[发明专利]识别网络攻击的方法及系统

权利要求书

1.一种识别网络攻击的方法，其特征在于，所述方法包括：

定位机房出口的流量异常的持续时间；

提取所述机房出口在所述定位的流量异常的持续时间内的原始流量数据；

判断所述提取的原始流量数据是否为攻击数据，若是，则识别出存在网络攻击；其中，

定位机房出口的流量异常的持续时间包括：

判断当前时刻与所述机房出口的参照时间段的结束时刻的时间间隔是否大于预定时间间隔；

若判断为否，则进一步判断所述机房出口的当前时刻的流量值是否异常，若判定为异常，则将所述参照时间段的结束时刻修改为所述当前时刻，并经过预定时间后返回执行判断当前时刻与所述机房出口的参照时间段的结束时刻的时间间隔是否大于预定时间间隔；

若判断为是，则将所述参照时间段定位为所述机房出口的流量异常的持续时间。

2.如权利要求1所述的方法，其特征在于，判断所述机房出口的当前时刻的流量值是否异常包括：

获取所述机房出口的当前时刻的流量值；

通过异常判定规则对所述获取的流量值进行判定，其中所述异常判定规则包括：经验阈值规则、曲线拟合规则、流量预测规则；

若在所述异常判定规则中判定所述当前时刻的流量值为异常的异常判断规则所占的比例超过预定值，则确定所述当前时刻的流量值为异常。

3.如权利要求2所述的方法，其特征在于，获取所述机房出口的当前时刻的流量值包括：

通过网络管理数据系统查询所述机房出口所对应的交换机端口集合；

查询所述交换机端口集合中各交换机端口在所述当前时刻的流量值；

对所述查询到的流量值进行聚合以获取所述机房出口的当前时刻的流量值。

4.如权利要求2所述的方法，其特征在于，通过所述经验阈值规则对所述获取的流量值进行判定包括：

选取历史流量值；

计算所述获取的流量值相对于所述历史流量值的变化幅度；

将所述计算出的变化幅度与预定阈值进行比较；

统计所述比较的结果为所述计算出的变化幅度大于所述预定阈值的历史流量值的数量；

若所述统计出的数量占所述选取的历史流量值的数量的预定比例以上，则确定所述获取的流量值为异常。

5.如权利要求2所述的方法，其特征在于，通过所述曲线拟合规则对所述获取的流量值进行判定包括：

通过三角函数曲线拟合的方法量化所述机房出口的流量值的变化规律；

根据所述量化出的三角函数计算所述机房出口在所述当前时刻的基准流量值；

计算所述获取的流量值与所述计算出的基准流量值的偏差幅度；

将所述计算出的偏差幅度与预定阈值进行比较；

若所述比较的结果为所述偏差幅度大于所述预定阈值，则确定所述获取的流量值为异常。

6.如权利要求2所述的方法，其特征在于，通过所述流量预测规则对所述获取的流量值进行判定包括：

通过神经网络技术预测所述机房出口在所述当前时刻的预测流量值以及误差范围；

计算所述获取的流量值与所述预测流量值的偏差幅度，若所述偏差幅度在所述误差范围以外，则确定所述获取的流量值为异常。

7.如权利要求1～6中任意一项所述的方法，其特征在于，判断所述提取的原始流量数据是否为攻击数据包括：

通过开源工具判断所述提取的原始流量数据是否为攻击数据；

或者，

通过网络安全设备判断所述提取的原始流量数据是否为攻击数据。