[发明专利]网络攻击检测方法、装置、设备及存储介质

说明书

本发明公开了一种网络攻击检测方法、装置、设备及存储介质，属于网络技术领域。本发明提供了一种基于多维特征检测网络攻击的方案，通过采用集成学习的方式，通过多个分类模型，依据多个维度的特征分别判定数据流是否异常，再汇总多个维度的分类结果，来综合判决是否发生网络攻击，考虑的特征更加多样化，可以适应于现网多样化的业务形态，提高检测网络攻击的准确性。

技术领域

本发明涉及网络技术领域，特别涉及一种网络攻击检测方法、装置、设备及存储介质。

背景技术

随着网络技术的发展，互联网中发生网络攻击的事件越来越频繁，网络攻击导致服务器出现访问缓慢、连接中断等问题，导致服务器无法正常提供服务，因此，需要及时检测出网络攻击，以便应对和抵御网络攻击。

目前，网络攻击检测的过程通常是：人工依靠经验设置流量阈值，将流量阈值预存在计算机设备中。现网运行中，计算机设备会获取发送至服务器的数据流，统计数据流的流量，对流量与流量阈值进行比较，如果流量大于流量阈值，则确定服务器受到网络攻击。

通过上述方法检测网络攻击时，由于仅通过流量这一个维度的特征来检测是否发生网络攻击，会导致检测结果的准确性较差。

发明内容

本发明实施例提供了一种网络攻击检测方法、装置、设备及存储介质，能够解决相关技术中检测网络攻击的准确性较差的技术问题。所述技术方案如下：

一方面，提供了一种网络攻击检测方法，所述方法包括：

获取数据流的多个维度的特征；调用多个分类模型，每个分类模型用于根据数据流的一个维度的特征预测数据流是否为异常数据流；对于所述多个维度的特征中每个维度的特征，将所述维度的特征输入所述多个分类模型中所述维度对应的分类模型，输出所述维度的分类结果；根据所述多个维度的分类结果，获取网络攻击的检测结果。

在一种可能的实现中，所述根据所述流量的最大的峰值与所述最小的谷值之间的差距，获取所述流量阈值，包括：获取所述流量的最大的峰值与所述差距的和，作为所述流量阈值；

在一种可能的实现中，所述根据所述包量的最大的峰值与所述最小的谷值之间的差距，获取所述包量阈值，包括：获取所述包量的最大的峰值与所述差距的和，作为所述包量阈值；

所述根据所述信息熵的最大的峰值与所述最小的谷值之间的差距，获取所述信息熵阈值，包括：获取所述信息熵的最大的峰值与所述差距的和，作为所述信息熵阈值。

另一方面，提供了一种网络攻击检测装置，所述装置包括：

获取模块，用于获取数据流的多个维度的特征；调用模块，用于调用多个分类模型，每个分类模型用于根据数据流的一个维度的特征预测数据流是否为异常数据流；处理模块，用于对于所述多个维度的特征中每个维度的特征，将所述维度的特征输入所述多个分类模型中所述维度对应的分类模型，输出所述维度的分类结果；所述获取模块，用于根据所述多个维度的分类结果，获取网络攻击的检测结果。

可选地，所述处理模块，用于执行下述任意一项：

将所述数据流的流量输入流量或包量维度对应的第一分类模型，在所述第一分类模型中，根据流量基线，检测所述流量的突变点，根据多个流量的突变点，获取所述流量的累计和，当所述流量的累计和大于流量阈值时，输出第一分类结果，当所述流量的累计和不大于所述流量阈值时，输出第二分类结果，所述流量的突变点为超过所述流量基线的流量，所述流量的累计和为每个所述流量的突变点与所述流量基线之间的差距的和，所述第一分类结果表示所述数据流为异常数据流，所述第二分类结果表示所述数据流不为异常数据流；