[发明专利]一种网络攻击识别方法、装置及设备

说明书

本发明公开了一种网络攻击识别方法、装置及设备，所述方法包括：采集异常网络中的网络数据包，提取所述网络数据包的网络特征；根据提取出的网络特征，从所述网络数据包中确定出反射数据包；将所述反射数据包的网络特征与属性关系表中的特征进行匹配，得到所述反射数据包对应的属性特征；由所述反射数据包的网络特征和属性特征，得出所述反射数据包的网络攻击类型。本发明能够自动识别出反射型DDoS攻击类型；解决了企业在DDoS对抗方面严重依赖经验丰富的安全人员的问题，提升了企业应对新的DDoS攻击方法的主动性和自动性。

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种网络攻击识别方法、装置及设备。

背景技术

随着云计算和物联网等科技的不断发展，DDoS分布式拒绝服务的网络攻击越来越频繁，攻击流量峰值记录也不断被打破。其中，DDoS分布式拒绝服务攻击会导致网络服务(如游戏，视频，电商网站等)出现访问缓慢、连接中断等网络问题，这将造成被攻击企业业务的不可用，严重影响用户的产品体验；继而会致使用户流失、品牌受损等严重后果。

目前，针对DDoS分布式拒绝服务攻击使用通用的识别和应对措施，其主要是通过检测--清洗--回注的方案进行的。具体是检测设备和清洗设备通过旁路接入网络的方式；检测设备通过分析网络流量，识别网络攻击；之后在检测到DDoS攻击后下发牵引指令，使得被攻击IP地址的攻击流量经过清洗设备；清洗设备通过算法将攻击流量拦截掉，再将业务流量回注到服务器网络里；并将防护效果相关的数据推送到管理中心，供值班人员或者运维人员参考。可见，现有方案的识别及之后的应对方式比较被动；并且，在应对之前并不能针对攻击手法进行有效识别，如果有新的攻击手法出现，就会因应对策略无法覆盖导致攻击流量透传到业务服务器，造成业务损失。

因此，需要提供一种有效的进行网络攻击识别的技术方案，提升企业应对DDoS攻击方法的主动性和自动性。

发明内容

本发明提供了一种网络攻击识别生成方法、装置及设备，具体地：

一方面提供了一种网络攻击识别方法，所述方法包括：

采集异常网络中的网络数据包，提取所述网络数据包的网络特征；

根据提取出的网络特征，从所述网络数据包中确定出反射数据包；

将所述反射数据包的网络特征与属性关系表中的特征进行匹配，得到所述反射数据包对应的属性特征；

由所述反射数据包的网络特征和属性特征，得出所述反射数据包的网络攻击类型。

一方面提供了一种网络攻击识别装置，所述装置包括：

网络特征提取模块，用于采集异常网络中的网络数据包，提取所述网络数据包的网络特征；

反射数据包确定模块，用于根据提取出的网络特征，从所述网络数据包中确定出反射数据包；

属性特征得到模块，用于将所述反射数据包的网络特征与属性关系表中的特征进行匹配，得到所述反射数据包对应的属性特征；

网络攻击类型得到模块，用于由所述反射数据包的网络特征和属性特征，得出所述反射数据包的网络攻击类型。

另一方面提供了一种设备，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述方面所述的网络攻击识别方法。

另一方面提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如如上述方面所述的网络攻击识别方法。