【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种数据流攻击识别方法、装置、设备及存储介质。
技术介绍
1、近年来随着加密协议与加密流量的广泛应用,攻击者利用加密通信规避安全软件检测,控制被感染机器,造成信息泄露、本地信息破坏等重大安全事,网络供给行为在客户端和服务器之间具有复杂的多阶段交互行为。而目前对网络攻击的识别粒度较粗,识别行为模式单一,导致无法准确地检测出网络攻击。
2、上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
1、本专利技术的主要目的在于提供一种数据流攻击识别方法、装置、设备及存储介质,旨在解决现有技术对网络攻击的识别粒度较粗,识别行为模式单一,导致无法准确地检测出网络攻击的技术问题。
2、为实现上述目的,本专利技术提供了一种数据流攻击识别方法,所述方法包括以下步骤:
3、将待识别的原始数据流切分为多个子数据流;
4、分别对所述多个子数据流和所述原始数据流进行特征提取,获得各子数据流对应的子数据特征,以及所述原始数据流的原始数据特征;
5、根据所述子数据特征和所述原始数据特征对所述原始数据流进行攻击识别。
6、可选地,所述根据所述子数据特征和所述原始数据特征对所述原始数据流进行攻击识别,包括:
7、将多个所述子数据特征进行聚合,构建所述子数据流的特征集合;
8、根据所述特征集合和所述原始数据特征对所述原始数据流进行特征分析,获得所述原始数据
9、根据所述特征向量对所述原始数据流进行攻击识别。
10、可选地,所述将待识别的原始数据流切分为多个子数据流之前,还包括:
11、对目标网络通信环境进行监测,确定所述目标网络通信环境中发生的符合预设识别条件的网络通信行为;
12、获取所述网络通信行为中待识别的原始数据流。
13、可选地,所述获取所述网络通信行为中待识别的原始数据流,包括:
14、获取所述网络通信行为中的原始数据包;
15、对所述原始数据包进行数据汇聚,获得初始数据流;
16、从所述初始数据流中筛选出待识别的原始数据流。
17、可选地,所述对所述原始数据包进行数据汇聚,获得初始数据流,包括获取所述原始数据包的通信多元信息;
18、根据所述通信多元信息对所述原始数据包进行分类;
19、根据分类结果对所述原始数据包进行数据汇聚,获得初始数据流。
20、可选地,所述从所述初始数据流中筛选出待识别的原始数据流,包括:
21、获取所述初始数据流的持续时长;
22、根据所述持续时长从所述初始数据流中筛选出符合预设时长条件的目标数据流,并将所述目标数据流作为待识别的原始数据流。
23、可选地,所述将待识别的原始数据流切分为多个子数据流,包括:
24、确定待识别的原始数据流中各相邻数据包;
25、获取各所述相邻数据包之间的时间间隔;
26、根据所述时间间隔将所述原始数据流切分为多个子数据流。
27、可选地,所述分别对所述多个子数据流和所述原始数据流进行特征提取,获得各子数据流对应的子数据特征,以及所述原始数据流的原始数据特征,包括:
28、分别对所述多个子数据流和所述原始数据流进行特征提取,获得各子数据流的子数据流块特征,以及所述原始数据流的原始数据特征;
29、确定所述多个子数据流中各相邻子数据流;
30、对所述各相邻子数据流进行相似度分析,获得所述各相邻子数据流的相似性特征;
31、根据所述子数据流块特征和所述相似性特征确定各子数据流对应的子数据特征。
32、可选地,所述根据所述特征向量对所述原始数据流进行攻击识别,包括:
33、将所述特征向量输入至预先构建的识别检测模型进行攻击识别;
34、在识别出所述原始数据流为攻击数据流时,进行响应告警。
35、可选地,所述将所述特征向量输入至预先构建的识别检测模型进行攻击识别之前,还包括:
36、获取预设攻击样本库中的样本数据流;
37、将所述样本数据流切分为多个子样本数据流;
38、分别对所述多个子样本数据流和所述样本数据流进行特征提取,获得各子样本数据流对应的子样本数据特征,以及所述样本数据流的样本数据特征;
39、根据所述子样本数据特征和所述样本数据特征构建训练集;
40、获取预设正常样本库中的测试样本;
41、根据所述测试样本构建测试集;
42、根据所述训练集和所述测试集构建识别检测模型。
43、此外,为实现上述目的,本专利技术还提出一种数据流攻击识别装置,所述数据流攻击识别装置包括:
44、数据流切分模块,用于将待识别的原始数据流切分为多个子数据流;
45、特征提取模块,用于分别对所述多个子数据流和所述原始数据流进行特征提取,获得各子数据流对应的子数据特征,以及所述原始数据流的原始数据特征;
46、攻击识别模块,用于根据所述子数据特征和所述原始数据特征对所述原始数据流进行攻击识别。
47、可选地,所述攻击识别模块,还用于将多个所述子数据特征进行聚合,构建所述子数据流的特征集合;根据所述特征集合和所述原始数据特征对所述原始数据流进行特征分析,获得所述原始数据流的特征向量;根据所述特征向量对所述原始数据流进行攻击识别。
48、可选地,所述数据流攻击识别装置,还包括:
49、网络检测模块,用于对目标网络通信环境进行监测,确定所述目标网络通信环境中发生的符合预设识别条件的网络通信行为;获取所述网络通信行为中待识别的原始数据流。
50、可选地,所述网络检测模块,还用于获取所述网络通信行为中的原始数据包;对所述原始数据包进行数据汇聚,获得初始数据流;从所述初始数据流中筛选出待识别的原始数据流。
51、可选地,所述网络检测模块,还用于获取所述原始数据包的通信多元信息;根据所述通信多元信息对所述原始数据包进行分类;根据分类结果对所述原始数据包进行数据汇聚,获得初始数据流。
52、可选地,所述网络检测模块,还用于获取所述初始数据流的持续时长;根据所述持续时长从所述初始数据流中筛选出符合预设时长条件的目标数据流,并将所述目标数据流作为待识别的原始数据流。
53、可选地,所述数据流切分模块,还用于确定待识别的原始数据流中各相邻数据包;获取各所述相邻数据包之间的时间间隔;根据所述时间间隔将所述原始数据流切分为多个子数据流。
54、可选地,所述特征提取模块,还用于分别对所述多个子数据流和所述原始数据流进行特征提取,获得各子数据流的子数据流块特征,以及所述原始数据流的原始数据特征;确定所述多个子数据流中各相邻子数据流;本文档来自技高网...
【技术保护点】
1.一种数据流攻击识别方法,其特征在于,所述数据流攻击识别方法包括:
2.如权利要求1所述的数据流攻击识别方法,其特征在于,所述根据所述子数据特征和所述原始数据特征对所述原始数据流进行攻击识别,包括:
3.如权利要求2所述的数据流攻击识别方法,其特征在于,所述将待识别的原始数据流切分为多个子数据流之前,还包括:
4.如权利要求3所述的数据流攻击识别方法,其特征在于,所述获取所述网络通信行为中待识别的原始数据流,包括:
5.如权利要求4所述的数据流攻击识别方法,其特征在于,所述对所述原始数据包进行数据汇聚,获得初始数据流,包括
6.如权利要求4所述的数据流攻击识别方法,其特征在于,所述从所述初始数据流中筛选出待识别的原始数据流,包括:
7.如权利要求1所述的数据流攻击识别方法,其特征在于,所述将待识别的原始数据流切分为多个子数据流,包括:
8.一种数据流攻击识别装置,其特征在于,所述数据流攻击识别装置包括:
9.一种数据流攻击识别设备,其特征在于,所述数据流攻击识别设备包括:存储器、处理
10.一种存储介质,其特征在于,所述存储介质上存储有数据流攻击识别程序,所述数据流攻击识别程序被处理器执行时实现如权利要求1至7中任一项所述的数据流攻击识别方法。
...【技术特征摘要】
1.一种数据流攻击识别方法,其特征在于,所述数据流攻击识别方法包括:
2.如权利要求1所述的数据流攻击识别方法,其特征在于,所述根据所述子数据特征和所述原始数据特征对所述原始数据流进行攻击识别,包括:
3.如权利要求2所述的数据流攻击识别方法,其特征在于,所述将待识别的原始数据流切分为多个子数据流之前,还包括:
4.如权利要求3所述的数据流攻击识别方法,其特征在于,所述获取所述网络通信行为中待识别的原始数据流,包括:
5.如权利要求4所述的数据流攻击识别方法,其特征在于,所述对所述原始数据包进行数据汇聚,获得初始数据流,包括
6.如权利要求4所述的数据流攻击识别方法,其特征在于,所述从所述初始...
【专利技术属性】
技术研发人员:杨刚,王强,张研,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。