【技术实现步骤摘要】
流量数据的风险检测方法、装置及电子设备
[0001]本专利技术涉及网络安全
,尤其涉及一种流量数据的风险检测方法
、
装置及电子设备
。
技术介绍
[0002]随着互联网的高速发展和科技的不断进步,电子设备容易受到其它设备的攻击
。
此时,该电子设备就需要对接收到的流量数据进行风险检测,以确定该电子设备在后续能够正常运行
。
[0003]现有的流量数据的风险检测方法往往在获取流量数据之后,确定该流量数据的流量类型,并在确定流量数据的流量类型为已知类型攻击流量的情况下,确定该流量数据的风险等级
。
[0004]然而,对于未知类型攻击流量的风险等级,并没有相应的检测方法
。
技术实现思路
[0005]本专利技术提供一种流量数据的风险检测方法
、
装置及电子设备,用以实现利用流量分类模型和未知攻击检测模型对流量数据进行检测,并在确定该流量数据为未知类型攻击流量的情况下,也可准确确定该流量数据的风险信息,提高了电子设备对网络环境安全态势的感知能力,进而有效提高了该电子设备的防御效果
。
[0006]本专利技术提供一种流量数据的风险检测方法,包括:
[0007]获取当前流量数据;
[0008]将所述当前流量数据输入至流量分类模型中,得到所述流量分类模型输出的所述当前流量数据的流量类型;
[0009]在所述流量类型为非已知攻击流量的情况下,若采用未知攻击检测模型确定所述非已 ...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.
一种流量数据的风险检测方法,其特征在于,包括:获取当前流量数据;将所述当前流量数据输入至流量分类模型中,得到所述流量分类模型输出的所述当前流量数据的流量类型;在所述流量类型为非已知攻击流量的情况下,若采用未知攻击检测模型确定所述非已知攻击流量为未知类型攻击流量,则采用所述未知攻击检测模型,确定所述当前流量数据的风险信息;其中,所述流量分类模型是根据流量特征样本集和流量类型样本集训练得到的;所述未知攻击检测模型是根据不同类型流量特征样本集和风险等级样本集训练得到的
。2.
根据权利要求1所述的方法,其特征在于,所述流量分类模型的训练步骤如下:根据流量数据样本集,确定至少一个数据包;对所述至少一个数据包进行重组,得到目标会话流;根据所述目标会话流的统计特征,确定所述流量特征样本集;根据所述流量特征样本集和所述流量类型样本集,对初始流量分类模型进行训练,得到所述流量分类模型
。3.
根据权利要求1所述的方法,其特征在于,所述不同类型流量特征样本集包括已知攻击流量特征样本集和非已知攻击流量特征样本集,所述未知攻击检测模型的训练步骤如下:获取所述已知攻击流量特征样本集和所述非已知攻击流量特征样本集;根据所述已知攻击流量特征样本集
、
所述非已知攻击流量特征样本集的特征均值,以及所述非已知攻击流量特征样本集的各非已知攻击流量特征样本,确定所述非已知攻击流量特征样本集的共性特征;根据所述共性特征和所述风险等级样本集,对初始未知攻击检测模型进行训练,得到所述未知攻击检测模型
。4.
根据权利要求2所述的方法,其特征在于,所述对所述至少一个数据包进行重组,得到目标会话流,包括:针对任一数据包,在所述数据包的流标识属于流重组字典的情况下,获取所述数据包与前一数据包之间的间隔时长,所述数据包的流标识与所述前一数据包的流标识相同;在所述间隔时长小于预设时长阈值的情况下,将所述数据包写入所述前一数据包所在的初始会话流,得到新的初始会话流;在确定所述数据包包含重置
RST
标志或为最后一个确认字符
ACK
包的情况下,将所述新的初始会话流写入流列表;将所述流列表中的所有初始会话流确定为所述目标会话流
。5.
根据权利要求4所述的方法,其特征在于,所述方法还包括:针对任一数据包,获取所述数据包对应的数据包信息,所述数据包信息包括源网络协议
IP
地址
、
源端口号
、
目的
IP
地址
、
目的端口号及传输层协议;根据所述数据包信息,确定所述数据包的流标识
。6.
根据权利要求
2、4
和5中任一项所述的方法,其特征在于,所述根据所述目标会话流的统计特征,确定所述流量特征样本集,包括:提取所述目标会话流的统计特征以及所述至少一个数据包各自对应的数据包信息;
根据所述统计特征和所述数据包信息,构建所述流量特征样本集
。7.
根据权利要求3所述的方法,其特征在于,所述根据所述已知攻击流量特征样本集
、
技术研发人员:曹玖新,仇智寅,刘波,周鼎,贺磊,郝宵荣,
申请(专利权)人:网络通信与安全紫金山实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。