安全检测方法、装置、电子设备和介质与流程

1.本公开涉及计算机技术领域，尤其涉及一种安全检测方法、装置、电子设备和介质。


背景技术：

2.近年来，随着互联网的覆盖范围不断扩大，应用6迅速扩展，计算机网络在人类的日常生活和工业生产活动中扮演者尤为重要的角色。然而，随着互联网的迅速发展，网络安全问题越来越受到人们的重视，尤其是在工业生产活动中，网络安全问题带来的生产安全隐患更为凸显，一旦发生网络安全问题，生产停滞和企业内部资料的外泄往往会给企业带来无法估量的损失。因此为了保护网络安全，人们需要采取各种保护措施对潜在的网络入侵和网络攻击进行检测。
3.入侵检测技术 (intrusion detection system, ids) 能够对网络流量进行即时监视和分析，在发现有可疑传输时发出警报或采取主动的反应措施，从而保障网络系统的安全。入侵检测系统是一种集成了网络嗅探、流量分析、规则匹配、异常检测和响应机制等多种技术的复杂系统。入侵检测系统的核心任务是对网络流量进行实时监测和分析，以发现潜在的入侵行为，及时采取相应的防御措施。
4.目前，网络攻击手段和方法的不断发展，如病毒，木马，蠕虫和ddos攻击等，传统的入侵检测技术已经逐渐失去了有效性。目前ids入侵检测系统在面对新的网络攻击和手段时，主要面临以下几个问题：（1）误报率高：ids根据预先设定的规则进行攻击特征判断时，会将正常的流量误判为攻击，造成网络管理员的困扰，降低了ids的可信度和实用性；（2）攻击检测效率低下：ids系统在检测攻击时，需要对网络流量进行全面的判断和分析，但随着网络流量的不断增加和复杂化，ids系统的流量分析效率大大降低，无法及时对入侵行为进行报警和反制；（3）无法检测新型攻击：ids系统常基于已知攻击模式和规则进行检测。无法应对新型攻击；（4）防御能力受限：ids系统只具有检测和报警的功能，无法进行实时的防御和应对。


技术实现要素：

5.有鉴于此，本公开实施例提供了一种安全检测方法、装置、电子设备和介质，以解决现有技术中如何进行安全检测以保证网络安全的问题。
6.本公开实施例的第一方面，提供了一种安全检测方法，包括：获取目标流量数据，对目标流量数据进行分析，确定流量特征数据；基于聚类算法对流量特征数据进行判别，确定判别结果；其中，聚类算法的判别结果基于特征数据库中的特征类别，特征数据库基于历史流量数据生成；在判别结果为网络攻击的情况下，确定流量特征数据对应的安全规则，并执行安全规则。
7.本公开实施例的第二方面，提供了一种安全检测装置，包括：数据确定单元，被配置成获取目标流量数据，对上述目标流量数据进行分析，确定流量特征数据；数据判别单
元，被配置成基于聚类算法对上述流量特征数据进行判别，确定判别结果；其中，上述聚类算法的判别结果基于特征数据库中的特征类别，上述特征数据库基于历史流量数据生成；规则执行单元，被配置成在上述判别结果为网络攻击的情况下，确定上述流量特征数据对应的安全规则，并执行上述安全规则。
8.本公开实施例的第三方面，提供了一种电子设备，包括存储器、处理器以及存储在存储器中并且可以在处理器上运行的计算机程序，该处理器执行计算机程序时实现上述方法的步骤。
9.本公开实施例的第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时实现上述方法的步骤。
10.本公开实施例与现有技术相比存在的有益效果是：首先，获取目标流量数据，对目标流量数据进行分析，确定流量特征数据；然后，基于聚类算法对流量特征数据进行判别，确定判别结果，其中，聚类算法的判别结果基于特征数据库中的特征类别，特征数据库基于历史流量数据生成；最后，在判别结果为网络攻击的情况下，确定流量特征数据对应的安全规则，并执行安全规则。本公开提供的安全检测方法通过获取目标流量数据，对目标流量数据进行分析，确定流量特征数据，基于聚类算法对流量特征数据进行判别，确定判别结果，在判别结果为网络攻击的情况下，确定流量特征数据对应的安全规则，并执行安全规则，提高了识别准确率，也提高了网络安全性能，更好的保护系统和数据的安全。
附图说明
11.为了更清楚地说明本公开实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
12.图1是根据本公开的一些实施例的安全检测方法的一个应用6的示意图；
13.图2是根据本公开的安全检测方法的一些实施例的流程图；
14.图3是根据本公开的安全检测方法的一些实施例的系统结构图；
15.图4是根据本公开的安全检测方法的一些实施例的聚类分析结果示意图；
16.图5是根据本公开的安全检测装置的一些实施例的结构示意图；
17.图6是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
18.下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例。相反，提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。
19.另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。
20.需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
21.需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。
22.本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。
23.首先，对本说明书一个或多个实施例涉及的名词术语进行解释。
24.ddos攻击，是通过向目标服务器或网络设备发送大量的数据流量和请求，占用其资源，使得正常的用户无法访问服务或网络设备。
25.下面将参考附图并结合实施例来详细说明本公开。
26.图1是根据本公开的一些实施例的安全检测方法的一个应用6的示意图。
27.在图1的应用中，首先，计算设备101获取目标流量数据102。然后，计算设备101可以对目标流量数据102进行分析，确定流量特征数据103。之后，计算设备101可以基于聚类算法对流量特征数据103进行判别，确定判别结果104。最后，计算设备101可以在判别结果104为网络攻击的情况下，确定流量特征数据对应的安全规则，如附图标记105所示。
28.需要说明的是，上述计算设备101可以是硬件，也可以是软件。当计算设备101为硬件时，可以实现成多个服务器或终端设备组成的分布式集群，也可以实现成单个服务器或单个终端设备。当计算设备101体现为软件时，可以安装在上述所列举的硬件设备中。其可以实现成例如用来提供分布式服务的多个软件或软件模块，也可以实现成单个软件或软件模块。在此不做具体限定。
29.应该理解，图1中的计算设备的数目仅仅是示意性的。根据实现需要，可以具有任意数目的计算设备。
30.图2是根据本公开的安全检测方法的一些实施例的流程图。图2的安全检测方法可以由图1的计算设备101执行。如图2所示，该安全检测方法包括：
31.步骤s201，获取目标流量数据，对目标流量数据进行分析，确定流量特征数据。
32.在一些实施例中，在执行安全检测之前，还包括：安全检测方法的执行主体（如图1所示的计算设备101）可以根据历史流量特征数据构建数据特征库，根据历史流量特征数据构建数据特征库包括：通过网络流量分析模块对历史流量特征数据进行分析，得到至少一种特征值，根据至少一种特征值构建数据特征库。
33.在实际应用中，构建包含多种新型网络攻击手段的多元数据特征库：使用网络流量分析模块对目前网络中所有常见的网络攻击手段进行数据特征分析，获取各个网络攻击手段的数字特征和相关阈值，建立多元数据特征库。用于特征库生成的网路攻击手段就包括常见的木马，病毒，拒绝服务攻击，端口扫描攻击等。此外也包括对工业生产活动造成极大威胁的新型网络攻击手段，如物联网攻击，供应链攻击，ai攻击和云安全攻击等。
34.具体的，使用集成多种网络安全监测方法的网络流量分析模块对现有的常见网络攻击手段进行分析，根据分析结果建立网络攻击数据特征库：搭载本发明所提出的自适应入侵检测系统的ids设备在投入使用之前已经事先利用其网络流量分析模块对现有已知的所有常见网络攻击手段进行分析，分析的手段包括签名检测，行为检测，流量统计分析三大模块，提取的数据特征包括皮尔逊相关系数(r)，欧式距离(d)，余弦相似性(coss)，网络数据包数量，传输协议，网络流量分布，流量，流量速度和流量协议。分析的目标包括ddos攻击，sql注入攻击，网页钓鱼攻击，恶意软件攻击，网络钓鱼攻击等多项网络攻击手段。本步
骤所建立的数据库如表1所示，这里受限于篇幅，仅列出四种攻击手段，实际的特征库内容要更为丰富。
35.表1 网络攻击特征库
36.本公开实施例构建了包含多种新型网络攻击手段的多元数据特征库，可以快速识别新的网络攻击类型，并迅速更新防御策略，提高反应速度，及时防范新型网络攻击，帮助安全团队更好地了解网络威胁和攻击者的行为特征，从而更好地保护系统和数据的安全。
37.在一些实施例的一些可选的实现方式中，获取目标流量数据，对目标流量数据进行分析，确定流量特征数据，包括：上述执行主体可以通过网络嗅探模块抓取目标流量数据；上述执行主体可以对目标流量数据进行签名检测、行为检测和流量统计分析，得到目标信息；上述执行主体可以根据目标信息确定流量特征数据。
38.在实际应用中，集成多种网络安全监测方法的网络流量分析模块设计：网络流量分析模块对网络嗅探模块抓取的工业互联网流量进行数据分析，分析包含三块内容，签名检测，行为检测和流量统计分析。签名检测对网络流量的数字签名进行比对，来确定流量的来源是否合规。签名检测通过比较两个签名的相似性来确定签名是否真实，本发明确定相似性的指标包括皮尔逊相关系数，欧式距离以及余弦相似性三种指标参数，行为检测包括对网络数据包、传输协议、网络流量分布和时序数据等方面的分析，流量统计分析包括流量、流量速率、流量协议等方面的统计信息。(1)(2)
(3)
39.其中，表示原始签名的第i个特征点，表示数据包中签名的第i个特征点，n为提取到特征点的总个数，r为皮尔逊相关系数，d为欧式距离，为余弦相似性。
40.例如，利用网络嗅探模块从工业互联网中抓取大量数据包，利用图3所示的网络流量分析模块对抓取到的数据包进行分析，得到签名检测，行为检测和流量统计分析的r，d，coss等共计9项数字特征。
41.本公开实施例集成多种网络安全监测方法的网络流量分析模块通过集成多种网络安全监测方法，可以从不同的角度对网络流量进行分析，识别出更多的安全威胁和攻击行为，提高检测准确率。当某一种方法无法识别某些新型威胁时，其他方法可能会发现这些威胁，因此与传统ids的流量分析模块相比，本发明可以进一步增强网络流量分析模块的鲁棒性，同时支持多种应用6，对于提高网络安全性能具有重要作用。
42.步骤s202，基于聚类算法对流量特征数据进行判别，确定判别结果，其中，聚类算法的判别结果基于特征数据库中的特征类别，特征数据库基于历史流量数据生成。
43.在一些实施例中，上述执行主体可以将流量特征数据输入基于聚类算法的网络模型中，将流量特征数据与特征数据库中的特征类别进行匹配，确定流量特征数据对应的特征类别。然后，上述执行主体可以根据流量特征数据对应的特征类别确定判别结果。
44.在实际应用中，基于k-means聚类算法的网络攻击检测和网络攻击手段分类：k-means聚类算法是一种无监督学习算法，对模式识别有着很好的效果，非常适合用于网络入侵的检测与识别。
45.进一步的，输出聚类结果：每个类别的数据与网络攻击特征库中的各个网络攻击的数据特征进行匹配，若k个聚类中心中没有可以与特征库的，则当前网络中不存在网络攻击，若有与之相匹配的，则说明出现该网路攻击，需要立刻发出警报并作出相应措施。
46.在一些实施例的一些可选的实现方式中，将流量特征数据与特征数据库中的特征类别进行匹配，确定流量特征数据对应的特征类别，包括： 随机确定多个聚类中心，其中，聚类中心与特征类别一一对应，基于聚类中心对流量特征数据进行迭代计算，确定流量特征数据对应的特征类别。
47.在实际应用中，本发明特别提出采用k-means聚类算法进行入侵检测，d代表嗅探到的网络流量包经网络流量分析模块得到的数据特征数据集，具体流程如下：
48.（1）初始化：随机选择k个聚类中心，
49.（2）迭代计算：重复执行以下操作，直到聚类中心不再发生变化或达到最大迭代次数：
50.a)分配聚类：对于每个数据集中的特征参数，计算其与每个聚类中心特征参数的距离：(4)
51.b)更新聚类中心：对于每个聚类，计算其中所有数据点的均值，更新聚类中心： (5)
52.其中，表示第j个聚类中包含的所有数据点，表示聚类中数据点的数量。
53.例如，数据特征库中共有如表1所示的5类攻击手段，那么k设置为6。聚类分析的结果如图4所示。实际聚类分析的维度与数字特征的总数有关，应为9维，这里为了方便演示，简化为2维。分析结果表明，网络中除了正常流量包之外，存在大量的ddos攻击数据包。
54.本公开实施例将k-means聚类算法用于网络攻击检测和网络攻击手段分类，可以自动化的检测和分类网络攻击，减少人力资源的投入，同时k-means聚类算法可以同时对大量的网络数据包进行分类，处理速度快且可以支持大规模高复杂度的网络环境下的入侵检测，这是目前大多数ids系统都无法实现的。
55.步骤s203，在判别结果为网络攻击的情况下，确定流量特征数据对应的安全规则，并执行安全规则。
56.在一些实施例中，上述执行主体可以在判别结果为网络攻击的情况下，根据特征类别的标识从数据对应表中确定流量特征数据对应的安全规则。
57.沿用上例，数据特征库中共有如表1所示的5类攻击手段，那么k设置为6。实际聚类分析的维度与数字特征的总数有关，应为9维，这里为了方便演示，简化为2维。分析结果表明，网络中除了正常流量包之外，存在大量的ddos攻击数据包。因此，此时应该发出存在ddos攻击的警报，采取相应的防御措施，如屏蔽未经请求发送的dns响应信息，丢弃快速重传数据包等，以保障工业生产网络的稳定。
58.在一些实施例的一些可选的实现方式中，在确定流量特征数据对应的安全规则之后，还包括：根据判别结果对特征数据库中的特征类别对应的阈值进行平滑处理。
59.在实际应用中，网络攻击特征库的自适应调整：网络攻击特征库中包含多项数据特征，本发明网络攻击的探测与识别主要依赖于这些数据特征。考虑到不同的工业生产6下，网络的流量，流速，访问频次等关键判别参数各不一致，如果不进行动态调节的话会极大的降低网络攻击的检测成功率，因此本发明创新性的提出了特征库的自适应反馈调节算法，会根据具体生产活动中网络数据包的分析结果以及聚类结果对数据库的参数阈值进行平滑处理，如公式(6)所示(6)
60.其中，表示t时刻的特征指标，表示t时刻该特征指标的聚类分析结果，是平滑因子。
61.例如，在完成对本次ddos攻击的检测与反制之后，我们得到了当前网络的ddos攻
击的数据包数据特征及其聚类结果，本步骤将利用这些信息对如表1所示的数据特征库进行迭代更新，以使其可以适应当前网络环境，提高检测成功率。现以流量这一数字特征为例，说明特征库自适应调整的流程：根据对本次ddos攻击的聚类分析结果，本网络在遭遇ddos攻击时的流量约为962mb，而表1中的判别阈值为1000mb，若继续以此阈值作为判别依据，显然与本地网络的实际情况存在出入，因此需要对该特征指标进行迭代更新，如公式(7)所示，迭代后的结果为988.6mb，在数据库中更新这一指标。
62.(7)
63.其中，为新的ddos攻击流量判别阈值，为旧的ddos攻击流量判别阈值，为平滑因子，这里取0.3，为本次ddos攻击的流量。
64.本公开实施例的网络攻击特征库的自适应调整可以实时的对新网络攻击手段进行分析和处理，并调整特征库的参数和配置，以提高检测和防御的效果。同时传统的特征库可能会产生误报，导致误判正常流量或行为。而自适应调整可以根据实际工业生产6实时自动调整特征库的参数和配置，减少误报率，提高检测效率，具有很好的适应性。
65.本公开实施例与现有技术相比存在的有益效果是：首先，获取目标流量数据，对目标流量数据进行分析，确定流量特征数据；然后，基于聚类算法对流量特征数据进行判别，确定判别结果，其中，聚类算法的判别结果基于特征数据库中的特征类别，特征数据库基于历史流量数据生成；最后，在判别结果为网络攻击的情况下，确定流量特征数据对应的安全规则，并执行安全规则。本公开提供的安全检测方法通过获取目标流量数据，对目标流量数据进行分析，确定流量特征数据，基于聚类算法对流量特征数据进行判别，确定判别结果，在判别结果为网络攻击的情况下，确定流量特征数据对应的安全规则，并执行安全规则，提高了识别准确率，也提高了网络安全性能，更好的保护系统和数据的安全。
66.上述所有可选技术方案，可以采用任意结合形成本技术的可选实施例，在此不再一一赘述。
67.下述为本公开装置实施例，可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节，请参照本公开方法实施例。
68.图5是根据本公开的安全检测装置的一些实施例的结构示意图。如图5所示，该安全检测装置包括：数据确定单元501、数据判别单元502和规则执行单元503。其中，数据确定单元501，被配置成获取目标流量数据，对上述目标流量数据进行分析，确定流量特征数据；数据判别单元502，被配置成基于聚类算法对上述流量特征数据进行判别，确定判别结果；其中，上述聚类算法的判别结果基于特征数据库中的特征类别，上述特征数据库基于历史流量数据生成；规则执行单元503，被配置成在上述判别结果为网络攻击的情况下，确定上述流量特征数据对应的安全规则，并执行上述安全规则。
69.在一些实施例的一些可选的实现方式中，安全检测装置的数据确定单元501被进一步配置成：通过网络嗅探模块抓取上述目标流量数据；对上述目标流量数据进行签名检测、行为检测和流量统计分析，得到目标信息；根据上述目标信息确定流量特征数据。
70.在一些实施例的一些可选的实现方式中，安全检测装置的数据判别单元502被进一步配置成：将上述流量特征数据输入基于聚类算法的网络模型中，将上述流量特征数据与上述特征数据库中的特征类别进行匹配，确定上述流量特征数据对应的特征类别；根据
上述流量特征数据对应的特征类别确定判别结果。
71.在一些实施例的一些可选的实现方式中，上述流量特征数据与上述特征数据库中的特征类别进行匹配，确定上述流量特征数据对应的特征类别，包括：随机确定多个聚类中心；其中，上述聚类中心与上述特征类别一一对应；基于上述聚类中心对上述流量特征数据进行迭代计算，确定上述流量特征数据对应的特征类别。
72.在一些实施例的一些可选的实现方式中，安全检测装置的规则执行单元503被进一步配置成：在上述判别结果为网络攻击的情况下，根据上述特征类别的标识从数据对应表中确定上述流量特征数据对应的安全规则。
73.在一些实施例的一些可选的实现方式中，安全检测装置被进一步配置成：根据上述判别结果对上述特征数据库中的特征类别对应的阈值进行平滑处理。
74.在一些实施例的一些可选的实现方式中，安全检测装置被进一步配置成：根据历史流量特征数据构建数据特征库；上述根据上述历史流量特征数据构建数据特征库包括：通过网络流量分析模块对上述历史流量特征数据进行分析，得到至少一种特征值；根据上述至少一种特征值构建上述数据特征库。。
75.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本公开实施例的实施过程构成任何限定。
76.图6是本公开实施例提供的计算机设备6的示意图。如图6所示，该实施例的计算机设备6包括：处理器601、存储器602以及存储在该存储器602中并且可以在处理器601上运行的计算机程序603。处理器601执行计算机程序603时实现上述各个方法实施例中的步骤。或者，处理器601执行计算机程序603时实现上述各装置实施例中各模块/单元的功能。
77.示例性地，计算机程序603可以被分割成一个或多个模块/单元，一个或多个模块/单元被存储在存储器602中，并由处理器601执行，以完成本公开。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述计算机程序603在计算机设备6中的执行过程。
78.计算机设备6可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算机设备。计算机设备6可以包括但不仅限于处理器601和存储器602。本领域技术人员可以理解，图6仅仅是计算机设备6的示例，并不构成对计算机设备6的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如，计算机设备还可以包括输入输出设备、网络接入设备、总线等。
79.处理器601可以是中央处理单元（central processing unit，cpu），也可以是其它通用处理器、数字信号处理器（digital signal processor，dsp）、专用集成电路（application specific integrated circuit，asic）、现场可编程门阵列（field-programmable gate array，fpga）或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
80.存储器602可以是计算机设备6的内部存储单元，例如，计算机设备6的硬盘或内存。存储器602也可以是计算机设备6的外部存储设备，例如，计算机设备6上配备的插接式硬盘，智能存储卡（smart media card，smc），安全数字（secure digital，sd）卡，闪存卡
（flash card）等。进一步地，存储器602还可以既包括计算机设备6的内部存储单元也包括外部存储设备。存储器602用于存储计算机程序以及计算机设备所需的其它程序和数据。存储器602还可以用于暂时地存储已经输出或者将要输出的数据。
81.所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本技术的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
82.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。
83.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本公开的范围。
84.在本公开所提供的实施例中，应该理解到，所揭露的装置/计算机设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/计算机设备实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。
85.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
86.另外，在本公开各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
87.集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本公开实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，计算机程序可以存储在计算机可读存储介质中，该计算机程序在被处理器执行时，可以实现上述各个方法实施例的步骤。计算机程序可以包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器（read-only memory，rom）、随机存取存储器（random access memory，ram）、电载波信号、电信信号以及软件分发介质等。需要说明的是，计算机可读介质包含的内容可以根据司
法管辖区内立法和专利实践的要求进行适当的增减，例如，在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。
88.以上实施例仅用以说明本公开的技术方案，而非对其限制；尽管参照前述实施例对本公开进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本公开各实施例技术方案的精神和范围，均应包含在本公开的保护范围之内。

技术特征：
1.一种安全检测方法，其特征在于，包括：获取目标流量数据，对所述目标流量数据进行分析，确定流量特征数据；基于聚类算法对所述流量特征数据进行判别，确定判别结果；其中，所述聚类算法的判别结果基于特征数据库中的特征类别，所述特征数据库基于历史流量数据生成；在所述判别结果为网络攻击的情况下，确定所述流量特征数据对应的安全规则，并执行所述安全规则。2.根据权利要求1所述的安全检测方法，其特征在于，获取目标流量数据，对所述目标流量数据进行分析，确定流量特征数据，包括：通过网络嗅探模块抓取所述目标流量数据；对所述目标流量数据进行签名检测、行为检测和流量统计分析，得到目标信息；根据所述目标信息确定流量特征数据。3.根据权利要求1所述的安全检测方法，其特征在于，所述基于聚类算法对所述流量特征数据进行判别，确定判别结果，包括：将所述流量特征数据输入基于聚类算法的网络模型中，将所述流量特征数据与所述特征数据库中的特征类别进行匹配，确定所述流量特征数据对应的特征类别；根据所述流量特征数据对应的特征类别确定判别结果。4.根据权利要求3所述的安全检测方法，其特征在于，将所述流量特征数据与所述特征数据库中的特征类别进行匹配，确定所述流量特征数据对应的特征类别，包括：随机确定多个聚类中心；其中，所述聚类中心与所述特征类别一一对应；基于所述聚类中心对所述流量特征数据进行迭代计算，确定所述流量特征数据对应的特征类别。5.根据权利要求1所述的安全检测方法，其特征在于，所述在所述判别结果为网络攻击的情况下，确定所述流量特征数据对应的安全规则，包括：在所述判别结果为网络攻击的情况下，根据所述特征类别的标识从数据对应表中确定所述流量特征数据对应的安全规则。6.根据权利要求1所述的安全检测方法，其特征在于，所述方法还包括：根据所述判别结果对所述特征数据库中的特征类别对应的阈值进行平滑处理。7.根据权利要求1所述的安全检测方法，其特征在于，所述方法还包括：根据历史流量特征数据构建数据特征库；所述根据所述历史流量特征数据构建数据特征库包括；通过网络流量分析模块对所述历史流量特征数据进行分析，得到至少一种特征值；根据所述至少一种特征值构建所述数据特征库。8.一种安全检测装置，其特征在于，包括：数据确定单元，被配置成获取目标流量数据，对所述目标流量数据进行分析，确定流量特征数据；数据判别单元，被配置成基于聚类算法对所述流量特征数据进行判别，确定判别结果；其中，所述聚类算法的判别结果基于特征数据库中的特征类别，所述特征数据库基于历史流量数据生成；规则执行单元，被配置成在所述判别结果为网络攻击的情况下，确定所述流量特征数
据对应的安全规则，并执行所述安全规则。9.一种电子设备，包括存储器、处理器以及存储在所述存储器中并且可以在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述方法的步骤。10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述方法的步骤。

技术总结
本公开涉及网络安全技术领域，提供了一种安全检测方法、装置、电子设备和介质。该方法包括：获取目标流量数据，对上述目标流量数据进行分析，确定流量特征数据；基于聚类算法对上述流量特征数据进行判别，确定判别结果；其中，上述聚类算法的判别结果基于特征数据库中的特征类别，上述特征数据库基于历史流量数据生成；在上述判别结果为网络攻击的情况下，确定上述流量特征数据对应的安全规则，并执行上述安全规则。该实施方式通过上述过程，在判别结果为网络攻击的情况下，确定流量特征数据对应的安全规则，并执行安全规则，由此提高了识别准确率，也提高了网络安全性能，更好的保护系统和数据的安全。统和数据的安全。统和数据的安全。


技术研发人员：原树生
受保护的技术使用者：北京网藤科技有限公司
技术研发日：2023.06.05
技术公布日：2023/8/13