一种恶意流量解析分析方法技术

本发明专利技术涉及数据处理技术领域，特别是涉及一种恶意流量解析分析方法。包括：获取网络流量数据和若干已知类型的恶意流量数据；对网络流量数据进行特征解析，并获得基于会话的特征序列；基于会话的特征序列，将网络流量数据与若干已知类型的恶意流量数据进行比对分析，并确定网络流量数据是否为恶意流量数据；当网络流量数据为恶意流量数据中的至少一类时，确定网络流量数据为恶意流量数据，并根据若干已知类型的恶意流量数据将作为恶意流量数据的网络流量数据进行解析分析。本发明专利技术通过将获取的网络流量数据和若干已知类型的恶意流量数据进行比对分析，快速的判断了网络流量数据是否为恶意流量数据，提高了响应速度以及判断的准确性。确性。确性。

【技术实现步骤摘要】
一种恶意流量解析分析方法


[0001]本专利技术涉及数据处理
，特别是涉及一种恶意流量解析分析方法。

技术介绍

[0002]流量，在网络领域就存在许多不同的概念，例如手机流量是指每个月给运营商付费获得若干G上网流量，网站流量是网站访问量，用来描述一个网站的用户数和页面访问次数，网络流量是通过特定网络节点的数据包和网络请求数量。在不同的安全领域，研究的主要是网络流量中属于恶意的部分，其中包括网络攻击、业务攻击、恶意爬虫等。恶意流量绝大部分都来自自动化程序，通常通过未经许可的方式侵入、干扰、抓取他方业务或数据。
[0003]然而现有技术中，对于恶意流量的检测分析方式大多都是基于机器主动学习的形式，通过定义不同维度的特征来做为特征工程，但这种特征工程方式需要安全工程师对每一种攻击有良好特征提取能力，会依赖于人力判断检测，不具有高效性，对于一些已知类型的恶意流量数据还要重复进行解析分析，极大的降低了工作效率。因此，如何提供一种恶意流量解析分析方法是本领域技术人员急需解决的技术问题。

技术实现思路

[0004]本专利技术的目的是提供一种恶意流量解析分析方法，本专利技术通过将获取的网络流量数据和若干已知类型的恶意流量数据进行比对分析，由于现有大多恶意流量数据都是已知类型的，根据已知类型的恶意流量数据与获取到的网络流量数据进行解析分析，可以快速的判断网络流量数据是否为恶意流量数据，提高了响应速度以及判断的准确性。
[0005]为了实现上述目的，本专利技术提供了如下的技术方案：一种恶意流量解析分析方法，包括：获取网络流量数据和若干已知类型的恶意流量数据；对所述网络流量数据进行特征解析，并获得基于会话的特征序列，所述会话包括流通于同一组网络终端之间的若干条所述网络流量数据；基于所述会话的特征序列，将所述网络流量数据与若干已知类型的所述恶意流量数据进行比对分析，并确定所述网络流量数据是否为恶意流量数据；其中，当所述网络流量数据为所述恶意流量数据中的至少一类时，确定所述网络流量数据为恶意流量数据，并根据若干已知类型的所述恶意流量数据将作为恶意流量数据的所述网络流量数据进行解析分析。
[0006]在本申请的一些实施例中，还包括：当所述网络流量数据不为所述恶意流量数据中的至少一类时，通过预设流量数据检测模型对所述网络流量数据进行检测，并根据所述预设流量数据检测模型的检测结果的相似度确定所述网络流量数据是否为恶意流量数据；其中，所述预设流量数据检测模型是根据预设样本集训练得到的随机森林模型，所述预设样本集包括若干恶意流量数据样本和若干非恶意流量数据样本。
[0007]在本申请的一些实施例中，所述预设流量数据检测模型还用于将所述网络流量数据和若干已知类型的所述恶意流量数据转换为灰度图像，并根据所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像之间的海明距离，确定所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度，当所述相似度小于等于预设相似度标准值时，确定所述网络流量数据为恶意流量数据。
[0008]在本申请的一些实施例中，所述获取网络流量数据和若干已知类型的恶意流量数据后，还包括：对所述网络流量数据进行过滤处理，所述过滤处理包括根据所述网络流量数据的传输协议，判断所述网络流量数据是否为TCP报文，当所述网络流量数据不为TCP报文时，将获取到的所述网络流量数据进行删除。
[0009]在本申请的一些实施例中，所述确定所述网络流量数据为恶意流量数据后，还包括：根据所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度的相似值N确定所述恶意流量数据的安全等级。
[0010]在本申请的一些实施例中，预先设定第一预设安全等级A1，为第二预设安全等级A2，第三预设安全等级A3，第四预设安全等级A4，且A1＜A2＜A3＜A4；预先设定第一预设相似值T01，第二预设相似值T02，第三预设相似值T03，第四预设相似值T04，且T01＜T02＜T03＜T04＜100%；根据N与各预设相似值之间的关系选定相应的安全等级作为所述恶意流量数据的安全等级；当N＜T01时，选定所述第四预设安全等级A4作为所述恶意流量数据的安全等级；当T01≤N＜T02，选定所述第三预设安全等级A3作为所述恶意流量数据的安全等级；当T02≤N＜T03，选定所述第二预设安全等级A2作为所述恶意流量数据的安全等级；当T03≤N＜T04，选定所述第一预设安全等级A1作为所述恶意流量数据的安全等级。
[0011]在本申请的一些实施例中，所述对所述网络流量数据进行特征解析并获得基于会话的特征序列，包括：提取所述网络流量数据中的五元组信息；匹配所述网络流量数据归属的会话，所述网络流量数据归属的会话为由若干历史流量数据组成的集合；其中，若干所述历史流量数据所对应的五元组信息与当前所述网络流量数据所对应的五元组信息相同；将所述网络流量数据增加至与所述网络流量数据相匹配的所述会话中。
[0012]在本申请的一些实施例中，当所述网络流量数据未匹配到归属的会话时，根据所述五元组信息建立新会话，并将所述新会话增加至所述会话中。
[0013]在本申请的一些实施例中，所述将所述网络流量数据和若干已知类型的所述恶意流量数据转换为灰度图像，包括：
对所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像通过奇异值分解进行降噪处理，并通过离散小波变换提取所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的低频部分，通过所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的低频部分得到所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码；根据所述网络流量数据的灰度图像的二进制哈希码与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码之间的海明距离，确定所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度。
[0014]在本申请的一些实施例中，所述通过所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的低频部分得到所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码，包括：将所述低频部分的图像修改为预设大小，并计算修改后的所述低频部分的图像的像素平均值，遍历所述低频部分的图像的所有像素点，将像素值大于像素平均值的像素点记为1，小于像素平均值的像素点记为0，以得到所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码所对应的二进制哈希码。
[0015]本专利技术提供了一种恶意流量解析分析方法，与现有技术相比，其有益效果在于：本专利技术通过获取网络流量数据和若干已知类型的恶意流量数据，并基于会话的特征序列，将网络流量数据与若干已知类型的恶意流量数据进行比对分析，当确定网络流量数据为恶意流量数据时，根据若干已知类型的恶意流量数据将作为恶意流量数据的网络流量数据进行解析分析，有效地提高了对恶意流量数据解析分析的响应速度，并且根据已知类型的恶意流量数据进行解析分析，提高了分析本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意流量解析分析方法，其特征在于，包括：获取网络流量数据和若干已知类型的恶意流量数据；对所述网络流量数据进行特征解析，并获得基于会话的特征序列，所述会话包括流通于同一组网络终端之间的若干条所述网络流量数据；基于所述会话的特征序列，将所述网络流量数据与若干已知类型的所述恶意流量数据进行比对分析，并确定所述网络流量数据是否为恶意流量数据；其中，当所述网络流量数据为所述恶意流量数据中的至少一类时，确定所述网络流量数据为恶意流量数据，并根据若干已知类型的所述恶意流量数据将作为恶意流量数据的所述网络流量数据进行解析分析。2.根据权利要求1所述的一种恶意流量解析分析方法，其特征在于，还包括：当所述网络流量数据不为所述恶意流量数据中的至少一类时，通过预设流量数据检测模型对所述网络流量数据进行检测，并根据所述预设流量数据检测模型的检测结果的相似度确定所述网络流量数据是否为恶意流量数据；其中，所述预设流量数据检测模型是根据预设样本集训练得到的随机森林模型，所述预设样本集包括若干恶意流量数据样本和若干非恶意流量数据样本。3.根据权利要求2所述的一种恶意流量解析分析方法，其特征在于，所述预设流量数据检测模型还用于将所述网络流量数据和若干已知类型的所述恶意流量数据转换为灰度图像，并根据所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像之间的海明距离，确定所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度，当所述相似度小于等于预设相似度标准值时，确定所述网络流量数据为恶意流量数据。4.根据权利要求1所述的一种恶意流量解析分析方法，其特征在于，所述获取网络流量数据和若干已知类型的恶意流量数据后，还包括：对所述网络流量数据进行过滤处理，所述过滤处理包括根据所述网络流量数据的传输协议，判断所述网络流量数据是否为TCP报文，当所述网络流量数据不为TCP报文时，将获取到的所述网络流量数据进行删除。5.根据权利要求3所述的一种恶意流量解析分析方法，其特征在于，所述确定所述网络流量数据为恶意流量数据后，还包括：根据所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度的相似值N确定所述恶意流量数据的安全等级。6.根据权利要求5所述的一种恶意流量解析分析方法，其特征在于，预先设定第一预设安全等级A1，为第二预设安全等级A2，第三预设安全等级A3，第四预设安全等级A4，且A1＜A2＜A3＜A4；预先设定第一预设相似值T01，第二预设相似值T02，第三预设相似值T03，第四预设相似值T04，且T01＜T02＜T03＜T04＜100%；根据N与各预设相似值之间的关系...

【专利技术属性】
技术研发人员：张兴强，张红军，谭晓亮，戚雨晴，杨春燕，王宇飞，
申请(专利权)人：中国华能集团有限公司北京招标分公司，
类型：发明
国别省市：