本申請公開了一種針對網(wǎng)絡(luò)攻擊的檢測方法及電子設(shè)備，該方法包括：獲取第一網(wǎng)絡(luò)的日志數(shù)據(jù)；其中，日志數(shù)據(jù)中具有多個日志單元，日志單元分別對應(yīng)了第一網(wǎng)絡(luò)中數(shù)據(jù)流量的不同數(shù)據(jù)特征；利用至少一種分析模型對日志數(shù)據(jù)中的日志單元進(jìn)行分析，生成表征第一網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的行為的積分?jǐn)?shù)據(jù)；將積分?jǐn)?shù)據(jù)中高于第一閾值的數(shù)據(jù)對應(yīng)的網(wǎng)絡(luò)設(shè)備確定為目標(biāo)節(jié)點；基于目標(biāo)節(jié)點的節(jié)點信息，確定第一網(wǎng)絡(luò)中具有網(wǎng)絡(luò)攻擊行為的目標(biāo)網(wǎng)絡(luò)。該方法能夠利用多個不同的具有各自分析特點的分析模型對核心網(wǎng)絡(luò)進(jìn)行分析，從而在大流量以及海量鏈接的核心網(wǎng)絡(luò)中，從多個不同方面的數(shù)據(jù)來準(zhǔn)確的獲取到第一網(wǎng)絡(luò)中的僵尸網(wǎng)絡(luò)的相關(guān)信息，有效提高了檢測效率。

技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)信息處理領(lǐng)域，特別涉及一種針對網(wǎng)絡(luò)攻擊的檢測方法及電子設(shè)備。

背景技術(shù)

隨著互聯(lián)網(wǎng)以及移動互聯(lián)網(wǎng)的快速發(fā)展，政府、企業(yè)越來越多的通過互聯(lián)網(wǎng)信息系統(tǒng)向公眾和用戶提供服務(wù)，這些互聯(lián)網(wǎng)信息系統(tǒng)為政府、企業(yè)、公眾和用戶帶來便利的同時也成為了國際國內(nèi)各種黑客組織實施攻擊的目標(biāo)。而這其中僵尸網(wǎng)絡(luò)就是特別突出的攻擊手段。僵尸網(wǎng)絡(luò)可以通過大量控制僵尸主機(jī)，實現(xiàn)DDos、惡意郵件、攻擊跳板等攻擊。因其危害較大，因此針對僵尸網(wǎng)絡(luò)的檢測技術(shù)受到重視。但是目前針對僵尸網(wǎng)絡(luò)的檢測技術(shù)多是采用利用檢測引擎對于網(wǎng)絡(luò)數(shù)據(jù)的僵尸網(wǎng)絡(luò)特征進(jìn)行匹配或采用對于歷史積累數(shù)據(jù)的統(tǒng)計分析類進(jìn)行處理。如果是針對大流量和大量鏈接的網(wǎng)絡(luò)(如核心網(wǎng)場景)來對僵尸網(wǎng)絡(luò)進(jìn)行檢測，目前并沒有一種保證檢測準(zhǔn)確度和處理高效的檢測方式。

發(fā)明內(nèi)容

本申請實施例的目的在于提供一種針對網(wǎng)絡(luò)攻擊的檢測方法及電子設(shè)備。該方法能夠準(zhǔn)確而高效的檢測出網(wǎng)絡(luò)(特別是核心網(wǎng)絡(luò))中的具有攻擊動作的僵尸網(wǎng)絡(luò)，以便對僵尸網(wǎng)絡(luò)進(jìn)行處理。

為了實現(xiàn)上述目的，本申請的實施例提供了一種針對網(wǎng)絡(luò)攻擊的檢測方法，包括：

獲取第一網(wǎng)絡(luò)的日志數(shù)據(jù)；其中，所述日志數(shù)據(jù)中具有多個日志單元，所述日志單元分別對應(yīng)了所述第一網(wǎng)絡(luò)中數(shù)據(jù)流量的不同數(shù)據(jù)特征；

利用至少一種分析模型對所述日志數(shù)據(jù)中的所述日志單元進(jìn)行分析，生成表征所述第一網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的行為的積分?jǐn)?shù)據(jù)；

將所述積分?jǐn)?shù)據(jù)中高于第一閾值的數(shù)據(jù)對應(yīng)的網(wǎng)絡(luò)設(shè)備確定為目標(biāo)節(jié)點；

基于所述目標(biāo)節(jié)點的節(jié)點信息，確定所述第一網(wǎng)絡(luò)中具有網(wǎng)絡(luò)攻擊行為的目標(biāo)網(wǎng)絡(luò)。

作為可選，所述利用至少一種分析模型對所述日志數(shù)據(jù)中的所述日志單元進(jìn)行分析，生成表征所述第一網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的行為的積分?jǐn)?shù)據(jù)，包括：

利用第一分析模型，確定所述日志數(shù)據(jù)中表征不同網(wǎng)絡(luò)設(shè)備之間的會話通信的流量特征；

基于所述流量特征，生成相應(yīng)的所述網(wǎng)絡(luò)設(shè)備的第一積分?jǐn)?shù)值。

作為可選，其中，所述確定所述日志數(shù)據(jù)中表征不同網(wǎng)絡(luò)設(shè)備之間的會話通信的流量特征，包括：

確定每個所述網(wǎng)絡(luò)設(shè)備與其他網(wǎng)絡(luò)設(shè)備進(jìn)行通信的通信數(shù)量；

相應(yīng)的，所述基于所述流量特征，生成相應(yīng)的所述網(wǎng)絡(luò)設(shè)備的第一積分?jǐn)?shù)值，包括：

確定所有網(wǎng)絡(luò)設(shè)備中所述通信數(shù)量符合數(shù)量要求的網(wǎng)絡(luò)設(shè)備；

基于符合數(shù)量要求的網(wǎng)絡(luò)設(shè)備的流量特征，生成相應(yīng)的所述第一積分?jǐn)?shù)值。

作為可選，所述利用至少一種分析模型對所述日志數(shù)據(jù)中的所述日志單元進(jìn)行分析，生成表征所述第一網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的行為的積分?jǐn)?shù)據(jù)，包括：

利用第二分析模型，確定所述日志數(shù)據(jù)中的表征網(wǎng)絡(luò)設(shè)備實施網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)攻擊信息；

基于所述網(wǎng)絡(luò)攻擊信息，生成能夠表征所述網(wǎng)絡(luò)設(shè)備實施網(wǎng)絡(luò)攻擊的程度的第二積分?jǐn)?shù)值。