[发明专利]一种网络攻击检测方法及其装置、设备和存储介质

权利要求书

1.一种网络攻击检测方法，其特征在于，所述方法包括：

确定待检测的网络数据流的传入包速率；

如果所述传入包速率大于预设的速率阈值，确定所述网络数据流与参考数据流中源互联网协议IP地址的分散程度差异量；

如果所述分散程度差异量大于预设的差异阈值，确定所述网络数据流为攻击数据流；

所述如果所述传入包速率大于预设的速率阈值，确定所述网络数据流与参考数据流中源IP地址的分散程度差异量，包括：

如果所述传入包速率大于预设的速率阈值，确定所述网络数据流中源IP地址的分散参数；

确定所述参考数据流中IP地址的参考分散参数；

基于所述分散参数和所述参考分散参数，确定所述网络数据流与参考数据流中源IP地址的分散程度差异量；

其中，所述确定所述网络数据流中源IP地址的分散参数包括：

确定所述网络数据流在预设的第一窗口时长内传入的各个数据包的源IP地址的出现概率；

基于各个所述源IP地址的出现概率，确定所述网络数据流的-熵；

将所述网络数据流的-熵确定为所述网络数据流中源IP地址的分散参数；

所述如果所述传入包速率大于预设的速率阈值，确定所述网络数据流与参考数据流中源互联网协议IP地址的分散程度差异量，还包括：

确定所述网络数据流在预设的第一窗口时长内各个数据包的源IP地址的第一出现次数；

确定所述参考数据流在预设的第二窗口时长内各个数据包的源IP地址的第二出现次数；

分别基于所述第一窗口时长和所述第二窗口时长对所述第一出现次数和第二出现次数进行归一化，得到归一化的第一出现次数和归一化的第二出现次数；

基于所述归一化的第一出现次数和归一化的第二出现次数，确定所述网络数据流与参考数据流中源IP地址的分散程度差异量；

其中，所述基于所述归一化的第一出现次数和归一化的第二出现次数，确定所述网络数据流与参考数据流中源IP地址的分散程度差异量，包括：

基于所述归一化的第一出现次数确定所述网络数据流中各个源IP地址的第三出现概率；

基于所述归一化的第二出现次数确定所述参考数据流中各个源IP地址的第四出现概率；

基于所述第三出现概率和所述第四出现概率，确定所述网络数据流与参考数据流的-差异度量；

将所述-差异度量确定为所述网络数据流与参考数据流中源IP地址的分散程度差异量。

2.根据权利要求1中所述的方法，其特征在于，所述确定待检测的网络数据流的传入包速率，包括：

获取所述网络数据流在所述第一窗口时长内传入的数据包数量；

基于所述第一窗口时长和所述数据包数量，确定所述网络数据流的传入包速率。

3.根据权利要求1或2中任一项所述的方法，其特征在于，所述方法还包括：

如果所述传入包速率小于或者等于所述速率阈值，将所述网络数据流确定为正常数据流；

如果所述传入包速率大于所述速率阈值，且所述分散程度差异量不满足预设条件，将所述网络数据流确定为突发数据流。