[發明專利]一種基于動態時間窗口的網絡攻擊實時檢測方法及裝置在審
| 申請號: | 202210648997.6 | 申請日: | 2022-06-09 |
| 公開(公告)號: | CN115022055A | 公開(公告)日: | 2022-09-06 |
| 發明(設計)人: | 張洋 | 申請(專利權)人: | 武漢思普崚技術有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京弘權知識產權代理有限公司 11363 | 代理人: | 李少丹;許偉群 |
| 地址: | 430070 湖北省武漢市東湖新技術開發區光谷大道3*** | 國省代碼: | 湖北;42 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 動態 時間 窗口 網絡 攻擊 實時 檢測 方法 裝置 | ||
1.一種基于動態時間窗口的網絡攻擊實時檢測方法,其特征在于,包括:
實時獲取全網所有資產主機生成的各個待測流量日志;
如果所述待測流量日志的數據特征符合預設網絡攻擊檢測場景,則根據所述待測流量日志的時間戳、動態時間窗口的預設偏移量,以及所述動態時間窗口的長度,確定所述待測流量日志觸發的所述動態時間窗口的起始時間,所述動態時間窗口的類型是根據所述預設網絡攻擊檢測場景所對應的威脅事件的特征預設的;
從所述起始時間開始,將所述動態時間窗口按照預設移動間隔,在消息隊列中所有實時流量日志上進行移動,生成每次移動所得到的數據快照圖,其中,所有實時流量日志在所述消息隊列中是按照時間戳從早到晚的順序進行排列的,所述實時流量日志為全網所有資產主機歷史生成的,且生成時間早于所述待測流量日志的流量日志;
在所述動態時間窗口的開始時間晚于或等于停止時間閾值時,停止移動所述動態時間窗口,并從已生成的多個數據快照圖中獲取最后獲取到的數據快照圖所對應的目標小樣本數據,所述停止時間閾值為所述待測流量日志的時間戳與所述動態時間窗口的長度的差值;
按照所述預設網絡攻擊檢測場景,對所述目標小樣本數據進行處理,生成所述待測流量日志是否為異常日志的結果,所述處理包括統計操作、聚合操作、序列操作中的至少一種。
2.根據權利要求1所述的方法,其特征在于,所述根據所述待測流量日志的時間戳、動態時間窗口的預設偏移量,以及所述動態時間窗口的長度,確定所述待測流量日志觸發的所述動態時間窗口的起始時間,包括:
通過以下公式確定所述待測流量日志觸發的所述動態時間窗口的起始時間:
lastStartTime=timestamp-(timestamp-offset+size)/size
其中,lastStartTime為所述待測流量日志觸發的所述動態時間窗口的起始時間,timestamp為所述待測流量日志的時間戳,offset為動態時間窗口的預設偏移量,size為所述動態時間窗口的長度。
3.根據權利要求1所述的方法,其特征在于,所述從已生成的多個數據快照圖中獲取最后獲取到的數據快照圖所對應的目標小樣本數據,包括:
從已生成的多個數據快照圖中獲取最后獲取到的數據快照圖;
利用SWTC算法從所述最后獲取到的數據快照圖中獲取對應的目標小樣本數據。
4.根據權利要求1所述的方法,其特征在于,所述預設網絡攻擊檢測場景為第一預設時段內的網絡流量超過第二預設時段內預設比例的網絡流量。
5.根據權利要求4所述的方法,其特征在于,所述動態時間窗口包括第一時間窗口和第二時間窗口,所述第一時間窗口的長度為所述第一預設時段,所述第二時間窗口的長度為所述第二預設時段。
6.根據權利要求5所述的方法,其特征在于,所述按照所述預設網絡攻擊檢測場景,對所述目標小樣本數據進行處理,生成所述待測流量日志是否為異常日志的結果,包括:
獲取第一目標小樣本數據的網絡流量特征平均值,所述第一目標小樣本數據為第一數據快照圖所對應的目標小樣本數據,所述第一數據快照圖為從所述第一時間窗口的起始時間開始,將所述第一時間窗口按照對應的移動間隔,在消息隊列中所有實時流量日志上進行移動的過程中最后生成的數據快照圖;
獲取第二目標小樣本數據的網絡流量特征平均值,所述第二目標小樣本數據為第二數據快照圖所對應的目標小樣本數據,所述第二數據快照圖為從所述第二時間窗口的起始時間開始,將所述第二時間窗口按照對應的移動間隔,在消息隊列中所有實時流量日志上進行移動的過程中最后生成的數據快照圖;
檢測所述第一目標小樣本數據的網絡流量特征平均值是否大于所述第二目標小樣本數據的網絡流量特征平均值與預設比例的乘積;
如果所述第一目標小樣本數據的網絡流量特征平均值大于所述第二目標小樣本數據的網絡流量特征平均值與預設比例的乘積,則生成所述待測流量日志為異常日志的結果;
或者,如果所述第一目標小樣本數據的網絡流量特征平均值小于或等于所述第二目標小樣本數據的網絡流量特征平均值與預設比例的乘積,則生成所述待測流量日志不為異常日志的結果。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于武漢思普崚技術有限公司,未經武漢思普崚技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210648997.6/1.html,轉載請聲明來源鉆瓜專利網。
