[发明专利]一种检测入侵流量的方法和装置

说明书

本发明公开了一种检测入侵流量的方法和装置，涉及网络技术领域，用于解决降低入侵流量的漏报率和误报率的问题，本发明的主要技术方案为：获取各网络安全检测系统分别对目标流量是否为入侵流量的检测结果；确定各个所述检测结果的置信度；对各个所述检测结果的置信度进行合成计算，得到综合置信度；根据所述综合置信度，确定所述目标流量的风险度。通过本发明实施例提供的方法，综合多个不同网络安全检测系统对同一流量的检测结果来确定该流量是否为入侵流量，能够更为准确地检测出各种不同攻击类型的入侵流量，从而降低入侵流量的漏报率和误报率。

技术领域

本发明涉及网络技术领域，特别是涉及一种检测入侵流量的方法和装置。

背景技术

目前，随着云计算技术的发展，一些企业网已经开始部署在云计算环境上。通过云计算环境，云服务商可以为海量的用户提供部署企业网的服务，也就是说，在云计算环境中往往部署了多个用户的企业网。在云计算环境提供的虚拟机环境中，不同的虚拟机被作为网络中的不同节点。在云计算环境中，许多网络节点上都可以部署网络安全监测系统，也就是说，在多个不同的网络节点上部署有多个不同的网络安全检测系统。例如，不同用户在其企业网内的网络节点上部署基于网络的入侵检测系统、云主机异常检测系统、基于主机的入侵检测系统、各类杀毒软件等。这些不同的网络安全检测系统通常都对入侵流量具备一定的检测能力。

但是，由于入侵流量有各种不同的攻击类型，目前网络安全检测系统往往无法准确地检测出各种不同攻击类型的入侵流量，这样，一方面会导致一些入侵流量无法被检测出来，造成较高的漏报率，另一方面也会导致一些非入侵流量被错误地检测成入侵流量，造成较高的误报率。

发明内容

本发明所要解决的技术问题是，提供一种检测入侵流量的方法和装置，以综合多个不同网络安全检测系统对同一流量的检测结果来确定该流量是否为入侵流量，从而更为准确地检测各种不同攻击类型的入侵流量，降低入侵流量的漏报率和误报率。

第一方面，为解决上述技术问题，本发明实施例提供了一种检测入侵流量的方法，所述方法包括：

获取各网络安全检测系统分别对目标流量是否为入侵流量的检测结果；

根据各个所述检测结果的网络安全检测系统，针对所述目标流量的攻击类型检测各个所述检测结果的置信度；

对各个所述检测结果的置信度进行合成计算，得到综合置信度；

根据所述综合置信度，确定所述目标流量的风险度；所述风险度用于表示所述目标流量作为入侵流量的风险程度。

可选的，所述根据各个所述检测结果的网络安全检测系统，针对所述目标流量的攻击类型检测各个所述检测结果的置信度，包括：

根据各个所述检测结果的网络安全检测系统，获取针对所述目标流量的攻击类型的检测结果的总次数，及检测结果正确的次数；

通过所述检测结果正确的次数与所述检测结果的总次数的比值，确定各检测结果的置信度；

或，

通过所述检测结果的网络安全检测系统与被保护主机之间的相对位置关系，确定各检测结果的置信度。

可选的，所述方法还包括：

将预置时间段内具有相同结果信息的检测结果记录为一次检测结果。

可选的，所述通过所述检测结果的网络安全检测系统与被保护主机之间的相对位置关系，确定各检测结果的置信度，具体为：

通过获得各个所述检测结果的网络安全检测系统的类型和各个所述相对位置关系来确定各检测结果的置信度；

所述获得各个所述检测结果的网络安全检测系统的类型为用于针对所述被保护主机进行安全检测的产品或用于针对网络内所有主机进行安全检测的产品。