本发明专利技术实施例适用于计算机技术领域,提供了一种流量检测方法、装置、电子设备及存储介质,其中,流量检测方法包括:确定第一业务流量对应的业务类型;基于业务类型对应的至少两个业务模型对第一业务流量进行异常检测,得到至少两个业务模型中的各个业务模型输出的检测结果;其中,至少两个业务模型基于正常业务流量训练得到,至少两个业务模型中的每个业务模型用于检测第一业务流量的一种类型的流量特征;基于至少两个业务模型输出的检测结果,确定第一业务流量是否为异常业务流量。定第一业务流量是否为异常业务流量。定第一业务流量是否为异常业务流量。
【技术实现步骤摘要】
一种流量检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种流量检测方法、装置、电子设备及存储介质。
技术介绍
[0002]相关技术在对网络流量进行攻击检测时,通常是基于规则引擎对流量进行检测,通过提取流量中的特征,与规则引擎中的异常规则进行匹配。但是规则引擎中固定的异常规则容易被攻击者灵活的攻击手段绕过,攻击检测准确率低。
技术实现思路
[0003]为了解决上述问题,本专利技术实施例提供了一种流量检测方法、装置、电子设备及存储介质,以至少解决相关技术攻击检测准确率低的问题。
[0004]本专利技术的技术方案是这样实现的:
[0005]一方面,本专利技术实施例提供了一种流量检测方法,该方法包括:
[0006]确定第一业务流量对应的业务类型;
[0007]基于所述业务类型对应的至少两个业务模型对所述第一业务流量进行异常检测,得到所述至少两个业务模型中的各个业务模型输出的检测结果;其中,所述至少两个业务模型基于正常业务流量训练得到,所述至少两个业务模型中的每个业务模型用于检测所述第一业务流量的一种类型的流量特征;
[0008]基于所述至少两个业务模型输出的检测结果,确定所述第一业务流量是否为异常业务流量。
[0009]在上述方案中,所述至少两个业务模型包括以下任意两个模型:
[0010]长度分布模型;
[0011]字符分布模型;
[0012]语义模型;
[0013]语法模型;
[0014]对应地,所述基于至少两个业务模型对所述第一业务流量进行异常检测,包括以下任意两项:
[0015]基于所述长度分布模型对所述第一业务流量的域名长度进行检测,若所述域名长度不满足设定长度范围,则得到所述第一业务流量的域名长度异常的检测结果;
[0016]基于所述字符分布模型对所述第一业务流量的参数对的字符分布信息进行检测,若所述参数对包含设定字符,则得到所述第一业务流量的字符分布异常的检测结果;
[0017]基于所述语义模型对所述第一业务流量的参数对中的字符的语义信息进行检测,若所述参数对中的字符的语义信息不符合设定语义信息,则得到所述第一业务流量的语义异常的检测结果;
[0018]基于所述语法模型对所述第一业务流量的参数对中的字符的语法结构进行检测,
若所述参数对中的字符的语法结构不符合设定语法结构,则得到所述第一业务流量的语法异常的检测结果。
[0019]在上述方案中,所述基于所述至少两个业务模型输出的检测结果,确定所述第一业务流量是否为异常业务流量,包括:
[0020]获取所述至少两个业务模型输出的检测结果中表征为异常的检测结果的数量;
[0021]若所述数量大于第一设定值,则确定所述第一业务流量为异常业务流量。
[0022]在上述方案中,在确定第一业务流量对应的业务类型之后,所述方法还包括:
[0023]基于设定索引确定所述第一业务流量对应的业务类型是否已经建模;所述设定索引中存储有已经建模的业务类型的信息;
[0024]若所述第一业务流量对应的业务类型未建模,则收集该业务类型的业务流量,直至收集到的业务流量的数量达到第二设定值,开始对所述第一业务流量对应的业务类型建模;
[0025]若所述第一业务流量对应的业务类型已经建模,则基于所述业务类型对应的至少两个业务模型对所述第一业务流量进行异常检测。。
[0026]另一方面,本专利技术实施例提供了一种模型训练方法,用于训练上述业务模型,该方法包括:
[0027]获取至少两个第二业务流量中的每个第二业务流量的至少两种类型的流量特征;所述至少两个第二业务流量表征为同一业务类型的正常业务流量;
[0028]基于所述每个第二业务流量的至少两种类型的流量特征,训练该业务类型对应的至少两个业务模型。
[0029]在上述方案中,在获取至少两个第二业务流量中的每个第二业务流量的至少两种类型的流量特征之前,所述方法还包括:
[0030]基于统一资源定位符URL地址对至少两个历史业务流量进行业务类型划分,确定各个业务类型对应的至少两个第二业务流量。
[0031]另一方面,本专利技术实施例提供了一种流量检测装置,该装置包括:
[0032]第一确定模块,用于确定第一业务流量对应的业务类型;
[0033]检测模块,用于基于所述业务类型对应的至少两个业务模型对所述第一业务流量进行异常检测,得到所述至少两个业务模型中的各个业务模型输出的检测结果;其中,所述至少两个业务模型基于正常业务流量训练得到,所述至少两个业务模型中的每个业务模型用于检测所述第一业务流量的一种类型的流量特征;
[0034]第二确定模块,用于基于所述至少两个业务模型输出的检测结果,确定所述第一业务流量是否为异常业务流量。
[0035]另一方面,本专利技术实施例提供了一种模型训练装置,该装置包括:
[0036]获取模块,用于获取至少两个第二业务流量中的每个第二业务流量的至少两种类型的流量特征;所述至少两个第二业务流量表征为同一业务类型的正常业务流量;
[0037]训练模块,用于基于所述每个第二业务流量的至少两种类型的流量特征,训练该业务类型对应的至少两个业务模型。
[0038]另一方面,本专利技术实施例提供了一种电子设备,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指
令,所述处理器被配置用于调用所述程序指令,执行本专利技术实施例第一方面提供的流量检测方法的步骤。
[0039]另一方面,本专利技术实施例提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本专利技术实施例第一方面提供的流量检测方法的步骤。
[0040]本专利技术实施例通过确定第一业务流量对应的业务类型,基于业务类型对应的至少两个业务模型对第一业务流量进行异常检测,得到至少两个业务模型中的各个业务模型输出的检测结果。基于至少两个业务模型输出的检测结果,确定第一业务流量是否为异常业务流量。其中,至少两个业务模型基于正常业务流量训练得到,至少两个业务模型中的每个业务模型用于检测第一业务流量的一种类型的流量特征。由于至少两个业务模型都是基于正常业务流量训练得到的,相比相关技术通过特征黑名单检测业务流量,本实施例通过业务模型学习到的正常业务流量的特征来检测业务流量,攻击者无法进行绕过,对攻击流量的检测准确率更高,能够有效提高计算机系统的安全性。相比相关技术只通过一个检测引擎来检测业务流量,本实施例通过至少两个业务模型来对业务流量进行检测,根据至少两个业务模型输出的检测结果来确定业务流量是否异常,对异常业务流量的检测准确率更高,且不容易产生误判。
附图说明
[0041]图1是本专利技术实施例提供的一种流量检测方法的实现流程示意图;
[0042]图2是本专利技术实施例提供的另一种流量检本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种流量检测方法,其特征在于,包括:确定第一业务流量对应的业务类型;基于所述业务类型对应的至少两个业务模型对所述第一业务流量进行异常检测,得到所述至少两个业务模型中的各个业务模型输出的检测结果;其中,所述至少两个业务模型基于正常业务流量训练得到,所述至少两个业务模型中的每个业务模型用于检测所述第一业务流量的一种类型的流量特征;基于所述至少两个业务模型输出的检测结果,确定所述第一业务流量是否为异常业务流量。2.如权利要求1所述的流量检测方法,其特征在于,所述至少两个业务模型包括以下任意两个模型:长度分布模型;字符分布模型;语义模型;语法模型;对应地,所述基于至少两个业务模型对所述第一业务流量进行异常检测,包括以下任意两项:基于所述长度分布模型对所述第一业务流量的域名长度进行检测,若所述域名长度不满足设定长度范围,则得到所述第一业务流量的域名长度异常的检测结果;基于所述字符分布模型对所述第一业务流量的参数对的字符分布信息进行检测,若所述参数对包含设定字符,则得到所述第一业务流量的字符分布异常的检测结果;基于所述语义模型对所述第一业务流量的参数对中的字符的语义信息进行检测,若所述参数对中的字符的语义信息不符合设定语义信息,则得到所述第一业务流量的语义异常的检测结果;基于所述语法模型对所述第一业务流量的参数对中的字符的语法结构进行检测,若所述参数对中的字符的语法结构不符合设定语法结构,则得到所述第一业务流量的语法异常的检测结果。3.如权利要求1所述的流量检测方法,其特征在于,所述基于所述至少两个业务模型输出的检测结果,确定所述第一业务流量是否为异常业务流量,包括:获取所述至少两个业务模型输出的检测结果中表征为异常的检测结果的数量;若所述数量大于第一设定值,则确定所述第一业务流量为异常业务流量。4.如权利要求1所述的流量检测方法,其特征在于,在确定第一业务流量对应的业务类型之后,所述方法还包括:基于设定索引确定所述第一业务流量对应的业务类型是否已经建模;所述设定索引中存储有已经建模的业务类型的信息;若所述第一业务流量对应的业务类型未建模,则收集该业务类型的业务流量,直至收集到的业务流量的数量达到第二设定值,开始对所述第一业务流量对应的业务类型建模;若所...
【专利技术属性】
技术研发人员:兰家旺,杨荣海,黄忠强,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。