CN115296937A - 一种用于实时加密恶意流量识别的方法及设备 - Google Patents

一种用于实时加密恶意流量识别的方法及设备 Download PDF

Info

Publication number
CN115296937A
CN115296937A CN202211223891.8A CN202211223891A CN115296937A CN 115296937 A CN115296937 A CN 115296937A CN 202211223891 A CN202211223891 A CN 202211223891A CN 115296937 A CN115296937 A CN 115296937A
Authority
CN
China
Prior art keywords
data
preset
malicious
domain name
object type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211223891.8A
Other languages
English (en)
Other versions
CN115296937B (zh
Inventor
唐上
魏东晓
路冰
马衍硕
卢延科
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongfu Information Co Ltd
Original Assignee
Zhongfu Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongfu Information Co Ltd filed Critical Zhongfu Information Co Ltd
Priority to CN202211223891.8A priority Critical patent/CN115296937B/zh
Publication of CN115296937A publication Critical patent/CN115296937A/zh
Application granted granted Critical
Publication of CN115296937B publication Critical patent/CN115296937B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种用于实时加密恶意流量识别的方法及设备,主要涉及恶意流量识别技术领域,用以解决现有的识别模型无法识别新出现的特征值以及训练集中良性样本与恶意样本极不均衡等问题。包括:基于预设提取字段和预设流量四元组,从PACP文件中获取流数据;批量处理若干PACP文件,获得CSV文件;将流数据中的object类型数据转换为数值型数据;得到组合特征;获取纯恶意标记的流数据;以通过预设样本扩充算法,获取第一恶意样本数据;进而通过恶意样本数据和预设为良性标记的流数据,完成预设恶意识别算法的训练。本申请通过上述方法实现了顾及新出现的特征值、实现了训练集中良性样本与恶意样本的均衡。

Description

一种用于实时加密恶意流量识别的方法及设备
技术领域
本申请涉及恶意流量识别技术领域,尤其涉及一种用于实时加密恶意流量识别的方法及设备。
背景技术
网络流量中加密技术的应用保障了企业和用户数据的安全,但一些不法组织或个人也会通过该技术对网络实施恶意攻击。随着对加密流量解密成本的增大,实现对网络中加密恶意流量准确、快速地识别成为亟待解决的问题。
目前对于加密恶意流量识别的相关研究比较少,其解决思路基本都是先基于特征集从原始流量包中提取特征,然后按照流量五元组/四元组聚合成流,并对部分对象型特征进行独热编码或词嵌入,最后将数值型流数据输入分类器进行监督或半监督训练并在测试集上预测。
但是,一些对象型特征无法枚举且更新较快,独热编码或词嵌入都无法识别新出现的特征值,从而造成模型无法预测。此外,多数恶意的PACP文件聚合后会得到多条流,而这些流并不代表都是恶意的,造成标签无法确定。只有一条数据流的恶意PACP文件很少,这样造成训练集中良性样本与恶意样本极不均衡。
发明内容
针对现有技术的上述不足,本发明提供一种用于实时加密恶意流量识别的方法及设备,以解决上述技术问题。
第一方面,本申请提供了一种用于实时加密恶意流量识别的方法,方法包括:基于预设提取字段和预设流量四元组,从PACP文件中获取一个或多个流数据;批量处理若干PACP文件,获得CSV文件;其中,CSV文件的每一行对应一条流数据;读取CSV文件,将流数据中的object类型数据转换为数值型数据;进而与流数据中未转换的数据进行拼接,得到组合特征,并将组合特征作为模型的输入数据;基于仅有一个流数据且预设为恶意标记的PACP文件,获取纯恶意标记的流数据;以通过预设样本扩充算法,获取第一恶意样本数据;进而通过恶意样本数据和预设为良性标记的流数据,完成预设恶意识别算法的训练。
进一步地,在完成预设恶意识别算法的训练之后,方法还包括:基于有若干个流数据且预设为恶意标记的PACP文件,获取非纯恶意标记的流数据;以通过训练好的预设恶意识别算法,获取第二恶意样本数据;基于第一恶意样本数据、第二恶意样本数据和预设为良性标记的流数据,进行预设恶意识别算法的更新训练。
进一步地,object类型数据至少包括加密套件数据;读取CSV文件,将流数据中的object类型数据转换为数值型数据,具体包括:基于预设加密套件的内容和数量m,生成1*m的第一特征向量和0/1编码结构的初始m维特征;其中,第一特征向量包含预设加密套件的内容,初始m维特征中的具体数值均为0;确定当前加密套件数据是否存在于第一特征向量中,且在第一特征向量的具体位置;将初始m维特征中对应具体位置处的0修改为1,获得加密套件数据的数值型数据。
进一步地,object类型数据至少还包括签发机构数据;读取CSV文件,将流数据中的object类型数据转换为数值型数据,具体包括:基于预设恶意签发机构的名称和数量u,生成1*u的第二特征向量和0/1编码结构的初始u维特征;其中,第二特征向量包含预设恶意签发机构的名称,初始u维特征中的具体数值均为0;确定当前签发机构数据是否存在于第二特征向量中,且在第二特征向量的具体位置;将初始u维特征中对应具体位置处的0修改为1,获得签发机构数据的数值型数据。
进一步地,object类型数据至少包括加密套件数据和签发机构数据;读取CSV文 件,将流数据中的object类型数据转换为数值型数据,具体还包括:基于预设object类型数 据,获取参考基向量;基于当前object类型数据和预设字符-数值映射关系,生成计算向量; 根据预设余弦相似度计算公式:
Figure 40670DEST_PATH_IMAGE001
,获得余弦相似度;其中,
Figure 881587DEST_PATH_IMAGE002
为计算向量,
Figure 624415DEST_PATH_IMAGE003
为参考基向量;确定余弦相似度为当前object类型数据的数值型数据。
进一步地,object类型数据至少还包括通信对象数据;读取CSV文件,将流数据中 的object类型数据转换为数值型数据,具体包括:删除通信对象数据的‘WWW’前缀,获取域 名数据;基于预设域名熵值公式:
Figure 208980DEST_PATH_IMAGE004
,获得域名熵值,其 中,
Figure 783181DEST_PATH_IMAGE005
为第i个域名数据,
Figure 935945DEST_PATH_IMAGE006
为第i个字符出现的频率,n为字符总数;基于预设总长度公 式:
Figure 759544DEST_PATH_IMAGE007
,获得总长度值;其中,
Figure 23167DEST_PATH_IMAGE008
为第i个字符的数量;基于预设元音字符占比公 式:
Figure 451874DEST_PATH_IMAGE009
,获得元音字符占比值;其中,
Figure 634594DEST_PATH_IMAGE010
为第i个元音字符的数量,k为元 音总数;基于预设一级域名唯一字符占比公式:
Figure 883172DEST_PATH_IMAGE011
,获取一级域 名唯一字符占比值;其中,
Figure 684906DEST_PATH_IMAGE012
为域名数据中预设一级域名字符类别数,
Figure 764858DEST_PATH_IMAGE008
为第i个字符的数 量;基于预设顶级域名类别公式:
Figure 587320DEST_PATH_IMAGE013
,确定顶级域名类别 值;其中,TLD为域名数据中的顶级域名,D为预设顶级域名集合;对域名熵值、总长度值、元 音字符占比值、一级域名唯一字符占比值和顶级域名类别值进行拼接,获得通信对象数据 对应的数值型数据。
第二方面,本申请提供了一种用于实时加密恶意流量识别的设备,设备包括:处理器;以及存储器,其上存储有可执行代码,当可执行代码被执行时,使得处理器执行如上述任一项的一种用于实时加密恶意流量识别的方法。
本领域技术人员能够理解的是,本发明至少具有如下有益效果:
与单一使用无监督(如GAN)或半监督(伪标签技术)方式训练模型不同,本申请首先利用预设样本扩充算法解决恶性样本严重不平衡问题,确保预训练模型有较高的分类能力,然后扩充分布在低密度区的恶意样本数量,最后添加扩充的样本至训练集中重新训练模型,该模型不仅提高了恶意加密流量识别的准确度,而且恶意样本的召回率也得到不错的提升。
附图说明
下面参照附图来描述本公开的部分实施例,附图中:
图1是本申请实施例提供的一种用于实时加密恶意流量识别的方法流程图。
图2是本申请实施例提供的一种用于实时加密恶意流量识别的设备内部结构示意图。
具体实施方式
下面通过附图对本申请实施例提出的技术方案进行详细的说明。
本申请实施例提供了一种用于实时加密恶意流量识别的方法,如图1所示,本申请实施例提供的方法,主要包括以下步骤:
步骤110、基于预设提取字段和预设流量四元组,从PACP文件中获取一个或多个流数据;批量处理若干PACP文件,获得CSV文件。
需要说明的是,PACP文件是一种常用的数据包存储格式,里面的数据按照特定的规格存储和解析。CSV文件是一种以纯文本形式存储表格数据(数字和文本)的文件格式。预设提取字段可由本领域技术人员根据实际需求确定任意可行的数据;预设流量四元组为(源IP,目的IP,源端口、目的端口)。若干PACP文件提取出的全部流数据汇入一个CSV文件。其中,每个流数据至少包含预设提取字段和预设流量四元组。
步骤120、读取CSV文件,将流数据中的object类型数据转换为数值型数据;进而与流数据中未转换的数据进行拼接,得到组合特征,并将组合特征作为模型的输入数据。
需要说明的是,流数据包含object类型数据和数值型数据(流数据中未转换的数据);为了便于计算流数据,本申请将流数据中的object类型数据转换为数值型数据。
作为示例一地,object类型数据至少包括加密套件数据;读取CSV文件,将流数据中的object类型数据转换为数值型数据,具体地:基于预设加密套件的内容和数量m,生成1*m的第一特征向量和0/1编码结构的初始m维特征;其中,第一特征向量包含预设加密套件的内容,初始m维特征中的具体数值均为0;确定当前加密套件数据是否存在于第一特征向量中,且在第一特征向量的具体位置;将初始m维特征中对应具体位置处的0修改为1,获得加密套件数据的数值型数据。需要说明的是,预设加密套件为本领域技术人员根据实际情况设定的加密套件参考数据。
作为示例二地,object类型数据至少还包括签发机构数据;读取CSV文件,将流数据中的object类型数据转换为数值型数据,具体包括:基于预设恶意签发机构的名称和数量u,生成1*u的第二特征向量和0/1编码结构的初始u维特征;其中,第二特征向量包含预设恶意签发机构的名称,初始u维特征中的具体数值均为0;确定当前签发机构数据是否存在于第二特征向量中,且在第二特征向量的具体位置;将初始u维特征中对应具体位置处的0修改为1,获得签发机构数据的数值型数据。需要说明的是,预设恶意签发机构为本领域技术人员根据实际情况设定的恶意签发机构参考数据。
作为示例三地,object类型数据至少包括加密套件数据和签发机构数据;读取CSV 文件,将流数据中的object类型数据转换为数值型数据,具体还包括:基于预设object类型 数据,获取参考基向量(存在预设object类型-参考基向量数据库,执行主体能够通过该数 据库实时获取对应的参考基向量);需要说明的是,该数据库可以由本领域技术人员根据多 次实验获得,且预设object类型与参考基向量之间的预设字符-数值映射关系可由本领域 技术人员根据多次实验或现有技术制定,例如,将字符映射为二进制码,进而实现预设 object类型与参考基向量的映射;基于当前object类型数据与预设字符-数值映射关系,生 成计算向量;根据预设余弦相似度计算公式:
Figure 260878DEST_PATH_IMAGE001
,获得余弦相 似度;其中,
Figure 256516DEST_PATH_IMAGE002
为计算向量,
Figure 66340DEST_PATH_IMAGE003
为参考基向量;确定余弦相似度为当前object类型数据的数 值型数据。
作为示例四地,object类型数据至少还包括通信对象数据;读取CSV文件,将流数据中的object类型数据转换为数值型数据,具体包括:删除通信对象数据的‘WWW’前缀,获取域名数据;
基于预设域名熵值公式:
Figure 59704DEST_PATH_IMAGE004
,获得域名熵值 (每个域名数据中字符的混乱程度),其中,
Figure 345192DEST_PATH_IMAGE005
为第i个域名数据,
Figure 748448DEST_PATH_IMAGE006
为第i个字符出现的 频率,n为字符总数;
基于预设总长度公式(每个域名数据中所有字符的总数):
Figure 802992DEST_PATH_IMAGE007
,获得总 长度值;其中,
Figure 967257DEST_PATH_IMAGE008
为第i个字符的数量;
基于预设元音字符占比公式(每个域名数据中元音字符与域名总长度的比值):
Figure 349828DEST_PATH_IMAGE009
,获得元音字符占比值;其中,
Figure 687268DEST_PATH_IMAGE010
为第i个元音字符的数量,k为元音 总数;
基于预设一级域名唯一字符占比公式(每个域名数据中预设一级域名字符类别数 与预设一级域名字符总数的比值):
Figure 737264DEST_PATH_IMAGE011
,获取一级域名唯一字符 占比值;其中,
Figure 806851DEST_PATH_IMAGE012
为域名数据中预设一级域名字符类别数,
Figure 332510DEST_PATH_IMAGE008
为预设一级域名中第i个字符 的数量;
基于预设顶级域名类别公式(每个域名数据中顶级域名类别值):
Figure 817849DEST_PATH_IMAGE013
,确定顶级域名类别值;其中,TLD为域名数据中的顶级 域名,D为预设顶级域名集合,且D的具体内容可以由本领域技术人员根据多次实验获得。对 域名熵值、总长度值、元音字符占比值、一级域名唯一字符占比值和顶级域名类别值进行拼 接,获得通信对象数据对应的数值型数据。需要说明的是,具体拼接方法为现有任意可行的 方法,本申请对此不作限定。
步骤130、基于仅有一个流数据且预设为恶意标记的PACP文件,获取纯恶意标记的流数据;以通过预设样本扩充算法,获取第一恶意样本数据;进而通过恶意样本数据和预设为良性标记的流数据,完成预设恶意识别算法的训练。
需要说明的是,恶意标记是标记在整个PACP文件的全部流数据中的。存在标记为恶意的PACP文件拆分的多条流未必都是恶意的,也可能存在良性的流。因此,仅有一个流数据且预设为恶意标记的PACP文件,可以确定流数据绝对为恶意流(纯恶意标记的流数据)。
由于纯恶意标记的流数据数量较少,为了解决恶意流数据和良性流数据两类样本比例严重失衡的问题。本申请通过预设样本扩充算法(例如,生成对抗式网络算法),平衡恶意流数据和良性流数据之间的比例,获取第一恶意样本数据。
在完成预设恶意识别算法的训练之后,本申请还可以通过训练好的预设恶意识别算法获取恶意标注的流数据,扩充第一恶意样本数据中流数据的种类,即扩充训练集中低密度区恶意样本的数量。最后,将新标注的样本添加到原始训练集(第一恶意样本+良性标记的流数据)中重新训练模型,从而提升模型的泛化能力。
具体地,基于有若干个流数据且预设为恶意标记的PACP文件,获取非纯恶意标记的流数据;以通过训练好的预设恶意识别算法,获取第二恶意样本数据;基于第一恶意样本数据、第二恶意样本数据和预设为良性标记的流数据,进行预设恶意识别算法的更新训练。
方法还包括:在通过预设恶意识别算法,确定任一流数据为恶意数据后;将恶意数据发送至预设告警终端。实现发送给安全管理员进行进一步的研判分析。
除此之外,本申请实施例还提供了一种用于实时加密恶意流量识别的设备,如图2所示,其上存储有可执行指令,在该可执行指令被执行时,实现如上述的一种用于实时加密恶意流量识别的方法。具体地,服务器端通过总线向存储器发送执行指令,当存储器接收到执行指令时,通过总线向处理器发送执行信号,以激活处理器。
需要说明的是,处理器用于基于预设提取字段和预设流量四元组,从PACP文件中获取一个或多个流数据;批量处理若干PACP文件,获得CSV文件;其中,CSV文件的每一行对应一条流数据;读取CSV文件,将流数据中的object类型数据转换为数值型数据;进而与流数据中未转换的数据进行拼接,得到组合特征,并将组合特征作为模型的输入数据;基于仅有一个流数据且预设为恶意标记的PACP文件,获取纯恶意标记的流数据;以通过预设样本扩充算法,获取第一恶意样本数据;进而通过恶意样本数据和预设为良性标记的流数据,完成预设恶意识别算法的训练。
至此,已经结合前文的多个实施例描述了本公开的技术方案,但是,本领域技术人员容易理解的是,本公开的保护范围并不仅限于这些具体实施例。在不偏离本公开技术原理的前提下,本领域技术人员可以对上述各个实施例中的技术方案进行拆分和组合,也可以对相关技术特征作出等同地更改或替换,凡在本公开的技术构思和/或技术原理之内所做的任何更改、等同替换、改进等都将落入本公开的保护范围之内。

Claims (8)

1.一种用于实时加密恶意流量识别的方法,其特征在于,所述方法包括:
基于预设提取字段和预设流量四元组,从PACP文件中获取一个或多个流数据;批量处理若干PACP文件,获得CSV文件;其中,CSV文件的每一行对应一条流数据;
读取CSV文件,将流数据中的object类型数据转换为数值型数据;进而与流数据中未转换的数据进行拼接,得到组合特征,并将所述组合特征作为模型的输入数据;
基于仅有一个流数据且预设为恶意标记的PACP文件,获取纯恶意标记的流数据;以通过预设样本扩充算法,获取第一恶意样本数据;进而通过恶意样本数据和预设为良性标记的流数据,完成预设恶意识别算法的训练。
2.根据权利要求1所述的用于实时加密恶意流量识别的方法,其特征在于,在完成预设恶意识别算法的训练之后,所述方法还包括:
基于有若干个流数据且预设为恶意标记的PACP文件,获取非纯恶意标记的流数据;以通过训练好的预设恶意识别算法,获取第二恶意样本数据;基于第一恶意样本数据、第二恶意样本数据和预设为良性标记的流数据,进行预设恶意识别算法的更新训练。
3.根据权利要求1所述的用于实时加密恶意流量识别的方法,其特征在于,object类型数据至少包括加密套件数据;
读取CSV文件,将流数据中的object类型数据转换为数值型数据,具体包括:
基于预设加密套件的内容和数量m,生成1*m的第一特征向量和0/1编码结构的初始m维特征;其中,所述第一特征向量包含预设加密套件的内容,所述初始m维特征中的具体数值均为0;
确定当前加密套件数据是否存在于第一特征向量中,且在第一特征向量的具体位置;将初始m维特征中对应具体位置处的0修改为1,获得加密套件数据的数值型数据。
4.根据权利要求1所述的用于实时加密恶意流量识别的方法,其特征在于,object类型数据至少还包括签发机构数据;
读取CSV文件,将流数据中的object类型数据转换为数值型数据,具体包括:
基于预设恶意签发机构的名称和数量u,生成1*u的第二特征向量和0/1编码结构的初始u维特征;其中,所述第二特征向量包含预设恶意签发机构的名称,所述初始u维特征中的具体数值均为0;
确定当前签发机构数据是否存在于第二特征向量中,且在第二特征向量的具体位置;将初始u维特征中对应具体位置处的0修改为1,获得签发机构数据的数值型数据。
5.根据权利要求1所述的用于实时加密恶意流量识别的方法,其特征在于,object类型数据至少包括加密套件数据和签发机构数据;
读取CSV文件,将流数据中的object类型数据转换为数值型数据,具体还包括:
基于预设object类型数据,获取参考基向量;
基于当前object类型数据和预设字符-数值映射关系,生成计算向量;
根据预设余弦相似度计算公式:
Figure 226545DEST_PATH_IMAGE001
,获得余弦相似度;其 中,
Figure 2871DEST_PATH_IMAGE002
为计算向量,
Figure 690205DEST_PATH_IMAGE003
为参考基向量;
确定所述余弦相似度为当前object类型数据的数值型数据。
6.根据权利要求1所述的用于实时加密恶意流量识别的方法,其特征在于,object类型数据至少还包括通信对象数据;
读取CSV文件,将流数据中的object类型数据转换为数值型数据,具体包括:
删除通信对象数据的‘WWW’前缀,获取域名数据;
基于预设域名熵值公式:
Figure 893784DEST_PATH_IMAGE004
,获得域名熵值,其中,
Figure 237041DEST_PATH_IMAGE005
为第i个域名数据,
Figure 941691DEST_PATH_IMAGE006
为第i个字符出现的频率,n为字符总数;
基于预设总长度公式:
Figure 624477DEST_PATH_IMAGE007
,获得总长度值;其中,
Figure 123591DEST_PATH_IMAGE008
为第i个字符的数量;
基于预设元音字符占比公式:
Figure 954144DEST_PATH_IMAGE009
,获得元音字符占比值;其中,
Figure 72273DEST_PATH_IMAGE010
为 第i个元音字符的数量,k为元音总数;
基于预设一级域名唯一字符占比公式:
Figure 734198DEST_PATH_IMAGE011
,获取一级域名唯 一字符占比值;其中,
Figure 279580DEST_PATH_IMAGE012
为域名数据中预设一级域名字符类别数,
Figure 597429DEST_PATH_IMAGE008
为第i个字符的数量;
基于预设顶级域名类别公式:
Figure 378303DEST_PATH_IMAGE013
,确定顶级域名类别 值;其中,TLD为域名数据中的顶级域名,D为预设顶级域名集合;
对域名熵值、总长度值、元音字符占比值、一级域名唯一字符占比值和顶级域名类别值进行拼接,获得通信对象数据对应的数值型数据。
7.根据权利要求1所述的用于实时加密恶意流量识别的方法,其特征在于,所述方法还包括:
在通过预设恶意识别算法,确定任一流数据为恶意数据后;将所述恶意数据发送至预设告警终端。
8.一种用于实时加密恶意流量识别的设备,其特征在于,所述设备包括:
处理器;
以及存储器,其上存储有可执行代码,当所述可执行代码被执行时,使得所述处理器执行如权利要求1-7任一项所述的一种用于实时加密恶意流量识别的方法。
CN202211223891.8A 2022-10-09 2022-10-09 一种用于实时加密恶意流量识别的方法及设备 Active CN115296937B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211223891.8A CN115296937B (zh) 2022-10-09 2022-10-09 一种用于实时加密恶意流量识别的方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211223891.8A CN115296937B (zh) 2022-10-09 2022-10-09 一种用于实时加密恶意流量识别的方法及设备

Publications (2)

Publication Number Publication Date
CN115296937A true CN115296937A (zh) 2022-11-04
CN115296937B CN115296937B (zh) 2023-04-18

Family

ID=83834175

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211223891.8A Active CN115296937B (zh) 2022-10-09 2022-10-09 一种用于实时加密恶意流量识别的方法及设备

Country Status (1)

Country Link
CN (1) CN115296937B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3395035A1 (en) * 2015-12-24 2018-10-31 British Telecommunications public limited company Malicious network traffic identification
CN109379377A (zh) * 2018-11-30 2019-02-22 极客信安(北京)科技有限公司 加密恶意流量检测方法、装置、电子设备及存储介质
CN110493208A (zh) * 2019-08-09 2019-11-22 南京聚铭网络科技有限公司 一种多特征的dns结合https恶意加密流量识别方法
CN112235230A (zh) * 2019-07-15 2021-01-15 北京观成科技有限公司 一种恶意流量识别方法及系统
CN112949702A (zh) * 2021-02-23 2021-06-11 广东工业大学 一种网络恶意加密流量识别方法和系统
CN113259313A (zh) * 2021-03-30 2021-08-13 浙江工业大学 一种基于在线训练算法的恶意https流量智能分析方法
CN114079579A (zh) * 2021-10-21 2022-02-22 北京天融信网络安全技术有限公司 一种恶意加密流量检测方法及装置
CN115051874A (zh) * 2022-08-01 2022-09-13 杭州默安科技有限公司 一种多特征的cs恶意加密流量检测方法和系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3395035A1 (en) * 2015-12-24 2018-10-31 British Telecommunications public limited company Malicious network traffic identification
CN109379377A (zh) * 2018-11-30 2019-02-22 极客信安(北京)科技有限公司 加密恶意流量检测方法、装置、电子设备及存储介质
CN112235230A (zh) * 2019-07-15 2021-01-15 北京观成科技有限公司 一种恶意流量识别方法及系统
CN110493208A (zh) * 2019-08-09 2019-11-22 南京聚铭网络科技有限公司 一种多特征的dns结合https恶意加密流量识别方法
CN112949702A (zh) * 2021-02-23 2021-06-11 广东工业大学 一种网络恶意加密流量识别方法和系统
CN113259313A (zh) * 2021-03-30 2021-08-13 浙江工业大学 一种基于在线训练算法的恶意https流量智能分析方法
CN114079579A (zh) * 2021-10-21 2022-02-22 北京天融信网络安全技术有限公司 一种恶意加密流量检测方法及装置
CN115051874A (zh) * 2022-08-01 2022-09-13 杭州默安科技有限公司 一种多特征的cs恶意加密流量检测方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
MICHAEL J.DE LUCIA;CHASE COTTON: "Detection of Encrypted Malicious Network Traffic using Machine Learning", 《MILCOM 2019 - 2019 IEEE MILITARY COMMUNICATIONS CONFERENCE (MILCOM)》 *
翟明芳: "基于深度学习的加密恶意流量检测研究", 《中国优秀硕士学位论文全文数据库》 *

Also Published As

Publication number Publication date
CN115296937B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
CN110493208B (zh) 一种多特征的dns结合https恶意加密流量识别方法
CN112468520B (zh) 一种数据检测方法、装置、设备及可读存储介质
US20050289181A1 (en) Object classification in a capture system
CN113656807B (zh) 一种漏洞管理方法、装置、设备及存储介质
CN107633078B (zh) 音频指纹提取方法、音视频检测方法、装置及终端
CN111818198B (zh) 域名检测方法、域名检测装置和设备以及介质
CN112491917B (zh) 一种物联网设备未知漏洞识别方法及装置
CN111553148A (zh) 标签建立方法、装置、电子设备及介质
CN112995207B (zh) 网络资产的指纹识别及暴露面风险评估方法
CN111931935A (zh) 基于One-shot学习的网络安全知识抽取方法和装置
CN112989348A (zh) 攻击检测方法、模型训练方法、装置、服务器及存储介质
Wu et al. Tdae: Autoencoder-based automatic feature learning method for the detection of dns tunnel
CN110321707A (zh) 一种基于大数据算法的sql注入检测方法
CN113704328A (zh) 基于人工智能的用户行为大数据挖掘方法及系统
CN115296937B (zh) 一种用于实时加密恶意流量识别的方法及设备
CN107979595B (zh) 私有数据保护方法及网关系统
CN113204956A (zh) 多模型训练方法、摘要分段方法、文本分段方法及装置
CN110532805B (zh) 数据脱敏方法及装置
CN115268799B (zh) 一种基于云服务的存储方法和装置
CN110851828A (zh) 基于多维度特征的恶意url监测方法、装置和电子设备
KR20100073136A (ko) 해슁결과값의 비트-벡터를 이용한 공격 시그니처 분류에 기반한 시그니처 클러스터링 방법
CN111198850A (zh) 一种日志消息的处理方法、装置以及物联网平台
CN113240556B (zh) 基于智能决策的侵权处理方法、装置、设备及介质
CN117278271B (zh) 一种属性基加密的数据传输方法及系统
CN113792344B (zh) 数据的脱敏处理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant