流量特征提取、恶意流量检测方法、装置、设备及介质制造方法及图纸

本申请实施例提供一种流量特征提取、恶意流量检测方法、装置、设备及介质，该方法包括：获取会话过程中的网络流量数据包；根据网络流量数据包，确定与网络流量数据包对应的特征向量序列；根据客户端特征向量序列，确定客户端流量拓扑图；根据服务器端特征向量序列，确定服务器端流量拓扑图；根据客户端流量拓扑图，服务器端流量拓扑图，以及客户端和服务器端之间数据包交互信息，确定与网络流量数据包对应的流量交互拓扑模型；根据流量交互拓扑模型，确定与网络流量数据包对应的流量特征，可以提取更全面、更具区分度的流量特征，进一步提高了特征提取方法的有效性和通用性。了特征提取方法的有效性和通用性。了特征提取方法的有效性和通用性。

【技术实现步骤摘要】
流量特征提取、恶意流量检测方法、装置、设备及介质


[0001]本申请涉及数据处理
，具体而言，涉及一种流量特征提取、恶意流量检测方法、装置、设备及介质。

技术介绍

[0002]为提高通信网络数据传输的安全性，流量加密成为绝大多数系统的必然选择，这有助于提高数据的保密性、完整性和可用性。但流量加密化也为网络流量的检测、分类和识别带来了挑战，传统的基于深度数据包检测的方法已无法实现流量细粒度的实时分析。为此，研究人员相继提出了基于规则、基于传统机器学习和基于深度学习的加密流量分析方法，而这些方法的效果都与网络流量特征的选择和提取有着密切关系。如何能够快速提取出具有区分度的网络流量特征是目前急需解决的技术问题。

技术实现思路

[0003]本申请的一些实施例的目的在于提供一种流量特征提取、恶意流量检测方法、装置、设备及介质，通过本申请的实施例的技术方案，通过获取会话过程中的网络流量数据包；根据所述网络流量数据包，确定与所述网络流量数据包对应的特征向量序列，其中，所述特征向量序列包括客户端特征向量序列和服务器端特征向量序列；根据所述客户端特征向量序列，确定与所述客户端特征向量序列对应的客户端流量拓扑图；根据所述服务器端特征向量序列，确定与所述服务器端特征向量序列对应的服务器端流量拓扑图；根据所述客户端流量拓扑图，所述服务器端流量拓扑图，以及客户端和服务器端之间数据包交互信息，确定与所述网络流量数据包对应的流量交互拓扑模型；根据所述流量交互拓扑模型，确定与所述网络流量数据包对应的流量特征，本申请实施例中，不仅考虑了客户端与服务器端的数据包交互所形成的流量拓扑图，还考虑了客户端或服务器端自身的数据包形成的图结构信息和节点属性信息，而不同的应用程序和业务下客户端或服务器端产生的拓扑具有差异性，因此有助于提取更全面、更具区分度的流量特征，进一步提高了流量特征提取方法的有效性和通用性。
[0004]第一方面，本申请的一些实施例提供了一种流量特征提取方法，包括：获取会话过程中的网络流量数据包；
[0005]根据所述网络流量数据包，确定与所述网络流量数据包对应的特征向量序列，其中，所述特征向量序列包括客户端特征向量序列和服务器端特征向量序列；
[0006]根据所述客户端特征向量序列，确定与所述客户端特征向量序列对应的客户端流量拓扑图；
[0007]根据所述服务器端特征向量序列，确定与所述服务器端特征向量序列对应的服务器端流量拓扑图；
[0008]根据所述客户端流量拓扑图，所述服务器端流量拓扑图，以及客户端和服务器端之间数据包交互信息，确定与所述网络流量数据包对应的流量交互拓扑模型；
[0009]根据所述流量交互拓扑模型，确定与所述网络流量数据包对应的流量特征。
[0010]本申请的一些实施例通过分别建立客户端流量拓扑图和服务器端流量拓扑图，以及客户端和服务器端之间数据包交互信息，确定与所述网络流量数据包对应的流量交互拓扑模型，对网络流量数据包进行流量特征提取，不仅考虑了客户端与服务器端的数据包交互所形成的流量拓扑图，还考虑了客户端或服务器端自身的数据包形成的图结构信息和节点属性信息，而不同的应用程序和业务下客户端或服务器端产生的拓扑具有差异性，因此有助于提取更全面、更具区分度的流量特征，进一步提高了特征提取方法的有效性和通用性。
[0011]可选地，所述根据所述网络流量数据包，确定与所述网络流量数据包对应的特征向量序列，包括：
[0012]对所述网络流量数据包进行预处理，得到处理后的网络流量数据包，其中，所述网络流量数据包至少包括客户端流量数据包和服务器端流量数据包；
[0013]获取所述处理后的网络流量数据包的数据包特征信息，其中，所述数据包特征信息至少包括数据包的原始字节特征、时空特征和短时统计特征；
[0014]对所述数据包特征信息进行向量化处理，得到与所述数据包特征信息对应的特征向量序列。
[0015]本申请的一些实施例通过将流量交互特征、原始字节特征、时空特征和短时统计特征有效融合，将融合后的特征设置为数据包节点属性，以提取更全面的加密流量特征，提高了特征提取方法的有效性和通用性。
[0016]可选地，所述根据所述客户端特征向量序列，确定与所述客户端特征向量序列对应的客户端流量拓扑图，包括：
[0017]将每一个所述客户端流量数据包确定为第一拓扑图节点；
[0018]将所述客户端特征向量序列确定为所述第一拓扑图节点的节点属性；
[0019]根据所述客户端流量数据包在预设时间段内同一方向传输的数据包，确定为第一簇集合；
[0020]根据所述第一簇集合，确定第一连接边集合；
[0021]根据所述第一拓扑图节点、所述第一拓扑图节点的节点属性和所述第一连接边集合，确定所述客户端流量拓扑图。
[0022]本申请的一些实施例不仅考虑了客户端与服务器端的数据包交互所形成的图结构信息，还考虑了客户端自身的数据包形成的图结构信息和节点属性信息，而不同的应用程序和业务下客户端或服务器端产生的拓扑具有差异性，因此有助于提取更全面、更具区分度的流量特征，进一步提高了特征提取方法的有效性和通用性。
[0023]可选地，所述根据所述服务器端特征向量序列，确定与所述服务器端特征向量序列对应的服务器端流量拓扑图，包括：
[0024]将每一个所述服务器端流量数据包确定为第二拓扑图节点；
[0025]将所述服务器端特征向量序列确定为所述第二拓扑图节点的节点属性；
[0026]根据所述服务器端流量数据包在预设时间段内同一方向传输的数据包，确定为第二簇集合；
[0027]根据所述第二簇集合，确定第二连接边集合；
[0028]根据所述第二拓扑图节点、所述第二拓扑图节点的节点属性和所述第二连接边集合，确定所述服务器端流量拓扑图。
[0029]本申请的一些实施例，不仅考虑了客户端与服务器端的数据包交互所形成的图结构信息，还考虑了服务器端自身的数据包形成的图结构信息和节点属性信息，而不同的应用程序和业务下客户端或服务器端产生的拓扑具有差异性，因此有助于提取更全面、更具区分度的流量特征，进一步提高了特征提取方法的有效性和通用性。
[0030]可选地，所述根据所述客户端流量拓扑图，所述服务器端流量拓扑图，以及客户端和服务器端之间数据包交互信息，确定与所述网络流量数据包对应的流量交互拓扑模型，包括：
[0031]根据所述客户端与服务器端之间数据包交互信息，在客户端与服务器端相邻的数据包交互过程中建立第三连接边集合；
[0032]根据所述客户端流量拓扑图，所述服务器端流量拓扑图和所述第三连接边集合，确定与所述网络流量数据包对应的流量交互拓扑模型。
[0033]本申请的一些实施例不仅考虑了客户端与服务器端的数据包交互所形成的图结构信息，还考虑了服务器端和客户端自身的数据包形成的图结构信息和节点属性信息，而不同的应用程序和业务下客户端或服务器端产生的拓扑具有差异性本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种流量特征提取方法，其特征在于，所述方法包括：获取会话过程中的网络流量数据包；根据所述网络流量数据包，确定与所述网络流量数据包对应的特征向量序列，其中，所述特征向量序列包括客户端特征向量序列和服务器端特征向量序列；根据所述客户端特征向量序列，确定与所述客户端特征向量序列对应的客户端流量拓扑图；根据所述服务器端特征向量序列，确定与所述服务器端特征向量序列对应的服务器端流量拓扑图；根据所述客户端流量拓扑图，所述服务器端流量拓扑图，以及客户端和服务器端之间数据包交互信息，确定与所述网络流量数据包对应的流量交互拓扑模型；根据所述流量交互拓扑模型，确定与所述网络流量数据包对应的流量特征。2.根据权利要求1所述的流量特征提取方法，其特征在于，所述根据所述网络流量数据包，确定与所述网络流量数据包对应的特征向量序列，包括：对所述网络流量数据包进行预处理，得到处理后的网络流量数据包，其中，所述网络流量数据包至少包括客户端流量数据包和服务器端流量数据包；获取所述处理后的网络流量数据包的数据包特征信息，其中，所述数据包特征信息至少包括数据包的原始字节特征、时空特征和短时统计特征；对所述数据包特征信息进行向量化处理，得到与所述数据包特征信息对应的特征向量序列。3.根据权利要求2所述的流量特征提取方法，其特征在于，所述根据所述客户端特征向量序列，确定与所述客户端特征向量序列对应的客户端流量拓扑图，包括：将每一个所述客户端流量数据包确定为第一拓扑图节点；将所述客户端特征向量序列确定为所述第一拓扑图节点的节点属性；根据所述客户端流量数据包在预设时间段内同一方向传输的数据包，确定为第一簇集合；根据所述第一簇集合，确定第一连接边集合；根据所述第一拓扑图节点、所述第一拓扑图节点的节点属性和所述第一连接边集合，确定所述客户端流量拓扑图。4.根据权利要求3所述的流量特征提取方法，其特征在于，所述根据所述服务器端特征向量序列，确定与所述服务器端特征向量序列对应的服务器端流量拓扑图，包括：将每一个所述服务器端流量数据包确定为第二拓扑图节点；将所述服务器端特征向量序列确定为所述第二拓扑图节点的节点属性；根据所述服务器端流量数据包在预设时间段内同一方向传输的数据包，确定为第二簇集合；根据所述第二簇集合，确定第二连接边集合；根据所述第二拓扑图节点、所述第二拓扑图节点的节点属性和所述第二连接边集合，确定所述服务器端流量拓扑图。5.根据权利要求4所述的流量特征提取方法，其特征在于，所述根据所述客户端流量拓扑图，所述服务器端流量拓扑图，以及客户端和服务器端之间数据包交互信息，确定与所述
网络流量数据包对应的流量交互拓扑模型，包括：根据所述客户端与服务器端之间数据包交互信息，在客户端与服务器端相邻的数据包交互过程中建立第三连接边集合；根据所述客户端流量拓扑图，所述服务器...

【专利技术属性】
技术研发人员：彭亚斌，毛财丰，刘彩霞，张帆，
申请(专利权)人：北京天融信网络安全技术有限公司，
类型：发明
国别省市：