CN110417748A - 一种攻击检测方法及装置 - Google Patents
一种攻击检测方法及装置 Download PDFInfo
- Publication number
- CN110417748A CN110417748A CN201910610403.0A CN201910610403A CN110417748A CN 110417748 A CN110417748 A CN 110417748A CN 201910610403 A CN201910610403 A CN 201910610403A CN 110417748 A CN110417748 A CN 110417748A
- Authority
- CN
- China
- Prior art keywords
- message
- connection
- under
- sample
- destination host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种攻击检测方法及装置。方案包括:获取待检测报文;提取所述待检测报文在预设的多个特征维度下的多类特征数据;将所述多类特征数据分别输入对应的预设分类器,得到所述待检测报文的多个分类结果,其中,一个所述预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器;根据所述多个分类结果,确定所述待检测报文是否为攻击报文。应用本申请实施例提供的技术方案,能够提高攻击检测的自适应性以及攻击报文的检出率。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种攻击检测方法及装置。
背景技术
分布式拒绝服务攻击(英文:Distributed Denial of Service,简称:DDoS)是指将多个网络计算机联合起来作为攻击平台,对一个或多个目标计算机发送拒绝服务攻击(英文:Denial of Service,简称:DoS)攻击,从而成倍地提高DoS的威力。
目前,DDoS报文主要采用预设报文特征进行检测。具体的,检测设备预先设置DDoS报文的报文特征;当接收到网络报文时,检测设备提取网络报文的特征,将提取的特征与预设的报文特征匹配。若二者匹配,则检测设备可确定网络报文为DDoS报文。
随着网络技术的发展,网络环境越来越复杂,DDoS的手段呈现出多样化,DDoS报文的报文特征也变得多样化。检测设备利用预设报文特征来检测DDoS报文,评判标准单一,无法适应网络环境的变化,很容易造成DDoS报文被漏检,不能形成有效的DDoS防御。
发明内容
本申请实施例的目的在于提供一种攻击检测方法及装置,以提高攻击检测的自适应性,以及攻击报文的检出率。具体技术方案如下:
一方面,本申请实施例提供了一种攻击检测方法,应用于网络设备,所述方法包括:
获取待检测报文;
提取所述待检测报文在预设的多个特征维度下的多类特征数据;
将所述多类特征数据分别输入对应的预设分类器,得到所述待检测报文的多个分类结果,其中,一个所述预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器;
根据所述多个分类结果,确定所述待检测报文是否为攻击报文。
二方面,本申请实施例提供了一种攻击检测装置,应用于网络设备,所述装置包括:
获取单元,用于获取待检测报文;
提取单元,用于提取所述待检测报文在预设的多个特征维度下的多类特征数据;
分类单元,用于将所述多类特征数据分别输入对应的预设分类器,得到所述待检测报文的多个分类结果,其中,一个所述预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器;
确定单元,用于根据所述多个分类结果,确定所述待检测报文是否为攻击报文。
三方面,本申请实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。
四方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。
本申请实施例提供的一种攻击检测方法及装置,网络设备根据多个样本报文在多个特征维度下的多类样本特征数据,训练得到多个特征维度下的预设分类器。其中,样本报文包括样本攻击报文。在网络环境发生变化时,样本攻击报文也发生变化,训练得到的多个特征维度下预设分类器也随之发生变化。网络设备基于多个特征维度下的多类特征数据以及训练得到多个特征维度下的预设分类器,来确定待检测报文是否为攻击报文,解决了评判标准单一的问题,提高了攻击检测的自适应性,提高了攻击报文的检出率。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的攻击检测方法的一种流程示意图;
图2为本申请实施例提供的一种组网示意图;
图3为本申请实施例提供的预设分类器的训练流程示意图;
图4为本申请实施例提供的预设分类器的测试流程示意图;
图5为本申请实施例提供的攻击检测装置的一种结构示意图;
图6为本申请实施例提供的网络设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,DDoS报文主要采用预设报文特征进行检测。这种DDoS报文的检测方式,评判标准单一,无法适应网络环境的变化,很容易造成DDoS报文被漏检,不能形成有效的DDoS防御。
为解决上述问题,本申请实施例提供了一种攻击检测方法。该方法应用于防火墙设备、路由器和交换机等网络设备。为便于理解下面以执行主体为网络设备进行说明。该攻击检测方法中,网络设备根据多个样本报文在多个特征维度下的多类样本特征数据,训练得到多个特征维度下的预设分类器。其中,样本报文包括样本攻击报文。在网络环境发生变化时,样本攻击报文也发生变化,训练得到的多个特征维度下预设分类器也随之发生变化。网络设备基于多个特征维度下的多类特征数据以及训练得到多个特征维度下的预设分类器,来确定待检测报文是否为攻击报文,解决了评判标准单一的问题,提高了攻击检测的自适应性,提高了攻击报文的检出率。
下面通过具体实施例,对本申请实施例提供的攻击检测方法进行说明。
参考图1,图1为本申请实施例提供的攻击检测方法的一种流程示意图。该方法应用于网络设备,包括如下步骤。
步骤101,获取待检测报文。
上述待检测报文可以为用户输入的网络报文,也可以为网络设备截获的网络报文。
例如,如图2所示的组网,用户设备200通过网络设备201向服务器202发送网络报文时,网络设备201可以截获该网络报文,作为待检测报文。
步骤102,提取待检测报文在预设的多个特征维度下的多类特征数据。
网络设备中预设有多个特征维度。在获取到待检测报文后,网络设备提取待检测报文在多个特征维度下的多类特征数据。
一个可选的实施例中,上述多个特征维度可以包括基于网络连接的特征维度、基于时间的特征维度和基于主机的特征维度中的至少两个维度。
其中,上述基于网络连接的特征维度下的特征数据为基本特征。本申请实施例中,基于网络连接的特征维度下的特征数据可以包括表1所示特征数据中的一个或多个。
表1
上述基于时间的特征维度下的特征数据为基于时间的网络报文的统计特征。本申请实施例中,基于时间的特征维度下的特征数据可以包括表2所示特征数据中的一个或多个。
表2
本申请实施例中,上述预设时长可以为10秒、20秒或30秒等。具体的,用户可以根据实际需求进行设定预设时长。
上述基于主机的特征维度下的特征数据为基于主机的网络报文的统计特征。本申请实施例中,基于主机的特征维度下的特征数据可以包括表3所示特征数据中的一个或多个。
表3
本申请实施例中,上述预设数量可以为10、50或100等。具体的,用户可以根据实际需求进行设定预设数量。
例如,预设的多个特征维度包括基本特征维度、时间特征维度和主机特征维度。基于网络连接的特征维度下的特征数据包括:Continued、SrcToDst_bytes和DstToSrc_bytes。基于时间的特征维度下的特征数据包括:Counts、Same_srv_count和Syn_error_rate。基于主机的特征维度下的特征数据包括:Dst_host_count、Same_dsthost_srv_count和Same_dsthost_srv_rate。网络设备获取到待检测报文后,提取到待检测报文在基于网络连接的特征维度下的特征数据为{Continued:150,SrcToDst_bytes:11000,DstToSrc_bytes:20000},提取到待检测报文在基于时间的特征维度下的特征数据为{Counts:200,Same_srv_count:170,Syn_error_rate:0.7},提取到待检测报文在基于主机的特征维度下的特征数据为{Dst_host_count:70、Same_dsthost_srv_count:50,Same_dsthost_srv_rate:0.5}。
步骤103,将多类特征数据分别输入对应的预设分类器,得到待检测报文的多个分类结果。其中,一个预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器。样本报文可以包括该特征维度下的样本攻击报文和该特征维度下的样本正常报文。
具体的,针对每一特征维度,网络设备将该特征维度下的一类特征数据输入该特征维度下的预设分类器,得到该特征维度下待检测报文的分类结果。待检测报文的分类结果为待检测报文为攻击报文,或待检测报文为正常报文。
一个实施例中,针对每一特征维度,网络设备在将该特征维度下的一类特征数据输入该特征维度下的预设分类器后,预设分类器根据该特征维度下的一类特征数据,确定在该特征维度下待检测报文为攻击报文的概率,即第一概率。若第一概率大于预设概率阈值,则预设分类器输出的分类结果为待检测报文为攻击报文,即网络设备得到的待检测报文的分类结果为待检测报文为攻击报文。若第一概率中小于等于预设概率阈值,则预设分类器输出的分类结果为待检测报文为正常报文,即网络设备得到的待检测报文的分类结果为待检测报文为正常报文。
仍以步骤102中基于网络连接的特征维度的例子为例进行说明。网络设备获取到基于网络连接的特征维度下的特征数据后,将基于网络连接的特征维度下的特征数据{Continued:150,SrcToDst_bytes:11000,DstToSrc_bytes:20000}输入基于网络连接的特征维度下的预设分类器1。预设分类器1根据基于网络连接的特征维度下的特征数据,确定在基于网络连接的特征维度下待检测报文为攻击报文的概率1。若概率1大于预设概率阈值,则预设分类器1输出的分类结果1为待检测报文为攻击报文。若概率1不大于预设概率阈值,则预设分类器1输出的分类结果1为待检测报文为正常报文。
步骤104,根据多个分类结果,确定待检测报文是否为攻击报文。
网络设备在得到多个分类结果后,根据多个分类结果,确定待检测报文是否为攻击报文。
一个实施例中,若多个分类结果中一个分类结果为待检测报文为攻击报文,则网络设备确定待检测报文的检测结果为:待检测报文为攻击报文。
仍以步骤103中的例子为例进行说明。网络设备获取到基于时间的特征维度下的特征数据后,将基于时间的特征维度下的特征数据{Counts:200,Same_srv_count:170,Syn_error_rate:0.7}输入基于时间的特征维度下的预设分类器2,得到待检测报文的分类结果2。
网络设备获取到基于主机的特征维度下的特征数据后,将基于主机的特征维度下的特征数据{Dst_host_count:70、Same_dsthost_srv_count:50,Same_dsthost_srv_rate:0.5}输入基于主机的预设分类器3,得到待检测报文的分类结果3。
若分类结果1-3中有一个分类结果为待检测报文为攻击报文,例如分类结果1为待检测报文为攻击报文,则网络设备确定待检测报文的检测结果为:待检测报文为攻击报文。
另一个实施例中,若多个分类结果中指示待检测报文为攻击报文的分类结果的数量大于指示待检测报文为正常报文的分类结果的数量,则网络设备确定待检测报文的检测结果为:待检测报文为攻击报文。
本申请实施例中,网络设备还可以采用其他方式确定待检测报文的检测结果,对此不进行限定。
本申请实施例提供的攻击检测方法中,网络设备根据多个样本报文在多个特征维度下的多类样本特征数据,训练得到多个特征维度下的预设分类器。其中,样本报文包括样本攻击报文。在网络环境发生变化时,样本攻击报文也发生变化,训练得到的多个特征维度下预设分类器也随之发生变化。网络设备基于多个特征维度下的多类特征数据以及训练得到多个特征维度下的预设分类器,来确定待检测报文是否为攻击报文,解决了评判标准单一的问题,提高了攻击检测的自适应性,提高了攻击报文的检出率。
网络设备进行攻击检测前,需要对预设分类器进行训练。在本申请的一个实施例中,针对预设的多个特征维度的任一特征维度,以第一特征维度为例,第一特征维度下的预设分类器的训练过程,可参考图3所示。该过程包括如下步骤。
步骤301,获取多个样本报文。
其中,多个样本报文中包括第一特征维度下的多个样本攻击报文和第一特征维度下的多个样本正常报文。
每一特征维度下均存在相应的攻击报文和正常报文。具体的,一个网络报文在一特征维度下是攻击报文,但在另一特征维度下不一定是攻击报文。
在训练预设分类器时,网络设备获取多个样本报文,多个样本报文中包括第一特征维度下的多个样本攻击报文和第一特征维度下的多个样本正常报文。
步骤302,提取多个样本报文在第一特征维度下的样本特征数据。
例如,第一特征维度为基于网络连接的特征维度。多个样本报文包括样本攻击报文1、样本攻击报文2和样本正常报文3。网络设备提取样本攻击报文1在基于网络连接的特征维度下的样本特征数据1,样本攻击报文2在基于网络连接的特征维度下的样本特征数据2,以及样本正常报文3在基于网络连接的特征维度下的样本特征数据3。
在本申请的一个实施例中,在提取多个样本报文在第一特征维度下的样本特征数据之前,网络设备可对多个样本报文进行清洗和预处理。具体的,网络设备清除多个样本报文中不完整以及语法错误的报文。对于剩余的样本报文,网络设备归一化处理样本报文的格式,以便于后续的处理。
步骤303,针对多个样本报文的样本特征数据,采用朴素贝叶斯算法进行计算,得到每一样本报文为攻击报文的第二概率。
仍以步骤302中的例子为例进行说明。网络设备获取到样本特征数据1、样本特征数据2和样本特征数据3后,针对样本特征数据1,采用朴素贝叶斯算法进行计算,得到基于网络连接的特征维度下样本报文1为攻击报文的概率11,针对样本特征数据2,采用朴素贝叶斯算法进行计算,得到基于网络连接的特征维度下样本攻击报文2为攻击报文的概率12,针对样本特征数据3,采用朴素贝叶斯算法进行计算,得到基于网络连接的特征维度下样本正常报文3为攻击报文的概率13。
本申请实施例中,假设xi表示样本报文x在第一特征维度下第i个特征数据的取值,c表示样本正常报文或样本攻击报文。Dc,xi表示c类样本报文中在第一特征维度下第i个特征数据上取值为xi的数量。Dc表示c类样本报文的数量。基于此,条件概率:
再假设Ni表示在第一特征维度下第i个特征数据可能的取值数。对上述条件概率进行修正后得到:
在假设第一特征维度下每个特征数据独立的对分类结果发生影响的情况下,设定P(c)表示第一特征维度下的c类样本报文在全部样本报文中出现的比例,则P(c|x)可表示如下:
其中,n表示第一特征维度下特征数据的数量。
通过朴素贝叶斯算法,网络设备可以得到每一样本报文为攻击报文的第二概率,以及每一样本报文为正常报文的第三概率。
步骤304,根据每一样本报文的第二概率,确定每一样本报文的分类结果。
一个实施例中,针对每一样本报文的第二概率,若第二概率大于预设概率阈值,则网络设备确定该样本报文的分类结果为待检测报文为攻击报文;若第二概率不大于预设概率阈值,则网络设备确定该样本报文的分类结果为待检测报文为正常报文。
步骤305,统计多个样本报文的分类结果的样本正确率。
网络设备已知每一样本报文的分类。网络设备根据已知的每一样本报文的分类,以及得到的每一样本报文的分类结果,统计正确率,即样本正确率。
步骤306,判断样本正确率是否小于第一预设正确率阈值。若是,则执行步骤307。若否,则执行步骤308。
步骤307,调整朴素贝叶斯算法的参数,并返回执行步骤303。
步骤308,将基于朴素贝叶斯算法的分类器,确定为在第一特征维度下的预设分类器。
网络设备若样本正确率小于第一预设正确率阈值,则执行步骤307,调整朴素贝叶斯算法的参数,如上述参数Ni,之后返回执行步骤303。网络设备若样本正确率大于等于第一预设正确率阈值,则确定在第一特征维度下的朴素贝叶斯算法达到稳定,将基于该朴素贝叶斯算法的分类器,确定为在第一特征维度下的预设分类器。
当预设的多个特征维度下的朴素贝叶斯算法均达到稳定后,网络设备确定得到了多个特征维度下稳定的预设分类器。
为了保证训练得到的分类器能够准确的检测攻击报文,在基于多个样本报文得到第一特征维度下稳定的预设分类器后,对第一特征维度下的预设分类器进行测试。具体的参考图4所示的预设分类器测试流程。该流程包括如下步骤。
步骤401,获取多个测试报文。
在训练预设分类器时,网络设备获取多个测试报文。测试报文包括第一特征维度下的多个正常报文和第一特征维度下的多个攻击报文。
步骤402,提取每一测试报文在第一特征维度下的测试特征数据。
例如,网络设备获取到的多个测试报文包括测试报文1和测试报文2。网络设备提取测试报文1在第一特征维度下的测试特征数据,以及测试报文2在第一特征维度下的测试特征数据。
在本申请的一个实施例中,在提取每一测试报文在第一特征维度下的测试特征数据之前,网络设备可对多个测试报文进行清洗和预处理。具体的,网络设备清除多个测试报文中不完整以及语法错误的报文。对于剩余的测试报文,网络设备归一化处理测试报文的格式,以便于后续的处理。
步骤403,针对每一测试报文,将该测试报文的测试特征数据输入第一特征维度下的预设分类器,得到该测试报文的分类结果。具体的,可参见步骤103部分的描述。
步骤404,统计多个测试报文的分类结果的测试正确率。
网络设备得到多个测试报文的分类结果后,结合多个测试报文的真实分类,统计得到多个测试报文的第一结果的正确率,作为测试正确率。
步骤405,检测测试正确率是否小于第二预设正确率阈值。若测试正确率小于第二预设正确率阈值,则执行步骤406。若测试正确率不小于第二预设正确率阈值,则结束测试。
步骤406,重新获取多个样本报文,对第一特征维度下的预设分类器进行训练。
网络设备统计得到多个测试报文的分类结果的测试正确率后,若确定测试正确率大于等于第二预设正确率阈值,则确定基于第一特征维度下的预设分类器检测攻击报文时能够达到检测期望,结束第一特征维度下预设分类器的测试。此时网络设备可以利用当前的第一特征维度下的预设分类器进行攻击检测。
网络设备若确定测试正确率小于第二预设正确率阈值,则重新获取多个样本报文,对第一特征维度下的预设分类器进行训练。具体的可参考图3部分的描述。
当上述多个特征维度下的预设分类器均测试结束后,可利用这多个特征维度下的预设分类器对待检测报文进行攻击检测
一个可选的实施例中,为了保证预设分类器分类的准确性,网络设备按照预设规则获取距离当前时间最近的一段时间内的攻击报文和正常报文,组成样本数据库。
上述预设规则可以按照预设周期时长获取攻击报文和正常报文,也可以为接收到用户输入的训练指令后获取攻击报文和正常报文。本申请实施例对上述预设规则不做具体限定。
本申请实施例中,网络设备在获取到样本数据库后,可以从样本数据库中随机选取出部分报文作为样本报文,将样本数据库中其他的报文作为测试报文。其中,样本报文用于训练上述多个特征维度下的预设分类器。具体可参考步骤301-308部分的描述。测试报文用于测试训练得到上述多个特征维度下的预设分类器。具体可参考步骤401-406部分的描述。针对每一特征维度,例如第一特征维度,若网络设备检测到测试正确率小于第二预设正确率阈值,则从样本数据库中重新随机选取出部分报文作为样本报文,将样本数据库中其他的报文作为测试报文。
例如,样本数据库包括1000个报文。网络设备从样本数据库中随机选取出100个报文作为样本报文,将样本数据库中其他的900个报文作为测试报文。网络设备利用100个样本报文,对多个特征维度下的预设分类器进行训练。在训练结束后,网络设备利用900个测试报文对多个特征维度下的预设分类器进行测试。针对第一特征维度,若网络设备检测到测试正确率小于第二预设正确率阈值,则从样本数据库中重新随机选取出100个报文作为样本报文,将样本数据库中其他的900个报文作为测试报文。
基于上述攻击检测方法,本申请实施例还提供了一种攻击检测装置。参考图5所示的攻击检测装置的一种结构示意图,该装置应用于网络设备,包括:
获取单元501,用于获取待检测报文;
提取单元502,用于提取待检测报文在预设的多个特征维度下的多类特征数据;
分类单元503,用于将多类特征数据分别输入对应的预设分类器,得到待检测报文的多个分类结果,其中,一个预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器;
确定单元504,用于根据多个分类结果,确定待检测报文是否为攻击报文。
一个可选的实施例中,每一特征维度下的预设分类器用于,根据该特征维度下的一类特征数据,确定在该特征维度下待检测报文为攻击报文的第一概率;若第一概率大于预设概率阈值,则输出待检测报文为攻击报文的分类结果;若第一概率不大于预设概率阈值,则输出待检测报文为正常报文的分类结果。
一个可选的实施例中,多个特征维度包括基于网络连接的特征维度、基于时间的特征维度和基于主机的特征维度中的至少两个维度;
基于网络连接的特征维度下的特征数据包括:用于传输待检测报文的第一连接的持续时长、从第一连接具有的源主机向第一连接具有的目的主机传输的网络报文的总字节数、从目的主机向源主机传输的网络报文的总字节数、指示源主机与目的主机间的多个连接的端口是否相同的信息、源主机与目的主机间传输的网络报文中错误分段的数量、以及源主机与目的主机间传输的网络报文中加急报文的个数中的一个或多个;
基于时间特征维度下的特征数据包括:在接收待检测报文之前的预设时长内,具有目的主机的连接的数量、具有目的主机的连接中出现SYN报文错误的连接的百分比、具有目的主机的连接中出现REJ报文错误的连接的百分比、与第一连接提供相同服务的连接的数量、与第一连接提供相同服务的连接中出现SYN报文错误的连接的百分比、与第一连接提供相同服务的连接中出现REJ报文错误的连接的百分比、具有目的主机的连接中与第一连接提供相同服务的连接的百分比、具有目的主机的连接中与第一连接提供不同服务的连接的百分比、以及与第一连接提供相同服务的连接中具有目的主机的连接的百分比中的一个或多个;
基于主机特征维度下的特征数据包括:在第一连接之前的预设数量个连接中,具有目的主机的连接的数量、具有目的主机且与第一连接提供相同服务的连接的数量、具有目的主机且与第一连接提供相同服务的连接的百分比、具有目的主机且与第一连接提供不同服务的连接的百分比、具有目的主机和源主机的连接的百分比、具有目的主机且与第一连接提供相同服务的连接中不具有源主机的连接的百分比、具有目的主机的连接中出现SYN报文错误的连接的百分比、具有目的主机且与第一连接提供相同服务的连接中出现SYN报文错误的连接的百分比、具有目的主机的连接中出现REJ报文错误的连接的百分比、以及具有目的主机且与第一连接提供相同服务的连接中出现REJ报文错误的连接的百分比中的一个或多个。
一个可选的实施例中,上述攻击检测装置还可以包括:训练单元用于:
获取多个样本报文;
提取多个样本报文在第一特征维度下的样本特征数据;
针对多个样本报文的样本特征数据,采用朴素贝叶斯算法进行计算,得到每一样本报文为攻击报文的第二概率;
根据每一样本报文的第二概率,确定每一样本报文的分类结果;
统计多个样本报文的分类结果的样本正确率;
若样本正确率小于第一预设正确率阈值,则调整朴素贝叶斯算法的参数,并返回针对多个样本报文的样本特征数据,采用朴素贝叶斯算法进行计算,得到每一样本报文为攻击报文的第二概率的步骤;
若样本正确率不小于第一预设正确率阈值,则将基于朴素贝叶斯算法的分类器,确定为在第一特征维度下的预设分类器。
一个可选的实施例中,上述攻击检测装置还可以包括:测试单元用于:
在第一特征维度下的预设分类器训练结束后,获取多个测试报文;
提取每一测试报文在第一特征维度下的测试特征数据;
针对每一测试报文,将该测试报文的测试特征数据输入第一特征维度下的预设分类器,得到该测试报文的分类结果;
统计多个测试报文的分类结果的测试正确率;
若测试正确率小于第二预设正确率阈值,则重新获取多个样本报文,对第一特征维度下的预设分类器进行训练。
本申请实施例提供的一种攻击检测装置,网络设备根据多个样本报文在多个特征维度下的多类样本特征数据,训练得到多个特征维度下的预设分类器。其中,样本报文包括样本攻击报文。在网络环境发生变化时,样本攻击报文也发生变化,训练得到的多个特征维度下预设分类器也随之发生变化。网络设备基于多个特征维度下的多类特征数据以及训练得到多个特征维度下的预设分类器,来确定待检测报文是否为攻击报文,解决了评判标准单一的问题,提高了攻击检测的自适应性,提高了攻击报文的检出率。
基于上述攻击检测方法,本申请实施例还提供了一种网络设备,如图6所示,包括处理器601和机器可读存储介质602,机器可读存储介质602存储有能够被处理器601执行的机器可执行指令。处理器601被机器可执行指令促使实现上述图1-图4所示的任一步骤。
一个可选的实施例中,如图6所示,网络设备还可以包括:通信接口603和通信总线604;其中,处理器601、机器可读存储介质602、通信接口603通过通信总线604完成相互间的通信,通信接口603用于上述网络设备与其他设备之间的通信。
基于上述攻击检测方法,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行指令促使实现上述图1-图4所示的任一步骤。
上述通信总线可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于攻击检测装置、网络设备和机器可读存储介质实施例而言,由于其基本相似于攻击检测方法实施例,所以描述的比较简单,相关之处参见攻击检测方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种攻击检测方法,其特征在于,应用于网络设备,所述方法包括:
获取待检测报文;
提取所述待检测报文在预设的多个特征维度下的多类特征数据;
将所述多类特征数据分别输入对应的预设分类器,得到所述待检测报文的多个分类结果,其中,一个所述预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器;
根据所述多个分类结果,确定所述待检测报文是否为攻击报文。
2.根据权利要求1所述的方法,其特征在于,每一特征维度下的预设分类器用于,根据该特征维度下的一类特征数据,确定在该特征维度下所述待检测报文为攻击报文的第一概率;若所述第一概率大于预设概率阈值,则输出所述待检测报文为攻击报文的分类结果;若所述第一概率不大于所述预设概率阈值,则输出所述待检测报文为正常报文的分类结果。
3.根据权利要求1或2所述的方法,其特征在于,所述多个特征维度包括基于网络连接的特征维度、基于时间的特征维度和基于主机的特征维度中的至少两个维度;
所述基于网络连接的特征维度下的特征数据包括:用于传输所述待检测报文的第一连接的持续时长、从所述第一连接具有的源主机向所述第一连接具有的目的主机传输的网络报文的总字节数、从所述目的主机向所述源主机传输的网络报文的总字节数、指示所述源主机与所述目的主机间的多个连接的端口是否相同的信息、所述源主机与所述目的主机间传输的网络报文中错误分段的数量、以及所述源主机与所述目的主机间传输的网络报文中加急报文的个数中的一个或多个;
所述基于时间的特征维度下的特征数据包括:在接收所述待检测报文之前的预设时长内,具有所述目的主机的连接的数量、具有所述目的主机的连接中出现同步SYN报文错误的连接的百分比、具有所述目的主机的连接中出现拒绝REJ报文错误的连接的百分比、与所述第一连接提供相同服务的连接的数量、与所述第一连接提供相同服务的连接中出现SYN报文错误的连接的百分比、与所述第一连接提供相同服务的连接中出现REJ报文错误的连接的百分比、具有所述目的主机的连接中与所述第一连接提供相同服务的连接的百分比、具有所述目的主机的连接中与所述第一连接提供不同服务的连接的百分比、以及与所述第一连接提供相同服务的连接中具有所述目的主机的连接的百分比中的一个或多个;
所述基于主机的特征维度下的特征数据包括:在所述第一连接之前的预设数量个连接中,具有所述目的主机的连接的数量、具有所述目的主机且与所述第一连接提供相同服务的连接的数量、具有所述目的主机且与所述第一连接提供相同服务的连接的百分比、具有所述目的主机且与所述第一连接提供不同服务的连接的百分比、具有所述目的主机和所述源主机的连接的百分比、具有所述目的主机且与所述第一连接提供相同服务的连接中不具有所述源主机的连接的百分比、具有所述目的主机的连接中出现SYN报文错误的连接的百分比、具有所述目的主机且与所述第一连接提供相同服务的连接中出现SYN报文错误的连接的百分比、具有所述目的主机的连接中出现REJ报文错误的连接的百分比、以及具有所述目的主机且与所述第一连接提供相同服务的连接中出现REJ报文错误的连接的百分比中的一个或多个。
4.根据权利要求1所述的方法,其特征在于,针对所述多个特征维度的第一特征维度,采用如下步骤训练得到所述第一特征维度下的预设分类器:
获取多个样本报文;
提取所述多个样本报文在所述第一特征维度下的样本特征数据;
针对所述多个样本报文的样本特征数据,采用朴素贝叶斯算法进行计算,得到每一样本报文为攻击报文的第二概率;
根据每一样本报文的第二概率,确定每一样本报文的分类结果;
统计所述多个样本报文的分类结果的样本正确率;
若所述样本正确率小于第一预设正确率阈值,则调整所述朴素贝叶斯算法的参数,并返回所述针对所述多个样本报文的样本特征数据,采用朴素贝叶斯算法进行计算,得到每一样本报文为攻击报文的第二概率的步骤;
若所述样本正确率不小于所述第一预设正确率阈值,则将基于所述朴素贝叶斯算法的分类器,确定为在所述第一特征维度下的预设分类器。
5.根据权利要求4所述的方法,其特征在于,在所述第一特征维度下的预设分类器训练结束后,还包括:
获取多个测试报文;
提取每一测试报文在所述第一特征维度下的测试特征数据;
针对每一测试报文,将该测试报文的测试特征数据输入所述第一特征维度下的预设分类器,得到该测试报文的分类结果;
统计所述多个测试报文的分类结果的测试正确率;
若所述测试正确率小于第二预设正确率阈值,则重新获取多个样本报文,对所述第一特征维度下的预设分类器进行训练。
6.一种攻击检测装置,其特征在于,应用于网络设备,所述装置包括:
获取单元,用于获取待检测报文;
提取单元,用于提取所述待检测报文在预设的多个特征维度下的多类特征数据;
分类单元,用于将所述多类特征数据分别输入对应的预设分类器,得到所述待检测报文的多个分类结果,其中,一个所述预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器;
确定单元,用于根据所述多个分类结果,确定所述待检测报文是否为攻击报文。
7.根据权利要求6所述的装置,其特征在于,每一特征维度下的预设分类器用于,根据该特征维度下的一类特征数据,确定在该特征维度下所述待检测报文为攻击报文的第一概率;若所述第一概率大于预设概率阈值,则输出所述待检测报文为攻击报文的分类结果;若所述第一概率不大于所述预设概率阈值,则输出所述待检测报文为正常报文的分类结果。
8.根据权利要求6或7所述的装置,其特征在于,所述多个特征维度包括基于网络连接的特征维度、基于时间的特征维度和基于主机的特征维度中的至少两个维度;
所述基于网络连接的特征维度下的特征数据包括:用于传输所述待检测报文的第一连接的持续时长、从所述第一连接具有的源主机向所述第一连接具有的目的主机传输的网络报文的总字节数、从所述目的主机向所述源主机传输的网络报文的总字节数、指示所述源主机与所述目的主机间的多个连接的端口是否相同的信息、所述源主机与所述目的主机间传输的网络报文中错误分段的数量、以及所述源主机与所述目的主机间传输的网络报文中加急报文的个数中的一个或多个;
所述基于时间特征维度下的特征数据包括:在接收所述待检测报文之前的预设时长内,具有所述目的主机的连接的数量、具有所述目的主机的连接中出现同步SYN报文错误的连接的百分比、具有所述目的主机的连接中出现拒绝REJ报文错误的连接的百分比、与所述第一连接提供相同服务的连接的数量、与所述第一连接提供相同服务的连接中出现SYN报文错误的连接的百分比、与所述第一连接提供相同服务的连接中出现REJ报文错误的连接的百分比、具有所述目的主机的连接中与所述第一连接提供相同服务的连接的百分比、具有所述目的主机的连接中与所述第一连接提供不同服务的连接的百分比、以及与所述第一连接提供相同服务的连接中具有所述目的主机的连接的百分比中的一个或多个;
所述基于主机特征维度下的特征数据包括:在所述第一连接之前的预设数量个连接中,具有所述目的主机的连接的数量、具有所述目的主机且与所述第一连接提供相同服务的连接的数量、具有所述目的主机且与所述第一连接提供相同服务的连接的百分比、具有所述目的主机且与所述第一连接提供不同服务的连接的百分比、具有所述目的主机和所述源主机的连接的百分比、具有所述目的主机且与所述第一连接提供相同服务的连接中不具有所述源主机的连接的百分比、具有所述目的主机的连接中出现SYN报文错误的连接的百分比、具有所述目的主机且与所述第一连接提供相同服务的连接中出现SYN报文错误的连接的百分比、具有所述目的主机的连接中出现REJ报文错误的连接的百分比、以及具有所述目的主机且与所述第一连接提供相同服务的连接中出现REJ报文错误的连接的百分比中的一个或多个。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:训练单元,用于:
获取多个样本报文;
提取所述多个样本报文在所述第一特征维度下的样本特征数据;
针对所述多个样本报文的样本特征数据,采用朴素贝叶斯算法进行计算,得到每一样本报文为攻击报文的第二概率;
根据每一样本报文的第二概率,确定每一样本报文的分类结果;
统计所述多个样本报文的分类结果的样本正确率;
若所述样本正确率小于第一预设正确率阈值,则调整所述朴素贝叶斯算法的参数,并返回所述针对所述多个样本报文的样本特征数据,采用朴素贝叶斯算法进行计算,得到每一样本报文为攻击报文的第二概率的步骤;
若所述样本正确率不小于所述第一预设正确率阈值,则将基于所述朴素贝叶斯算法的分类器,确定为在所述第一特征维度下的预设分类器。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:测试单元,用于:
在所述第一特征维度下的预设分类器训练结束后,获取多个测试报文;
提取每一测试报文在所述第一特征维度下的测试特征数据;
针对每一测试报文,将该测试报文的测试特征数据输入所述第一特征维度下的预设分类器,得到该测试报文的分类结果;
统计所述多个测试报文的分类结果的测试正确率;
若所述测试正确率小于第二预设正确率阈值,则重新获取多个样本报文,对所述第一特征维度下的预设分类器进行训练。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910610403.0A CN110417748A (zh) | 2019-07-08 | 2019-07-08 | 一种攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910610403.0A CN110417748A (zh) | 2019-07-08 | 2019-07-08 | 一种攻击检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110417748A true CN110417748A (zh) | 2019-11-05 |
Family
ID=68360661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910610403.0A Pending CN110417748A (zh) | 2019-07-08 | 2019-07-08 | 一种攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110417748A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868715A (zh) * | 2019-12-03 | 2020-03-06 | 迈普通信技术股份有限公司 | 安全保护方法、装置、系统、电子设备及存储介质 |
| CN111541672A (zh) * | 2016-12-23 | 2020-08-14 | 新东网科技有限公司 | 一种检测http请求安全性方法及系统 |
| CN112600828A (zh) * | 2020-12-07 | 2021-04-02 | 中国南方电网有限责任公司超高压输电公司 | 基于数据报文的电力控制系统攻击检测防护方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150156211A1 (en) * | 2013-11-29 | 2015-06-04 | Macau University Of Science And Technology | Method for Predicting and Detecting Network Intrusion in a Computer Network |
| CN106357618A (zh) * | 2016-08-26 | 2017-01-25 | 北京奇虎科技有限公司 | 一种Web异常检测方法和装置 |
| US20170026391A1 (en) * | 2014-07-23 | 2017-01-26 | Saeed Abu-Nimeh | System and method for the automated detection and prediction of online threats |
| CN108200054A (zh) * | 2017-12-29 | 2018-06-22 | 北京奇安信科技有限公司 | 一种基于dns解析的恶意域名检测方法及装置 |
| CN108416375A (zh) * | 2018-02-13 | 2018-08-17 | 中国联合网络通信集团有限公司 | 工单分类方法及装置 |
| CN108897754A (zh) * | 2018-05-07 | 2018-11-27 | 广东省电信规划设计院有限公司 | 基于大数据的工单类型的识别方法、系统和计算设备 |
| CN109951491A (zh) * | 2019-03-28 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 网络攻击检测方法、装置、设备及存储介质 |
-
2019
- 2019-07-08 CN CN201910610403.0A patent/CN110417748A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150156211A1 (en) * | 2013-11-29 | 2015-06-04 | Macau University Of Science And Technology | Method for Predicting and Detecting Network Intrusion in a Computer Network |
| US20170026391A1 (en) * | 2014-07-23 | 2017-01-26 | Saeed Abu-Nimeh | System and method for the automated detection and prediction of online threats |
| CN106357618A (zh) * | 2016-08-26 | 2017-01-25 | 北京奇虎科技有限公司 | 一种Web异常检测方法和装置 |
| CN108200054A (zh) * | 2017-12-29 | 2018-06-22 | 北京奇安信科技有限公司 | 一种基于dns解析的恶意域名检测方法及装置 |
| CN108416375A (zh) * | 2018-02-13 | 2018-08-17 | 中国联合网络通信集团有限公司 | 工单分类方法及装置 |
| CN108897754A (zh) * | 2018-05-07 | 2018-11-27 | 广东省电信规划设计院有限公司 | 基于大数据的工单类型的识别方法、系统和计算设备 |
| CN109951491A (zh) * | 2019-03-28 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 网络攻击检测方法、装置、设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| 吴东方: ""基于机器学习的工业互联网入侵检测方法研究"", 《中国优秀硕士学位论文全文数据库》 * |
| 常梦云: ""融合网络攻击特征学习的入侵检测技术研究"", 《中国优秀硕士学位论文全文数据库》 * |
| 程玮清: ""基于SPARK的防火墙异常流量识别研究"", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541672A (zh) * | 2016-12-23 | 2020-08-14 | 新东网科技有限公司 | 一种检测http请求安全性方法及系统 |
| CN110868715A (zh) * | 2019-12-03 | 2020-03-06 | 迈普通信技术股份有限公司 | 安全保护方法、装置、系统、电子设备及存储介质 |
| CN110868715B (zh) * | 2019-12-03 | 2022-06-21 | 迈普通信技术股份有限公司 | 安全保护方法、装置、系统、电子设备及存储介质 |
| CN112600828A (zh) * | 2020-12-07 | 2021-04-02 | 中国南方电网有限责任公司超高压输电公司 | 基于数据报文的电力控制系统攻击检测防护方法及装置 |
| CN112600828B (zh) * | 2020-12-07 | 2022-08-12 | 中国南方电网有限责任公司超高压输电公司 | 基于数据报文的电力控制系统攻击检测防护方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| CN108737333B (zh) | 一种数据检测方法以及装置 | |
| US10178115B2 (en) | Systems and methods for categorizing network traffic content | |
| WO2021243663A1 (zh) | 一种会话检测方法、装置、检测设备及计算机存储介质 | |
| US11057403B2 (en) | Suspicious packet detection device and suspicious packet detection method thereof | |
| US8364766B2 (en) | Spam filtering based on statistics and token frequency modeling | |
| US8560624B1 (en) | Method of detecting compromised computers in a network | |
| EP2868045B1 (en) | A method of and network server for detecting data patterns in an input data stream | |
| US11539726B2 (en) | System and method for generating heuristic rules for identifying spam emails based on fields in headers of emails | |
| CN110417748A (zh) | 一种攻击检测方法及装置 | |
| CN110233769A (zh) | 一种流量检测方法和流量检测设备 | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| CN108200034A (zh) | 一种识别域名的方法及装置 | |
| Greenwald et al. | Toward Undetected Operating System Fingerprinting. | |
| Janabi et al. | Convolutional neural network based algorithm for early warning proactive system security in software defined networks | |
| CN108390856A (zh) | 一种DDoS攻击检测方法、装置及电子设备 | |
| CN110417643A (zh) | 邮件处理方法和装置 | |
| CN110289992A (zh) | 一种报文处理方法及装置 | |
| CN105592061A (zh) | 一种攻击规则的关闭方法和装置 | |
| CN104158792A (zh) | 一种垃圾僵尸检测方法及系统 | |
| EP3790260B1 (en) | Device and method for identifying network devices in a nat based communication network | |
| CN112565259B (zh) | 过滤dns隧道木马通信数据的方法及装置 | |
| JP4209897B2 (ja) | 大量フロー生成ホスト特定方法およびシステム | |
| CN112836212B (zh) | 邮件数据的分析方法、钓鱼邮件的检测方法及装置 | |
| EP3716540B1 (en) | System and method for generating heuristic rules for identifying spam emails |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191105 |
|
| RJ01 | Rejection of invention patent application after publication |