[发明专利]一种基于动态时间窗口的网络攻击实时检测方法及装置

权利要求书

1.一种基于动态时间窗口的网络攻击实时检测方法，其特征在于，包括：

实时获取全网所有资产主机生成的各个待测流量日志；

如果所述待测流量日志的数据特征符合预设网络攻击检测场景，则根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量，以及所述动态时间窗口的长度，确定所述待测流量日志触发的所述动态时间窗口的起始时间，所述动态时间窗口的类型是根据所述预设网络攻击检测场景所对应的威胁事件的特征预设的；

从所述起始时间开始，将所述动态时间窗口按照预设移动间隔，在消息队列中所有实时流量日志上进行移动，生成每次移动所得到的数据快照图，其中，所有实时流量日志在所述消息队列中是按照时间戳从早到晚的顺序进行排列的，所述实时流量日志为全网所有资产主机历史生成的，且生成时间早于所述待测流量日志的流量日志；

在所述动态时间窗口的开始时间晚于或等于停止时间阈值时，停止移动所述动态时间窗口，并从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据，所述停止时间阈值为所述待测流量日志的时间戳与所述动态时间窗口的长度的差值；

按照所述预设网络攻击检测场景，对所述目标小样本数据进行处理，生成所述待测流量日志是否为异常日志的结果，所述处理包括统计操作、聚合操作、序列操作中的至少一种。

2.根据权利要求1所述的方法，其特征在于，所述根据所述待测流量日志的时间戳、动态时间窗口的预设偏移量，以及所述动态时间窗口的长度，确定所述待测流量日志触发的所述动态时间窗口的起始时间，包括：

通过以下公式确定所述待测流量日志触发的所述动态时间窗口的起始时间：

lastStartTime＝timestamp-(timestamp-offset+size)/size

其中，lastStartTime为所述待测流量日志触发的所述动态时间窗口的起始时间，timestamp为所述待测流量日志的时间戳，offset为动态时间窗口的预设偏移量，size为所述动态时间窗口的长度。

3.根据权利要求1所述的方法，其特征在于，所述从已生成的多个数据快照图中获取最后获取到的数据快照图所对应的目标小样本数据，包括：

从已生成的多个数据快照图中获取最后获取到的数据快照图；

利用SWTC算法从所述最后获取到的数据快照图中获取对应的目标小样本数据。

4.根据权利要求1所述的方法，其特征在于，所述预设网络攻击检测场景为第一预设时段内的网络流量超过第二预设时段内预设比例的网络流量。

5.根据权利要求4所述的方法，其特征在于，所述动态时间窗口包括第一时间窗口和第二时间窗口，所述第一时间窗口的长度为所述第一预设时段，所述第二时间窗口的长度为所述第二预设时段。

6.根据权利要求5所述的方法，其特征在于，所述按照所述预设网络攻击检测场景，对所述目标小样本数据进行处理，生成所述待测流量日志是否为异常日志的结果，包括：

获取第一目标小样本数据的网络流量特征平均值，所述第一目标小样本数据为第一数据快照图所对应的目标小样本数据，所述第一数据快照图为从所述第一时间窗口的起始时间开始，将所述第一时间窗口按照对应的移动间隔，在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图；

获取第二目标小样本数据的网络流量特征平均值，所述第二目标小样本数据为第二数据快照图所对应的目标小样本数据，所述第二数据快照图为从所述第二时间窗口的起始时间开始，将所述第二时间窗口按照对应的移动间隔，在消息队列中所有实时流量日志上进行移动的过程中最后生成的数据快照图；

检测所述第一目标小样本数据的网络流量特征平均值是否大于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积；

如果所述第一目标小样本数据的网络流量特征平均值大于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积，则生成所述待测流量日志为异常日志的结果；

或者，如果所述第一目标小样本数据的网络流量特征平均值小于或等于所述第二目标小样本数据的网络流量特征平均值与预设比例的乘积，则生成所述待测流量日志不为异常日志的结果。