WO2021207984A1

WO2021207984A1 - 流量检测方法、装置、服务器以及存储介质

Info

Publication number: WO2021207984A1
Application number: PCT/CN2020/084976
Authority: WO
Inventors: 刘湛卢
Original assignee: 深圳市欢太科技有限公司; Oppo广东移动通信有限公司
Priority date: 2020-04-15
Filing date: 2020-04-15
Publication date: 2021-10-21
Also published as: CN115023926A; CN115023926B

Abstract

一种流量检测方法、装置、服务器以及存储介质。方法包括：获取预设时间内待检测目标对应的流量数据；从流量数据中进行特征提取得到待检测目标对应的数据特征；获取数据特征与目标特征的匹配程度；若匹配程度不满足目标匹配条件，计算待检测目标对应的访问混乱程度；若访问混乱程度满足阈值条件，确定待检测目标对应的流量为恶意流量。通过将从数据流量中提取出的待检测目标对应的数据特征与待检测目标对应的访问混乱程度相结合的方式来确定待检测目标对应的流量是否为恶意流量，使得恶意流量的检测过程具有更好的自适应性、准确性以及鲁棒性。

Description

流量检测方法、装置、服务器以及存储介质

技术领域

本申请涉及网络技术领域，更具体地，涉及一种流量检测方法、装置、服务器以及存储介质。

背景技术

随着网络技术的发展，出现了网络攻击者利用网络中的一些漏洞进行网络攻击。在相关的预防网络攻击的方式中，可以通过进行恶意流量的检测的方式来进行网络攻击的预警，然而在相关的恶意流量的检测过程的自适应程度以及准确性都有待提升。

发明内容

鉴于上述问题，本申请提出了一种流量检测方法、装置、服务器以及存储介质，以改善上述问题。

第一方面，本申请提供了一种流量检测方法，所述方法包括：获取预设时间内待检测目标对应的流量数据；从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征；获取所述数据特征与目标特征的匹配程度；若所述匹配程度不满足目标匹配条件，计算所述待检测目标对应的访问混乱程度；若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。

第二方面，本申请提供了一种流量检测装置，所述装置包括：流量获取单元，用于获取预设时间内待检测目标对应的流量数据；特征获取单元，用于从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征；特征匹配单元，用于获取所述数据特征与目标特征的匹配程度；混乱度获取单元，用于若所述匹配程度不满足目标匹配条件，计算所述待检测目标对应的访问混乱程度；流量检测单元，用于若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。

第三方面，本申请提供了一种服务器，包括一个或多个处理器以及存储器；一个或多个程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于执行上述的方法。

第四方面，本申请提供了一种具有处理器可执行的程序代码的计算机可读存储介质，所述程序代码使所述处理器执行上述的方法。

本申请提供的一种流量检测方法、装置、服务器以及存储介质，先获取预设时间内待检测目标对应的流量数据，然后从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征，进而再获取所述数据特征与目标特征的匹配程度，然后若所述匹配程度不满足目标匹配条件的情况下，再计算所述待检测目标对应的访问混乱程度，并且若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。从而通过前述方式实现了将从数据流量中提取出的待检测目标的数据特征与检测目标的访问混乱程度相结合的方式来确定待检测目标对应的流量是否为恶意流量，从而使得恶意流量的检测过程具有更好的自适应性、准确性以及鲁棒性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本申请提出的一种流量检测方法的流程图；

图2示出了本申请提出的一种流量检测方法的应用场景示意图；

图3示出了本申请提出的另一种流量检测方法的流程图；

图4示出了本申请提出的再一种流量检测方法的流程图；

图5示出了本申请提出的又一种流量检测方法的流程图；

图6示出了本申请提出的又一种流量检测方法的流程图；

图7示出了本申请提出的一种流量检测装置的结构框图；

图8示出了本申请提出的另一种流量检测装置的结构框图；

图9示出了本申请提出的一种电子设备的结构框图。

图10是本申请实施例的用于保存或者携带实现根据本申请实施例的流量检测方法的程序代码的存储单元。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

网络攻击(Cyber Attacks，也称赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的进攻动作。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击。

发明人在对网络攻击的研究中发现，在网络攻击之前可能会存在一定的端口扫描。端口扫描，顾名思义，就是逐个对一段端口或指定的端口进行扫描。通过扫描结果可以知道一台计算机上都提供了哪些服务，然后就可以通过所提供的这些服务的己知漏洞就可进行攻击。攻击者可以通过端口扫描了解到从哪里可探寻到攻击弱点。

而为了应对端口扫描行为，发明人发现可以通过流量检测的方式来识别到是否有恶意的端口扫描行为。但是，发明人还发现在相关的流量检测方式中，是通过统计固定端口在一定时间内的访问次数来实现的。在这种相关的方式中会预先指定一个阈值，然后在固定端口在一定时间内的访问次数大于该阈值的情况下就确定存在端口扫描行为。然而在这种方式中，阈值的高低对于端口扫描行为的漏报以及误报都会产生较大的影响，并且承载不同业务的端口本身对应的业务流量就会有所不同，继而也会造成无法直接基于某个阈值就确定是否存在端口扫描行为，从而造成相关的恶意流量的检测过程的自适应程度以及准确性都有待提升。

因此，为了改善上述问题，发明人提出了本申请中的流量检测方法、装置、服务器以及存储介质，本申请提供的方法至少可以先获取预设时间内待检测目标对应的流量数据，然后从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征，进而再获取所述数据特征与目标特征的匹配程度，然后若所述匹配程度不满足目标匹配条件的情况下，再计算所述待检测目标对应的访问混乱程度，并且若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。从而通过前述方式实现了将从数据流量中提取出的待检测目标的数据特征与检测目标的访问混乱程度相结合的方式来确定待检测目标对应的流量是否为恶意流量，从而使得恶意流量的检测过程具有更好的准确性以及鲁棒性。

下面将结合附图具体描述本申请的各实施例。

请参阅图1，本申请提供的一种流量检测方法，所述方法包括：

S110：获取预设时间内待检测目标对应的流量数据。

需要说明的是，在本申请实施例中可以将提供网络服务的设备(例如，服务器)理解为主机设备。其中，网络服务可以为信息查询、信息转发以及数据存储等。在这种情况下，发起访问的源端可以通过网络访问提供网络服务的设备的端口进而实现信息的交互，以实现前述指出的信息查询、信息转发以及数据存储等功能。在本实施例中，待检测目标对应的流量数据可以理解为待检测目标与提供网络服务的设备的交互过程中所产生的数据，其中，交互过程可以包括请求过程以及相应过程。可选的，在本实施例中可以从发起访问的源端中选择待检测目标，并且在本实施例中可以有多种的进行待检测目标选择的方式。

作为一种方式，获取所有的流量数据，将所述所有的流量数据包括的所有源端均作为待检测目标。在这种方式中，会对所有的源端的流量数据均进行检测，进而将所有的源端均作为待检测目标。

作为另外一种方式，获取所有的流量数据，将所述所有的流量数据包括的所有源端中对应检测到异常访问行为的源端作为待检测目标。在这种方式中，可以从所有的源端中筛选出部分的源端作为待检测目标。并且，在这种方式下，所述异常访问行为包括以下行为中的至少一个：超过指定次数发送相同的报文内容；以及超过指定次数在同一时间段发送报文。

需要说明的是，对于进行端口扫描的攻击者而言，可能更大概率会在夜间控制源端发起端口扫描。并且，发明人在研究中还发现发起端口扫描的源端在扫描过程中所发送的报文是具有一定规律的。例如，攻击者所控制的源端所发送的报文通常是不会携带关于业务的信息，并且对于攻击者所控制的源端所发送的报文还会在一些特定的字段中加入一些私有的标识。在这种情况下，若检测到源端在一定时间内多次发送相同的且并不携带业务信息的报文，那么就可以确定该源端存在异常访问行为，进而将该源端确定为待检测目标。

作为一种方式，为了识别合法访问者所需要进行的业务需求，合法访问者所发送的报文中会携带一定的业务标识(可以理解前述的业务信息)。在这种方式下，提供网络服务的设备可以通过检测报文中的业务标识来确定合法访问者所期望进行的业务。示例性的，可以配置业务标识“storage”对应于存储数据的业务，可以配置业务标识“infor_query”对应于信息查询的业务，那么当提供网络服务的设备在检测到报文中携带有业务标识“storage”就可以确定是需要将报文中所携带的业务数据进行存储，而若当提供网络服务的设备在检测到报文中携带有业务标识“infor_query”，就可以识别到是需要基于报文中所携带的关键词进行信息查询。因此，当提供网络服务的设备在检测到从源端对应的流量数据中所识别出的报文中并未携带业务标识，且该源端还多次发送该未携带业务标识的报文的情况下，将该源端识别为待检测目标。

需要说明的是，若直接将所述所有的流量数据包括的所有源端均作为待检测目标，那么可以对每个源端均进行依次检测，进而可以更加全面的进行恶意流量的扫描检测，但是若在从所有的流量数据中所识别出的所有的源端的数量较多的情况下，依然对每个源端均进行依次检测，就可能会造成较大的计算量负担。作为一种方式，在本申请实施例中可以根据实时情况确定当前具体是将哪些源端确定为待检测目标。

可选的，若检测到当前提供网络服务的设备所承载的业务处于业务数据交互的高峰期，那么就可以从将所述所有的流量数据包括的所有源端中对应检测到异常访问行为的源端作为待检测目标，或者是将最近时间段内的流量数据中所识别出的源端确定为待检测目标。其中，最近时间段可以为一周时间内，或者是一天时间内。可选的，若检测到当前提供网络服务的设备所承载的业务处于业务数据交互的低谷期，那么就可以将所述所有的流量数据包括的所有源端均作为待检测目标。其中，可以基于每秒钟内的数据吞吐量来确定当前是业务数据的高峰期还是低谷期。若每秒钟内的数据吞吐量大于第一阈值，则确定当前提供网络服务的设备所承载的业务处于业务数据交互的高峰期，若检测到每秒钟内的数据吞吐量小于第二阈值，则确定当前提供网络服务的设备所承载的业务处于业务数据交互的低谷期，其中，第二阈值小于该第一阈值。

S120：从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征。

可选的，在本实施例中数据特征可以为对应的待检测目标所发送的报文中特有的标识。其中，该特有的标识可以为报文所对应的多个网络分层中至少一个网络分层中的标识。可选的，若待检测目标与提供网络服务的设备之间为基于TCP/IP协议进行通信，那么该所对应的多个网络分层就可以包括有应用层、传输层、网络层以及链路层。

S130：获取所述数据特征与目标特征的匹配程度。

可选的，可以对已经被识别出的恶意流量所对应的源端所发送的报文进行检测，从而检测出该已经识别出的恶意流量所对应的源端所发送的报文相比于合法源端所发送的报文在报文结构上或者关于协议约定参数的取值方面会有什么区别，以将该区别作为一种会触发恶意流量的源端所发送报文对应的数据特征，进而将所检测出的所有会触发恶意流量的源端所发送的报文对应的数据特征作为目标特征。

需要说明的是，该区别是关于报文的结构上的区别或者是在报文的关于协议约定参数的取值方面的区别，而不仅仅是关于报文所传输的信息的区别。可选的，对于通信的双方而言，可以先协商在通信过程中所采用的通信协议，进而根据所协商的通信协议来进行报文的生成。其中，在生成报文的过程中会根据协议所定义的格式来进行报文的生成。

示例性的，若所采用的通信协议定义需要生成头部部分、数据部分以及结尾部分，那么在进行报文的生成时，就需要分别生成报文的头部部分、报文的数据部分以及报文的结尾部分。在这种情况下，若检测到已经被识别出的恶意流量所对应的源端所发送的报文中仅仅只有报文的头部部分以及报文的数据部分，但是没有报文的结尾部分，那么就可以将缺乏结尾部分的报文识别为与合法源端所发送的报文(会包括报文的头部部分、报文的数据部分以及报文的结尾部分)在报文结构存在区别。类似的，若检测到已经被识别出的恶意流量所对应的源端所发送的报文中仅仅只有报文的头部部分以及报文的结尾部分，但是没有报文的数据部分，那么就可以将缺乏数据部分的报文识别为与合法源端所发送的报文(会包括报文的头部部分、报文的数据部分以及报文的结尾部分)在报文结构存在区别。

再者，对于通信协议所定义的每个部分又会具体包括多个字段(即关于协议约定参数)，而对于一些会触发恶意流量的源端而言，所触发的报文中可能会缺乏一些字段或者是一些字段的值与通常所约定的值不同。示例性的，在报文的头部部分约定有第一字段、第二字段以及第三字段的情况下，若已经被识别出的恶意流量所对应的源端所发送的报文的头部部分仅有第一字段和第二字段，而没有第三字段，那么就可以将头部部分缺乏第三字段作为关于协议约定参数的取值方面的区别。再例如，在报文的头部部分约定有第一字段、第二字段以及第三字段的情况下，若已经被识别出的恶意流量所对应的源端所发送的报文的头部部分仅有第一字段和第三字段，而没有第二字段，那么就可以将头部部分缺乏第二字段作为关于协议约定参数的取值方面的区别。

基于前述方式，可以统计得到所定义的目标特征具体包括的特征项，进而在获取到待检测目标对应的数据流量后可以基于目标特征具体包括的特征项来获取待检测目标对应的数据流量的数据特征。示例性的，若目标特征具体包括的特征项包括报文的结构缺乏结结尾部分，头部部分缺乏第一字段以及头部部分的第一参数的值为指定值等这三项，那么在获取到待检测目标对应的数据流量后，就可以从中确定对于这三项的满足程度进而得到待检测目标对应的数据特征。在这种情况下，匹配程度表征的是待检测目标对应的数据特征所满足的目标特征具体包括的特征项的项数，对应的所满足的项数越多，那么待检测目标对应的数据流量的数据特征与目标特征的匹配程度就越高。

S140：若所述匹配程度不满足目标匹配条件，计算所述待检测目标对应的访问混乱程度。

需要说明的是，在匹配程度表征的是待检测目标对应的数据特征所匹配的目标特征具体包括的特征项的项数的情况下，目标匹配条件可以为一个阈值。可选的，依然以目标特征具体包括的特征项包括报文的结构缺乏结结尾部分，头部部分缺乏第一字段以及头部部分的第一参数的值为指定值等这三项为例，检测到待检测目标对应的数据流量满足头部部分缺乏第一字段以及头部部分的第一参数的值为指定值的情况下，可以得到待检测目标对应的数据特征包括头部部分缺乏第一字段以及头部部分的第一参数的值为指定值，继而就可以确定待检测目标的数据特征与目标特征的匹配程度为2，若在目标阈值为3的情况下，就可以确定待检测目标的数据特征与目标特征的匹配程度不满足目标匹配条件，而若在目标阈值为2的情况下，就可以确定待检测目标的数据特征与目标特征的匹配程度满足目标匹配条件。

那么在基于前述方式确定匹配程度不满足目标匹配条件的情况下，则表征还无法直接确定待检测目标对应的数据流量是否为恶意流量，进而就可以再获取待检测目标对应的访问混乱程度，以便进一步的再根据待检测目标对应的访问混乱程度来确定待检测目标对应的数据流量是否为恶意流量。

需要说明的是，发明人在对恶意流量和非恶意流量的研究中发现，恶意流量和非恶意流量在数据访问规律方面存在着区别。作为一种方式，在本申请实施例中可以通过计算待检测目标对应的数据流量的熵来确定待检测目标对应的访问混乱程度。

S150：若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。

S160：若所述匹配程度满足目标条件，确定所述待检测目标对应的流量为恶意流量。

需要说明的是，执行本实施例提供的流量检测方法的设备可以为提供网络服务的设备本身，也可以由独立于提供网络服务的设备以外的设备来执行。示例性的，如图2所示的网络环境中，包括有相互通过网络140进行通信的源端110、提供网络服务的设备120以及检测设备130。在这种情况下，执行本实施例提供的流量检测方法可以由提供网络服务的设备120执行，也可以由检测设备130执行。

本申请提供的一种流量检测方法，先获取预设时间内待检测目标对应的流量数据，然后从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征，进而再获取所述数据特征与目标特征的匹配程度，然后若所述匹配程度不满足目标匹配条件的情况下，再计算所述待检测目标对应的访问混乱程度，并且若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。从而通过前述方式实现了将从数据流量中提取出的待检测目标的数据特征与检测目标的访问混乱程度相结合的方式来确定待检测目标对应的流量是否为恶意流量，从而使得恶意流量的检测过程具有更好的准确性以及鲁棒性。

请参阅图3，本申请提供的一种流量检测方法，所述方法包括：

S210：获取预设时间内待检测目标对应的流量数据。

S220：从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征。

S230：获取所述数据特征与目标特征的匹配程度。

S240：若所述匹配程度不满足目标匹配条件，获取所述待检测目标访问过的端口。

需要说明的是，在一些通信协议中会定义一定的虚拟端口作为通信通道。例如，在TCP/IP协议中会以及IP地址以及端口共同来确定一个通信通道。在这种情况下，攻击者所对应的目标端会通过端口扫描的方式来检测哪些端口是可以被利用以进行网络攻击的。所以在本实施例中，可以通过待检测目标对端口的访问情况来确定待检测目标对应的访问混乱程度。在本实施例中，可以有多种方式来确定后续作为待检测目标对应的访问混乱程度的端口。

作为一种方式，所述获取所述待检测目标访问过的端口，包括：获取所述待检测目标在指定时间窗口内访问过的端口。在这种方式下，所述方法还包括：基于所述待检测目标对应的所述流量数据的大小调整所述指定时间窗口的长度；其中，若检测到所述流量数据在所述指定时间窗口内减少，增大所述指定时间窗口的长度。需要说明的是，攻击者对应的客户端并不是随时都会在对提供网络服务的设备进行端口扫描的，因此，为了可以更为全面的对待检测目标对应的流量数据进行检测，可以周期性的获取待检测目标访问过的端口，进而实现对待检测目标对应的流量数据进行周期性的检测。可选的，指定时间窗口为检测周期中一个周期所对应的时间窗口。可选的，可以每天分别进行一次流量数据的检测，进而在这种情况下，指定时间窗口的长度就为一天所对应的24小时。

需要说明的是，一些攻击者为了能够逃避流量检测，可能会减小自身每次所进行端口扫描过程中所产生的流量，进而使得不易识别出攻击者所在源端的访问混乱程度。而为了改善该问题，可以在检测到所述流量数据在所述指定时间窗口内减少时，增大所述指定时间窗口的长度。在这种情况下，即时攻击者减小自身所进行端口扫描过程中所产生的流量，但是通过增大指定时间窗口的长度，使得依然可以收集到足够多的待检测目标对应的流量数据，以便于可以准确的识别到待检测目标对应的访问混乱程度。

可选的，所述若检测到所述流量数据在所述指定时间窗口内减少，增大所述指定时间窗口的长度包括：若检测到所述流量数据在所述指定时间窗口内的指定时间区间内减少，增大所述指定时间窗口的长度；若检测到所述流量数据在所述指定时间窗口内的指定时间区间外减少，保持所述指定时间窗口的长度不变。可以理解的是，若是在指定时间窗口的要结束的时刻，攻击者所对应的待检测目标(源端)减小自身所进行端口扫描过程中所产生的流量，对于当前周期所对应的指定时间窗口内的总的流量数据影响并不会太大，但是若是在指定时间窗口的初期，攻击者所对应的待检测目标(源端)减小自身所进行端口扫描过程中所产生的流量，则会较为明显的使得当前周期所对应的指定时间窗口内的总的流量数减小，所以通过在所述指定时间窗口内的指定时间区间内减少并增大所述指定时间窗口的长度，可以更为有效的实现指定时间窗口的长度的调控。其中，作为一种方式，所述指定时间区间的开始时刻为所述指定时间窗口的开始时刻，所述指定时间区间的结束时刻为所述指定时间窗口的中间时刻。

作为一种调用指定时间窗口长度的方式，所述若检测到所述流量数据在所述指定时间窗口内减少，增大所述指定时间窗口的长度包括：若检测到所述流量数据在所述指定时间窗口内减少，获取所述数据流量在所述指定时间窗口内的减小幅度；基于所述减小幅度获取对应的窗口增大时长，其中，所述减小幅度越大所对应的窗口增大时长越长；将所述指定时间窗口的长度增大所述窗口增大时长。

S241：获取每个所述访问过的端口对应的活跃度。

作为一种方式，所述获取每个所述访问过的端口对应的活跃度，包括：分别将每个所述访问过的端口所对应的访问数据量与所述访问过的端口对应的总的数据量相比，得到每个所述访问过的端口对应的活跃度；其中，所述访问过的端口对应的总的数据量为每个所述访问过的端口所对应的访问数据量之和。

S242：基于每个所述访问过的端口对应的活跃度计算得到所述待检测目标对应的访问混乱程度。

作为一种方式，所述基于每个所述访问过的端口对应的活跃度计算得到所述待检测目标对应的访问混乱程度，包括：将每个所述访问过的端口对应的活跃度与所述活跃度的对数的乘积作为每个所述访问过的端口对应的指定中间值；将每个所述访问过的端口对应的所述指定中间值之和作为表征所述访问混乱程度的活跃熵。

S250：若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。

可选的，获取所述待检测目标访问过的端口的集合为：

X＝(x ₁，x ₂，…，x _i，…，x _n)

而获取每个所述访问过的端口对应的活跃度为：

其中，a _i表征当前进行端口活跃度计算的端口所对应的访问数据量。而

表征的是访问过的端口的集合中所有的端口所对应的访问数据量之和。可选的，该访问数据量为交互所产生的数据包的数量。在这种情况下可以通过下列公式来计算得到活跃熵：

本申请提供的一种流量检测方法，先获取预设时间内待检测目标对应的流量数据，然后从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征，进而再获取所述数据特征与目标特征的匹配程度，然后若所述匹配程度不满足目标匹配条件的情况下，再获取所述待检测目标访问过的端口，以及获取每个所述访问过的端口对应的活跃度，进而基于每个所述访问过的端口对应的活跃度计算得到所述待检测目标对应的访问混乱程度，并且若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。从而通过获取所访问过的端口的活跃度的方式，来实现基于每个所述访问过的端口对应的活跃度计算得到所述待检测目标对应的访问混乱程度，进而实现了将从数据流量中提取出的待检测目标的数据特征与检测目标的访问混乱程度相结合的方式来确定待检测目标对应的流量是否为恶意流量，从而使得恶意流量的检测过程具有更好的准确性以及鲁棒性。

请参阅图4，本申请提供的一种流量检测方法，所述方法包括：

S310：从网络适配器中获取到所述待检测目标对应的数据流量。

S320：从所述待检测目标对应的数据流量中提取所述检测目标对应的报文。

对于攻击者而言，在控制其所对应的源端发送用于进行端口扫描的报文时，可能会在不同的网络分层中添加特有的标识，为了能够更加全面的识别到恶意流量，作为一种方式，分别基于多个网络分层，从所述待检测目标对应的数据流量中提取所述检测目标对应于所述多个网络分层的报文。

可选的，所述网络分层包括应用层以及传输层。

S330：从所述报文中获取到所述待检测目标对应的数据特征。

S340：获取所述数据特征与目标特征的匹配程度。

S350：若所述匹配程度不满足目标匹配条件，计算所述待检测目标对应的访问混乱程度。

S360：若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。

本申请提供的一种流量检测方法，先从网络适配器中获取到所述待检测目标对应的数据流量，然后从所述待检测目标对应的数据流量中提取所述检测目标对应的报文，从所述报文中获取到所述待检测目标对应的数据特征，进而再获取所述数据特征与目标特征的匹配程度，然后若所述匹配程度不满足目标匹配条件的情况下，再计算所述待检测目标对应的访问混乱程度，并且若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。从而实现了可以直接从网络适配器中获取到所述待检测目标对应的数据流量，以便基于前述方式实现了可以直接对网络适配器中获取到的数据流量中提取出的待检测目标的数据特征与检测目标的访问混乱程度相结合的方式来确定待检测目标对应的流量是否为恶意流量，从而使得恶意流量的检测过程具有更好的准确性以及鲁棒性。并且，在本实施例中可以从报文中提取数据特征，并且可以从多个网络分层中分别提取数据特征，进而使得可以更加准确以及全面得进行恶意流量的检测。

请参阅图5，本申请提供的一种流量检测方法，所述方法包括：

S410：获取预设时间内待检测目标对应的流量数据。

S420：从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征。

S430：获取所述数据特征与目标特征的匹配程度。

S440：若所述匹配程度不满足目标匹配条件，计算所述待检测目标对应的访问混乱程度。

S450：若所述访问混乱程度满足所述匹配程度所对应的阈值条件，确定所述待检测目标对应的流量为恶意流量，其中，所述匹配程度不同所对应的所述阈值条件不同。

S460：若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。

本申请提供的一种流量检测方法，先获取预设时间内待检测目标对应的流量数据，然后从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征，进而再获取所述数据特征与目标特征的匹配程度，然后若所述匹配程度不满足目标匹配条件的情况下，再计算所述待检测目标对应的访问混乱程度，并且若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。从而通过前述方式实现了将从数据流量中提取出的待检测目标的数据特征与检测目标的访问混乱程度相结合的方式来确定待检测目标对应的流量是否为恶意流量，从而使得恶意流量的检测过程具有更好的准确性以及鲁棒性。并且，在本实施例中所述匹配程度不同所对应的所述阈值条件不同，从而使得对于恶意流量的检测更为灵活准确。需要说明的是，在所述待检测目标对应的数据特征与目标特征的匹配程度不满足目标匹配条件的情况下，所述待检测目标对应的数据特征所满足的目标特征所包括的特征项越多，那么待检测目标就越有可能触发恶意流量，在这种情况下可以配置匹配程度越高那么所对应的阈值条件所包括的值越低。

下面在通过图6对本申请实施例所涉及的流量检测方法进行说明。

如图6所示，对于网络适配器中的流量数据可以通过包萃取的方式提取出来，并生成数据块。可选的，可以针对每个待检测目标分别生成一个对应的数据块。然后再针对数据块进行特征提取，其中，该特征提取可有理解为前述实施例中的从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征。然后再针对所提取出的数据特征进行特征匹配，可选的，图X中的特征匹配步骤可以理解为前述实施例中的获取所述数据特征与目标特征的匹配程度。在这种情况下，若检测到所提取出的数据特征满足目标匹配条件，则判定检测结构为确定特征，继而判定数据特征所来源的待数据块所对应的待检测目标对应有恶意扫描的行为。若检测到所提取出的数据特征不满足目标匹配条件，但是数据特征与目标特征所包括的特征项中至少有一个特征项匹配，则判定为疑似特征，进而进行疑似特征熵计算，对应的若检测到所提取出的数据特征不满足目标匹配条件，且数据特征与目标特征所包括的特征项均不匹配，则进行无特征熵计算。进一步的，在检测到基于疑似特征熵计算所计算得到的熵值或者基于无特征熵计算所计算得到的熵值在恶意区间(即满足阈值条件)的情况下，判定数据特征所来源的待数据块所对应的待检测目标对应有恶意扫描的行为，反之，确定数据特征所来源的待数据块所对应的待检测目标的数据访问行为为正常行为。

需要说明的是，其中的疑似特征熵计算和无特征熵计算的计算过程与前述实施例中的活跃熵的计算过程相同，只是疑似特征熵计算和无特征熵计算各自所对应的恶意区间不同。

请参阅图7，本申请提供的一种流量检测装置500，所述装置500包括：

流量获取单元510，用于获取预设时间内待检测目标对应的流量数据。

特征获取单元520，用于从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征。

特征匹配单元530，用于获取所述数据特征与目标特征的匹配程度。

混乱度获取单元540，用于若所述匹配程度不满足目标匹配条件，计算所述待检测目标对应的访问混乱程度。

流量检测单元550，用于若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。

作为一种方式，混乱度获取单元540，具体用于获取所述待检测目标访问过的端口；获取每个所述访问过的端口对应的活跃度；基于每个所述访问过的端口对应的活跃度计算得到所述待检测目标对应的访问混乱程度。在这种方式下，混乱度获取单元540，具体用于获取所述待检测目标在指定时间窗口内访问过的端口。在这种方式下，如图8所示，所述装置还包括窗口调整单元541，用于基于所述待检测目标对应的所述流量数据的大小调整所述指定时间窗口的长度；其中，若检测到所述流量数据在所述指定时间窗口内减少，增大所述指定时间窗口的长度。可选的，窗口调整单元541，具体用于若检测到所述流量数据在所述指定时间窗口内的指定时间区间内减少，增大所述指定时间窗口的长度；若检测到所述流量数据在所述指定时间窗口内的指定时间区间外减少，保持所述指定时间窗口的长度不变。其中，可选的，所述指定时间区间的开始时刻为所述指定时间窗口的开始时刻，所述指定时间区间的结束时刻为所述指定时间窗口的中间时刻。

作为一种方式，窗口调整单元541，具体用于若检测到所述流量数据在所述指定时间窗口内减少，获取所述数据流量在所述指定时间窗口内的减小幅度；基于所述减小幅度获取对应的窗口增大时长，其中，所述减小幅度越大所对应的窗口增大时长越长；将所述指定时间窗口的长度增大所述窗口增大时长。

作为一种方式，混乱度获取单元540，具体用于分别将每个所述访问过的端口所对应的访问数据量与所述访问过的端口对应的总的数据量相比，得到每个所述访问过的端口对应的活跃度；其中，所述访问过的端口对应的总的数据量为每个所述访问过的端口所对应的访问数据量之和。

作为一种方式，混乱度获取单元540，具体用于将每个所述访问过的端口对应的活跃度与所述活跃度的对数的乘积作为每个所述访问过的端口对应的指定中间值；将每个所述访问过的端口对应的所述指定中间值之和作为表征所述访问混乱程度的活跃熵。

作为一种方式，流量获取单元510，具体用于从网络适配器中获取到所述待检测目标对应的数据流量。在这种方式下，特征获取单元520，具体用于从所述待检测目标对应的数据流量中提取所述检测目标对应的报文；从所述报文中获取到所述待检测目标对应的数据特征。可选的，特征获取单元520，具体用于分别基于多个网络分层，从所述待检测目标对应的数据流量中提取所述检测目标对应于所述多个网络分层的报文。其中，所述网络分层包括应用层以及传输层。

作为一种方式，流量检测单元550，具体用于若所述访问混乱程度满足所述匹配程度所对应的阈值条件，确定所述待检测目标对应的流量为恶意流量，其中，所述匹配程度不同所对应的所述阈值条件不同。

再者，流量检测单元550，还用于若所述匹配程度满足目标条件，确定所述待检测目标对应的流量为恶意流量。

作为一种方式，流量获取单元510，还用于获取所有的流量数据；将所述所有的流量数据包括的所有源端均作为待检测目标。可选的，流量获取单元510，还用于获取所有的流量数据；将所述所有的流量数据包括的所有源端中对应检测到异常访问行为的源端作为待检测目标。其中，所述异常访问行为包括以下行为中的至少一个：超过指定次数发送相同的报文内容；以及超过指定次数在同一时间段发送报文。

本申请提供的一种流量检测装置，先获取预设时间内待检测目标对应的流量数据，然后从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征，进而再获取所述数据特征与目标特征的匹配程度，然后若所述匹配程度不满足目标匹配条件的情况下，再计算所述待检测目标对应的访问混乱程度，并且若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。从而通过前述方式实现了将从数据流量中提取出的待检测目标的数据特征与检测目标的访问混乱程度相结合的方式来确定待检测目标对应的流量是否为恶意流量，从而使得恶意流量的检测过程具有更好的准确性以及鲁棒性。

下面将结合图9对本申请提供的一种电子设备进行说明。

请参阅图9，基于上述的短信推送方法，本申请实施例还提供的另一种包括可以执行前述短信推送方法的处理器102的电子设备200。电子设备200还包括存储器104、以及网络模块106。其中，该存储器104中存储有可以执行前述实施例中内容的程序，而处理器102可以执行该存储器104中存储的程序。

其中，处理器102利用各种接口和线路连接整个电子设备200内的各个部分，通过运行或执行存储在存储器104内的指令、程序、代码集或指令集，以及调用存储在存储器104内的数据，执行电子设备200的各种功能和处理数据。可选地，处理器102可以采用数字信号处理(Digital Signal Processing，DSP)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)、可编程逻辑阵列(Programmable Logic Array，PLA)中的至少一种硬件形式来实现。处理器102可集成中央处理器(Central Processing Unit，CPU)、图像处理器(Graphics Processing Unit，GPU)和调制解调器等中的一种或几种的组合。其中，CPU主要处理操作系统、用户界面和应用程序等；GPU用于负责显示内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器102中，单独通过一块通信芯片进行实现。

存储器104可以包括随机存储器(Random Access Memory，RAM)，也可以包括只读存储器(Read-Only Memory)。存储器104可用于存储指令、程序、代码、代码集或指令集。存储器104可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现下述各个方法实施例的指令等。存储数据区还可以存储终端100在使用中所创建的数据(比如电话本、音视频数据、聊天记录数据)等。

所述网络模块106用于接收以及发送电磁波，实现电磁波与电信号的相互转换，从而与通讯网络或者其他设备进行通讯，例如和音频播放设备进行通讯。所述网络模块106可包括各种现有的用于执行这些功能的电路元件，例如，天线、射频收发器、数字信号处理器、加密/解密芯片、用户身份模块(SIM)卡、存储器等等。所述网络模块106可与各种网络如互联网、企业内部网、无线网络进行通讯或者通过无线网络与其他设备进行通讯。上述的无线网络可包括蜂窝式电话网、无线局域网或者城域网。例如，网络模块106可以与基站进行信息交互。

可选的，电子设备200可以为执行前述方法实施例的服务器。

请参考图10，其示出了本申请实施例提供的一种计算机可读存储介质的结构框图。该计算机可读介质1100中存储有程序代码，所述程序代码可被处理器调用执行上述方法实施例中所描述的方法。

计算机可读存储介质1100可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。可选地，计算机可读存储介质1100包括非易失性计算机可读介质(non-transitory computer-readable storage medium)。计算机可读存储介质1100具有执行上述方法中的任何方法步骤的程序代码810的存储空间。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。程序代码1110可以例如以适当形式进行压缩。

综上所述，本申请提供的一种流量检测方法、装置、服务器以及存储介质，先获取预设时间内待检测目标对应的流量数据，然后从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征，进而再获取所述数据特征与目标特征的匹配程度，然后若所述匹配程度不满足目标匹配条件的情况下，再计算所述待检测目标对应的访问混乱程度，并且若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。从而通过前述方式实现了将从数据流量中提取出的待检测目标的数据特征与检测目标的访问混乱程度相结合的方式来确定待检测目标对应的流量是否为恶意流量，从而使得恶意流量的检测过程具有更好的自适应性、准确性以及鲁棒性。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims

一种流量检测方法，其特征在于，所述方法包括：

获取预设时间内待检测目标对应的流量数据；

从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征；

获取所述数据特征与目标特征的匹配程度；

若所述匹配程度不满足目标匹配条件，计算所述待检测目标对应的访问混乱程度；

若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。
根据权利要求1所述的方法，其特征在于，所述计算所述待检测目标对应的访问混乱程度，包括：

获取所述待检测目标访问过的端口；

获取每个所述访问过的端口对应的活跃度；

基于每个所述访问过的端口对应的活跃度计算得到所述待检测目标对应的访问混乱程度。
根据权利要求2所述的方法，其特征在于，所述获取所述待检测目标访问过的端口，包括：

获取所述待检测目标在指定时间窗口内访问过的端口。
根据权利要求3所述的方法，其特征在于，所述方法还包括：

基于所述待检测目标对应的所述流量数据的大小调整所述指定时间窗口的长度；其中，若检测到所述流量数据在所述指定时间窗口内减少，增大所述指定时间窗口的长度。
根据权利要求4所述的方法，其特征在于，所述若检测到所述流量数据在所述指定时间窗口内减少，增大所述指定时间窗口的长度包括：

若检测到所述流量数据在所述指定时间窗口内的指定时间区间内减少，增大所述指定时间窗口的长度；

若检测到所述流量数据在所述指定时间窗口内的指定时间区间外减少，保持所述指定时间窗口的长度不变。
根据权利要求5所述的方法，其特征在于，所述指定时间区间的开始时刻为所述指定时间窗口的开始时刻，所述指定时间区间的结束时刻为所述指定时间窗口的中间时刻。
根据权利要求5所述的方法，其特征在于，所述若检测到所述流量数据在所述指定时间窗口内减少，增大所述指定时间窗口的长度包括：

若检测到所述流量数据在所述指定时间窗口内减少，获取所述数据流量在所述指定时间窗口内的减小幅度；

基于所述减小幅度获取对应的窗口增大时长，其中，所述减小幅度越大所对应的窗口增大时长越长；

将所述指定时间窗口的长度增大所述窗口增大时长。
根据权利要求2-7任一所述的方法，其特征在于，所述获取每个所述访问过的端口对应的活跃度，包括：

分别将每个所述访问过的端口所对应的访问数据量与所述访问过的端口对应的总的数据量相比，得到每个所述访问过的端口对应的活跃度；其中，所述访问过的端口对应的总的数据量为每个所述访问过的端口所对应的访问数据量之和。
根据权利要求2-8任一所述的方法，其特征在于，所述基于每个所述访问过的端口对应的活跃度计算得到所述待检测目标对应的访问混乱程度，包括：

将每个所述访问过的端口对应的活跃度与所述活跃度的对数的乘积作为每个所述访问过的端口对应的指定中间值；

将每个所述访问过的端口对应的所述指定中间值之和作为表征所述访问混乱程度的活跃熵。
根据权利要求1-9任一所述的方法，其特征在于，所述获取预设时间内待检测目标对应的流量数据，包括：

从网络适配器中获取到所述待检测目标对应的数据流量；

所述从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征，包括：

从所述待检测目标对应的数据流量中提取所述检测目标对应的报文；

从所述报文中获取到所述待检测目标对应的数据特征。
根据权利要求10所述的方法，其特征在于，所述从所述待检测目标对应的数据流量中提取所述检测目标对应的报文，包括：

分别基于多个网络分层，从所述待检测目标对应的数据流量中提取所述检测目标对应于所述多个网络分层的报文。
根据权利要求11所述的方法，其特征在于，所述网络分层包括应用层以及传输层。
根据权利要求1-12任一所述的方法，其特征在于，若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量，包括：

若所述访问混乱程度满足所述匹配程度所对应的阈值条件，确定所述待检测目标对应的流量为恶意流量，其中，所述匹配程度不同所对应的所述阈值条件不同。
根据权利要求1-13任一所述的方法，其特征在于，所述方法还包括：

若所述匹配程度满足目标条件，确定所述待检测目标对应的流量为恶意流量。
根据权利要求1-14任一所述的方法，其特征在于，所述方法还包括：

获取所有的流量数据；

将所述所有的流量数据包括的所有源端均作为待检测目标。
根据权利要求1-14任一所述的方法，其特征在于，所述方法还包括：

获取所有的流量数据；

将所述所有的流量数据包括的所有源端中对应检测到异常访问行为的源端作为待检测目标。
根据权利要求16所述的方法，其特征在于，所述异常访问行为包括以下行为中的至少一个：

超过指定次数发送相同的报文内容；以及

超过指定次数在同一时间段发送报文。
一种流量检测装置，其特征在于，所述装置包括：

流量获取单元，用于获取预设时间内待检测目标对应的流量数据；

特征获取单元，用于从所述流量数据中进行特征提取得到所述待检测目标对应的数据特征；

特征匹配单元，用于获取所述数据特征与目标特征的匹配程度；

混乱度获取单元，用于若所述匹配程度不满足目标匹配条件，计算所述待检测目标对应的访问混乱程度；

流量检测单元，用于若所述访问混乱程度满足阈值条件，确定所述待检测目标对应的流量为恶意流量。
一种服务器，其特征在于，包括一个或多个处理器以及存储器；

一个或多个程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于执行权利要求1-17任一所述的方法。
一种具有处理器可执行的程序代码的计算机可读存储介质，其特征在于，所述程序代码使所述处理器执行权利要求1-17任一所述的方法。