[发明专利]基于流量异常及特征分析的攻击行为检测方法

摘要

本发明公开了一种基于流量异常及特征分析的攻击行为检测方法，主要解决现有检测技术中无法防范来自未知漏洞攻击和攻击特征库增大导致匹配效率降低的问题。其技术方案是：1.获取网络流量；2.计算网络流量的赫斯特指数，若赫斯特指数大于报警阈值，则认为未受到攻击，若赫斯特指数小于报警阈值，则对赫斯特指数小于报警阈值的疑似攻击流量做攻击流量特征字串匹配：若匹配不成功，则认为未受到攻击，若匹配成功，则认为受到攻击，对用户进行报警。本发明能有效拦截攻击者针对未知漏洞的攻击，且效率较高，可用于保护网络安全。

主权项

一种基于流量异常及特征分析的攻击行为检测方法，包括以下三个步骤：(1)获取网络流量；(2)计算网络流量的赫斯特指数：2a)设置采样间隔n，依据单位时间内流经网络适配器A的流量序列X＝{X_i|i＝1,2,...,n}，求出流量序列X的均值2b)设置时移系数k，依据流量序列X的均值计算时移系数为k的流量序列的自协方差γ_k、方差γ₀及时移系数为k的流量序列的自相关系数ρ_k；2c)设置赫斯特指数初始值H₀及迭代终止值s，并利用2b)中选择的时移系数k和计算出来的自相关系数ρ_k带入迭代公式：进行计算，得到赫斯特指数H，其中，m表示迭代次数且m≥0；2d)设置报警阈值q，并将赫斯特指数H与设置的报警阈值q进行比较：若H≤q，则流量序列X不符合自相似特性，判断为存在疑似攻击流量，执行步骤(3)，若H>q，则此流量序列符合自相似特性，判断为不存在疑似攻击流量，返回步骤(1)；(3)对疑似攻击流量做攻击流量特征分析：3a)使用网络封包分析软件对疑似攻击流量进行解包，获取数据包中的数据字段，并将其保存到本地文件D中；3b)使用攻击流量特征库L中的攻击流量特征字串c对本地文件D中的数据字段进行匹配，若匹配成功，则判断为受到攻击，对用户进行报警，否则，认为未受到攻击，返回步骤(1)。