本申請提供一種基于動態時間窗口的網絡攻擊實時檢測方法及裝置。所述方法包括：針對全網所有資產主機生成的類型符合網絡攻擊檢測場景的流量日志，根據流量日志的時間戳、動態時間窗口的預設偏移量以及長度，確定流量日志觸發的動態時間窗口的起始時間，將動態時間窗口從起始時間開始按照預設移動間隔在消息隊列中所有實時流量日志上進行移動，在停止移動以后，從已生成的多個數據快照圖中獲取最后獲取到的數據快照圖所對應的目標小樣本數據，最后對目標小樣本數據進行與網絡攻擊檢測場景相對應的處理，生成流量日志的檢測結果。整個方法聚焦于目標小樣本數據，分析過程較為簡單，可以及時發現異常日志，能夠較好地滿足實時檢測網絡攻擊的需求。

技術領域

本申請涉及計算機安全技術領域，特別涉及一種基于動態時間窗口的網絡攻擊實時檢測方法及裝置。

背景技術

隨著IT技術和通信技術的發展，中大型企業的全網各種類型的資產主機會實時產生海量的無邊界、亂序、大規模日志數據集，與此同時，網絡環境日趨復雜，云計算和虛擬化等技術的應用，也使得主機邊界、網絡邊界也變得動態和模糊。目前，隱蔽性、持續性、趨利性等高級網絡攻擊日益增多，這些網絡攻擊產生的行為日志會分散在不同類型的資產主機上，并且隱藏于其他正常行為日志中。如同一滴墨水滴入一杯清水，從墨水滴入到污染整杯清水可能僅需要幾秒鐘的擴散時間，同樣地，整個網絡攻擊的過程可能只需幾分鐘或者幾秒鐘的時間即可完成。因此，需要對海量日志數據集進行分析以得到網絡攻擊的相關數據，并對網絡攻擊進行及時防護。

目前傳統的網絡攻擊檢測方式主要是對收集到的大批量歷史日志數據進行離線數據清洗，對數據清洗得到的樣本日志數據進行分析，最終檢測出隱藏在歷史日志數據中的異常日志。此種檢測方式的分析過程較為復雜，且分析結果延遲較高，無法滿足對網絡攻擊進行實時檢測的需求。

發明內容

本申請提供了一種基于動態時間窗口的網絡攻擊實時檢測方法及裝置，可用于解決現有檢測方式的分析過程較為復雜，且分析結果延遲較高，無法滿足對網絡攻擊進行實時檢測的需求的技術問題。

第一方面，本申請實施例提供一種基于動態時間窗口的網絡攻擊實時檢測方法，包括：

實時獲取全網所有資產主機生成的各個待測流量日志；

如果所述待測流量日志的數據特征符合預設網絡攻擊檢測場景，則根據所述待測流量日志的時間戳、動態時間窗口的預設偏移量，以及所述動態時間窗口的長度，確定所述待測流量日志觸發的所述動態時間窗口的起始時間，所述動態時間窗口的類型是根據所述預設網絡攻擊檢測場景所對應的威脅事件的特征預設的；

從所述起始時間開始，將所述動態時間窗口按照預設移動間隔，在消息隊列中所有實時流量日志上進行移動，生成每次移動所得到的數據快照圖，其中，所有實時流量日志在所述消息隊列中是按照時間戳從早到晚的順序進行排列的，所述實時流量日志為全網所有資產主機歷史生成的，且生成時間早于所述待測流量日志的流量日志；

在所述動態時間窗口的開始時間晚于或等于停止時間閾值時，停止移動所述動態時間窗口，并從已生成的多個數據快照圖中獲取最后獲取到的數據快照圖所對應的目標小樣本數據，所述停止時間閾值為所述待測流量日志的時間戳與所述動態時間窗口的長度的差值；

按照所述預設網絡攻擊檢測場景，對所述目標小樣本數據進行處理，生成所述待測流量日志是否為異常日志的結果，所述處理包括統計操作、聚合操作、序列操作中的至少一種。

結合第一方面，在第一方面的一種可實現方式中，所述根據所述待測流量日志的時間戳、動態時間窗口的預設偏移量，以及所述動態時間窗口的長度，確定所述待測流量日志觸發的所述動態時間窗口的起始時間，包括：

通過以下公式確定所述待測流量日志觸發的所述動態時間窗口的起始時間：

lastStartTime＝timestamp-(timestamp-offset+size)/size