(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111597510.8 (22)申请日 2021.12.24 (71)申请人 合肥工业大 学 地址 230009 安徽省合肥市包河区屯溪路 193号 (72)发明人 汤临春　王辉　胡焰兰　章潇伟　 (74)专利代理 机构 北京久诚知识产权代理事务 所(特殊普通 合伙) 11542 代理人 余罡 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 67/1097(2022.01) H04L 67/1095(2022.01) G06F 16/2455(2019.01)G06F 16/27(2019.01) (54)发明名称 基于网络 元数据存储的SHDoS攻击检测方法 和系统 (57)摘要 本发明提供一种基于网络元数据存储的 SHDoS攻击检测方法、 系统、 存储介质和电子设 备， 涉及网络安全检测领域。 本发明包括获取单 位时间内网络的旁路流量； 在所述旁路流量上采 用深度报文分析方法进行数据采集、 分析， 获取 并存储TCP协议的网络元数据特征值； 过滤所述 网络元数据特征值； 根据过滤后的网络元数据特 征值， 采用预设的攻击检测模型检测该单位时间 内是否发生SHDoS攻击， 所述攻击检测模型基于 SHDoS攻击的行为特征构建。 只需要 解析TCP流量 即可完成攻击检测， 因为不需要解析应用层流 量， 有效地提高了算法检测 效率， 可以做到实时 检测， 所以该检测方法可普遍适用于准确的、 第 一级的检测SHDoS攻击 。 权利要求书2页 说明书6页 附图1页 CN 114338125 A 2022.04.12 CN 114338125 A 1.一种基于网络元 数据存储的SHDoS攻击检测方法， 其特 征在于， 包括： S1、 获取单位时间内网络的旁路流 量； S2、 在所述旁路流量上采用深度报文分析方法进行数据采集、 分析， 获取并存储TCP协 议的网络元 数据特征值； S3、 过滤所述网络元 数据特征值； S4、 根据过滤后的网络元数据特征值， 采用预设的攻击检测模型检测该单位时间内是 否发生SHDoS攻击， 所述 攻击检测模型基于SHDoS攻击的行为特 征构建。 2.如权利要求1所述的SHDoS攻击检测方法， 其特征在于， 所述S1中采用端 口映射技术 在网络设备 上实时获取 所述旁路流 量。 3.如权利要求1所述的SHDoS攻击检测方法， 其特征在于， 所述S2中将所述网络元数据 特征值存储在区块链中。 4.如权利要求1所述的SHDoS攻击检测方法， 其特征在于， 所述S3中采用大数据分析方 法过滤所述网络元 数据特征值。 5.如权利要求1～4任一项所述的SHDoS攻击检测方法， 其特征在于， 所述S4中的所述 SHDoS攻击的行为特 征具体包括： (1)相同IP地址请求 量很大， 且其并发连接数也表现异常； (2)HTTP数据量大； (3)请求头部分， 在收到客户端发送信息后， 每个阶段收到的数据包的间隔时间超时严 重； (4)请求正文部分， 在收到客户端发送信 息后， 每个阶段收到的数据包的间隔时间超时 严重。 6.如权利要求5所述的SHDoS攻击检测方法， 其特 征在于， 所述S4中的检测条件 包括： (1)基于SHDoS攻击的原理， 对该单位时间内的流量数据中相关特征值进行异常流量检 测； (2)基于预先设置的阈值， 对该单位时间内的异常流量数据中相关特征值聚合后进行 SHDoS攻击检测。 7.如权利要求6所述的SHDoS攻击检测方法， 其特征在于， 所述聚合采用GroupBy方法， 根据不同的行为特 征拆成不同的分组后进行SHDoS攻击检测。 8.一种基于网络元 数据存储的SHDoS攻击检测系统， 其特 征在于， 包括： 获取模块， 用于获取 单位时间内网络的旁路流 量； 分析模块， 用于在所述旁路流量上采用深度报文分析方法进行数据采集、 分析， 获取并 存储TCP协议的网络元 数据特征值； 过滤模块， 用于过 滤所述网络元 数据特征值； 检测模块， 用于根据过滤后的网络元数据特征值， 采用预设的攻击检测模型检测该单 位时间内是否发生SHDoS攻击， 所述 攻击检测模型基于SHDoS攻击的行为特 征构建。 9.一种存储介质， 其特征在于， 其存储有用于基于网络元数据存储的SHDoS攻击检测的 计算机程序， 其中， 所述计算机程序使 得计算机执行如权利要求 1～7任一项 所述的SHDoS攻 击检测方法。 10.一种电子设备， 其特 征在于， 包括：权　利　要　求　书 1/2 页 2 CN 114338125 A 2一个或多个处 理器； 存储器； 以及 一个或多个程序， 其中所述一个或多个程序被存储在所述存储器中， 并且被配置成由 所述一个或多个处理器执行， 所述程序包括用于执行如权利要求 1～7任一项 所述的基于网 络元数据存储的SHDoS攻击检测方法。权　利　要　求　书 2/2 页 3 CN 114338125 A 3