[发明专利]安全攻击检测方法及装置

权利要求书

1.一种安全攻击检测方法，其特征在于，包括：

对请求方向服务提供方输出的流量进行镜像处理；

将来源于不同请求方的经过镜像处理得到的流量分发至不同的CPU内核，得到在不同的CPU内核中处理的请求方的入流量；

将目的地是不同服务提供方的流量分发至不同的CPU内核，得到在不同的CPU内核中处理的请求方的入流量；

将来源于同一请求方且目的地是同一服务提供方的流量分发至同一CPU内核，得到在同一CPU内核中处理的请求方的入流量；

针对在各个所述CPU内核中处理的请求方的入流量，通过滑动窗口对所述请求方的入流量进行数据包拆分处理，将所述滑动窗口中包含的数据包作为固定窗长的待检测流量；

在所述待检测流量进行安全攻击检测完毕时，按照指定滑动距离滑动所述滑动窗口，根据滑动后所述滑动窗口中包含的数据包更新所述待检测流量，其中，所述指定滑动距离小于所述固定窗长；

由所述待检测流量提取得到服务提供方的流量特征，所述服务提供方与所述请求方之间存在网络连接；

将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对，得到比对结果；

根据所述比对结果判断所述服务提供方是否受到安全攻击。

2.如权利要求1所述的方法，其特征在于，所述由所述待检测流量提取得到服务提供方的流量特征，包括：

遍历所述待检测流量中的数据包；

从遍历到的数据包中提取得到数据包信息，所述数据包信息包括用于标识服务提供方的目的IP；

按照所述目的IP对所述待检测流量中数据包的数据包信息进行聚合统计，得到所述目的IP所标识服务提供方的流量特征。

3.如权利要求1所述的方法，其特征在于，所述将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对之前，所述方法还包括：

获取所述服务提供方在指定周期内上报的流量；

根据获取到的流量为所述服务提供方计算动态基线阈值；

进行所述服务提供方与计算的动态基线阈值之间的关联存储。

4.如权利要求1至3任一项所述的方法，其特征在于，所述根据所述比对结果判断所述服务提供方是否受到安全攻击之后，所述方法还包括：

如果所述比对结果指示所述服务提供方受到安全攻击，则生成告警信息；

向所述服务提供方发送所述告警信息，以通过所述告警信息提示所述服务提供方进行安全攻击防御。

5.一种安全攻击检测装置，其特征在于，包括：

镜像单元，用于对请求方向服务提供方输出的流量进行镜像处理；

分发单元，用于：

将来源于不同请求方的经过镜像处理得到的流量分发至不同的CPU内核，得到在不同的CPU内核中处理的请求方的入流量；

将目的地是不同服务提供方的流量分发至不同的CPU内核，得到在不同的CPU内核中处理的请求方的入流量；

将来源于同一请求方且目的地是同一服务提供方的流量分发至同一CPU内核，得到在同一CPU内核中处理的请求方的入流量；

数据包拆分单元，用于针对在各个所述CPU内核中处理的请求方的入流量，通过滑动窗口对所述请求方的入流量进行数据包拆分处理，将所述滑动窗口中包含的数据包作为固定窗长的待检测流量；

滑动单元，用于在所述待检测流量进行安全攻击检测完毕时，按照指定滑动距离滑动所述滑动窗口，根据滑动后所述滑动窗口中包含的数据包更新所述待检测流量，其中，所述指定滑动距离小于所述固定窗长；

特征提取模块，用于由所述待检测流量提取得到服务提供方的流量特征，所述服务提供方与所述请求方之间存在网络连接；

特征比对模块，用于将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对，得到比对结果；

判断模块，用于根据所述比对结果判断所述服务提供方是否受到安全攻击。