CN106027546A - 网络攻击的检测方法、装置及系统 - Google Patents

网络攻击的检测方法、装置及系统 Download PDF

Info

Publication number
CN106027546A
CN106027546A CN201610486225.1A CN201610486225A CN106027546A CN 106027546 A CN106027546 A CN 106027546A CN 201610486225 A CN201610486225 A CN 201610486225A CN 106027546 A CN106027546 A CN 106027546A
Authority
CN
China
Prior art keywords
session
measurement period
information
eigenvalue
forwarding unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610486225.1A
Other languages
English (en)
Inventor
周冲
李佳玲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201610486225.1A priority Critical patent/CN106027546A/zh
Publication of CN106027546A publication Critical patent/CN106027546A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种网络攻击的检测方法和装置。本申请提供的网络攻击的检测方法包括:获取并统计N个连续的统计周期内的P个会话中每个会话的特征值,得到第一统计结果,并根据第一统计结果判断转发设备所在的网络是否被攻击。再获取第一统计周期内的Q个中每个会话的特征值,统计该Q个会话的特征值以及该P个会话中不属于第二统计周期的会话的特征值,得到第二统计结果,并根据第二统计结果判断所述转发设备所在的网络是否被攻击。该网络攻击检测方法和装置有助于减小网络偶然性波动对攻击检测结果的影响,提高网络攻击的检测精度。

Description

网络攻击的检测方法、装置及系统
技术领域
本申请涉及通信领域,尤其涉及一种网络攻击的检测方法、装置及系统。
背景技术
网络中转发设备时刻会转发大量的会话(英文:session)。因此,对这些会话的抽样检测,成为分析网络是否受到攻击的重要手段。由于短时间的网络攻击就可能对网络中的转发设备的正常通信造成严重损害,因此需要对网络中的会话进行高频率的抽样检测,从而尽早发现网络攻击。
但是,短时间中对会话抽样检测获得的结果如果出现异常,难以区分该异常是由网络攻击造成的,还是由于短时间内偶然性数据波动造成的,导致攻击检测装置很容易将网络的偶然性波动误判为网络攻击,网络攻击检测的误判率高,精确度达不到用户要求。
发明内容
本申请提供了一种网络攻击的检测方法,用于降低网络攻击检测中统计样本不足造成的网络攻击误判的概率,提升网络攻击检测的准确程度。
本申请第一方面提供了一种网络攻击的检测方法,包括:根据N个连续的统计周期内来自转发设备的P个会话的信息,获取该P个会话中每个会话的特征值。其中该中N个连续的统计周期中的最后一个统计周期的结束时刻为第一时刻,P为大于1的整数,N为大于1的整数。统计该P个会话的特征值,得到第一统计结果。根据第一统计结果,判断转发设备所在的网络是否被攻击。根据第一统计周期内来自所述转发设备的Q个会话的信息,获取该Q个会话中每个会话的特征值。其中第一统计周期的起始时刻为所述第一时刻,所述Q为大于或等于1的整数。统计所述Q个会话的所述特征值,以及所述P个会话中不属于第二统计周期的一个或多个会话的所述特征值,得到第二统计结果,第二统计周期为该N个连续的统计周期中的第一个统计周期。根据第二统计结果,判断所述转发设备所在的网络是否被攻击。
通过对连续的N个统计周期内获取的特征值进行统计,在保证了统计周期较短的情况下,增大了每次统计时的样本个数,有效的减小了网络偶然性波动对攻击检测结果的影响,提高了网络攻击的检测精度。
可选的,第一统计周期由M个采样周期组成,M为大于1的整数。攻击检测装置具体通过如下方式获取该Q个会话中每个会话的特征值:在该M个采样周期中的每个采样周期内,接收来自转发设备的一个或多个会话信息,该M个采样周期内所接收到的会话的信息即为该Q个会话的信息。根据该Q个会话的信息,获取该Q个会话中每个会话的特征值。
通过将一个统计周期划分为多个采样周期,在每个采样周期中获取一次会话的信息,可以为攻击检测装置根据网络中需求变化而缩短统计周期提供了便利。在攻击检测装置需要缩短统计周期时,无需再与转发设备进行协商。
可选的,该Q个会话中包括第一会话,第一会话为长时会话,持续的时长大于第一统计周期的时长。
可选的,该N个连续的统计周期中每个统计周期的时长相等,且第一统计周期的时长与该N个连续的统计周期中每个统计周期的时长相等。
可选的,每个会话的特征值包括每个会话的流量大小、会话的平均报文长度、会话终结原因、会话持续时间、会话中最大报文的长度、会话中最小报文的长度或者会话的五元组信息中的一项或多项。
可选的,所述第一统计结果为所述P个会话的所述特征值的平均值、方差、标准差、基尼系数、信息熵、向量和、向量积或卷积中的一项或多项。
可选的,所述第二统计结果为所述Q个会话的所述特征值的平均值、方差、标准差、基尼系数、信息熵、向量和、向量积或卷积中的一项或多项。
可选的,攻击检测装置可以将第一统计结果以及第二统计结果与预设的参考结果进行比较,以判断转发设备所在的网络是否存在攻击。
本发明第二方面提供了一种攻击检测装置,包括:获取模块,用于根据N个连续的统计周期内来自转发设备的P个会话的信息,获取所述P个会话中每个会话的特征值,该N个连续的统计周期中的最后一个统计周期的结束时刻为第一时刻,P为大于1的整数,N为大于1的整数。统计模块,用于统计所述获取模块获取的所述P个会话的所述特征值,得到第一统计结果。判断模块,用于根据所述统计模块得到的第一统计结果,判断所述转发设备所在的网络是否被攻击。所述获取模块,还用于根据第一统计周期内来自所述转发设备的Q个会话的信息,获取该Q个会话中每个会话的特征值,所述第一统计周期的起始时刻为所述第一时刻,Q为大于或等于1的整数。所述统计模块,还用于统计所述获取模块获取的该Q个会话的特征值,以及该P个会话中不属于第二统计周期的一个或多个会话的特征值,得到第二统计结果。第二统计周期为所述N个连续的统计周期中的第一个统计周期。所述判断模块,还用于根据所述统计模块得到的第二统计结果,判断转发设备所在的网络是否被攻击。
可选的,第一统计周期由M个采样周期组成,M为大于1的整数。获取模块具体用于:在所述M个采样周期中的每个采样周期内,接收来自所述转发设备的一个或多个会话的信息,所述M个采样周期内接收的会话的信息为所述Q个会话的信息。根据所述Q个会话的信息,获取所述Q个会话中每个会话的特征值。
可选的,该Q个会话中包括第一会话,该第一会话持续的时长大于所述第一统计周期的时长。
可选的,该N个连续的统计周期中每个统计周期的时长相等,该第一统计周期的时长与所述N个连续的统计周期中每个统计周期的时长相等。
可选的,每个会话的特征值包括所述每个会话的流量大小、会话的平均报文长度、会话终结原因、会话持续时间、会话中最大报文的长度、会话中最小报文的长度或者会话的五元组信息中的一项或多项。
可选的,所述第一统计结果为所述P个会话的所述特征值的平均值、方差、标准差、基尼系数、信息熵、向量和、向量积或卷积中的一项或多项。
可选的,所述第二统计结果为所述Q个会话的所述特征值的平均值、方差、标准差、基尼系数、信息熵、向量和、向量积或卷积中的一项或多项。
本申请的第三方面提供了另一种攻击检测装置,包括处理器以及通信接口。
其中,所述通信接口用于:接收N个连续的统计周期内来自转发设备的P个会话的信息,以及接收第一周期内来自转发设备的Q个会话的信息。
所述处理器用于执行以下操作:
根据所述通信接口接收的该N个连续的统计周期内来自转发设备的P个会话的信息,获取所述P个会话中每个会话的特征值,所述N个连续的统计周期中的最后一个统计周期的结束时刻为第一时刻,所述P为大于1的整数,所述N为大于1的整数;
统计所述P个会话的所述特征值,得到第一统计结果;
根据所述第一统计结果,判断所述转发设备所在的网络是否被攻击;
根据所述通信接口接收的所述第一统计周期内来自所述转发设备的Q个会话的信息,获取所述Q个会话中每个会话的特征值,所述第一统计周期的起始时刻为所述第一时刻,所述Q为大于或等于1的整数;
统计所述Q个会话的所述特征值,以及所述P个会话中不属于第二统计周期的一个或多个会话的所述特征值,得到第二统计结果,所述第二统计周期为所述N个连续的统计周期中的第一个统计周期;
根据所述第二统计结果,判断所述转发设备所在的网络是否被攻击。
本发明的第四方面提供了一种攻击检测系统,包括实时子系统和离线子系统。其中,实时子系统包括如本申请第二方面或第三方面所述的第一攻击检测装置,离线子系统包括如本申请第二方面或第三方面所述的第二攻击检测装置。所述实时子系统具体用于根据第一攻击检测装置对网络是否被攻击的判断结果,对网络中的攻击进行实时拦截;所述离线子系统具体用于根据第二攻击检测装置对网络是否被攻击的判断结果,生成告警信息和/或日志信息。
附图说明
图1为本申请实施例提供的一种可用系统架构图;
图2(a)为本申请实施例提供的一种攻击检测装置的结构图;
图2(b)为本申请实施例提供的一种攻击检测系统的功能层级示意图;
图2(c)为本申请实施例提供的另一种攻击检测系统的功能层级示意图;
图3(a)为本申请实施例提供的一种网络攻击的检测方法的流程图;
图3(b)为图3(a)实施例中N+1个连续的统计周期的示意图;
图4为本申请实施例提供的另一种攻击检测装置的结构图。
具体实施方式
本申请提供了一种网络攻击的检测方法,用于降低网络攻击检测中统计样本不足造成的网络攻击误判的概率,提升网络攻击检测的准确程度。本申请还提供了相关的攻击检测装置,以下将分别进行描述。
本申请实施例中,会话指的是在一个不中断的特定操作时间内,网络中两个设备之间的通信交互。在一个会话期间,两个设备之间相互传输的所有报文都属于该会话。
在“会话”的一种示例中,在第一设备和第二设备之间通信的报文是传输控制协议(英文:Transmission Control Protocol;缩写:TCP)报文的情况下,或者在第一设备和第二设备之间通信的报文是用户数据报协议(英文:User Datagram Protocol;缩写:UDP)报文的情况下,该TCP报文或UDP报文中携带五元组信息。同一个会话的多个报文的五元组信息相匹配。即,第一设备给第二设备发送的报文所携带的五元组信息中,源IP地址是第一设备的IP地址,源端口号是第一设备的端口号,目的IP地址是第二设备的IP地址,目的端口号是第二设备的端口号;第二设备给第一设备发送的报文所携带的五元组信息中,源IP地址是第二设备的IP地址,源端口号是第二设备的端口号,目的IP地址是第一设备的IP地址,目的端口号是第一设备的端口号;两个设备之间相互发送的报文所采用的传输层协议号都相同。这些报文都属于同一个TCP/UDP会话。
在“会话”的另一种示例中,在第一设备和第二设备之间通信的报文不是TCP报文或UDP报文的情况下,例如在第一设备和第二设备之间通信的报文是因特网控制消息协议(英文:Internet Control Message Protocol;缩写:ICMP)报文的情况下,也可以认为二元组信息相匹配的多个报文属于同一个会话的报文。即,第一设备给第二设备发送的报文所携带的二元组信息中,源IP地址是第一设备的IP地址,目的IP地址是第二设备的IP地址;第二设备给第一设备发送的报文所携带的二元组信息中,源IP地址是第二设备的IP地址,目的IP地址是第一设备的IP地址;两个设备之间相互发送的报文所采用的传输层协议号都相同。这些报文都属于同一个ICMP会话。
本申请中,会话的特征值是指用于描述会话的特征(英文:feature)的值。所述特征值可以是表示大小的数值,也可以是用于描述会话特征的其他信息。举例来说,会话的特征值可以包括会话中流量大小、会话的平均报文长度、会话终结原因、会话持续时间、会话中最大报文的长度、会话中最小报文的长度、会话中报文的五元组信息中的一项或多项。在会话为TCP会话的示例中,会话的特征值还可以是TCP会话中某个标志位的值等于1的报文的个数。
图1是本申请提供的一种可用的系统架构图。其中,网络中可以包括多个转发设备,如转发设备101、转发设备102以及转发设备103。每个转发设备均可以是路由器、交换机、防火墙、分组传送网设备、波分复用设备、光传送网设备、基站或者基站控制器。转发设备用于转发网络中的报文,每个报文可以被归属于一个会话。转发设备在转发这些会话的报文的过程中,按照预先设置的规则对会话进行抽样,并获取被抽样的会话的信息。
攻击检测装置104,用于与互联网络中的一个或多个转发设备耦合,本申请实施例中,攻击检测装置104可以是独立的物理设备,如服务器等。攻击检测装置104还可以是部署在物理设备上的功能模块。攻击检测装置104还可以是若干物理设备组成的集群。
攻击检测装置104用于获取来自转发设备的会话的信息,并根据这些会话的信息获取每个会话的特征值,并根据对会话特征值的统计结果,判断该转发设备所在的网络是否被攻击。例如,攻击检测装置104与转发设备103耦合,获取转发设备103转发的多个会话的信息,并根据这些会话的特征值的统计结果,判断转发设备103所在的网络是否被攻击。
举例来说,攻击检测装置104可以接收转发设备103转发的会话的信息,然后根据会话的信息确定会话的特征值。当然,攻击检测装置104也可以分别接收转发设备101,转发设备102和转发设备103的会话的信息。为叙述方便,下面仅以攻击检测装置104接收转发设备103的会话的信息为例进行说明。举例来说,会话的信息可以是转发设备103在接收到会话时,镜像该会话中的报文保存在所述转发设备103中,随后再从镜像的报文中获取的;也可以是转发设备103在转发过程中直接获取的。转发设备在获取了网络中会话的信息后,可以根据预先建立的连接将该会话的信息发送给攻击检测装置104,使得攻击检测装置104获取到网络中的会话的信息。会话的信息具体形式可以为IPFIX数据的形式,也可以为NetFlow数据的形式,也可以是转发设备103或攻击检测装置104均可以支持的其它形式,此处不做限定。会话的信息中可以携带很多参数,如会话的会话标识、源/目的IP地址、源/目的端口、协议类型、服务类型、流量大小等方方面面的参数,这些参数中可以直接包括该会话的特征值,或者会话的信息包括了用于计算出会话的特征值的数据。
会话的信息可以由转发设备103主动上报给攻击检测装置104。也可以向转发设备103发送指示该转发设备上报会话信息的指示,主动获取会话的信息。攻击检测装置104获取会话的信息的时间间隔称为采样周期,攻击检测装置104在每个采样周期内获取一次来自转发设备103的会话的信息。不同的采样周期的时长可以相等也可以不等。
攻击检测装置104在每个统计周期内对会话的特征值进行一次统计。由于短时间的网络攻击就可能使网络中的转发设备的正常工作造成重大影响,因此,统计周期的时长需要选取得较短,从而在网络被攻击的情况下尽可能早的检测出来。
但是,统计结果的准确性与用于的统计的会话的数量存在着一定的正相关。例如,转发设备转发的会话的数据量在短时间内可能因偶然性而出现较大的波动,导致统计结果也相应的出现较大波动。若攻击检测装置104仅观察当前统计周期内获取的会话的特征值,则很容易将网络的偶然性波动误认为网络攻击。
例如,转发设备可能会转发一些长时会话。长时会话是指持续时间较长的会话,例如持续时间大于一个或多个统计周期的会话。如果转发设备在长时会话结束后,才将会话的信息发送给攻击检测装置104,那么该长时会话将对会话结束时的统计周期的统计结果造成较大的影响。如果会话的特征值是会话的数据流量、会话包括的报文数等与会话中包括的数据量相关的值的情况下,由于长时会话通常包括的数据量较大,会对该统计周期的统计结果造成明显影响,例如攻击检测装置104可能会将包括一个或多个长时会话的特征值的统计结果误认为网络中存在攻击。
为了解决上述问题,本申请实施例将N个连续的统计周期作为一个时间窗。本申请实施例将当前最新的N个连续的统计周期,作为当前最新的时间窗。每个统计周期中,攻击检测装置104在统计会话的特征值时,不是对当前的统计周期内获取的会话的特征值进行统计,而是对当前最新的时间窗内获取的会话的特征值进行统计。通过对连续的N个统计周期内获取的会话的特征值进行统计,增大了单次统计时的样本个数,能够有效的均衡掉网络的偶然性波动,提高攻击检测结果的精度。
图2(a)为本申请实施例提供的一种攻击检测装置的结构示意图。图1所示的攻击检测装置104可以由图2(a)所示的攻击检测装置200来实现,攻击检测装置200包括处理器201、存储器202、通信接口203。可选的,还包括总线204。处理器201、存储器202和通信接口203可以通过总线204实现彼此之间的通信连接。当然,也可以通过无线传输等其他手段实现通信。
存储器202可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);也可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-onlymemory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或SSD;存储器202还可以包括上述种类的存储器的组合。在通过软件来实现本申请提供的技术方案时,用于实现本申请图3提供的攻击检测方法的程序代码可以保存在存储器202中,并由处理器201来执行。
通信接口203可以是可以是有线接口,例如光纤分布式数据接口(英文:Fiber Distributed Data Interface,简称:FDDI)、以太网(英文:Ethernet)接口。通信接口203也可以是无线接口,例如无线局域网接口。通信接口203用于:接收N个连续的统计周期内来自转发设备的P个会话的信息,以及接收第一周期内来自转发设备的Q个会话的信息。
处理器201可以为中央处理器(英文:central processing unit,简称:CPU),硬件芯片或CPU和硬件芯片的组合。处理器201在运行时,通过调用存储器202的程序代码,可以执行如下步骤:
根据通信接口203接收的所述N个连续的统计周期内来自转发设备的P个会话的信息,获取所述P个会话中每个会话的特征值,该N个连续的统计周期中的最后一个统计周期的结束时刻为第一时刻,P为大于1的整数,N为大于1的整数;
统计该P个会话的特征值,得到第一统计结果;
根据第一统计结果,判断转发设备所在的网络是否被攻击;
根据通信接口203接收的所述第一统计周期内来自所述转发设备的Q个会话的信息,获取该Q个会话中每个会话的特征值,该第一统计周期的起始时刻为该第一时刻,Q为大于或等于1的整数;
统计该Q个会话的特征值,以及该P个会话中不属于第二统计周期的一个或多个会话的特征值,得到第二统计结果,第二统计周期为该N个连续的统计周期中的第一个统计周期;
根据第二统计结果,判断所述转发设备所在的网络是否被攻击。
可选的,第一统计周期由M个采样周期组成,处理器201在根据第一统计周期内来自所述转发设备的Q个会话的信息,获取该Q个会话中每个会话的特征值具体包括:在M个采样周期中每个采样周期内,通过通信接口203接收来自所述转发设备的一个或多个会话的信息,所述M个采样周期内接收的会话的信息为所述Q个会话的信息;根据通信接口203获取的该Q个会话的信息,获取该Q个会话中每个会话的特征值。
可选的,该Q个会话中包括第一会话,第一会话持续的时长大于第一统计周期的时长。
可选的,该N个连续的统计周期中每个统计周期的时长相等,且第一统计周期的时长与该N个连续的统计周期中每个统计周期的时长相等。
可选的,每个会话的特征值包括每个会话的流量大小、会话中平均报文长度、会话终结原因、会话持续时间、会话中最大报文长度、会话中最小报文长度或者会话的五元组信息中的一项或多项。
可选的,所述统计该P个会话的特征值,得到第一统计结果具体包括:统计该P个会话的所述特征值的平均值、方差或标准差、基尼系数、信息熵、向量和/积、卷积中的一项或多项,得到第一统计结果。
可选的,攻击检测装置200可以位于攻击检测系统210中。攻击检测系统210在功能上可以划分为多个层级,主要包括数据采集层、数据分析层、数据呈现层和用户感知层,详情请参阅图2(b)。其中,数据采集层用于接收转发设备转发的会话的信息。数据分析层用于根据数据采集层获取的会话的信息,确定会话的特征值,对会话的特征值进行统计,并根据统计结果判断网络是否被攻击。数据呈现层用于实现商务智能(英文:Business Intelligence)功能,如存储检测数据,筛选呈现给用户的数据等。用户感知层为用户界面,用于直接与用户进行信息互动。本申请提供的攻击检测装置主要用于实现攻击检测系统的数据分析层的功能。
值得指出的是,本申请中攻击检测系统210的各个层级,只是基于便于描述的目的所进行的功能划分。在实际应用中,攻击检测系统的各个层级的功能均可以由相同的模块或设备来实现。攻击检测系统也可以不包括上述一个或多个层级,本申请不做限定。只要攻击检测系统执行了本申请提供的网络攻击的检测方法,就不超出本申请的保护范围。
在图2(b)所示的功能层级的基础上,数据分析层可以进一步的划分出两个系统:实时子系统211和离线子系统212,具体的系统架构请参阅图2(c)。其中,实时子系统211可以由第一攻击检测装置来实现,离线子系统212可以由第二攻击检测装置来实现,第一攻击检测装置和第二攻击检测装置均可以由图2(a)所示的攻击检测装置200实现。两个子系统的区别在于:在执行获取会话的特征值的步骤时,实时子系统211仅确定少量的特征值,故实时子系统211的计算量小、计算速度快,能够保证网络攻击检测的实时性,适宜用于进行表层的网络攻击检测。离线子系统212则确定大量的特征值,故离线子系统212计算量较大、计算速度慢,网络攻击的检测结果往往需要滞后一段时间才能得到,在用户直观上仿佛是“离线”的网络攻击检测。但离线子系统212统计的特征值更多,故检测结果更为精准,适宜用于对未知的或隐藏较深的攻击进行深度检测。本申请中,攻击检测系统并行使用实时子系统211和离线子系统212,根据实时子系统211的攻击检测结果对网络中的攻击进行实时拦截,根据离线子系统212的攻击检测结果生成告警信息、日志信息或其它信息上报,以兼顾攻击检测的实时性和准确性。
图3(a)示出了本申请实施例提供的网络攻击检测方法的流程图。图3(a)所述的攻击检测装置,可以是图1所示的攻击检测装置104,可以是图2(a)的攻击检测装置200,还可以是图2(b)或图2(c)的攻击检测系统210。图3(a)所示的实施例中的转发设备可以是图1所示的转发设备101~103中的一个或多个。所述网络攻击检测方法包括以下步骤。
S301、根据N个连续的统计周期内来自转发设备的P个会话的信息,获取所述P个会话中每个会话的特征值,所述N个连续的统计周期中的最后一个统计周期的结束时刻为第一时刻,所述P为大于1的整数,所述N为大于1的整数。
S302、统计该P个会话的特征值,得到第一统计结果。
S303、根据第一统计结果,判断所述转发设备所在的网络是否被攻击。
S304、根据第一统计周期内来自所述转发设备的Q个会话的信息,获取所述Q个会话中每个会话的特征值,所述第一统计周期的起始时刻为所述第一时刻,所述Q为大于或等于1的整数。
S305、统计该Q个会话的特征值,以及该P个会话中不属于第二统计周期的一个或多个会话的特征值,得到第二统计结果,所述第二统计周期为所述N个连续的统计周期中的第一个统计周期。
S306、根据第二统计结果,判断所述转发设备所在的网络是否被攻击。
举例来说,攻击检测装置在每个统计周期内一次或多次从转发设备获取会话的信息,并在每个统计周期结束时对最近的N个连续的统计周期内获取的会话中,会话的特征值进行一次统计,根据统计结果判断网络是否被攻击。
图3(b)示出了图3(a)实施例中,N+1个连续的统计周期的示意图。该N+1个连续的统计周期依次为统计周期1、统计周期2、……统计周期N以及统计周期N+1。S301中“所述N个连续的统计周期中的最后一个统计周期的结束时刻为第一时刻”,以及S304中“所述第一统计周期的起始时刻为所述第一时刻”,是指所述N个连续的统计周期中的最后一个周期与所述第一统计周期是两个连续的统计周期。因此,为叙述方便,本实施例中,均以所述N个连续的统计周期中的最后一个统计周期为统计周期N,所述第一统计周期为统计周期N+1为例进行说明。
举例来说,图3(b)所示的每个统计周期中,包括一个或多个采样周期。每个采样周期,攻击检测装置从转发设备接收信息,该信息包括转发设备在该采样周期内采样得到的会话的信息。因此,每个统计周期都会从转发设备中获得若干个会话的信息。例如,攻击检测装置在统计周期1中从转发设备获取了m1个会话的信息,在统计周期2从转发设备获取了m2个会话的信息,依次类推,在统计周期N从转发设备获取了mn个会话的信息。S301中,上述m1到mn之和等于P。即,S301中,所述P个会话,是图3(b)所示的时间窗1中转发设备采样得到的会话。可选的,如果每个统计周期获取的会话的信息中,会话数量都大于0,则所述P为大于或等于N的整数。
举例来说,攻击检测装置在统计周期N结束时,获取到了全部P个会话的信息,并在所述统计周期N结束时,执行S302。当然,S302只需在获取到了全部P个会话的信息之后合理的时间范围内执行,均可以认为是在所述统计周期N结束时执行的。
举例来说,S302中,统计所述P个会话的所述特征值,可以是对每个会话的特征值求和,也可以是对每个会话的特征值进行更为复杂的运算。例如,统计所述P个会话的所述特征值的平均值、方差或标准差、基尼系数、信息熵、向量和/积、卷积中的一项或多项,得到所述第一统计结果。
举例来说,S303中,攻击检测装置可以将所述第一统计结果,与预设的参考结果进行比较,如果所述第一统计结果与预设的参考结果之间的差异超过预设的条件,则确定所述转发设备所在的网络被攻击。所述参考结果可以是直接存储在所述攻击检测装置中的,也可以是攻击检测装置根据此前的多次统计结果生成的。
举例来说,S304中所述的第一统计周期,是图3(b)所示的统计周期N+1。S304中,攻击检测装置获取了统计周期N+1内来自转发设备的Q个会话的信息。
具体来说,,S305中所述的第二统计周期,是所述N个连续的统计周期中起始时刻最早的统计周期,也就是所述N个连续的统计周期中起始时刻距离所述第一时刻最远的统计周期。例如,所述第二统计周期可以是图3(b)所示的统计周期1。所述不属于第二统计周期的一个或多个会话,是指所述一个或多个会话的信息,是攻击检测装置在统计周期1之外的其他统计周期中从转发设备接收的。即,用于第二统计结果中包括的会话,是所述Q个会话,以及所述P-m1个会话,也就是图3(b)中时间窗2中攻击检测装置获得信息的会话。
举例来说,S305中对会话特征值进行统计的方式,可以和S302中对会话特征值进行统计的方式相同。
举例来说,S306根据统计结果判断网络是否被攻击的实现方式,与S303的具体实现方式相同。
举例来说,攻击检测装置在新的统计周期中根据当前最新时间窗内来自转发设备的会话的特征值,获取统计结果。其中当前最新时间窗指的是当前最新的N个连续的统计周期,即距离当前时刻最接近的N个连续的统计周期。举例来说,对于统计周期N而言,当前最新的时间窗是时间窗1;对于统计周期N+1而言,当前最新的时间窗是时间窗2。
可选的,每个统计周期中可以包括多个采样周期,攻击检测装置在每个采样周期内,接收来自转发设备的会话的信息。举例来说,第一统计周期可以由M个采样周期组成,M为大于1的整数。攻击检测装置在该M个采样周期中每个采样周期内,接收来自转发设备的一个或多个会话的信息,在该M个采样周期内接收到的全部的会话的信息即为该Q个会话的信息。攻击检测装置根据该Q个会话的信息,获取该Q个会话中每个会话的特征值。
通过将一个统计周期划分为多个采样周期,在每个采样周期中获取一次会话的信息,为攻击检测装置根据网络中需求变化而缩短统计周期提供了便利。在攻击检测装置需要缩短统计周期时,无需再与转发设备进行协商。
举例来说,所述Q个会话中包括第一会话,所述第一会话持续的时长大于所述第一统计周期的时长。例如,所述第一会话是图1中所述的长时会话。具体来说,长时会话的持续时间较长,例如长达数个统计周期,若仅统计单个统计周期内获取的特征值,则攻击检测装置很容易将长时会话的信息误认为网络中存在数据量突发。但是若攻击检测装置对N个统计周期内获取的特征值进行统计,则可以降低长时会话对统计结果的影响,进而减小了将长时会话误判为网络攻击的几率,在长时会话较多的场景下能够大幅度提升网络攻击的检测精度。
可选的,所述N个连续的统计周期中每个统计周期的时长相等,所述第一统计周期的时长与所述N个连续的统计周期中每个统计周期的时长相等。
上述方案,通过对连续的N个统计周期内获取的特征值进行统计,在保证了统计周期较短的情况下,增大了每次统计时的样本个数,有效的减小了网络偶然性波动对攻击检测结果的影响,提高了网络攻击的检测精度。
本发明还提供了一种攻击检测装置,用于实现图3(a)所示的网络攻击的检测方法,其基本结构请参阅图4,攻击检测装置400包括:
获取模块401,用于根据N个连续的统计周期内来自转发设备的P个会话的信息,获取该P个会话中每个会话的特征值。该N个连续的统计周期中的最后一个统计周期的结束时刻为第一时刻。其中P为大于1的整数,N为大于1的整数;
统计模块402,用于统计该P个会话的特征值,得到第一统计结果;
判断模块403,用于根据第一统计结果,判断转发设备所在的网络是否被攻击;
获取模块401还用于:根据第一统计周期内来自转发设备的Q个会话的信息,获取该Q个会话中每个会话的特征值。该第一统计周期的起始时刻为所述第一时刻,Q为大于或等于1的整数。
统计模块402还用于:统计该Q个会话的所述特征值,以及该P个会话中不属于第二统计周期的一个或多个会话的特征值,得到第二统计结果。其中,第二统计周期为该N个连续的统计周期中的第一个统计周期。
判断模块403还用于:根据第二统计结果,判断转发设备所在的网络是否被攻击。
可选的,第一统计周期由M个采样周期组成,其中M为大于1的整数。所述获取模块401具体通过如下方法获取该Q个会话中每个会话的特征值:在该M个采样周期中的每个采样周期内,接收来自转发设备的一个或多个会话的信息,该M个采样周期内一共接收到的会话的信息即为该Q个会话的信息。然后根据该Q个会话的信息,获取该Q个会话中每个会话的特征值。
可选的,该Q个会话中包括第一会话,该第一会话持续的时长大于第一统计周期的时长。
可选的,该N个连续的统计周期中每个统计周期的时长相等,且第一统计周期的时长与该N个连续的统计周期中每个统计周期的时长相等。
可选的,每个会话的特征值包括所述每个会话的流量大小、会话的平均报文长度、会话终结原因、会话持续时间、会话中最大报文的长度、会话中最小报文的长度中的一项或多项。
可选的,统计模块402具体通过如下方式统计该P个会话的特征值得到第一统计结果:统计该P个会话的特征值的平均值、方差或标准差、基尼系数、信息熵、向量和/积、卷积中的一项或多项,得到第一统计结果。
上述攻击检测装置通过对连续的N个统计周期内获取的特征值进行统计,在保证了统计周期较短的情况下,增大了每次统计时的样本个数,有效的减小了网络偶然性波动对攻击检测结果的影响,提高了网络攻击的检测精度。
图4所示的攻击检测装置400的详细描述和具体应用方法可以参考图3所示的方法实施例,此处不做赘述。
可选的,图4所示的各个模块仅为对攻击检测装置400功能上的划分,图4所示的攻击检测装置400实质上可以与图2(a)的攻击检测装置200是相同的攻击检测装置,图4是从逻辑的角度进行描述,图2(a)是从结构的角度进行描述。例如,图4所示的统计模块402和判断模块403可以由图2(a)所示的处理器201实现,图4所示的获取模块401,可以由图2(a)的处理器201和通信接口203共同实现。
可选的,图2(b)中的数据分析层,以及图2(c)中的实时子系统211和离线子系统212,均可以由图4所示的攻击检测装置400来实现。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (13)

1.一种网络攻击的检测方法,其特征在于,所述方法包括:
根据N个连续的统计周期内来自转发设备的P个会话的信息,获取所述P个会话中每个会话的特征值,所述N个连续的统计周期中的最后一个统计周期的结束时刻为第一时刻,所述P为大于1的整数,所述N为大于1的整数;
统计所述P个会话的所述特征值,得到第一统计结果;
根据所述第一统计结果,判断所述转发设备所在的网络是否被攻击;
根据第一统计周期内来自所述转发设备的Q个会话的信息,获取所述Q个会话中每个会话的特征值,所述第一统计周期的起始时刻为所述第一时刻,所述Q为大于或等于1的整数;
统计所述Q个会话的所述特征值,以及所述P个会话中不属于第二统计周期的一个或多个会话的所述特征值,得到第二统计结果,所述第二统计周期为所述N个连续的统计周期中的第一个统计周期;
根据所述第二统计结果,判断所述转发设备所在的网络是否被攻击。
2.根据权利要求1所述的方法,其特征在于,所述第一统计周期由M个采样周期组成,所述M为大于1的整数,所述根据第一统计周期内来自所述转发设备的Q个会话的信息获取所述Q个会话中每个会话的特征值,包括:
在所述M个采样周期中的每个采样周期内,接收来自所述转发设备的一个或多个会话的信息,所述M个采样周期内接收的会话的信息为所述Q个会话的信息;
根据所述Q个会话的信息,获取所述Q个会话中每个会话的所述特征值。
3.根据权利要求1或2所述的方法,其特征在于,所述Q个会话中包括第一会话,所述第一会话持续的时长大于所述第一统计周期的时长。
4.根据权利要求1至3任一所述的方法,其特征在于,所述N个连续的统计周期中每个统计周期的时长相等,所述第一统计周期的时长与所述N个连续的统计周期中每个统计周期的时长相等。
5.根据权利要求1至4任一所述的方法,其特征在于,所述每个会话的特征值包括所述每个会话的流量大小、会话的平均报文长度、会话终结原因、会话持续时间、会话中最大报文的长度、会话中最小报文的长度或者会话的五元组信息中的一项或多项。
6.根据权利要求1至5中任一所述的方法,其特征在于,所述第一统计结果为所述P个会话的所述特征值的平均值、方差、标准差、基尼系数、信息熵、向量和、向量积或卷积中的一项或多项。
7.一种攻击检测装置,其特征在于,包括:
获取模块,用于根据N个连续的统计周期内来自转发设备的P个会话的信息,获取所述P个会话中每个会话的特征值,所述N个连续的统计周期中的最后一个统计周期的结束时刻为第一时刻,所述P为大于1的整数,所述N为大于1的整数;
统计模块,用于统计所述获取模块获取的所述P个会话的所述特征值,得到第一统计结果;
判断模块,用于根据所述统计模块得到的所述第一统计结果,判断所述转发设备所在的网络是否被攻击;
所述获取模块,还用于根据第一统计周期内来自所述转发设备的Q个会话的信息,获取所述Q个会话中每个会话的特征值,所述第一统计周期的起始时刻为所述第一时刻,所述Q为大于或等于1的整数;
所述统计模块,还用于统计所述获取模块获取的所述Q个会话的所述特征值,以及所述P个会话中不属于第二统计周期的一个或多个会话的所述特征值,得到第二统计结果,所述第二统计周期为所述N个连续的统计周期中的第一个统计周期;
所述判断模块,还用于根据所述统计模块得到的所述第二统计结果,判断所述转发设备所在的网络是否被攻击。
8.根据权利要求7所述的攻击检测装置,其特征在于,所述第一统计周期由M个采样周期组成,所述M为大于1的整数,所述获取模块具体用于:
在所述M个采样周期中的每个采样周期内,接收来自所述转发设备的一个或多个会话的信息,所述M个采样周期内接收的会话的信息为所述Q个会话的信息;
根据所述Q个会话的信息,获取所述Q个会话中每个会话的特征值。
9.根据权利要求7或8所述的攻击检测装置,其特征在于,所述Q个会话中包括第一会话,所述第一会话持续的时长大于所述第一统计周期的时长。
10.根据权利要求7至9任一所述的攻击检测装置,其特征在于,所述N个连续的统计周期中每个统计周期的时长相等,所述第一统计周期的时长与所述N个连续的统计周期中每个统计周期的时长相等。
11.根据权利要求7至10任一所述的攻击检测装置,其特征在于,所述每个会话的特征值包括所述每个会话的流量大小、会话的平均报文长度、会话终结原因、会话持续时间、会话中最大报文的长度、会话中最小报文的长度或者会话的五元组信息中的一项或多项。
12.根据权利要求7至11中任一所述的攻击检测装置,其特征在于,所述第一统计结果为所述P个会话的所述特征值的平均值、方差、标准差、基尼系数、信息熵、向量和、向量积或卷积中的一项或多项。
13.一种攻击检测系统,其特征在于,包括实时子系统和离线子系统,所述实时子系统包括如权利要求7至12中任一项所述的第一攻击检测装置,所述离线子系统包括如权利要求7至12中任一项所述的第二攻击检测装置;
所述实时子系统,用于根据所述第一攻击检测装置对所述网络是否被攻击的判断结果,对所述网络中的攻击进行实时拦截;
所述离线子系统,用于根据所述第二攻击检测装置对所述网络是否被攻击的判断结果,生成告警信息和/或日志信息。
CN201610486225.1A 2016-06-28 2016-06-28 网络攻击的检测方法、装置及系统 Pending CN106027546A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610486225.1A CN106027546A (zh) 2016-06-28 2016-06-28 网络攻击的检测方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610486225.1A CN106027546A (zh) 2016-06-28 2016-06-28 网络攻击的检测方法、装置及系统

Publications (1)

Publication Number Publication Date
CN106027546A true CN106027546A (zh) 2016-10-12

Family

ID=57084679

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610486225.1A Pending CN106027546A (zh) 2016-06-28 2016-06-28 网络攻击的检测方法、装置及系统

Country Status (1)

Country Link
CN (1) CN106027546A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107463640A (zh) * 2017-07-19 2017-12-12 安徽拓通信科技集团股份有限公司 基于人工智能信息数据采集方法
CN110430226A (zh) * 2019-09-16 2019-11-08 腾讯科技(深圳)有限公司 网络攻击检测方法、装置、计算机设备及存储介质
CN111641585A (zh) * 2016-12-29 2020-09-08 华为技术有限公司 一种DDoS攻击检测方法及设备
CN111818097A (zh) * 2020-09-01 2020-10-23 北京安帝科技有限公司 基于行为的流量监测方法及装置
CN115037528A (zh) * 2022-05-24 2022-09-09 天翼云科技有限公司 一种异常流量检测方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统
CN103001972A (zh) * 2012-12-25 2013-03-27 苏州山石网络有限公司 Ddos攻击的识别方法和识别装置及防火墙
WO2015192319A1 (zh) * 2014-06-17 2015-12-23 华为技术有限公司 软件定义网络中识别攻击流的方法、装置以及设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统
CN103001972A (zh) * 2012-12-25 2013-03-27 苏州山石网络有限公司 Ddos攻击的识别方法和识别装置及防火墙
WO2015192319A1 (zh) * 2014-06-17 2015-12-23 华为技术有限公司 软件定义网络中识别攻击流的方法、装置以及设备

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641585A (zh) * 2016-12-29 2020-09-08 华为技术有限公司 一种DDoS攻击检测方法及设备
CN111641585B (zh) * 2016-12-29 2023-11-10 华为技术有限公司 一种DDoS攻击检测方法及设备
CN107463640A (zh) * 2017-07-19 2017-12-12 安徽拓通信科技集团股份有限公司 基于人工智能信息数据采集方法
CN107463640B (zh) * 2017-07-19 2020-12-18 一拓通信集团股份有限公司 基于人工智能信息数据采集方法
CN110430226A (zh) * 2019-09-16 2019-11-08 腾讯科技(深圳)有限公司 网络攻击检测方法、装置、计算机设备及存储介质
CN110430226B (zh) * 2019-09-16 2021-08-17 腾讯科技(深圳)有限公司 网络攻击检测方法、装置、计算机设备及存储介质
CN111818097A (zh) * 2020-09-01 2020-10-23 北京安帝科技有限公司 基于行为的流量监测方法及装置
CN115037528A (zh) * 2022-05-24 2022-09-09 天翼云科技有限公司 一种异常流量检测方法及装置
CN115037528B (zh) * 2022-05-24 2023-11-03 天翼云科技有限公司 一种异常流量检测方法及装置

Similar Documents

Publication Publication Date Title
US9769190B2 (en) Methods and apparatus to identify malicious activity in a network
CN106027546A (zh) 网络攻击的检测方法、装置及系统
US11374835B2 (en) Apparatus and process for detecting network security attacks on IoT devices
CN107124434B (zh) 一种dns恶意攻击流量的发现方法及系统
Feng et al. Feature selection for machine learning-based early detection of distributed cyber attacks
US8406132B2 (en) Estimating cardinality distributions in network traffic
US20060119486A1 (en) Apparatus and method of detecting network attack situation
CN108632224A (zh) 一种apt攻击检测方法和装置
CN110855717B (zh) 一种物联网设备防护方法、装置和系统
US20170155668A1 (en) Identifying malicious communication channels in network traffic by generating data based on adaptive sampling
JP2008193221A (ja) アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置
CN106878314A (zh) 基于可信度的网络恶意行为检测方法
CN112422554A (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
CN108712365B (zh) 一种基于流量日志的DDoS攻击事件检测方法及系统
CN113055333B (zh) 可自适应动态调整密度网格的网络流量聚类方法和装置
US11895146B2 (en) Infection-spreading attack detection system and method, and program
Prandl et al. An investigation of power law probability distributions for network anomaly detection
CN110740078A (zh) 一种服务器的代理监测方法及相关产品
CN107454052A (zh) 网络攻击检测方法以及攻击检测装置
CN108111476B (zh) C&c通道检测方法
Cheng et al. Slider: Towards precise, robust and updatable sketch-based DDoS flooding attack detection
CN106817364B (zh) 一种暴力破解的检测方法及装置
CN108521413A (zh) 一种未来信息战争的网络抵抗和防御方法及系统
CN109617925B (zh) 一种针对网络攻击的防护、区间标记的设置方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20161012

RJ01 Rejection of invention patent application after publication