CN115022055B - 一种基于动态时间窗口的网络攻击实时检测方法及装置 - Google Patents
一种基于动态时间窗口的网络攻击实时检测方法及装置 Download PDFInfo
- Publication number
- CN115022055B CN115022055B CN202210648997.6A CN202210648997A CN115022055B CN 115022055 B CN115022055 B CN 115022055B CN 202210648997 A CN202210648997 A CN 202210648997A CN 115022055 B CN115022055 B CN 115022055B
- Authority
- CN
- China
- Prior art keywords
- time
- time window
- flow
- log
- small sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000011897 real-time detection Methods 0.000 title claims abstract description 25
- 238000001514 detection method Methods 0.000 claims abstract description 52
- 230000002159 abnormal effect Effects 0.000 claims abstract description 24
- 238000012545 processing Methods 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims abstract description 20
- 230000001960 triggered effect Effects 0.000 claims abstract description 20
- 239000000523 sample Substances 0.000 claims description 95
- 230000002776 aggregation Effects 0.000 claims description 7
- 238000004220 aggregation Methods 0.000 claims description 7
- 238000005259 measurement Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000005096 rolling process Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种基于动态时间窗口的网络攻击实时检测方法及装置。所述方法包括:针对全网所有资产主机生成的类型符合网络攻击检测场景的流量日志,根据流量日志的时间戳、动态时间窗口的预设偏移量以及长度,确定流量日志触发的动态时间窗口的起始时间,将动态时间窗口从起始时间开始按照预设移动间隔在消息队列中所有实时流量日志上进行移动,在停止移动以后,从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据,最后对目标小样本数据进行与网络攻击检测场景相对应的处理,生成流量日志的检测结果。整个方法聚焦于目标小样本数据,分析过程较为简单,可以及时发现异常日志,能够较好地满足实时检测网络攻击的需求。
Description
技术领域
本申请涉及计算机安全技术领域,特别涉及一种基于动态时间窗口的网络攻击实时检测方法及装置。
背景技术
随着IT技术和通信技术的发展,中大型企业的全网各种类型的资产主机会实时产生海量的无边界、乱序、大规模日志数据集,与此同时,网络环境日趋复杂,云计算和虚拟化等技术的应用,也使得主机边界、网络边界也变得动态和模糊。目前,隐蔽性、持续性、趋利性等高级网络攻击日益增多,这些网络攻击产生的行为日志会分散在不同类型的资产主机上,并且隐藏于其他正常行为日志中。如同一滴墨水滴入一杯清水,从墨水滴入到污染整杯清水可能仅需要几秒钟的扩散时间,同样地,整个网络攻击的过程可能只需几分钟或者几秒钟的时间即可完成。因此,需要对海量日志数据集进行分析以得到网络攻击的相关数据,并对网络攻击进行及时防护。
目前传统的网络攻击检测方式主要是对收集到的大批量历史日志数据进行离线数据清洗,对数据清洗得到的样本日志数据进行分析,最终检测出隐藏在历史日志数据中的异常日志。此种检测方式的分析过程较为复杂,且分析结果延迟较高,无法满足对网络攻击进行实时检测的需求。
发明内容
本申请提供了一种基于动态时间窗口的网络攻击实时检测方法及装置,可用于解决现有检测方式的分析过程较为复杂,且分析结果延迟较高,无法满足对网络攻击进行实时检测的需求的技术问题。
第一方面,本申请实施例提供一种基于动态时间窗口的网络攻击实时检测方法,包括:
实时获取全网所有资产主机生成的各个待测流量日志;
如果所述待测流量日志的数据特征符合预设网络攻击检测场景,则根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量,以及所述动态时间窗口的长度,确定所述待测流量日志触发的所述动态时间窗口的起始时间,所述动态时间窗口的类型是根据所述预设网络攻击检测场景所对应的威胁事件的特征预设的;
从所述起始时间开始,将所述动态时间窗口按照预设移动间隔,在消息队列中所有实时流量日志上进行移动,生成每次移动所得到的数据快照图,其中,所有实时流量日志在所述消息队列中是按照时间戳从早到晚的顺序进行排列的,所述实时流量日志为全网所有资产主机历史生成的,且生成时间早于所述待测流量日志的流量日志;
在所述动态时间窗口的开始时间晚于或等于停止时间阈值时,停止移动所述动态时间窗口,并从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据,所述停止时间阈值为所述待测流量日志的时间戳与所述动态时间窗口的长度的差值;
按照所述预设网络攻击检测场景,对所述目标小样本数据进行处理,生成所述待测流量日志是否为异常日志的结果,所述处理包括统计操作、聚合操作、序列操作中的至少一种。
结合第一方面,在第一方面的一种可实现方式中,所述根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量,以及所述动态时间窗口的长度,确定所述待测流量日志触发的所述动态时间窗口的起始时间,包括:
通过以下公式确定所述待测流量日志触发的所述动态时间窗口的起始时间:
lastStartTime=timestamp-(timestamp-offset+size)/size
其中,lastStartTime为所述待测流量日志触发的所述动态时间窗口的起始时间,timestamp为所述待测流量日志的时间戳,offset为动态时间窗口的预设偏移量,size为所述动态时间窗口的长度。
结合第一方面,在第一方面的一种可实现方式中,所述从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据,包括:
从已生成的多个数据快照图中获取最后获取到的数据快照图;
利用SWTC算法从所述最后获取到的数据快照图中获取对应的目标小样本数据。
结合第一方面,在第一方面的一种可实现方式中,所述预设网络攻击检测场景为第一预设时段内的网络流量超过第二预设时段内预设比例的网络流量。
结合第一方面,在第一方面的一种可实现方式中,所述动态时间窗口包括第一时间窗口和第二时间窗口,所述第一时间窗口的长度为所述第一预设时段,所述第二时间窗口的长度为所述第二预设时段。
结合第一方面,在第一方面的一种可实现方式中,所述按照所述预设网络攻击检测场景,对所述目标小样本数据进行处理,生成所述待测流量日志是否为异常日志的结果,包括:
获取第一目标小样本数据的网络流量特征平均值,所述第一目标小样本数据为第一数据快照图所对应的目标小样本数据,所述第一数据快照图为从所述第一时间窗口的起始时间开始,将所述第一时间窗口按照对应的移动间隔,在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图;
获取第二目标小样本数据的网络流量特征平均值,所述第二目标小样本数据为第二数据快照图所对应的目标小样本数据,所述第二数据快照图为从所述第二时间窗口的起始时间开始,将所述第二时间窗口按照对应的移动间隔,在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图;
检测所述第一目标小样本数据的网络流量特征平均值是否大于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积;
如果所述第一目标小样本数据的网络流量特征平均值大于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积,则生成所述待测流量日志为异常日志的结果;
或者,如果所述第一目标小样本数据的网络流量特征平均值小于或等于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积,则生成所述待测流量日志不为异常日志的结果。
结合第一方面,在第一方面的一种可实现方式中,在实时获取全网所有资产主机生成的各个待测流量日志之后,所述方法还包括:
对各个待测流量日志进行结构化处理。
结合第一方面,在第一方面的一种可实现方式中,所述实时获取全网所有资产主机生成的各个待测流量日志,包括:
利用旁路探针的方式实时获取全网所有资产主机生成的各个待测流量日志。
结合第一方面,在第一方面的一种可实现方式中,所述动态时间窗口的类型包括滑动和滚动。
第二方面,本申请实施例提供一种基于动态时间窗口的网络攻击实时检测装置,包括:
待测流量日志获取模块,用于实时获取全网所有资产主机生成的各个待测流量日志;
时间窗口起始时间确定模块,用于如果所述待测流量日志的数据特征符合预设网络攻击检测场景,则根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量,以及所述动态时间窗口的长度,确定所述待测流量日志触发的所述动态时间窗口的起始时间,所述动态时间窗口的类型是根据所述预设网络攻击检测场景所对应的威胁事件的特征预设的;
数据快照图生成模块,用于从所述起始时间开始,将所述动态时间窗口按照预设移动间隔,在消息队列中所有实时流量日志上进行移动,生成每次移动所得到的数据快照图,其中,所有实时流量日志在所述消息队列中是按照时间戳从早到晚的顺序进行排列的,所述实时流量日志为全网所有资产主机历史生成的,且生成时间早于所述待测流量日志的流量日志;
目标小样本数据获取模块,用于在所述动态时间窗口的开始时间晚于或等于停止时间阈值时,停止移动所述动态时间窗口,并从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据,所述停止时间阈值为所述待测流量日志的时间戳与所述动态时间窗口的长度的差值;
待测流量日志判定模块,用于按照所述预设网络攻击检测场景,对所述目标小样本数据进行处理,生成所述待测流量日志是否为异常日志的结果,所述处理包括统计操作、聚合操作、序列操作中的至少一种。
本申请实施例提供一种基于动态时间窗口的网络攻击实时检测方法及装置,在网络攻击实时检测方法中,针对全网所有资产主机生成的类型符合预设网络攻击检测场景的待测流量日志,根据待测流量日志的时间戳、动态时间窗口的预设偏移量,以及动态时间窗口的长度,确定待测流量日志触发的所述动态时间窗口的起始时间,将动态时间窗口从起始时间开始,按照预设移动间隔在消息队列中所有实时流量日志上进行移动,在停止移动以后,从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据,最后对目标小样本数据进行与网络攻击检测场景相对应的处理,并生成待测流量日志的检测结果。整个方法聚焦于目标小样本数据,分析过程较为简单,且几乎无延迟,可以及时发现异常日志,能够较好地满足对网络攻击进行实时检测的需求。
附图说明
图1为本申请实施例提供的一种基于动态时间窗口的网络攻击实时检测方法的整体工作流程示意图;
图2为本申请实施例提供的预设网络攻击检测场景转换为检测流程的示意图;
图3为本申请实施例提供的滑动类型的动态时间窗口移动生成数据快照图的示意图;
图4为本申请实施例提供的滚动类型的动态时间窗口移动生成数据快照图的示意图;
图5为本申请实施例提供的一种基于动态时间窗口的网络攻击实时检测装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
为了解决现有检测方式的分析过程较为复杂,且分析结果延迟较高,无法满足对网络攻击进行实时检测的需求的问题,本申请实施例提供一种基于动态时间窗口的网络攻击实时检测方法。下面结合附图,通过各个实施例,对本申请所提供的方案进行介绍说明。
本申请实施例提供的网络攻击实时检测方法可以用于检测使得资产主机出现行为特征异常的网络攻击,这种网络攻击通常都会引发网络流量异常,即攻击者聚焦在同一个短期时间维度进行攻击作业时,网络流量会出现大幅波动,而且流量峰值常常会集中出现在某些时段,此时被攻击的资产主机会产生大量的异常行为日志,这些多数据源的异常行为日志混淆在正常日志数据中,就形成了无边界、乱序、大规模数据集的数据特征。此外,本申请实施例提供的网络攻击实时检测方法也可以用于其他会引发网络流量异常的网络攻击的检测,具体不做限定。
图1为本申请实施例提供的一种基于动态时间窗口的网络攻击实时检测方法的整体工作流程示意图。如图1所示,本申请实施例提供的网络攻击实时检测方法具体包括如下步骤:
S101:实时获取全网所有资产主机生成的各个待测流量日志。
具体地,可以利用旁路探针的方式实时获取全网所有资产主机生成的各个待测流量日志。其中,待测流量日志是反应网络事件的日志,通常以报文的形式体现。
待测流量日志的类型可以包括资产日志、防火墙日志、网络日志和数据库日志等。
另外,在执行步骤S101之后,执行步骤S102之前,本申请实施例提供的网络攻击实时检测方法还可以包括:
首先,对各个待测流量日志进行结构化处理。
然后,进行结构化处理后的各个待测流量日志同时发送至消息队列中。其中,消息队列为发布订阅模式,可以利用流量日志产生的时间戳,按照顺序将流量日志发布到消息中间。这样订阅方发现消息更新时,即可按照顺序消费流量日志。
这样,将待测流量日志泛化为结构化日志,数据结构较为规整和统一。
S102:如果待测流量日志的数据特征符合预设网络攻击检测场景,则根据待测流量日志的时间戳、动态时间窗口的预设偏移量,以及动态时间窗口的长度,确定待测流量日志触发的动态时间窗口的起始时间。
具体地,可以采用过滤算法对待测流量日志进行过滤,对数据特征不符合预设网络攻击检测场景的待测流量日志不执行后续步骤。这样,可以减少不必要的数据处理,从而可以进一步提高检测效率。
预设网络攻击检测场景可以有多种。在一个实施例中,预设网络攻击检测场景可以为第一预设时段内的网络流量超过第二预设时段内预设比例的网络流量。其中,第一预设时段与第二预设时段不同。示例性地,第一预设时段为当前1小时,第二预设时段为一周,预设比例为40%,本申请实施例对第一预设时段、第二预设时段和预设比例的具体值不作限定。
在具体实现上,可以将预设网络攻击检测场景转换为多个特征关键步骤,也就是检测的流程图,再将检测的流程图转换成事件可处理的语言(Event Process Language)。这样,使得整个方法在具体实现层面可以更加容易实现,也更加兼容。
示例性地,以预设网络攻击检测场景为当前1小时内的网络流量超过1周的网络流量的40%为例,图2为本申请实施例提供的预设网络攻击检测场景转换为检测流程的示意图。如图2所示,对待测流量日志进行过滤后,分别计算1小时内的下行流量和1周内的下行流量,然后比较1小时内的下行流量是否超过1周内的下行流量的40%,如果超过,则生成工作时间某IP地址突现异常流量的告警信息。如果未超过,则不作处理。
在其他实施例中,预设网络攻击检测场景也可以为其他场景,本申请实施例对此不做限定。
下面对本申请实施例提供的动态时间窗口进行说明。
本申请实施例提供的动态时间窗口的类型是根据预设网络攻击检测场景所对应的威胁事件的特征预设的。动态时间窗口的类型具体可以包括滑动和滚动。滑动表示动态时间窗口的移动方式为按预设间隔进行滑动,滚动表示动态时间窗口的移动方式为以自身长度为间隔进行滚动。示例性地,如果威胁事件的特征是事件连续发生,则选择滑动窗口;如果威胁事件的特征是按照时钟刻度分段统计的,则选择滚动窗口。在具体实现层面,设置windowType=“slide”,或者,windowType=“tumbling”,其中,值slide(滑动)确定使用的窗口类型是滑动,值tumbling(滚动)确定使用的窗口类型是滚动。动态时间窗口根据自身长度,可以把一个数据集裁剪为有限的数据片以便于聚合处理。
每个待测流量日志都会触发对应的动态时间窗口,且动态时间窗口的起始时间是根据待测流量日志的时间戳、动态时间窗口的预设偏移量,以及动态时间窗口的长度来确定的。具体地,可以通过以下公式(1)确定待测流量日志触发的动态时间窗口的起始时间:
lastStartTime=timestamp-(timestamp-offset+size)/size 公式(1)
公式(1)中,lastStartTime为待测流量日志触发的动态时间窗口的起始时间,timestamp为待测流量日志的时间戳,offset为动态时间窗口的预设偏移量,size为动态时间窗口的长度。
其中,起始时间表示动态时间窗口的最开始的时间开始边界。时间戳表示数据的产生的时间记录,时间戳的数据结构应大于-2^63,也就是Long的数据结构大小的最小值。
在一个实施例中,在预设网络攻击检测场景为第一预设时段内的网络流量超过第二预设时段内预设比例的网络流量的情况下,动态时间时间窗口可以包括第一时间窗口和第二时间窗口。第一时间窗口的长度为第一预设时段,第二时间窗口的长度为第二预设时段。在本实施例中,待测流量日志会触发第一时间窗口和第二时间窗口,分别根据公式(1)确定待测流量日志触发的第一时间窗口的起始时间和第二时间窗口的起始时间。需要说明的是,根据第一时间窗口的参数与第二时间窗口的参数不同,第一时间窗口的起始时间和第二时间窗口的起始时间也可能是不同的。在其他实施例中,根据预设网络攻击检测场景的不同,动态时间窗口还可以包括两个以上的时间窗口,本申请实施例对比不作限定。
S103:从起始时间开始,将动态时间窗口按照预设移动间隔,在消息队列中所有实时流量日志上进行移动,生成每次移动所得到的数据快照图。
其中,所有实时流量日志在消息队列中是按照时间戳从早到晚的顺序进行排列的。实时流量日志为全网所有资产主机历史生成的,且生成时间早于待测流量日志的流量日志。
S104:在动态时间窗口的开始时间晚于或等于停止时间阈值时,停止移动动态时间窗口,并从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据。
其中,停止时间阈值为待测流量日志的时间戳与动态时间窗口的长度的差值。
在动态时间窗口的滑动过程中,动态时间窗口的开始时间是根据动态时间窗口的起始时间以及预设移动间隔确定的。具体地,开始时间=起始时间+预设移动间隔×滑动次数。
具体地,在执行从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据之前,本申请实施例提供的方法还包括:
对已生成的多个数据快照图进行全局去重操作。这样,可以去掉各个数据快照图中所有重复数据。需要说明的是,滑动窗口得到的数据快照图会有重复数据,但是滚动窗口得到的数据快照图中不存在重复数据。
示例性地,图3为本申请实施例提供的滑动类型的动态时间窗口移动生成数据快照图的示意图。如图3所示,在一个实施例中,e1至e13是已经按照时间戳从早到晚的顺序(t=1至t=15)进行排序后的实时流量日志,其中,e1为时间戳最早的日志,e13为时间戳最新的日志。在动态时间窗口的类型为滑动窗口(SlidingWindow),且动态时间窗口的长度为5时,动态时间窗口会从触发的起始时间开始,按照预设移动间隔(比如1)在实时流量日志上进行滑动,生成每次移动所得到的数据快照图,最后在停止移动后,对各个数据快照图进行全局去重操作后,得到的三个时间片分别为slice1、slice2和slice3。
又示例性地,图4为本申请实施例提供的滚动类型的动态时间窗口移动生成数据快照图的示意图。如图4所示,在另一个实施例中,9,6,8,4,7,3,8,4,2,1,3,2是按照时间戳从早到晚的顺序排序后的数据。在动态时间窗口的类型为滚动窗口,且动态时间窗口的长度为1分钟时,动态时间窗口会从触发的起始时间开始,按照1分钟统计数据,从第一个数据9往前找到输入1分钟大小的边界数据4,得到第一个数据快照图9,6,8,4,依次类推,第二个数据快照图为7,3,8,4,第三个数据快照图为2,1,3,2,如此,将数据按照1分钟的方式分割成了三块。
如此,采用本申请实施例提供的方法,每个待测流量日志根据自身时间戳来触发动态时间窗口的起始时间,裁剪得到的数据更加具有相关性,从而可以极大地提高数据获取的准确性,有利于后续进行准确分析。
在生成多个数据快照图后,具体可以通过以下步骤从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据:
步骤一,从已生成的多个数据快照图中获取最后获取到的数据快照图。
步骤二,利用SWTC算法从最后获取到的数据快照图中获取对应的目标小样本数据。
其中,SWTC(Sliding Window Triangle Counting)算法可以使用独创策略来维护一个基于滑动窗口的无偏的、限定大小的样本,从而可以实现对滑动窗口内三角形数目的估算。
S105:按照预设网络攻击检测场景,对目标小样本数据进行处理,生成待测流量日志是否为异常日志的结果。
其中,处理包括统计操作、聚合操作、序列操作中的至少一种。
在一个实施例中,在预设网络攻击检测场景为第一预设时段内的网络流量超过第二预设时段内预设比例的网络流量,动态时间时间窗口包括第一时间窗口和第二时间窗口的情况下,分别利用第一时间窗口和第二时间窗口在消息队列中所有实时流量日志上进行移动,生成各自移动所得到的数据快照图后,再从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据。然后,按照预设网络攻击检测场景,对目标小样本数据进行处理,生成待测流量日志是否为异常日志的结果,具体包括以下步骤:
步骤一,获取第一目标小样本数据的网络流量特征平均值。
其中,第一目标小样本数据为第一数据快照图所对应的目标小样本数据,第一数据快照图为从第一时间窗口的起始时间开始,将第一时间窗口按照对应的移动间隔,在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图。
具体地,对第一目标小样本数据中所有数据的网络流量特征值取平均值,即可得到第一目标小样本数据的网络流量特征平均值。
步骤二,获取第二目标小样本数据的网络流量特征平均值。
其中,第二目标小样本数据为第二数据快照图所对应的目标小样本数据,第二数据快照图为从第二时间窗口的起始时间开始,将第二时间窗口按照对应的移动间隔,在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图。
具体地,对第二目标小样本数据中所有数据的网络流量特征值取平均值,即可得到第二目标小样本数据的网络流量特征平均值。
步骤三,检测第一目标小样本数据的网络流量特征平均值是否大于第二目标小样本数据的网络流量特征平均值与预设比例的乘积。如果第一目标小样本数据的网络流量特征平均值大于第二目标小样本数据的网络流量特征平均值与预设比例的乘积,则执行步骤四;如果第一目标小样本数据的网络流量特征平均值小于或等于第二目标小样本数据的网络流量特征平均值与预设比例的乘积,则执行步骤五。
步骤四,生成待测流量日志为异常日志的结果。
步骤五,生成待测流量日志不为异常日志的结果。
如此,本申请实施例提供的网络攻击实时检测方法,基于实时大数据场景建立动态时间窗口,从而可以聚焦小样本数据,再结合具体地网络攻击检测场景来对小样本数据进行对应的处理,根据处理结果来对待测流量日志进行检测。相对于所有历史数据的处理而言,本申请实施例提供的方法处理的数据较少,分析过程较为简单,且几乎无延迟,可以及时发现异常日志,从而较好地满足对网络攻击进行实时检测的需求。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图5示例性示出了本申请实施例提供的一种基于动态时间窗口的网络攻击实时检测装置的结构示意图。如图5所示,本申请实施例提供的装置具有实现上述网络攻击实时检测方法的功能,所述功能可以由硬件实现,也可以由硬件执行相应的软件实现。该装置可以包括:待测流量日志获取模块501、时间窗口起始时间确定模块502、数据快照图生成模块503、目标小样本数据获取模块504和待测流量日志判定模块505。其中:
待测流量日志获取模块501,用于实时获取全网所有资产主机生成的各个待测流量日志。
时间窗口起始时间确定模块502,用于如果待测流量日志的数据特征符合预设网络攻击检测场景,则根据待测流量日志的时间戳、动态时间窗口的预设偏移量,以及动态时间窗口的长度,确定待测流量日志触发的动态时间窗口的起始时间,动态时间窗口的类型是根据预设网络攻击检测场景所对应的威胁事件的特征预设的。
数据快照图生成模块503,用于从起始时间开始,将动态时间窗口按照预设移动间隔,在消息队列中所有实时流量日志上进行移动,生成每次移动所得到的数据快照图,其中,所有实时流量日志在消息队列中是按照时间戳从早到晚的顺序进行排列的,实时流量日志为全网所有资产主机历史生成的,且生成时间早于待测流量日志的流量日志。
目标小样本数据获取模块504,用于在动态时间窗口的开始时间晚于或等于停止时间阈值时,停止移动动态时间窗口,并从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据,停止时间阈值为待测流量日志的时间戳与动态时间窗口的长度的差值。
待测流量日志判定模块505,用于按照预设网络攻击检测场景,对目标小样本数据进行处理,生成待测流量日志是否为异常日志的结果,处理包括统计操作、聚合操作、序列操作中的至少一种。
在一种可实现方式中,时间窗口起始时间确定模块502具体用于:
通过以下公式确定待测流量日志触发的动态时间窗口的起始时间:
lastStartTime=timestamp-(timestamp-offset+size)/size
其中,lastStartTime为待测流量日志触发的动态时间窗口的起始时间,timestamp为待测流量日志的时间戳,offset为动态时间窗口的预设偏移量,size为动态时间窗口的长度。
在一种可实现方式中,目标小样本数据获取模块504具体用于:
从已生成的多个数据快照图中获取最后获取到的数据快照图。
利用SWTC算法从最后获取到的数据快照图中获取对应的目标小样本数据。
在一种可实现方式中,预设网络攻击检测场景为第一预设时段内的网络流量超过第二预设时段内预设比例的网络流量。
在一种可实现方式中,动态时间窗口包括第一时间窗口和第二时间窗口,第一时间窗口的长度为第一预设时段,第二时间窗口的长度为第二预设时段。
在一种可实现方式中,待测流量日志判定模块505具体用于:
获取第一目标小样本数据的网络流量特征平均值,第一目标小样本数据为第一数据快照图所对应的目标小样本数据,第一数据快照图为从第一时间窗口的起始时间开始,将第一时间窗口按照对应的移动间隔,在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图。
获取第二目标小样本数据的网络流量特征平均值,第二目标小样本数据为第二数据快照图所对应的目标小样本数据,第二数据快照图为从第二时间窗口的起始时间开始,将第二时间窗口按照对应的移动间隔,在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图。
检测第一目标小样本数据的网络流量特征平均值是否大于第二目标小样本数据的网络流量特征平均值与预设比例的乘积。
如果第一目标小样本数据的网络流量特征平均值大于第二目标小样本数据的网络流量特征平均值与预设比例的乘积,则生成待测流量日志为异常日志的结果。
或者,如果第一目标小样本数据的网络流量特征平均值小于或等于第二目标小样本数据的网络流量特征平均值与预设比例的乘积,则生成待测流量日志不为异常日志的结果。
在一种可实现方式中,在待测流量日志获取模块501之后,装置还包括:
结构化处理模块,用于对各个待测流量日志进行结构化处理。
在一种可实现方式中,待测流量日志获取模块501具体用于:
利用旁路探针的方式实时获取全网所有资产主机生成的各个待测流量日志。
在一种可实现方式中,动态时间窗口的类型包括滑动和滚动。
如此,本申请实施例提供的一种基于动态时间窗口的网络攻击实时检测装置,针对全网所有资产主机生成的类型符合预设网络攻击检测场景的待测流量日志,根据待测流量日志的时间戳、动态时间窗口的预设偏移量,以及动态时间窗口的长度,确定待测流量日志触发的所述动态时间窗口的起始时间,将动态时间窗口从起始时间开始,按照预设移动间隔在消息队列中所有实时流量日志上进行移动,在停止移动以后,从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据,最后对目标小样本数据进行与网络攻击检测场景相对应的处理,并生成待测流量日志的检测结果。整个装置聚焦于目标小样本数据,分析过程较为简单,且几乎无延迟,可以及时发现异常日志,能够较好地满足对网络攻击进行实时检测的需求。
以上结合具体实施方式和范例性实例对本申请进行了详细说明,不过这些说明并不能理解为对本申请的限制。本领域技术人员理解,在不偏离本申请精神和范围的情况下,可以对本申请技术方案及其实施方式进行多种等价替换、修饰或改进,这些均落入本申请的范围内。本申请的保护范围以所附权利要求为准。
Claims (10)
1.一种基于动态时间窗口的网络攻击实时检测方法,其特征在于,包括:
实时获取全网所有资产主机生成的各个待测流量日志;
如果所述待测流量日志的数据特征符合预设网络攻击检测场景,则根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量,以及所述动态时间窗口的长度,确定所述待测流量日志触发的所述动态时间窗口的起始时间,所述动态时间窗口的类型是根据所述预设网络攻击检测场景所对应的威胁事件的特征预设的;
从所述起始时间开始,将所述动态时间窗口按照预设移动间隔,在消息队列中所有实时流量日志上进行移动,生成每次移动所得到的数据快照图,其中,所有实时流量日志在所述消息队列中是按照时间戳从早到晚的顺序进行排列的,所述实时流量日志为全网所有资产主机历史生成的,且生成时间早于所述待测流量日志的流量日志;
在所述动态时间窗口的开始时间晚于或等于停止时间阈值时,停止移动所述动态时间窗口,并从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据,所述停止时间阈值为所述待测流量日志的时间戳与所述动态时间窗口的长度的差值;
按照所述预设网络攻击检测场景,对所述目标小样本数据进行处理,生成所述待测流量日志是否为异常日志的结果,所述处理包括统计操作、聚合操作、序列操作中的至少一种。
2.根据权利要求1所述的方法,其特征在于,所述根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量,以及所述动态时间窗口的长度,确定所述待测流量日志触发的所述动态时间窗口的起始时间,包括:
通过以下公式确定所述待测流量日志触发的所述动态时间窗口的起始时间:
lastStartTime=timestamp-(timestamp-offset+size)/size
其中,lastStartTime为所述待测流量日志触发的所述动态时间窗口的起始时间,timestamp为所述待测流量日志的时间戳,offset为动态时间窗口的预设偏移量,size为所述动态时间窗口的长度。
3.根据权利要求1所述的方法,其特征在于,所述从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据,包括:
从已生成的多个数据快照图中获取最后获取到的数据快照图;
利用SWTC算法从所述最后获取到的数据快照图中获取对应的目标小样本数据。
4.根据权利要求1所述的方法,其特征在于,所述预设网络攻击检测场景为第一预设时段内的网络流量超过第二预设时段内预设比例的网络流量。
5.根据权利要求4所述的方法,其特征在于,所述动态时间窗口包括第一时间窗口和第二时间窗口,所述第一时间窗口的长度为所述第一预设时段,所述第二时间窗口的长度为所述第二预设时段。
6.根据权利要求5所述的方法,其特征在于,所述按照所述预设网络攻击检测场景,对所述目标小样本数据进行处理,生成所述待测流量日志是否为异常日志的结果,包括:
获取第一目标小样本数据的网络流量特征平均值,所述第一目标小样本数据为第一数据快照图所对应的目标小样本数据,所述第一数据快照图为从所述第一时间窗口的起始时间开始,将所述第一时间窗口按照对应的移动间隔,在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图;
获取第二目标小样本数据的网络流量特征平均值,所述第二目标小样本数据为第二数据快照图所对应的目标小样本数据,所述第二数据快照图为从所述第二时间窗口的起始时间开始,将所述第二时间窗口按照对应的移动间隔,在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图;
检测所述第一目标小样本数据的网络流量特征平均值是否大于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积;
如果所述第一目标小样本数据的网络流量特征平均值大于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积,则生成所述待测流量日志为异常日志的结果;
或者,如果所述第一目标小样本数据的网络流量特征平均值小于或等于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积,则生成所述待测流量日志不为异常日志的结果。
7.根据权利要求1所述的方法,其特征在于,在实时获取全网所有资产主机生成的各个待测流量日志之后,所述方法还包括:
对各个待测流量日志进行结构化处理。
8.根据权利要求1所述的方法,其特征在于,所述实时获取全网所有资产主机生成的各个待测流量日志,包括:
利用旁路探针的方式实时获取全网所有资产主机生成的各个待测流量日志。
9.根据权利要求1所述的方法,其特征在于,所述动态时间窗口的类型包括滑动和滚动。
10.一种基于动态时间窗口的网络攻击实时检测装置,其特征在于,包括:
待测流量日志获取模块,用于实时获取全网所有资产主机生成的各个待测流量日志;
时间窗口起始时间确定模块,用于如果所述待测流量日志的数据特征符合预设网络攻击检测场景,则根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量,以及所述动态时间窗口的长度,确定所述待测流量日志触发的所述动态时间窗口的起始时间,所述动态时间窗口的类型是根据所述预设网络攻击检测场景所对应的威胁事件的特征预设的;
数据快照图生成模块,用于从所述起始时间开始,将所述动态时间窗口按照预设移动间隔,在消息队列中所有实时流量日志上进行移动,生成每次移动所得到的数据快照图,其中,所有实时流量日志在所述消息队列中是按照时间戳从早到晚的顺序进行排列的,所述实时流量日志为全网所有资产主机历史生成的,且生成时间早于所述待测流量日志的流量日志;
目标小样本数据获取模块,用于在所述动态时间窗口的开始时间晚于或等于停止时间阈值时,停止移动所述动态时间窗口,并从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据,所述停止时间阈值为所述待测流量日志的时间戳与所述动态时间窗口的长度的差值;
待测流量日志判定模块,用于按照所述预设网络攻击检测场景,对所述目标小样本数据进行处理,生成所述待测流量日志是否为异常日志的结果,所述处理包括统计操作、聚合操作、序列操作中的至少一种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210648997.6A CN115022055B (zh) | 2022-06-09 | 2022-06-09 | 一种基于动态时间窗口的网络攻击实时检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210648997.6A CN115022055B (zh) | 2022-06-09 | 2022-06-09 | 一种基于动态时间窗口的网络攻击实时检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115022055A CN115022055A (zh) | 2022-09-06 |
CN115022055B true CN115022055B (zh) | 2024-04-19 |
Family
ID=83072139
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210648997.6A Active CN115022055B (zh) | 2022-06-09 | 2022-06-09 | 一种基于动态时间窗口的网络攻击实时检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115022055B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116756197B (zh) * | 2023-08-23 | 2023-11-07 | 中国电信股份有限公司 | 动态窗口与聚合参数的实现方法、系统、通信设备 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107302534A (zh) * | 2017-06-21 | 2017-10-27 | 广东工业大学 | 一种基于大数据平台的DDoS网络攻击检测方法及装置 |
CN107483455A (zh) * | 2017-08-25 | 2017-12-15 | 国家计算机网络与信息安全管理中心 | 一种基于流的网络节点异常检测方法和系统 |
CN110602109A (zh) * | 2019-09-17 | 2019-12-20 | 东南大学 | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 |
CN110704290A (zh) * | 2019-09-27 | 2020-01-17 | 百度在线网络技术(北京)有限公司 | 日志分析方法及装置 |
CN112114995A (zh) * | 2020-09-29 | 2020-12-22 | 平安普惠企业管理有限公司 | 基于进程的终端异常分析方法、装置、设备及存储介质 |
CN112395315A (zh) * | 2020-10-23 | 2021-02-23 | 中国科学院计算机网络信息中心 | 一种日志文件的统计与异常探测方法及电子装置 |
CN112468472A (zh) * | 2020-11-18 | 2021-03-09 | 中通服咨询设计研究院有限公司 | 一种基于安全日志关联分析的安全策略自反馈方法 |
CN114124507A (zh) * | 2021-11-16 | 2022-03-01 | 北京安天网络安全技术有限公司 | 一种数据请求频次统计方法、装置、电子设备及存储介质 |
CN114374566A (zh) * | 2022-02-10 | 2022-04-19 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120137367A1 (en) * | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US9319421B2 (en) * | 2013-10-14 | 2016-04-19 | Ut-Battelle, Llc | Real-time detection and classification of anomalous events in streaming data |
US10440037B2 (en) * | 2017-03-31 | 2019-10-08 | Mcafee, Llc | Identifying malware-suspect end points through entropy changes in consolidated logs |
CN110399347B (zh) * | 2018-04-23 | 2021-05-18 | 华为技术有限公司 | 告警日志压缩方法、装置及系统、存储介质 |
US11444966B2 (en) * | 2019-12-17 | 2022-09-13 | Arbor Networks, Inc. | Automatic detection of network strain using response time metrics |
-
2022
- 2022-06-09 CN CN202210648997.6A patent/CN115022055B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107302534A (zh) * | 2017-06-21 | 2017-10-27 | 广东工业大学 | 一种基于大数据平台的DDoS网络攻击检测方法及装置 |
CN107483455A (zh) * | 2017-08-25 | 2017-12-15 | 国家计算机网络与信息安全管理中心 | 一种基于流的网络节点异常检测方法和系统 |
CN110602109A (zh) * | 2019-09-17 | 2019-12-20 | 东南大学 | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 |
CN110704290A (zh) * | 2019-09-27 | 2020-01-17 | 百度在线网络技术(北京)有限公司 | 日志分析方法及装置 |
CN112114995A (zh) * | 2020-09-29 | 2020-12-22 | 平安普惠企业管理有限公司 | 基于进程的终端异常分析方法、装置、设备及存储介质 |
CN112395315A (zh) * | 2020-10-23 | 2021-02-23 | 中国科学院计算机网络信息中心 | 一种日志文件的统计与异常探测方法及电子装置 |
CN112468472A (zh) * | 2020-11-18 | 2021-03-09 | 中通服咨询设计研究院有限公司 | 一种基于安全日志关联分析的安全策略自反馈方法 |
CN114124507A (zh) * | 2021-11-16 | 2022-03-01 | 北京安天网络安全技术有限公司 | 一种数据请求频次统计方法、装置、电子设备及存储介质 |
CN114374566A (zh) * | 2022-02-10 | 2022-04-19 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
Non-Patent Citations (2)
Title |
---|
"Cardinality change-based early detection of large-scale cyber-attacks";W. Chen等;《2013 Proceedings IEEE INFOCOM》;20130725;全文 * |
基于流数据的网络监控系统设计;李玲玲;辛浩;;重庆科技学院学报(自然科学版);20160815(04);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115022055A (zh) | 2022-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110839016B (zh) | 异常流量监测方法、装置、设备及存储介质 | |
CN110535702B (zh) | 一种告警信息处理方法及装置 | |
CN110058977B (zh) | 基于流式处理的监控指标异常检测方法、装置及设备 | |
EP2081326B1 (en) | Statistical processing apparatus capable of reducing storage space for storing statistical occurence frequency data and a processing method therefor | |
CN108599977B (zh) | 基于统计方法监控系统可用性的系统及方法 | |
CN101217377B (zh) | 基于改进的序列尺度调整的分布式拒绝服务攻击检测方法 | |
US20100109860A1 (en) | Identifying Redundant Alarms by Determining Coefficients of Correlation Between Alarm Categories | |
CN115022055B (zh) | 一种基于动态时间窗口的网络攻击实时检测方法及装置 | |
CN101534305A (zh) | 网络流量异常检测方法和系统 | |
CN112769612A (zh) | 一种告警事件去误报方法及装置 | |
CN113992340B (zh) | 用户异常行为识别方法、装置、设备和存储介质 | |
CN113806370B (zh) | 基于大数据的环境数据监管方法、装置、设备及存储介质 | |
CN116594857A (zh) | 一种基于人工智能的办公软件智能交互管理平台 | |
CN105656693A (zh) | 一种基于回归的信息安全异常检测的方法及系统 | |
CN117439827B (zh) | 一种网络流量大数据分析方法 | |
CN114595210A (zh) | 一种多维数据的异常检测方法、装置及电子设备 | |
CN104219193A (zh) | 安全事件关联分析方法及系统 | |
CN116804957A (zh) | 一种系统监控方法及装置 | |
CN1578231A (zh) | 检测拒绝服务攻击的方法 | |
CN108446162B (zh) | 监测JVM Full GC事件的方法及系统 | |
CN110650145A (zh) | 一种基于sa-dbscan算法的低速率拒绝服务攻击检测方法 | |
CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
CN111600774B (zh) | 消费延迟确定方法、系统、装置、设备及可读存储介质 | |
CN116614418A (zh) | 一种基于云计算平台的服务器保护方法 | |
CN101782763A (zh) | 统计过程控制的监控方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |