CN116471057A - 一种恶意流量解析分析方法 - Google Patents
一种恶意流量解析分析方法 Download PDFInfo
- Publication number
- CN116471057A CN116471057A CN202310322844.7A CN202310322844A CN116471057A CN 116471057 A CN116471057 A CN 116471057A CN 202310322844 A CN202310322844 A CN 202310322844A CN 116471057 A CN116471057 A CN 116471057A
- Authority
- CN
- China
- Prior art keywords
- traffic data
- malicious
- network traffic
- malicious traffic
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 23
- 238000001514 detection method Methods 0.000 claims description 17
- 238000001914 filtration Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000000354 decomposition reaction Methods 0.000 claims description 3
- 238000007637 random forest analysis Methods 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 abstract description 5
- 238000005206 flow analysis Methods 0.000 abstract description 3
- 238000012545 processing Methods 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 4
- 238000000605 extraction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据处理技术领域,特别是涉及一种恶意流量解析分析方法。包括:获取网络流量数据和若干已知类型的恶意流量数据;对网络流量数据进行特征解析,并获得基于会话的特征序列;基于会话的特征序列,将网络流量数据与若干已知类型的恶意流量数据进行比对分析,并确定网络流量数据是否为恶意流量数据;当网络流量数据为恶意流量数据中的至少一类时,确定网络流量数据为恶意流量数据,并根据若干已知类型的恶意流量数据将作为恶意流量数据的网络流量数据进行解析分析。本发明通过将获取的网络流量数据和若干已知类型的恶意流量数据进行比对分析,快速的判断了网络流量数据是否为恶意流量数据,提高了响应速度以及判断的准确性。
Description
技术领域
本发明涉及数据处理技术领域,特别是涉及一种恶意流量解析分析方法。
背景技术
流量,在网络领域就存在许多不同的概念,例如手机流量是指每个月给运营商付费获得若干G上网流量,网站流量是网站访问量,用来描述一个网站的用户数和页面访问次数,网络流量是通过特定网络节点的数据包和网络请求数量。在不同的安全领域,研究的主要是网络流量中属于恶意的部分,其中包括网络攻击、业务攻击、恶意爬虫等。恶意流量绝大部分都来自自动化程序,通常通过未经许可的方式侵入、干扰、抓取他方业务或数据。
然而现有技术中,对于恶意流量的检测分析方式大多都是基于机器主动学习的形式,通过定义不同维度的特征来做为特征工程,但这种特征工程方式需要安全工程师对每一种攻击有良好特征提取能力,会依赖于人力判断检测,不具有高效性,对于一些已知类型的恶意流量数据还要重复进行解析分析,极大的降低了工作效率。因此,如何提供一种恶意流量解析分析方法是本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种恶意流量解析分析方法,本发明通过将获取的网络流量数据和若干已知类型的恶意流量数据进行比对分析,由于现有大多恶意流量数据都是已知类型的,根据已知类型的恶意流量数据与获取到的网络流量数据进行解析分析,可以快速的判断网络流量数据是否为恶意流量数据,提高了响应速度以及判断的准确性。
为了实现上述目的,本发明提供了如下的技术方案:
一种恶意流量解析分析方法,包括:
获取网络流量数据和若干已知类型的恶意流量数据;
对所述网络流量数据进行特征解析,并获得基于会话的特征序列,所述会话包括流通于同一组网络终端之间的若干条所述网络流量数据;
基于所述会话的特征序列,将所述网络流量数据与若干已知类型的所述恶意流量数据进行比对分析,并确定所述网络流量数据是否为恶意流量数据;其中,当所述网络流量数据为所述恶意流量数据中的至少一类时,确定所述网络流量数据为恶意流量数据,并根据若干已知类型的所述恶意流量数据将作为恶意流量数据的所述网络流量数据进行解析分析。
在本申请的一些实施例中,还包括:
当所述网络流量数据不为所述恶意流量数据中的至少一类时,通过预设流量数据检测模型对所述网络流量数据进行检测,并根据所述预设流量数据检测模型的检测结果的相似度确定所述网络流量数据是否为恶意流量数据;其中,
所述预设流量数据检测模型是根据预设样本集训练得到的随机森林模型,所述预设样本集包括若干恶意流量数据样本和若干非恶意流量数据样本。
在本申请的一些实施例中,所述预设流量数据检测模型还用于将所述网络流量数据和若干已知类型的所述恶意流量数据转换为灰度图像,并根据所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像之间的海明距离,确定所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度,当所述相似度小于等于预设相似度标准值时,确定所述网络流量数据为恶意流量数据。
在本申请的一些实施例中,所述获取网络流量数据和若干已知类型的恶意流量数据后,还包括:
对所述网络流量数据进行过滤处理,所述过滤处理包括根据所述网络流量数据的传输协议,判断所述网络流量数据是否为TCP报文,当所述网络流量数据不为TCP报文时,将获取到的所述网络流量数据进行删除。
在本申请的一些实施例中,所述确定所述网络流量数据为恶意流量数据后,还包括:
根据所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度的相似值N确定所述恶意流量数据的安全等级。
在本申请的一些实施例中,预先设定第一预设安全等级A1,为第二预设安全等级A2,第三预设安全等级A3,第四预设安全等级A4,且A1<A2<A3<A4;
预先设定第一预设相似值T01,第二预设相似值T02,第三预设相似值T03,第四预设相似值T04,且T01<T02<T03<T04<100%;
根据N与各预设相似值之间的关系选定相应的安全等级作为所述恶意流量数据的安全等级;
当N<T01时,选定所述第四预设安全等级A4作为所述恶意流量数据的安全等级;
当T01≤N<T02,选定所述第三预设安全等级A3作为所述恶意流量数据的安全等级;
当T02≤N<T03,选定所述第二预设安全等级A2作为所述恶意流量数据的安全等级;
当T03≤N<T04,选定所述第一预设安全等级A1作为所述恶意流量数据的安全等级。
在本申请的一些实施例中,所述对所述网络流量数据进行特征解析并获得基于会话的特征序列,包括:
提取所述网络流量数据中的五元组信息;
匹配所述网络流量数据归属的会话,所述网络流量数据归属的会话为由若干历史流量数据组成的集合;其中,
若干所述历史流量数据所对应的五元组信息与当前所述网络流量数据所对应的五元组信息相同;
将所述网络流量数据增加至与所述网络流量数据相匹配的所述会话中。
在本申请的一些实施例中,当所述网络流量数据未匹配到归属的会话时,根据所述五元组信息建立新会话,并将所述新会话增加至所述会话中。
在本申请的一些实施例中,所述将所述网络流量数据和若干已知类型的所述恶意流量数据转换为灰度图像,包括:
对所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像通过奇异值分解进行降噪处理,并通过离散小波变换提取所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的低频部分,通过所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的低频部分得到所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码;
根据所述网络流量数据的灰度图像的二进制哈希码与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码之间的海明距离,确定所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度。
在本申请的一些实施例中,所述通过所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的低频部分得到所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码,包括:
将所述低频部分的图像修改为预设大小,并计算修改后的所述低频部分的图像的像素平均值,遍历所述低频部分的图像的所有像素点,将像素值大于像素平均值的像素点记为1,小于像素平均值的像素点记为0,以得到所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码所对应的二进制哈希码。
本发明提供了一种恶意流量解析分析方法,与现有技术相比,其有益效果在于:
本发明通过获取网络流量数据和若干已知类型的恶意流量数据,并基于会话的特征序列,将网络流量数据与若干已知类型的恶意流量数据进行比对分析,当确定网络流量数据为恶意流量数据时,根据若干已知类型的恶意流量数据将作为恶意流量数据的网络流量数据进行解析分析,有效地提高了对恶意流量数据解析分析的响应速度,并且根据已知类型的恶意流量数据进行解析分析,提高了分析结果的准确性。
附图说明
图1是本发明实施例中恶意流量解析分析方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内侧的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
现有技术中,对于恶意流量的检测分析方式大多都是基于机器主动学习的形式,通过定义不同维度的特征来做为特征工程,但这种特征工程方式需要安全工程师对每一种攻击有良好特征提取能力,会依赖于人力判断检测,不具有高效性,对于一些已知类型的恶意流量数据还要重复进行解析分析,存在影响工作效率的问题。
因此,本发明提供了一种恶意流量解析分析方法,通过将获取的网络流量数据和若干已知类型的恶意流量数据进行比对分析,由于现有大多恶意流量数据都是已知类型的,根据已知类型的恶意流量数据与获取到的网络流量数据进行解析分析,可以快速的判断网络流量数据是否为恶意流量数据,提高了响应速度以及判断的准确性。
参阅图1所示,本发明的公开实施例提供了一种恶意流量解析分析方法,包括:
获取网络流量数据和若干已知类型的恶意流量数据;
对网络流量数据进行特征解析,并获得基于会话的特征序列,会话包括流通于同一组网络终端之间的若干条网络流量数据;
基于会话的特征序列,将网络流量数据与若干已知类型的恶意流量数据进行比对分析,并确定网络流量数据是否为恶意流量数据;其中,当网络流量数据为恶意流量数据中的至少一类时,确定网络流量数据为恶意流量数据,并根据若干已知类型的恶意流量数据将作为恶意流量数据的网络流量数据进行解析分析。
在本申请的一种具体实施例中,还包括:
当网络流量数据不为恶意流量数据中的至少一类时,通过预设流量数据检测模型对网络流量数据进行检测,并根据预设流量数据检测模型的检测结果的相似度确定网络流量数据是否为恶意流量数据;其中,
预设流量数据检测模型是根据预设样本集训练得到的随机森林模型,预设样本集包括若干恶意流量数据样本和若干非恶意流量数据样本。
在本申请的一种具体实施例中,预设流量数据检测模型还用于将网络流量数据和若干已知类型的恶意流量数据转换为灰度图像,并根据网络流量数据的灰度图像与若干已知类型的恶意流量数据的灰度图像之间的海明距离,确定网络流量数据与若干已知类型的恶意流量数据之间的相似度,当相似度小于等于预设相似度标准值时,确定网络流量数据为恶意流量数据。
在本申请的一种具体实施例中,获取网络流量数据和若干已知类型的恶意流量数据后,还包括:
对网络流量数据进行过滤处理,过滤处理包括根据网络流量数据的传输协议,判断网络流量数据是否为TCP报文,当网络流量数据不为TCP报文时,将获取到的网络流量数据进行删除。
在本申请的一种具体实施例中,确定网络流量数据为恶意流量数据后,还包括:
根据网络流量数据与若干已知类型的恶意流量数据之间的相似度的相似值N确定恶意流量数据的安全等级。
在本申请的一种具体实施例中,预先设定第一预设安全等级A1,为第二预设安全等级A2,第三预设安全等级A3,第四预设安全等级A4,且A1<A2<A3<A4;
预先设定第一预设相似值T01,第二预设相似值T02,第三预设相似值T03,第四预设相似值T04,且T01<T02<T03<T04<100%;
根据N与各预设相似值之间的关系选定相应的安全等级作为恶意流量数据的安全等级;
当N<T01时,选定第四预设安全等级A4作为恶意流量数据的安全等级;
当T01≤N<T02,选定第三预设安全等级A3作为恶意流量数据的安全等级;
当T02≤N<T03,选定第二预设安全等级A2作为恶意流量数据的安全等级;
当T03≤N<T04,选定第一预设安全等级A1作为恶意流量数据的安全等级。
在本申请的一种具体实施例中,对网络流量数据进行特征解析并获得基于会话的特征序列,包括:
提取网络流量数据中的五元组信息;
匹配网络流量数据归属的会话,网络流量数据归属的会话为由若干历史流量数据组成的集合;其中,
若干历史流量数据所对应的五元组信息与当前网络流量数据所对应的五元组信息相同;
将网络流量数据增加至与网络流量数据相匹配的会话中。
在本申请的一种具体实施例中,当网络流量数据未匹配到归属的会话时,根据五元组信息建立新会话,并将新会话增加至会话中。
在本申请的一种具体实施例中,将网络流量数据和若干已知类型的恶意流量数据转换为灰度图像,包括:
对网络流量数据的灰度图像与若干已知类型的恶意流量数据的灰度图像通过奇异值分解进行降噪处理,并通过离散小波变换提取网络流量数据的灰度图像与若干已知类型的恶意流量数据的灰度图像的低频部分,通过网络流量数据的灰度图像与若干已知类型的恶意流量数据的灰度图像的低频部分得到网络流量数据的灰度图像与若干已知类型的恶意流量数据的灰度图像的二进制哈希码;
根据网络流量数据的灰度图像的二进制哈希码与若干已知类型的恶意流量数据的灰度图像的二进制哈希码之间的海明距离,确定网络流量数据与若干已知类型的恶意流量数据之间的相似度。
在本申请的一种具体实施例中,通过网络流量数据的灰度图像与若干已知类型的恶意流量数据的灰度图像的低频部分得到网络流量数据的灰度图像与若干已知类型的恶意流量数据的灰度图像的二进制哈希码,包括:
将低频部分的图像修改为预设大小,并计算修改后的低频部分的图像的像素平均值,遍历低频部分的图像的所有像素点,将像素值大于像素平均值的像素点记为1,小于像素平均值的像素点记为0,以得到网络流量数据的灰度图像与若干已知类型的恶意流量数据的灰度图像的二进制哈希码所对应的二进制哈希码。
综上所述,本发明通过获取网络流量数据和若干已知类型的恶意流量数据,并基于会话的特征序列,将网络流量数据与若干已知类型的恶意流量数据进行比对分析,当确定网络流量数据为恶意流量数据时,根据若干已知类型的恶意流量数据将作为恶意流量数据的网络流量数据进行解析分析,有效地提高了对恶意流量数据解析分析的响应速度,根据已知类型的恶意流量数据进行解析分析,提高了分析结果的准确性。此外,当网络流量数据不为恶意流量数据已知类型中的时,通过转换为图像的形式,根据海明距离相似度判断的方式,对网络流量数据进行判断,改变了传统的根据数据元统计特征的方式(数据源包括数据包大小、到达时间序列和字节分布等),而是基于图像转换判断,进一步的提高了准确性。
以上所述仅为本发明的一个实施例子,但不能以此限制本发明的范围,凡依据本发明所做的结构上的变化,只要不失本发明的要义所在,都应视为落入本发明保护范围之内受到制约。
所属技术领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程及有关说明,可以参考前述方法实施例中的对应过程,在此不再赘述。
需要说明的是,上述实施例提供的系统,仅以上述各功能模块的划分进行举例说明,在实际应用中,可以根据需要而将上述功能分配由不同的功能模块来完成,即将本发明实施例中的模块或者步骤再分解或者组合,例如,上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块,以完成以上描述的全部或者部分功能。对于本发明实施例中涉及的模块、步骤的名称,仅仅是为了区分各个模块或者步骤,不视为对本发明的不当限定。
本领域技术人员应该能够意识到,结合本文中所公开的实施例描述的各示例的模块、方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,软件模块、方法步骤对应的程序可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备/装置不仅包括那些要素,而且还包括没有明确列出的其它要素,或者还包括这些过程、方法、物品或者设备/装置所固有的要素。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征作出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种恶意流量解析分析方法,其特征在于,包括:
获取网络流量数据和若干已知类型的恶意流量数据;
对所述网络流量数据进行特征解析,并获得基于会话的特征序列,所述会话包括流通于同一组网络终端之间的若干条所述网络流量数据;
基于所述会话的特征序列,将所述网络流量数据与若干已知类型的所述恶意流量数据进行比对分析,并确定所述网络流量数据是否为恶意流量数据;其中,当所述网络流量数据为所述恶意流量数据中的至少一类时,确定所述网络流量数据为恶意流量数据,并根据若干已知类型的所述恶意流量数据将作为恶意流量数据的所述网络流量数据进行解析分析。
2.根据权利要求1所述的一种恶意流量解析分析方法,其特征在于,还包括:
当所述网络流量数据不为所述恶意流量数据中的至少一类时,通过预设流量数据检测模型对所述网络流量数据进行检测,并根据所述预设流量数据检测模型的检测结果的相似度确定所述网络流量数据是否为恶意流量数据;其中,
所述预设流量数据检测模型是根据预设样本集训练得到的随机森林模型,所述预设样本集包括若干恶意流量数据样本和若干非恶意流量数据样本。
3.根据权利要求2所述的一种恶意流量解析分析方法,其特征在于,
所述预设流量数据检测模型还用于将所述网络流量数据和若干已知类型的所述恶意流量数据转换为灰度图像,并根据所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像之间的海明距离,确定所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度,当所述相似度小于等于预设相似度标准值时,确定所述网络流量数据为恶意流量数据。
4.根据权利要求1所述的一种恶意流量解析分析方法,其特征在于,所述获取网络流量数据和若干已知类型的恶意流量数据后,还包括:
对所述网络流量数据进行过滤处理,所述过滤处理包括根据所述网络流量数据的传输协议,判断所述网络流量数据是否为TCP报文,当所述网络流量数据不为TCP报文时,将获取到的所述网络流量数据进行删除。
5.根据权利要求3所述的一种恶意流量解析分析方法,其特征在于,所述确定所述网络流量数据为恶意流量数据后,还包括:
根据所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度的相似值N确定所述恶意流量数据的安全等级。
6.根据权利要求5所述的一种恶意流量解析分析方法,其特征在于,
预先设定第一预设安全等级A1,为第二预设安全等级A2,第三预设安全等级A3,第四预设安全等级A4,且A1<A2<A3<A4;
预先设定第一预设相似值T01,第二预设相似值T02,第三预设相似值T03,第四预设相似值T04,且T01<T02<T03<T04<100%;
根据N与各预设相似值之间的关系选定相应的安全等级作为所述恶意流量数据的安全等级;
当N<T01时,选定所述第四预设安全等级A4作为所述恶意流量数据的安全等级;
当T01≤N<T02,选定所述第三预设安全等级A3作为所述恶意流量数据的安全等级;
当T02≤N<T03,选定所述第二预设安全等级A2作为所述恶意流量数据的安全等级;
当T03≤N<T04,选定所述第一预设安全等级A1作为所述恶意流量数据的安全等级。
7.根据权利要求1所述的一种恶意流量解析分析方法,其特征在于,所述对所述网络流量数据进行特征解析并获得基于会话的特征序列,包括:
提取所述网络流量数据中的五元组信息;
匹配所述网络流量数据归属的会话,所述网络流量数据归属的会话为由若干历史流量数据组成的集合;其中,
若干所述历史流量数据所对应的五元组信息与当前所述网络流量数据所对应的五元组信息相同;
将所述网络流量数据增加至与所述网络流量数据相匹配的所述会话中。
8.根据权利要求7所述的一种恶意流量解析分析方法,其特征在于,
当所述网络流量数据未匹配到归属的会话时,根据所述五元组信息建立新会话,并将所述新会话增加至所述会话中。
9.根据权利要求3所述的一种恶意流量解析分析方法,其特征在于,
所述将所述网络流量数据和若干已知类型的所述恶意流量数据转换为灰度图像,包括:
对所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像通过奇异值分解进行降噪处理,并通过离散小波变换提取所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的低频部分,通过所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的低频部分得到所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码;
根据所述网络流量数据的灰度图像的二进制哈希码与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码之间的海明距离,确定所述网络流量数据与若干已知类型的所述恶意流量数据之间的相似度。
10.根据权利要求9所述的一种恶意流量解析分析方法,其特征在于,所述通过所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的低频部分得到所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码,包括:
将所述低频部分的图像修改为预设大小,并计算修改后的所述低频部分的图像的像素平均值,遍历所述低频部分的图像的所有像素点,将像素值大于像素平均值的像素点记为1,小于像素平均值的像素点记为0,以得到所述网络流量数据的灰度图像与若干已知类型的所述恶意流量数据的灰度图像的二进制哈希码所对应的二进制哈希码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310322844.7A CN116471057A (zh) | 2023-03-29 | 2023-03-29 | 一种恶意流量解析分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310322844.7A CN116471057A (zh) | 2023-03-29 | 2023-03-29 | 一种恶意流量解析分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116471057A true CN116471057A (zh) | 2023-07-21 |
Family
ID=87174369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310322844.7A Pending CN116471057A (zh) | 2023-03-29 | 2023-03-29 | 一种恶意流量解析分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116471057A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180097835A1 (en) * | 2016-10-05 | 2018-04-05 | Cisco Technology, Inc. | Identifying and using dns contextual flows |
| US20190222589A1 (en) * | 2018-01-17 | 2019-07-18 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
| CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
| CN113222930A (zh) * | 2021-05-08 | 2021-08-06 | 厦门服云信息科技有限公司 | 基于图像分析的恶意流量检测方法、终端设备及存储介质 |
| CN113705604A (zh) * | 2021-07-15 | 2021-11-26 | 中国科学院信息工程研究所 | 僵尸网络流量分类检测方法、装置、电子设备及存储介质 |
| CN113989583A (zh) * | 2021-09-03 | 2022-01-28 | 中电积至(海南)信息技术有限公司 | 一种互联网恶意流量检测方法及系统 |
| US20220060491A1 (en) * | 2020-08-21 | 2022-02-24 | Palo Alto Networks, Inc. | Malicious traffic detection with anomaly detection modeling |
| US20220224706A1 (en) * | 2020-03-30 | 2022-07-14 | Tencent Technology (Shenzhen) Company Limited | Artificial intelligence-based network security protection method and apparatus, and electronic device |
| CN115174169A (zh) * | 2022-06-22 | 2022-10-11 | 方盈金泰科技(北京)有限公司 | 一种基于图卷积网络的恶意加密流量检测方法 |
-
2023
- 2023-03-29 CN CN202310322844.7A patent/CN116471057A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180097835A1 (en) * | 2016-10-05 | 2018-04-05 | Cisco Technology, Inc. | Identifying and using dns contextual flows |
| US20190222589A1 (en) * | 2018-01-17 | 2019-07-18 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
| CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
| US20220224706A1 (en) * | 2020-03-30 | 2022-07-14 | Tencent Technology (Shenzhen) Company Limited | Artificial intelligence-based network security protection method and apparatus, and electronic device |
| US20220060491A1 (en) * | 2020-08-21 | 2022-02-24 | Palo Alto Networks, Inc. | Malicious traffic detection with anomaly detection modeling |
| CN113222930A (zh) * | 2021-05-08 | 2021-08-06 | 厦门服云信息科技有限公司 | 基于图像分析的恶意流量检测方法、终端设备及存储介质 |
| CN113705604A (zh) * | 2021-07-15 | 2021-11-26 | 中国科学院信息工程研究所 | 僵尸网络流量分类检测方法、装置、电子设备及存储介质 |
| CN113989583A (zh) * | 2021-09-03 | 2022-01-28 | 中电积至(海南)信息技术有限公司 | 一种互联网恶意流量检测方法及系统 |
| CN115174169A (zh) * | 2022-06-22 | 2022-10-11 | 方盈金泰科技(北京)有限公司 | 一种基于图卷积网络的恶意加密流量检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
| CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及系统 | |
| CN107360118B (zh) | 一种高级持续威胁攻击防护方法及装置 | |
| CN111935170A (zh) | 一种网络异常流量检测方法、装置及设备 | |
| CN111131260B (zh) | 一种海量网络恶意域名识别和分类方法及系统 | |
| CN107145779B (zh) | 一种离线恶意软件日志的识别方法和装置 | |
| CN110855717B (zh) | 一种物联网设备防护方法、装置和系统 | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| CN112751835B (zh) | 一种流量预警方法、系统、设备和存储介质 | |
| CN113378899B (zh) | 非正常账号识别方法、装置、设备和存储介质 | |
| CN110365636B (zh) | 工控蜜罐攻击数据来源的判别方法及装置 | |
| CN111885106A (zh) | 一种基于终端设备特征信息的物联网安全管控方法及系统 | |
| CN111478892A (zh) | 基于浏览器指纹的攻击者画像多维度分析方法 | |
| CN114168968A (zh) | 一种基于物联网设备指纹的漏洞挖掘方法 | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| CN113872962B (zh) | 一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法 | |
| CN113660267A (zh) | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 | |
| CN113746804A (zh) | Dns隐蔽信道检测方法、装置、设备及存储介质 | |
| CN108650145A (zh) | 一种家庭宽带WiFi下手机号码特征自动提取方法 | |
| CN113688905A (zh) | 一种有害域名核验方法及装置 | |
| CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
| CN112073364A (zh) | 一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质 | |
| CN116471057A (zh) | 一种恶意流量解析分析方法 | |
| CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |