[发明专利]一种攻击流量防护方法及装置

说明书

技术领域

本申请涉及网络安全技术领域，尤其涉及一种攻击流量防护方法及装置。

背景技术

随着网络规模的不断扩大，网络上各种开放的黑客工具也越来越多，黑客们可以通过这些黑客工具对网络用户发起攻击，以达到破坏网络或者窃取数据的目的。对于用户而言，用户则需要增强网络安全的防范措施来防御黑客的入侵。

现有技术中，网络用户出于对安全方面的考虑，通常会选择部署防护设备，比如入侵防御系统(IPS，Intrusion Prevention System)，实时地对相关网络流量进行识别。IPS包含有特征库，特征库中存储有已知的、常见的攻击流量。IPS在识别相关网络流量时将网络流量与特征库中的攻击流量进行匹配，一旦发现匹配到攻击流量就会对其进行拦截阻断。但是黑客对网络用户发起攻击时，通常伴随着大量的异常流量，异常流量可能是正常流量，也可能是攻击流量，IPS无法作出明确地判断。常规的IPS需要依赖高质量的特征库，也就是说，需要特征库存储大量的攻击流量。同时，实际应用中仅仅通过特征库进行单维度特征匹配难以识别一些变形的攻击流量，且准确性不高。因此需要研究一种针对攻击流量更加有效的防护方法。

发明内容

有鉴于此，本申请提供一种攻击流量防护方法及装置。

一种攻击流量防护方法，包括：

获取异常流量；

从所述异常流量中提取多个流量特征；

基于选定的所述多个流量特征，对所述异常流量进行多维度的攻击检测，以确定所述异常流量是否为攻击流量；

如果确定所述异常流量为攻击流量时，基于所述攻击流量的流量特征生成攻击流量防护规则。

所述基于选定的所述多个流量特征分别对所述异常流量进行多维度的攻击检测，包括：

基于与各流量特征对应的检测规则，分别对所述异常流量进行攻击检测，得到对应于各检测规则的多个风险评分；

将得到的各风险评分进行相加，得到对应于所述异常流量的总评分。

所述将得到的各风险评分进行相加，得到对应于所述异常流量的总评分，包括：

将得到的各风险评分乘以对应的权重再进行相加，得到对应于所述异常流量的总评分。

不同流量特征分别对应不同的检测规则。

所述获取异常流量，包括：

记录采集到的流量的流量特征；

基于与所述记录的流量特征分别对应的异常流量分析策略对采集到的流量进行异常分析，以获取采集到的流量中的异常流量；其中，不同的流量特征分别对应不同的异常流量分析策略。

一种攻击流量防护装置，包括：

获取单元，用于获取异常流量；

提取单元，用于从所述异常流量中提取多个流量特征；

攻击检测单元，使基于选定的所述多个流量特征对所述异常流量进行多维度的攻击检测，以确定所述异常流量是否为攻击流量；

规则生成单元，如果确定所述异常流量为攻击流量时，基于所述攻击流量的流量特征生成攻击流量防护规则。

所述攻击检测单元，包括：

风险评分获取子单元，基于与各流量特征对应的检测规则，分别对所述异常流量进行攻击检测，得到对应于各检测规则的多个风险评分；

风险评分处理子单元，用于将得到的各风险评分进行相加，得到对应于所述异常流量的总评分，以确定所述异常流量是否为攻击流量。

所述风险评分处理子单元进一步用于将得到的各风险评分乘以对应的权重再进行相加，得到对应于所述异常流量的总评分。

不同流量特征分别对应不同的检测规则。

所述获取单元包括：

记录子单元，用于记录采集到的流量的流量特征；

分析子单元，使基于与所述记录的流量特征分别对应的异常流量分析策略对采集到的流量进行异常分析，以确定采集到的流量中的异常流量；其中，不同的流量特征分别对应不同的异常流量分析策略。

上述技术方案中，通过获取异常流量，从获取的异常流量中提取多个流量特征，并基于选定的多个流量特征对所述异常流量进行多维度的攻击检测，以确定所述异常流量是否为攻击流量，如果确定所述异常流量为攻击流量时，基于所述攻击流量的流量特征生成攻击流量防护规则。

与现有技术相比，本方案通过选定的多个流量特征对异常流量进行多维度的攻击检测，因此可以更加全面地评价异常流量，从而提升对攻击流量判断的准确性，可以更加有效地防护攻击流量。

附图说明