本发明专利技术公开了一种恶意流量智能检测方法、装置及存储介质,包括获取数据包样本集合,设定多个不同类型的数据属性,根据各数据包样本的标签以及对应数据属性的取值建立决策树模型,根据决策树模型确定待检测数据包属于正常流量或者属于恶意流量等步骤。本发明专利技术通过使用数据包样本建立决策树模型,能够学习数据包样本中的数据属性包含的特征信息,所得到的决策树模型具有识别待检测数据包属于恶意流量或者属于正常流量的能力,能够通过简单的判断过程,将待检测数据包分类为恶意流量或者正常流量,从而完成对恶意流量的智能快速检测,算法实现简单,对硬件设备的性能要求低,能够保障网络节点的数据传输效率。本发明专利技术广泛应用于计算机网络技术领域。算机网络技术领域。算机网络技术领域。
【技术实现步骤摘要】
恶意流量智能检测方法、装置及存储介质
[0001]本专利技术涉及计算机网络
,尤其是一种恶意流量智能检测方法、装置及存储介质。
技术介绍
[0002]随着计算机网络的广泛应用,尤其是移动网络的发展,越来越多的设备接入计算机网络,计算机网络中传输的数据流量呈现爆炸式增长,也对计算机网络以及连接到计算机网络中的设备的安全产生了影响。例如,一些设备可能会主动发出数据流量去对计算机网络或者其他设备发起攻击,一些设备可能被计算机病毒劫持,在该设备正常发送数据流量的同时发出恶意流量,对计算机网络或者其他设备发起攻击。恶意流量的存在对计算机网络的使用和发展造成了恶劣影响,甚至会对经济、交通、医疗、军事等方面的安全造成威胁。
技术实现思路
[0003]针对目前的计算机网络中存在的恶意流量,本专利技术的目的在于提供一种恶意流量智能检测方法、装置及存储介质。
[0004]一方面,本专利技术实施例包括一种恶意流量智能检测方法,包括:
[0005]获取数据包样本集合;所述数据包样本集合包括多个数据包样本,以及各所述数据包样本对应的标签;所述标签用于表示所述数据包样本属于正常流量或者属于恶意流量;
[0006]设定多个不同类型的数据属性;所述数据属性通过其取值描述所述数据包样本的属性;
[0007]根据各所述数据包样本的标签以及对应数据属性的取值,建立决策树模型;
[0008]获取待检测数据包;
[0009]根据所述决策树模型,确定待检测数据包属于正常流量或者属于恶意流量。
[0010]进一步地,所述根据各所述数据包样本的标签以及对应数据属性的取值,建立决策树模型,包括:
[0011]执行根节点选定过程,选出一个所述数据属性作为总根节点,根据作为总根节点的所述数据属性的不同具体取值,形成所述根节点的各个分支;
[0012]对所述根节点的各个分支递归执行所述根节点选定过程,从而确定各个分支各自对应的根节点;
[0013]以所述总根节点以及各个分支各自对应的根节点,组成所述决策树模型;
[0014]所述根节点选定过程包括:
[0015]确定各所述数据属性所要求的信息增益;
[0016]选出具有最大的所述信息增益的所述数据属性,作为本分支对应的根节点。
[0017]进一步地,所述确定各所述数据属性所要求的信息增益,包括:
[0018]根据总正样本数量与总负样本数量,确定总期望信息;所述总正样本数量为全部所述数据包样本中,属于正常流量的全部所述数据包样本的数量,所述总负样本数量为全部所述数据包样本中,属于恶意流量的全部所述数据包样本的数量;
[0019]根据所述总正样本数量、所述总负样本数量、分支正样本数量和分支负样本数量,确定分支期望信息;所述分支正样本数量为所述数据属性在各个具体取值下,对应的属于正常流量的所述数据包样本的数量,所述分支负样本数量为所述数据属性在各个具体取值下,对应的属于恶意流量的所述数据包样本的数量;
[0020]根据所述总期望信息与所述分支期望信息的差,确定所述信息增益。
[0021]进一步地,所述根据总正样本数量与总负样本数量,确定总期望信息,包括:
[0022]通过公式进行计算;其中,I(p,n)表示所述总期望信息,p表示所述总正样本数量,n表示所述总负样本数量。
[0023]进一步地,所述根据所述总正样本数量、所述总负样本数量、分支正样本数量和分支负样本数量,确定分支期望信息,包括:
[0024]通过公式进行计算;其中,E(A)表示数据属性A的所述分支期望信息,数据属性A的具体取值包括{A1,A2,A3,
…
A
m
},p表示所述总正样本数量,n表示所述总负样本数量,p
i
表示数据属性A的具体取值为A
i
时对应的属于正常流量的所述数据包样本的数量,n
i
表示数据属性A的具体取值为A
i
时对应的属于恶意流量的所述数据包样本的数量。
[0025]进一步地,所述设定多个不同类型的数据属性,包括:
[0026]收集通信过程中的会话信息;
[0027]根据所述会话信息,设定多个不同类型的候选数据属性;
[0028]获取各所述数据包样本的候选数据属性的具体取值;
[0029]对于每一种所述候选数据属性,确定所述候选数据属性的全部具体取值的离散系数;
[0030]以具有最大的离散系数的多个所述候选数据属性,作为所要设定的多个数据属性。
[0031]进一步地,所述收集通信过程中的会话信息和数据面信息,包括:
[0032]从5G核心网的SMF网元获取所述会话信息;
[0033]所述获取待检测数据包,包括:
[0034]从5G核心网的UPF网元获取数据面信息;
[0035]从所述数据面信息解析出所述待检测数据包。
[0036]进一步地,所述恶意流量智能检测方法还包括:
[0037]对于被确定为属于恶意流量的所述待检测数据包,确定所述待检测数据包的数据来源;
[0038]接收所述数据来源发出的数据包;
[0039]将所述数据来源发出的数据包标记为属于恶意流量;
[0040]将所述数据来源发出的数据包作为数据包样本,加入所述数据包样本集合。
[0041]另一方面,本专利技术实施例还包括一种计算机装置,包括存储器和处理器,所述存储器用于存储至少一个程序,所述处理器用于加载所述至少一个程序以执行实施例中的恶意流量智能检测方法。
[0042]另一方面,本专利技术实施例还包括一种存储介质,其中存储有处理器可执行的程序,所述处理器可执行的程序在由处理器执行时用于执行实施例中的恶意流量智能检测方法。
[0043]本专利技术的有益效果是:实施例中的恶意流量智能检测方法,通过使用数据包样本建立决策树模型,能够学习数据包样本中的数据属性包含的特征信息,所得到的决策树模型具有识别待检测数据包属于恶意流量或者属于正常流量的能力,能够通过简单的判断过程,将待检测数据包分类为恶意流量或者正常流量,从而完成对恶意流量的智能快速检测;实施例中的恶意流量智能检测方法的算法实现简单,对执行各步骤的硬件设备的性能要求低,能够应用于各种网络节点中对接收或者转发的网络流量数据包进行分析,由于对网络节点的性能耗用少,能够降低对网络节点接收或者转发的网络流量数据包的影响,保障网络节点的数据传输效率。
附图说明
[0044]图1为实施例中恶意流量智能检测方法的流程图;
[0045]图2为实施例中获取会话信息和数据面信息的流程图;
[0046]图3为实施例中的决策树模型的原理图。
具体实施方式
[0047]本实施例中,参照图1,恶意流量智能检测方法包括以下步骤:
[0048]S1.获取数据包样本集合;
[0049]S2.设定多个不同类型的数据属本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意流量智能检测方法,其特征在于,所述基恶意流量智能检测方法包括:获取数据包样本集合;所述数据包样本集合包括多个数据包样本,以及各所述数据包样本对应的标签;所述标签用于表示所述数据包样本属于正常流量或者属于恶意流量;设定多个不同类型的数据属性;所述数据属性通过其取值描述所述数据包样本的属性;根据各所述数据包样本的标签以及对应数据属性的取值,建立决策树模型;获取待检测数据包;根据所述决策树模型,确定待检测数据包属于正常流量或者属于恶意流量。2.根据权利要求1所述的恶意流量智能检测方法,其特征在于,所述根据各所述数据包样本的标签以及对应数据属性的取值,建立决策树模型,包括:执行根节点选定过程,选出一个所述数据属性作为总根节点,根据作为总根节点的所述数据属性的不同具体取值,形成所述根节点的各个分支;对所述根节点的各个分支递归执行所述根节点选定过程,从而确定各个分支各自对应的根节点;以所述总根节点以及各个分支各自对应的根节点,组成所述决策树模型;所述根节点选定过程包括:确定各所述数据属性所要求的信息增益;选出具有最大的所述信息增益的所述数据属性,作为本分支对应的根节点。3.根据权利要求2所述的恶意流量智能检测方法,其特征在于,所述确定各所述数据属性所要求的信息增益,包括:根据总正样本数量与总负样本数量,确定总期望信息;所述总正样本数量为全部所述数据包样本中,属于正常流量的全部所述数据包样本的数量,所述总负样本数量为全部所述数据包样本中,属于恶意流量的全部所述数据包样本的数量;根据所述总正样本数量、所述总负样本数量、分支正样本数量和分支负样本数量,确定分支期望信息;所述分支正样本数量为所述数据属性在各个具体取值下,对应的属于正常流量的所述数据包样本的数量,所述分支负样本数量为所述数据属性在各个具体取值下,对应的属于恶意流量的所述数据包样本的数量;根据所述总期望信息与所述分支期望信息的差,确定所述信息增益。4.根据权利要求3所述的恶意流量智能检测方法,其特征在于,所述根据总正样本数量与总负样本数量,确定总期望信息,包括:通过公式进行计算;其中,I(p,n)表示所述总期望信息,p表示所述总正样本数量,n表示所述总负样本数量。5.根据权利要求3或4所述的恶意流量智能检测方法,其特征在于,所述根据所...
【专利技术属性】
技术研发人员:王丹,吕东,
申请(专利权)人:广州爱浦路网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。