(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211170139.1 (22)申请日 2022.09.23 (71)申请人 天翼安全科技有限公司 地址 100010 北京市东城区朝阳门北 大街 19号中国电信大厦 (72)发明人 朱正领　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 金银花 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络攻击 检测方法和装置、 设备及存 储介质 (57)摘要 本申请公开了一种网络攻击检测方法和装 置、 设备及存储介质， 涉及网络安全技术领域， 该 方法通过 获取目标网络设备的日志文件， 将每一 条日志的包括有目标网络地址和网络协议类型 的目标关键字段集合与预设检测策略包含的设 定关键字段集合进行匹配， 匹配成功则将二者进 行关联。 根据关联后的预设检测策略对应的流量 统计周期， 确定当前统计周期内与其关联的日志 的流量总和， 当流量总和大于该预设检测策略的 流量阈值时， 确定目标网络设备受到该预设检测 策略对应类型的网络攻击。 本申请以网络地址和 网络协议类型相结合作为攻击检测维度， 更加准 确且及时检测出采用特定网络协议作为攻击主 体进行Do s/DDos流量攻击的缺陷， 进而 提高了网 络安全性。 权利要求书2页 说明书13页 附图4页 CN 115499230 A 2022.12.20 CN 115499230 A 1.一种网络攻击检测方法， 其特 征在于， 所述方法包括： 获取待检测的目标网络设备的日志文件， 所述日志文件包括所述目标网络设备接收到 的数据流信息； 针对预设检测策略集 合中各预设检测策略， 分别执 行如下操作： 针对一个预设检测策略， 若所述日志文件中每一条日志包含的目标关键字段集合， 与 所述一个预设检测策略包含的设定 关键字段集合匹配成功， 将所述日志与相应的预设检测 策略进行关联； 其中， 所述目标关键 字段集合包括目标网络地址和网络协议类型； 根据所述一个预设检测策略对应的流量统计周期， 确定当前统计周期内， 与所述一个 预设检测策略关联的日志的流 量总和； 当所述流量总和大于所述一个预设检测策略的流量阈值 时， 确定所述目标网络设备受 到所述一个预设检测策略对应 类型的网络攻击 。 2.如权利要求1所述的方法， 其特征在于， 在针对预设检测策略集合中各预设检测策略 分别执行操作之前， 所述方法还 包括： 接收策略配置请求， 所述策略配置请求包括至少一条 预设检测策略； 基于所述至少一条 预设检测策略， 更新所述预设检测策略集 合。 3.如权利要求2所述的方法， 其特征在于， 所述预设检测策略集合通过策略消息队列存 储； 则基于所述至少一条 预设检测策略， 更新所述预设检测策略集 合， 包括： 将所述至少一条 预设检测策略， 同步至所述策略消息队列中； 基于所述策略消息队列包括的各 预设检测策略， 更新所述预设检测策略集 合。 4.如权利要求1所述的方法， 其特征在于， 所述针对一个预设检测策略， 若所述日志文 件中每一条日志包含的目标关键字段集合， 与所述一个预设检测策略包含的设定关键字段 集合匹配成功， 将所述日志与相应的预设检测策略进行关联， 包括： 针对所述日志文件中各 条日志， 分别执 行如下操作： 针对一条 日志， 将所述日志包含的目标关键字段集合与 所述设定关键字段集合进行匹 配； 当所述目标关键字段集合与 所述设定关键字段集合相同时， 确定所述预设检测策略与 所述日志匹配成功； 将所述日志与所述预设检测策略进行关联。 5.如权利要求1或4所述的方法， 其特征在于， 在所述获取待检测的目标网络设备的日 志文件之后， 所述方法还 包括： 根据预设日志格式规则， 对所述日志文件进行格式转换， 获得转换后的日志文件； 分别从所述转换后的日志文件包括的各条 日志中， 提取得到所述各条 日志各自对应的 所述目标关键 字段集合； 则将所述日志与相应的预设检测策略进行关联， 包括： 针对每条日志， 将与之匹配成功 的预设检测策略的策略标识字段， 添加到相应的目标 关键字段集合中。 6.如权利要求5所述的方法， 其特征在于， 在获取待检测的目标网络设备的日志文件之 后， 所述方法还 包括：权　利　要　求　书 1/2 页 2 CN 115499230 A 2将所述各 条日志依次存储至第一消息队列中； 则分别从所述转换后的日志文件包括的各条 日志中， 提取得到所述各条 日志各自对应 的所述目标关键 字段集合， 包括： 依次从所述第 一消息队列中读取 日志， 并将针对读取的日志提取得到的目标关键字段 集合存储至第二消息队列中； 则所述针对每条日志， 将与之匹配成功 的预设检测策略的策略标识字段， 添加到相应 的目标关键 字段集合中， 包括： 依次从所述第 二消息队列读取目标关键字段集合， 并在读取得到的目标关键字段集合 中， 添加相应的策略标识字段。 7.如权利要求6所述的方法， 其特征在于， 所述根据 所述一个预设检测策略对应的流量 统计周期， 确定当前统计周期内， 与所述 一个预设检测策略关联的日志的流 量总和， 包括： 从所述第二消息队列中， 获取 所述当前统计周期内每条日志各自对应的流 量值字段； 根据获得的多个流 量值字段， 确定所述当前统计周期内的流 量总和。 8.如权利要求1～4或者6～7任一所述的方法， 其特征在于， 所述当所述流量总和大于 所述一个预设检测策略的流量阈值时， 确定所述目标网络 设备受到所述一个预设检测策略 对应类型的网络攻击， 包括： 根据所述一个预设检测策略的网络协议类型， 确定所述目标网络设备受到的网络攻击 类型； 根据所述网络攻击类型， 生成对应的攻击警告， 并将所述攻击警告发送至关联的终端 设备。 9.一种网络攻击检测装置， 其特 征在于， 包括： 获取单元， 用于获取待检测的目标网络设备的日志文件， 所述日志文件包括所述目标 网络设备接收到的数据流信息； 关联单元， 用于针对预设检测策略集合中各预设检测策略， 分别执行如下操作： 针对一 个预设检测策略， 若所述日志文件中每一条日志包含的目标关键字段集合， 与所述一个预 设检测策略包含的设定 关键字段集合匹配成功， 将所述日志与相应的预设检测策略进 行关 联； 其中， 所述目标关键 字段集合包括目标网络地址和网络协议类型； 确定单元， 用于根据所述一个预设检测策略对应的流量统计周期， 确定当前统计周期 内， 与所述 一个预设检测策略关联的日志的流 量总和； 告警单元， 用于当所述流量总和大于所述一个预设检测策略的流量阈值时， 确定所述 目标网络设备受到所述 一个预设检测策略对应 类型的网络攻击 。 10.一种计算机设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执 行所述计算机程序时实现如权利要求1～8任一项所述的方法的步骤。 11.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 计算机程序被处 理器执行时实现如权利要求1～8任一项所述的方法的步骤。 12.一种计算机程序产品， 包括计算机程序， 其特征在于， 所述计算机程序被处理器执 行时实现如权利要求1～8任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 115499230 A 3