CN115987625A - 一种恶意流量检测方法、装置及电子设备 - Google Patents
一种恶意流量检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN115987625A CN115987625A CN202211649327.2A CN202211649327A CN115987625A CN 115987625 A CN115987625 A CN 115987625A CN 202211649327 A CN202211649327 A CN 202211649327A CN 115987625 A CN115987625 A CN 115987625A
- Authority
- CN
- China
- Prior art keywords
- stream
- tcp
- detected
- malicious
- streams
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例公开一种恶意流量检测方法、装置及电子设备,涉及计算机网络安全技术领域,包括:获取属于同一网络地址的待检测数据流;将待检测数据流,拆分为多个tcp单流;提取每个tcp单流的单流特征;基于多个tcp单流的单流特征,生成多个tcp单流的多流特征,作为待检测数据流的流特征,多流特征表示多个tcp单流之间的关联性;将待检测数据流的流特征,输入预先训练的恶意流量检测模型中,得到表示待检测数据流的恶意威胁程度的检测结果,恶意流量检测模型为基于已知恶意威胁程度的多个历史数据流进行机器学习模型训练得到的;基于检测结果,确定待检测数据流是否为预设类型的恶意流量。采用该方案,提高了对恶意流量检测的效率和准确率。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种恶意流量检测方法、装置及电子设备。
背景技术
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。webshell的使用方法简单,使用者只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人使用webshell代码作为后门程序使用,以达到控制网站服务器的目的。
目前,随着webshell的发展,在使用webshell的过程中都会对其中的流量进行加密处理,比如对http流量进行加密,导致流量中除http头之外的数据都变成了密文,使得传统按照规则的恶意流量检测办法的效率和准确率越来越差。
发明内容
有鉴于此,本发明实施例提供一种恶意流量检测方法、装置及电子设备,用以解决现有技术中存在的对恶意流量检测的效率和准确率较差的问题。
第一方面,本发明实施例提供一种恶意流量检测方法,包括:
获取属于同一网络地址的待检测数据流;
将所述待检测数据流,拆分为多个tcp单流;
提取每个所述tcp单流的单流特征;
基于所述多个tcp单流的单流特征,生成所述多个tcp单流的多流特征,作为所述待检测数据流的流特征,所述多流特征表示所述多个tcp单流之间的关联性;
将所述待检测数据流的流特征,输入预先训练的恶意流量检测模型中,得到表示所述待检测数据流的恶意威胁程度的检测结果,所述恶意流量检测模型为基于已知恶意威胁程度的多个历史数据流进行机器学习模型训练得到的,所述多个历史数据流为预设类型的数据流;
基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量。
根据本发明实施例的一种具体实现方式,所述将所述待检测数据流,拆分为多个tcp单流,包括:
将所述待检测数据流,按照其所包含的流量是否属于同一个tcp流,将所述待检测数据流拆分为多个tcp流;
若所述多个tcp流中存在流量间隔时长大于预设时长的tcp流,则从大于所述预设时长的每个间隔处,将该tcp流拆分为多个tcp单流;
将所述多个tcp流中流量间隔时长均不大于预设时长的tcp流,确定为tcp单流。
根据本发明实施例的一种具体实现方式,所述基于所述多个tcp单流的单流特征,生成所述多个tcp单流的多流特征,包括:
获取所述多个tcp单流中每相邻两个tcp单流之间的间隔时长;
基于所述多个tcp单流的单流特征,以及每相邻两个tcp单流之间的间隔时长生成所述多个tcp单流的多流特征。
根据本发明实施例的一种具体实现方式,在所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量之前,还包括:
针对每个tcp单流,当检测到该tcp单流采用http协议且具有可解码内容时,对该tcp单流进行解码,得到解码数据;
计算所述解码数据的压缩比;
基于所述解码数据的压缩比,生成该tcp单流的表示恶意程度威胁的第一威胁加权值;
提取该tcp单流的http头特征;
当检测到该tcp单流的所述http头特征满足预设特征条件时,生成该tcp单流的表示恶意程度威胁的第二威胁加权值;
当该tcp单流采用https协议时,提取该tcp单流的证书;
提取该tcp单流的证书的ja3信息;
基于所述ja3信息,生成该tcp单流的表示恶意威胁程度的第三威胁加权值;
所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量,包括:
基于所述检测结果,以及各tcp单流的所述第一威胁加权值和所述第二威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量;或者
基于所述检测结果,以及各tcp单流的所述第三威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
根据本发明实施例的一种具体实现方式,在所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量之前,还包括:
提取所述待检测数据流的IP信息;
查询所述IP信息的恶意威胁程度,得到表示恶意威胁程度的第四威胁加权值;
所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量,包括:
基于所述检测结果,以及所述第四威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
根据本发明实施例的一种具体实现方式,在所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量之前,还包括:
获取所述待检测数据流中所述网络地址对服务器IP访问的访问时间分布特征;
计算所述访问时间分布特征,与其他非恶意的网络地址对该服务端IP访问的访问时间分布特征的相似度;
基于所述相似度,生成表示恶意威胁程度的第五威胁加权值;
所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量,包括:
基于所述检测结果,以及所述第五威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
第二方面,本发明实施例提供一种恶意流量检测装置,包括:
数据流获取模块,用于获取属于同一网络地址的待检测数据流;
数据流拆分模块,用于将所述待检测数据流,拆分为多个tcp单流;
特征提取模块,用于提取每个所述tcp单流的单流特征;
特征生成模块,用于基于所述多个tcp单流的单流特征,生成所述多个tcp单流的多流特征,作为所述待检测数据流的流特征,所述多流特征表示所述多个tcp单流之间的关联性;
数据流检测模块,用于将所述待检测数据流的流特征,输入预先训练的恶意流量检测模型中,得到表示所述待检测数据流的恶意威胁程度的检测结果,所述恶意流量检测模型为基于已知恶意威胁程度的多个历史数据流进行机器学习模型训练得到的,所述多个历史数据流为预设类型的数据流;
结果确定模块,用于基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量。
根据本发明实施例的一种具体实现方式,所述数据流拆分模块,具体用于将所述待检测数据流,按照其所包含的流量是否属于同一个tcp流,将所述待检测数据流拆分为多个tcp流;若所述多个tcp流中存在流量间隔时长大于预设时长的tcp流,则从大于所述预设时长的每个间隔处,将该tcp流拆分为多个tcp单流;以及将所述多个tcp流中流量间隔时长均不大于预设时长的tcp流,确定为tcp单流。
根据本发明实施例的一种具体实现方式,所述特征生成模块,具体用于获取所述多个tcp单流中每相邻两个tcp单流之间的间隔时长;基于所述多个tcp单流的单流特征,以及每相邻两个tcp单流之间的间隔时长生成所述多个tcp单流的多流特征。
根据本发明实施例的一种具体实现方式,还包括:
第一威胁检测模块,用于针对每个tcp单流,当检测到该tcp单流采用http协议且具有可解码内容时,对该tcp单流进行解码,得到解码数据;计算所述解码数据的压缩比;基于所述解码数据的压缩比,生成该tcp单流的表示恶意程度威胁的第一威胁加权值;
提取该tcp单流的http头特征;当检测到该tcp单流的所述http头特征满足预设特征条件时,生成该tcp单流的表示恶意程度威胁的第二威胁加权值;
当该tcp单流采用https协议时,提取该tcp单流的证书;提取该tcp单流的证书的ja3信息;基于所述ja3信息,生成该tcp单流的表示恶意威胁程度的第三威胁加权值;
所述结果确定模块,具体用于基于所述检测结果,以及各tcp单流的所述第一威胁加权值和所述第二威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量;或者
基于所述检测结果,以及各tcp单流的所述第三威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
根据本发明实施例的一种具体实现方式,还包括:
第二威胁检测模块,用于提取所述待检测数据流的IP信息;查询所述IP信息的恶意威胁程度,得到表示恶意威胁程度的第四威胁加权值;
所述结果确定模块,具体用于基于所述检测结果,以及所述第四威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
根据本发明实施例的一种具体实现方式,还包括:
第三威胁检测模块,用于获取所述待检测数据流中所述网络地址对服务器IP访问的访问时间分布特征;计算所述访问时间分布特征,与其他非恶意的网络地址对该服务端IP访问的访问时间分布特征的相似度;基于所述相似度,生成表示恶意威胁程度的第五威胁加权值;
所述结果确定模块,具体用于基于所述检测结果,以及所述第五威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施方式所述的方法。
第五方面,本发明的实施例还提供一种应用程序,所述应用程序被执行以实现本发明任一实施方式所述的方法。
本发明实施例提供的一种恶意流量检测方法、装置及电子设备,将待检测数据流拆分为多个tcp单流,并提取每个tcp单流的单流特征,然后基于该多个单流特征生成多流特征,作为待检测数据流的流特征,将待检测数据流的流特征,输入预先训练的恶意流量检测模型中,得到表示待检测数据流的恶意威胁程度的检测结果,进而基于检测结果确定待检测数据流是否为恶意流量。由于多流特征能够表示多个tcp单流之间的关联性,相比单流特征能够更全面的体现待检测数据流的特征,并且,用于训练恶意流量检测模型的已知恶意威胁程度的多个历史数据流为预设类型的数据流,因此,可以检测出符合该预设类型的数据流是否存在恶意威胁,相比现有技术中按照规则的检测方法,即使数据流属于难以获取规则的类型,也可以实现快速且准确的检测,即提高了对恶意流量检测的效率和准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例一提供的恶意流量检测方法的流程图;
图2为本发明实施例二提供的恶意流量检测方法的流程图;
图3为本发明实施例提供的恶意流量检测装置的结构示意图;
图4为本发明另一实施例提供的恶意流量检测装置的结构示意图;
图5为本发明另一实施例提供的恶意流量检测装置的结构示意图;
图6为本发明另一实施例提供的恶意流量检测装置的结构示意图;
图7为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一
本发明实施例一提供一种恶意流量检测方法,如图1所示,包括:
步骤11、获取属于同一网络地址的待检测数据流;
步骤12、将待检测数据流,拆分为多个tcp单流;
步骤13、提取每个tcp单流的单流特征;
步骤14、基于多个tcp单流的单流特征,生成多个tcp单流的多流特征,作为待检测数据流的流特征,多流特征表示多个tcp单流之间的关联性;
步骤15、将待检测数据流的流特征,输入预先训练的恶意流量检测模型中,得到表示待检测数据流的恶意威胁程度的检测结果,恶意流量检测模型为基于已知恶意威胁程度的多个历史数据流进行机器学习模型训练得到的,多个历史数据流为预设类型的数据流;
步骤16、基于检测结果,确定待检测数据流是否为预设类型的恶意流量。
采用本发明实施例提供的上述方法,由于多流特征能够表示多个tcp单流之间的关联性,相比单流特征能够更全面的体现待检测数据流的特征,并且,用于训练恶意流量检测模型的已知恶意威胁程度的多个历史数据流为预设类型的数据流,因此,可以检测出符合该预设类型的数据流是否存在恶意威胁,相比现有技术中按照规则的检测方法,即使数据流属于难以获取规则的类型,也可以实现快速且准确的检测,即提高了对恶意流量检测的效率和准确率。
本申请实施例提供的上述方法,可以针对各种预设类型的数据流进行恶意流量检测模型的训练,用于对相应预设类型的数据流进行检测,例如,可以针对webshell加密流量进行恶意流量检测模型的训练,从而可以确定待检测数据流是否为webshell加密类型的恶意流量,相比现有技术中基于规则的检测方法,采用本方法对webshell加密流量进行检测,可以不受流量加密的影响,从而实现对webshell加密流量的更快速和准确的检测,并且,由于检测中考虑了多个tcp单流之间的关联性,进一步提高了检测的准确率。
下面结合附图,对本发明实施例提供的方法进行详细描述。
实施例二
本发明实施例二提供一种恶意流量检测方法,如图2所示,包括:
步骤201、获取属于同一网络地址的待检测数据流。
该同一网络地址的待检测数据流,可以是属于同一客户端的数据流,例如,可以包括该客户端与各个服务器之间的数据流,并且,该数据流可以是该客户端发送的,也可以包括该客户端接收的。
步骤202、将待检测数据流,按照其所包含的流量是否属于同一个tcp流,将待检测数据流拆分为多个tcp流。
具体可以基于待检测数据流中的IP地址,包括发送端和接收端的IP地址,以及发送端与接收端之间建立tcp连接时tcp握手的特征,将待检测数据流拆分为多个tcp流,例如,在经过三次tcp握手建立了tcp连接后,且发送端和接收端的IP地址相同的流量,则属于同一tcp流,否则,属于不同的tcp流。
针对拆分得到的多个tcp流中的每个tcp流,采用如下步骤203-步骤205生成属于待检测数据流的tcp单流。
步骤203、确定该tcp流是否存在大于预设时长的流量间隔,如果存在,执行步骤204,如果不存在,执行步骤205。
步骤204、从大于预设时长的每个间隔处,将该tcp流进行拆分,得到多个tcp单流。
所得到的多个tcp单流的数量,与大于预设时长的间隔的数量有关,为大于预设时长的间隔的数量加1。
步骤205、该tcp流不存在大于预设时长的流量间隔,确定该tcp流为一个tcp单流。
步骤206、提取待检测数据流包括的每个tcp单流的单流特征。
本发明实施例中,所提取的tcp单流的单流特征,可以基于实际应用的需要进行灵活选择,例如,可以包括如下表1中的特征:
| 特征名称 | 特征描述 |
| 源端口 | |
| 目的端口 | |
| 入流量 | 会话过程中接收的总字节数 |
| 出流量 | 会话过程中发送的总字节数 |
| 入包数 | 会话过程中接收的总包数 |
| 出包数 | 会话过程中发送的总包数 |
| 持续时间 | 会话持续时间 |
| 报文长度变化矩阵 | 连接过程中有负载的前20个包的包长转移概率矩阵 |
| 报文时间变化矩阵 | 连接过程中有负载的前20个包的间隔时间转移概率矩阵 |
| 字节分布 | 负载中的字节分布情况 |
表1:单流特征
步骤207、获取该多个tcp单流中每相邻两个tcp单流之间的间隔时长。
步骤208、基于该多个tcp单流的单流特征,以及每相邻两个tcp单流之间的间隔时长生成该多个tcp单流的多流特征。
例如,所生成的多流特征包括该多个tcp单流的单流特征,以及每相邻两个tcp单流之间的间隔时长。
本步骤中,该多流特征也可以理解为是待检测数据流的多流特征,将其称作待检测数据流的流特征。
由于其中包含了多个tcp单流中每相邻两个tcp单流之间的间隔时长,所以,该多流特征可以表示该多个tcp单流之间的关联性。
步骤209、将待检测数据流的流特征,输入预先训练的恶意流量检测模型中,得到表示待检测数据流的恶意威胁程度的检测结果。
本发明实施例中,恶意流量检测模型为基于已知恶意威胁程度的多个历史数据流进行机器学习模型训练得到的,该多个历史数据流为预设类型的数据流。
具体的,恶意流量检测模型所采用的机器学习的算法模型,可以基于实际应用的需要选择各种可行的类型,例如,可以是随机森林或RNN(Recurrent Neural Network,循环神经网络)算法,基于计算出的待检测数据流的流特征和已知恶意威胁程度的多个历史数据流的流特征之间的相似度,确定待检测数据流的恶意威胁程度的检测结果。
步骤210、基于得到的检测结果,确定待检测数据流是否为预设类型的恶意流量。
本发明实施例一中,可以基于得到的表示恶意威胁程度的检测结果,与威胁程度阈值进行比较,如果大于威胁程度阈值,则确定为是恶意流量。
实施例三
在本发明的其他实施例中,在将待检测数据流的流特征输入恶意流量检测模型,得到表示恶意威胁程度的检测结果后,如果检测结果表示待检测数据流的恶意威胁程度超过告警阈值,则确定该待检测数据流为恶意数据流,直接进行告警,如果检测结果表示待检测数据流的恶意威胁程度低于正常阈值,则确定该待检测数据流为正常流量,如果检测结果表示待检测数据流的恶意威胁程度在告警阈值和正常阈值之间,则表示该待检测数据流可能为恶意数据流,为了能够进一步更准确的确定是否为恶意流量,还可以结合其他检测方式得到的检测结果,共同确定待检测数据流是否为恶意流量。
本发明实施例中,所结合的其他检测方式可以至少包括如下检测方式之一:
第一种检测方式:
针对一个tcp单流,当检测到该tcp单流采用http协议且具有可解码内容时,对该tcp单流进行解码,得到解码数据;
计算解码数据的压缩比;
基于解码数据的压缩比,生成该tcp单流的表示恶意程度威胁的第一威胁加权值。
对于webshell加密流量,当其采用http协议时,会对传输内容进行base64、base128、chr或rsa等加密,以base64加密为例,在实际应用中,webshell恶意流量在base64解码后的数据一般为加密数据,而非恶意流量在base64解码后的数据一般是明文,所以,在上述第一种检测方式中,基于解码数据的压缩比,如果压缩比高,则恶意威胁程度较高,如果压缩比低,恶意威胁程度较低。
第二种检测方式:
针对一个tcp单流,当检测到该tcp单流采用http协议且具有可解码内容时,提取该tcp单流的http头特征;
当检测到该tcp单流的http头特征满足预设特征条件时,生成该tcp单流的表示恶意程度威胁的第二威胁加权值。
第二种检测方式中对http头进行威胁检测,比如恶意软件经常会使用独特的http头特征,例如特殊的user-agent等等,所以,可以基于tcp单流的http头特征是否满足预设特征条件,生成表示恶意威胁程度的第二威胁加权值。
第三种检测方式:
针对一个tcp单流,当该tcp单流采用https协议时,提取该tcp单流的证书;
提取该tcp单流的证书的ja3信息;
基于ja3信息,生成该tcp单流的表示恶意威胁程度的第三威胁加权值。
由于采用https协议时已经进行了加密,所以不能解码,此时可以提取tcp单流的证书的ja3信息,并通过计算得到表示恶意威胁程度的第三威胁加权值。
第四种检测方式:
提取待检测数据流的IP信息;
查询所述IP信息的恶意威胁程度,得到表示恶意威胁程度的第四威胁加权值。
在第四种检测方式中,可以提取待检测数据流中包含的各种IP信息,包括发送端和接收端的IP地址,即客户端和与该客户端进行交互的其他各服务器的IP地址,并在统计的威胁IP地址库中查询,如果存在,则表示恶意威胁程度较高,得到表示恶意威胁程度的第四威胁加权值。
第五种检测方式:
获取待检测数据流中该网络地址对服务器IP访问的访问时间分布特征;
计算该访问时间分布特征,与其他非恶意的网络地址对该服务端IP访问的访问时间分布特征的相似度;
基于相似度,生成表示恶意威胁程度的第五威胁加权值。
在第五种检测方式中,访问时间分布特征,可以包括访问的时间间隔,单位时间内访问的次数等,计算相似度的算法,可以采用各种可行的算法,例如,欧式距离相似度。
本发明实施例中,可以基于恶意流量检测模型输出的检测结果,以及上述各种检测方式计算出的各威胁加权值,确定待检测数据流是否为恶意流量。
例如,可以将该检测结果和各威胁加权值进行加权求和,得到能够表示待检测数据流是否为恶意流量的检测值。
也可以在该检测结果表示待检测数据流的恶意威胁程度较高时,进一步的基于上述各检测方式得到的威胁加权值,确定待检测数据流的恶意威胁程度是否较高,当结果也是恶意威胁程度较高时,确定待检测数据流为恶意流量。
基于同一发明构思,相应的,根据本发明实施例提供的恶意流量检测方法,本发明实施例提供一种恶意流量检测装置,如图3所示,包括:
数据流获取模块31,用于获取属于同一网络地址的待检测数据流;
数据流拆分模块32,用于将所述待检测数据流,拆分为多个tcp单流;
特征提取模块33,用于提取每个所述tcp单流的单流特征;
特征生成模块34,用于基于所述多个tcp单流的单流特征,生成所述多个tcp单流的多流特征,作为所述待检测数据流的流特征,所述多流特征表示所述多个tcp单流之间的关联性;
数据流检测模块35,用于将所述待检测数据流的流特征,输入预先训练的恶意流量检测模型中,得到表示所述待检测数据流的恶意威胁程度的检测结果,所述恶意流量检测模型为基于已知恶意威胁程度的多个历史数据流进行机器学习模型训练得到的,所述多个历史数据流为预设类型的数据流;
结果确定模块36,用于基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量。
根据本发明实施例的一种具体实现方式,所述数据流拆分模块32,具体用于将所述待检测数据流,按照其所包含的流量是否属于同一个tcp流,将所述待检测数据流拆分为多个tcp流;若所述多个tcp流中存在流量间隔时长大于预设时长的tcp流,则从大于所述预设时长的每个间隔处,将该tcp流拆分为多个tcp单流;以及将所述多个tcp流中流量间隔时长均不大于预设时长的tcp流,确定为tcp单流。
根据本发明实施例的一种具体实现方式,所述特征生成模块34,具体用于获取所述多个tcp单流中每相邻两个tcp单流之间的间隔时长;基于所述多个tcp单流的单流特征,以及每相邻两个tcp单流之间的间隔时长生成所述多个tcp单流的多流特征。
根据本发明实施例的一种具体实现方式,如图4所示,还包括:
第一威胁检测模块37,用于针对每个tcp单流,当检测到该tcp单流采用http协议且具有可解码内容时,对该tcp单流进行解码,得到解码数据;计算所述解码数据的压缩比;基于所述解码数据的压缩比,生成该tcp单流的表示恶意程度威胁的第一威胁加权值;
提取该tcp单流的http头特征;当检测到该tcp单流的所述http头特征满足预设特征条件时,生成该tcp单流的表示恶意程度威胁的第二威胁加权值;
当该tcp单流采用https协议时,提取该tcp单流的证书;提取该tcp单流的证书的ja3信息;基于所述ja3信息,生成该tcp单流的表示恶意威胁程度的第三威胁加权值;
所述结果确定模块36,具体用于基于所述检测结果,以及各tcp单流的所述第一威胁加权值和所述第二威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量;或者
基于所述检测结果,以及各tcp单流的所述第三威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
根据本发明实施例的一种具体实现方式,如图5所示,还包括:
第二威胁检测模块38,用于提取所述待检测数据流的IP信息;查询所述IP信息的恶意威胁程度,得到表示恶意威胁程度的第四威胁加权值;
所述结果确定模块36,具体用于基于所述检测结果,以及所述第四威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
根据本发明实施例的一种具体实现方式,如图6所示,还包括:
第三威胁检测模块39,用于获取所述待检测数据流中所述网络地址对服务器IP访问的访问时间分布特征;计算所述访问时间分布特征,与其他非恶意的网络地址对该服务端IP访问的访问时间分布特征的相似度;基于所述相似度,生成表示恶意威胁程度的第五威胁加权值;
所述结果确定模块36,具体用于基于所述检测结果,以及所述第五威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
本实施例的装置,可以用于执行图1-图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本发明实施例还提供一种电子设备,所述电子设备包含前述任一实施例所述的装置。
图7为本发明电子设备一个实施例的结构示意图,可以实现本发明图1-2所示实施例的流程,如图7所示,上述电子设备可以包括:壳体71、处理器72、存储器73、电路板74和电源电路75,其中,电路板74安置在壳体71围成的空间内部,处理器72和存储器73设置在电路板74上;电源电路75,用于为上述电子设备的各个电路或器件供电;存储器73用于存储可执行程序代码;处理器72通过读取存储器73中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的恶意流量检测方法。
处理器72对上述步骤的具体执行过程以及处理器72通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-2所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施方式所述的方法。
本发明的实施例还提供一种应用程序,所述应用程序被执行以实现本发明任一实施例提供的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种恶意流量检测方法,其特征在于,包括:
获取属于同一网络地址的待检测数据流;
将所述待检测数据流,拆分为多个tcp单流;
提取每个所述tcp单流的单流特征;
基于所述多个tcp单流的单流特征,生成所述多个tcp单流的多流特征,作为所述待检测数据流的流特征,所述多流特征表示所述多个tcp单流之间的关联性;
将所述待检测数据流的流特征,输入预先训练的恶意流量检测模型中,得到表示所述待检测数据流的恶意威胁程度的检测结果,所述恶意流量检测模型为基于已知恶意威胁程度的多个历史数据流进行机器学习模型训练得到的,所述多个历史数据流为预设类型的数据流;
基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量。
2.根据权利要求1所述的恶意流量检测方法,其特征在于,所述将所述待检测数据流,拆分为多个tcp单流,包括:
将所述待检测数据流,按照其所包含的流量是否属于同一个tcp流,将所述待检测数据流拆分为多个tcp流;
若所述多个tcp流中存在流量间隔时长大于预设时长的tcp流,则从大于所述预设时长的每个间隔处,将该tcp流拆分为多个tcp单流;
将所述多个tcp流中流量间隔时长均不大于预设时长的tcp流,确定为tcp单流。
3.根据权利要求1所述的恶意流量检测方法,其特征在于,所述基于所述多个tcp单流的单流特征,生成所述多个tcp单流的多流特征,包括:
获取所述多个tcp单流中每相邻两个tcp单流之间的间隔时长;
基于所述多个tcp单流的单流特征,以及每相邻两个tcp单流之间的间隔时长生成所述多个tcp单流的多流特征。
4.根据权利要求1所述的恶意流量检测方法,其特征在于,在所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量之前,还包括:
针对每个tcp单流,当检测到该tcp单流采用http协议且具有可解码内容时,对该tcp单流进行解码,得到解码数据;
计算所述解码数据的压缩比;
基于所述解码数据的压缩比,生成该tcp单流的表示恶意程度威胁的第一威胁加权值;
提取该tcp单流的http头特征;
当检测到该tcp单流的所述http头特征满足预设特征条件时,生成该tcp单流的表示恶意程度威胁的第二威胁加权值;
当该tcp单流采用https协议时,提取该tcp单流的证书;
提取该tcp单流的证书的ja3信息;
基于所述ja3信息,生成该tcp单流的表示恶意威胁程度的第三威胁加权值;
所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量,包括:
基于所述检测结果,以及各tcp单流的所述第一威胁加权值和所述第二威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量;或者
基于所述检测结果,以及各tcp单流的所述第三威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
5.根据权利要求1所述的恶意流量检测方法,其特征在于,在所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量之前,还包括:
提取所述待检测数据流的IP信息;
查询所述IP信息的恶意威胁程度,得到表示恶意威胁程度的第四威胁加权值;
所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量,包括:
基于所述检测结果,以及所述第四威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
6.根据权利要求1所述的恶意流量检测方法,其特征在于,在所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量之前,还包括:
获取所述待检测数据流中所述网络地址对服务器IP访问的访问时间分布特征;
计算所述访问时间分布特征,与其他非恶意的网络地址对该服务端IP访问的访问时间分布特征的相似度;
基于所述相似度,生成表示恶意威胁程度的第五威胁加权值;
所述基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量,包括:
基于所述检测结果,以及所述第五威胁加权值,确定所述待检测数据流是否为所述预设类型的恶意流量。
7.一种恶意流量检测装置,其特征在于,包括:
数据流获取模块,用于获取属于同一网络地址的待检测数据流;
数据流拆分模块,用于将所述待检测数据流,拆分为多个tcp单流;
特征提取模块,用于提取每个所述tcp单流的单流特征;
特征生成模块,用于基于所述多个tcp单流的单流特征,生成所述多个tcp单流的多流特征,作为所述待检测数据流的流特征,所述多流特征表示所述多个tcp单流之间的关联性;
数据流检测模块,用于将所述待检测数据流的流特征,输入预先训练的恶意流量检测模型中,得到表示所述待检测数据流的恶意威胁程度的检测结果,所述恶意流量检测模型为基于已知恶意威胁程度的多个历史数据流进行机器学习模型训练得到的,所述多个历史数据流为预设类型的数据流;
结果确定模块,用于基于所述检测结果,确定所述待检测数据流是否为所述预设类型的恶意流量。
8.根据权利要求7所述的恶意流量检测装置,其特征在于,所述数据流拆分模块,具体用于将所述待检测数据流,按照其所包含的流量是否属于同一个tcp流,将所述待检测数据流拆分为多个tcp流;若所述多个tcp流中存在流量间隔时长大于预设时长的tcp流,则从大于所述预设时长的每个间隔处,将该tcp流拆分为多个tcp单流;以及将所述多个tcp流中流量间隔时长均不大于预设时长的tcp流,确定为tcp单流。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一权利要求所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211649327.2A CN115987625A (zh) | 2022-12-21 | 2022-12-21 | 一种恶意流量检测方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211649327.2A CN115987625A (zh) | 2022-12-21 | 2022-12-21 | 一种恶意流量检测方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115987625A true CN115987625A (zh) | 2023-04-18 |
Family
ID=85964178
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211649327.2A Pending CN115987625A (zh) | 2022-12-21 | 2022-12-21 | 一种恶意流量检测方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115987625A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116668182A (zh) * | 2023-07-10 | 2023-08-29 | 哈尔滨工业大学 | 一种基于多流上下文关系的加密应用行为流量检测方法 |
-
2022
- 2022-12-21 CN CN202211649327.2A patent/CN115987625A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116668182A (zh) * | 2023-07-10 | 2023-08-29 | 哈尔滨工业大学 | 一种基于多流上下文关系的加密应用行为流量检测方法 |
| CN116668182B (zh) * | 2023-07-10 | 2023-11-10 | 哈尔滨工业大学 | 一种基于多流上下文关系的加密应用行为流量检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Xu et al. | Am I eclipsed? A smart detector of eclipse attacks for Ethereum | |
| CN108111464B (zh) | 一种数据校验方法及装置 | |
| CN110868377B (zh) | 一种网络攻击图的生成方法、装置及电子设备 | |
| CN109698809B (zh) | 一种账号异常登录的识别方法及装置 | |
| CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
| CN115987625A (zh) | 一种恶意流量检测方法、装置及电子设备 | |
| CN112839017A (zh) | 一种网络攻击检测方法及其装置、设备和存储介质 | |
| CN110248211B (zh) | 直播间消息限流方法、装置、电子设备及存储介质 | |
| CN116308350A (zh) | 基于同态加密的隐私交易方法、装置及相关产品 | |
| CN111027065A (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| CN107995167B (zh) | 一种设备识别方法及服务器 | |
| CN114338102B (zh) | 安全检测方法、装置、电子设备及存储介质 | |
| CN114281587A (zh) | 一种终端设备资产异常检测方法、装置、电子设备及存储介质 | |
| CN111030977A (zh) | 一种攻击事件追踪方法、装置及存储介质 | |
| CN115270161A (zh) | 基于加密插件的加密方法、装置及相关产品 | |
| CN114285619A (zh) | 一种网络信息展示方法、装置及电子设备 | |
| CN111800391B (zh) | 端口扫描攻击的检测方法、装置、电子设备及存储介质 | |
| CN114285621A (zh) | 一种网络威胁监测方法、装置及电子设备 | |
| CN110659490B (zh) | 恶意样本的处理方法、装置、电子设备及存储介质 | |
| CN107465744B (zh) | 数据下载控制方法及系统 | |
| Liu et al. | A detection-resistant covert timing channel based on geometric huffman coding | |
| CN112583798B (zh) | 从区块链系统中筛选共识节点的方法、装置及相关产品 | |
| CN117892356B (zh) | 水质数据处理方法和装置、电子设备及存储介质 | |
| CN114301668B (zh) | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |