【技术实现步骤摘要】
恶意流量识别方法、装置、电子设备及存储介质
本专利技术涉及网络安全
,尤其涉及一种恶意流量识别方法、装置、电子设备及存储介质。
技术介绍
深度包检测除了对协议类型、源地址、目的地址、源端口和目的端口等进行解析外,还需要对应用层载荷的分析和识别。当数据经过检测点(如防火墙)时,对数据包的载荷部分进行检测,试图检测该数据包足否与应用协议标识匹配,是否包含病毒、垃圾信息、或恶意代码,据此决定数据包是允许通过、丢弃还是转发,并记录信息留作统计。现有的深度包检测包括端口识别法、字符串匹配法、数值属性法、行为和启发式方法,但都是基于逐包检测、模式匹配,对于网络设备的性能提出很高的要求,对检测设备的处理能力要求较高,并且由于应用层协议的复杂多样,导致系统硬件的处理能力也在很大程度上影响该技术的效果;现有的BM字符串搜索算法(Boyer-Moore字符串搜索算法)中,在模式串移动过程中,有的字符可能已经进行了一次比较,而进入字符比较过程又会再进行一次比较,这样就出现了没必要的重复,降低了算法的性能。因此,如何提出一种能...
【技术保护点】
1.一种恶意流量识别方法,其特征在于,包括:/n获取待识别流的有效载荷;/n通过分类器的公共识别部分对所述有效载荷进行识别,确定所述待识别流的目标类型为所述公共识别部分中识别成功的第一关键字对应的恶意聚类流对应的类型,以确定所述待识别流对应的特定识别部分,其中,所述公共识别部分包括至少一个第一关键字,所述第一关键字是其对应的已知类型的恶意聚类流中首次出现的关键字,每一个所述恶意聚类流对应所述分类器中的一个特定识别部分;/n通过分类器中所述待识别流对应的特定识别部分对所述有效载荷进行识别,确定所述待识别流的类型为所述目标类型,其中,所述待识别流对应的特定识别部分包括至少一个特...
【技术特征摘要】
1.一种恶意流量识别方法,其特征在于,包括:
获取待识别流的有效载荷;
通过分类器的公共识别部分对所述有效载荷进行识别,确定所述待识别流的目标类型为所述公共识别部分中识别成功的第一关键字对应的恶意聚类流对应的类型,以确定所述待识别流对应的特定识别部分,其中,所述公共识别部分包括至少一个第一关键字,所述第一关键字是其对应的已知类型的恶意聚类流中首次出现的关键字,每一个所述恶意聚类流对应所述分类器中的一个特定识别部分;
通过分类器中所述待识别流对应的特定识别部分对所述有效载荷进行识别,确定所述待识别流的类型为所述目标类型,其中,所述待识别流对应的特定识别部分包括至少一个特定关键字,所述特定关键字是所述目标类型对应的恶意聚类流中非首次出现的关键字。
2.根据权利要求1所述的恶意流量识别方法,其特征在于,所述通过分类器的公共识别部分对所述有效载荷进行识别,包括:
获取所述分类器的公共识别部分中的第一关键字及各第一关键字分别对应的字节偏移范围;
对于每一个第一关键字,将其与所述有效载荷的公共输入部分的字节偏移范围内的字节,进行匹配,确定匹配成功的第一关键字对应的恶意聚类流的类型为所述目标类型,所述公共输入部分的字节偏移范围根据所述第一关键字对应的字节偏移范围确定,所述有效载荷的公共输入部分根据所述分类器中公共识别部分的所有关键字的最大偏移与最小偏移确定。
3.根据权利要求1所述的恶意流量识别方法,其特征在于,所述通过分类器中所述待识别流对应的特定识别部分对所述有效载荷进行识别,包括:
获取所述待识别流对应的特定识别部分的特定关键字及各特定关键字分别对应的字节偏移范围;
按照所述特定关键字在所述特定识别部分中的排列顺序,依次对每一个特定关键字,与所述有效载荷的剩余输入部分的字节偏移范围内的字节,进行匹配,所述字节偏移范围根据所述特定关键字对应的字节偏移范围确定。
4.根据权利要求1所述的恶意流量识别方法,其特征在于,所述通过分类器的公共识别部分对所述有效载荷进行识别之前,包括:
获取恶意流样本;
对所述恶意流样本进行流重建;
在所述流重建后的恶意流样本中获取至少一个已知类型的所述恶意聚类流;
基于所述恶意聚类流的第一关键字和特定关键字生成分类器。
5.根据权利要求4所述的恶意流量识别方法,其特征在于,所述基于所述恶意聚类流的第一关键字和特定关键字生成分类器,包...
【专利技术属性】
技术研发人员:关建峰,刘杨,许长桥,许翔轩,张婉澂,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。