CN114513341B - 恶意流量检测方法、装置、终端及计算机可读存储介质 - Google Patents
恶意流量检测方法、装置、终端及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114513341B CN114513341B CN202210074257.6A CN202210074257A CN114513341B CN 114513341 B CN114513341 B CN 114513341B CN 202210074257 A CN202210074257 A CN 202210074257A CN 114513341 B CN114513341 B CN 114513341B
- Authority
- CN
- China
- Prior art keywords
- flow
- detected
- traffic
- malicious
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种恶意流量检测方法、装置、终端及计算机可读存储介质,通过获取待检测流量的特征信息,将该特征信息输入预设的恶意流量检测模型库进行检测,其中,恶意流量检测模型库中包括至少2种检测模型,根据各检测模型的检测结果确定待检测流量是否是恶意流量,在上述实现过程中,由于预设有至少2种检测模型,因此可以根据至少2种检测模型的检测结果确定待检测流量是否是恶意流量,弥补了仅通过一种检测模型进行检测判断的不足,检测结果更加准确。
Description
技术领域
本申请涉及互联网技术领域,具体而言,涉及一种恶意流量检测方法、装置、终端及计算机可读存储介质。
背景技术
随着互联网技术的迅速发展,使用HTTP流量进行通信的恶意软件数量逐渐增加,为保证信息安全,有必要对恶意流量进行检测。目前,通常是通过机器学习来检测恶意流量,比如,可以利用机器学习来发现恶意流量间的共性,并以此为依据检测恶意流量。但是目前在对恶意流量进行检测时,通常是基于一种检测模型进行检测,也即,仅通过一种检测模型的检测结果确定待检测流量是否是恶意流量,因此,检测结果不够准确,存在一定的片面性,误检率高。
发明内容
本申请实施例的目的在于提供一种恶意流量检测方法、装置、终端及计算机可读存储介质,用以解决现有技术中仅通过一种检测模型进行恶意流量的检测,导致检测结果存在一定的片面性、不够准确、误检率高的问题。
本申请实施例提供一种恶意流量检测方法,所述方法包括:
获取待检测流量的特征信息;
将所述特征信息输入预设的恶意流量检测模型库进行检测,所述恶意流量检测模型库中包括至少2种检测模型;
根据各所述检测模型的检测结果确定所述待检测流量是否是恶意流量。
在上述实现过程中,由于预设有至少2种检测模型,因此可以根据至少2种检测模型的检测结果确定待检测流量是否是恶意流量,弥补了仅通过一种检测模型进行检测判断的不足,检测结果更加准确。
进一步地,所述根据各所述检测模型的检测结果确定所述待检测流量是否是恶意流量,包括:
确定目标检测模型的数量,所述目标检测模型输出的检测结果指示所述待检测流量为恶意流量;
根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量。
在上述实现过程中,从目标检测模型的数量这一维度进行进一步判断,保证了检测结果的准确性。
进一步地,所述根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量,包括:
当所述目标检测模型的数量大于等于预设数量阈值时,将所述待检测流量确定为恶意流量。
在上述实现过程中,在确定目标检测模型的数量大于等于预设数量阈值时,再将该待检测流量确定为恶意流量,提升检测结果的准确性。
进一步地,所述待检测流量的数量为多条,所述根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量,包括:
针对每一条所述待检测流量,当与之对应的目标检测模型的数量小于所述预设数量阈值时,将该条待检测流量加入第一待确认流量集合;
在达到预设的第一分类条件时,对所述第一待确认流量集合中的各所述待检测流量进行分类,得到至少2个第一分类集合,同一所述第一分类集合下的各所述待检测流量相似;
确定各所述第一分类集合中的待检测流量是否是恶意流量。
在上述实现过程中,在确定目标检测模型的数量小于预设数量阈值时,对该待检测流量进行进一步检测,防止误检。
进一步地,所述待检测流量的数量为多条,所述根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量,包括:
针对每一条所述待检测流量,当与之对应的目标检测模型的数量大于等于所述预设数量阈值时,将该条待检测流量加入第二待确认流量集合;
在达到预设的第二分类条件时,对所述第二待确认流量集合中的各所述待检测流量进行分类,得到至少2个第二分类集合,同一所述第二分类集合下的各所述待检测流量相似;
从所述第二分类集合中确定出最符合恶意流量特征的第二目标分类集合;
将所述第二目标分类集合中的各所述待检测流量确定为恶意流量。
在上述实现过程中,基于目标检测模型的数量确定出第二待确认流量集合,然后对第二待确认流量集合中的待检测流量进行分类,根据分类结果筛选出恶意流量,通过串联式的检测方式提升检测结果的准确性。
进一步地,所述待检测流量的数量为多条,所述方法还包括:
对所述待检测流量进行分类得到至少2个第三分类集合,同一所述第三分类集合下的各所述待检测流量相似;
从所述第三分类集合中确定出最符合恶意流量特征的第三目标分类集合;
所述根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量包括:
针对每一条所述待检测流量,当与之对应的目标检测模型的数量大于等于所述预设数量阈值时,将该条待检测流量加入第二待确认流量集合;
根据所述第二待确认流量集合与所述第三目标分类集合从获取到的所述待检测流量中确定出恶意流量。
在上述实现过程中,对获取到的待检测流量进行分类,根据分类结果筛选出第三目标分类集合,根据第三目标分类集合与第二待确认流量集合确定出恶意流量,通过并联式的检测方式提升检测结果的准确性。
进一步地,所述根据所述第二待确认流量集合与所述第三目标分类集合从获取到的所述待检测流量中确定出恶意流量,包括:
对所述第二待确认流量集合与所述第三目标分类集合求交集;
将所述交集中的各所述待检测流量确定为恶意流量。
在上述实现过程中,将第二待确认流量集合与第三目标分类集合交集中的待检测流量确定为恶意流量,保证了检测结果的准确性,降低了将正常流量误检为恶意流量的概率。
本申请实施例还提供了一种恶意流量检测装置,包括:
获取模块,用于获取待检测流量的特征信息;
检测模块,用于将所述特征信息输入预设的恶意流量检测模型库进行检测,所述恶意流量检测模型库中包括至少2种检测模型;
确定模块,用于根据各所述检测模型的检测结果确定所述待检测流量是否是恶意流量。
本申请实施例还提供了一种终端,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序,以实现上述任意一种方法。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被至少一个处理器执行时,以实现上述任意一种方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例一提供的恶意流量检测方法的流程示意图;
图2为本申请实施例一提供的对待检测流量进行进一步检测的第一流程示意图;
图3为本申请实施例一提供的对待检测流量进行进一步检测的第二流程示意图;
图4为本申请实施例一提供的对待检测流量进行进一步检测的第三流程示意图;
图5为本申请实施例二提供的恶意流量检测装置的结构示意图;
图6为本申请实施例三提供的终端的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明实施例中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
在本发明的描述中,需要理解的是,步骤前的数字标号并不标识执行步骤的前后顺序,仅用于方便描述本发明及区别每一步骤,因此不能理解为对本发明的限制。
下面将提供多个实施例,来具体介绍恶意流量检测方法、装置、终端及计算机可读存储介质。
实施例一:
为解决现有技术中仅通过一种检测模型进行恶意流量的检测,导致检测结果存在一定的片面性、不够准确、误检率高的问题,本申请实施例提供一种恶意流量检测方法。请参见图1所示,该方法可以包括以下步骤。
S11:获取待检测流量的特征信息。
应当说明的是,步骤S11中的待检测流量可以是http流量,也可以是其他类型的流量,其中,待检测流量的特征信息可以是该待检测流量任意特征对应的特征信息,比如,可以是请求头特征的特征信息,具体来说,可以是请求头中URL字符特征的特征信息,本实施例中,可以获取URL字符特征的特征信息,具体的,可以参考下面表一中的URL字符特征。
表一
S12:将特征信息输入预设的恶意流量检测模型库进行检测,恶意流量检测模型库中包括至少2种检测模型。
步骤S12中预设的恶意流量检测模型的数量以及种类都可以由开发人员灵活设置。本实施例中,恶意流量检测模型库中的检测模型包括但不限于是:ML检测模型、KNN检测模型、逻辑回归检测模型、决策树检测模型以及随机森林检测模型中的至少两种。在其他实施例中,也可以采用其他类型的检测模型进行检测。
步骤S12实质是对待检测流量进行初检,也即,是对待检测流量是否是恶意流量进行初步检测的过程。步骤S11中获取的待检测流量的数量可以是1条,也可以是多条,如果获取的是多条,则针对每一条待检测流量,每一检测模型都可以输出一个对应的检测结果。
为便于理解,这里对上述检测模型的生成过程进行简单说明。
获取用于进行模型训练的训练流量,其中,训练流量中包含设置有恶意流量标签的训练流量和设置有良性流量标签的训练流量,针对每一训练流量,提取其特征信息,这里可以提取训练流量的URL特征的特征信息,然后基于提取的特征信息进行模型训练。
S13:根据各检测模型的检测结果确定待检测流量是否是恶意流量。
步骤S13中,针对每一条待检测流量,根据各检测模型的检测结果,对待检测流量是否是恶意流量进行进一步确认,弥补了仅通过一种检测模型进行检测判断的不足,检测结果更加准确。
应当说明的是,步骤S13中,可以根据目标检测模型的数量确定待检测流量是否是恶意流量,其中,目标检测模型为输出的检测结果指示所述待检测流量为恶意流量的检测模型。
在第一种实施方式中,针对某一待检测流量,当与之对应的目标检测模型的数量大于等于预设数量阈值时,可以直接将该待检测流量确定为恶意流量。若该待检测流量对应的目标检测模型的数量小于预设数量阈值,可以直接将该待检测流量确定为良性流量,也可以对该待检测流量进行更进一步的检测,比如可以直接采用上述检测模型以外的检测模型对该待检测流量进行进一步检测,根据该检测模型的检测结果确定该待检测流量是良性流量还是恶意流量,具体的,这里可以采用无监督学习检测模型对该待检测流量进行进一步检测,请参见图2所示,可以包括如下步骤:
S201:针对每一条待检测流量,当与之对应的目标检测模型的数量小于预设数量阈值时,将该条待检测流量加入第一待确认流量集合。
S202:在达到预设的第一分类条件时,对第一待确认流量集合中的各待检测流量进行分类,得到至少2个第一分类集合,同一第一分类集合下的各待检测流量相似。
步骤S202中可以每隔一个预设的时间间隔就对第一待确认流量集合中的各待检测流量分类,也可以在确认第一待确认流量集合中的待检测流量的数量达到预设第一数量值时再进行分类。这里可以针对第一待确认流量集合中的每一待检测流量,获取其相关特征的特征信息,得到对应的特征向量,基于该特征向量采用预先经训练的K-means聚类模型、SOM聚类模型或者其他的聚类模型对第一待确认流量集合中的各待检测流量分类。同一第一分类集合下的各待检测流量相似指各同一分类集合下各待检测流量的相关特征的特征信息相似。
应当说明的是,步骤S202中的相关特征可以和上述步骤S11中对应的特征相同,也可以不同,为保证分类结果的准确性以及运算效率,步骤S202中的相关特征可以是对步骤S11中使用的特征进行PCA(Principal Component Analysis,主成分分析)后得到的特征。PCA是将有多个相关特征的数据集投影到相关特征较少的坐标系上,这些新的、不相关的特征(之前称为超级列)叫主成分。
可以对上述表一中的特征进行主成分分析,提取出14个特征作为聚类的特征,聚类过程使用的特征如下表二所示:
表二
S203:确定各第一分类集合中的待检测流量是否是恶意流量。
在步骤S203中,可以对各第一分类集合中的待检测流量进行分析,针对某一第一分类集合,确定该第一分类集合中的所有待检测流量为恶意流量或良性流量,如果两者都不是,当做噪音处理。
在第二种实施方式中,针对某一待检测流量,当与之对应的目标检测模型的数量大于等于预设数量阈值时,可以就该待检测流量是否是恶意流量作进一步确认,当与之对应的目标检测模型的数量小于预设数量阈值时,可以直接将该待检测流量确定为良性流量,也可以对该待检测流量进行更进一步的检测,这里主要对当与之对应的目标检测模型的数量大于等于预设数量阈值时,对将该待检测流量是否是恶意流量作进一步确认的具体过程进行说明,提供两种不同的示例,第一种示例请参见图3所示,包括如下步骤:
S301:针对每一条待检测流量,当与之对应的目标检测模型的数量大于等于所述预设数量阈值时,将该条待检测流量加入第二待确认流量集合。
S302:在达到预设的第二分类条件时,对第二待确认流量集合中的各待检测流量进行分类,得到至少2个第二分类集合,同一第二分类集合下的各所述待检测流量相似。
步骤S302中可以每隔一个预设的时间间隔就对第二待确认流量集合中的各待检测流量分类,也可以在确认第二待确认流量集合中的待检测流量的数量达到预设第二数量值时再进行分类。与上述对第一待确认流量集合中的待检测流量进行分类的过程相似,这里可以针对第二待确认流量集合中的每一待检测流量,获取其相关特征的特征信息,得到对应的特征向量,基于该特征向量采用预先经训练的K-means聚类模型、SOM聚类模型或者其他的聚类模型对第二待确认流量集合中的各待检测流量分类。同样的,步骤S302中的相关特征也可以对步骤S11中使用的特征进行PCA后得到的特征,这里不再赘述。
S303:从第二分类集合中确定出最符合恶意流量特征的第二目标分类集合。
在步骤S303中,对各第二分类集合进行分析,比如可以计算各待检测流量与恶意流量之间的相似度,这里的恶意流量可以是模型训练阶段的训练流量,选择相似度最高的第二分类集合作为第二目标分类集合。
S304:将第二目标分类集合中的各待检测流量确定为恶意流量。
而至于第二分类集合中除去所述第二目标分类集合以外的集合,可以直接对这些集合中的待检测流量使用其他检测手段进行检测,也可以直接将这些集合中的待检测流量直接确定为良性流量。
在第二种实施方式提供的第一种示例中,基于目标检测模型的数量确定出第二待确认流量集合,然后对第二待确认流量集合中的待检测流量进行分类,根据分类结果筛选出恶意流量,通过串联式的检测方式提升检测结果的准确性。
第二种示例请参见图4所示,具体的,该方法包括如下子步骤:
S401:对待检测流量进行分类得到至少2个第三分类集合,同一第三分类集合下的各所述待检测流量相似。
步骤S401是对步骤S11中获取到的待检测流量进行分类。这里的分类过程以及算法与上述分类过程及算法相似,这里不再赘述。
S402:从第三分类集合中确定出最符合恶意流量特征的第三目标分类集合。
S403:针对每一条待检测流量,当与之对应的目标检测模型的数量大于等于预设数量阈值时,将该条待检测流量加入第二待确认流量集合。
应当说明的是,步骤S401和步骤S402可以先于步骤S403执行,也可以与步骤S403同步执行,也可以在步骤S403之后执行。
S404:根据第二待确认流量集合与第三目标分类集合从获取到的待检测流量中确定出恶意流量。
步骤S404中,可以对第二待确认流量集合与第三目标分类集合求交集,将交集中的各待检测流量确定为恶意流量。当然了,在其他实施例中,可以对第二待确认流量集合与第三目标分类集合求并集,将并集中各待检测流量确定为恶意流量。
而至于第三分类集合中除去所述第三目标分类集合以外的集合,可以直接对这些集合中的待检测流量使用其他检测手段进行检测,也可以直接将这些集合中的待检测流量直接确定为良性流量。
在第二种实施方式提供的第二种示例中,对获取到的待检测流量进行分类,根据分类结果筛选出第三目标分类集合,根据第三目标分类集合与第二待确认流量集合确定出恶意流量,通过并联式的检测方式提升检测结果的准确性。
实施例二:
本申请实施例提供一种恶意流量检测装置,请参见图5所示,包括:
获取模块501,用于获取待检测流量的特征信息;
检测模块502,用于将所述特征信息输入预设的恶意流量检测模型库进行检测,所述恶意流量检测模型库中包括至少2种检测模型;
确定模块503,用于根据各所述检测模型的检测结果确定所述待检测流量是否是恶意流量。
实施例中,恶意流量检测模型库中的检测模型包括但不限于是:ML检测模型、KNN检测模型、逻辑回归检测模型、决策树检测模型以及随机森林检测模型中的至少两种。在其他实施例中,也可以采用其他类型的检测模型进行检测。
在示例性的实施例中,确定模块503用于针对某一待检测流量,当与之对应的目标检测模型的数量大于等于预设数量阈值时,直接将该待检测流量确定为恶意流量。若该待检测流量对应的目标检测模型的数量小于预设数量阈值,直接将该待检测流量确定为良性流量,或者对该待检测流量进行更进一步的检测,比如可以直接采用上述检测模型以外的检测模型对该待检测流量进行进一步检测,根据该检测模型的检测结果确定该待检测流量是良性流量还是恶意流量,具体的,这里可以采用无监督学习检测模型对该待检测流量进行进一步检测。
在示例性的实施例中,确定模块503用于针对每一条待检测流量,当与之对应的目标检测模型的数量小于预设数量阈值时,将该条待检测流量加入第一待确认流量集合,在达到预设的第一分类条件时,对第一待确认流量集合中的各待检测流量进行分类,得到至少2个第一分类集合,同一第一分类集合下的各待检测流量相似,确定各第一分类集合中的待检测流量是否是恶意流量。
在示例性的实施例中,确定模块503用于针对某一待检测流量,当与之对应的目标检测模型的数量大于等于预设数量阈值时,对将该待检测流量是否是恶意流量作进一步确认,当与之对应的目标检测模型的数量小于预设数量阈值时,直接将该待检测流量确定为良性流量,或对该待检测流量进行更进一步的检测。具体的,确定模块503用于针对每一条待检测流量,当与之对应的目标检测模型的数量大于等于所述预设数量阈值时,将该条待检测流量加入第二待确认流量集合,在达到预设的第二分类条件时,对第二待确认流量集合中的各待检测流量进行分类,得到至少2个第二分类集合,同一第二分类集合下的各所述待检测流量相似,从第二分类集合中确定出最符合恶意流量特征的第二目标分类集合,将第二目标分类集合中的各待检测流量确定为恶意流量。或者,确定模块503用于对待检测流量进行分类得到至少2个第三分类集合,同一第三分类集合下的各所述待检测流量相似,从第三分类集合中确定出最符合恶意流量特征的第三目标分类集合,针对每一条待检测流量,当与之对应的目标检测模型的数量大于等于预设数量阈值时,将该条待检测流量加入第二待确认流量集合,根据第二待确认流量集合与第三目标分类集合从获取到的待检测流量中确定出恶意流量。
实施例三:
基于同一发明构思,本申请实施例提供一种终端,请参见图6所示,包括处理器601和存储器602,所述存储器602中存储有计算机程序,所述处理器601执行所述计算机程序,以实现上述实施例一中方法的步骤,在此不再赘述。
应当说明的是,本实施例中的设备可以是PC(Personal Computer,个人电脑)、手机、平板电脑、笔记本电脑、虚拟主机等。也可以是机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。
可以理解,图6所示的结构仅为示意,设备还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。
处理器601可以是一种集成电路芯片,具有信号处理能力。上述处理器601可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。
存储器602可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)等。
本实施例还提供了一种计算机可读存储介质,如软盘、光盘、硬盘、闪存、U盘、SD(Secure Digital Memory Card,安全数码卡)卡、MMC(Multimedia Card,多媒体卡)卡等,在该计算机可读存储介质中存储有实现上述各个步骤的一个或者多个程序,这一个或者多个程序可被一个或者多个处理器执行,以实现上述实施例一中方法的各步骤,在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (7)
1.一种恶意流量检测方法,其特征在于,包括:
获取待检测流量的特征信息;
将所述特征信息输入预设的恶意流量检测模型库进行检测,所述恶意流量检测模型库中包括至少2种检测模型;
根据各所述检测模型的检测结果确定所述待检测流量是否是恶意流量;
其中,所述根据各所述检测模型的检测结果确定所述待检测流量是否是恶意流量,包括:
确定目标检测模型的数量,所述目标检测模型输出的检测结果指示所述待检测流量为恶意流量;
根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量;
其中,所述待检测流量的数量为多条,所述方法还包括:
对所述待检测流量进行分类得到至少2个第三分类集合,同一所述第三分类集合下的各所述待检测流量相似;
从所述第三分类集合中确定出最符合恶意流量特征的第三目标分类集合;
所述根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量包括:
针对每一条所述待检测流量,当与之对应的目标检测模型的数量大于等于预设数量阈值时,将该条待检测流量加入第二待确认流量集合;
根据所述第二待确认流量集合与所述第三目标分类集合从获取到的所述待检测流量中确定出恶意流量;
其中,所述根据所述第二待确认流量集合与所述第三目标分类集合从获取到的所述待检测流量中确定出恶意流量,包括:
对所述第二待确认流量集合与所述第三目标分类集合求交集;
将所述交集中的各所述待检测流量确定为恶意流量。
2.如权利要求1所述的恶意流量检测方法,其特征在于,所述根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量,包括:
当所述目标检测模型的数量大于等于所述预设数量阈值时,将所述待检测流量确定为恶意流量。
3.如权利要求2所述的恶意流量检测方法,其特征在于,所述待检测流量的数量为多条,所述根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量,包括:
针对每一条所述待检测流量,当与之对应的目标检测模型的数量小于所述预设数量阈值时,将该条待检测流量加入第一待确认流量集合;
在达到预设的第一分类条件时,对所述第一待确认流量集合中的各所述待检测流量进行分类,得到至少2个第一分类集合,同一所述第一分类集合下的各所述待检测流量相似;
确定各所述第一分类集合中的待检测流量是否是恶意流量。
4.如权利要求1所述的恶意流量检测方法,其特征在于,所述待检测流量的数量为多条,所述根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量,包括:
针对每一条所述待检测流量,当与之对应的目标检测模型的数量大于等于所述预设数量阈值时,将该条待检测流量加入第二待确认流量集合;
在达到预设的第二分类条件时,对所述第二待确认流量集合中的各所述待检测流量进行分类,得到至少2个第二分类集合,同一所述第二分类集合下的各所述待检测流量相似;
从所述第二分类集合中确定出最符合恶意流量特征的第二目标分类集合;
将所述第二目标分类集合中的各所述待检测流量确定为恶意流量。
5.一种恶意流量检测装置,其特征在于,包括:
获取模块,用于获取待检测流量的特征信息;
检测模块,用于将所述特征信息输入预设的恶意流量检测模型库进行检测,所述恶意流量检测模型库中包括至少2种检测模型;
确定模块,用于根据各所述检测模型的检测结果确定所述待检测流量是否是恶意流量;
其中,所述根据各所述检测模型的检测结果确定所述待检测流量是否是恶意流量,包括:
确定目标检测模型的数量,所述目标检测模型输出的检测结果指示所述待检测流量为恶意流量;
根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量;
其中,所述待检测流量的数量为多条,包括:
对所述待检测流量进行分类得到至少2个第三分类集合,同一所述第三分类集合下的各所述待检测流量相似;
从所述第三分类集合中确定出最符合恶意流量特征的第三目标分类集合;
所述根据所述目标检测模型的数量确定所述待检测流量是否是恶意流量包括:
针对每一条所述待检测流量,当与之对应的目标检测模型的数量大于等于预设数量阈值时,将该条待检测流量加入第二待确认流量集合;
根据所述第二待确认流量集合与所述第三目标分类集合从获取到的所述待检测流量中确定出恶意流量;
其中,所述根据所述第二待确认流量集合与所述第三目标分类集合从获取到的所述待检测流量中确定出恶意流量,包括:
对所述第二待确认流量集合与所述第三目标分类集合求交集;
将所述交集中的各所述待检测流量确定为恶意流量。
6.一种终端,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序,以实现如权利要求1-4中任意一项所述的方法。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被至少一个处理器执行时,以实现如权利要求1-4中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210074257.6A CN114513341B (zh) | 2022-01-21 | 2022-01-21 | 恶意流量检测方法、装置、终端及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210074257.6A CN114513341B (zh) | 2022-01-21 | 2022-01-21 | 恶意流量检测方法、装置、终端及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114513341A CN114513341A (zh) | 2022-05-17 |
| CN114513341B true CN114513341B (zh) | 2023-09-12 |
Family
ID=81549225
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210074257.6A Active CN114513341B (zh) | 2022-01-21 | 2022-01-21 | 恶意流量检测方法、装置、终端及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114513341B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116821902B (zh) * | 2023-05-04 | 2024-02-06 | 湖北省电子信息产品质量监督检验院 | 一种基于机器学习的恶意应用检测方法、装置及设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294993A (zh) * | 2017-07-05 | 2017-10-24 | 重庆邮电大学 | 一种基于集成学习的web异常流量监测方法 |
| CN108718291A (zh) * | 2018-02-28 | 2018-10-30 | 北京微智信业科技有限公司 | 一种基于大数据的恶意url检测方法 |
| CN109547423A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
| CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
| CN112134876A (zh) * | 2020-09-18 | 2020-12-25 | 中移(杭州)信息技术有限公司 | 流量识别系统及方法、服务器 |
| WO2021118606A1 (en) * | 2019-12-12 | 2021-06-17 | Vade Secure Inc. | Methods, devices and systems for combining object detection models |
| CN113705619A (zh) * | 2021-08-03 | 2021-11-26 | 广州大学 | 一种恶意流量检测方法、系统、计算机及介质 |
| CN113923042A (zh) * | 2021-10-26 | 2022-01-11 | 南京邮电大学 | 一种恶意软件滥用DoH的检测识别系统及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8826438B2 (en) * | 2010-01-19 | 2014-09-02 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
| KR101666177B1 (ko) * | 2015-03-30 | 2016-10-14 | 한국전자통신연구원 | 악성 도메인 클러스터 탐지 장치 및 방법 |
-
2022
- 2022-01-21 CN CN202210074257.6A patent/CN114513341B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294993A (zh) * | 2017-07-05 | 2017-10-24 | 重庆邮电大学 | 一种基于集成学习的web异常流量监测方法 |
| CN108718291A (zh) * | 2018-02-28 | 2018-10-30 | 北京微智信业科技有限公司 | 一种基于大数据的恶意url检测方法 |
| CN109547423A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
| CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
| WO2021118606A1 (en) * | 2019-12-12 | 2021-06-17 | Vade Secure Inc. | Methods, devices and systems for combining object detection models |
| CN112134876A (zh) * | 2020-09-18 | 2020-12-25 | 中移(杭州)信息技术有限公司 | 流量识别系统及方法、服务器 |
| CN113705619A (zh) * | 2021-08-03 | 2021-11-26 | 广州大学 | 一种恶意流量检测方法、系统、计算机及介质 |
| CN113923042A (zh) * | 2021-10-26 | 2022-01-11 | 南京邮电大学 | 一种恶意软件滥用DoH的检测识别系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于威胁情报和多分类器投票机制的恶意URL检测模型;杨杉;肖治华;张成;;计算机与数字工程(第08期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114513341A (zh) | 2022-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111178380B (zh) | 数据分类方法、装置及电子设备 | |
| US9130778B2 (en) | Systems and methods for spam detection using frequency spectra of character strings | |
| CN111090807B (zh) | 一种基于知识图谱的用户识别方法及装置 | |
| CN109885597B (zh) | 基于机器学习的用户分群处理方法、装置及电子终端 | |
| WO2021072876A1 (zh) | 证件图像分类方法、装置、计算机设备及可读存储介质 | |
| CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
| CN108961019B (zh) | 一种用户账户的检测方法和装置 | |
| CN114513341B (zh) | 恶意流量检测方法、装置、终端及计算机可读存储介质 | |
| CN114662602A (zh) | 一种离群点检测方法、装置、电子设备及存储介质 | |
| CN114329469A (zh) | Api异常调用行为检测方法、装置、设备及存储介质 | |
| CN114510716A (zh) | 文档检测方法、模型训练方法、装置、终端及存储介质 | |
| CN114448664A (zh) | 钓鱼网页的识别方法、装置、计算机设备及存储介质 | |
| CN113723555A (zh) | 异常数据的检测方法及装置、存储介质、终端 | |
| CN112214770A (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
| CN110598115A (zh) | 一种基于人工智能多引擎的敏感网页识别方法及系统 | |
| CN113742730B (zh) | 恶意代码检测方法、系统及计算机可读存储介质 | |
| CN108804917B (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
| CN111224919A (zh) | 一种ddos识别方法、装置、电子设备及介质 | |
| CN111539576B (zh) | 一种风险识别模型的优化方法及装置 | |
| CN109784047B (zh) | 基于多特征的程序检测方法 | |
| CN113642000A (zh) | 恶意应用的识别方法、装置、计算机设备及存储介质 | |
| CN112836747A (zh) | 眼动数据的离群处理方法及装置、计算机设备、存储介质 | |
| US11210605B1 (en) | Dataset suitability check for machine learning | |
| CN111339360B (zh) | 视频处理方法、装置、电子设备及计算机可读存储介质 | |
| CN111708908A (zh) | 视频标签的添加方法及装置、电子设备、计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |