(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211053829.9 (22)申请日 2022.08.31 (71)申请人 北京百度网讯科技有限公司 地址 100085 北京市海淀区上地十街10号 百度大厦2层 (72)发明人 赵真一　 (74)专利代理 机构 北京银龙知识产权代理有限 公司 11243 专利代理师 尹倩 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络攻击对抗行为检测方法、 装置及电子设 备 (57)摘要 本公开提供了一种网络攻击对抗行为检测 方法、 装置及电子设备， 涉及计算机技术领域， 尤 其涉及互联网数据处理和互联网安全技术领域。 具体实现方案为： 在未发生网络攻击对抗行为的 情况下， 获取目标网络的第一特征向量； 在针对 网络攻击进行治理的情况下， 获取所述目标网络 的实时特征向量； 获取所述第一特征向量与所述 实时特征向量之间的线性相关性系数和相似度 值； 在所述线性相关性系数小于第一预设阈值， 且所述相似度值小于第二预设阈值的情况下， 则 确定检测到针对所述目标网络的网络攻击对抗 行为。 权利要求书2页 说明书10页 附图3页 CN 115459977 A 2022.12.09 CN 115459977 A 1.一种网络攻击对抗行为检测方法， 包括： 在未发生网络攻击对抗行为的情况 下， 获取目标网络的第一特 征向量； 在针对网络攻击进行治理的情况 下， 获取所述目标网络的实时特 征向量； 获取所述第一特 征向量与所述实时特 征向量之间的线性相关性系数和相似度值； 在所述线性相关性系数小于第 一预设阈值， 且所述相似度值小于第 二预设阈值的情况 下， 则确定检测到针对所述目标网络的网络攻击对抗行为。 2.根据权利要求1所述的方法， 其中， 所述获取目标网络的第一特 征向量， 包括： 获取目标网络在目标时间维度的第一特 征向量； 所述获取 所述目标网络的实时特 征向量， 包括： 获取所述目标网络在所述目标时间维度的实时特 征向量。 3.根据权利要求2所述的方法， 其中， 所述获取目标网络在目标时间维度的第 一特征向 量， 包括： 分别获取目标网络在不同时间维度的第一特 征向量； 从所述不同时间维度中选择一个时间维度作为目标时间维度， 并确定所述目标时间维 度对应的所述第一特 征向量； 其中， 所述不同时间维度包括以工作 日小时为单位的时间维度、 以休息日小时为单位 的时间维度、 以工作日为单位的时间维度、 以休息日为单位的时间维度。 4.根据权利要求1所述的方法， 其中， 所述获取目标网络的第一特 征向量， 包括： 获取目标网络预设数量的第 一子特征向量， 所述预设数量的第 一子特征向量分别针对 不同时刻； 获取所述预设数量的第一子特征向量中每一个第一子特征向量与目标子特征向量的 差异值； 将所述预设数量的第一子特征向量中差异值最小的第一子特征向量确定为所述第一 特征向量。 5.根据权利要求1所述的方法， 其中， 所述第 一特征向量和所述实时特征向量均为所述 目标网络的特 征向量中与网络攻击对抗行为相关的目标 特征向量。 6.根据权利要求5所述的方法， 其中， 所述目标特征向量包括如下至少一项： 网际互连 协议IP个数、 IP 散度、 IP平均访问次数、 IP访问次数的第一预设数值分位数、 网络指纹个数、 网络指纹散度、 网络指纹平均访问次数、 网络指纹访问次数的第二预设数值分位数、 合法令 牌个数、 合法令牌散度、 合法令牌平均访问次数、 合法令牌访问次数的第三预设数值分位 数。 7.一种网络攻击对抗行为检测装置， 包括： 第一获取模块， 用于在未发生网络攻击对抗行为的情况下， 获取目标网络的第一特征 向量； 第二获取模块， 用于在针对网络攻击进行治理的情况下， 获取所述目标网络的实时特 征向量； 第三获取模块， 用于获取所述第 一特征向量与 所述实时特征向量之间的线性相关性系 数和相似度值； 检测模块， 用于在所述线性相关性系数小于第一预设阈值， 且所述相似度值小于第二权　利　要　求　书 1/2 页 2 CN 115459977 A 2预设阈值的情况 下， 则确定检测到针对所述目标网络的网络攻击对抗行为。 8.根据权利要求7 所述的装置， 其中， 所述第一获取模块包括： 第一获取 单元， 用于获取目标网络在目标时间维度的第一特 征向量； 所述第二获取模块还用于： 获取所述目标网络在所述目标时间维度的实时特 征向量。 9.根据权利要求8所述的装置， 其中， 所述第一获取 单元还用于： 分别获取目标网络在不同时间维度的第一特 征向量； 从所述不同时间维度中选择一个时间维度作为目标时间维度， 并确定所述目标时间维 度对应的所述第一特 征向量； 其中， 所述不同时间维度包括以工作 日小时为单位的时间维度、 以休息日小时为单位 的时间维度、 以工作日为单位的时间维度、 以休息日为单位的时间维度。 10.根据权利要求7 所述的装置， 其中， 所述第一获取模块包括： 第二获取单元， 用于获取目标网络预设数量的第一子特征向量， 所述预设数量的第一 子特征向量分别针对不同时刻； 第三获取单元， 用于获取所述预设数量的第 一子特征向量中每一个第 一子特征向量与 目标子特 征向量的差异值； 确定单元， 用于将所述预设数量的第 一子特征向量中差异值最小的第 一子特征向量确 定为所述第一特 征向量。 11.根据权利要求7所述的装置， 其中， 所述第一特征向量和所述实时特征向量均为所 述目标网络的特 征向量中与网络攻击对抗行为相关的目标 特征向量。 12.根据权利要求11所述的装置， 其中， 所述目标特征向量包括如下至少一项： 网际互 连协议IP个数、 IP散度、 IP平均访问次数、 IP访问次数的第一预设数值分位数、 网络指纹个 数、 网络指纹散度、 网络指纹平均访问次数、 网络指纹访问次数的第二预设数值分位数、 合 法令牌个数、 合法令牌散度、 合法令牌平均访问次数、 合法令牌访问次数的第三预设数值分 位数。 13.一种电子设备， 包括： 至少一个处 理器； 以及 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够执 行权利要求1 ‑6中任一项所述的方法。 14.一种存储有计算机指令的非瞬时计算机可读存储介质， 其中， 所述计算机指令用于 使所述计算机执 行根据权利要求1 ‑6中任一项所述的方法。 15.一种计算机程序产品， 包括计算机程序， 所述计算机程序在被处理器执行时实现根 据权利要求1 ‑6中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115459977 A 3