进行解析，得到攻击行为特征；攻击行为特征包括：源IP地址、目的IP地址、协议类型、源IP端口以及目的IP端口；根据攻击行为特征查询预设的攻击行为映射表，确定与异常攻击行为对应的异常攻击类型、攻击源以及攻击危险级别。可选的，攻击检测模型采用孤立森林算法。可选的，异常攻击行为包括APT攻击行为。第二方面，本专利技术实施例还提供了一种异常攻击行为检测装置，包括：特征统计模块，用于实时采集网络流数据，并间隔固定周期统计网络流数据的流量特征；数据获取模块，用于如果统计特征值超出特征期望范围，则获取固定周期时间段内的异常网络流数据；检测模块，用于将异常网络流数据输入至预先训练的攻击检测模型中，并将攻击检测模型输出的目标网络行为作为异常攻击行为；其中，攻击检测模型通过计算不同时间窗口中的异常网络流数据之间的通信相似度，确定目标网络行为。可选的，检测模块，具体用于：将异常网络流数据输入至预先训练的攻击检测模型中，以通过攻击检测模型计算不同时间窗口中的异常网络流数据之间的通信相似度，并根据通信相似度将各时间窗口中的异常网络流数据映射到预设高维向量中，对高维向量进行异常分析确定目标异常网络流数据；将攻击检测模型输出的与目标异常网络流数据对应的目标网络行为作为异常攻击行为。第三方面，本专利技术实施例还提供了一种电子设备，设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如本专利技术任意实施例提供的一种异常攻击行为检测方法。第四方面，本专利技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本专利技术任意实施例提供的一种异常攻击行为检测方法。本专利技术实施例中，通过实时采集网络流数据，并间隔固定周期统计网络流数据的流量特征；如果统计特征值超出特征期望范围，则获取固定周期时间段内的异常网络流数据；将异常网络流数据输入至预先训练的攻击检测模型中，并将攻击检测模型输出的目标网络行为作为异常攻击行为；其中，攻击检测模型通过计算不同时间窗口中的异常网络流数据之间的通信相似度，确定目标网络行为，实现及时有效检测出各种类型的网络异常攻击行为，提高异常攻击行为的检测准确率，减少网络攻击对信息安全和基础设施安全造成的损失。附图说明图1a是本专利技术实施例一中的一种异常攻击行为检测方法的流程图；图1b是本专利技术实施例一中的一种网络流数据在高维向量中的映射示意图；图2是本专利技术实施例二中的一种异常攻击行为检测装置的结构示意图；图3是本专利技术实施例三中的一种电子设备的结构示意图。具体实施方式下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本专利技术，而非对本专利技术的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本专利技术相关的部分而非全部结构。实施例一图1是本专利技术实施例一中的一种异常攻击行为检测方法的流程图，本实施例可适用于检测网络中的异常攻击行为的情况，该方法可以由异常攻击行为检测装置来执行，该装置可以由硬件和/或软件来实现，并一般可以集成在提供异常攻击行为检测服务的电子设备中。如图1所示，该方法包括：步骤110、实时采集网络流数据，并间隔固定周期统计网络流数据的流量特征。本实施例中，流数据可以是一组顺序、大量、快速、连续到达的数据序列,一般情况下,数据流可被视为一个随时间延续而无限增长的动态数据集合。为了能及时发现网络中的异常攻击，可以实时采集网络中的流数据，并间隔固定周期对采集的网络流数据进行统计，以及时掌握网络的流量特征，例如在一天的各个时间段内的网络流量大小。其中，固定周期可以是3天、一周、一个月或者其他时间长度，可以根据业务需求进行设置。本实施例中，考虑到固定周期内的网络流数据可能很多，例如一个月内采集的网络流数据很多，为了后续减少不必要的数据处理，可以在统计网络流数据的流量特征之后，从统计的网络流数据中选择流量较大的部分网络流数据进行后续处理。例如，可以按照流量大小对每一天的网络流数据进行排序，并按照流量由大到小的顺序选择5天的网络流数据。步骤120、如果统计特征值超出特征期望范围，则获取固定周期时间段内的异常网络流数据。本实施例中，如果发现哪一天的流量特征的统计值超出特征期望范围，例如一天的流量大于50兆，则说明网络上出现异常流量，需要获取这一天的网络流数据作为异常网络流数据，用于检测是否存在异常攻击行为。步骤130、将异常网络流数据输本文档来自技高网...

【技术保护点】
1.一种异常攻击行为检测方法，其特征在于，包括：/n实时采集网络流数据，并间隔固定周期统计所述网络流数据的流量特征；/n如果统计特征值超出特征期望范围，则获取固定周期时间段内的异常网络流数据；/n将所述异常网络流数据输入至预先训练的攻击检测模型中，并将所述攻击检测模型输出的目标网络行为作为异常攻击行为；/n其中，所述攻击检测模型通过计算不同时间窗口中的异常网络流数据之间的通信相似度，确定目标网络行为。/n

【技术特征摘要】
1.一种异常攻击行为检测方法，其特征在于，包括：
实时采集网络流数据，并间隔固定周期统计所述网络流数据的流量特征；
如果统计特征值超出特征期望范围，则获取固定周期时间段内的异常网络流数据；
将所述异常网络流数据输入至预先训练的攻击检测模型中，并将所述攻击检测模型输出的目标网络行为作为异常攻击行为；
其中，所述攻击检测模型通过计算不同时间窗口中的异常网络流数据之间的通信相似度，确定目标网络行为。


2.根据权利要求1所述的方法，其特征在于，将所述异常网络流数据输入至预先训练的攻击检测模型中，并将所述攻击检测模型输出的目标网络行为作为异常攻击行为，包括：
将所述异常网络流数据输入至预先训练的攻击检测模型中，以通过所述攻击检测模型计算不同时间窗口中的异常网络流数据之间的通信相似度，并根据通信相似度将各时间窗口中的异常网络流数据映射到预设高维向量中，对所述高维向量进行异常分析确定目标异常网络流数据；
将所述攻击检测模型输出的与所述目标异常网络流数据对应的目标网络行为作为异常攻击行为。


3.根据权利要求2所述的方法，其特征在于，通过所述攻击检测模型计算不同时间窗口中的异常网络流数据之间的通信相似度，包括：
通过所述攻击检测模型对各时间窗口中不同IP端口接收的异常网络流数据进行聚合；
通过所述攻击检测模型，根据聚合簇，计算同类型的不同IP地址之间的相似度以及不同类型的不同IP地址之间的匹配度；
通过所述攻击检测模型，根据所述不同IP地址之间的相似度以及匹配度计算不同时间窗口之间的通信相似度。


4.根据权利要求1所述的方法，其特征在于，在将所述攻击检测模型输出的目标网络行为作为异常攻击行为之后，还包括：
对所述异常攻击行为对应的网络流数据进行解析，得到攻击行为特征；所述攻击行为特征包括：源IP地址、目的IP地址、协议类型、源IP端口以及目的IP端...

【专利技术属性】
技术研发人员：鲍永昌，田书铭，陈宇，尚程，傅强，蔡琳，梁彧，田野，王杰，杨满智，金红，陈晓光，
申请(专利权)人：恒安嘉新北京科技股份公司，
类型：发明
国别省市：北京;11