[发明专利]网络攻击的检测方法、装置和计算机可读存储介质

权利要求书

1.一种网络攻击的检测方法，包括：

根据网络攻击检测的结果和网络攻击的相关网络流量信息，确定网络攻击方的相关信息；

根据所述网络攻击方的相关网络流量信息，确定攻击控制方的相关信息；

根据所述网络攻击方的相关信息和所述攻击控制方的相关信息，筛选出黑名单中的活跃网络攻击方和活跃攻击控制方，以更新所述黑名单，包括：

根据所述攻击控制方的相关信息，更新所述黑名单中相应的攻击控制方的各指标，其中所述攻击控制方的各指标包括攻击控制方的IP地址、与网络攻击方的通讯信息、与其他攻击控制方的通讯信息；和

根据所述攻击控制方的各指标与相应阈值的比较结果的加权和，确定相应攻击控制方是否为活跃攻击控制方；

根据更新后的黑名单，进行网络攻击检测。

2.根据权利要求1所述的检测方法，其中，所述筛选出黑名单中的活跃网络攻击方和活跃攻击控制方还包括：

根据所述网络攻击方的相关信息，更新所述黑名单中相应的网络攻击方的各指标；

根据更新后的所述网络攻击方的各指标，筛选活跃网络攻击方。

3.根据权利要求2所述的检测方法，其中，所述筛选活跃网络攻击方包括：

根据所述网络攻击方的各指标与相应阈值的比较结果的加权和，确定相应网络攻击方是否为活跃网络攻击方。

4.根据权利要求2所述的检测方法，其中，

所述网络攻击方的各指标包括相应网络攻击方的IP地址、攻击时间信息、攻击次数信息、与攻击控制方的通信次数。

5.根据权利要求1-4任一项所述的检测方法，其中，所述根据更新后的黑名单，进行网络攻击检测包括：

将所述更新后的黑名单中活跃网络攻击方的IP地址和活跃攻击控制方的IP地址，与网络流量的源地址和目的地址进行匹配，以进行网络攻击检测。

6.一种网络攻击的检测装置，包括：

攻击方确定单元，用于根据网络攻击检测的结果和网络攻击的相关网络流量信息，确定网络攻击方的相关信息；

控制方确定单元，用于根据所述网络攻击方的相关网络流量信息，确定攻击控制方的相关信息；

更新单元，用于根据所述网络攻击方的相关信息和所述攻击控制方的相关信息，筛选出黑名单中的活跃网络攻击方和活跃攻击控制方，以更新所述黑名单；

检测单元，用于根据更新后的黑名单，进行网络攻击检测；

其中，所述更新单元用于根据所述攻击控制方的相关信息，更新所述黑名单中相应的攻击控制方的各指标，其中所述攻击控制方的各指标包括攻击控制方的IP地址、与网络攻击方的通讯信息、与其他攻击控制方的通讯信息；和根据所述攻击控制方的各指标与相应阈值的比较结果的加权和，确定相应攻击控制方是否为活跃攻击控制方。

7.根据权利要求6所述的检测装置，其中，

所述更新单元用于根据所述网络攻击方的相关信息，更新所述黑名单中相应的网络攻击方的各指标，根据更新后的所述网络攻击方的各指标，筛选活跃网络攻击方。

8.根据权利要求7所述的检测装置，其中，

所述更新单元用于根据所述网络攻击方的各指标与相应阈值的比较结果的加权和，确定相应网络攻击方是否为活跃网络攻击方。

9.根据权利要求7所述的检测装置，其中，

所述网络攻击方的各指标包括相应网络攻击方的IP地址、攻击时间信息、攻击次数信息、与攻击控制方的通信次数。

10.根据权利要求6-9任一项所述的检测装置，其中，

所述检测单元用于将所述更新后的黑名单中活跃网络攻击方的IP地址和活跃攻击控制方的IP地址，与网络流量的源地址和目的地址进行匹配，以进行网络攻击检测。