CN116506216B - 一种轻量化恶意流量检测存证方法、装置、设备及介质 - Google Patents

Abstract

本发明涉及一种轻量化恶意流量检测存证方法、装置、设备及介质，其中，方法包括：基于多协议和时序行为的流量特征信息提取方法对收到的数据流量进行特征提取，得到协议特征和时序特征；将所述协议特征和时序特征输入至恶意流量检测模型，得到数据流量的类别；当所述数据流量的类别为恶意时，将恶意的数据流量及其类别打包形成安防区块，并将所述安防区块送入区块链内进行存证。装置包括特征提取模块、检测模块以及存证模块。本发明能够实现恶意流量的分布式检测，降低恶意流量检测过程的计算开销。

Description

一种轻量化恶意流量检测存证方法、装置、设备及介质

技术领域

本发明涉及网络安全技术领域，特别是涉及一种轻量化恶意流量检测存证方法、装置、设备及介质。

背景技术

随着“大、云、物、移、智”等新技术在电力工控及其他关键信息基础领域的深化应用，主站云化部署以及业务应用快速迭代、通信网络架构复杂化、海量异构终端广泛互联、APP将用户和业务系统连接互动，工业、关基信息化系统在更灵活、开放、高效的同时，业务主站、通信网络和感知终端各层面更加严峻的安全形势，零日漏洞利用、定向端口攻击、高级逃逸、APT等未知、持续、隐蔽性恶意攻击已成为当今国际国网空间中的主流攻击手段，而传统基于防火墙、杀毒软件、入侵检测系统的“封、堵、查、杀”被动防守式安全防护技术已经无法应对此类攻击，需进一步深入研究适配数字化、智慧化工控系统的主动防御技术。

考虑到攻击时常常伴有流量异常现象，实施有效的异常流量检测以提升网络对攻击的识别能力是增强网络安全的重要手段。异常流量检测与识别算法可分成基于规则的检测算法和基于机器学习的检测算法。基于规则的检测算法一般会通过分析与流量特征相关的参数信息（如端口、数据包大小、持续时间等）来鉴别异常流量，但此类方法通常针对某一类特征明显的攻击行为，可识别的异常类型较少，识别效果主要取决于异常类型紧密联系的阈值设定，不具备学习型，不利于推广和拓展。机器学习算法具有通过已知数据挖掘数据价值的属性，可以实现事前主动检测，为应对复杂、隐蔽、未知特征类攻击提供有效的解决途径，在异常流量检测技术中也被广泛研究。机器学习算法中的深度学习算法通过对原始输入数据进行逐层学习，自动得到高层次的特征数据，准确率较高，但深度学习模型的准确率是复杂的模型结构换来的，存在计算量大、对硬件水平要求高的问题，同样也不适用于低开销需求工业控制、工业物联网等系统。

现有专利文献CN113505826A公开了利用随机森林的网络异常流量检测方法，该方法是一种通用的异常网络流量分类检测技术，其虽然可以通过计算信息熵的方式对特征量提取过程做出一定程度的精简化，但在工业物联网等特定场景中应用，仍存在以下不足和局限性：

（1）特征选取过程涉及信息增益值的计算，计算过程较复杂，难以在低开销、高实时需求的工业物联网系统应用，且未考恶意流量被加密的情况；

（2）检测过程与随机森林算法模型强绑定，无法实现算法模型的可插拔，随机森林模型适用于输入复杂、数据量庞大的场景，对于特定的工业物联网等场景难以较好适配；

（3）检测过程仅停留在异常识别结果上，未考虑识别结果被篡改的情况。

发明内容

本发明所要解决的技术问题是提供一种轻量化恶意流量检测存证方法、装置、设备及介质，能够降低计算开销。

本发明解决其技术问题所采用的技术方案是：提供一种轻量化恶意流量检测存证方法，包括以下步骤：

基于多协议和时序行为的流量特征信息提取方法对收到的数据流量进行特征提取，得到协议特征和时序特征；

将所述协议特征和时序特征输入至恶意流量检测模型，得到数据流量的类别；

当所述数据流量的类别为恶意时，将恶意的数据流量及其类别打包形成安防区块，并将所述安防区块送入区块链内进行存证。

所述基于多协议和时序行为的流量特征信息提取方法对收到的数据流量进行特征提取，得到协议特征和时序特征，具体包括：

对收到的数据流量进行解析，确定所述数据流量采用的协议；

基于确定的协议对数据流量进行截取，得到报文头和核心报文体；

从所述报文头和核心报文体中过滤出协议特征；

以通信信道作为检测单元，从设定的时间窗口内提取流量数据的时序特征。

所述协议特征包括与连接建立相关的协议记录版本、握手版本、密码套件列表、压缩方法列表、扩展列表、椭圆曲线列表、EC点格式列表、签名算法列表、以及目标服务器IP、服务器名称指示和匿名客户端IP网络信息。

所述时序特征包括流量分布特征、一致性特征和统计特征，所述流量分布特征是指流量数据的某个特征在所有样本上的分布情况，所述一致性特征是指流量数据在某一特征上相类似或相关联的情况，所述统计特征是指流量数据在统计学数值上的情况。

所述恶意流量检测模型基于逻辑回归模型构建，包括N个二分类子模型，每个二分类子模型分别将一个数据流量的类别与其他数据流量的类别进行区分；所述恶意流量检测模型的输入为协议特征和时序特征，输出为N个二分类结果中概率最大的数据流量的类别。

所述安防区块包括前一个安防区块的散列值、本安防区块生成的时间戳、Merkle树和Nonce随机数；所述Merkle树包括恶意流量数据，所述恶意流量数据包含数据流量的报文、数据流量检测的类别和监测点信息；所述数据流量的报文和数据流量检测的类别将用于区块链节点的校验；所述监测点信息为恶意的数据流量被检出时所在的配电终端相关信息。

所述的轻量化恶意流量检测存证方法还包括：接收到其他节点同步的安防区块后进行分类准确性校验的步骤，具体为：自动生成随机数，当所述随机数超过阈值时，对所述安防区块进行校验，校验时提取出安防区块中的恶意的数据流量的协议特征和时序特征，并将协议特征和时序特征输入至本地的恶意流量检测模型中进行检测，当检测结果与安防区块中的恶意的数据流量的类别一致时，验证通过，保存所述安防区块；或者，当检测结果与安防区块中的恶意的数据流量的类别不一致时，丢弃所述安防区块。

本发明解决其技术问题所采用的技术方案是：提供一种轻量化恶意流量检测存证装置，包括：

特征提取模块，用于基于多协议和时序行为的流量特征信息提取方法对收到的数据流量进行特征提取，得到协议特征和时序特征；

检测模块，用于将所述协议特征和时序特征输入至恶意流量检测模型，得到数据流量的类别；

存证模块，用于当所述数据流量的类别为恶意时，将恶意的数据流量及其类别打包形成安防区块，并将所述安防区块送入区块链内进行存证。

本发明解决其技术问题所采用的技术方案是：一种电子设备，包括存储器、处理器及存储在存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述轻量化恶意流量检测存证方法的步骤。

本发明解决其技术问题所采用的技术方案是：一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述轻量化恶意流量检测存证方法的步骤。

有益效果

由于采用了上述的技术方案，本发明与现有技术相比，具有以下的优点和积极效果：本发明只根据报文头提取数据包的特征信息，并将提取的特征信息输入至训练好的恶意流量检测模型进行检测，当检测到恶意流量时，将检测结果和数据包打包进入区块链内，并同步配电网内部其它设备，实现联防联控，为保障配电网网络安全提供智能化防护手段。本发明中基于协议和时序行为的流量特征提取方法和恶意流量检测模型能够很好适配末端感知设备与配电网互动的低资源开销需求，同时可以提高恶意流量检测准确率，提升系统的可靠性和泛化能力。本发明使用区块链保证数据完整性，使得恶意攻击者无法清除攻击痕迹，提高被保护系统的攻击溯源能力和应急响应能力，同时还按照阈值进行分类准确性校验，避免全部节点进行校验，造成计算开销的增大。

附图说明

图1是本发明第一实施方式轻量化恶意流量检测存证方法的流程图；

图2是应用本发明第一实施方式的配电二次系统的部署结构图；

图3是本发明第一实施方式中协议特征提取的流程图；

图4是本发明第一实施方式中逻辑回归算法训练过程的示意图；

图5是本发明第一实施方式中安防区块存证的流程图；

图6是本发明第一实施方式中安防区块的结构图；

图7是本发明第一实施方式中安防区块的分类准确性校验的流程图。

实施方式

下面结合具体实施例，进一步阐述本发明。应理解，这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所附权利要求书所限定的范围。

本发明的第一实施方式涉及一种轻量化恶意流量检测存证方法，包括以下步骤：基于多协议和时序行为的流量特征信息提取方法对收到的数据流量进行特征提取，得到协议特征和时序特征；将所述协议特征和时序特征输入至恶意流量检测模型，得到数据流量的类别；当所述数据流量的类别为恶意时，将恶意的数据流量及其类别打包形成安防区块，并将所述安防区块送入区块链内进行存证。

本实施方式的方法可以应用于配电二次系统，下面以含末端物联感知设备（简称“末端设备”）的配电二次系统为例，进一步说明本发明。

如图2所示，本实施方式将配电终端层和安全接入层分为执行子层和数据子层。配电终端层设备硬件资源、计算性能、存储性能有限，因此为其设计轻量化防护方案。

（1）基于多协议和时序行为的流量特征信息提取方法

配电终端的存储空间和计算性能是有限的，复杂的配电终端计算开销可能会导致偶发断联、崩溃，末端感知设备与配电终端的连接和数据交互也会受影响，进而影响整个配电网的稳定性。同时，恶意流量可能使用TLS等协议对流量进行加密，并使用对抗生成等技术对流量特征进行伪装。

本实施方式中提出了基于多协议和时序行为的流量特征信息提取方法，在协议特征内容的选取上，考虑了TCP、MQTT、TLS三个常见的恶意流量使用的协议，并根据核心报文头提特定链接信息，具体包括与连接建立相关的协议记录版本、握手版本、密码套件列表、压缩方法列表、扩展列表、椭圆曲线列表、EC点格式列表、签名算法列表，以及相关上下文、目标服务器IP、SNI（Server Name Indication，服务器名称指示）和匿名客户端IP网络信息等。提取后的协议组成特征向量用于检测模型的检测。如图3所示，基于协议的特征提取是轻量化的，每个协议的报文头在协议中是有明确规定的，各个标记位都有其特定含义，基本均为固定长度。在收到末端模块层上传的请求报文后，对报文进行解析，确定报文采用的协议，按照确定的协议截取其报文头和核心报文体，并从截取的报文头和核心报文体中过滤出所需的协议特征。协议特征提取过程的计算量就不再与报文长度呈线性相关，时间复杂度降低为O(1)，使得特征提取开销大幅降低。

在时序特征提取上，以通信信道作为检测单元，从设定的时间窗口内提取报文的多个流的时序特征，除了提取单个数据报的某些字段信息（如访问IP、数据长度、标志位等），还加入流量分布特征（DFs）、一致性特征（CFs）和统计特征（SFs）。流量分布特征是指流量数据的某个特征（如端口、标志位字段）在所有样本上的分布情况；一致性特征是指流量数据在某一特征上相类似、相关联的情况；统计特征是指流量数据在统计学数值（如均值、方差）上的情况。这三种特征能够在一定的时间跨度上分析流量的行为特征，充分挖掘流量数据的分布特性，发现潜在的恶意流量行为。

（2）恶意流量检测模型

本实施方式支持多种协议的恶意流量检测，恶意流量检测器需要经过训练，而训练需要标记好的数据集。数据集为从配电网环境中采集的抽样流量，提取出所需的特征后，需对每个流量标记出它所属的类别。本实施方式依据当前配电网络可能面临的主要攻击类型，将流量类别分为：合法流量（legitimate）、被篡改流量（malformed）、暴力破解流量（bruteforce）、洪泛攻击流量（flood）、拒绝服务流量（DoS）五种，实际应用过程中，也可以根据需求划分为别的类型。

下面以逻辑回归算法为例，介绍识别模型：逻辑回归是一个线性回归后的逻辑方程的正规化，是概率统计中的经典分类方法之一。逻辑回归用于分类时，需要设定一个阈值来判断待预测类的所属类别。逻辑回归训练速度较快，分类的时候，计算量仅仅只和特征的数目相关；简单易理解，模型的可解释性非常好，从特征的权重可以看到不同的特征对最后结果的影响；不需要缩放输入特征；内存资源占用小，因为只需要存储各个维度的特征值。因此本发明选用逻辑回归算法实现恶意流量检测分类。流量协议请求头属性集A即配电网通信中所使用协议的请求头及核心内容的字段集。本实施方式使用“一对多”（One-vs-All）方法训练逻辑回归模型，将多分类问题转化为多个二分类问题，每个二分类模型分别将一个类别与其他所有类别区分开来。在恶意流量检测时，将输入样本分别输入这五个二分类模型，得到五个二分类结果，然后选择概率最大的那个类别作为最终的预测结果。

逻辑回归算法训练过程如图4所示，模型将选取的特征信息作为输入，输出该报文的类别（合法流量、被篡改流量、暴力破解流量、洪泛攻击流量、拒绝服务流量五种）。通过离线训练，使逻辑回归模型拟合配电网环境下的流量特征，达到90%以上的准确率。然后将其部署到配电终端侧，计算量仅和特征量的数目相关，内存资源占用小，因为只需要存储各个维度的特征值，模型本身仅占用不足1MB的存储空间，能够以极低的计算开销和存储开销实现恶意流量检测。

针对不同应用场景下流量数据的差异性，需要使用不同的机器学习模型进行针对的检测。不同的机器学习模型通常具有不同的接口，这使得它们难以组合在一起。为了解决这个问题，本实施方式统一使用scikit-learn 提供的接口，对用不同的模型，使用相同的方式进行训练和部署，方便在应用时的替换。

（3）基于区块链的攻击行为存证

区块链由区块头和区块体两部分构成，其中区块头由版本号、前一区块哈希值、Merkle（默克尔哈希二叉树）根节点、时间戳、难度值、随机数及交易记录组成。基于哈希算法特性，任意交易记录被篡改，其Merkle树的根节点必然发生改变，其他节点验证哈希值时能够明显地发现问题。基于区块链技术构建末端感知设备与配网互动流量的检测安全链，使流量检测数据具备了安全、完整、可信等特点。

如图2所示，配电终端作为区块链网络的生产者节点（Producer Node），安全接入网关作为区块链网络的消费者节点（Consumer Node）。私有链生产者节点处理流程如表1所示。

表1 生产者节点处理流程

请求报文request表示单次请求的报文流量，分析结果blockentity表示区块结构(区块结构详见图6)，classifier代表训练好的逻辑回归算法，checkresult是逻辑回归算法的分类类别)，parse方法即特征提取方法，当检测到恶意流量时配电终端本身作为Energymanager可以断开恶意末端感知设备的连接，保护配电网系统的安全可靠。

私有链生产者节点处理流程详见图5。

如图6所示，每个安防区块包含前一个区块的散列值、本区块生成时间戳、Merkle树、Nonce随机数。安防区块保存在一个链式结构中，每个区块保留着上一个区块的散列值，一旦前一个区块被删除或被篡改，区块链检查时会由于出现异常而拒绝此次修改。

恶意流量数据包含恶意数据报文、恶意流量检测类别、监测点信息和用于扩展的其余信息部分。

（1）恶意数据报文和恶意流量类别将用于区块链节点的校验，避免恶意攻击者恶意构造区块的情况出现。

（2）监测点信息为该恶意流量检出时所在的配电终端相关信息，便于安全运维人员对恶意流量在物理世界进行实地溯源和取证。

（3）用于扩展的其余信息主要用于系统的后续扩展和升级维护。

恶意流量的攻击类型和流量数据存储在Merkle树结构中，通过散列值实现快速检索，一旦某个恶意流量数据内容被篡改，Merkle树校验将无法通过，区块链将检测出此次篡改行为，触发监控报警，及时通知相关安全运维人员进行应急处理。

由于攻击痕迹不止保存在一个配电终端节点中，攻击者清理攻击痕迹的难度随着配电终端节点数的增多而加大，可提高攻击痕迹证据的完整性。

私有链消费者节点处理流程如表2所示，处理流程图详见图7。

表2 消费者节点处理流程

阈值为系统运维人员根据需求手动设置，random方法为生成随机数(随机数可以为硬件噪声、高斯噪声等)，当随机数超过阈值会对区块进行检查，检查方法是将区块内的请求交给逻辑回归算法再次分类，分类结果与区块内结果相同则验证通过，否则验证不通过，避免了全部区块节点的校验，节省算例。当验证不通过时，系统丢弃该恶意区块。当验证通过，系统把区块存储到本地，根据系统运维人员配置的策略生成规则（（流量分类、地区、时间）→（断连、放行））生成静态策略，并将策略下发给区块中记载的配电终端来源，进行自动轻量化安全防护。系统还会进行安全公告，向配电网其它已有安全系统通过Restful API进行恶意攻击来源广播，与安全监控、防火墙等系统设备进行联防联控，提高配电网攻击处置能力。

消费者节点(安全接入网关)在接收到区块链内部其它节点同步来的区块时涉及几个安全性设计包括：（1）区块校验，安全可靠。网关在接收到数据时按照阈值进行分类准确性校验，通常网关侧配置的阈值大于配电终端侧配置的阈值，因为网关的性能要远高于配电终端，可以在不影响系统稳定性的情况下更好的抵御恶意区块。（2）静态策略，安全隔离。生成静态策略下发至配电终端的静态策略模块，可实现断开指定末端感知设备的网络连接、断开某个区域的末端感知设备网络，实现危险区域隔离。（3）安全公告，联防联控。将检测结果与电网系统内部已有的安全监测系统、防火墙、隔离装置等进行同步，实现安全防护系统联动，将安全风险阻挡在配电网系统之外。（4）监控告警，迅速响应。当区块分类的系统打分高于指定阈值时，与告警系统联通实现邮件、短信、电话告警，使得安全团队可以快速响应。

不难发现，本方法将区块链与机器学习结合起来，使用私有链技术，在其内部嵌入逻辑回归流量检测模型。当配电终端接收到末端感知设备上传的数据后，会从中通过O(1)时间复杂的特征提取方法提取特征信息，逻辑回归模型预测被检查数据包的分类，当流量被预测为恶意流量时，将流量分类和数据包打包进入区块链内，并同步配电网内部其它安全防护平台、装置，联防联控，为保障配电网网络安全提供智能化防护手段。该方法降低人工成本，以自动化、智能化的方式进行恶意流量检测，提高电网或其他被保护系统的应急响应速度。该方法设计的基于协议和时序行为的流量特征提取方法和检测模型可很好适配末端感知设备与配电网互动的低资源开销需求，同时可以提高恶意流量检测准确率，提升系统的可靠性和泛化能力。该方法使用区块链保证数据完整性，使得恶意攻击者无法清除攻击痕迹，提高被保护系统的攻击溯源能力和应急响应能力。

本发明的第二实施方式涉及一种轻量化恶意流量检测存证装置，包括：

特征提取模块，用于基于多协议和时序行为的流量特征信息提取方法对收到的数据流量进行特征提取，得到协议特征和时序特征；

检测模块，用于将所述协议特征和时序特征输入至恶意流量检测模型，得到数据流量的类别；

存证模块，用于当所述数据流量的类别为恶意时，将恶意的数据流量及其类别打包形成安防区块，并将所述安防区块送入区块链内进行存证。

所述特征提取模块包括：

解析单元，用于对收到的数据流量进行解析，确定所述数据流量采用的协议；

截取单元，用于基于确定的协议对数据流量进行截取，得到报文头和核心报文体；

过滤单元，用于从所述报文头和核心报文体中过滤出协议特征；

提取单元，用于以通信信道作为检测单元，从设定的时间窗口内提取流量数据的时序特征。

所述协议特征包括与连接建立相关的协议记录版本、握手版本、密码套件列表、压缩方法列表、扩展列表、椭圆曲线列表、EC点格式列表、签名算法列表、以及目标服务器IP、服务器名称指示和匿名客户端IP网络信息。

所述时序特征包括流量分布特征、一致性特征和统计特征，所述流量分布特征是指流量数据的某个特征在所有样本上的分布情况，所述一致性特征是指流量数据在某一特征上相类似或相关联的情况，所述统计特征是指流量数据在统计学数值上的情况。

所述恶意流量检测模型基于逻辑回归模型构建，包括N个二分类子模型，每个二分类子模型分别将一个数据流量的类别与其他数据流量的类别进行区分；所述恶意流量检测模型的输入为协议特征和时序特征，输出为N个二分类结果中概率最大的数据流量的类别。

所述安防区块包括前一个安防区块的散列值、本安防区块生成的时间戳、Merkle树和Nonce随机数；所述Merkle树包括恶意流量数据，所述恶意流量数据包含数据流量的报文、数据流量检测的类别和监测点信息；所述数据流量的报文和数据流量检测的类别将用于区块链节点的校验；所述监测点信息为恶意的数据流量被检出时所在的配电终端相关信息。

轻量化恶意流量检测存证装置，还包括校验模块，所述校验模块在接收到其他节点同步的安防区块后进行分类准确性校验，具体为：自动生成随机数，当所述随机数超过阈值时，对所述安防区块进行校验，校验时提取出安防区块中的恶意的数据流量的协议特征和时序特征，并将协议特征和时序特征输入至本地的恶意流量检测模型中进行检测，当检测结果与安防区块中的恶意的数据流量的类别一致时，验证通过，保存所述安防区块；当检测结果与安防区块中的恶意的数据流量的类别不一致时，丢弃所述安防区块。

本发明的第三实施方式涉及一种电子设备，包括存储器、处理器及存储在存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现第一实施方式的轻量化恶意流量检测存证方法的步骤。

本发明的第四实施方式涉及一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一实施方式的轻量化恶意流量检测存证方法的步骤。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。本发明实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言Java和直译式脚本语言JavaScript等。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (6)

1.一种轻量化恶意流量检测存证方法，其特征在于，将配电终端作为区块链网络的生产者节点，将安全接入网关作为区块链网络的消费者节点，生产者节点包括以下步骤：

基于多协议和时序行为的流量特征信息提取方法对收到的数据流量进行特征提取，得到协议特征和时序特征；具体包括：

对收到的数据流量进行解析，确定所述数据流量采用的协议；

基于确定的协议对数据流量进行截取，得到报文头和核心报文体；

从所述报文头和核心报文体中过滤出协议特征；

其中，所述协议特征包括与连接建立相关的协议记录版本、握手版本、密码套件列表、压缩方法列表、扩展列表、椭圆曲线列表、EC点格式列表、签名算法列表、以及目标服务器IP、服务器名称指示和匿名客户端IP网络信息；所述时序特征包括流量分布特征、一致性特征和统计特征，所述流量分布特征是指流量数据的某个特征在所有样本上的分布情况，所述一致性特征是指流量数据在某一特征上相类似或相关联的情况，所述统计特征是指流量数据在统计学数值上的情况；

以通信信道作为检测单元，从设定的时间窗口内提取流量数据的时序特征；

将所述协议特征和时序特征输入至恶意流量检测模型，得到数据流量的类别；

当所述数据流量的类别为恶意时，将恶意的数据流量及其类别打包形成安防区块，并将所述安防区块送入区块链内进行存证；

消费者节点包括以下步骤：

接收到其他节点同步的安防区块后进行分类准确性校验，具体为：

自动生成随机数，当所述随机数超过阈值时，对所述安防区块进行校验，校验时提取出安防区块中的恶意的数据流量的协议特征和时序特征，并将协议特征和时序特征输入至本地的恶意流量检测模型中进行检测，当检测结果与安防区块中的恶意的数据流量的类别一致时，验证通过，保存所述安防区块；或者，当检测结果与安防区块中的恶意的数据流量的类别不一致时，丢弃所述安防区块。

2.根据权利要求1所述的轻量化恶意流量检测存证方法，其特征在于，所述恶意流量检测模型基于逻辑回归模型构建，包括N个二分类子模型，每个二分类子模型分别将一个数据流量的类别与其他数据流量的类别进行区分；所述恶意流量检测模型的输入为协议特征和时序特征，输出为N个二分类结果中概率最大的数据流量的类别。

3.根据权利要求1所述的轻量化恶意流量检测存证方法，其特征在于，所述安防区块包括前一个安防区块的散列值、本安防区块生成的时间戳、Merkle树和Nonce随机数；所述Merkle树包括恶意流量数据，所述恶意流量数据包含数据流量的报文、数据流量检测的类别和监测点信息；所述数据流量的报文和数据流量检测的类别将用于区块链节点的校验；所述监测点信息为恶意的数据流量被检出时所在的配电终端相关信息。

4.一种轻量化恶意流量检测存证装置，其特征在于，将配电终端作为区块链网络的生产者节点，将安全接入网关作为区块链网络的消费者节点，所述生产者节点包括：

特征提取模块，用于基于多协议和时序行为的流量特征信息提取方法对收到的数据流量进行特征提取，得到协议特征和时序特征；所述特征提取模块包括：

解析单元，用于对收到的数据流量进行解析，确定所述数据流量采用的协议；

截取单元，用于基于确定的协议对数据流量进行截取，得到报文头和核心报文体；

过滤单元，用于从所述报文头和核心报文体中过滤出协议特征；

提取单元，用于以通信信道作为检测单元，从设定的时间窗口内提取流量数据的时序特征；

其中，所述协议特征包括与连接建立相关的协议记录版本、握手版本、密码套件列表、压缩方法列表、扩展列表、椭圆曲线列表、EC点格式列表、签名算法列表、以及目标服务器IP、服务器名称指示和匿名客户端IP网络信息；所述时序特征包括流量分布特征、一致性特征和统计特征，所述流量分布特征是指流量数据的某个特征在所有样本上的分布情况，所述一致性特征是指流量数据在某一特征上相类似或相关联的情况，所述统计特征是指流量数据在统计学数值上的情况；

检测模块，用于将所述协议特征和时序特征输入至恶意流量检测模型，得到数据流量的类别；

存证模块，用于当所述数据流量的类别为恶意时，将恶意的数据流量及其类别打包形成安防区块，并将所述安防区块送入区块链内进行存证；

所述消费者节点节点包括校验模块，用于在接收到其他节点同步的安防区块后进行分类准确性校验，具体为：自动生成随机数，当所述随机数超过阈值时，对所述安防区块进行校验，校验时提取出安防区块中的恶意的数据流量的协议特征和时序特征，并将协议特征和时序特征输入至本地的恶意流量检测模型中进行检测，当检测结果与安防区块中的恶意的数据流量的类别一致时，验证通过，保存所述安防区块；当检测结果与安防区块中的恶意的数据流量的类别不一致时，丢弃所述安防区块。

5.一种电子设备，包括存储器、处理器及存储在存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-3中任一所述轻量化恶意流量检测存证方法的步骤。

6.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-3中任一所述轻量化恶意流量检测存证方法的步骤。