[发明专利]一种攻击检测方法及装置

说明书

本申请实施例提供了一种攻击检测方法及装置。方案包括：获取待检测报文；提取所述待检测报文在预设的多个特征维度下的多类特征数据；将所述多类特征数据分别输入对应的预设分类器，得到所述待检测报文的多个分类结果，其中，一个所述预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器；根据所述多个分类结果，确定所述待检测报文是否为攻击报文。应用本申请实施例提供的技术方案，能够提高攻击检测的自适应性以及攻击报文的检出率。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种攻击检测方法及装置。

背景技术

分布式拒绝服务攻击(英文：Distributed Denial of Service，简称：DDoS)是指将多个网络计算机联合起来作为攻击平台，对一个或多个目标计算机发送拒绝服务攻击(英文：Denial of Service，简称：DoS)攻击，从而成倍地提高DoS的威力。

目前，DDoS报文主要采用预设报文特征进行检测。具体的，检测设备预先设置DDoS报文的报文特征；当接收到网络报文时，检测设备提取网络报文的特征，将提取的特征与预设的报文特征匹配。若二者匹配，则检测设备可确定网络报文为DDoS报文。

随着网络技术的发展，网络环境越来越复杂，DDoS的手段呈现出多样化，DDoS报文的报文特征也变得多样化。检测设备利用预设报文特征来检测DDoS报文，评判标准单一，无法适应网络环境的变化，很容易造成DDoS报文被漏检，不能形成有效的DDoS防御。

发明内容

本申请实施例的目的在于提供一种攻击检测方法及装置，以提高攻击检测的自适应性，以及攻击报文的检出率。具体技术方案如下：

一方面，本申请实施例提供了一种攻击检测方法，应用于网络设备，所述方法包括：

获取待检测报文；

提取所述待检测报文在预设的多个特征维度下的多类特征数据；

将所述多类特征数据分别输入对应的预设分类器，得到所述待检测报文的多个分类结果，其中，一个所述预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器；

根据所述多个分类结果，确定所述待检测报文是否为攻击报文。

二方面，本申请实施例提供了一种攻击检测装置，应用于网络设备，所述装置包括：

获取单元，用于获取待检测报文；

提取单元，用于提取所述待检测报文在预设的多个特征维度下的多类特征数据；

分类单元，用于将所述多类特征数据分别输入对应的预设分类器，得到所述待检测报文的多个分类结果，其中，一个所述预设分类器为根据多个样本报文在一个特征维度下的一类样本特征数据训练得到的分类器；

确定单元，用于根据所述多个分类结果，确定所述待检测报文是否为攻击报文。

三方面，本申请实施例提供了一种网络设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述任一所述的方法步骤。

四方面，本申请实施例提供了一种机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述任一所述的方法步骤。