技術領域

本發明涉及云計算技術領域，具體而言，涉及一種網絡攻擊檢測方法及裝置。

背景技術

隨著各種網絡技術的發展成熟，基于互聯網的云計算全新服務模式得到了空前的發展，在最具權威的IT研究顧問咨詢公司Gartner發布的“IT行業十大戰略技術”報告中，“云計算”連續幾年被評為前沿技術，同時也是2017年技術報告中人工智能等新技術的重要基礎。

在云計算模式下，IT效率提高、成本節省等優勢吸引大量數據朝著云平臺中聚集，一方面帶來了應用便利，另一方面這也大大提高了平臺被攻擊的風險。許多的惡意攻擊行為(如APT攻擊等)隱藏在大規模的網絡流量中，對云平臺或核心的數據進行攻擊或竊取。因此，如何有效檢測云平臺下惡意行為并進行有效防護，進而確保云平臺下機密數據的安全，是目前信息安全領域亟待解決的關鍵問題。

國內外針對云平臺安全展開了大量的理論研究，研究包含適應于云環境的入侵檢測模型、分布式入侵檢測系統(Distributed intrusion detection systems，DIDS)、基于虛擬化的監控技術、基于數據挖掘的未知攻擊檢測算法等幾個方面。以Snort為代表的入侵檢測(Intrusion Detection System，IDS)模型通過對抓取到的數據包進行分析、按配置的規則進行檢測并做出響應從而保證云平臺的安全。為了提升對云平臺攻擊的實時檢測效率，國內外研究人員開始著力研究分布式入侵檢測系統，分布式入侵檢測系統是一種通過將檢測點分布在不同的位置，在核心層融合多IDS節點的警報信息進行分析的入侵檢測系統。基于虛擬化的監控技術為云環境下的惡意行為分析提供必要的支撐，根據監控系統的部署位置，基于虛擬化的監控系統分為兩類：一類是系統內部監控，另一類是系統外部監控。內部監控是指監控系統駐留在目標虛擬機內部，通過虛擬機監控器的高級特權保護監控系統的完整性，典型的內部監控系統有SIM和Lares?；谔摂M化的外部監控是將監控系統部署于被監控虛擬機外部，通過虛擬機監控器的高控制權來完成對虛擬機內部內核數據結構的監控，典型監控系統有VMDriver。利用數據挖掘技術實現對未知攻擊的檢測是云平臺安全的重要保障，常見的應用于入侵檢測的數據挖掘算法有關聯規則、序列分析等。

以Snort為代表的傳統入侵檢測系統雖然在一定程度上保證了云平臺的安全，但這種模式存在網絡規則配置不靈活等一系列的問題，此外由于云平臺規模的急劇擴展使得網絡拓撲結構復雜化、網絡流量迅猛增長，而在傳統的入侵檢測系統中過濾設備和路由設備完全分離，從而很難實現統一快速的防護。

當前網絡數據高速增長，導致數據不能及時處理；計算環境網絡復雜化，致攻擊維度高引起的常規入侵檢測技術準確性降低，當前數據流上基于單次掃描的頻繁模式挖掘準確性不高。

發明內容

本發明的目的在于提供一種網絡攻擊檢測方法及裝置，其能夠有效改善上述問題。

本發明的實施例是這樣實現的：

第一方面，本發明實施例提供了一種網絡攻擊檢測方法，所述方法包括：獲取網絡中的當前數據流；基于預先建立的惡意行為攻擊特征庫，判斷所述當前數據流的行為是否異常；在為否時，通過滑動窗口遺傳算法頻繁模式挖掘模型以及基于核密度估計的異常點檢測模型判斷所述當前數據流的行為是否正常；在為否時，提取所述當前數據流的行為特征，并將所述行為特征加入所述惡意行為攻擊特征庫。

第二方面，本發明實施例還提供了一種網絡攻擊檢測裝置，其包括獲取模塊，用于獲取網絡中的當前數據流；一級檢測模塊，用于基于預先建立的惡意行為攻擊特征庫，判斷所述當前數據流的行為是否異常；二級檢測模塊，用于在所述當前數據流的行為不為異常時，通過滑動窗口遺傳算法頻繁模式挖掘模型以及基于核密度估計的異常點檢測模型判斷所述當前數據流的行為是否正常；提取模塊，用于在所述當前數據流的行為異常時，提取所述當前數據流的行為特征，并將所述行為特征加入所述惡意行為攻擊特征庫。