[发明专利]网络攻击检测方法、装置、计算机设备及存储介质

说明书

本申请公开了一种网络攻击检测方法、装置、计算机设备及存储介质，属于网络技术领域。本申请通过确定待检测的多个网络会话，获取该多个网络会话中至少一个网络会话的会话特征，这些会话特征能够反映出各个网络会话自身的通信状况，从而基于该至少一个网络会话的会话特征进行网络攻击检测，得到目标会话，由于没有根据静态规则来检测网络攻击，因此能够克服静态规则具有滞后性的缺陷，而根据各个网络会话本身的会话特征来检测网络攻击，能够适应于动态变化的网络安全环境，能够降低漏报率和误报率，提升了网络攻击检测的准确性。

技术领域

本申请涉及网络技术领域，特别涉及一种网络攻击检测方法、装置、计算机设备及存储介质。

背景技术

随着网络技术的发展，终端可以通过心跳连接等方式定时访问服务器。上述心跳连接方式也被应用到网络攻击中，当攻击者攻陷一台终端之后，被攻陷的终端会基于上述心跳连接方式，定时地向攻击者所对应的设备传输敏感数据。

目前，可以基于预设规则来检测恶意的网络攻击，例如，该预设规则可以是匹配到威胁情报、连接到恶意样本、检测到与不常用端口的连接等，当终端与某一端口间的通信行为能够命中预设规则时，将该终端与该端口的通信行为提供给技术人员，由技术人员来分析本次通信行为是否为恶意的网络攻击。

在上述过程中，预设规则是一种静态的规则，具有一定的滞后性，无法适应于动态变化的网络安全对抗环境，从而容易导致误报问题和漏报问题，也即是说网络攻击检测的准确率较低。

发明内容

本申请实施例提供了一种网络攻击检测方法、装置、计算机设备及存储介质,能够解决网络攻击检测准确率低的问题。该技术方案如下：

一方面，提供了一种网络攻击检测方法，该方法包括：

确定待检测的多个网络会话；

获取所述多个网络会话中至少一个网络会话的会话特征；

基于所述至少一个网络会话的会话特征进行网络攻击检测，得到所述至少一个网络会话中的目标会话。

在一种可能实施方式中，所述基于所述至少一个网络会话的会话特征进行网络攻击检测，得到所述至少一个网络会话中的目标会话包括：

对所述至少一个网络会话的会话特征进行标准化，得到所述至少一个网络会话的标准化特征；

基于所述至少一个网络会话的标准化特征进行异常检测，得到所述至少一个网络会话中的至少一个异常会话；

基于所述至少一个异常会话进行网络攻击检测，得到所述至少一个异常会话中的目标会话。

在一种可能实施方式中，所述基于所述至少一个异常会话进行网络攻击检测，得到所述至少一个异常会话中的目标会话包括：

基于所述至少一个异常会话的历史检测结果和异常指数，确定所述至少一个异常会话的目标指数；

将目标指数大于或等于第三目标阈值的各个异常会话确定为目标会话。

一方面，提供了一种网络攻击检测装置，该装置包括：

确定模块，用于确定待检测的多个网络会话；

获取模块，用于获取所述多个网络会话中至少一个网络会话的会话特征；

检测模块，用于基于所述至少一个网络会话的会话特征进行网络攻击检测，得到所述至少一个网络会话中的目标会话。

在一种可能实施方式中，所述获取模块包括：

获取单元，用于对所述多个网络会话进行心跳活动检测，从所述多个网络会话中，确定具有周期性心跳活动的至少一个网络会话，获取所述至少一个网络会话的会话特征。