本申请提供了一种流量识别方法及装置。该方法为:从待识别流量中提取出流量特征;利用异常流量识别模型对所述流量特征进行识别处理,确定所述待识别流量属于异常流量的置信度;若所述置信度大于设定置信度阈值,则确定所述待识别流量为异常流量;其中,所述异常流量识别模型为采用正流量样本和负流量样本训练得到的,且正流量样本的数量为负流量样本的数量的设定倍数。由此提升了异常流量的识别速度和识别结果的准确度。度和识别结果的准确度。度和识别结果的准确度。
【技术实现步骤摘要】
一种流量识别方法及装置
[0001]本申请涉及数据处理
,尤其涉及一种流量识别方法及装置。
技术介绍
[0002]随着互联网技术的快速发展,互联网技术已经渗透到我们生活的各个方面,为我们的生活提供了巨大的便利,随之而来的是网络安全的问题。异常流量就是常见的威胁之一,异常流量通过对网络设备进行扫描,发现可以利用的漏洞,复制传播病毒,并对网络设备发起攻击,可以使整个网络系统瘫痪,危害巨大,如何有效低检测异常流量,是阻止异常流量的重要前提。
[0003]目前在进行异常流量识别时,一般是认为定义正常流量特征,然后将待判断的流量与正常流量特征进行比对,但是该方法也是需要手动进行流量比较,不仅效率低而且误差比较大。
[0004]因此,如何提升异常流量的识别速度和识别结果的准确度是值得考虑的技术问题之一。
技术实现思路
[0005]有鉴于此,本申请提供一种流量识别方法及装置,用以提升异常流量的识别速度和识别结果的准确度。
[0006]具体地,本申请是通过如下技术方案实现的:
[0007]根据本申请的第一方面,提供一种流量识别方法,包括:
[0008]从待识别流量中提取出流量特征;
[0009]利用异常流量识别模型对所述流量特征进行识别处理,确定所述待识别流量属于异常流量的置信度;
[0010]若所述置信度大于设定置信度阈值,则确定所述待识别流量为异常流量;
[0011]其中,所述异常流量识别模型为采用正流量样本和负流量样本训练得到的,且正流量样本的数量为负流量样本的数量的设定倍数。
[0012]根据本申请的第二方面,提供一种流量识别装置,包括:
[0013]提取模块,用于从待识别流量中提取出流量特征;
[0014]识别模块,用于利用异常流量识别模型对所述流量特征进行识别处理,确定所述待识别流量属于异常流量的置信度;
[0015]确定模块,用于若所述置信度大于设定置信度阈值,则确定所述待识别流量为异常流量;
[0016]其中,所述异常流量识别模型为采用正流量样本和负流量样本训练得到的,且正流量样本的数量为负流量样本的数量的设定倍数。
[0017]根据本申请的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本
申请实施例第一方面所提供的方法。
[0018]根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
[0019]本申请实施例的有益效果:
[0020]本申请实施例提供的流量识别方法及装置中,从待识别流量中提取出流量特征;利用异常流量识别模型对所述流量特征进行识别处理,确定所述待识别流量属于异常流量的置信度;若所述置信度大于设定置信度阈值,则确定所述待识别流量为异常流量。由此不仅提升了流量的识别速度,而且保证了异常流量识别的准确度。此外,本申请中的异常流量识别模型为采用正流量样本和负流量样本训练得到的,且正流量样本的数量为负流量样本的数量的设定倍数,由此避免了利用异常流量识别模型识别正常流量的误识别,同时也保证了异常流量的识别结果的准确度。
附图说明
[0021]图1是本申请实施例提供的一种流量识别方法的流程示意图;
[0022]图2是本申请实施例提供的一种流量识别装置的结构示意图;
[0023]图3是本申请实施例提供的一种实施流量识别方法的电子设备的硬件结构示意图。
具体实施方式
[0024]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
[0025]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
[0026]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0027]下面对本申请提供的流量识别方法进行详细地说明。
[0028]参见图1,图1是本申请提供的一种流量识别方法的流程图,该方法可以应用于防火墙等网络安全设备中,也可以应用于与网络安全设备连接的检测设备中,为了方便描述,后续以将该方法应用于检测设备中为例进行说明。检测设备实施该方法时,可包括如下所示步骤:
[0029]S101、从待识别流量中提取出流量特征。
[0030]本步骤中,检测设备会从网络安全设备中采集原始数据,然后就可以从原始数据中提取出流量数据,该流量数据可以记为上述待识别流量。然后检测设备就可以从待识别流量中提取出流量特征。
[0031]可选地,从上述待识别流量中提取出的流量特征可以但限于包括时间、协议类型、应用类型、上行流量、下行流量、上行报文数、下行报文数等等。例如可以参考表1所示:
[0032]表1
[0033][0034]S102、利用异常流量识别模型对所述流量特征进行识别处理,确定所述待识别流量属于异常流量的置信度。
[0035]本步骤中,本申请预先训练得到了异常流量识别模型,在解析出流量特征后,就可以将流量特征输入到异常流量识别模型中,从而该流量识别模型就可以输出置信度,该置信度表征待识别流量属于异常流量的置信度。
[0036]具体来说,在将流量特征输入到异常流量识别模型时,可以将该流量特征构成流量特征向量,然后将该流量特征向量输入至异常流量识别模型中。这样,异常流量识别模型内部就可以对该流量特征向量进行处理,从而计算得到该流量特征向量属于异常流量这一分类的置信度。
[0037]S103、若所述置信度大于设定置信度阈值,则确定所述待识别流量为异常流量。
[0038]其中,上述异常流量识别模型为采用正流量样本和负流量样本训练得到的,且正流量样本的数量为负流量样本的数量的设定倍数。需要说明的是,正流量样本为基于正常流量确定出的,负流量样本为基于异常流量确定出的。正流量样本也可以记为正常流量样本;负流量样本可以记为异常流量样本。
[0039]本步骤中,当输出的异常流量分类下的置信度大于设定置信度阈值时,表明待本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种流量识别方法,其特征在于,包括:从待识别流量中提取出流量特征;利用异常流量识别模型对所述流量特征进行识别处理,确定所述待识别流量属于异常流量的置信度;若所述置信度大于设定置信度阈值,则确定所述待识别流量为异常流量;其中,所述异常流量识别模型为采用正流量样本和负流量样本训练得到的,且正流量样本的数量为负流量样本的数量的设定倍数。2.根据权利要求1所述的方法,其特征在于,按照下述方法分别确定正流量样本和负流量样本:获取流量数据集,所述流量数据集包括正常流量和异常流量;根据特征解析规则,从所述正常流量中解析出用于识别正常流量的第一流量特征,并从所述异常流量中解析出用于识别异常流量的第二流量特征;根据解析出的各第一流量特征确定所述正流量样本;根据解析出的各第二流量特征确定所述负流量样本。3.根据权利要求2所述的方法,其特征在于,根据解析出的各第一流量特征确定所述正流量样本,包括:根据每个第一流量特征的重要程度,从各第一流量特征中选取与所述重要程度相匹配的第一数量的第一目标流量特征;将选取出的第一目标流量特征构成所述正流量样本。4.根据权利要求2所述的方法,其特征在于,根据解析出的各第二流量特征确定所述负流量样本,包括:根据每个第二流量特征的重要程度,从各第二流量特征中选取与所述重要程度相匹配的第二数量的第二目标流量特征;将选取出的第二目标流量特征构成所述负流量样本。5.根据权利要求1所述的方法,其特征在于,按照下述方法训练得到所述异常流量识别模型:按照等比例和/或等间隔原则分别抽样选取正流量样本和负流量样本;根据抽取到的正流量样本和负流量样本,训练支持向量机分类模型,得到所述异常流量识别模型。6.一种流量识别装置,其特...
【专利技术属性】
技术研发人员:孙尚勇,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。