[发明专利]网络流量评估方法、攻击检测方法、服务器及存储介质

权利要求书

1.一种网络流量评估方法，其特征在于，包括：

采集选取的时间段内的网络流量；

获取所述网络流量的多个特征值；

对所述多个特征值进行加权融合，得到所述网络流量的第一评估值；计算所述网络流量的第二评估值；

根据所述网络流量的第一评估值和第二评估值的差值的绝对值确立第二比较值，若所述第二比较值大于第二动态阈值，得到当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果；

其中，本时间段的网络流量的第二评估值根据上一个时间段的网络流量的第一评估值和第二评估值得到，第一个时间段的网络流量的第二评估值至少根据第一时间段的网络流量的第一评估值得到；

其中，在所述得到所述网络流量的第一评估值之后，还包括：根据除当前时间段之外的其他时间段的所述网络流量的第一评估值和第二评估值，计算第二动态阈值；

其中，所述第二动态阈值为所述其他时间段的网络流量的第一评估值和第二评估值的差值的绝对值中的最大值。

2.根据权利要求1所述的网络流量评估方法，其特征在于，在所述得到所述网络流量的第一评估值之后，还包括：

确定除当前时间段之外的其他时间段的网络流量的第一评估值中的最大第一评估值，并将所述最大第一评估值的N倍作为第一动态阈值；

根据所述网络流量的第一评估值，确定第一比较值，若所述第一比较值大于所述第一动态阈值，得到所述当前时间段的网络流量发生了分布式拒绝服务DDoS攻击的检测结果；

其中，N大于或等于1。

3.根据权利要求1所述的网络流量评估方法，其特征在于，所述对所述多个特征值进行加权融合，得到所述网络流量的第一评估值，包括：

其中，Y_i为第i个时间段的网络流量的第一评估值，F_j为第i个时间段的网络流量的第j个特征值，W_j为第i个时间段的网络流量的第j个特征值的权重值，n为特征值的个数。

4.根据权利要求1所述的网络流量评估方法，其特征在于，所述本时间段的网络流量的第二评估值根据上一个时间段的网络流量的第一评估值和第二评估值得到，包括：

S_i＝Y_i-1+a(Y_i-1-S_i-1)

其中，Y_i-1为第i-1个时间段的网络流量的第一评估值，S_i为第i个时间段的网络流量的第二评估值，S_i-1为第i-1个时间段的网络流量的第二评估值，a为预设值，S₁＝S₀＝Y₀，S₁至少根据所述第一时间段的所述网络流量的第一评估值得到。

5.根据权利要求1所述的网络流量评估方法，其特征在于，所述网络流量的多个特征值包括以下任意组合：不同源协议地址访问网络流量的熵、源协议地址的熵、源端口的熵、协议地址的上行网络流量与下行网络流量的比例、协议地址的上行网络数据包与下行网络数据包的比例、协议的熵、传输控制协议TCP半连接的比例。