WO2022083353A1 - 异常网络数据检测方法、装置、计算机设备和存储介质 - Google Patents

Abstract

本申请涉及一种异常网络数据检测方法、装置、计算机设备和存储介质。所述方法包括：获取待检测网络数据包；根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征，生成对应的目标数据包指纹集合；目标数据包指纹集合包括至少一个目标数据包指纹；将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配；基于匹配成功的目标数据包指纹对应的置信度关联信息，计算得到待检测网络数据包对应的目标置信度；获取参考置信度，基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。

Description

异常网络数据检测方法、装置、计算机设备和存储介质

本申请要求于2020年10月22日提交中国专利局，申请号为2020111365052，申请名称为“异常网络数据检测方法、装置、计算机设备和存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机技术领域，特别是涉及一种异常网络数据检测方法、装置、计算机设备和存储介质。

背景技术

计算机技术的快速发展，为信息的传播带来了极大便利，但与此同时，人们也面临着巨大的信息安全挑战，信息安全问题日益突出，例如，黑客可以在网络上发起攻击，以窃取网络上的机密信息。

传统技术中，对网络攻击事件的检测主要是通过搜集公开的黑名单IP，若检测到当前网络数据包的IP为公开的黑名单IP，则确定该网络数据包为异常网络数据包，确定出现网络攻击事件。然而，网络上IP的数量非常庞大，公开的黑名单IP只是包括黑客使用的部分IP，容易出现漏判，从而导致异常网络数据包的检测准确性低，异常网络数据包的检测效率低。

发明内容

根据本申请提供的各种实施例，提供一种异常网络数据检测方法、装置、计算机设备和存储介质。

一种异常网络数据检测方法，所述方法包括：

获取待检测网络数据包；

根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征，生成对应的目标数据包指纹集合；目标数据包指纹集合包括至少一个目标数据包指纹；

将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配；

基于匹配成功的目标数据包指纹对应的置信度关联信息，计算得到待检测网络数据包对应的目标置信度；及

获取参考置信度，基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。

一种异常网络数据检测装置，所述装置包括：

数据包获取模块，用于获取待检测网络数据包；

数据包指纹生成模块，用于根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征，生成对应的目标数据包指纹集合；目标数据包指纹集合包括至少一个目标数据包指纹；

数据包指纹匹配模块，用于将目标数据包指纹和参考数据包指纹库中的参考数据包指 纹进行匹配；

置信度计算模块，用于基于匹配成功的目标数据包指纹对应的置信度关联信息，计算得到待检测网络数据包对应的目标置信度；及

检测结果确定模块，用于获取参考置信度，基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。

一种计算机设备，包括存储器和一个或多个处理器，所述存储器存储有计算机可读指令，所述计算机可读指令被所述一个或多个处理器执行时，使得所述一个或多个处理器执行上述异常网络数据检测方法的步骤。

一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，其上存储有计算机可读指令，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行上述异常网络数据检测方法的步骤。

一种计算机程序产品或计算机程序，所述计算机程序产品或计算机程序包括计算机可读指令，所述计算机可读指令存储在计算机可读存储介质中，计算机设备的处理器从所述计算机可读存储介质读取所述计算机可读指令，所述处理器执行所述计算机可读指令，使得所述计算机设备执行上述异常网络数据检测方法的步骤。

本申请的一个或多个实施例的细节在下面的附图和描述中提出。本申请的其它特征、目的和优点将从说明书、附图以及权利要求书变得明显。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一个实施例中异常网络数据检测方法的应用环境图；

图2为一个实施例中异常网络数据检测方法的流程示意图；

图3为一个实施例中对数据包指纹进行分类的示意图；

图4为一个实施例中建立参考数据包指纹库的流程示意图；

图5为一个实施例中计算目标置信度的流程示意图；

图6为另一个实施例中计算目标置信度的流程示意图；

图7为一个实施例中确定待检测网络数据包的异常检测结果的流程示意图；

图8为另一个实施例中异常网络数据检测方法的应用环境图；

图9为另一个实施例中异常网络数据检测方法的流程示意图；

图10为一个实施例中异常网络数据检测装置的结构框图；

图11为另一个实施例中异常网络数据检测装置的结构框图；

图12为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

云安全主要研究方向包括：1.云计算安全，主要研究如何保障云自身及云上各种应用的安全，包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；2.安全基础设施的云化，主要研究如何采用云计算新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；3.云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。

本申请提供的异常网络数据检测方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与业务服务器104进行通信，终端102通过网络与检测服务器106进行通信，业务服务器104通过网络与检测服务器106进行通信。终端102和业务服务器104可以通过发送网络数据包进行通信。检测服务器106可以获取待检测网络数据包，根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征，生成对应的目标数据包指纹集合，目标数据包指纹集合包括至少一个目标数据包指纹。检测服务器106可以将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配，基于匹配成功的目标数据包指纹对应的置信度关联信息，计算得到待检测网络数据包对应的目标置信度，获取参考置信度，基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。

其中，服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等，但并不局限于此。终端可以不止一个，终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接，本申请在此不做限制。

在一个实施例中，如图2所示，提供了一种异常网络数据检测方法，以该方法应用于图1中的检测服务器106为例进行说明，包括以下步骤：

步骤S202，获取待检测网络数据包。

其中，待检测网络数据包是指待检测是否为异常的网络数据包。待检测网络数据包可以是实时获取的网络数据包，即实时流量。网络数据包用于在终端和业务服务器之间传输数据。网络数据包具体可以包括目的IP地址、源IP地址、净载数据等信息。目的IP地址是指网络数据包对应的接收方的地址，源IP地址是指网络数据包对应的发送方的地址，净载数据是指具体的请求内容或应答内容，例如终端可以向业务服务器发送请求打开新闻网页的网络数据包，业务服务器可以向终端返回当前新闻网页对应的网络数据包。请求内容包括文字、图片、视频等中的至少一种。

具体地，终端和业务服务器之间可以通过发送网络数据包进行通信。在通信过程中，检测服务器可以获取终端或业务服务器发送的当前网络数据包作为待检测网络数据包。

在一个实施例中，终端和业务服务器之间可以借助交换机传输网络数据包。检测服务器可以采用旁路的方式从交换机中侦听网络数据包。

步骤S204，根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征，生成对应的目标数据包指纹集合；目标数据包指纹集合包括至少一个目标数据包指纹。

其中，目标协议类型是指待检测网络数据包对应的协议类型。协议类型是指传输网络数据包的网络协议类型。协议类型包括当前层协议类型和关联层协议类型中的至少一种。当前层协议类型是指网络数据包对应的应用层协议类型，关联层协议类型是指网络数据包对应的其他层协议类型，具体可以包括网络数据包对应的传输层协议类型、网络层协议类型、数据链路层协议类型中的至少一种。例如，网络数据包为HTTP协议(Hyper Text Transfer Protocol，超文本传输协议)网络数据包，那么待检测网络数据包对应的当前层协议类型可以为HTTP协议，由于HTTP协议对应的传输层协议类型为TCP协议(Transmission Control Protocol，传输控制协议)，那么该网络数据包对应的关联层协议类型可以为TCP协议。

目标数据包指纹是指待检测网络数据包对应的数据包指纹。数据包指纹是根据网络协议类型从网络数据包中提取对应的特征信息，根据提取到的特征信息生成的标识，用于标识网络数据包。一个网络数据包可以对应至少一个数据包指纹。一种协议类型可以生成至少一个数据包指纹，例如，网络数据包对应的协议类型包括HTTP协议和TCP协议，基于HTTP协议可以生成至少一个数据包指纹，基于TCP协议可以生成至少一个数据包指纹。一个网络数据包对应的不同数据包指纹可以从不同的维度表征网络数据包的特征信息。不同的网络数据包对应不同的数据包指纹集合，但是不同的数据包指纹集合可以包括至少一个不同的数据包指纹，例如，从同一终端发送的网络数据包A和网络数据包B，由于网络数据包A和网络数据包B对应的发送方相同，网络数据包A和网络数据包B可以存在相同的数据包指纹，该相同的数据包指纹可以是根据特征信息中发送方的相关信息生成的。

具体地，检测服务器可以从待检测网络数据包中获取待检测网络数据包对应的目标协议类型，根据目标协议类型从待检测网络数据包中提取特征信息，根据提取的特征信息生成对应的至少一个目标数据包指纹，各个目标数据包指纹组成目标数据包指纹集合。检测服务器可以根据待检测网络数据包对应的当前层协议类型对待检测网络数据包提取特征生成对应的目标数据包指纹集合，也可以根据待检测网络数据包对应的关联层协议类型对待检测网络数据包提取特征生成对应的目标数据包指纹集合，还可以根据待检测网络数据包对应的当前层协议类型和关联层协议类型对待检测网络数据包提取特征生成对应的目标数据包指纹集合。

在一个实施例中，检测服务器可以从待检测网络数据包中获取待检测网络数据包对应的当前层协议类型，在本地或从其他终端、服务器获取当前层协议类型对应的指纹生成算法，基于指纹生成算法从待检测网络数据包中提取与该指纹生成算法匹配的特征字段，根据提取到的特征字段得到由当前层协议类型对应的指纹生成算法生成的目标数据包指纹。当前层协议类型对应的指纹生成算法可以为至少一个。若当前层协议类型对应的指纹生成算法为多个，可以生成当前层协议类型对应的多个目标数据包指纹。同理，检测服务器可以从待检测网络数据包中获取待检测网络数据包对应的关联层协议类型，在本地或从其他终端、服务器获取关联层协议类型对应的指纹生成算法，基于指纹生成算法从待检测网络 数据包中提取与该指纹生成算法匹配的特征字段，根据提取到的特征字段得到由关联层协议类型对应的指纹生成算法生成的目标数据包指纹。关联层协议类型对应的指纹生成算法可以为至少一个。当关联层协议类型对应的指纹生成算法为多个时，可以生成关联层协议类型对应的多个目标数据包指纹。可以是当前层协议类型对应的各个目标数据包指纹组合得到目标数据包指纹集合，也可以是关联层协议类型对应的各个目标数据包指纹组合得到目标数据包指纹集合，还可以是当前层协议类型对应的各个目标数据包指纹和关联层协议类型对应的各个目标数据包指纹组合得到目标数据包指纹集合。

在一个实施例中，网络数据包包括多个字段，不同的字段可以表征网络数据包不同的特征信息。例如，网络数据包的字段包括目的IP地址、源IP地址、协议类型、发送时间、包大小、净载数据等。根据提取到的特征字段生成数据包指纹具体可以是将特征字段按照指纹生成算法规定的字段顺序进行排列组合得到目标特征信息，计算目标特征信息的哈希值得到数据包指纹。可以理解，不同协议类型对应的网络数据包中相同类型字段的字段位置可以相同可以不同，目标特征信息还可以进一步包括各个特征字段在网络数据包中的字段位置。

在一个实施例中，每一种协议可以分别对应多种指纹生成算法，那么根据协议类型和指纹生成算法可以对数据包指纹进行分类。如图3所示，网络协议包括HTTP协议、DHCP协议(Dynamic Host Configuration Protocol，动态主机配置协议)、SSH协议(Secure Shell，安全外壳协议)、SSL协议(Secure Sockets Layer，安全套接字协议)、TLS协议(Transport Layer Security，安全传输层协议)、RDP协议(Remote Display Protocol，远程显示协议)、TCP协议和UDP协议(User Datagram Protocol，用户数据报协议)。DHCP协议是基于UDP协议传输的，SSH协议是基于TCP协议传输的，SSL协议/TLS协议是基于TCP协议传输的，RDP协议是基于TCP协议传输的。HTTP协议对应的指纹生成算法可以包括fatt、pmercury等。fatt(Fingerprint All The Things)是一个基于pyshark的脚本，用于从pcap(Packet Capture Data)文件和网络数据包中提取数据包指纹。pmercury是mercury的python实现，mercury是一个Linux应用程序，用于从网络数据包中提取数据包指纹。DHCP协议对应的指纹生成算法可以包括pmercury等。SSH协议对应的指纹生成算法可以包括HASSH-SSH_MSG_KEXINIT、pmercury等。HASSH是一个开源的算法，SSH_MSG_KEXINIT是密钥交换数据包头，HASSH-SSH_MSG_KEXINIT是一种识别SSH客户端指纹的方法。SSL协议和TLS协议对应的指纹生成算法可以包括JA3、pmercury等。JA3是一种在线识别TLS客户端指纹的方法。RDP协议对应的指纹生成算法可以包括fatt等。TCP协议和UDP协议对应的指纹生成算法可以包括pmercury等。一种协议对应的一种指纹生成算法作为一个类别，这样分类使得在计算数据包指纹的时候，一个网络数据包可以对应多个协议，也可以对应多重指纹生成算法，在分类网络数据包的时候，可以从不同维度进行分类，做出更加准确的判断。例如，对于HTTP协议，其本身是基于TCP协议的，所以一个HTTP协议网络数据包对应的数据包指纹可以包括由TCP协议对应的指纹生成算法pmercury生成的数据包指纹、由HTTP协议对应的指纹生成算法pmercury生成的数据包指纹、由HTTP协议对应的指纹生成算法fatt生成的数据包指纹。不同的指纹生成算法从网络数据包中提取的特征字段可以相同可以不同。对于同一网络数据包，通过不同协议对应的同一指纹生成算法生成的数据包指纹是不同的，因为针对不同的协议，同一 指纹生成算法从网络数据包中提取的特征字段不同。例如，对于HTTP协议和TCP协议，指纹生成算法pmercury从网络数据包中提取的特征字段不同。

步骤S206，将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配。

其中，参考数据包指纹库包括多个参考数据包指纹。参考数据包指纹库是对多个候选网络数据包对应的数据包指纹进行聚类分析后生成的。各个候选网络数据包是指设定历史时间段内的网络数据包，例如获取在当前时刻之前的5分钟内采集到的网络数据包作为候选网络数据包。其中，历史时间段的长短可以根据实际情况确定，本发明实施例对此不做限定。可以理解，黑客的攻击行为是一个持续性且有共性的攻击行为，例如，黑客主要从同一终端发起攻击，黑客主要从同一浏览器发起攻击，黑客主要从同一账号发起攻击等，那么在进行聚类分析时，若同一数据包指纹的数量大于阈值时，可以认为该数据包指纹为异常的数据包指纹，将该数据包指纹作为参考数据包指纹加入参考数据包指纹库。

具体地，在计算得到待检测网络数据包对应的目标数据包指纹后，检测服务器可以将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配，根据匹配结果进一步确定待检测网络数据包的异常检测结果。当目标数据包指纹和参考数据包指纹相同，并且目标数据包指纹和参考数据包指纹对应的指纹关联信息也相同时，可以确定该目标数据包指纹和参考数据包指纹匹配成功。指纹关联信息包括数据包指纹对应的协议类型和指纹生成算法中的至少一种。可以理解，一个待检测网络数据包可以对应多个目标数据包指纹，各个目标数据包指纹可以分别与参考数据包指纹库中的各个参考数据包指纹进行匹配，各个目标数据包指纹可以均匹配成功，也可以均匹配失败，还可以是有至少一个匹配成功。

在一个实施例中，参考数据包指纹库可以是由检测服务器生成的，也可以是由其他终端或服务器生成后发送至检测服务器。

步骤S208，基于匹配成功的目标数据包指纹对应的置信度关联信息，计算得到待检测网络数据包对应的目标置信度。

其中，置信度关联信息是指用于计算网络数据包对应的置信度的关联信息。数据包指纹的置信度关联信息包括数据包指纹对应的协议类型的协议置信度、在该协议类型下数据包指纹对应的指纹生成算法的算法置信度中的至少一种。例如，匹配成功的目标数据包指纹为由HTTP协议对应的指纹生成算法1生成的数据包指纹，那么该目标数据包指纹对应的置信度关联信息包括HTTP协议对应的协议置信度和在HTTP协议下指纹生成算法1所对应的算法置信度。协议置信度和算法置信度可以是根据实际情况确定的，例如，根据安全经验人工设置的，根据自定义公式计算得到。不同协议下同一指纹生成算法对应的算法置信度可以相同可以不同。目标置信度是用于确定网络数据包的异常程度，目标置信度越大，网络数据包的异常程度越大。

具体地，检测服务器根据匹配结果可以筛选出匹配成功的目标数据包指纹，获取匹配成功的目标数据包指纹对应的置信度关联信息，根据该置信度关联信息计算得到待检测网络数据包对应的目标置信度。

在一个实施例中，检测服务器可以将各个匹配成功的目标数据包指纹对应的协议置信度和算法置信度进行加权求和得到目标置信度。检测服务器也可以将各个协议置信度和各个算法置信度进行加权相乘得到目标置信度。当匹配成功的目标数据包指纹包括不同协议类型对应的目标数据包指纹时，可以先分别计算各个协议类型对应的中间置信度，将各个 中间置信度进行加权求和得到目标置信度。在计算各个协议类型对应的中间置信度时，可以将同一协议类型对应的各个算法置信度进行加权求和得到算法置信度统计值，将算法置信度统计值和对应的协议置信度进行加权相乘得到对应的中间置信度。也可以将各个协议类型对应的中间置信度分别作为待检测网络数据包对应的目标置信度。

步骤S210，获取参考置信度，基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。

其中，参考置信度可以是根据实际情况确定的，例如，根据安全经验人工设置，根据自定义公式计算得到。

具体地，检测服务器可以获取参考置信度，将参考置信度和目标置信度进行比较，根据比较结果确定待检测网络数据包的异常检测结果。异常检测结果包括网络数据包异常和网络数据包正常。当待检测网络数据包的异常检测结果为网络数据包异常时，检测服务器可以向运维人员发送告警信息，以便运维人员及时进行安全维护。当待检测网络数据包的异常检测结果为网络数据包异常时，检测服务器还可以直接阻断待检测网络数据包，阻止黑客攻击。

在一个实施例中，可以是所有待检测网络数据包都使用同一个参考置信度，也就是，只有一个参考置信度。也可以是一个协议类型对应一个参考置信度，例如，匹配成功的目标数据包指纹对应的协议类型包括http协议和tcp协议，http协议对应参考置信度1，tcp协议对应参考置信度2，那么当基于http协议对应的目标数据包指纹的置信度关联信息计算得到的置信度统计值大于参考置信度1，并且基于tcp协议对应的目标数据包指纹的置信度关联信息计算得到的置信度统计值大于参考置信度2时，确定待检测网络数据包的异常检测结果为网络数据包异常。

上述异常网络数据检测方法中，通过获取待检测网络数据包，根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征，生成对应的目标数据包指纹集合，目标数据包指纹集合包括至少一个目标数据包指纹。这样，生成的目标数据包指纹可以表征待检测网络数据包的特征信息，多个目标数据包指纹可以从不同维度表征待检测网络数据包的特征信息，从而丰富了异常网络数据包的检测维度，提高了异常网络数据包的检测准确性。将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配，基于匹配成功的目标数据包指纹对应的置信度关联信息，计算得到待检测网络数据包对应的目标置信度，获取参考置信度，基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。这样，参考数据包指纹库集成了多个异常的参考数据包指纹，因此匹配成功的目标数据包指纹可以表征待检测网络数据包异常的特征信息，基于匹配成功的目标数据包指纹对应的置信度关联信息计算得到的目标置信度可以表征待检测网络数据包的异常程度，基于参考置信度和目标置信度可以快速确定待检测网络数据包的异常检测结果，提高了异常网络数据包的检测准确性和检测效率。

在一个实施例中，如图4所示，获取待检测网络数据包之前，所述方法还包括：

步骤S402，获取候选网络数据包集合；候选网络数据包集合包括在同一时间窗内的多个候选网络数据包。

步骤S404，根据候选网络数据包对应的候选协议类型对候选网络数据包提取特征，生成对应的候选数据包指纹集合，候选数据包指纹集合包括各个候选网络数据包对应的候选 数据包指纹。

具体地，检测服务器可以在一个时间窗内获取多个候选网络数据包组成候选网络数据包集合。检测服务器可以根据候选网络数据包对应的候选协议类型对候选网络数据包提取特征，生成各个候选网络数据包分别对应的至少一个候选数据包指纹，各个候选网络数据包对应的候选数据包指纹组成候选数据包指纹集合。其中，时间窗的长度可以根据需要进行设置，例如，设置为5分钟，检测服务器获取在当前时刻之前的5分钟内采集到的各个网络数据包作为候选网络数据包，将各个候选网络数据包组成候选网络数据包集合。

在一个实施例中，检测服务器可以从候选网络数据包中获取候选网络数据包对应的当前层协议类型，在本地或从其他终端、服务器获取当前层协议类型对应的指纹生成算法，基于指纹生成算法从候选网络数据包中提取与该指纹生成算法匹配的特征字段，根据提取到的特征字段得到由当前层协议类型对应的指纹生成算法生成的候选数据包指纹。当前层协议类型对应的指纹生成算法可以为至少一个。若当前层协议类型对应的指纹生成算法为多个，可以生成当前层协议类型对应的多个候选数据包指纹。同理，检测服务器可以从候选网络数据包中获取候选网络数据包对应的关联层协议类型，在本地或从其他终端、服务器获取关联层协议类型对应的指纹生成算法，基于指纹生成算法从候选网络数据包中提取与该指纹生成算法匹配的特征字段，根据提取到的特征字段得到由关联层协议类型对应的指纹生成算法生成的候选数据包指纹。关联层协议类型对应的指纹生成算法可以为至少一个。当关联层协议类型对应的指纹生成算法为多个时，可以生成关联层协议类型对应的多个候选数据包指纹。可以是各个候选网络数据包的当前层协议类型对应的各个候选数据包指纹组合得到候选数据包指纹集合，也可以是各个候选网络数据包的关联层协议类型对应的各个候选数据包指纹组合得到候选数据包指纹集合，还可以是各个候选网络数据包的当前层协议类型对应的各个候选数据包指纹和关联层协议类型对应的各个候选数据包指纹组合得到候选数据包指纹集合。

步骤S406，基于指纹关联信息对候选数据包指纹集合中的候选数据包指纹进行聚类，得到聚类结果。

其中，指纹关联信息是指数据包指纹的关联信息。数据包指纹的指纹关联信息包括用于生成数据包指纹的协议类型和指纹生成算法。

具体地，检测服务器可以基于指纹关联信息对候选数据包指纹集合中的候选数据包指纹进行聚类，具体可以是将基于同一指纹关联信息生成的相同候选数据包指纹聚类在一起，得到多个不同的聚类簇。

在一个实施例中，基于指纹关联信息对候选数据包指纹集合中的候选数据包指纹进行聚类，得到聚类结果，包括：将基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类得到多个不同的聚类簇，统计同一聚类簇内的候选数据包指纹的数量，得到各个聚类簇对应的统计值。

具体地，检测服务器可以将基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类，得到多个不同的聚类簇。一个聚类簇表示一种类别的候选数据包指纹。检测服务器可以统计同一聚类簇内的候选数据包指纹的数量，得到各个聚类簇对应的统计值。也就是，检测服务器可以在一个时间窗内，统计在同协议类型、同指纹生成算法下生成的相同候选数据包指纹的数量，得到多个统计值。例如，统计由HTTP协议对应 的指纹生成算法1生成的候选数据包指纹a的数量，统计由HTTP协议对应的指纹生成算法2生成的候选数据包指纹b的数量，统计由SSH协议对应的指纹生成算法3生成的候选数据包指纹c的数量，统计由SSH协议对应的指纹生成算法1生成的候选数据包指纹d的数量。

步骤S408，根据聚类结果从候选数据包指纹集合中确定参考数据包指纹，各个参考数据包指纹组合得到参考数据包指纹库。

具体地，检测服务器可以根据聚类结果从候选数据包指纹集合中确定参考数据包指纹，具体可以是当聚类簇对应的统计值大于统计阈值时，将该聚类簇对应的候选数据包指纹作为参考数据包指纹，各个参考数据包指纹组合得到参考数据包指纹库。参考数据包指纹库还可以包括各个参考数据包指纹对应的指纹关联信息和统计值。

在一个实施例中，根据聚类结果从候选数据包指纹集合中确定参考数据包指纹，各个参考数据包指纹组合得到参考数据包指纹库，包括：将统计值大于统计阈值的聚类簇内的候选数据包指纹作为参考数据包指纹。

具体地，当聚类簇对应的统计值大于统计阈值时，表明该聚类簇内的候选数据包指纹在同一时间窗内频繁出现，极有可能是黑客攻击所导致的，因此检测服务器可以将该聚类簇内的候选数据包指纹作为参考数据包指纹。其中，统计阈值可以根据时间窗的大小进行设置，时间窗越大，统计阈值越大。

在一个实施例中，时间窗可以是动态变化的，那么参考数据包指纹库也是动态更新的。例如，时间窗始终保持为当前时刻之前的5分钟，那么检测服务器可以每隔5分钟对5分钟内获取到的各个候选网络数据包所对应的候选数据包指纹进行聚类，根据聚类结果对参考数据包指纹库进行更新。

可以理解，参考数据包指纹库中基于同一协议类型对应的同一指纹生成算法生成的参考数据包指纹可以有多个。例如，参考数据包指纹库包括基于HTTP协议对应的指纹生成算法fatt生成的参考数据包指纹1、基于HTTP协议对应的指纹生成算法fatt生成的参考数据包指纹2和基于HTTP协议对应的指纹生成算法fatt生成的参考数据包指纹3。

本实施例中，通过获取同一时间窗内的多个候选网络数据包，计算各个候选网络数据包对应的候选数据包指纹，基于指纹关联信息对候选数据包指纹进行聚类分析，得到各个聚类簇，计算各个聚类簇对应的统计值，将统计值大于统计阈值的聚类簇内的候选数据包指纹作为参考数据包指纹，各个参考数据包指纹组合得到参考数据包指纹库。这样，因为黑客攻击通常是一个持续性的攻击，所以对同一时间窗内的候选网络数据包对应的候选数据包指纹进行聚类分析，通过将各个聚类簇对应的统计值和统计阈值进行比较可以快速建立数据包指纹黑库。

在一个实施例中，将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配，包括：将目标数据包指纹和当前参考数据包指纹进行比较，得到数据包指纹比较结果；将目标数据包指纹对应的指纹关联信息和当前参考数据包指纹对应的指纹关联信息进行比较，得到指纹关联信息比较结果；当数据包指纹比较结果和指纹关联信息比较结果均为一致时，确定目标数据包指纹和当前参考数据包指纹匹配成功。

具体地，在将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配时，检测服务器可以将目标数据包指纹和当前参考数据包指纹进行比较，得到数据包指纹比较 结果，数据包指纹比较结果包括一致和不一致，将目标数据包指纹对应的指纹关联信息和当前参考数据包指纹对应的指纹关联信息进行比较，得到指纹关联信息比较结果，指纹关联信息比较结果包括一致和不一致。当数据包指纹比较结果和指纹关联信息比较结果均为一致时，检测服务器可以确定目标数据包指纹和当前参考数据包指纹匹配成功。

举例说明，当目标数据包指纹a和当前参考数据包指纹b一致，目标数据包指纹a对应的协议类型和当前参考数据包指纹b对应的协议类型均为HTTP协议，目标数据包指纹a对应的指纹生成算法和当前参考数据包指纹b对应的指纹生成算法均为pmercury时，确定目标数据包指纹a和当前参考数据包指纹b匹配成功。可以理解，即使目标数据包指纹a对应的网络数据包A和当前参考数据包指纹b对应的网络数据包B不一样，但是当目标数据包指纹a和当前参考数据包指纹b一致，并且用于生成目标数据包指纹a和当前参考数据包指纹b的协议类型和指纹生成算法也一致时，表明网络数据包A和网络数据包B包括相同的特征信息，极有可能是同一黑客发送的两个网络数据包。

本实施例中，通过数据包指纹比较结果和指纹关联信息可以快速确定目标数据包指纹和参考数据包指纹的匹配结果，从而有助于提高待检测网络数据包的检测效率。

在一个实施例中，如图5所示，基于匹配成功的目标数据包指纹对应的置信度关联信息计算得到待检测网络数据包对应的目标置信度，包括：

步骤S502，获取目标协议类型对应的目标协议置信度。

步骤S504，基于匹配成功的目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度。

步骤S506，基于目标协议置信度和目标算法置信度得到目标置信度。

具体地，检测服务器可以获取目标协议类型对应的目标协议置信度，获取各个匹配成功的目标数据包指纹对应的指纹生成算法所对应的目标算法置信度，将目标协议置信度和目标算法置信度进行融合得到目标置信度。在进行融合时，检测服务器可以是将目标协议置信度和目标算法置信度相乘得到目标置信度，也可以是先对各个目标算法置信度进行统计得到算法置信度统计值，再将算法置信度统计值和目标协议置信度进行融合得到目标置信度。对各个目标算法置信度进行统计具体可以是将各个目标算法置信度相加得到算法置信度统计值，计算各个目标算法置信度的平均值得到算法置信度统计值，也可以是按照预设公式将各个目标算法置信度进行融合得到算法置信度统计值。

本实施例中，通过获取目标协议类型对应的目标协议置信度，基于匹配成功的目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度，基于目标协议置信度和目标算法置信度得到目标置信度。这样，目标置信度的计算综合考虑了目标协议类型和匹配成功的目标数据包指纹对应的指纹生成算法，计算得到的目标置信度更准确、更可靠。

在一个实施例中，如图6所示，目标协议类型包括当前层协议类型和关联层协议类型，基于目标协议置信度和目标算法置信度得到目标置信度，包括：

步骤S602，将同一层协议类型对应的各个目标算法置信度从大到小进行排序，得到各层协议类型对应的排序结果。

步骤S604，根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度。

步骤S606，将同一层协议类型对应的排序结果中剩余的目标算法置信度和对应的第 一置信度从大到小进行排序，得到各层协议类型对应的更新的排序结果，返回所述根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度的步骤，直至同一层协议类型对应的各个目标算法置信度均参与数据处理，得到各层协议类型对应的第二置信度。

步骤S608，基于同一层协议类型对应的目标协议置信度和第二置信度得到各层协议类型对应的中间置信度，根据各个中间置信度得到目标置信度。

具体地，目标协议类型包括当前层协议类型和关联层协议类型，不同层的协议类型需要区分计算。检测服务器可以将同一层协议类型对应的各个目标算法置信度从大到小进行排序，得到各层协议类型对应的排序结果。获取同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度，将同一层协议类型对应的排序第一和排序第二的目标算法置信度进行加权求和得到各层协议类型对应的第一置信度。同一层协议类型对应的排序结果中剩余的目标算法置信度和对应的第一置信度从大到小进行排序，得到各层协议类型对应的更新排序结果，获取同一层协议类型对应的更新排序结果中排序第一和排序第二的目标算法置信度，将同一层协议类型对应的排序第一和排序第二的目标算法置信度进行加权求和得到各层协议类型对应的第一更新置信度，以此类推，直到同一层协议类型对应的各个目标算法置信度都参与计算后，将各层协议类型对应的最终计算结果作为各层协议类型对应的第二置信度。将同一层协议类型对应的目标协议置信度和第二置信度进行相乘得到各层协议类型对应的中间置信度。可以将各个中间置信度进行加权求和得到目标置信度，也可以将各个中间置信度分别作为目标置信度。

在一个实施例中，根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度，包括：获取当前排序第一的目标算法置信度和当前排序第二的目标算法置信度对应的融合权重；当前排序第二的目标算法置信度对应的融合权重是基于当前排序第一的目标算法置信度确定的；基于同一层协议类型对应的融合权重，对同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度进行融合，得到各层协议类型对应的第一置信度。

具体地，在计算第一置信度时，可以基于同一层协议类型对应的排序结果中排序第一的目标算法置信度确定排序第二的目标算法置信度对应的融合权重，例如，将当前排序第一的目标算法置信度和预设算法置信度的差值作为当前排序第二的目标算法置信度对应的融合权重。其中，预设算法置信度可以根据需要进行设置，例如，设置为1。在计算第一置信度时，同一层协议类型对应的排序结果中排序第一的目标算法置信度对应的融合权重可以为预设权重，预设权重可以根据需要进行设置，例如，设置为1。在得到各层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度对应的融合权重后，检测服务器可以基于同一层协议类型对应的融合权重，对同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度进行融合，从而得到各层协议类型对应的第一置信度。

在一个实施例中，协议置信度可以用score _pro(pro _i)＝M _i表示，其中score _pro表示协议置信度，pro _i表示协议类型i，M _i表示协议类型i对应的协议置信度。M _i的取值范围为[0，1]，M _i越大，对应的网络数据包的异常程度越大。算法置信度可以用score _alg(<pro _i，alg _j>)＝N _k表示，其中score _alg表示算法置信度，<pro _i，alg _j>表示协议类型i下的指纹生成算法j，N _k表示协议类型i下的指纹生成算法j对应的算法置信度。N _k的取值范围为[0，1]， N _k越大，对应的网络数据包的异常程度越大。

参考图7，<pro _i，alg _j，hash _ij>表示目标数据包指纹数组，<l_pro _i，l_alg _j，l_hash _ij，l_count _ij>表示参考数据包指纹数组。pro _i表示目标数据包指纹对应的协议类型i，alg _j表示目标数据包指纹对应的指纹生成算法j，hash _ij表示基于协议类型i对应的指纹生成算法j生成的目标数据包指纹，l_pro _i表示参考数据包指纹对应的协议类型i，l_alg _j表示参考数据包指纹对应的指纹生成算法j，l_hash _ij表示基于协议类型i对应的指纹生成算法j生成的参考数据包指纹，l_count _ij表示参考数据包指纹对应的统计值。根据l_hashij和hashij的比对结果可以确定各个匹配成功的目标数据包指纹，然后循环累加各个匹配成功的目标数据包指纹对应的协议类型的中间置信度，得到待检测网络数据包对应的目标置信度score。目标置信度score+＝sum(M _i*sumN)，i++。当目标置信度score超过参考置信度mb_THR时，则认为待检测网络数据包为异常网络数据包，否则认为待检测网络数据包为正常网络数据包。当待检测网络数据包为异常网络数据包时，可以向运维人员发出告警信息，也可以阻断待检测网络数据包。其中，在生成目标置信度score时，对同一层协议类型对应的各个目标算法置信度从大到小进行逆序排序，即sort(score(<P，alg _k>)，greater)，再按照累加公式进行累加。累加公式为sumN+＝(1-sumN)*N _k，k++。该累加公式可以保证当匹配成功的目标数据包指纹越多时，在同一层协议类型下累加得到的算法置信值越接近1，但是不超过1，可以保证在同一层协议类型下累加得到的算法置信值大于最大的目标算法置信度。

举例说明，score _pro(http)＝0.9，score _alg(<http，fatt>)＝0.8，score _alg(<http，pmercury>)＝0.6，mb_THR＝0.7。其中，mb_THR表示参考置信度。

待检测网络数据包的一个目标数据包指纹和参考数据包指纹库中基于HTTP协议对应的指纹生成算法fatt生成的某个参考数据包指纹匹配，以及另一个目标数据包指纹和参考数据包指纹库中基于HTTP协议对应的指纹生成算法pmercury生成的某个参考数据包指纹匹配。那么，待检测网络数据包对应的目标置信度score＝0.9*[0.8+(1-0.8)*0.6]＝0.828>0.7，因此确定待检测网络数据包为异常网络数据包。可以理解，由于待检测网络数据包的目标数据包指纹和参考数据包指纹库中基于TCP协议生成的参考数据包指纹不匹配，因此可以不需要计算TCP协议对应的中间置信度，直接将HTTP协议对应的中间置信度作为待检测网络数据包对应的目标置信度。

在一个实施例中，基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果，包括：当目标置信度大于参考置信度时，确定异常检测结果为网络数据包异常；当目标置信度小于或等于参考置信度时，确定异常检测结果为网络数据包正常。

具体地，参考置信度可以是一个综合的置信度阈值。也可以是一个协议类型对应一个置信度阈值，即存在多个参考置信度。当目标置信度大于参考置信度时，确定异常检测结果为网络数据包异常，当目标置信度小于或等于参考置信度时，确定异常检测结果为网络数据包正常。不同的协议类型对应的置信度阈值可以相同可以不同。例如，HTTP协议对应的置信度阈值可以为0.7，TCP协议对应的置信度阈值可以为0.65。

本实施例中，通过比较目标置信度和参考置信度，可以快速确定待检测网络数据包的异常检测结果。

在一个实施例中，所述方法还包括：当异常检测结果为网络数据包异常时，获取阻断 数据包；将阻断数据包发送至待检测网络数据包对应的接收方，以使接收方停止建立与待检测网络数据包对应的发送方的通信连接。

具体地，当待检测网络数据包的异常检测结果为网络数据包异常时，检测服务器可以获取阻断数据包，将阻断数据包发送至待检测网络数据包对应的接收方。检测服务器可以从待检测网络数据包中获取发送方的相关信息，将发送方的相关信息携带至阻断数据包中，那么当接受方接收到该阻断数据包后，可以主动停止建立与该发送方的通信连接，以此来阻断待检测网络数据包。

在一个实施例中，阻断数据包可以是RST(Reset)包。RST包用于断开通信双方的通信连接。

本实施例中，当待检测网络数据包的异常检测结果为网络数据包异常时，将阻断数据包发送至待检测网络数据包对应的接收方，可以快速断开待检测网络数据包对应的发送方和接受方的通信连接，有效阻止黑客攻击。

在一个实施例中，所述方法还包括：定时统计各个参考数据包指纹对应的匹配成功率；将匹配成功率小于预设阈值的参考数据包指纹从参考数据包指纹库中滤除。

具体地，为了提高参考数据包指纹库的空间利用率，可以定时对参考数据包指纹库中的参考数据包指纹进行过滤，滤除长期未匹配到的参考数据包指纹。可以理解，若参考数据包指纹长期未匹配成功，则可以认为该参考数据包指纹对应的黑客攻击已经停止。因为参考数据包指纹库是不断扩充的，所以可以将长期未匹配到的参考数据包指纹滤除，以此来提高参考数据包指纹库的空间利用率。检测服务器可以定时统计参考数据包指纹库中各个参考数据包指纹对应的匹配成功率，将匹配成功率小于预设阈值的参考数据包指纹从参考数据包指纹库中滤除。检测服务器具体可以根据参考数据包指纹的匹配成功次数和参考数据包指纹在参考数据包指纹库中存储时间得到参考数据包指纹对应的匹配成功率。不同的存储时间对应不同的参考匹配次数，将匹配成功次数和参考匹配次数的比值作为匹配成功率。其中，预设阈值可以根据实际需要进行设置。

本申请还提供一种应用场景，该应用场景应用上述的异常网络数据检测方法。具体地，该异常网络数据检测方法在该应用场景的应用如下：

该异常网络数据检测方法可以用于秒拨攻击检测。秒拨是指利用国内家用宽带拨号上网的原理，每一次断线重连就会获取一个新的IP，实现按秒拨号的IP跳变。黑客可以利用秒拨技术攻击计算机设备，以窃取核心数据。

如图8所示，正常用户和秒拨用户都可以通过终端向业务服务器发送网络数据包。终端可以利用交换机和业务服务器进行通信。检测服务器可以从交换机上通过旁路引流的方式获取同一时间窗内的候选网络数据包，生成各个候选网络数据包分别对应的候选数据包指纹，根据候选数据包指纹建立秒拨黑库。检测服务器可以从交换机上通过旁路引流的方式获取目标网络数据包(实时流量)，生成目标网络数据包对应的目标数据包指纹，将目标数据包指纹和参考数据包指纹进行匹配，计算匹配成功的目标数据包指纹对应的目标置信度，根据目标置信度和置信度阈值的比较结果来识别秒拨IP。当目标置信度大于置信度阈值时，确定目标网络数据包为异常网络数据包，确定匹配到秒拨IP攻击，进行告警，实时阻断异常网络数据包。当目标置信度小于或等于置信度阈值时，确定目标网络数据包为正常网络数据包。

如图9所示，检测服务器识别秒拨攻击的具体过程如下：

1、建立秒拨黑库。

1-1、从交换机中采集同一时间窗内的多个候选网络数据包(即在时间窗内统计流量)。

1-2、生成各个候选网络数据包分别对应的至少一个候选数据包指纹，各个候选数据包指纹组合得到候选数据包指纹集合。

具体地，获取候选网络数据包对应的当前层协议类型和关联层协议类型，基于当前层协议类型对应的至少一个指纹生成算法从候选网络数据包中获取匹配的特征字段，根据特征字段生成对应的候选数据包指纹，基于关联层协议类型对应的至少一个指纹生成算法从候选网络数据包中获取匹配的特征字段，根据特征字段生成对应的候选数据包指纹，各个候选网络数据包对应的多个候选数据包指纹组合得到候选数据包指纹集合。

举例说明，HTTP协议网络数据包对应的当前层协议类型为HTTP协议，对应的关联层协议类型为TCP协议，HTTP协议对应的指纹生成算法包括fatt和pmercury，TCP协议对应的指纹生成算法包括pmercury。基于HTTP协议对应的指纹生成算法fatt从候选网络数据包中获取匹配的特征字段，根据特征字段生成对应的候选数据包指纹hash1。基于HTTP协议对应的指纹生成算法pmercury从候选网络数据包中获取匹配的特征字段，根据特征字段生成对应的候选数据包指纹hash2。基于TCP协议对应的指纹生成算法pmercury从候选网络数据包中获取匹配的特征字段，根据特征字段生成对应的候选数据包指纹hash3。HTTP协议网络数据包对应的候选数据包指纹包括候选数据包指纹hash1、候选数据包指纹hash2和候选数据包指纹hash3。

1-3、对候选数据包指纹进行聚类，根据聚类结果建立秒拨黑库。

具体地，基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类得到多个不同的聚类簇，统计同一聚类簇内的候选数据包指纹的数量，得到各个聚类簇对应的统计值。将统计值大于统计阈值的聚类簇内的候选数据包指纹作为参考数据包指纹，各个参考数据包指纹组合得到秒拨黑库(即参考数据包指纹库)。

举例说明，假设统计阈值为50。在候选数据包指纹库中，若基于HTTP协议对应的指纹生成算法fatt生成的候选数据包指纹hash1的总数为55>50，则可以将候选数据包指纹hash1作为参考数据包指纹加入秒拨黑库。秒拨黑库可以按照<HTTP协议，指纹生成算法fatt，hash1，55>这样的数组存储候选数据包指纹hash1。

2、从交换机中采集实时流量，基于秒拨黑库对实时流量进行秒拨攻击检测。

2-1、生成待检测网络数据包(即实时流量)对应的至少一个目标数据包指纹，各个目标数据包指纹组合得到目标数据包指纹集合。

具体地，获取待检测网络数据包(即实时流量)对应的当前层协议类型和关联层协议类型，基于当前层协议类型对应的至少一个指纹生成算法从待检测网络数据包中获取匹配的特征字段，根据特征字段生成对应的目标数据包指纹。基于关联层协议类型对应的至少一个指纹生成算法从待检测网络数据包中获取匹配的特征字段，根据特征字段生成对应的目标数据包指纹，各个目标数据包指纹组合得到待检测网络数据包对应的目标数据包指纹集合。

2-2、目标数据包指纹和秒拨黑库中的参考数据包指纹进行匹配

具体地，将目标数据包指纹和秒拨黑库中的参考数据包指纹进行匹配。当目标数据包 指纹和参考数据包指纹一致，目标数据包指纹对应的协议类型和参考数据包指纹对应的协议类型一致，目标数据包指纹对应的指纹生成算法和参考数据包指纹对应的指纹生成算法一致时，确定该目标数据包指纹和该参考数据包指纹匹配成功。

2-3、基于匹配成功的各个目标数据包指纹计算待检测网络数据包对应的目标置信度。

具体地，基于匹配成功的各个目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度，将同一层协议类型对应的各个目标算法置信度从大到小进行排序，按照排序顺序，根据累加公式将同一层协议类型对应的各个目标算法置信度累加得到各层协议类型对应的算法置信度统计值(即第二置信度)。将同一层协议类型对应的目标协议置信度和算法置信度统计值进行相乘得到各层协议类型对应的中间置信度，将各个中间置信度进行相加得到目标置信度。

2-4、获取参考置信度，根据目标置信度和参考置信度的比较结果判断是否出现秒拨攻击。

具体地，获取相应的参考置信度(即置信度阈值)，当目标置信度大于参考置信度时，确定待检测网络数据包的异常检测结果为网络数据包异常，当目标置信度小于或等于参考置信度时，确定待检测网络数据包的异常检测结果为网络数据包正常。当待检测网络数据包的异常检测结果为网络数据包异常时，则判断出现秒拨攻击，检测服务器可以向运维人员对应的终端发送告警信息，或者直接阻断该待检测网络数据包。

举例说明，score _pro(http)＝0.9，score _alg(<http，fatt>)＝0.8，score _alg(<http，pmercury>)＝0.6，mb_THR(http)＝0.7。score _pro(tcp)＝0.7，score _alg(<tcp，pmercury>)＝0.7，mb_THR(tcp)＝0.45。

待检测网络数据包的一个目标数据包指纹和参考数据包指纹库中基于HTTP协议对应的指纹生成算法fatt生成的某个参考数据包指纹匹配，另一个目标数据包指纹和参考数据包指纹库中基于HTTP协议对应的指纹生成算法pmercury生成的某个参考数据包指纹匹配，另一个目标数据包指纹和参考数据包指纹库中基于HTTP协议对应的指纹生成算法pmercury生成的某个参考数据包指纹匹配。那么，score(http)＝0.9*[0.8+(1-0.8)*0.6]＝0.828>0.7，score(tcp)＝0.7*0.7＝0.49>0.45，因此确定待检测网络数据包为异常网络数据包。

上述异常网络数据检测方法，规避了传统检测手段对于IP的依赖，将关注重点放在了请求内容、客户端甚至攻击者本身，也就是网络数据包的特征信息，从而可以降低秒拨攻击的误判率，提高秒拨攻击的检测准确性。此外，同一网络数据包对应的数据包指纹集合包括多种协议类型、多种指纹生成算法对应的数据包指纹，丰富了数据包指纹，可以覆盖更多的攻击类型，可以进一步提高秒拨攻击的检测准确性。

应该理解的是，虽然图2、4、5、6的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2、4、5、6中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者 交替地执行。

在一个实施例中，如图10所示，提供了一种异常网络数据检测装置，该装置可以采用软件模块或硬件模块，或者是二者的结合成为计算机设备的一部分，该装置具体包括：数据包获取模块1002、数据包指纹生成模块1004、数据包指纹匹配模块1006、置信度计算模块1008和检测结果确定模块1010，其中：

数据包获取模块1002，用于获取待检测网络数据包；

数据包指纹生成模块1004，用于根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征，生成对应的目标数据包指纹集合；目标数据包指纹集合包括至少一个目标数据包指纹；

数据包指纹匹配模块1006，用于将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配；

置信度计算模块1008，用于基于匹配成功的目标数据包指纹对应的置信度关联信息，计算得到待检测网络数据包对应的目标置信度；

检测结果确定模块1010，用于获取参考置信度，基于参考置信度和所述目标置信度确定待检测网络数据包的异常检测结果。

在一个实施例中，如图11所示，所述装置还包括：

参考数据包指纹库建立模块1001，用于获取候选网络数据包集合；候选网络数据包集合包括在同一时间窗内的多个候选网络数据包；根据候选网络数据包对应的候选协议类型对候选网络数据包提取特征，生成对应的候选数据包指纹集合，候选数据包指纹集合包括各个候选网络数据包对应的候选数据包指纹；基于指纹关联信息对候选数据包指纹集合中的候选数据包指纹进行聚类，得到聚类结果；根据聚类结果从候选数据包指纹集合中确定参考数据包指纹，各个参考数据包指纹组合得到参考数据包指纹库。

在一个实施例中，当前网络数据包为待检测网络数据包，数据包指纹生成模块还用于获取当前网络数据包对应的当前协议类型，当前协议类型包括当前层协议类型和关联层协议类型；获取当前协议类型对应的至少一个指纹生成算法；基于指纹生成算法从当前网络数据包中提取匹配的特征字段，根据特征字段得到当前协议类型对应的各个指纹生成算法生成的当前数据包指纹；各个当前数据包指纹组合得到当前网络数据包对应的数据包指纹集合。

在一个实施例中，当前网络数据包为候选网络数据包，参考数据包指纹库建立模块还用于获取当前网络数据包对应的当前协议类型，当前协议类型包括当前层协议类型和关联层协议类型；获取当前协议类型对应的至少一个指纹生成算法；基于指纹生成算法从当前网络数据包中提取匹配的特征字段，根据特征字段得到当前协议类型对应的各个指纹生成算法生成的当前数据包指纹；各个当前数据包指纹组合得到当前网络数据包对应的数据包指纹集合。

在一个实施例中，指纹关联信息包括候选数据包指纹对应的候选协议类型和指纹生成算法，参考数据包指纹库建立模块还用于将基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类得到多个不同的聚类簇，统计同一聚类簇内的候选数据包指纹的数量，得到各个聚类簇对应的统计值。参考数据包指纹库建立模块还用于将统计 值大于统计阈值的聚类簇内的候选数据包指纹作为参考数据包指纹。

在一个实施例中，数据包指纹匹配模块还用于将目标数据包指纹和当前参考数据包指纹进行比较，得到数据包指纹比较结果；将目标数据包指纹对应的指纹关联信息和当前参考数据包指纹对应的指纹关联信息进行比较，得到指纹关联信息比较结果；当数据包指纹比较结果和指纹关联信息比较结果均为一致时，确定目标数据包指纹和当前参考数据包指纹匹配成功。

在一个实施例中，置信度计算模块还用于获取目标协议类型对应的目标协议置信度；基于匹配成功的目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度；基于目标协议置信度和目标算法置信度得到目标置信度。

在一个实施例中，目标协议类型包括当前层协议类型和关联层协议类型，置信度计算模块还用于将同一层协议类型对应的各个目标算法置信度从大到小进行排序，得到各层协议类型对应的排序结果；根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度；将同一层协议类型对应的排序结果中剩余的目标算法置信度和对应的第一置信度从大到小进行排序，得到各层协议类型对应的更新的排序结果，返回根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度的步骤，直至同一层协议类型对应的各个目标算法置信度均参与数据处理，得到各层协议类型对应的第二置信度；基于同一层协议类型对应的目标协议置信度和第二置信度得到各层协议类型对应的中间置信度，根据各个中间置信度得到目标置信度。

在一个实施例中，置信度计算模块还用于获取当前排序第一的目标算法置信度和当前排序第二的目标算法置信度对应的融合权重，当前排序第二的目标算法置信度对应的融合权重是基于当前排序第一的目标算法置信度确定的，基于同一层协议类型对应的融合权重，对同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度进行融合，得到各层协议类型对应的第一置信度。

在一个实施例中，检测结果确定模块还用于当目标置信度大于参考置信度时，确定异常检测结果为网络数据包异常；当目标置信度小于或等于参考置信度时，确定异常检测结果为网络数据包正常。

在一个实施例中，如图11所示，所述装置还包括：

通信连接阻断模块1011，用于当异常检测结果为网络数据包异常时，获取阻断数据包；将阻断数据包发送至待检测网络数据包对应的接收方，以使接收方停止建立与待检测网络数据包对应的发送方的通信连接。

在一个实施例中，如图11所示，所述装置还包括：

参考数据包指纹库更新模块1012，用于定时统计各个参考数据包指纹对应的匹配成功率；将匹配成功率小于预设阈值的参考数据包指纹从参考数据包指纹库中滤除。

上述异常网络数据检测装置，生成的目标数据包指纹可以表征待检测网络数据包的特征信息，多个目标数据包指纹可以从不同维度表征待检测网络数据包的特征信息，从而丰富了异常网络数据包的检测维度，提高了异常网络数据包的检测准确性。进一步的，参考数据包指纹库集成了多个异常的参考数据包指纹，因此匹配成功的目标数据包指纹可以表征待检测网络数据包异常的特征信息，基于匹配成功的目标数据包指纹对应的置信度关联 信息计算得到的目标置信度可以表征待检测网络数据包的异常程度，基于参考置信度和目标置信度可以快速确定待检测网络数据包的异常检测结果，提高了异常网络数据包的检测准确性和检测效率。

关于异常网络数据检测装置的具体限定可以参见上文中对于异常网络数据检测方法的限定，在此不再赘述。上述异常网络数据检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图12所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机可读指令和数据库。该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。该计算机设备的数据库用于存储参考数据包指纹、协议置信度、算法置信度、指纹生成算法等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机可读指令被处理器执行时以实现一种异常网络数据检测方法。

本领域技术人员可以理解，图12中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，还提供了一种计算机设备，包括存储器和一个或多个处理器，存储器中存储有计算机可读指令，该一个或多个处理器执行计算机可读指令时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，存储有计算机可读指令，该计算机可读指令被一个或多个处理器执行时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机可读指令，该计算机可读指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机可读指令，处理器执行该计算机可读指令，使得该计算机设备执行上述各方法实施例中的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可读指令来指令相关的硬件来完成，所述的计算机可读指令可存储于一非易失性计算机可读取存储介质中，该计算机可读指令在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory， SRAM)或动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (20)

1. 一种异常网络数据检测方法，其特征在于，由检测服务器执行，所述方法包括：

   获取待检测网络数据包；

   根据所述待检测网络数据包对应的目标协议类型对所述待检测网络数据包提取特征，生成对应的目标数据包指纹集合；所述目标数据包指纹集合包括至少一个目标数据包指纹；

   将所述目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配；

   基于匹配成功的目标数据包指纹对应的置信度关联信息，计算得到所述待检测网络数据包对应的目标置信度；及

   获取参考置信度，基于所述参考置信度和所述目标置信度确定所述待检测网络数据包的异常检测结果。
2. 根据权利要求1所述的方法，其特征在于，所述获取待检测网络数据包之前，所述方法还包括：

   获取候选网络数据包集合；所述候选网络数据包集合包括在同一时间窗内的多个候选网络数据包；

   根据所述候选网络数据包对应的候选协议类型对所述候选网络数据包提取特征，生成对应的候选数据包指纹集合，所述候选数据包指纹集合包括各个候选网络数据包对应的候选数据包指纹；

   基于指纹关联信息对所述候选数据包指纹集合中的候选数据包指纹进行聚类，得到聚类结果；及

   根据所述聚类结果从所述候选数据包指纹集合中确定参考数据包指纹，各个参考数据包指纹组合得到所述参考数据包指纹库。
3. 根据权利要求2所述的方法，其特征在于，当前网络数据包为所述待检测网络数据包或所述候选网络数据包，所述当前网络数据包对应的数据包指纹集合的生成，包括以下步骤：

   获取所述当前网络数据包对应的当前协议类型，所述当前协议类型包括当前层协议类型和关联层协议类型；

   获取所述当前协议类型对应的至少一个指纹生成算法；

   基于所述指纹生成算法从所述当前网络数据包中提取匹配的特征字段，根据所述特征字段得到所述当前协议类型对应的各个指纹生成算法生成的当前数据包指纹；及

   各个当前数据包指纹组合得到所述当前网络数据包对应的数据包指纹集合。
4. 根据权利要求2所述的方法，其特征在于，所述指纹关联信息包括候选数据包指纹对应的候选协议类型和指纹生成算法，所述基于指纹关联信息对所述候选数据包指纹集合中的候选数据包指纹进行聚类，得到聚类结果，包括：

   将基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类得到多个不同的聚类簇，统计同一聚类簇内的候选数据包指纹的数量，得到各个聚类簇对应的统计值；

   所述根据聚类结果从所述候选数据包指纹集合中确定参考数据包指纹，各个参考数据包指纹组合得到所述参考数据包指纹库，包括：

   将所述统计值大于统计阈值的聚类簇内的候选数据包指纹作为所述参考数据包指纹。
5. 根据权利要求1所述的方法，其特征在于，所述将所述目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配，包括：

   将所述目标数据包指纹和当前参考数据包指纹进行比较，得到数据包指纹比较结果；

   将所述目标数据包指纹对应的指纹关联信息和所述当前参考数据包指纹对应的指纹关联信息进行比较，得到指纹关联信息比较结果；及

   当所述数据包指纹比较结果和所述指纹关联信息比较结果均为一致时，确定所述目标数据包指纹和所述当前参考数据包指纹匹配成功。
6. 根据权利要求1所述的方法，其特征在于，所述基于匹配成功的目标数据包指纹对应的置信度关联信息计算得到所述待检测网络数据包对应的目标置信度，包括：

   获取所述目标协议类型对应的目标协议置信度；

   基于匹配成功的目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度；及

   基于所述目标协议置信度和所述目标算法置信度得到所述目标置信度。
7. 根据权利要求6所述的方法，其特征在于，所述目标协议类型包括当前层协议类型和关联层协议类型，所述基于所述目标协议置信度和所述目标算法置信度得到所述目标置信度，包括：

   将同一层协议类型对应的各个目标算法置信度从大到小进行排序，得到各层协议类型对应的排序结果；

   根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度；将同一层协议类型对应的排序结果中剩余的目标算法置信度和对应的第一置信度从大到小进行排序，得到各层协议类型对应的更新的排序结果，返回所述根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度的步骤，直至同一层协议类型对应的各个目标算法置信度均参与数据处理，得到各层协议类型对应的第二置信度；及

   基于同一层协议类型对应的目标协议置信度和第二置信度得到各层协议类型对应的中间置信度，根据各个中间置信度得到所述目标置信度。
8. 根据权利要求7所述的方法，其特征在于，所述根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度，包括：

   获取当前排序第一的目标算法置信度和当前排序第二的目标算法置信度对应的融合权重；所述当前排序第二的目标算法置信度对应的融合权重是基于所述当前排序第一的目标算法置信度确定的；及

   基于同一层协议类型对应的融合权重，对同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度进行融合，得到各层协议类型对应的第一置信度。
9. 根据权利要求1所述的方法，其特征在于，所述基于所述参考置信度和所述目标置信度确定所述待检测网络数据包的异常检测结果，包括：

   当所述目标置信度大于所述参考置信度时，确定所述异常检测结果为网络数据包异常；及

   当所述目标置信度小于或等于所述参考置信度时，确定所述异常检测结果为网络数据包正常。
10. 根据权利要求1所述的方法，其特征在于，所述方法还包括：

    当所述异常检测结果为网络数据包异常时，获取阻断数据包；及

    将所述阻断数据包发送至所述待检测网络数据包对应的接收方，以使所述接收方停止建立与所述待检测网络数据包对应的发送方的通信连接。
11. 根据权利要求1所述的方法，其特征在于，所述方法还包括：

    定时统计各个参考数据包指纹对应的匹配成功率；及

    将所述匹配成功率小于预设阈值的参考数据包指纹从所述参考数据包指纹库中滤除。
12. 一种异常网络数据检测装置，其特征在于，所述装置包括：

    数据包获取模块，用于获取待检测网络数据包；

    数据包指纹生成模块，用于根据所述待检测网络数据包对应的目标协议类型对所述待检测网络数据包提取特征，生成对应的目标数据包指纹集合；所述目标数据包指纹集合包括至少一个目标数据包指纹；

    数据包指纹匹配模块，用于将所述目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配；

    置信度计算模块，用于基于匹配成功的目标数据包指纹对应的置信度关联信息，计算得到所述待检测网络数据包对应的目标置信度；及

    检测结果确定模块，用于获取参考置信度，基于所述参考置信度和所述目标置信度确定所述待检测网络数据包的异常检测结果。
13. 根据权利要求12所述的装置，其特征在于，所述装置还包括：

    参考数据包指纹库建立模块，用于获取候选网络数据包集合；所述候选网络数据包集合包括在同一时间窗内的多个候选网络数据包；根据候选网络数据包对应的候选协议类型对候选网络数据包提取特征，生成对应的候选数据包指纹集合，所述候选数据包指纹集合包括各个候选网络数据包对应的候选数据包指纹；基于指纹关联信息对所述候选数据包指纹集合中的候选数据包指纹进行聚类，得到聚类结果；根据聚类结果从所述候选数据包指纹集合中确定参考数据包指纹，各个参考数据包指纹组合得到所述参考数据包指纹库。
14. 根据权利要求13所述的装置，其特征在于，所述指纹关联信息包括候选数据包指纹对应的候选协议类型和指纹生成算法，所述参考数据包指纹库建立模块还用于将基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类得到多个不同的聚类簇，统计同一聚类簇内的候选数据包指纹的数量，得到各个聚类簇对应的统计值；所述参考数据包指纹库建立模块还用于将统计值大于统计阈值的聚类簇内的候选数据包指纹作为所述参考数据包指纹。
15. 根据权利要求12所述的装置，其特征在于，所述数据包指纹匹配模块还用于将所述目标数据包指纹和当前参考数据包指纹进行比较，得到数据包指纹比较结果，将所述目标数据包指纹对应的指纹关联信息和所述当前参考数据包指纹对应的指纹关联信息进行比较，得到指纹关联信息比较结果，当所述数据包指纹比较结果和所述指纹关联信息比较结果均为一致时，确定所述目标数据包指纹和所述当前参考数据包指纹匹配成功。
16. 根据权利要求12所述的装置，其特征在于，所述置信度计算模块还用于获取所述目标协议类型对应的目标协议置信度，基于匹配成功的目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度，基于所述目标协议置信度和所述目标算法置信度得到所述目标置信度。
17. 根据权利要求16所述的装置，其特征在于，所述目标协议类型包括当前层协议类型和关联层协议类型，所述置信度计算模块还用于将同一层协议类型对应的各个目标算法置信度从大到小进行排序，得到各层协议类型对应的排序结果，根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度，将同一层协议类型对应的排序结果中剩余的目标算法置信度和对应的第一置信度从大到小进行排序，得到各层协议类型对应的更新的排序结果，返回所述根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度的步骤，直至同一层协议类型对应的各个目标算法置信度均参与数据处理，得到各层协议类型对应的第二置信度，基于同一层协议类型对应的目标协议置信度和第二置信度得到各层协议类型对应的中间置信度，根据各个中间置信度得到所述目标置信度。
18. 根据权利要求17所述的装置，其特征在于，所述置信度计算模块还用于获取当前排序第一的目标算法置信度和当前排序第二的目标算法置信度对应的融合权重，所述当前排序第二的目标算法置信度对应的融合权重是基于所述当前排序第一的目标算法置信度确定的，基于同一层协议类型对应的融合权重，对同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度进行融合，得到各层协议类型对应的第一置信度。
19. 一种计算机设备，包括存储器和一个或多个处理器，所述存储器存储有计算机可读指令，其特征在于，所述一个或多个处理器执行所述计算机可读指令时实现权利要求1至11中任一项所述的方法的步骤。
20. 一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，存储有计算机可读指令，其特征在于，所述计算机可读指令被一个或多个处理器执行时实现权利要求1至11中任一项所述的方法的步骤。

Images