[发明专利]网络攻击检测方法、装置、计算机设备及存储介质

权利要求书

1.一种网络攻击检测方法，其特征在于，所述方法包括：

确定待检测的多个网络会话；

获取所述多个网络会话中至少一个网络会话所对应的一个或多个源IP地址、一个或多个目标IP地址以及一个或多个目标端口；

将各个源IP地址的会话特征、各个目标IP地址的会话特征或者各个网络会话的传输特征中的至少一项，确定为所述至少一个网络会话的会话特征；

基于所述至少一个网络会话的会话特征进行网络攻击检测，得到所述至少一个网络会话中的目标会话；

其中，所述源IP地址的会话特征包括所述源IP地址所对应的网络会话个数、所述源IP地址所对应的网络会话占所述源IP地址所建立的全部网络会话的比值、所述源IP地址与任一目标IP地址下任一目标端口在会话时所使用的端口个数、与所述源IP地址建立会话的常见端口个数、与所述源IP地址建立会话的不常见端口个数，或者所述源IP地址所对应的网络会话中平均传输字节数的最大值、最小值和平均值中的至少一项；所述目标IP地址的会话特征包括所述目标IP地址所对应的网络会话个数、与所述目标IP地址建立会话的源IP地址个数或者所述目标IP地址下的各个目标端口是否为常见端口中的至少一项；所述网络会话的传输特征包括传输字节数的平均值、方差、最大值或者最小值中的至少一项。

2.根据权利要求1所述的方法，其特征在于，确定所述至少一个网络会话的过程包括：

对所述多个网络会话进行心跳活动检测，从所述多个网络会话中，确定具有周期性心跳活动的所述至少一个网络会话。

3.根据权利要求2所述的方法，其特征在于，所述对所述多个网络会话进行心跳活动检测，从所述多个网络会话中，确定具有周期性心跳活动的所述至少一个网络会话包括：

将所述多个网络会话的传输字节数映射至多个时间窗口，得到多个会话数组，一个会话数组包括一个网络会话分别在所述多个时间窗口内的传输字节数；

基于所述多个会话数组进行心跳活动检测，得到所述具有周期性心跳活动的至少一个网络会话。

4.根据权利要求3所述的方法，其特征在于，所述基于所述多个会话数组进行心跳活动检测，得到所述具有周期性心跳活动的至少一个网络会话包括：

对所述多个会话数组进行时频转换，得到多个频响数组，所述多个频响数组用于表示所述多个会话数组在频域中各个频率上的响应值；

将各个频响数组中非零频上的频响值进行从大到小排序，得到多个降序数组；

将所述多个降序数组的最大一阶差分分别除以所述多个会话数组的平均传输字节数，得到所述多个会话数组的参考心跳值；

将参考心跳值大于第一目标阈值的各个会话数组对应的网络会话确定为所述至少一个网络会话。

5.根据权利要求1所述的方法，其特征在于，所述将各个源IP地址的会话特征、各个目标IP地址的会话特征或者各个网络会话的传输特征中的至少一项，确定为所述至少一个网络会话的会话特征之前，所述方法还包括：

对每个源IP地址，获取所述源IP地址的会话特征；

对每个目标IP地址，获取所述目标IP地址的会话特征；

对每个网络会话，获取所述网络会话的传输特征。

6.根据权利要求1所述的方法，其特征在于，所述基于所述至少一个网络会话的会话特征进行网络攻击检测，得到所述至少一个网络会话中的目标会话包括：

对所述至少一个网络会话的会话特征进行标准化，得到所述至少一个网络会话的标准化特征；

基于所述至少一个网络会话的标准化特征进行异常检测，得到所述至少一个网络会话中的至少一个异常会话；

基于所述至少一个异常会话进行网络攻击检测，得到所述至少一个异常会话中的目标会话。