(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211152962.X (22)申请日 2022.09.21 (71)申请人 浙江中控技 术股份有限公司 地址 310059 浙江省杭州市滨江区六和路 309号 (72)发明人 冯剑　朱峰　王洪原　周康韵　 姚罕琦　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 专利代理师 董文倩 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/16(2022.01) (54)发明名称 互联网攻击的检测方法及装置、 非易 失性存 储介质、 处 理器 (57)摘要 本申请公开了一种互联网攻击的检测方法 及装置、 非易失性存储介质、 处理器。 该方法包 括： 确定待检测的互联网协议地址在第一时间范 围内的二维向量， 其中， 二维向量为依据待检测 的互联网协议地址在第一时间范围内回复数据 的出错码的信息熵以及请求码的信息熵确定的 特征向量； 采用第一学习模型对二维向量进行分 析， 得到检测结果， 其中， 第一学习模型为对多个 互联网协议地址在连续时间范围内的二维样本 向量的聚类结果训练得到的。 本申请解决了由于 分布式拒绝服务攻击入侵检测方法需要利用监 督学习提取特征数据造成的人工成本高， 学习时 间长， 无法对持续更新的分布式拒绝服务攻击做 出准确判断的技 术问题。 权利要求书2页 说明书11页 附图4页 CN 115499226 A 2022.12.20 CN 115499226 A 1.一种互联网攻击的检测方法， 其特 征在于， 包括： 确定待检测的互联网协议地址在第一时间范围内的二维向量， 其中， 所述二维向量为 依据所述待检测的互联网协议地址在所述第一时间范围内回复数据的出错码的信息熵以 及请求码的信息熵确定的特 征向量； 采用第一学习模型对所述二维向量进行分析， 得到检测结果， 其中， 所述第 一学习模型 为对多个所述互联网协 议地址在连续时间范围内的二 维样本向量的聚类结果训练得到的， 所述二维样本向量包括： 在所述连续时间范围内的每个时间范围内回复数据的出错码的信 息熵和请求码的信息熵确定的向量； 其中， 在所述二维向量与 所述第一学习模型对应的向量簇的中心的距离大于目标距离 时， 确定所述检测结果为第一检测结果， 在所述二维向量与所述向量簇的中心的距离不大 于所述目标距离时， 确定所述检测结果为第二检测结果， 其中， 所述第一检测结果用于指示 在所述第一时间范围内存在互联网攻击， 所述第二检测结果用于指示在所述第一时间范围 内不存在互联网攻击 。 2.根据权利要求1所述的方法， 其特征在于， 采用第 一学习模型对所述二维向量进行分 析， 得到检测结果之前， 所述方法还 包括： 按照从后向前的顺序依次遍历位于所述第一时间范围之前的时间范围内的第二学习 模型， 直至在所述第一时间范围之前 的时间范围内检测到不存在互联网攻击， 并将检测到 不存在互联网攻击的时间范围所对应的第二学习模型作为所述第一学习模型。 3.根据权利要求1所述的方法， 其特 征在于， 包括： 将所述二维样本向量转化为第一样本向量以及第二样本向量， 其中， 所述第一样本向 量为所述出错码的信息熵对应的向量， 所述第二样本向量为所述请求码的信息熵对应的向 量； 当所述第一样本向量的数量大于所述第 二样本向量的数量 时， 将所述第 一样本向量构 成的所述向量簇作为所述聚类结果； 当所述第一样本向量的数量小于所述第 二样本向量的数量 时， 将所述第 二样本向量构 成的所述向量簇作为所述聚类结果。 4.根据权利要求1所述的方法， 其特征在于， 确定待检测的互联网协议地址在第 一时间 范围内的二维向量之前， 所述方法还 包括： 获取服务器回复过程中回复数据包的出错码， 获取客户端请求过程中请求数据包的请 求码， 对所述出错码以及所述请求码进行 赋值； 根据所述出错码对应的赋值结果以及所述出错码在所述第 一时间范围内的出现次数， 得到所述出错码的信息熵； 根据所述请求码对应的所述赋值结果以及所述请求码在所述第一时间范围内的出现 次数， 得到所述请求码的信息熵。 5.根据权利要求4所述的方法， 其特征在于， 所述服务器与所述客户端基于公共工业控 制协议进行 数据交互。 6.根据权利要求4所述的方法， 其特征在于， 所述 回复数据包以及所述请求数据包为经 过路由器镜像的网络数据包， 其中， 所述路由器为经过防火墙保护后的路由器， 所述路由器 与所述客户端基于公共工业控制协议进行 数据交互。权　利　要　求　书 1/2 页 2 CN 115499226 A 27.根据权利要求6所述的方法， 其特 征在于， 所述出错码包括以下至少之一： 节点不存在、 订阅失败、 没有读取权限、 没有写权限、 内 部出错、 内存不足、 编码失败、 解码失败， 所述请求码包括以下至少之一： 遍历节点、 读节点 值、 读节点属性、 订阅节点、 订阅事 件、 订阅告警、 写节点 值、 取消订阅、 执 行函数、 关闭会话。 8.一种互联网攻击的检测装置， 其特 征在于， 包括： 确定模块， 用于确定待检测的互联网协议地址在第 一时间范围内的二维向量， 其中， 所 述二维向量为依据所述待检测的互联网协议地址在所述第一时间范围内回复数据的出错 码的信息熵以及请求码的信息熵确定的特 征向量； 检测模块， 用于采用第一学习模型对所述二维向量进行分析， 得到检测结果， 其中， 所 述第一学习模型为对多个二维互联网协议地址在连续时间范围内的二维样本 向量的聚类 结果训练得到的， 所述二维样本 向量包括： 在所述连续时间范围内的每个时间范围内回复 数据的出错码的信息熵和请求码的信息熵确定的向量； 其中， 在所述二维向量与所述第一 学习模型对应的向量簇的中心的距离大于目标距离时， 确定所述检测结果为第一检测结 果， 在所述二维向量与所述向量簇的中心的距离不大于所述 目标距离时， 确定所述检测结 果为第二检测结果， 其中， 所述第一检测结果用于指示在所述第一时间范围内存在互联网 攻击， 所述第二检测结果用于指示在所述第一时间范围内不存在互联网攻击 。 9.一种非易失性存储介质， 其特征在于， 所述非易失性存储介质包括存储的程序， 其 中， 在所述程序运行时控制所述 非易失性存储介质所在设备执行权利要求 1至7中任意一项 所述的互联网攻击的检测方法。 10.一种电子设备， 其特征在于， 包括处理器和存储器， 其中， 所述处理器用于运行存储 在存储器中的程序， 其中， 所述程序运行时执行权利要求1至7中任意一项所述的互联网攻 击的检测方法。权　利　要　求　书 2/2 页 3 CN 115499226 A 3