恶意流量检测方法、装置、存储介质及电子设备制造方法及图纸

本申请实施例公开了一种恶意流量检测方法、装置、存储介质及电子设备，其中，方法包括：监测当前网络环境下的网络流量，从所述网络流量中提取待检测的网络流量摘要，基于所述网络流量摘要确定针对所述网络流量的至少一个网络维度的网络流量特征，将所述网络流量特征输入至流量识别模型，得到所述网络流量对应的流量识别结果。采用本申请实施例，可以提高恶意流量检测的准确性、时效性以及覆盖广度。时效性以及覆盖广度。时效性以及覆盖广度。

【技术实现步骤摘要】
恶意流量检测方法、装置、存储介质及电子设备


[0001]本申请涉及计算机
，尤其涉及一种恶意流量检测方法、装置、存储介质及电子设备。

技术介绍

[0002]随着社会的发展以及互联网技术的进步，网络安全问题越来越重视。恶意流量攻击检测问题在网络安全运营中日渐突出。
[0003]目前恶意流量通常以未经许可的方式对网络(尤其是家庭网络)进行侵入、攻击以及干扰。具体的，恶意流量在网络蠕虫、木马、后门等传统恶意代码形态的基础上发展并融合，从而产生一种复合攻击方式，也即僵尸网络。其中，僵尸网络可以发送垃圾邮件、窃取用户隐私信息以及分布式拒绝服务(Distributed Denial of Service，DDoS)攻击等网络恶意行为。为了有效拦截网络恶意行为，对恶意流量进行检测尤其重要。

技术实现思路

[0004]本申请实施例提供了一种恶意流量检测方法、装置、存储介质及电子设备，可以提高恶意流量检测的准确性、时效性以及覆盖广度。所述技术方案如下：
[0005]第一方面，本申请实施例提供了一种恶意流量检测方法，所述方法包括：
[0006]监测当前网络环境下的网络流量，从所述网络流量中提取待检测的网络流量摘要；
[0007]基于所述网络流量摘要确定针对所述网络流量的至少一个网络维度的网络流量特征；
[0008]将所述网络流量特征输入至流量识别模型，得到所述网络流量对应的流量识别结果。
[0009]第二方面，本申请实施例提供了一种恶意流量检测装置，所述装置包括：r/>[0010]摘要提取模块，用于监测当前网络环境下的网络流量，从所述网络流量中提取待检测的网络流量摘要；
[0011]特征确定模块，用于基于所述网络流量摘要确定针对所述网络流量的至少一个网络维度的网络流量特征；
[0012]识别结果模块，用于将所述网络流量特征输入至流量识别模型，得到所述网络流量对应的流量识别结果。
[0013]第三方面，本申请实施例提供一种计算机存储介质，所述计算机存储介质存储有多条指令，所述指令适于由处理器加载并执行上述的方法步骤。
[0014]第四方面，本申请实施例提供一种电子设备，可包括：处理器和存储器；其中，所述存储器存储有计算机程序，所述计算机程序适于由所述处理器加载并执行上述的方法步骤。
[0015]本申请一些实施例提供的技术方案带来的有益效果至少包括：
[0016]在本申请一个或多个实施例中，监测当前网络环境下的网络流量，从所述网络流量中提取待检测的网络流量摘要，基于所述网络流量摘要确定针对所述网络流量的至少一个网络维度的网络流量特征，将所述网络流量特征输入至流量识别模型，得到所述网络流量对应的流量识别结果。其中，通过提取网络流量中待检测的网络流量摘要，可以在不丢失具有区分度的网络流量特征的前提下，简化对网络流量的预处理，同时提高网络流量特征的提取效率。此外，通过流量识别模型对网络流量进行识别，可以提高恶意流量检测的准确性、时效性以及覆盖广度。
附图说明
[0017]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0018]图1是本申请实施例提供的一种恶意流量检测方法的流程示意图；
[0019]图2是本申请实施例提供的另一种恶意流量检测方法的流程示意图；
[0020]图3是本申请实施例提供的另一种恶意流量检测方法的流程示意图；
[0021]图4是本申请实施例提供的另一种恶意流量检测方法的举例示意图；
[0022]图5是本申请实施例提供的一种恶意流量检测装置的结构示意图；
[0023]图6是本申请实施例提供的一种特征确定模块的结构示意图；
[0024]图7是本申请实施例提供的一种连接特征提取单元的结构示意图；
[0025]图8是本申请实施例提供的一种协议特征提取单元的结构示意图；
[0026]图9是本申请实施例提供的一种词特征提取单元的结构示意图；
[0027]图10是本申请实施例提供的另一种恶意流量检测装置的结构示意图；
[0028]图11是本申请实施例提供的一种电子设备的结构示意图；
[0029]图12是本申请实施例提供的操作系统和用户空间的结构示意图
[0030]图13是本申请实施例提供的一种Android系统操作系统的架构图；
[0031]图14是本申请实施例提供的一种IOS操作系统的架构图。
具体实施方式
[0032]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0033]在本申请的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本申请的描述中，需要说明的是，除非另有明确的规定和限定，“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本申请
中的具体含义。此外，在本申请的描述中，除非另有说明，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
[0034]在相关技术中，恶意流量检测方法通常是提取现有的恶意流量样本中具有区分度的流量特征，并将该流量特征作为流量检测依据记录至规则库中。在对当前网络流量进行检测时，将当前网络流量的流量特征与规则库中的流量特征进行比对，从而确定当前网络流量是否为恶意流量。然而，将识别到的恶意流量中的流量特征作为流量检测判别的依据，不仅造成流量检测的时效性低以及覆盖范围小，还受到规则库的流量特征容量的限制，使得难以对恶意流量样本的具有区分度的流量特征进行完整的记录，从而导致无法准确地检测恶意流量。
[0035]根据一些实施例，本申请提供的恶意流量检测方法可以解决上述一个或者多个问题。
[0036]下面结合具体的实施例对本申请进行详细说明。
[0037]在一个实施例中，如图1所示，特提出了一种恶意流量检测方法，该方法可依赖于计算机程序实现，可运行于基于冯诺依曼体系的恶意流量检测装置上。该计算机程序可集成在应用中，也可作为独立的工具类应用运行。所述恶意流本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意流量检测方法，其特征在于，所述方法包括：监测当前网络环境下的网络流量，从所述网络流量中提取待检测的网络流量摘要；基于所述网络流量摘要确定针对所述网络流量的至少一个网络维度的网络流量特征；将所述网络流量特征输入至流量识别模型，得到所述网络流量对应的流量识别结果。2.根据权利要求1所述的方法，其特征在于，所述基于所述网络流量摘要确定针对所述网络流量的至少一个网络维度的网络流量特征，包括S202、S203及S204中至少一种：S202，基于至少一个网络元组数据对所述网络流量摘要进行连接维度特征提取，得到网络连接特征；其中，所述网络元组数据包括网络四元组、网络五元组以及网络七元组中的至少一种；S203，基于至少一种网络传输协议对所述网络流量摘要进行协议维度特征提取，得到网络协议特征；S204，基于预设的词表以及逆文本频率表对所述网络流量摘要进行词维度特征提取，得到网络词特征。3.根据权利要求2所述的方法，其特征在于，所述基于至少一个网络元组数据对所述网络流量摘要进行连接维度特征提取，得到网络连接特征，包括：按照所述网络元组数据对应的各连接元素进行组合聚类处理，得到各连接元素组合对应的分类数量；所述连接元素组合由所述网络四元组对应的至少一个连接元素构成；对所述网络流量摘要中与各所述连接元素组合对应的分类数量进行分类特征值计算，生成由所述分类特征值构成的网络连接特征；其中，所述网络元组数据为网络四元组，所述网络四元组的连接元素包括源IP地址、源端口，目的IP地址以及目的端口。4.根据权利要求2所述的方法，其特征在于，所述基于至少一种网络传输协议对所述网络流量摘要进行协议维度特征提取，得到网络协议特征，包括S2031、S2032及S2033中至少一种：所述网络协议特征包括所述存在性特征、属性数值特征以及异常数值特征中至少一种；S2031，基于至少一种网络传输协议，对所述网络流量摘要进行传输协议类型判决处理，在所述网络流量摘要中确定各所述网络传输协议对应的所述存在性特征；S2032，在所述网络流量摘要中，确定各所述网络传输协议对应的协议数据的流量属性参数，基于所述流量属性参数生成所述属性数值特征；S2033，在所述网络流量摘要中对预设网络传输协议的协议数据进行异常数据包识别处理，生成所述异常数值特征。5.根据权利要求2所述的方法，其特征在于，所述基于预设的词表以及逆文本频率表对所述网络流量摘要进行词维度特征提取，得到网络词特征，包括：基于所述网络流量摘要确定网络词特征数据，所述网络词特征数据包括目的端口特征数据以及网络地址特征数据；基于所述词表以及所述逆文本频率表，对所述网络词特征数据进行词频统计处理，得到高维词频特征；所述高维词频特征由所述目的端口特征数据对应的第一词频特征和所述网络地址特征数据对应的第二词频特征构成；
对所述高维词频特征进行降维生成低维词频矩阵，并基于所述低维词频矩阵确定网络词特征。6.根据权利要求5所述的方法，其特征在于，所述基于所述词表以及所述逆文本频率表，对所述网络词特征数据进行词频统计处理，得到高维词频特征；所述高维词频特征由所述目的端口特征数据对应的第一词频特征和所述网络地址特征数据对应的第二词频特征构成，包括：所述词表包括端口词表和地址词表，所述逆文本频率表包括逆端口频率表和逆地址频率表；基于所述目的端口特征数据对应的端口聚类数量、所述端口词表以及所述逆端口频率表，采用预设词频算法计算所述目的端口特征数据对应的第一词文本频率值，将所述第一词文本频率值作为第一词频特征；以及基于所述网络地址特征数据对应的单词聚类数量、所述地址词表以及所述逆地址频率表，采用预设词频算法计算所述网络地址特征数据对应的第二词文本频率值，将所述第二词文本频率值作为第二词频特征。7....

【专利技术属性】
技术研发人员：潘宣辰，罗佳，董超，
申请(专利权)人：武汉安天信息技术有限责任公司，
类型：发明
国别省市：