CN117527316A

CN117527316A - 流量识别方法、装置和计算机设备

Info

Publication number: CN117527316A
Application number: CN202311378169.6A
Authority: CN
Inventors: 段赟; 刘东鑫
Original assignee: China Telecom Technology Innovation Center; China Telecom Corp Ltd
Current assignee: China Telecom Technology Innovation Center; China Telecom Corp Ltd
Priority date: 2023-10-24
Filing date: 2023-10-24
Publication date: 2024-02-06

Abstract

本申请涉及一种流量识别方法、装置和计算机设备。所述方法包括：基于流量数据包中的有效载荷信息进行初级恶意识别；在识别到所述流量数据包为恶意的流量数据包的情况下，对所述流量数据包对应的目标五元组中的互联网协议地址进行风险识别；在所述互联网协议地址存在风险的情况下，对所述流量数据包中的请求报文和响应报文进行统计分析，得到流量统计特征；基于所述流量统计特征识别所述流量数据包的恶意类别。采用本方法能够提高恶意类别的准确性。

Description

流量识别方法、装置和计算机设备

技术领域

本申请涉及通信技术领域，特别是涉及一种流量识别方法、装置和计算机设备。

背景技术

随着互联网的普及，在网络中存在很多恶意攻击的流量，网络安全不得不引起业界重视。随着TLS(Transport Layer Security，传输层安全性协议)加密技术的普及，攻击者也经常使用TLS实现攻击行为隐藏，躲避网络安全设备的检测，由此，也让网络安全面临着更加重大的挑战。

如何准确地对恶意加密流量的检测是业界一致要攻克的难题。

发明内容

基于此，有必要针对上述技术问题，提供一种有效的流量识别方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。

第一方面，本申请提供了一种流量识别方法，包括：

基于流量数据包中的有效载荷信息进行初级恶意识别；

在识别到所述流量数据包为恶意的流量数据包的情况下，对所述流量数据包对应的目标五元组中的互联网协议地址进行风险识别；

在所述互联网协议地址存在风险的情况下，对所述流量数据包中的请求报文和响应报文进行统计分析，得到流量统计特征；

基于所述流量统计特征识别所述流量数据包的恶意类别。

在其中一个实施例中，所述互联网协议地址为所述目标五元组中的源互联网协议地址或目的互联网协议地址中的至少一个；

所述对所述流量数据包对应的目标五元组中的互联网协议地址进行风险识别，包括：

根据所述互联网协议地址对应的威胁情报特征、时间特征或告警事件特征中的至少一种，确定所述互联网协议地址对应的第一特征；

根据所述第一特征对所述互联网协议地址进行风险识别。

在其中一个实施例中，所述方法还包括：

将所述互联网协议地址与威胁情报库中威胁情报进行匹配，确定所述互联网协议地址匹配命中的威胁情报的数量；

根据所述威胁情报的数量确定所述互联网协议地址对应的威胁情报特征。

在其中一个实施例中，所述方法还包括：

确定所述互联网协议地址对应的第一时间；

确定所述第一时间与第二时间之间的第一差值，以及确定所述第一时间与第三时间之间的第二差值；所述第二时间是高风险互联网协议地址的活跃时段的开始时间；所述第三时间是高风险互联网协议地址的活跃时段的结束时间；

对所述第一差值和所述第二差值取最小值，得到所述互联网协议地址对应的时间特征。

在其中一个实施例中，所述方法还包括：

将所述互联网协议地址与多个告警等级对应的历史告警事件对应的互联网协议地址分别进行匹配，确定每个告警等级所对应的告警事件命中数量；所述告警事件命中数量是所述互联网协议地址匹配命中的历史告警事件的数量；

根据多个告警等级分别对应的告警事件命中数量，确定所述互联网协议地址对应的告警事件特征。

在其中一个实施例中，所述流量统计特征包括报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种；

所述基于所述流量统计特征识别所述流量数据包的恶意类别，包括：

将报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种拼接，得到第二特征；

基于所述第二特征识别所述流量数据包的恶意类别。

在其中一个实施例中，所述报文双向速率特征用于表征所述流量数据包中请求报文的第一平均速率和响应报文的第二平均速率之间的速率差异；所述报文双向长度特征用于表征所述流量数据包中请求报文的第一平均长度和响应报文的第二平均长度之间的长度差异；所述报文双向时延特征用于表征所述流量数据包中同一报文对中请求报文与响应报文之间的平均时间间隔；所述报文双向数量特征用于表征所述流量数据包中请求报文的第一数量和响应报文的第二数量之间的数量差异。

在其中一个实施例中，所述基于流量数据包中的有效载荷信息进行初级恶意识别，包括：

将流量数据包中的有效载荷信息向量化，得到有效载荷向量；

将所述有效载荷向量输入至初级识别模型进行初级恶意识别；

将所述流量统计特征输入至进阶识别模型，以识别所述流量数据包的恶意类别。

第二方面，本申请还提供了一种流量识别装置，包括：

初级识别模块，用于基于流量数据包中的有效载荷信息进行初级恶意识别；

风险识别模块，用于在识别到所述流量数据包为恶意的流量数据包的情况下，对所述流量数据包对应的目标五元组中的互联网协议地址进行风险识别；

类别确定模块，用于在所述互联网协议地址存在风险的情况下，对所述流量数据包中的请求报文和响应报文进行统计分析，得到流量统计特征；基于所述流量统计特征识别所述流量数据包的恶意类别。

第三方面，本申请还提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

基于流量数据包中的有效载荷信息进行初级恶意识别；

基于所述流量统计特征识别所述流量数据包的恶意类别。

第四方面，本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

基于流量数据包中的有效载荷信息进行初级恶意识别；

基于所述流量统计特征识别所述流量数据包的恶意类别。

第五方面，本申请还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

基于流量数据包中的有效载荷信息进行初级恶意识别；

基于所述流量统计特征识别所述流量数据包的恶意类别。

上述流量识别方法、装置、计算机设备、存储介质和计算机程序产品，基于流量数据包中的有效载荷信息进行初级恶意识别；在识别到所述流量数据包为恶意的流量数据包的情况下，对所述流量数据包对应的目标五元组中的互联网协议地址进行风险识别；在所述互联网协议地址存在风险的情况下，对所述流量数据包中的请求报文和响应报文进行统计分析，得到流量统计特征；基于所述流量统计特征识别所述流量数据包的恶意类别，能够更为准确地对恶意流量进行检测。

附图说明

为了更清楚地说明本申请实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一个实施例中流量识别方法的应用环境图；

图2为一个实施例中流量识别方法的流程示意图；

图3为一个实施例中类别识别步骤的流程示意图；

图4为另一个实施例中流量识别方法的流程示意图；

图5为一个实施例中流量识别装置的结构框图；

图6为一个实施例中计算机设备的内部结构图；

图7为另一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请实施例提供的流量识别方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与计算机设备104进行通信。数据存储系统可以存储计算机设备104需要处理的数据。数据存储系统可以集成在计算机设备104上，也可以放在云上或其他网络服务器上。

终端102可以访问计算机设备104形成访问流量，计算机设备104可以对终端102的流量数据包进行恶意识别，具体地，计算机设备104可以基于流量数据包中的有效载荷信息进行初级恶意识别。计算机设备104可以在识别到流量数据包为恶意的流量数据包的情况下，对流量数据包对应的目标五元组中的互联网协议地址进行风险识别。计算机设备104可以在互联网协议地址存在风险的情况下，对流量数据包中的请求报文和响应报文进行统计分析，得到流量统计特征。计算机设备104可以基于流量统计特征识别流量数据包的恶意类别。

其中，终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备，物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。计算机设备104可以是服务器，服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现，计算机设备104也可以是其他的能够实现安全检测的设备，对此不做限定。

在一个示例性的实施例中，如图2所示，提供了一种流量识别方法，以该方法应用于图1中的计算机设备为例进行说明，包括：

步骤202，基于流量数据包中的有效载荷信息进行初级恶意识别。

其中，流量数据包是将一系列原始流量按照五元组切分得到的数据包。

五元组是流量数据包的五个基本属性，即[源IP地址、目的IP地址、源端口号、目的端口号、传输协议]。IP地址又称为互联网协议地址。源IP地址又称为源互联网协议地址，目的IP地址又称为目的互联网协议地址。

有效载荷信息是流量数据包中的实际数据内容，也就是需要传输的信息本身。初级恶意识别，是指基于有效载荷信息初步识别流量数据包是否为恶意的流量数据包，即初步判断流量数据包是否为恶意流量。有效载荷信息是一种表征特征。

可选地，计算机设备可以将流量数据包中的有效载荷信息向量化，得到有效载荷向量，基于有效载荷向量进行初级恶意识别。

示例性地，计算机设备可以将有效载荷向量输入至初始识别模型中，得到初步恶意识别结果，其中，初步恶意识别结果用于表征流量数据包是否是恶意流量。

可选地，在执行步骤202之前，可以按照五元组将一系列原始流量切分成多个流量数据包，每个流量数据包对应一个五元组。步骤202中的流量数据包则为切分得到的多个流量数据包中的任意一个。计算机设备可以将流量数据包和五元组对应存储于数据库中，以便于后续根据五元组中的IP地址(源IP地址或目的IP地址)回溯流量数据包。

步骤204，在识别到流量数据包为恶意的流量数据包的情况下，对流量数据包的对应的目标五元组中的互联网协议地址进行风险识别。

可选地，在识别到流量数据包为恶意的流量数据包的情况下(即识别到流量数据包为恶意流量的情况下)，计算机设备可以确定该流量数据包对应的目标五元组，并对目标五元组中的互联网协议地址进行风险识别。

可以理解，进行风险识别的互联网协议地址可以是目标五元组中源互联网协议地址或目的互联网协议地址中的至少一个。

示例性地，计算机设备可以分析互联网协议地址在历史记录中出现过的历史时机或者具有风险性的历史场景，以对所述互联网协议地址进行风险识别。比如，互联网协议地址出现过的告警事件或威胁情报等都属于具有风险性的历史场景。又比如，互联网协议地址出现的历史时间就属于历史时机。

步骤206，在互联网协议地址存在风险的情况下，对流量数据包中的请求报文和响应报文进行统计分析，得到流量统计特征。

示例性地，在识别到互联网协议地址存在风险的情况下，计算机设备则可以回溯定位该互联网协议地址对应的流量数据包，该流量数据包即为存在高风险的流量数据包。可以理解，一个流量数据包对应于一个会话，一个会话中产生了多个请求报文和响应报文，所以，一个流量数据包中包括多个请求报文和响应报文。计算机设备则可以对流量数据包中的请求报文和响应报文进行统计分析，得到流量统计特征。可以理解，流量统计特征相当于对流量数据包中的报文进行统计分析，将报文层面的特征转换为流量层面的统计特征。

可以理解，有效载荷信息的信息量有限，所以基于有效载荷信息确定的初级恶意识别的结果，通常情况下会不够准确，存在一些干扰，比如，有些并不会存在实质性恶意的流量数据包，如果基于有效载荷信息初级恶意识别就会被误判为恶意流量，这种情况下，如果直接对初步识别为恶意的流量数据包进行统计分析，就会导致系统消耗过多不必要的计算分析成本。所以，通过对初步识别为恶意的流量数据包对应的五元组中的互联网协议地址进一步进行风险识别，基于风险识别结果能够精准地定位更有可能存在威胁或者隐患的流量数据包，只针对基于互联网协议地址精准定位的恶意的流量数据包进行流量统计分析，而非默认的、没有针对性的分析，避免了初级识别容易误判所造成的不必要的计算资源消耗。而且，基于五元组中的互联网协议地址出现过的具有风险性的历史场景或是历史时机，能够更为准确地定位出可能存在威胁或者隐患的流量数据包。

需要说明的是，可以是，在识别出互联网协议地址存在风险后，就执行步骤206，以分析互联网协议地址位于的目标五元组所对应的流量数据包的流量统计特征。也可以是，在识别出互联网协议地址存在风险后，将存在风险的互联网协议地址与对应的流量数据包先存入数据库中。然后，可以指定一段时间窗口，即预设的时间窗口，从数据库中回溯位于这段预设的时间窗口内的、存在风险的互联网协议地址所对应的流量数据包，针对回溯的流量数据包，执行步骤206中的“对流量数据包中的请求报文和响应报文进行统计分析，得到流量统计特征”的步骤及后续处理。可以理解，通过回溯预设的时间窗口内的流量数据包，能够更有针对性地、非全量地进行恶意类别识别处理，而不需要全量的进行冗余处理，既提高了效率，又避免了不必要的恶意类别识别造成的系统资源的浪费。

步骤208，基于流量统计特征识别流量数据包的恶意类别。

示例性地，由于在步骤204中已经通过对流量数据包中的有效载荷信息进行初级恶意识别，初步识别出了流量数据包是否是恶意流量。由于流量统计特征具有有效载荷信息所不具备的、更为细节的、与各类恶意流量自身特性更加强相关的特征，所以，基于流量统计特征能够对初步识别为恶意的流量数据包进阶地进行恶意类别的识别，以确定该流量数据包具体的恶意类别。

上述流量识别方法，基于流量数据包中的有效载荷信息进行初级恶意识别；在识别到所述流量数据包为恶意的流量数据包的情况下，对所述流量数据包对应的目标五元组中的互联网协议地址进行风险识别；在所述互联网协议地址存在风险的情况下，对所述流量数据包中的请求报文和响应报文进行统计分析，得到流量统计特征；基于所述流量统计特征识别所述流量数据包的恶意类别，能够更为准确地对恶意流量进行检测。

其次，本申请将基于表征特征进行初级恶意识别后，定位风险的互联网协议地址，从而对风险的互联网协议地址对应的流量数据包进行流量统计特征的提取，并进行恶意类别的识别，非常的便捷，兼顾了在线检测要求的效率以及高精度检测的需求。

在一个示例性的实施例中，对流量数据包对应的目标五元组中的互联网协议地址进行风险识别，包括：根据互联网协议地址对应的威胁情报特征、时间特征或告警事件特征中的至少一种，确定互联网协议地址对应的第一特征；根据第一特征对互联网协议地址进行风险识别。

其中，威胁情报特征是从威胁情报维度提取的特征。威胁情报是指预先收集、了解到的具有风险性的情报。威胁情报特征用于表征互联网协议地址与预先收集的威胁情报之间的关系。计算机设备可以分析目标五元组中的互联网协议地址与威胁情报库中预先收集的威胁情报之间的关系，得到第一相关性信息，基于该第一相关性信息确定互联网协议地址对应的威胁情报特征。

时间特征是从时间维度确定特征。可以理解，时间特征用于表征互联网协议地址对应的历史时间与高风险互联网协议地址的活跃时段之间的关系。示例性地，计算机设备可以分析目标五元组中的互联网协议地址对应的历史时间与高风险互联网协议地址的活跃时段之间的关系，得到第二相关性信息，基于第二相关性信息确定互联网协议地址对应的时间特征。可以理解，高风险互联网协议地址的活跃时段是通过历史记录分析统计得到的。

告警事件特征是从告警事件维度确定特征。可以理解，告警事件属于具有风险性或者异常的事件。告警事件特征用于表征互联网协议地址与告警事件之间的关系。示例性地，计算机设备可以分析目标五元组中的互联网协议地址与已经发生的历史的告警事件之间的关系，得到第三相关性信息，基于第三相关性信息确定互联网协议地址对应的时间特征。

可选地，计算机设备可以将互联网协议地址对应的威胁情报特征、时间特征或告警事件特征中的任意一种确定为互联网协议地址对应的第一特征，根据第一特征对互联网协议地址进行风险识别。计算机设备也可以将互联网协议地址对应的威胁情报特征、时间特征或告警事件特征中的至少两种按照相应的权重进行求和或者加权，得到互联网协议地址对应的第一特征。

示例性地，计算机设备可以将该第一特征与预设经验特征阈值进行比对，若第一特征大于或等于预设经验特征阈值，则判定该互联网协议地址为存在风险的互联网协议地址。

上述实施例中，根据互联网协议地址对应的威胁情报特征、时间特征或告警事件特征中的至少一种，可以更为准确地对互联网协议地址进行风险识别，提高风险识别的准确性。

在一个示例性的实施例中，该方法还包括：将互联网协议地址与威胁情报库中威胁情报进行匹配，确定互联网协议地址匹配命中的威胁情报的数量；根据威胁情报的数量确定互联网协议地址对应的威胁情报特征。

威胁情报库中存储了预先收集的威胁情报。示例性地，威胁情报可以包括预先收集的恶意的互联网协议地址或恶意域名中的至少一种。计算机设备可以将互联网协议地址与威胁情报库中威胁情报进行匹配，确定互联网协议地址在威胁情报库中匹配命中的威胁情报的数量。计算机设备可以根据威胁情报的数量确定互联网协议地址对应的威胁情报特征。

在一些实施例中，根据威胁情报的数量确定互联网协议地址对应的威胁情报特征可以通过以下公式实现：

威胁情报特征＝log(命中的威胁情报数)

需要说明的是，如果目标五元组中的互联网协议地址无命中的威胁情报数，则可以将威胁情报特征的值设置为默认特征值，比如，赋0。

上述实施例中，根据互联网协议地址匹配命中的威胁情报的数量，能够更为准确地确定互联网协议地址对应的威胁情报特征。

在一个示例性的实施例中，该方法还包括：确定互联网协议地址对应的第一时间；确定第一时间与第二时间之间的第一差值，以及确定第一时间与第三时间之间的第二差值；第二时间是高风险互联网协议地址的活跃时段的开始时间；第三时间是高风险互联网协议地址的活跃时段的结束时间；对第一差值和第二差值取最小值，得到互联网协议地址对应的时间特征。

可以理解，目标五元组中的互联网协议地址对应的第一时间可以是互联网协议地址在该流量数据包中对应的时间，也可以是互联网协议地址在以往访问时出现的历史时间，对此不做限定。

示例性地，计算机设备可以计算第一时间与高风险互联网协议地址的活跃时段的开始时间(即第二时间)的第一差值，以及计算第一时间与高风险互联网协议地址的活跃时段的结束时间(即第三时间)的第二差值。计算机设备可以从第一差值和第二差值中选取最小值(即最小的差值)，并根据最小值确定互联网协议地址对应的时间特征。

可选地，计算机设备可以将第一时间、第二时间以及第三时间分别以时间戳的形式进行表示，即第一时间戳、第二时间戳以及第三时间戳。那么，第一差值则是第一时间戳与第二时间戳之间的差值，第二差值则是第一时间戳与第三时间戳之间的差值。

可选地，根据最小值确定互联网协议地址对应的时间特征可以通过以下公式实现：

时间特征＝log(1/minT)；

其中，minT是第一差值和第二差值中的最小值。

上述实施例中，从互联网协议地址对应的时间分别与高风险互联网协议地址的活跃时段的开始时间以及结束时间之间的差值取最小值，能够更为准确地确定互联网协议地址对应的时间特征。

在一个示例性的实施例中，该方法还包括：将互联网协议地址与多个告警等级对应的历史告警事件对应的互联网协议地址分别进行匹配，确定每个告警等级所对应的告警事件命中数量；告警事件命中数量是互联网协议地址匹配命中的历史告警事件的数量；根据多个告警等级分别对应的告警事件命中数量，确定互联网协议地址对应的告警事件特征。

其中，历史告警事件是已经发生的具有风险性的告警事件。

可选地，计算机设备可以预先从数据库中领取多个告警等级分别对应的告警事件集合，每个告警事件集合中包括至少一个历史告警事件，每个历史告警事件都具有对应的互联网协议地址，可以理解，每个历史告警事件的告警信息中都携带有互联网协议地址。针对每个告警等级，计算机设备可以确定该告警等级对应的告警事件集合，将目标五元组中的互联网协议地址与该告警事件集合中的历史告警事件对应的互联网协议地址进行匹配，确定匹配命中的历史告警事件的数量，即为告警事件命中数量。这样一来，每个告警等级都具有对应的告警事件命中数量，计算机设备可以根据多个告警等级分别对应的告警事件命中数量，确定互联网协议地址对应的告警事件特征。

示例性地，不同告警等级对应不同的权重，计算机设备可以将各个告警等级对应的告警事件命中数量按照对应的权重进行加权求和，得到互联网协议地址对应的告警事件特征。

可选地，多个告警等级包括第一告警等级、第二告警等级和第三告警等级。根据多个告警等级分别对应的告警事件命中数量，确定互联网协议地址对应的告警事件特征可以通过以下公式实现：

告警事件特征＝log(A*hnum+B*mnum+C*lnum)

其中，hnum为第一告警等级对应的告警事件命中数量，A为第一告警等级对应的权重，mnum为第二告警等级对应的告警事件命中数量，B为第二告警等级对应的权重，lnum为第三告警等级对应的告警事件命中数量，C为第三告警等级对应的权重。可选地，告警等级对应的权重与告警等级的高低呈正相关关系。

上述实施例中，将互联网协议地址与多个告警等级对应的历史告警事件对应的互联网协议地址分别进行匹配，确定每个告警等级所对应的告警事件命中数量，根据多个告警等级分别对应的告警事件命中数量，能够更准确地确定互联网协议地址对应的告警事件特征。

在一个示例性的实施例中，流量统计特征包括报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种。如图3所示，本实施例中，基于流量统计特征识别流量数据包的恶意类别(简称类别识别步骤)，包括：

步骤202a，将报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种拼接，得到第二特征。

其中，报文双向速率特征用于表征流量数据包中请求报文与响应报文之间的速率差异。可以理解，速率差异可以是流量数据包中请求报文和响应报文这两种报文的平均速率的差异，也可以是流量数据包中具有代表性的部分请求报文和响应报文之间的速率差异。

在一些实施例中，报文双向速率特征用于表征流量数据包中请求报文的第一平均速率和响应报文的第二平均速率之间的速率差异。

在一些实施例中，计算机设备可以通过以下公式计算报文双向速率特征：

其中，n为流量数据包中请求报文的数量，即流量数据包中有n个请求报文，n个请求报文的时间戳为[st₁，st₂…st_n]；m为流量数据包中响应报文的数量(即流量数据包中有m个响应报文)，m个响应报文的时间戳为[rt₁，rt₂…rt_m]，其中，m≤n；则为请求报文的平均速率，/>则为响应报文的平均速率。a为10^-3到10^-4之间的随机值，主要作用于响应报文个数为0的特殊情况，以避免分母为零。

报文双向长度特征用于表征请求报文与响应报文之间的长度差异。长度差异可以是流量数据包中请求报文和响应报文这两种报文的平均长度的差异，也可以是流量数据包中具有代表性的部分请求报文和响应报文之间的长度差异。

在一些实施例中，报文双向长度特征用于表征流量数据包中请求报文的第一平均长度和响应报文的第二平均长度之间的长度差异。

在一些实施例中，计算机设备可以通过以下公式计算报文双向长度特征：

其中，n个请求报文的长度为[sl₁，sl₂…sl_n]；m为流量数据包中响应报文的数量(即流量数据包中有m个响应报文)，sl_i是指n个请求报文中第i个请求报文的长度；m个响应报文的长度为[rl₁，rl₂…rl_m]，rl_j是指m个响应报文中第j个响应报文的长度；是请求报文的平均长度；/>是响应报文的平均长度。

报文双向时延特征用于表征流量数据包中同一报文对中请求报文与响应报文之间的时间间隔。可以理解，该时间间隔可以是流量数据包中同一报文对中请求报文与响应报文之间的平均时间间隔，也可以是流量数据包中具有代表性的部分请求报文和响应报文之间的时间间隔。

在一些实施例中，报文双向时延特征用于表征流量数据包中同一报文对中请求报文与响应报文之间的时间间隔。

在一些实施例中，计算机设备可以通过以下公式计算报文双向时延特征：

其中，st_k-rt_k是第k个报文对中请求报文st_k与响应报文rt_k之间的时间间隔，则是平均请求-响应间隔时间。可以理解，若不存在第k个响应报文，即rt_k为0。需要说明的是，平均请求-响应间隔时间是一个概念，表示请求报文和响应报文之间时间间隔的平均值，而并非表示平均请求减去响应间隔时间。

在一些实施例中，报文双向数量特征用于表征流量数据包中请求报文的第一数量和响应报文的第二数量之间的数量差异。

在一些实施例中，计算机设备可以通过以下公式计算报文双向数量特征：

报文双向数量特征＝log(请求报文的第一数量/响应报文的第二数量)＝log(n/(m+b))

其中，b为10^-3到10^-4之间的随机值，主要作用于响应报文个数为0的特殊情况，以避免分母为零。

示例性地，计算机设备可以将报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种拼接，得到第二特征。

步骤202b，基于第二特征识别流量数据包的恶意类别。

可以理解，计算机设备可以基于第二特征识别流量数据包的恶意类别。

在一个示例性的实施例中，基于流量数据包中的有效载荷信息进行初级恶意识别，包括：将流量数据包中的有效载荷信息向量化，得到有效载荷向量；将有效载荷向量输入至初级识别模型进行初级恶意识别。本实施例中，基于流量统计特征识别流量数据包的恶意类别，包括：将流量统计特征输入至进阶识别模型，以识别流量数据包的恶意类别。

可以理解，进阶识别模型是预先基于多组样本数据训练得到的机器学习模型。每组样本数据可以包括样本流量统计特征和对应的类别标记。进而，通过这样的多组样本数据可以迭代训练出进阶识别模型。

上述实施例中，根据报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种，能够更为准确地识别流量数据包的恶意类别。此外，本申请将表征特征和流量统计特征分别进行机器学习，有机结合，在初级恶意识别后，定位风险的互联网协议地址，再基于风险的互联网协议地址回溯对应的流量数据包，从而对流量数据包进行流量统计特征的提取，并基于进阶识别模型进行恶意类别的识别，非常的高效，不需要考虑不同维度的特征提取的时效性差异，兼顾了在线检测要求的效率以及高精度检测的需求。

在一个示例性的实施例中，如图4所示，提供了另一种流量识别方法，该方法具体包括以下步骤：

步骤402，将原始流量按照五元组切分为流量数据包。

步骤404，将流量数据包中的有效载荷信息向量化，得到有效载荷向量。

步骤406，将有效载荷向量输入至初级识别模型进行初级恶意识别。

步骤408，将互联网协议地址与威胁情报库中威胁情报进行匹配，确定互联网协议地址匹配命中的威胁情报的数量；根据威胁情报的数量确定互联网协议地址对应的威胁情报特征。

步骤410，确定互联网协议地址对应的第一时间；确定第一时间与第二时间之间的第一差值，以及确定第一时间与第三时间之间的第二差值；第二时间是高风险互联网协议地址的活跃时段的开始时间；第三时间是高风险互联网协议地址的活跃时段的结束时间；对第一差值和第二差值取最小值，得到互联网协议地址对应的时间特征。

步骤412，将互联网协议地址与多个告警等级对应的历史告警事件对应的互联网协议地址分别进行匹配，确定每个告警等级所对应的告警事件命中数量；告警事件命中数量是互联网协议地址匹配命中的历史告警事件的数量；根据多个告警等级分别对应的告警事件命中数量，确定互联网协议地址对应的告警事件特征。

步骤414，根据互联网协议地址对应的威胁情报特征、时间特征或告警事件特征中的至少一种，确定互联网协议地址对应的第一特征。

步骤416，根据第一特征判断互联网协议地址是否存在风险。若是执行步骤418，若否，执行步骤424。

步骤418，对流量数据包中的请求报文和响应报文进行统计分析，得到报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种。

步骤420，将报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种拼接，得到第二特征。

步骤422，将流量统计特征输入至进阶识别模型，以识别流量数据包的恶意类别。

步骤424，输出识别结果。

应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

基于同样的发明构思，本申请实施例还提供了一种用于实现上述所涉及的流量识别方法的流量识别装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个流量识别装置实施例中的具体限定可以参见上文中对于流量识别方法的限定，在此不再赘述。

在一个示例性的实施例中，如图5所示，提供了一种流量识别装置，包括：初级识别模块502、风险识别模块504和类别确定模块506，其中：

初级识别模块502，用于基于流量数据包中的有效载荷信息进行初级恶意识别。

风险识别模块504，用于在识别到所述流量数据包为恶意的流量数据包的情况下，对所述流量数据包对应的目标五元组中的互联网协议地址进行风险识别。

类别确定模块506，用于在所述互联网协议地址存在风险的情况下，对所述流量数据包中的请求报文和响应报文进行统计分析，得到流量统计特征；基于所述流量统计特征识别所述流量数据包的恶意类别。

在一些实施例中，所述互联网协议地址为所述目标五元组中的源互联网协议地址或目的互联网协议地址中的至少一个；风险识别模块504还用于根据所述互联网协议地址对应的威胁情报特征、时间特征或告警事件特征中的至少一种，确定所述互联网协议地址对应的第一特征；根据所述第一特征对所述互联网协议地址进行风险识别。

在一些实施例中，风险识别模块504还用于将所述互联网协议地址与威胁情报库中威胁情报进行匹配，确定所述互联网协议地址匹配命中的威胁情报的数量；根据所述威胁情报的数量确定所述互联网协议地址对应的威胁情报特征。

在一些实施例中，风险识别模块504还用于确定所述互联网协议地址对应的第一时间；确定所述第一时间与第二时间之间的第一差值，以及确定所述第一时间与第三时间之间的第二差值；所述第二时间是高风险互联网协议地址的活跃时段的开始时间；所述第三时间是高风险互联网协议地址的活跃时段的结束时间；对所述第一差值和所述第二差值取最小值，得到所述互联网协议地址对应的时间特征。

在一些实施例中，风险识别模块504还用于将所述互联网协议地址与多个告警等级对应的历史告警事件对应的互联网协议地址分别进行匹配，确定每个告警等级所对应的告警事件命中数量；所述告警事件命中数量是所述互联网协议地址匹配命中的历史告警事件的数量；根据多个告警等级分别对应的告警事件命中数量，确定所述互联网协议地址对应的告警事件特征。

在一些实施例中，所述流量统计特征包括报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种；类别确定模块506还用于将报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种拼接，得到第二特征；基于所述第二特征识别所述流量数据包的恶意类别。

在一些实施例中，所述报文双向速率特征用于表征所述流量数据包中请求报文的第一平均速率和响应报文的第二平均速率之间的速率差异；所述报文双向长度特征用于表征所述流量数据包中请求报文的第一平均长度和响应报文的第二平均长度之间的长度差异；所述报文双向时延特征用于表征所述流量数据包中同一报文对中请求报文与响应报文之间的平均时间间隔；所述报文双向数量特征用于表征所述流量数据包中请求报文的第一数量和响应报文的第二数量之间的数量差异。

在一些实施例中，初级识别模块502还用于将流量数据包中的有效载荷信息向量化，得到有效载荷向量；将所述有效载荷向量输入至初级识别模型进行初级恶意识别；类别确定模块506还用于将所述流量统计特征输入至进阶识别模型，以识别所述流量数据包的恶意类别。

上述流量识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个示例性的实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图6所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output，简称I/O)和通信接口。其中，处理器、存储器和输入/输出接口通过系统总线连接，通信接口通过输入/输出接口连接到系统总线。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种流量识别方法。

在一个示例性的实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图7所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中，处理器、存储器和输入/输出接口通过系统总线连接，通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种流量识别方法。该计算机设备的显示单元用于形成视觉可见的画面，可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图7中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个示例性的实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现本申请各实施例中的步骤。

在一个示例性的实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现本申请各实施例中的步骤。

在一个示例性的实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现本申请各实施例中的步骤。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要符合相关规定。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory，MRAM)、铁电存储器(Ferroelectric Random Access Memory，FRAM)、相变存储器(Phase Change Memory，PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器等。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory，DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。

Claims

1.一种流量识别方法，其特征在于，所述方法包括：

基于流量数据包中的有效载荷信息进行初级恶意识别；

基于所述流量统计特征识别所述流量数据包的恶意类别。

2.根据权利要求1所述的方法，其特征在于，所述互联网协议地址为所述目标五元组中的源互联网协议地址或目的互联网协议地址中的至少一个；

根据所述第一特征对所述互联网协议地址进行风险识别。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

确定所述互联网协议地址对应的第一时间；

5.根据权利要求2所述的方法，其特征在于，所述方法还包括：

6.根据权利要求1所述的方法，其特征在于，所述流量统计特征包括报文双向速率特征、报文双向长度特征、报文双向时延特征或报文双向数量特征中的至少一种；

基于所述第二特征识别所述流量数据包的恶意类别。

7.根据权利要求6所述的方法，其特征在于，所述报文双向速率特征用于表征所述流量数据包中请求报文的第一平均速率和响应报文的第二平均速率之间的速率差异；所述报文双向长度特征用于表征所述流量数据包中请求报文的第一平均长度和响应报文的第二平均长度之间的长度差异；所述报文双向时延特征用于表征所述流量数据包中同一报文对中请求报文与响应报文之间的平均时间间隔；所述报文双向数量特征用于表征所述流量数据包中请求报文的第一数量和响应报文的第二数量之间的数量差异。

8.根据权利要求1至7中任一项所述的方法，其特征在于，所述基于流量数据包中的有效载荷信息进行初级恶意识别，包括：

9.一种流量识别装置，其特征在于，所述装置包括：

10.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。