CN115632801A - 一种用于检测恶意流量的方法、装置及电子设备 - Google Patents

一种用于检测恶意流量的方法、装置及电子设备 Download PDF

Info

Publication number
CN115632801A
CN115632801A CN202110752827.8A CN202110752827A CN115632801A CN 115632801 A CN115632801 A CN 115632801A CN 202110752827 A CN202110752827 A CN 202110752827A CN 115632801 A CN115632801 A CN 115632801A
Authority
CN
China
Prior art keywords
encrypted
ack
traffic
sample
way
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110752827.8A
Other languages
English (en)
Inventor
徐静宇
李波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Guancheng Technology Co ltd
Original Assignee
Beijing Guancheng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guancheng Technology Co ltd filed Critical Beijing Guancheng Technology Co ltd
Priority to CN202110752827.8A priority Critical patent/CN115632801A/zh
Publication of CN115632801A publication Critical patent/CN115632801A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种用于检测恶意流量的方法、装置及电子设备,其中,该方法包括:获取多个样本单向加密流量,其分为正常加密流量和恶意加密流量且包括协议元数据和多个协议包;确定协议包中的ACK值,按照时间顺序对ACK值进行排序;确定ACK值的差值,并根据多个差值确定样本单向加密流量的特征值;根据样本单向加密流量的协议元数据和特征值训练得到预测模型,基于预测模型预测目标单向加密流量是否是恶意加密流量。通过本发明实施例提供的用于检测恶意流量的方法,利用ACK值的差值能够确定缺失的对端单向加密流量所传输数据的大小,能够在当前端的协议元数据的基础上,还基于对端的信息判断当前端的单向加密流量是否是恶意流量,提高了预测准确率。

Description

一种用于检测恶意流量的方法、装置及电子设备
技术领域
本发明涉及加密流量分析技术领域,具体而言,涉及一种用于检测恶意流量的特征集的构造方法、装置、电子设备及计算机可读存储介质。
背景技术
随着加密业务的普及和网络安全意识的提高,在互联网中使用加密业务进行通信的情况越来越多。目前,使用机器学习技术对加密流量进行检测逐渐成为热点,但是当前互联网中却存在大量因丢失数据包、上下行分离等原因导致加密流量的双向流不完整,或者仅存在单向流的加密流量等问题,现有机器学习方案缺乏对此类特殊情况的应对。现有加密流量检测大多利用人工智能算法构建模型进行检测,构建模型时需要采集客户端和服务端的多个特征进行训练,当双向流不完整或仅存在单向流时,造成特征不全、错误,进而影响模型检测的准确性。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种用于检测恶意流量的方法、装置、电子设备及计算机可读存储介质。
第一方面,本发明实施例提供了一种用于检测恶意流量的方法,包括:获取多个样本单向加密流量,所述样本单向加密流量分为正常加密流量和恶意加密流量,且所述样本单向加密流量包括协议元数据和多个协议包;确定所述样本单向加密流量的所述协议包中的ACK值,按照时间顺序对所述ACK值进行排序,得到ACK序列;确定所述ACK序列中相邻的两个所述ACK值的差值,并根据多个所述差值确定所述样本单向加密流量的特征值;根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到预测模型,基于所述预测模型预测目标单向加密流量是否是恶意加密流量。
可选地,确定所述样本单向加密流量的所述协议包中的ACK值,按照时间顺序对所述ACK值进行排序,得到ACK序列,包括:将所述样本单向加密流量的第一个所述协议包的ACK值设定为ACK序列的第一个元素A1;确定所述样本单向加密流量的多个其他协议包的ACK值,按照时间顺序对所述多个其他协议包的ACK值进行排序并依次设定为所述ACK序列的相应元素A2、A3……An,得到ACK序列{A1,A2,……,An}。
可选地,根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到预测模型,基于所述预测模型预测目标单向加密流量是否是恶意加密流量,包括:确定所述样本单向加密流量的设备标识,所述设备标识与所述样本单向加密流量中的问候消息相一致;所述设备标识包括客户端或服务端,所述问候消息包括客户端问候消息或者服务端问候消息;根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到所述设备标识的预测模型;在所述目标单向加密流量中的问候消息与所述设备标识相一致时,基于所述设备标识的预测模型预测所述目标单向加密流量是否是恶意加密流量。
可选地,该方法还包括:为每种所述设备标识设置相应的预测模型;其中,所述基于所述预测模型预测目标单向加密流量是否是恶意加密流量包括:选取所述设备标识与所述目标单向加密流量中的的问候消息相一致的预测模型,并基于选取的预测模型预测所述目标单向加密流量是否是恶意加密流量。
可选地,特征值包括所述差值的最大值、最小值、平均值、方差、差异系数、元素个数、马尔科夫转移概率中的一项或多项。
可选地,基于所述预测模型预测目标单向加密流量是否是恶意加密流量包括:将所述目标单向加密流量的协议元数据和特征值输入至所述预测模型,根据所述预测模型的输出结果确定所述目标单向加密流量是否是恶意加密流量。
第二方面,本发明实施例提供了一种用于检测恶意流量的装置,包括:获取模块、统计模块、运算模块和处理模块。
获取模块用于获取多个样本单向加密流量,所述样本单向加密流量分为正常加密流量和恶意加密流量,且所述样本单向加密流量包括协议元数据和多个协议包。
统计模块用于确定所述样本单向加密流量的所述协议包中的ACK值,按照时间顺序对所述ACK值进行排序,得到ACK序列。
运算模块用于确定所述ACK序列中相邻的两个所述ACK值的差值,并根据多个所述差值确定所述样本单向加密流量的特征值。
处理模块用于根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到预测模型,基于所述预测模型预测目标单向加密流量是否是恶意加密流量。
可选地,统计模块包括:设定单元和排序单元。
设定单元用于将所述样本单向加密流量的第一个所述协议包的ACK值设定为ACK序列的第一个元素A1
排序单元用于确定所述样本单向加密流量的多个其他协议包的ACK值,按照时间顺序对所述多个其他协议包的ACK值进行排序并依次设定为所述ACK序列的相应元素A2、A3……An,得到ACK序列{A1,A2,……,An}。
第三方面,本发明实施例提供了一种电子设备,包括:总线、收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述收发器、所述存储器和所述处理器通过所述总线相连,所述计算机程序被所述处理器执行时实现如上所述的用于检测恶意流量的方法中的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,包括:可读存储介质上存储的计算机程序;所述计算机程序被处理器执行时实现如上所述的用于检测恶意流量的方法中的步骤。
本发明实施例提供的一种用于检测恶意流量的方法、装置及电子设备,不仅只获取单向加密流量的协议元数据进行模型训练,同时还获取了该单向加密流量的协议包的ACK值,对ACK值按照发送的时间顺序进行整理排序,得到ACK值的序列,计算该序列中相邻两个ACK值的差值,利用该ACK值的差值代表所接收到的已缺失或不完整的对端发送的数据大小,并针对该差值进行多种运算以确定单向加密流量的多个特征值。该方法针对当前网络中存在的一些只能看到单向加密流量的特殊场景,例如,上下行分离的卫星链路或者因丢包导致双向加密流量不完整的情况,只需获取单向加密流量的协议元数据及特征值,基于预测模型便可确定该单向加密流量是否是恶意加密流量,克服了传统方案中只能针对双向加密流量进行预测,而无法预测单向加密流量的缺陷。通过计算ACK值的差值能够确定缺失的对端的单向加密流量所传输的数据的大小,能够在当前端的协议元数据的基础上,还基于对端的信息判断当前端的单向加密流量是否是恶意流量;该方法结合了当前端和对端的多种特征,能够提高预测当前端的单向加密流量是否是恶意加密流量的准确率。
附图说明
为了更清楚地说明本发明实施例或背景技术中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
图1示出了本发明实施例所提供的一种用于检测恶意流量的方法的流程图;
图2示出了本发明实施例所提供的用于检测恶意流量的方法中,确定ACK值得到ACK序列具体方法的流程图;
图3示出了本发明实施例所提供的用于检测恶意流量的方法中,训练得到预测模型具体方法的流程图;
图4示出了本发明实施例所提供的用于检测恶意流量的方法的一种详细流程图;
图5示出了本发明实施例所提供的用于检测恶意流量的装置的结构示意图;
图6示出了本发明实施例所提供的一种电子设备的结构示意图。
具体实施方式
下面结合本发明实施例中的附图对本发明实施例进行描述。
图1示出了本发明实施例所提供的用于检测恶意流量的方法的流程图。如图1所示,该方法包括如下步骤101-104。
步骤101:获取多个样本单向加密流量,所述样本单向加密流量分为正常加密流量和恶意加密流量,且所述样本单向加密流量包括协议元数据和多个协议包。
其中,单向加密流量表示TLS(Transport Layer Security,安全传输层协议)会话中任意一端发送的流量,可以将其中一端作为客户端,另一端作为服务端,用客户端或服务端分别代表TLS会话中的两端;获取正常上网时TLS会话中所传输的多个单向加密流量,将该正常上网时的单向加密流量作为正常加密流量;获取恶意软件所产生的TLS会话中所传输的多个单向加密流量,将该恶意软件所产生的单向加密流量作为恶意加密流量;将获取的多个正常加密流量及多个恶意加密流量均作为样本单向加密流量,提取样本单向加密流量的协议元数据和协议包,该协议包例如可以是TCP(Transmission Control Protocol,传输控制协议)数据包,例如,该协议元数据具体可以是ssl/tls协议版本、客户端握手部分长度、客户端支持加密套件数量、客户端支持加密套件列表、客户端扩展项长度、客户端扩展项数量、客户端扩展项列表、客户端Session ID是否为空、服务端握手部分长度、服务端扩展项长度、服务端扩展项数量、服务端扩展项列表、服务端Session ID是否为空等等。其中,提取协议元数据和协议包所采用的方式属于本领域的成熟手段,对于上述获取手段本实施例对此不做限定。本实施例除获取样本单向加密流量的协议元数据以外,还获取了样本单向加密流量的协议包,也就是TCP数据包,通过采集多种能够表示单向加密流量属性的数据,为后续对单向加密流量进行判断分类提供了更多的依据。
步骤102:确定所述样本单向加密流量的所述协议包中的ACK值,按照时间顺序对所述ACK值进行排序,得到ACK序列。
其中,当发送一个协议包时,该协议包可以包含序号、所传输的信息、ACK(Acknowledgement,确认字符)值等多种数据,ACK值表示接收到对端发送的累计数据量的大小,本实施例提取样本单向加密流量的多个协议包中的ACK值,对所提取的多个ACK值按照发送的时间顺序进行排序,得到ACK序列。
可选地,参见图2所示,步骤102具体可以根据以下步骤1021-1022来实现。
步骤1021:将所述样本单向加密流量的第一个所述协议包的ACK值设定为ACK序列的第一个元素A1
其中,TLS会话是由第一端和第二端两端共同建立的会话,通过TCP三次握手建立连接的方式可以确定样本单向加密流量的第一个的协议包的ACK值,并将该ACK值作为ACK序列的第一个元素A1;例如,可以将成功建立连接请求时第一端所发送的TCP数据包中的ACK设定为该第一端的ACK序列的第一个元素A1
步骤1022:确定所述样本单向加密流量的多个其他协议包的ACK值,按照时间顺序对所述多个其他协议包的ACK值进行排序并依次设定为所述ACK序列的相应元素A2、A3……An,得到ACK序列{A1,A2,……,An}。
在得到上述ACK序列的第一个元素A1之后,按照样本单向加密流量中发送协议包的时间顺序对该样本单向加密流量中多个协议包的ACK值进行排序,例如,在第一端的样本单向加密流量中,将第一端发送给第二端的每一条TCP数据包所包含的ACK值,按照发送时间顺序进行排序,相对应的设定ACK序列中其余的元素A2、A3……An,得到ACK序列{A1,A2,……,An},其中,n为该样本单向加密流量中ACK值的总数量。
步骤103:确定所述ACK序列中相邻的两个所述ACK值的差值,并根据多个所述差值确定所述样本单向加密流量的特征值。
本发明实施例中,将ACK序列中第二个元素起的每一个元素依次与前一个元素相减,得到该ACK序列相邻两个元素的差值,即该ACK序列相邻两个ACK值的差值Ai-Ai-1;例如,对于第一端的样本单向加密流量,该ACK值的差值表示第一端接收到第二端所发送的数据大小。因此,在单向加密流量中不包含对端信息的情况下,本实施例通过ACK值的差值也可以得知对端每次发送的数据大小。并且,通过对该ACK值的差值进行多种运算,能够得到该ACK值的差值的多种特征值,该ACK值的差值的多种特征值能够表示样本单向加密流量对端的特征。例如,第一端和第二端两端建立会话后,第二端即为第一端的对端,第一端的样本单向加密流量的特征值即能够表示第二端的特征。
可选地,所述特征值包括所述差值的最大值、最小值、平均值、方差、差异系数、元素个数、马尔科夫转移概率中的一项或多项。例如,通过统计的方式运算得到ACK值的差值的最大值、最小值、平均值、方差、差异系数、元素个数、马尔科夫转移概率等,得到该ACK值的差值的多种特征值,确定样本单向加密流量的特征值。
本发明实施例中,通过计算ACK值的差值能够确定缺失的对端的单向加密流量所传输的数据的大小。而针对ACK值的差值进行多种运算,如最大值、最小值、平均值、方差、差异系数、元素个数、马尔科夫转移概率等,能够确定样本单向加密流量更多的特征值,也能够更方便地从差值中提取出对端的特征。
步骤104:根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到预测模型,基于所述预测模型预测目标单向加密流量是否是恶意加密流量。
其中,如上述步骤101-103中所描述的过程,可以得到样本单向加密流量的协议元数据和特征值,且该样本单向加密流量分为正常加密流量和恶意加密流量,即样本单向加密流量的标签为正常加密流量或恶意加密流量,故根据采集的样本单向加密流量的协议元数据和特征值对模型进行训练,能够得到预测模型,该预测模型是能够预测单向加密流量是否是恶意加密流量的模型。在需要预测某条单向加密流量是否是恶意加密流量时,将该单向加密流量作为目标单向加密流量,并将采集到的目标单向加密流量的协议元数据和特征值输入至该预测模型,根据该预测模型的输出结果即可确定目标单向加密流量是否是恶意加密流量。其中,目标单向加密流量可以是网络通信过程中待预测的任意一条单向加密流量;预测模型为可以用于分类的模型,其可以是RNN(Recurrent Neural Network,循环神经网络)等,本实施例对此不做限定。
本发明实施例提供的一种用于检测恶意流量的方法,不仅只获取单向加密流量的协议元数据进行模型训练,同时还获取了该单向加密流量的协议包的ACK值,对ACK值按照发送的时间顺序进行整理排序,得到ACK值的序列,计算该序列中相邻两个ACK值的差值,利用该ACK值的差值代表所接收到的已缺失或不完整的对端发送的数据大小,并针对该差值进行多种运算以确定单向加密流量的多个特征值。该方法针对当前网络中存在的一些只能看到单向加密流量的特殊场景,例如,上下行分离的卫星链路或者因丢包导致双向加密流量不完整的情况,只需获取单向加密流量的协议元数据及特征值,基于预测模型便可确定该单向加密流量是否是恶意加密流量,克服了传统方案中只能针对双向加密流量进行预测,而无法预测单向加密流量的缺陷。通过计算ACK值的差值能够确定缺失的对端的单向加密流量所传输的数据的大小,能够在当前端的协议元数据的基础上,还基于对端的信息判断当前端的单向加密流量是否是恶意流量;该方法结合了当前端和对端的多种特征,能够提高预测当前端的单向加密流量是否是恶意加密流量的准确率。
可选地,参见图3所示,上述步骤104“根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到预测模型”还包括以下步骤301-303。
步骤301:确定所述样本单向加密流量的设备标识,所述设备标识与所述样本单向加密流量中的问候消息相一致;所述设备标识包括客户端或服务端,所述问候消息包括客户端问候消息或者服务端问候消息。
其中,在第一端与第二端建立会话时,可以将其中一端作为客户端,另一端作为服务端,用客户端或服务端分别代表TLS会话中的两端;样本单向加密流量中除了包含协议包之外,还包含问候消息等,例如ClientHello(客户端问候消息)或者ServerHello(服务端问候消息),针对该问候消息所表示的具体含义,将包含该问候消息的样本单向加密流量匹配相对应的设备标识;其中,如上所述,问候消息可以是客户端问候消息或服务端问候消息,相应地,该设备标识为客户端或服务端。例如,在样本单向加密流量中的问候消息是ClientHello(客户端问候消息)时,该样本单向加密流量表示客户端的样本单向加密流量;同理,在样本单向加密流量中的问候消息是ServerHello(服务端问候消息)时,该样本单向加密流量表示服务端的样本单向加密流量。其中,可以从问候消息中提取出部分协议元数据,例如从ClientHello中可以提取出客户端握手部分长度等。
步骤302:根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到所述设备标识的预测模型。
其中,在训练得到预测模型时,基于具有相同设备标识的样本单向加密流量进行训练,以生成该设备标识的预测模型。例如,在需要训练得到客户端的预测模型时,需要基于客户端的样本单向加密流量进行训练,此时不需要服务端的样本单向加密流量。
步骤303:在所述目标单向加密流量中的问候消息与所述设备标识相一致时,基于所述设备标识的预测模型预测所述目标单向加密流量是否是恶意加密流量。
在需要预测某条单向加密流量是否为恶意加密流量时,将该单向加密流量作为目标单向加密流量,识别该目标单向加密流量的问候消息,当该目标单向加密流量的问候消息与设备标识相一致时,采集该目标单向加密流量的协议元数据和特征值输入至该设备标识的预测模型,根据该预测模型的输出结果即可确定该目标单向加密流量是否是恶意加密流量。例如,若预测模型的设备标识为客户端,当需要预测的目标单向加密流量的问候消息是ClientHello(客户端问候消息)时,即该目标单向加密流量为客户端的目标单向加密流量,该目标单向加密流量与设备标识相一致;采集该目标单向加密流量的协议元数据和特征值输入至客户端的预测模型,根据客户端的预测模型的输出结果即可确定该目标单向加密流量是否是恶意加密流量。
本实施例通过识别样本单向加密流量中的问候消息,从而对样本单向加密流量设置与该问候消息相一致的设备标识,基于该设备标识能够将样本单向加密流量进行具体划分,针对同一设备标识的样本单向加密流量采集数据并构建该设备标识的预测模型,在训练时能够提前将样本单向加密流量进行初步分类,之后仅针对一种设备标识的样本单向加密流量构建预测模型,从而能够有针对性地预测特定设备标识的目标单向加密流量,能够提高预测的准确度。
可选地,该方法还可以包括:为每种所述设备标识设置相应的预测模型。其中,可以基于上述步骤301-302分别确定每种设备标识的预测模型。在设置多个预测模型之后,再执行上述步骤104“基于所述预测模型预测目标单向加密流量是否是恶意加密流量”。此时,上述步骤104“基于所述预测模型预测目标单向加密流量是否是恶意加密流量”可以包括:
选取所述设备标识与所述目标单向加密流量中的问候消息相一致的预测模型,并基于选取的预测模型预测所述目标单向加密流量是否是恶意加密流量。
其中,基于上述步骤301-302所描述的过程,进一步对每一种设备标识都设置一个与其相对应的预测模型,并分别保存这些不同设备标识的预测模型;当需要预测目标单向加密流量是否是恶意加密流量时,可以直接选择与该目标单向加密流量中的问候消息相一致的设备标识的预测模型进行预测,更具针对性地对目标单向加密流量进行预测分类。
本实施例分别训练独立的预测模型,不同的预测模型对应不同的设备标识;通过选取与目标单向加密流量中包含的问候消息相匹配的设备标识的预测模型进行预测,在双向流量不完整或仅存在单向流量的情况下,将采集的目标单向加密流量的协议元数据及特征值直接输入与其相匹配的预测模型进行预测,从而可以适配不同端的单向加密流量的预测需求,有效降低预测结果的错误率,提高了预测准确率。
可选地,基于所述预测模型预测目标单向加密流量是否是恶意加密流量包括:将所述目标单向加密流量的协议元数据和特征值输入至所述预测模型,根据所述预测模型的输出结果确定所述目标单向加密流量是否是恶意加密流量。
本发明实施例中,通过采用上述技术方案,当网络通信中出现双向流量不完整或仅存在单向流量的情况时,仅通过提取目标单向加密流量的协议元数据及特征值作为输入,基于预测模型便可以确定该目标单向加密流量是否是恶意加密流量,这样的方法能够有效且更加准确地预测出结果,避免了传统技术中容易因流量缺失造成提取特征不全或错误,进而导致影响机器学习模型预测的准确性偏低的弊端,将可预测的加密流量的种类范围从完整且规范的双向加密流量扩大到只有单向加密流量也可以进行预测,改善了加密流量预测领域的局限性。
下面通过一个实施例详细介绍该检测恶意流量的方法流程。参见图4所示,该方法包括以下步骤401-407。
步骤401:获取多个样本单向加密流量的协议元数据和协议包,确定样本单向加密流量的协议包中的问候消息,确定样本单向加密流量的设备标识。
其中,可以基于上述步骤101所描述的过程,获取多个样本单向加密流量的协议元数据和协议包;样本单向加密流量分为正常加密流量和恶意加密流量;问候消息包括客户端问候消息或者服务端问候消息;设备标识为客户端或者服务端。
步骤402:获取样本单向加密流量的协议包中的ACK值,按照时间顺序对所述ACK值进行排序,得到ACK序列。
步骤403:确定ACK序列中相邻的两个ACK值的差值,并根据多个差值确定样本单向加密流量的特征值。
其中,样本单向加密流量的特征值包括ACK值的差值的最大值、最小值、平均值、方差、差异系数、元素个数、马尔科夫转移概率等。获取并处理ACK值的差值的具体过程可以参见上述步骤102-103的相关内容,在此不做赘述。
步骤404:分别针对与样本单向加密流量的协议包中的问候消息相对应的设备标识,构建不同设备标识的可以预测样本单向加密流量是否是恶意加密流量的预测模型。
其中,当样本单向加密流量的协议包中的问候消息是客户端问候消息时,基于样本单向加密流量的协议元数据和特征值对模型进行训练,得到客户端预测模型;当样本单向加密流量的协议包中的问候消息是服务端问候消息时,通过同样的方式对模型进行训练,得到服务端预测模型;具体过程可以参见上述步骤301-302所描述的方式,此处不做赘述。
步骤405:获取目标单向加密流量的协议元数据和协议包。
步骤406:识别目标单向加密流量的协议包中的问候消息,选取与该问候消息相一致的设备标识的预测模型,将获取的目标单向加密流量的协议元数据和协议包输入至该预测模型,根据该预测模型的输出结果预测该目标单向加密流量是否是恶意加密流量。例如,该目标单向加密流量的协议包中的问候消息为ClientHello(客户端问候消息)时,则该问候消息对应客户端的预测模型,此时基于客户端的预测模型进行预测即可。
步骤407:结束预测。
本发明实施例提供了一种用于检测恶意流量的装置,参见图5所示,该装置包括:获取模块51、统计模块52、运算模块53和处理模块54。
获取模块51:用于获取多个样本单向加密流量,所述样本单向加密流量分为正常加密流量和恶意加密流量,且所述样本单向加密流量包括协议元数据和多个协议包。
统计模块52:用于确定所述样本单向加密流量的所述协议包中的ACK值,按照时间顺序对所述ACK值进行排序,得到ACK序列。
运算模块53:用于确定所述ACK序列中相邻的两个所述ACK值的差值,并根据多个所述差值确定所述样本单向加密流量的特征值。
处理模块54:用于根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到预测模型,基于所述预测模型预测目标单向加密流量是否是恶意加密流量。
可选地,统计模块52包括:设定单元和排序单元。
设定单元用于将所述样本单向加密流量的第一个所述协议包的ACK值设定为ACK序列的第一个元素A1
排序单元用于确定所述样本单向加密流量的多个其他协议包的ACK值,按照时间顺序对所述多个其他协议包的ACK值进行排序并依次设定为所述ACK序列的相应元素A2、A3……An,得到ACK序列{A1,A2,……,An}。
可选地,处理模块54包括:第一处理单元、第二处理单元及第三处理单元。
第一处理单元用于确定所述样本单向加密流量的设备标识,所述设备标识与所述样本单向加密流量中的问候消息相一致;所述设备标识包括客户端或服务端,所述问候消息包括客户端问候消息或者服务端问候消息。
第二处理单元用于根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到所述设备标识的预测模型。
第三处理单元用于在所述目标单向加密流量中的问候消息与所述设备标识相一致时,基于所述设备标识的预测模型预测所述目标单向加密流量是否是恶意加密流量。
可选地,该处理模块54还用于:为每种所述设备标识设置相应的预测模型。其中,处理模块54“基于所述预测模型预测目标单向加密流量是否是恶意加密流量”包括:选取所述设备标识与所述目标单向加密流量中的问候消息相一致的预测模型,并基于选取的预测模型预测所述目标单向加密流量是否是恶意加密流量。
可选地,运算模块53确定的特征值,包括所述差值的最大值、最小值、平均值、方差、差异系数、元素个数、马尔科夫转移概率中的一项或多项。
可选地,处理模块54“基于所述预测模型预测目标单向加密流量是否是恶意加密流量”包括:将所述目标单向加密流量的协议元数据和特征值输入至所述预测模型,根据所述预测模型的输出结果确定所述目标单向加密流量是否是恶意加密流量。
本发明实施例提供的一种用于检测恶意流量的装置,不仅只获取单向加密流量的协议元数据进行模型训练,同时还获取了该单向加密流量的协议包的ACK值,对ACK值按照发送的时间顺序进行整理排序,得到ACK值的序列,计算该序列中相邻两个ACK值的差值,利用该ACK值的差值代表所接收到的已缺失或不完整的对端发送的数据大小,并针对该差值进行多种运算以确定单向加密流量的多个特征值。该方法针对当前网络中存在的一些只能看到单向加密流量的特殊场景,例如,上下行分离的卫星链路或者因丢包导致双向加密流量不完整的情况,只需获取单向加密流量的协议元数据及特征值,基于预测模型便可确定该单向加密流量是否是恶意加密流量,克服了传统方案中只能针对双向加密流量进行预测,而无法预测单向加密流量的缺陷。通过计算ACK值的差值能够确定缺失的对端的单向加密流量所传输的数据的大小,能够在当前端的协议元数据的基础上,还基于对端的信息判断当前端的单向加密流量是否是恶意流量;该方法结合了当前端和对端的多种特征,能够提高预测当前端的单向加密流量是否是恶意加密流量的准确率。
此外,本发明实施例还提供了一种电子设备,包括总线、收发器、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该收发器、该存储器和处理器分别通过总线相连,计算机程序被处理器执行时实现上述用于检测恶意流量的方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
具体的,参见图6所示,本发明实施例还提供了一种电子设备,该电子设备包括总线1110、处理器1120、收发器1130、总线接口1140、存储器1150和用户接口1160。
在本发明实施例中,该电子设备还包括:存储在存储器1150上并可在处理器1120上运行的计算机程序,计算机程序被处理器1120执行时实现上述用于检测恶意流量的方法实施例的各个过程。
收发器1130,用于在处理器1120的控制下接收和发送数据。
本发明实施例中,总线架构(用总线1110来代表),总线1110可以包括任意数量互联的总线和桥,总线1110将包括由处理器1120代表的一个或多个处理器与存储器1150代表的存储器的各种电路连接在一起。
总线1110表示若干类型的总线结构中的任何一种总线结构中的一个或多个,包括存储器总线以及存储器控制器、外围总线、加速图形端口(Accelerate Graphical Port,AGP)、处理器或使用各种总线体系结构中的任意总线结构的局域总线。作为示例而非限制,这样的体系结构包括:工业标准体系结构(Industry Standard Architecture,ISA)总线、微通道体系结构(Micro Channel Architecture,MCA)总线、扩展ISA(Enhanced ISA,EISA)总线、视频电子标准协会(Video Electronics Standards Association,VESA)、外围部件互连(Peripheral Component Interconnect,PCI)总线。
处理器1120可以是一种集成电路芯片,具有信号处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中硬件的集成逻辑电路或软件形式的指令完成。上述的处理器包括:通用处理器、中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)、复杂可编程逻辑器件(Complex Programmable LogicDevice,CPLD)、可编程逻辑阵列(Programmable Logic Array,PLA)、微控制单元(Microcontroller Unit,MCU)或其他可编程逻辑器件、分立门、晶体管逻辑器件、分立硬件组件。可以实现或执行本发明实施例中公开的各方法、步骤及逻辑框图。例如,处理器可以是单核处理器或多核处理器,处理器可以集成于单颗芯片或位于多颗不同的芯片。
处理器1120可以是微处理器或任何常规的处理器。结合本发明实施例所公开的方法步骤可以直接由硬件译码处理器执行完成,或者由译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(Random Access Memory,RAM)、闪存(FlashMemory)、只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、寄存器等本领域公知的可读存储介质中。所述可读存储介质位于存储器中,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
总线1110还可以将,例如外围设备、稳压器或功率管理电路等各种其他电路连接在一起,总线接口1140在总线1110和收发器1130之间提供接口,这些都是本领域所公知的。因此,本发明实施例不再对其进行进一步描述。
收发器1130可以是一个元件,也可以是多个元件,例如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。例如:收发器1130从其他设备接收外部数据,收发器1130用于将处理器1120处理后的数据发送给其他设备。取决于计算机系统的性质,还可以提供用户接口1160,例如:触摸屏、物理键盘、显示器、鼠标、扬声器、麦克风、轨迹球、操纵杆、触控笔。
应理解,在本发明实施例中,存储器1150可进一步包括相对于处理器1120远程设置的存储器,这些远程设置的存储器可以通过网络连接至服务器。上述网络的一个或多个部分可以是自组织网络(ad hoc network)、内联网(intranet)、外联网(extranet)、虚拟专用网(VPN)、局域网(LAN)、无线局域网(WLAN)、广域网(WAN)、无线广域网(WWAN)、城域网(MAN)、互联网(Internet)、公共交换电话网(PSTN)、普通老式电话业务网(POTS)、蜂窝电话网、无线网络、无线保真(Wi-Fi)网络以及两个或更多个上述网络的组合。例如,蜂窝电话网和无线网络可以是全球移动通信(GSM)系统、码分多址(CDMA)系统、全球微波互联接入(WiMAX)系统、通用分组无线业务(GPRS)系统、宽带码分多址(WCDMA)系统、长期演进(LTE)系统、LTE频分双工(FDD)系统、LTE时分双工(TDD)系统、先进长期演进(LTE-A)系统、通用移动通信(UMTS)系统、增强移动宽带(Enhance Mobile Broadband,eMBB)系统、海量机器类通信(massive Machine Type of Communication,mMTC)系统、超可靠低时延通信(UltraReliable Low Latency Communications,uRLLC)系统等。
应理解,本发明实施例中的存储器1150可以是易失性存储器或非易失性存储器,或可包括易失性存储器和非易失性存储器两者。其中,非易失性存储器包括:只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存(Flash Memory)。
易失性存储器包括:随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如:静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DRRAM)。本发明实施例描述的电子设备的存储器1150包括但不限于上述和任意其他适合类型的存储器。
在本发明实施例中,存储器1150存储了操作系统1151和应用程序1152的如下元素:可执行模块、数据结构,或者其子集,或者其扩展集。
具体而言,操作系统1151包含各种系统程序,例如:框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序1152包含各种应用程序,例如:媒体播放器(Media Player)、浏览器(Browser),用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序1152中。应用程序1152包括:小程序、对象、组件、逻辑、数据结构以及其他执行特定任务或实现特定抽象数据类型的计算机系统可执行指令。
此外,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述用于检测恶意流量的方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
计算机可读存储介质包括:永久性和非永久性、可移动和非可移动媒体,是可以保留和存储供指令执行设备所使用指令的有形设备。计算机可读存储介质包括:电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备以及上述任意合适的组合。计算机可读存储介质包括:相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带存储、磁带磁盘存储或其他磁性存储设备、记忆棒、机械编码装置(例如在其上记录有指令的凹槽中的穿孔卡或凸起结构)或任何其他非传输介质、可用于存储可以被计算设备访问的信息。按照本发明实施例中的界定,计算机可读存储介质不包括暂时信号本身,例如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如穿过光纤电缆的光脉冲)或通过导线传输的电信号。
在本申请所提供的几个实施例中,应该理解到,所披露的装置、电子设备和方法,可以通过其他的方式实现。例如,以上描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的、机械的或其他的形式连接。
所述作为分离部件说明的单元可以是或也可以不是物理上分开的,作为单元显示的部件可以是或也可以不是物理单元,既可以位于一个位置,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或全部单元来解决本发明实施例方案要解决的问题。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术作出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(包括:个人计算机、服务器、数据中心或其他网络设备)执行本发明各个实施例所述方法的全部或部分步骤。而上述存储介质包括如前述所列举的各种可以存储程序代码的介质。
在本发明实施例的描述中,所属技术领域的技术人员应当知道,本发明实施例可以实现为方法、装置、电子设备及计算机可读存储介质。因此,本发明实施例可以具体实现为以下形式:完全的硬件、完全的软件(包括固件、驻留软件、微代码等)、硬件和软件结合的形式。此外,在一些实施例中,本发明实施例还可以实现为在一个或多个计算机可读存储介质中的计算机程序产品的形式,该计算机可读存储介质中包含计算机程序代码。
上述计算机可读存储介质可以采用一个或多个计算机可读存储介质的任意组合。计算机可读存储介质包括:电、磁、光、电磁、红外或半导体的系统、装置或器件,或者以上任意的组合。计算机可读存储介质更具体的例子包括:便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、闪存(Flash Memory)、光纤、光盘只读存储器(CD-ROM)、光存储器件、磁存储器件或以上任意组合。在本发明实施例中,计算机可读存储介质可以是任意包含或存储程序的有形介质,该程序可以被指令执行系统、装置、器件使用或与其结合使用。
上述计算机可读存储介质包含的计算机程序代码可以用任意适当的介质传输,包括:无线、电线、光缆、射频(Radio Frequency,RF)或者以上任意合适的组合。
可以以汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路配置数据或以一种或多种程序设计语言或其组合来编写用于执行本发明实施例操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,例如:Java、Smalltalk、C++,还包括常规的过程式程序设计语言,例如:C语言或类似的程序设计语言。计算机程序代码可以完全的在用户计算机上执行、部分的在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行以及完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括:局域网(LAN)或广域网(WAN),可以连接到用户计算机,也可以连接到外部计算机。
本发明实施例通过流程图和/或方框图描述所提供的方法、装置、电子设备。
应当理解,流程图和/或方框图的每个方框以及流程图和/或方框图中各方框的组合,都可以由计算机可读程序指令实现。这些计算机可读程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而生产出一种机器,这些计算机可读程序指令通过计算机或其他可编程数据处理装置执行,产生了实现流程图和/或方框图中的方框规定的功能/操作的装置。
也可以将这些计算机可读程序指令存储在能使得计算机或其他可编程数据处理装置以特定方式工作的计算机可读存储介质中。这样,存储在计算机可读存储介质中的指令就产生出一个包括实现流程图和/或方框图中的方框规定的功能/操作的指令装置产品。
也可以将计算机可读程序指令加载到计算机、其他可编程数据处理装置或其他设备上,使得在计算机、其他可编程数据处理装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其他可编程数据处理装置上执行的指令能够提供实现流程图和/或方框图中的方框规定的功能/操作的过程。
以上所述,仅为本发明实施例的具体实施方式,但本发明实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例披露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明实施例的保护范围之内。因此,本发明实施例的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种用于检测恶意流量的方法,其特征在于,包括:
获取多个样本单向加密流量,所述样本单向加密流量分为正常加密流量和恶意加密流量,且所述样本单向加密流量包括协议元数据和多个协议包;
确定所述样本单向加密流量的所述协议包中的ACK值,按照时间顺序对所述ACK值进行排序,得到ACK序列;
确定所述ACK序列中相邻的两个所述ACK值的差值,并根据多个所述差值确定所述样本单向加密流量的特征值;
根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到预测模型,基于所述预测模型预测目标单向加密流量是否是恶意加密流量。
2.根据权利要求1所述的方法,其特征在于,所述确定所述样本单向加密流量的所述协议包中的ACK值,按照时间顺序对所述ACK值进行排序,得到ACK序列,包括:
将所述样本单向加密流量的第一个所述协议包的ACK值设定为ACK序列的第一个元素A1
确定所述样本单向加密流量的多个其他协议包的ACK值,按照时间顺序对所述多个其他协议包的ACK值进行排序并依次设定为所述ACK序列的相应元素A2、A3……An,得到ACK序列{A1,A2,……,An}。
3.根据权利要求2所述的方法,其特征在于,所述根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到预测模型,基于所述预测模型预测目标单向加密流量是否是恶意加密流量,包括:
确定所述样本单向加密流量的设备标识,所述设备标识与所述样本单向加密流量中的问候消息相一致;所述设备标识包括客户端或服务端,所述问候消息包括客户端问候消息或者服务端问候消息;
根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到所述设备标识的预测模型;
在所述目标单向加密流量中的问候消息与所述设备标识相一致时,基于所述设备标识的预测模型预测所述目标单向加密流量是否是恶意加密流量。
4.根据权利要求3所述的方法,其特征在于,还包括:为每种所述设备标识设置相应的预测模型;
其中,所述基于所述预测模型预测目标单向加密流量是否是恶意加密流量包括:
选取所述设备标识与所述目标单向加密流量中的问候消息相一致的预测模型,并基于选取的预测模型预测所述目标单向加密流量是否是恶意加密流量。
5.根据权利要求4所述的方法,其特征在于,所述特征值包括所述差值的最大值、最小值、平均值、方差、差异系数、元素个数、马尔科夫转移概率中的一项或多项。
6.根据权利要求1-5中任意一项所述的方法,其特征在于,所述基于所述预测模型预测目标单向加密流量是否是恶意加密流量包括:
将所述目标单向加密流量的协议元数据和特征值输入至所述预测模型,根据所述预测模型的输出结果确定所述目标单向加密流量是否是恶意加密流量。
7.一种用于检测恶意流量的装置,其特征在于,包括:获取模块、统计模块、运算模块和处理模块;
所述获取模块用于获取多个样本单向加密流量,所述样本单向加密流量分为正常加密流量和恶意加密流量,且所述样本单向加密流量包括协议元数据和多个协议包;
所述统计模块用于确定所述样本单向加密流量的所述协议包中的ACK值,按照时间顺序对所述ACK值进行排序,得到ACK序列;
所述运算模块用于确定所述ACK序列中相邻的两个所述ACK值的差值,并根据多个所述差值确定所述样本单向加密流量的特征值;
所述处理模块用于根据所述样本单向加密流量的所述协议元数据和所述特征值训练得到预测模型,基于所述预测模型预测目标单向加密流量是否是恶意加密流量。
8.根据权利要求7所述的装置,其特征在于,所述统计模块包括:设定单元和排序单元;
所述设定单元用于将所述协议包的ACK值设定为ACK序列的第一个元素A1
所述排序单元用于确定多个协议包的ACK值,按照时间顺序对所述多个ACK值进行排序并依次设定为所述ACK序列的相应元素A2、A3……An,得到ACK序列{A1,A2,……,An}。
9.一种电子设备,包括总线、收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述收发器、所述存储器和所述处理器通过所述总线相连,其特征在于,所述计算机程序被所述处理器执行时实现如权利要求1至6中任一项所述的用于检测恶意流量的方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的用于检测恶意流量的方法中的步骤。
CN202110752827.8A 2021-07-02 2021-07-02 一种用于检测恶意流量的方法、装置及电子设备 Pending CN115632801A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110752827.8A CN115632801A (zh) 2021-07-02 2021-07-02 一种用于检测恶意流量的方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110752827.8A CN115632801A (zh) 2021-07-02 2021-07-02 一种用于检测恶意流量的方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN115632801A true CN115632801A (zh) 2023-01-20

Family

ID=84902357

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110752827.8A Pending CN115632801A (zh) 2021-07-02 2021-07-02 一种用于检测恶意流量的方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN115632801A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116319107A (zh) * 2023-05-19 2023-06-23 新华三人工智能科技有限公司 一种数据流量识别模型训练方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116319107A (zh) * 2023-05-19 2023-06-23 新华三人工智能科技有限公司 一种数据流量识别模型训练方法及装置
CN116319107B (zh) * 2023-05-19 2023-08-18 新华三人工智能科技有限公司 一种数据流量识别模型训练方法及装置

Similar Documents

Publication Publication Date Title
TWI601077B (zh) 媒體內容分析系統與方法
CN113347210B (zh) 一种dns隧道检测方法、装置及电子设备
WO2022252881A1 (zh) 图像处理方法、装置、可读介质和电子设备
US20190222847A1 (en) Information processing device and information processing method
CN113472791B (zh) 一种攻击检测方法、装置、电子设备及可读存储介质
US20190238465A1 (en) Method and system for intelligent link load balancing
CN112100547B (zh) 一种页面数据采集的方法、装置及电子设备
CN115632801A (zh) 一种用于检测恶意流量的方法、装置及电子设备
CN115412370A (zh) 车辆通信数据检测方法、装置、电子设备和可读介质
CN113935349A (zh) 一种扫描二维码的方法、装置、电子设备及存储介质
WO2024099359A1 (zh) 语音检测的方法和装置、电子设备和存储介质
CN112507265B (zh) 基于树结构进行异常侦测的方法、装置及相关产品
CN112330408A (zh) 一种产品推荐方法、装置及电子设备
CN115051874B (zh) 一种多特征的cs恶意加密流量检测方法和系统
CN115208682B (zh) 一种基于snort的高性能网络攻击特征检测方法及装置
CN113466877B (zh) 一种实时物体检测的方法、装置及电子设备
CN114866310A (zh) 一种恶意加密流量检测方法、终端设备及存储介质
EP3683733A1 (en) A method, an apparatus and a computer program product for neural networks
CN115545087A (zh) 一种识别加密应用的方法、装置及电子设备
CN116827562A (zh) 一种基于图数据结构识别攻击的方法、装置及电子设备
CN116436622A (zh) 一种加密流量识别方法、装置及电子设备
CN115941357B (zh) 基于工业安全的流量日志检测方法、装置与电子设备
CN114765634B (zh) 网络协议识别方法、装置、电子设备及可读存储介质
CN116743399A (zh) 一种恶意单流检测方法、装置及电子设备
CN116865981A (zh) 一种识别恶意ip的方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination