[发明专利]一种网络攻击的识别方法

权利要求书

1.一种网络攻击的识别方法，其特征在于，包括：

采集大于第一预设数量的已知攻击数据包；

分析计算，将各数据包负载中符合规定条件的公共子序列确定为攻击特征；

根据所述攻击特征，利用多模式匹配算法建立有限状态自动机；

提取待识别数据包的负载，输入所述有限状态自动机进行特征匹配，若匹配成功，则将数据包确定为攻击包，并执行预设的处理动作。

2.根据权利要求1所述的攻击识别方法，其特征在于，所述数据包负载的公共子序列，包括通过遍历前缀树的算法提取出的、出现频率大于预设阈值且长度大于规定值的字符串。

3.根据权利要求2所述的攻击识别方法，其特征在于，将各数据包负载的最长公共子序列确定为当前威胁的攻击特征。

4.根据权利要求3所述的攻击识别方法，其特征在于，若采集的各数据包负载具有2个以上最长公共子序列，将所述最长公共子序列作为特征集，建立对应的有限状态自动机；当待识别数据包输入状态机后匹配成功的特征数达到预设数量时，将当前数据包确定为攻击包。

5.根据权利要求1所述的攻击识别方法，其特征在于，当所述采集到的网络攻击数据包达到第二预设数量时，停止采集；所述第二预设数量大于第一预设数量。

6.根据权利要求5所述的攻击识别方法，其特征在于，当所述采集到的网络攻击数据包未达到第二预设数量时，判断当前采集时长，若达到预设时长则停止采集。

7.根据权利要求1所述的攻击识别方法，其特征在于，将所述攻击特征作为模式串，利用AC算法建立所述有限状态自动机。

8.根据权利要求1至7任一所述的攻击识别方法，其特征在于，所述的待识别数据包进行特征匹配，具体包括：将待识别数据包的负载内容作为主串，输入所述有限状态自动机，使自动机进行状态转换，当到达规定的状态时,说明发生模式匹配，将当前数据包确定为攻击包，并输出匹配成功的攻击特征内容。

9.根据权利要求1所述的攻击识别方法，其特征在于，所述确定攻击特征，具体包括：

S1，设定数据包采集的最大时长、最少数量和最多数量，提取字符串的最小出现频率与最小长度；

S2，当发现攻击时，开始采集数据包，若采集到的数据包数量≧所述最少数量，进行S4；若采集到的数据包≧所述最多数量，停止采集；

S3，若采集到的数据包数量＜所述最少数量、同时采集时长≧所述最大时长时，停止采集并进行S4；

S4，根据预设的最小出现频率与最小长度，从所述采集到的数据包中提取字符串，以及确定其中的最长公共子序列为当前攻击的特征。

10.根据权利要求9所述的攻击识别方法，其特征在于，根据S1至S4所述，获取预设数量的不同种类攻击特征，使用AC算法建立有限状态机；以及持续的将新的攻击特征更新至所述有限状态机中。