(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113452648A(43)申请公布日2021.09.28(21)申请号202010213293.7(22)申请日2020.03.24(71)申请人北京沃东天骏信息技术有限公司地址100176北京市北京经济技术开发区科创十一街18号院2号楼4层A402室申请人北京京东世纪贸易有限公司(72)发明人刘海丰(74)专利代理机构中原信达知识产权代理有限责任公司11219代理人郭晗赵迪(51)Int.Cl.H04L29/06(2006.01)G06K9/62(2006.01)权利要求书2页说明书12页附图6页(54)发明名称检测网络攻击的方法、装置、设备和计算机可读介质(57)摘要本发明公开了检测网络攻击的方法、装置、设备和计算机可读介质，涉及计算机技术领域。该方法的一具体实施方式包括：接收网络检测数据；将所述网络检测数据输入网络攻击分类器，所述网络攻击分类器是基于网络攻击数据和聚类后的随机森林分类器训练得到的；所述网络攻击分类器输出所述网络检测数据的分类结果，所述分类结果包括所述网络检测数据属于不同类别的概率，将最大概率对应的类别作为所述网络检测数据的类别。该实施方式能够减少漏检，错检的情况，提高检测网络攻击的准确性。CN113452648ACN113452648A权利要求书1/2页1.一种检测网络攻击的方法，其特征在于，包括：接收网络检测数据；将所述网络检测数据输入网络攻击分类器，所述网络攻击分类器是基于网络攻击数据和聚类后的随机森林分类器训练得到的；所述网络攻击分类器输出所述网络检测数据的分类结果，所述分类结果包括所述网络检测数据属于不同类别的概率，将最大概率对应的类别作为所述网络检测数据的类别。2.根据权利要求1所述检测网络攻击的方法，其特征在于，所述网络攻击数据包括以下一种或多种数据：攻击、爬取、刷票和占票。3.根据权利要求1所述检测网络攻击的方法，其特征在于，所述聚类后的随机森林分类器是采用以下一种聚类方法聚类后的得到的，所述聚类方法包括k均值聚类算法、学习向量量化和高斯混合聚类。4.根据权利要求1所述检测网络攻击的方法，其特征在于，所述方法还包括：提取网络攻击训练数据中的特征，依据所述特征将所述网络攻击训练数据分为正常网络攻击训练数据和异常网络攻击训练数据，所述异常网络攻击训练数据包括多类异常行为训练数据；将所述正常网络攻击训练数据和所述多类异常网络攻击训练数据，转换为数值特征数据，并进行归一化处理；将归一化处理后的训练数据聚合为不同类型的簇；以所述不同类型的簇，训练随机森林分类器，得到所述网络攻击分类器。5.根据权利要求4所述检测网络攻击的方法，其特征在于，所述以所述不同类型的簇，训练随机森林分类器，得到所述网络攻击分类器，包括：以不同类型的簇中网络攻击训练数据的所属类别，训练随机森林分类器，得到所述网络攻击分类器，所属类别包括正常、攻击、爬取、刷票和占票。6.一种检测网络攻击的方法，其特征在于，包括：提取网络攻击训练数据中的特征，依据所述特征将所述网络攻击训练数据分为正常网络攻击训练数据和异常网络攻击训练数据，所述异常网络攻击训练数据包括多类异常行为训练数据；将所述正常网络攻击训练数据和所述多类异常网络攻击训练数据，转换为数值特征数据，并进行归一化处理；将归一化处理后的训练数据聚合为不同类型的簇；以所述不同类型的簇，训练随机森林分类器，得到网络攻击分类器，所述网络攻击分类器用于检测网络攻击。7.一种检测网络攻击的装置，其特征在于，包括接收模块，用于接收网络检测数据；分类模块，用于将所述网络检测数据输入网络攻击分类器，所述网络攻击分类器是基于网络攻击数据和聚类后的随机森林分类器训练得到的；确定模块，用于控制所述网络攻击分类器输出所述网络检测数据的分类结果，所述分类结果包括所述网络检测数据属于不同类别的概率，将最大概率对应的类别作为所述网络检测数据的类别。2CN113452648A权利要求书2/2页8.一种检测网络攻击的装置，其特征在于，包括特征模块，用于提取网络攻击训练数据中的特征，依据所述特征将所述网络攻击训练数据分为正常网络攻击训练数据和异常网络攻击训练数据，所述异常网络攻击训练数据包括多类异常行为训练数据；处理模块，用于将所述正常网络攻击训练数据和所述多类异常网络攻击训练数据，转换为数值特征数据，并进行归一化处理；聚合模块，用于将归一化处理后的训练数据聚合为不同类型的簇；训练模块，用于以所述不同类型的簇，训练随机森林分类器，得到网络攻击分类器，所述网络攻击分类器用于检测网络攻击。9.一种检测网络攻击的电子设备，其特征在于，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一