一种流量识别方法及装置制造方法及图纸

本申请提供了一种流量识别方法及装置，涉及网络安全技术领域

【技术实现步骤摘要】
一种流量识别方法及装置


[0001]本申请涉及网络安全
，尤其涉及一种流量识别方法及装置
。

技术介绍

[0002]随着云部署
、
大计算等方式出现，数字资产挖掘行为逐渐渗入
。
当前的数字资产挖掘方式层出不穷，给企事业
、
个人等造成了很大的损失
。
如何遏制数字资产挖掘行为和高效准确的检出数字资产挖掘行为，挽回损失变成很热的话题
。
[0003]因此如何有效识别数字资产挖掘行为成为当下研究的热点
。

技术实现思路

[0004]有鉴于此，本申请提供一种流量识别方法及装置，用以准确度识别数字资产挖掘行为
。
[0005]具体地，本申请是通过如下技术方案实现的：
[0006]根据本申请的第一方面，提供一种流量识别方法，包括：
[0007]对待识别流量进行流量特征提取，得到流量特征；
[0008]利用训练好的数字资产挖掘行为识别模型对所述流量特征进行识别处理；
[0009]若根据识别结果确定所述待识别流量存在疑似数字资产挖掘行为，则从所述流量特征中提取出所述待识别流量的源地址信息；
[0010]利用所述源地址信息构造探测报文；
[0011]向所述源地址信息发送所述探测报文；
[0012]接收基于所述探测报文的响应报文；
[0013]若所述响应报文的报文协议符合设定数字资产挖掘协议，则确定所述待识别流量存在数字资产挖掘行为/>。
[0014]根据本申请的第二方面，提供一种流量识别装置，包括：
[0015]第一提取模块，用于对待识别流量进行流量特征提取，得到流量特征；
[0016]第一识别模块，用于利用训练好的数字资产挖掘行为识别模型对所述流量特征进行识别处理；
[0017]第二提取模块，用于若根据所述识别模块的识别结果确定所述待识别流量存在疑似数字资产挖掘行为，则从所述流量特征中提取出所述待识别流量的源地址信息；
[0018]构造模块，用于利用所述源地址信息构造探测报文；
[0019]发送模块，用于向所述源地址信息发送所述探测报文；
[0020]接收模块，用于接收基于所述探测报文的响应报文；
[0021]第一确定模块，用于若所述响应报文的报文协议符合设定数字资产挖掘协议，则确定所述待识别流量存在数字资产挖掘行为
。
[0022]根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本
申请实施例第一方面所提供的方法
。
[0023]根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法
。
[0024]本申请实施例的有益效果：
[0025]本申请实施例提供的流量识别方法及装置，在获取到待识别流量后，先对待识别流量进行流量特征提取，得到流量特征；然后利用训练好的数字资产挖掘行为识别模型对流量特征进行识别处理；之后，若根据识别结果确定所述待识别流量存在疑似数字资产挖掘行为，则为了准确地识别出待识别流量是否存在数字资产挖掘行为，则提出从流量特征中提取出所述待识别流量的源地址信息；利用所述源地址信息构造探测报文；并向所述源地址信息发送所述探测报文；若接收到基于所述探测报文的响应报文，则若确认所述响应报文的报文协议符合设定数字资产挖掘协议，则确定所述待识别流量存在数字资产挖掘行为
。
这样一来，也就实现了准确地识别出待识别流量中是否存在数字资产挖掘行为，减少误报结果的发生
。
附图说明
[0026]图1是本申请实施例提供的一种流量识别方法的流程示意图；
[0027]图2是本申请实施例提供的一种流量识别装置的结构示意图；
[0028]图3是本申请实施例提供的一种实施流量识别方法的电子设备的硬件结构示意图
。
具体实施方式
[0029]这里将详细地对示例性实施例进行说明，其示例表示在附图中
。
下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素
。
以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式
。
相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子
。
[0030]在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请
。
在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义
。
还应当理解，本文中使用的术语“和
/
或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合
。
[0031]应当理解，尽管在本申请可能采用术语第一
、
第二
、
第三等来描述各种信息，但这些信息不应限于这些术语
。
这些术语仅用来将同一类型的信息彼此区分开
。
例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息
。
取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0032]下面对本申请提供的流量识别方法进行详细地说明
。
[0033]参见图1，图1是本申请提供的一种流量识别方法的流程图
。
本实施例提供的流量识别方法可以应用于网络安全设备中，该网络安全设备可以但不限于包括防火墙设备
、
流量清洗设备等等
。
为了描述方便，以应用于网络安全设备中为例进行说明，网络安全设备在
实施该方法时，可包括如下所示步骤：
[0034]S101、
对待识别流量进行流量特征提取，得到流量特征
。
[0035]本步骤中，为了应对加密的数字资产挖掘流量
(
包括数字资产挖掘行为的流量
)
的准确识别，会按照数字资产挖掘流量的流量特征对获取到的待识别流量进行流量特征提取，从而得到流量特征
。
[0036]此外，针对未加密的数字资产挖掘流量，也会自己的流量特点，基于此，在提取流量特征时，也会按照未加密的数字资产挖掘流量的流量特点，从待识别流量中提取出对应的流量特征
。
[0037]S102、
利用训练好的数字资产挖掘行为识别模型对所述流量特征进行识别处理
。
[0038]本步骤中，为了既能够识别出加密的数字资产挖掘流量，也能识别出未加密的数字资产本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种流量识别方法，其特征在于，包括：对待识别流量进行流量特征提取，得到流量特征；利用训练好的数字资产挖掘行为识别模型对所述流量特征进行识别处理；若根据识别结果确定所述待识别流量存在疑似数字资产挖掘行为，则从所述流量特征中提取出所述待识别流量的源地址信息；利用所述源地址信息构造探测报文；向所述源地址信息发送所述探测报文；接收基于所述探测报文的响应报文；若所述响应报文的报文协议符合设定数字资产挖掘协议，则确定所述待识别流量存在数字资产挖掘行为
。2.
根据权利要求1所述的方法，其特征在于，在对待识别流量进行流量特征提取，得到流量特征之前，还包括：对待识别流量进行字段特征提取，得到字段特征；确定所述字段特征不符合数字资产挖掘特征的设定规则集
。3.
根据权利要求2所述的方法，其特征在于，若确定所述字段特征符合数字资产挖掘行为特征的设定规则集，则确认所述待识别流量存在数字资产挖掘行为
。4.
根据权利要求1所述的方法，其特征在于，利用训练好的数字资产挖掘行为识别模型对所述流量特征进行识别处理，包括：对所述流量特征进行域名语义分析处理，得到域名语义特征；对所述流量特征进行会话特征提取，得到会话特征；利用训练好的
LSTM
模型对所述域名语义特征和所述会话特征进行处理，得到所述待识别流量的所述识别结果
。5.
根据权利要求4所述的方法，其特征在于，所述域名语义特征至少包括以下一项：域名长度
、
域名中声母的占比特征
、
域名熵值特征
、
域名数值占比特征；所述会话特征至少包括以下一项：地址归属地是否为海外的第一结果特征值
、
流量会话是否为
TCP
长连接的第二结果特征值
、
同一流量中会话请求方向数据长度
、
同一流量中会话响应方向数据长度
、
同一流量中会话请求方向和会话响应方向数据长度比值
。6.
根据权利要求1所述的方法，其特征在于，还包括：根据所述识别结果和待识别流量的流量特征，更新流量统计记录，所述识别结果包括评分；利用训练好的决策分析模型对所述流量统计记录进行识别处理，以识别所述待识别流量是否存在挖掘行为
。7.
根据权利要求1所述的方法，其特征...

【专利技术属性】
技术研发人员：施瑞瑞，李剑，方远远，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：