CN112235230B - 一种恶意流量识别方法及系统 - Google Patents
一种恶意流量识别方法及系统 Download PDFInfo
- Publication number
- CN112235230B CN112235230B CN201910636636.8A CN201910636636A CN112235230B CN 112235230 B CN112235230 B CN 112235230B CN 201910636636 A CN201910636636 A CN 201910636636A CN 112235230 B CN112235230 B CN 112235230B
- Authority
- CN
- China
- Prior art keywords
- traffic
- flow
- identification
- network traffic
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种恶意流量识别方法及系统,所述方法及系统通过实时获取网络流量的第一流量特征,并基于所述第一流量特征利用第一识别模型识别网络流量的流量类别,得到第一识别结果,以及在等待预设时长后获取网络流量的第二流量特征,并基于所述第二流量特征利用第二识别模型识别网络流量的流量类别,得到第二识别结果;最终基于所述第一识别结果、所述第二识别结果,得到所述网络流量的第三识别结果,可有效识别网络流量是否为恶意流量,另外,本发明方案基于流量特征及识别模型实现流量类别的识别,不需依赖于网络流量的签名数据,对于将恶意行为隐藏于加密数据中的加密恶意流量同样有着良好的识别效果。
Description
技术领域
本发明属于计算机网络安全领域,尤其涉及一种恶意流量识别方法及系统。
背景技术
恶意流量识别是计算机网络安全领域中的一项重要任务,其目的是在网络边界上基于网络流量数据判定其是否含有恶意行为,如果发现有恶意行为,则及时采取阻断等安全措施,保证终端用户的网络安全。
传统的恶意流量识别方法主要采用基于签名(signature-based)的方式,即,将已知的各类恶意网络流量的特征码(包括已知的各类恶意网络流量的签名数据)提取出来,然后与待检测流量进行匹配识别,如果发现相同签名数据,则将该待检测流量识别为恶意流量。这种方式需依赖于网络流量的签名数据,在以明文传输为主的网络流量中发挥了较好的作用。然而,近年来随着加密通信协议的普遍应用,很多恶意流量也开始使用加密通信的方式,将恶意行为隐藏于加密数据中,由于恶意行为被隐藏于加密数据中,从而基于签名的传统识别方式难以奏效。
综上,提供一种能够对诸如加密恶意流量等恶意流量进行识别的实现方案,成为本领域中亟需解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种恶意流量识别方法及系统,以用于实现对诸如加密恶意流量等恶意流量进行识别。
为此,本发明公开如下技术方案:
一种恶意流量识别方法,包括:
实时获取待检测的网络流量的第一流量特征;
基于所述第一流量特征,利用第一识别模型识别所述网络流量的流量类别,得到第一识别结果;
在等待预设时长后获取所述网络流量的第二流量特征;
基于所述第二流量特征,利用第二识别模型识别所述网络流量的流量类别,得到第二识别结果;
基于所述第一识别结果、所述第二识别结果,确定所述网络流量的第三识别结果;其中,所述第一识别结果、所述第二识别结果及所述第三识别结果分别用于表示所述网络流量的类别是否为恶意流量。
上述方法,优选的,所述网络流量为加密网络流量,所述实时获取网络流量的第一流量特征,包括:
将加密网络流量切分为至少一个流量数据单元;
提取所述至少一个流量数据单元的流特征和/或握手阶段的特征。
上述方法,优选的,所述基于所述第一流量特征,利用第一识别模型识别网络流量的流量类别,包括:
将所述至少一个流量数据单元的流特征和/或握手阶段的特征输入所述第一识别模型,得到所述第一识别模型输出的第一识别结果。
上述方法,优选的,所述网络流量为加密网络流量,所述获取网络流量的第二流量特征,包括:
在等待预设时长后,获取加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差。
上述方法,优选的,所述基于所述第二流量特征,利用第二识别模型识别网络流量的流量类别,得到第二识别结果,包括:
将加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差输入所述第二识别模型,得到所述第二识别模型输出的第二识别结果。
一种恶意流量识别系统,包括:
第一获取单元,用于实时获取待检测的网络流量的第一流量特征;
第一识别单元,用于基于所述第一流量特征,利用第一识别模型识别所述网络流量的流量类别,得到第一识别结果;
第二获取单元,用于在等待预设时长后获取所述网络流量的第二流量特征;
第二识别单元,用于基于所述第二流量特征,利用第二识别模型识别所述网络流量的流量类别,得到第二识别结果;
确定单元,用于基于所述第一识别结果、所述第二识别结果,确定所述网络流量的第三识别结果;其中,所述第一识别结果、所述第二识别结果及所述第三识别结果分别用于表示所述网络流量的类别是否为恶意流量。
上述系统,优选的,所述网络流量为加密网络流量,所述第一获取单元,具体用于:
将加密网络流量切分为至少一个流量数据单元;
提取所述至少一个流量数据单元的流特征和/或握手阶段的特征。
上述系统,优选的,所述第一识别单元,具体用于:
将所述至少一个流量数据单元的流特征和/或握手阶段的特征输入所述第一识别模型,得到所述第一识别模型输出的第一识别结果。
上述系统,优选的,所述网络流量为加密网络流量,所述第二获取单元,具体用于:
在等待预设时长后,获取加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差。
上述系统,优选的,所述第二识别单元,具体用于:
将加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差输入所述第二识别模型,得到所述第二识别模型输出的第二识别结果。
由以上方案可知,本发明提供的恶意流量识别方法及系统,通过实时获取网络流量的第一流量特征,并基于所述第一流量特征利用第一识别模型识别网络流量的流量类别,得到第一识别结果,以及在等待预设时长后获取网络流量的第二流量特征,并基于所述第二流量特征利用第二识别模型识别网络流量的流量类别,得到第二识别结果,最终基于所述第一识别结果、所述第二识别结果,得到所述网络流量的第三识别结果,可有效识别网络流量是否为恶意流量,另外,本发明方案基于流量特征及识别模型实现流量类别的识别,不需依赖于网络流量的签名数据,对于将恶意行为隐藏于加密数据中的加密恶意流量同样有着良好的识别效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本发明实施例提供的恶意流量识别方法的流程示意图;
图2是本发明实施例提供的通过两个阶段的模型训练及识别过程来实现对恶意网络流量进行识别的处理逻辑示意图;
图3是本发明实施例提供的恶意流量识别系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了一种恶意流量识别方法及系统,以用于实现对诸如加密恶意流量等恶意流量进行识别,以下将通过具体实施例对本发明的恶意流量识别方法及系统进行详细说明。
参考图1,为本发明一可选实施例所提供的恶意流量识别方法的流程示意图,本实施例中,所述恶意流量识别方法包括如下处理步骤:
步骤101、实时获取待检测的网络流量的第一流量特征。
基于机器学习的恶意流量识别方法可利用流量特征及识别模型来实现流量识别,无需依赖于网络流量的签名数据,从而可作为加密恶意流量识别的一种可行的解决方案,由此,本发明所提供的恶意流量识别方案具体为一种基于机器学习的恶意流量识别方案。此类方案预先通过提取网络流量的某些特征,并结合网络流量的标签数据(如是、否为恶意流量的标签)训练机器学习模型,待模型训练完成后,可进一步利用所训练的模型来识别待检测的网络流量的流量类别,以确定其是否为恶意流量。
接下来,本实施例将主要以对加密恶意流量进行识别为例,来对本发明方案进行详述。
基于机器学习的恶意流量识别的关键在于流量特征的选取。发明人经研究发现:
1)针对加密流量的特征,主要为流特征或握手特征等可以直接、实时地从网络流中提取的特征,这些特征可以在将网络流量切分为独立的流量数据单元后直接、实时地从流量数据单元中提取,且这些特征构成的特征集可以方便地应用于机器学习模型的训练中,在模型训练完成后,也能方便的利用所训练的模型对待检测流量进行识别(识别其是否为恶意流量),很好的满足流量识别的实时性需求;
2)除了流特征或握手特征等可以直接、实时地从网络流中提取的特征,很多反映加密恶意流量的恶意行为的特征并不能立刻从网络流中提取得到,往往需要经过一定时间后才能反映出来,这些特征一般是加密流量中的行为特征,例如,C&C流量的心跳行为,控制端和受控端之间的通联行为特征等,这些特征可以表示深层次的网络流量行为特征,能非常有效地反映流量中的恶意行为,从而可使得识别的准确性较高,但是实时性并不强,需要观察一定时间后才能统计得出。如果只用这样的特征作为机器学习模型的输入,则会失去实时性识别的优势。
基于以上两点,本发明提供了一种基于两阶段机器学习模型的加密恶意流量识别方法,即,具体使用上述两类特征分别训练了两个识别模型,并结合使用两个识别模型对网络流量进行两个阶段的识别,以兼具网络流量识别的实时性和准确性。
所述训练样本可以是实时网络流量,或者还可以是离线pcap文件中的网络流量,或者还可以是两者的结合,本实施例对此不加限制。
具体地,在模型训练阶段,可对作为训练样本的原始网络加密流量实施流量切分、特征提取等数据预处理工作。流量切分,是指按照网络流的形式将流量数据切分为多个流量数据单元,其中网络流是指按照五元组{源IP、源端口、目的IP、目的端口、传输层协议}与首个数据包的开始传输时间共同确定的网络流量数据单元。特征提取,是指对切分过的流量数据单元进行特征提取处理,提取实时性强的流量特征形成第一类特征集,提取实时性弱的流量特征形成第二类特征集,上述的实时性强弱由是否能够从切分后的网络流中立刻提取决定。
同时,针对每个训练样本为其标注是、否为恶意流量的标签数据,在此基础上,在模型训练的第一阶段,可将所述第一类特征集以及样本对应的标签数据输入第一阶段的机器学习模型,在此,本发明将其称为轻量级机器学习模型,该模型可使用监督式机器学习模型,例如随机森林模型等,该模型通过基于输入的实时性强的第一类特征集及标签数据不断进行模型调参来完成模型的学习、训练过程,直至模型达到所要求的识别准确率后结束模型的训练过程,得到基于实时性强的第一类特征集所训练的第一识别模型。
进一步地,在模型训练的第二阶段,可将所述第二类特征集以及样本对应的标签数据输入第二阶段的机器学习模型,在此,本发明将其称为重量级机器学习模型,该模型同样可使用监督式机器学习模型,例如随机森林模型等,该模型通过基于输入的实时性弱的第二类特征集及标签数据不断进行模型调参来完成模型的学习、训练过程,直至模型达到所要求的识别准确率后结束模型的训练过程,得到基于实时性弱的第二类特征集所训练的第二识别模型。
在此基础上,可利用训练所得的上述第一识别模型、第二识别模型对待检测的网络流量如加密流量等进行两个阶段的识别处理,以识别出待检测的网络流量是否为恶意流量。
在利用某一识别模型对待检测的网络流量进行识别处理时,需对待检测的网络流量进行特征提取,以作为该识别模型的模型输入,其中,对待检测的网络流量进行特征提取时所提取的特征应与相对应的识别模型在进行模型训练时对样本数据所提取的特征类型一致。由此,在本步骤101中,实时获取的所述待检测网络流量的第一流量特征,即为待检测网络流量的对应于上述实时性强的第一类特征集的各个特征,例如,能够实时从加密流量等网络流量中提取的流特征和/或握手阶段的特征等,其中,所述流特征可以包括但不限于包总数、流时长等中的任一种或多种,所述握手阶段的特征可以包括但不限于握手协议版本、加密套件等中的任一种或多种。
具体实施中,以待检测的网络流量为加密流量为例,可按照网络流的形式将加密流量的流量数据切分为至少一个流量数据单元,并进一步从所切分的流量数据单元中提取出流特征和/或握手阶段的特征,例如提取出其包总数、流时长、握手协议版本、加密套件这些流特征及握手阶段的特征等,以用于作为所述第一识别模型的模型输入。
步骤102、基于所述第一流量特征,利用第一识别模型识别网络流量的流量类别,得到第一识别结果。
在实时获取待检测的网络流量的第一流量特征的基础上,可直接利用所训练的所述第一识别模型对其进行识别处理,具体地,可将所述第一流量特征输入所述第一识别模型,相应可得到所述第一识别模型所输出的第一识别结果,该第一识别结果用于表示所述待检测的网络流量是否为恶意流量,例如具体表示待检测的加密流量是否为加密恶意流量等。
在得到所述第一识别结果后,优选地,可输出所述第一识别结果,由于所述第一流量特征能够实时地从待检测的网络流量中提取,从而所述第一识别结果的输出同样可具有较好的时效性。
步骤103、在等待预设时长后获取网络流量的第二流量特征。
如上文所述,很多反映加密恶意流量的恶意行为的特征并不能立刻从网络流中提取得到,往往需要经过一定时间后才能反映出来,由此,除了实时获得上述的第一流量特征,并利用第一识别模型对其进行识别处理,本发明还在等待预设时长后进一步获取所述待检测的网络流量的第二流量特征,该第二流量特征即为所述待检测的网络流量对应于上述实时性弱的第二类特征集的各个特征。该第二流量特征可以为待检测的网络流量的相应行为特征,如C&C流量的心跳行为特征,控制端和受控端之间的通联行为特征等,除此之外,该第二流量特征还可以包括所述预设时长内各网络流量如各加密流量的长度方差,当然具体实施中所述第二流量特征可以是上述行为特征及预设时长内各网络流量的长度方差中的任一种或多种,本实施例对此不作限定。
步骤104、基于所述第二流量特征,利用第二识别模型识别网络流量的流量类别,得到第二识别结果。
在等待预设时长后获取待检测网络流量的第二流量特征基础上,可进一步利用所训练的第二识别模型对其进行识别处理,具体地,可将所述第二流量特征输入所述第二识别模型,相应可得到所述第二识别模型所输出的第二识别结果,该第二识别结果同样用于表示所述待检测的网络流量是否为恶意流量,例如具体表示待检测的加密流量是否为加密恶意流量等。
在得到所述第二识别结果后,优选地,可输出所述第二识别结果(当然也可以选择不输出,本实施例对此不作限定),由于所述第二流量特征可以表示深层次的网络流量行为特征,能非常有效地反映流量中的恶意行为,从而可使得识别的准确性较高,可以为用户提供更加丰富的识别建议。
步骤105、基于所述第一识别结果、所述第二识别结果,确定所述网络流量的第三识别结果;其中,所述第一识别结果、所述第二识别结果及所述第三识别结果分别用于表示网络流量的类别是非为恶意流量。
在上述处理的基础上,最终可综合两阶段的识别结果即综合所述第一识别结果、第二识别结果,确定所述待检测的网络流量的最终识别结果,并输出该最终识别结果,该最终识别结果即为所述第三识别结果,同样用于表示所述待检测的网络流量是否为恶意流量。
具体实施中,所述综合两阶段的识别结果,得出所述待检测的网络流量的最终识别结果,可以包括但不限于以下几种情况:
a)当所述第一识别结果、所述第二识别结果这两个识别结果都判定待检测的网络流量为恶意流量时,将所述第三结果确定为恶意流量;
b)当所述第一识别结果、所述第二识别结果这两个识别结果都判定待检测的网络流量为非恶意流量时,将所述第三结果确定为非恶意流量;
c)当所述第一识别结果、所述第二识别结果中的一个判定待检测的网络流量为恶意流量,另一个判断为非恶意流量时,可基于预先设定的判断方式/判断策略确定第三识别结果,例如,直接默认为识别无效丢弃网络流量、或者触发人工查看方式由人工确定是否为恶意流量,或者以某个结果为准但给用户作出标注(标注出来具体以哪个阶段的识别结果为准)等等。
参考图2,图2示出了本发明所提供的通过两个阶段的模型训练及识别过程来实现对恶意网络流量进行识别的处理逻辑示意图,该处理逻辑示意图所对应的具体处理过程具体可参阅上文的陈述,这里不再赘述。
由以上方案可知,本发明提供的恶意流量识别方法,通过实时获取网络流量的第一流量特征,并基于所述第一流量特征利用第一识别模型识别网络流量的流量类别,得到第一识别结果,以及在等待预设时长后获取网络流量的第二流量特征,并基于所述第二流量特征利用第二识别模型识别网络流量的流量类别,得到第二识别结果,最终基于所述第一识别结果、所述第二识别结果,得到所述网络流量的第三识别结果,可有效识别网络流量是否为恶意流量,另外,本发明方案基于流量特征及识别模型实现流量类别的识别,不需依赖于网络流量的签名数据,对于将恶意行为隐藏于加密数据中的加密恶意流量同样有着良好的识别效果。
对应于上述的恶意流量识别方法,本发明还提供了一种恶意流量识别系统,参考图3示出的恶意流量识别系统的结构示意图,该系统可以包括:
第一获取单元301,用于实时获取待检测的网络流量的第一流量特征;
第一识别单元302,用于基于所述第一流量特征,利用第一识别模型识别所述网络流量的流量类别,得到第一识别结果;
第二获取单元303,用于在等待预设时长后获取所述网络流量的第二流量特征;
第二识别单元304,用于基于所述第二流量特征,利用第二识别模型识别所述网络流量的流量类别,得到第二识别结果;
确定单元305,用于基于所述第一识别结果、所述第二识别结果,确定所述网络流量的第三识别结果;其中,所述第一识别结果、所述第二识别结果及所述第三识别结果分别用于表示所述网络流量的类别是否为恶意流量。
在本发明实施例的一可选实施方式中,所述网络流量为加密网络流量,所述第一获取单元301,具体用于:将加密网络流量切分为至少一个流量数据单元;提取所述至少一个流量数据单元的流特征和/或握手阶段的特征。
在本发明实施例的一可选实施方式中,所述第一识别单元302,具体用于:将所述至少一个流量数据单元的流特征和/或握手阶段的特征输入所述第一识别模型,得到所述第一识别模型输出的第一识别结果。
在本发明实施例的一可选实施方式中,所述网络流量为加密网络流量。所述第二获取单元303,具体用于:在等待预设时长后,获取加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差。
在本发明实施例的一可选实施方式中,所述第二识别单元304,具体用于:将加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差输入所述第二识别模型,得到所述第二识别模型输出的第二识别结果。
对于本发明实施例公开的恶意流量识别系统而言,由于其与上文实施例公开的恶意流量识别方法相对应,所以描述的比较简单,相关相似之处请参见上文实施例中恶意流量识别方法部分的说明即可,此处不再详述。
综上所述,相比于现有技术,本发明所提供的恶意流量识别方法及系统,至少具备以下几方面的技术优势:
1)本发明的第一阶段机器学习模型的训练及识别充分利用了实时性强的网络流量特征集,这些特征可以从切分后的网络流量数据单元中直接提取得到,因此相应能够在第一时间内得出待检测网络流量的识别结果,为用户的进一步处理提供了实时的处理建议,满足了流量识别任务中的实时性要求;
2)本发明的第二阶段机器学习模型的训练及识别充分利用了实时性弱但准确性强的网络流量特征集,这些特征可以表示深层次的网络流量行为特征,能非常有效地反映流量中的恶意行为,在某些任务中具有更有针对性的识别作用,为用户提供了更加丰富的处理建议,从而满足了流量识别任务中的准确性要求;
3)本发明通过两个阶段的模型训练及识别过程,可以兼具实时性和准确性的识别效果,即可以实时地给出一个初步的识别结果(第一识别结果),又可以在一定的时间段内给出进一步的识别结果(第二识别结果、第三识别结果),满足了不同应用场景下的多样性需求。综合两阶段的识别结果可以更加全面地反映网络加密流量的不同特征,形成了更加准确的识别结果。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
为了描述的方便,描述以上系统或装置时以功能分为各种模块或单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
最后,还需要说明的是,在本文中,诸如第一、第二、第三和第四等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种恶意流量识别方法,其特征在于,包括:
实时获取待检测的网络流量的第一流量特征,所述第一流量特征包括流特征和/或握手阶段的特征;
基于所述第一流量特征,利用第一识别模型识别所述网络流量的流量类别,得到第一识别结果;
在等待预设时长后获取所述网络流量的第二流量特征,所述第二流量特征包括C&C流量的心跳行为、控制端和受控端之间的通联行为特征、加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差;
基于所述第二流量特征,利用第二识别模型识别所述网络流量的流量类别,得到第二识别结果;
基于所述第一识别结果、所述第二识别结果,确定所述网络流量的第三识别结果;其中,所述第一识别结果、所述第二识别结果及所述第三识别结果分别用于表示所述网络流量的类别是否为恶意流量。
2.根据权利要求1所述的方法,其特征在于,所述网络流量为加密网络流量,所述实时获取待检测的网络流量的第一流量特征,包括:
将加密网络流量切分为至少一个流量数据单元;
提取所述至少一个流量数据单元的流特征和/或握手阶段的特征。
3.根据权利要求2所述的方法,其特征在于,所述基于所述第一流量特征,利用第一识别模型识别网络流量的流量类别,包括:
将所述至少一个流量数据单元的流特征和/或握手阶段的特征输入所述第一识别模型,得到所述第一识别模型输出的第一识别结果。
4.根据权利要求1所述的方法,其特征在于,所述网络流量为加密网络流量,所述获取所述网络流量的第二流量特征,包括:
在等待预设时长后,获取加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差。
5.根据权利要求4所述的方法,其特征在于,所述基于所述第二流量特征,利用第二识别模型识别网络流量的流量类别,得到第二识别结果,包括:
将加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差输入所述第二识别模型,得到所述第二识别模型输出的第二识别结果。
6.一种恶意流量识别系统,其特征在于,包括:
第一获取单元,用于实时获取待检测的网络流量的第一流量特征;
第一识别单元,用于基于所述第一流量特征,利用第一识别模型识别所述网络流量的流量类别,得到第一识别结果;
第二获取单元,用于在等待预设时长后获取所述网络流量的第二流量特征;
第二识别单元,用于基于所述第二流量特征,利用第二识别模型识别所述网络流量的流量类别,得到第二识别结果;
确定单元,用于基于所述第一识别结果、所述第二识别结果,确定所述网络流量的第三识别结果;其中,所述第一识别结果、所述第二识别结果及所述第三识别结果分别用于表示所述网络流量的类别是否为恶意流量。
7.根据权利要求6所述的系统,其特征在于,所述网络流量为加密网络流量,所述第一获取单元,具体用于:
将加密网络流量切分为至少一个流量数据单元;
提取所述至少一个流量数据单元的流特征和/或握手阶段的特征。
8.根据权利要求7所述的系统,其特征在于,所述第一识别单元,具体用于:
将所述至少一个流量数据单元的流特征和/或握手阶段的特征输入所述第一识别模型,得到所述第一识别模型输出的第一识别结果。
9.根据权利要求6所述的系统,其特征在于,所述网络流量为加密网络流量,所述第二获取单元,具体用于:
在等待预设时长后,获取加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差。
10.根据权利要求9所述的系统,其特征在于,所述第二识别单元,具体用于:
将加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差输入所述第二识别模型,得到所述第二识别模型输出的第二识别结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910636636.8A CN112235230B (zh) | 2019-07-15 | 2019-07-15 | 一种恶意流量识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910636636.8A CN112235230B (zh) | 2019-07-15 | 2019-07-15 | 一种恶意流量识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112235230A CN112235230A (zh) | 2021-01-15 |
| CN112235230B true CN112235230B (zh) | 2023-05-02 |
Family
ID=74111126
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910636636.8A Active CN112235230B (zh) | 2019-07-15 | 2019-07-15 | 一种恶意流量识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112235230B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113014549B (zh) * | 2021-02-01 | 2022-04-08 | 北京邮电大学 | 基于http的恶意流量分类方法及相关设备 |
| CN113329023A (zh) * | 2021-05-31 | 2021-08-31 | 西北大学 | 一种加密流量恶意性检测模型建立、检测方法及系统 |
| CN114079579B (zh) * | 2021-10-21 | 2024-03-15 | 北京天融信网络安全技术有限公司 | 一种恶意加密流量检测方法及装置 |
| CN115296937B (zh) * | 2022-10-09 | 2023-04-18 | 中孚信息股份有限公司 | 一种用于实时加密恶意流量识别的方法及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108200032A (zh) * | 2017-12-27 | 2018-06-22 | 北京奇艺世纪科技有限公司 | 一种数据检测方法、装置及电子设备 |
| CN108737367A (zh) * | 2018-04-02 | 2018-11-02 | 中国科学院信息工程研究所 | 一种视频监控网络的异常检测方法及系统 |
| CN109818976A (zh) * | 2019-03-15 | 2019-05-28 | 杭州迪普科技股份有限公司 | 一种异常流量检测方法及装置 |
| CN110011931A (zh) * | 2019-01-25 | 2019-07-12 | 中国科学院信息工程研究所 | 一种加密流量类别检测方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180150635A1 (en) * | 2016-11-28 | 2018-05-31 | The United States Of America As Represented By The Secretary Of The Navy | Apparatus and Method for Using a Support Vector Machine and Flow-Based Features to Detect Peer-to-Peer Botnet Traffic |
| US10855698B2 (en) * | 2017-12-22 | 2020-12-01 | Cisco Technology, Inc. | Leveraging endpoint and network environment inferences for malware traffic classification |
-
2019
- 2019-07-15 CN CN201910636636.8A patent/CN112235230B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108200032A (zh) * | 2017-12-27 | 2018-06-22 | 北京奇艺世纪科技有限公司 | 一种数据检测方法、装置及电子设备 |
| CN108737367A (zh) * | 2018-04-02 | 2018-11-02 | 中国科学院信息工程研究所 | 一种视频监控网络的异常检测方法及系统 |
| CN110011931A (zh) * | 2019-01-25 | 2019-07-12 | 中国科学院信息工程研究所 | 一种加密流量类别检测方法及系统 |
| CN109818976A (zh) * | 2019-03-15 | 2019-05-28 | 杭州迪普科技股份有限公司 | 一种异常流量检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112235230A (zh) | 2021-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112235230B (zh) | 一种恶意流量识别方法及系统 | |
| US9781139B2 (en) | Identifying malware communications with DGA generated domains by discriminative learning | |
| WO2020244066A1 (zh) | 一种文本分类方法、装置、设备及存储介质 | |
| CN107070852B (zh) | 网络攻击检测方法和装置 | |
| CN108768883B (zh) | 一种网络流量识别方法及装置 | |
| CN105095211B (zh) | 多媒体数据的获取方法和装置 | |
| KR101869895B1 (ko) | 딥 러닝 기반의 오브젝트 인식 서버, 오브젝트 인식 시스템 및 오브젝트 인식 방법 | |
| CN107657174B (zh) | 一种基于协议指纹的数据库入侵检测方法 | |
| CN108334758B (zh) | 一种用户越权行为的检测方法、装置及设备 | |
| JP2008011537A5 (zh) | ||
| CN111523317B (zh) | 语音质检方法、装置、电子设备及介质 | |
| CN106601243A (zh) | 一种视频文件识别方法及装置 | |
| CN109275045B (zh) | 基于dfi的移动端加密视频广告流量识别方法 | |
| CN111314279B (zh) | 一种基于网络流量的未知协议逆向方法 | |
| CN112464036B (zh) | 一种违规数据的审核方法及装置 | |
| CN110020161B (zh) | 数据处理方法、日志处理方法和终端 | |
| CN108804527A (zh) | 基于微信区域朋友圈数据分析系统及方法 | |
| CN115314268B (zh) | 基于流量指纹和行为的恶意加密流量检测方法和系统 | |
| CN111488813B (zh) | 视频的情感标注方法、装置、电子设备及存储介质 | |
| CN112016317A (zh) | 基于人工智能的敏感词识别方法、装置及计算机设备 | |
| CN111182002A (zh) | 基于http首个问答包聚类分析的僵尸网络检测装置 | |
| CN113794687A (zh) | 基于深度学习的恶意加密流量检测方法及装置 | |
| CN111383660B (zh) | 一种网站不良信息监测系统及其监测方法 | |
| CN106982147B (zh) | 一种Web通讯应用的通讯监控方法和装置 | |
| CN110532756A (zh) | 一种系统指纹识别方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |