[发明专利]网络攻击检测方法和装置

权利要求书

1.一种网络攻击检测方法，其特征在于，包括以下步骤：

依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到所述网络会话样本的特征；其中，经过关键词匹配的网络会话样本中，采用关键字的序号标识所述网络会话样本中匹配中的特征，以及采用字符的取值标识所述网络会话样本中未匹配中的字符；

利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注；其中，所述隐马尔可夫模型的训练过程是将经过关键词匹配的网络会话样本作为观察序列，采用前向-后向算法，利用所述观察序列，以及用于指示所述网络会话样本是否为攻击数据的样本标签，以及用于指示所述观察序列中各元素隐状态的变量，对所构建的隐马尔可夫模型进行训练；

将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定所述网络会话样本是否存在网络攻击。

2.根据权利要求1所述的网络攻击检测方法，其特征在于，所述依据预先设定的关键字集合，对网络会话样本进行关键词匹配，包括：

根据预先设定的关键字集合中用于描述基本协议特征的协议关键字，以及用于描述攻击特征的攻击关键字，对所述网络会话样本进行关键字匹配。

3.根据权利要求2所述的网络攻击检测方法，其特征在于，所述对所述网络会话样本进行关键字匹配之后，还包括：

采用关键字的序号标识所述网络会话样本中匹配中的特征，以及采用字符的取值标识所述网络会话样本中未匹配中的字符，得到数字序列形式的网络会话样本。

4.根据权利要求1所述的网络攻击检测方法，其特征在于，所述利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注之前，还包括：

构建所述隐马尔可夫模型；所述隐马尔可夫模型的参数包括扩展参数，所述扩展参数为用于指示各关键字与各分类处理结果之间互信息的信息分布矩阵。

5.根据权利要求4所述的网络攻击检测方法，其特征在于，

所述信息分布矩阵C＝{c_j(k)}，其中，c_j(k)表示第k个特征在j个隐状态下获得的分类信息量比例；

c_j(k)满足条件一：且满足条件二：c_j(k)＝1,1≤j≤N，W’表示所述关键字集合中的攻击关键字子集，N为隐状态q的总个数。