【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种恶意流量检测方法、装置、设备及存储介质。
技术介绍
1、目前网络安全技术日益完善,但恶意软件躲避检测的手段也层出不穷,从通信流量的维度对恶意软件进行检测仍是一大难题。当前,许多识别手段对恶意样本的识别能力较弱、误报率高,恶意软件通常能通过加壳、混淆、模糊等技术逃脱基于原始文件的检测手段。
2、基于上述技术目前的恶意软件识别技术只能查找已知的恶意软件,不能检测变形及未知的恶意代码;较依赖于专家经验,人工成本高;恶意软件的对抗性超前,具有比较高的误报率。
3、上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
1、本专利技术的主要目的在于提供一种恶意流量检测方法、装置、设备及存储介质,旨在解决现有技术无法识别恶意软件的技术问题。
2、为实现上述目的,本专利技术提供了一种恶意流量检测方法,所述方法包括以下步骤:
3、获取网络流量数据对应的多个双向会话流;
4、将各所述双向会话流输入预设加密恶意流量检测模型,得到加密流量识别结果;
5、根据所述加密流量识别结果完成目标流量数据的恶意流量检测。
6、可选的,所述将各所述双向会话流输入预设加密恶意流量检测模型,得到加密流量识别结果,包括:
7、根据各所述双向会话流建立对应双向会话流的会话流量特征集;
8、根据所述会话流量特征集进行神经网络分析确定网络通信流量特征表
9、将所述网络通信流量特征表示向量进行分类得到加密流量识别结果。
10、可选的,根据所述会话流量特征集进行神经网络分析确定网络通信流量特征表示向量,包括:
11、根据所述会话流量特征集确定各所述双向会话流对应的会话流量特征;
12、将各所述会话流量特征进行神经网络分析确定会话特征表示向量;
13、将各所述会话特征表示向量进行拼接确定网络通信流量特征表示向量。
14、可选的,所述根据所述会话流量特征集确定各所述双向会话流对应的会话流量特征,包括:
15、根据所述会话流量特征集建立会话流量特征表示矩阵,所述会话流量特征表示矩阵包括:特征维度和会话维度,所述特征维度用于表征对应会话流量特征的特征类型,所述会话维度用于表征对应会话流量特征的会话编号;
16、对所述会话编号进行遍历,将遍历到的会话编号作为当前会话编号;
17、根据所述当前会话编号确定对应的会话流量特征。
18、可选的,所述根据所述会话流量特征集建立会话流量特征表示矩阵,包括:
19、确定所述双向会话流的特征维度信息;
20、根据所述特征维度信息对所述会话流量特征集进行解析,得到双向会话流的加密特征与双向会话流的对应关系;
21、根据所述特征维度信息、双向会话流的加密特征与双向会话流的对应关系建立会话流量特征表示矩阵。
22、可选的,所述将各所述双向会话流输入预设加密恶意流量检测模型,得到加密流量识别结果之前,还包括:
23、获取网络流量样本数据,并建立初始恶意流量识别模型,所述网络流量样本数据中包括:恶意流量数据以及正常流量数据;
24、根据所述网络流量样本数据对初始恶意流量识别模型进行训练,得到预设加密恶意流量检测模型。
25、可选的,所述建立初始恶意流量识别模型,包括:
26、建立神经网络模型,并在神经网络模型中设置各输入层、全连接层、随机失活层、激活层以及拼接层;
27、将所述拼接层的输出端与分类器建立连接,得到初始恶意流量识别模型。
28、可选的,所述获取网络流量数据对应的多个双向会话流,包括:
29、从网络流量数据中抓取目标数据包;
30、根据所述目标数据包确定安全传输层协议信息;
31、根据所述安全传输层协议信息对目标数据包进行筛选,确定多个双向会话流。
32、可选的,所述根据所述安全传输层协议信息对目标数据包进行筛选,确定多个双向会话流,包括:
33、根据所述安全传输层协议信息确定握手信息;
34、根据所述握手信息对安全传输层协议握手过程进行检测;
35、在所述安全传输层协议握手过程完整时,根据所述目标数据包确定双向会话流。
36、可选的,所述会话流量特征集包括:客户端提供的密码套件列表特征、服务器选择密码套件特征、客户端申明的extension列表特征、公钥长度特征、服务器提供的证书特征中的一项或多项。
37、此外,为实现上述目的,本专利技术还提出一种恶意流量检测装置,所述恶意流量检测装置包括:
38、获取模块,用于获取网络流量数据对应的多个双向会话流;
39、处理模块,用于将各所述双向会话流输入预设加密恶意流量检测模型,得到加密流量识别结果;
40、所述处理模块,还用于根据所述加密流量识别结果完成目标流量数据的恶意流量检测。
41、可选的,所述处理模块,还用于根据各所述双向会话流建立对应双向会话流的会话流量特征集;
42、根据所述会话流量特征集进行神经网络分析确定网络通信流量特征表示向量;
43、将所述网络通信流量特征表示向量进行分类得到加密流量识别结果。
44、可选的,所述处理模块,还用于根据所述会话流量特征集确定各所述双向会话流对应的会话流量特征;
45、将各所述会话流量特征进行神经网络分析确定会话特征表示向量;
46、将各所述会话特征表示向量进行拼接确定网络通信流量特征表示向量。
47、可选的,所述处理模块,还用于根据所述会话流量特征集建立会话流量特征表示矩阵,所述会话流量特征表示矩阵包括:特征维度和会话维度,所述特征维度用于表征对应会话流量特征的特征类型,所述会话维度用于表征对应会话流量特征的会话编号;
48、对所述会话编号进行遍历,将遍历到的会话编号作为当前会话编号;
49、根据所述当前会话编号确定对应的会话流量特征。
50、可选的,所述处理模块,还用于确定所述双向会话流的特征维度信息;
51、根据所述特征维度信息对所述会话流量特征集进行解析,得到双向会话流的加密特征与双向会话流的对应关系;
52、根据所述特征维度信息、双向会话流的加密特征与双向会话流的对应关系建立会话流量特征表示矩阵。
53、可选的,所述处理模块,还用于获取网络流量样本数据,并建立初始恶意流量识别模型,所述网络流量样本数据中包括:恶意流量数据以及正常流量数据;
54、根据所述网络流量样本数据对初始恶意流量识别模型进行训练,得到预设加密恶意流量检测模型。
55、可选的,所述处理模块,还用于建立神经网络模型,并在神经网络模型中设置输入层、全本文档来自技高网...
【技术保护点】
1.一种恶意流量检测方法,其特征在于,所述恶意流量检测方法包括:
2.如权利要求1所述的方法,其特征在于,所述将各所述双向会话流输入预设加密恶意流量检测模型,得到加密流量识别结果,包括:
3.如权利要求2所述的方法,其特征在于,根据所述会话流量特征集进行神经网络分析,确定网络通信流量特征表示向量,包括:
4.如权利要求3所述的方法,其特征在于,所述根据所述会话流量特征集确定各所述双向会话流对应的会话流量特征,包括:
5.如权利要求4所述的方法,其特征在于,所述根据所述会话流量特征集建立会话流量特征表示矩阵,包括:
6.如权利要求1所述的方法,其特征在于,所述将各所述双向会话流输入预设加密恶意流量检测模型,得到加密流量识别结果之前,还包括:
7.如权利要求6所述的方法,其特征在于,所述建立初始恶意流量识别模型,包括:
8.一种恶意流量检测装置,其特征在于,所述恶意流量检测装置包括:
9.一种恶意流量检测设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运
10.一种存储介质,其特征在于,所述存储介质上存储有恶意流量检测程序,所述恶意流量检测程序被处理器执行时实现如权利要求1至7任一项所述的恶意流量检测方法的步骤。
...【技术特征摘要】
1.一种恶意流量检测方法,其特征在于,所述恶意流量检测方法包括:
2.如权利要求1所述的方法,其特征在于,所述将各所述双向会话流输入预设加密恶意流量检测模型,得到加密流量识别结果,包括:
3.如权利要求2所述的方法,其特征在于,根据所述会话流量特征集进行神经网络分析,确定网络通信流量特征表示向量,包括:
4.如权利要求3所述的方法,其特征在于,所述根据所述会话流量特征集确定各所述双向会话流对应的会话流量特征,包括:
5.如权利要求4所述的方法,其特征在于,所述根据所述会话流量特征集建立会话流量特征表示矩阵,包括:
6.如权利要求1所述的方法,其特征在于,所述将各所述双向会...
【专利技术属性】
技术研发人员:仲柘沩,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。