[0001] 本发明涉及网络安全技术领域，尤其涉及了一种网络攻击检测系统。

[0002] 目前，随着计算机技术的不断发展和互联网的不断普及，网络安全已经成为一个日益显著的问题，针对特定网络的攻击行为越来越多，从而给网站服务器或特定网络带来很多不利影响。近些年来DDOS类型的攻击已经成为各IT公司遭受最多的攻击，特别对于大型互联网公司而言，由于遭受的攻击力较大，已经超出单一硬件防火墙的可承受能力。为了解决这个问题，同时为了降低攻击检测的成本，很多互联网公司开始借助于X86实时分析处理集群来协助处理，其中Storm实时流处理框架是使用较多的框架。

[0003] 但是，如今所普遍采用的硬件防火墙虽然能够识别和抵御一定程度的DDOS攻击，但是我们无法看到较为详细的攻击数据。

[0017] 下面，结合附图以及具体实施方式，对本发明做进一步描述，需要说明的是，在不相冲突的前提下，以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。

[0018] 除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文所使用的术语只是为了描述具体的实施例的目的，不是旨在限制本发明。本文所使用的术语“或/和”包括一个或多个相关的所列项目的任意的和所有的组合。

[0019] 如图1所示，一种网络攻击检测系统，包括网络攻击获取模块110，获取当前网络体系中预设时间段内的网络数据包；网络攻击检测模块120，对获得的所述网络数据表进行检测并判断，若所述网络数据包能够对当前网络体系进行网络攻击，则标记所述网络数据包；网络攻击识别模块130，接收被标记的网络数据包并提取所述网络数据包的网络攻击特征
310和数据内容320；根据所述网络攻击特征和所述数据内容，输出网络攻击警示信号140。

[0020] 所述网络攻击检测模块120用于采集目标网络体系中的访问日志，并按照预设字段从所述访问日志中获取预设时间段内的访问数据，通过分析所述访问数据的路由策略识别出网络攻击的攻击源。在该系统运用到网站攻击检测时，所述访问日志具体为目标网站服务器最前端的访问日志。

[0021] 所述网络攻击特征310包括漏洞扫描行为特征、漏洞触发行为特征和系统受控行为特征；若所述被标记的网络数据包具有漏洞扫描行为特征和/或漏洞触发行为特征和/或系统受控行为特征，则输出网络攻击警示信号140。由于漏洞触发行为特征表征该网络数据包可以触发网络系统中的漏洞以使网络系统遭受网络攻击，因此，漏洞触发行为是直接网络攻击的体现，对于此情况，可以输出网络攻击报警信号，用于告警技术人员或网络系统的提供者网络系统遭受了网络攻击；由于系统受控行为特征表征当前网络系统已经遭受网络攻击，并已被控制，因此系统受控行为是网络攻击的结果体现，即系统被控制，对于此情况，可以输出系统受控报警信号，用于告警技术人员或网络系统的提供者当前网络系统已被控制。

[0022] 在另一实施例中，所述访问日志具体为目标网络体系中的最前端的访问日志。所述数据内容320包括请求URL、源IP地址和/或目的IP地址中的至少一个；所述请求URL包括主机部分、路径部分和属性部分。例如，针对URL：

[0023] http://search.jdcom/Book/Search？keyword＝cpu，其主机部分为：search.jd.com，其路径部分为/Book/Search，其属性部分为keyword＝cpu。

[0024] 还包括拦截计数单元210，其连接到所述网络攻击识别模块130，被配置为对所标记的网络数据包进行计数。拦截计数单元210可以为加入封禁规则的源IP地址指派惩罚系数，统计数量越高的源IP地址的惩罚系数也越高。例如，惩罚系数可以对应于封禁时长，从而统计数量越高的源IP地址的封禁时长越长。再例如，惩罚系数也可以对应于用户请求拒绝率，统计数量越高的源IP地址的请求拒绝率越高。

[0025] 本申请实施例提供一种网络攻击的警示装置，通过对获取的当前网络体系中应用层的网络数据包进行网络攻击检测，在确定该网络数据包能够对当前网络体系进行网络攻击后，获取该网络数据包的网络攻击特征，进而根据该网络数据包的网络攻击特征和该网络数据包中的数据内容，输出网络攻击警示信号，这样，通过对应用层的网络数据包(即双向数据流)的分析来确定网络攻击所造成的网络影响，可以基于上述网络攻击的实际影响范围进行网络攻击警示，减少网络攻击误报情况的发生，从而可以提高网络攻击报警的有效性，使得安全管理和安全运维的效率更高。

[0026] 上述实施方式仅为本发明的优选实施方式，不能以此来限定本发明保护的范围，本领域的技术人员在本发明的基础上所做的任何非实质性的变化及替换均属于本发明所要求保护的范围。