[发明专利]网络攻击检测方法、装置、设备及存储介质

权利要求书

1.一种网络攻击检测方法，其特征在于，所述方法包括：

获取数据流的多个维度的特征；

调用多个分类模型，每个分类模型用于根据数据流的一个维度的特征预测数据流是否为异常数据流；

对于所述多个维度的特征中每个维度的特征，将所述维度的特征输入所述多个分类模型中所述维度对应的分类模型，输出所述维度的分类结果；

根据所述多个维度的分类结果，获取网络攻击的检测结果。

2.根据权利要求1所述的方法，其特征在于，所述将所述维度的特征输入所述多个分类模型中所述维度对应的分类模型，输出所述维度的分类结果，包括下述任意一项：

将所述数据流的流量输入流量或包量维度对应的第一分类模型，在所述第一分类模型中，根据流量基线，检测所述流量的突变点，根据多个流量的突变点，获取所述流量的累计和，当所述流量的累计和大于流量阈值时，输出第一分类结果，当所述流量的累计和不大于所述流量阈值时，输出第二分类结果，所述流量的突变点为超过所述流量基线的流量，所述流量的累计和为每个所述流量的突变点与所述流量基线之间的差距的和，所述第一分类结果表示所述数据流为异常数据流，所述第二分类结果表示所述数据流不为异常数据流；

将所述数据流的包量输入所述第一分类模型，在所述第一分类模型中，根据包量基线，检测所述包量的突变点，根据多个包量的突变点，获取所述包量的累计和，当所述包量的累计和大于包量阈值时，输出所述第一分类结果，当所述包量的累计和不大于所述包量阈值时，输出所述第二分类结果，所述包量的突变点为超过所述包量基线的包量，所述包量的累计和为每个所述包量的突变点与所述包量基线之间的差距的和。

3.根据权利要求1所述的方法，其特征在于，所述将所述维度的特征输入所述多个分类模型中所述维度对应的分类模型，输出所述维度的分类结果，包括：

将所述数据流的斜率以及所述数据流的流量输入斜率维度对应的第二分类模型，在所述第二分类模型中，根据所述数据流的流量查询级别信息，得到所述数据流的流量对应的斜率阈值，所述数据流的斜率为单位时间内数据流的流量的增长率或包量的增长率，所述级别信息包括数据流的流量与斜率阈值之间的对应关系；

当所述斜率大于斜率阈值时，输出第一分类结果，所述第一分类结果表示所述数据流为异常数据流；

当所述斜率不大于所述斜率阈值时，输出第二分类结果，所述第二分类结果表示所述数据流不为异常数据流。

4.根据权利要求1所述的方法，其特征在于，所述将所述维度的特征输入所述多个分类模型中所述维度对应的分类模型，输出所述维度的分类结果，包括：

将所述数据流的信息熵输入信息熵维度对应的第三分类模型，在所述第三分类模型中，根据信息熵基线，检测所述信息熵的突变点，所述信息熵的突变点为超过所述信息熵基线的信息熵；

根据多个信息熵的突变点，获取所述信息熵的累计和，所述信息熵的累计和为每个所述信息熵的突变点与所述信息熵基线之间的差距的和；

当所述信息熵的累计和大于信息熵阈值时，输出第一分类结果，所述第一分类结果表示所述数据流为异常数据流；

当所述信息熵的累计和不大于所述信息熵阈值时，输出第二分类结果，所述第二分类结果表示所述数据流不为异常数据流。

5.根据权利要求1所述的方法，其特征在于，所述将所述维度的特征输入所述多个分类模型中所述维度对应的分类模型，输出所述维度的分类结果，包括：

将所述数据流的包长分布向量输入包长分布维度对应的第四分类模型，在所述第四分类模型中，获取所述数据流的包长分布向量与历史数据流的包长分布向量的向量差距，所述包长分布向量中每一个位对应一个包长区间，每个位的取值为所述数据流中包长处于对应包长区间的包量；

当所述向量差距超过向量差距阈值时，输出第一分类结果，所述第一分类结果表示所述数据流为异常数据流；

当所述向量差距未超过所述向量差距阈值时，输出第二分类结果，所述第二分类结果表示所述数据流不为异常数据流。