CN117955729A - 一种基于流量的恶意软件检测方法、装置及电子设备 - Google Patents
一种基于流量的恶意软件检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN117955729A CN117955729A CN202410267255.8A CN202410267255A CN117955729A CN 117955729 A CN117955729 A CN 117955729A CN 202410267255 A CN202410267255 A CN 202410267255A CN 117955729 A CN117955729 A CN 117955729A
- Authority
- CN
- China
- Prior art keywords
- flow
- data
- feature
- preset
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种基于流量的恶意软件检测方法、装置及电子设备,涉及检测技术的技术领域。在该方法中,获取针对目标设备的网络流量数据组,网络流量数据组包括流量基础数据和数据组属性数据;采用预设流量检测模型从流量基础数据中提取得到流量基础特征,流量基础特征包括流量大小特征、持续时间特征以及传输速率特征;采用预设流量检测模型从数据组属性数据中提取得到数据组属性特征,数据组属性特征包括源IP地址特征、目标IP地址特征、端口特征以及协议类型特征;通过预设流量检测模型,对流量基础特征和数据组属性特征分别进行特征比对,得到比对结果;若确定比对结果指示流量基础特征和/或数据组属性特征存在异常特征,则确定目标设备中存在潜在恶意软件。实施本申请提供的技术方案,便于提高对恶意软件的检测准确性。
Description
技术领域
本申请涉及检测技术的技术领域,具体涉及一种基于流量的恶意软件检测方法、装置及电子设备。
背景技术
随着科技的发展,供用户使用的软件层出不穷,这些被安装在用户设备中的软件在使用用户的个人信息之前,通常需要被授权。但恶意软件往往会窃取用户的个人信息,如用户名、密码、银行账户等敏感信息,从而给用户带来财务损失和隐私泄露的风险。通过恶意软件检测,可以及时发现并清除这些威胁,保护用户的隐私和信息安全。
目前,传统的恶意软件检测方法通常只关注单一的特征或指标,如文件哈希值、进程行为等,而忽略了其他可能的特征。这种局限性使得检测方法容易受到攻击者的欺骗,导致检测准确性较低。
因此,急需一种基于流量的恶意软件检测方法、装置及电子设备。
发明内容
本申请提供了一种基于流量的恶意软件检测方法、装置及电子设备,便于提高对恶意软件的检测准确性。
在本申请的第一方面提供了一种基于流量的恶意软件检测方法,所述方法包括:获取针对目标设备的网络流量数据组,所述网络流量数据组包括流量基础数据和数据组属性数据;采用预设流量检测模型从所述流量基础数据中提取得到流量基础特征,所述流量基础特征包括流量大小特征、持续时间特征以及传输速率特征;采用所述预设流量检测模型从所述数据组属性数据中提取得到数据组属性特征,所述数据组属性特征包括源IP地址特征、目标IP地址特征、端口特征以及协议类型特征;通过所述预设流量检测模型,对所述流量基础特征和所述数据组属性特征分别进行特征比对,得到比对结果;若确定所述比对结果指示所述流量基础特征和/或所述数据组属性特征存在异常特征,则确定所述目标设备中存在潜在恶意软件。
通过采用上述技术方案,由于该流程是实时获取网络流量数据并进行分析,这意味着它能够及时发现潜在恶意软件的存在,并迅速做出响应。这种实时性对于快速应对网络威胁至关重要。通过使用预设的流量检测模型进行特征提取和特征比对,此流程减少了人工参与的需要,提高了检测的自动化和智能化水平。这不仅可以减少人力资源的消耗,还可以减少人为错误,提高检测的准确性。由于该流程考虑了多种流量特征和数据组属性,它能够在复杂多变的网络环境中进行适应性的检测。这使得它能够应对不断演变的恶意软件威胁,保持检测的有效性。通过识别流量基础特征和数据组属性中的异常特征,此流程能够在恶意软件实际造成损害之前发出预警。这种预警功能可以帮助企业和个人提前采取措施,防止恶意软件对系统和数据的破坏。此流程不仅考虑了流量基础数据(流量大小、持续时间和传输速率),还考虑了数据组属性数据(源IP地址、目标IP地址、端口和协议类型)。这种全面的分析方法使得检测能够覆盖更多的潜在恶意行为,提高了检测的准确性。
可选地,所述获取针对目标设备的网络流量数据组,具体包括:接收所述目标设备发送的原始数据;对所述原始数据进行数据处理,得到所述网络流量数据组,所述数据处理包括数据清洗、数据去重以及数据整合。
通过采用上述技术方案,数据清洗可以去除原始数据中的无效、错误或重复信息,确保后续分析的数据质量和准确性。数据去重能够去除原始数据中的重复记录,避免在后续分析中对相同数据进行重复处理,从而提高分析效率。这在处理大量网络流量数据时尤为重要,因为重复数据可能会显著增加分析的复杂性和时间成本。数据整合是将不同来源或格式的原始数据合并成一个统一的数据集,这有助于后续的特征提取和模型训练。通过整合数据,可以确保不同数据之间的关联性和一致性。此外,数据整合还可以实现数据的标准化,即将不同格式或单位的数据转换为统一的格式或单位,便于后续分析。经过数据清洗、去重和整合后得到的网络流量数据组,具有更高的质量和一致性,这为后续的特征提取、模型训练和恶意软件检测提供了坚实的基础。这样的数据基础能够确保分析结果的准确性和可靠性。通过对原始数据进行预处理,可以大大减少后续分析的数据量,从而提高恶意软件检测的效率。这对于实时或大规模的网络流量分析尤为重要,因为它可以在保证检测准确性的同时,降低计算资源和时间的消耗。
可选地,所述采用预设流量检测模型从所述流量基础数据中提取得到流量基础特征,具体包括:根据所述流量基础数据,统计平均组流量值、极小组流量值以及极大组流量值,得到所述流量大小特征;根据所述流量基础数据,计算流量的开始时间与结束时间,得到所述持续时间特征;根据所述流量基础数据,计算流量在单位时间内传输字节数,得到所述传输速率特征;将所述流量大小特征、所述持续时间特征以及所述传输速率特征进行融合,得到所述流量基础特征。
通过采用上述技术方案,通过统计平均组流量值、极小组流量值以及极大组流量值,可以全面捕捉流量的规模分布特征,有助于发现异常的大流量或小流量行为。计算流量的开始时间与结束时间,则能够反映流量的持续时间特征,对于识别持续性的恶意流量活动至关重要。而计算流量在单位时间内传输的字节数,则能够体现流量的传输速率特征,有助于识别突发的、高速的流量活动。将流量大小特征、持续时间特征和传输速率特征进行融合,可以得到一个综合性的流量基础特征。这种融合可以综合考虑多个方面的流量特征,使得恶意软件检测模型能够更全面地了解流量的行为模式,提高检测的准确性。同时,融合特征还可以简化模型的输入,降低模型的复杂度,提高检测效率。通过提取流量基础特征,可以为后续的恶意软件检测提供有力的支持。这些特征可以作为输入数据提供给机器学习算法或统计模型,用于训练和构建恶意软件检测模型。通过分析这些特征,模型可以识别出异常的网络流量行为,从而发现潜在的恶意软件活动。
可选地,所述通过所述预设流量检测模型,对所述流量基础特征和所述数据组属性特征分别进行特征比对,得到比对结果,具体包括:计算所述持续时间特征对应的持续时间;计算所述流量大小特征对应的流量波动差值;计算所述传输速率特征对应的流量传输速率;在所述持续时间内,判断所述流量波动差值出现的频率与预设频率阈值之间的大小关系,以及判断所述流量传输速率与预设速率阈值之间的大小关系,并得到所述比对结果;所述若确定所述比对结果指示所述流量基础特征和/或所述数据组属性特征存在异常特征,则确定所述目标设备中存在潜在恶意软件,具体包括:若确定所述频率大于或等于所述预设频率阈值,且所述流量传输速率大于或等于所述预设速率阈值,则确定所述流量基础特征存在异常特征,以确定所述目标设备中存在所述恶意软件。
通过采用上述技术方案,通过计算持续时间、流量波动差值和流量传输速率等具体指标,并与预设的阈值进行比较,可以准确地识别出流量基础特征和数据组属性特征中的异常。这种基于具体指标的比对方式减少了误报和漏报的可能性,提高了恶意软件检测的准确性。预设频率阈值和预设速率阈值可以根据实际需要进行调整,这使得检测模型更加灵活,能够适应不同的网络环境和流量模式。同时,通过调整阈值,可以平衡检测的敏感性和特异性,以满足不同的安全需求。当频率大于或等于预设频率阈值,且流量传输速率大于或等于预设速率阈值时,可以确定流量基础特征存在异常特征,从而确定目标设备中存在潜在恶意软件。这种基于多个指标的综合判断提高了恶意软件识别的有效性,减少了单一指标可能带来的误判。通过实时监测网络流量并对其进行特征比对,可以及时发现潜在的恶意软件活动,从而采取相应的措施进行预防和处理。这有助于减少恶意软件对系统和数据的损害,保护网络安全和用户隐私。通过对网络流量的特征比对和分析,可以了解恶意软件的活动模式和趋势,为制定有效的安全策略提供依据。这有助于企业和个人更好地应对网络威胁,提高整体网络安全水平。
可选地,所述通过所述预设流量检测模型,对所述流量基础特征和所述数据组属性特征分别进行特征比对,得到比对结果,具体包括:根据所述数据组属性特征,得到源IP地址、目标IP地址、端口以及协议类型;将所述源IP地址、所述目标IP地址、所述端口以及所述协议类型与预设特征组进行比对,并得到所述比对结果,所述预设特征组包括源IP地址、预设目标IP地址、预设端口以及预设协议类型,所述预设特征组为预先存储在所述预设流量检测模型中的正常特征;所述若确定所述比对结果指示所述流量基础特征和/或所述数据组属性特征存在异常特征,则确定所述目标设备中存在潜在恶意软件,具体包括:若所述源IP地址、所述目标IP地址、所述端口以及所述协议类型中的任意一个特征与所述预设特征组中的对应特征不符,则确定所述数据组属性特征存在异常特征,以确定所述目标设备中存在所述恶意软件。
通过采用上述技术方案,通过将数据组属性特征(源IP地址、目标IP地址、端口和协议类型)与预先存储在预设流量检测模型中的正常特征(预设特征组)进行比对,可以精确地识别出与正常行为不符的异常特征。这种比对方式有助于减少误报和漏报,提高恶意软件检测的准确性。预设特征组可以根据实际网络环境和安全需求进行更新和调整。这意味着当新的恶意软件行为模式出现时,可以通过更新预设特征组来适应这些变化,保持检测模型的时效性和有效性。这种灵活性和可扩展性使得检测模型能够适应不断演变的网络威胁。通过比对源IP地址、目标IP地址、端口和协议类型等多个数据组属性特征,可以全面覆盖网络流量的各个方面。这种全面的检测方式有助于发现多种类型的恶意软件活动,包括但不限于基于特定IP地址、端口或协议类型的攻击。一旦发现数据组属性特征中存在异常特征,就可以迅速确定目标设备中存在潜在恶意软件。这种快速响应能力有助于及时采取措施进行处置,防止恶意软件对系统和数据造成进一步的损害。通过预先定义和存储正常特征(预设特征组),可以简化检测流程,减少实时分析的计算量和复杂性。这种简化有助于提高检测效率,使得恶意软件检测更加快速和高效。
可选地,在所述采用预设流量检测模型从所述流量基础数据中提取得到流量基础特征之前,训练所述预设流量检测模型;所述训练所述预设流量检测模型,具体包括:将历史流量基础数据和历史数据组属性数据进行处理,得到多个特征数值;将多个所述特征数值中,大于预设阈值的特征数值作为代表特征数值;将所述代表特征数值对应的历史流量基础数据和历史数据组属性数据作为训练样本;将所述训练样本输入至神经网络的输入层,以及将对应的比对结果至所述神经网络的输出层进行监督训练,得到初始流量检测模型;对所述初始流量检测模型进行精度检测,选取精度满足预设条件的模型作为所述预设流量检测模型。
通过采用上述技术方案,通过采用历史流量基础数据和历史数据组属性数据进行训练,模型能够学习到正常网络流量的行为模式和特征。同时,通过设定预设阈值筛选出代表特征数值,可以确保模型关注到最重要的特征,从而提高检测的准确性。此外,使用神经网络进行监督训练,并利用比对结果作为输出层的反馈,可以进一步提升模型的预测能力和可靠性。通过训练得到的初始流量检测模型会进行精度检测,只有满足预设条件的模型才会被选为预设流量检测模型。这个过程可以确保所选模型不仅在当前数据集上表现良好,还具有一定的泛化能力,即能够应对新的、未见过的网络流量数据。历史流量基础数据和历史数据组属性数据被充分利用来训练模型,这意味着无论数据是正常流量还是异常流量,都可以被用来训练模型,从而提高数据的利用率。由于模型是通过神经网络进行训练的,因此可以适应各种复杂的流量模式和特征。此外,神经网络的参数可以通过训练进行调整,使得模型能够灵活应对不同的网络环境和安全需求。通过预设流量检测模型,可以在大量网络流量数据中快速准确地提取出流量基础特征和数据组属性特征,从而提高恶意软件检测的效率。
可选地,所述方法还包括:接收所述目标设备发送的恶意软件标记数据;将所述恶意软件标记数据存储至所述预设流量检测模型中。
通过采用上述技术方案,通过接收目标设备发送的恶意软件标记数据,流量检测模型可以实时地获取到最新的恶意软件活动信息。这意味着模型能够不断地根据实际网络环境中的恶意软件行为进行调整和优化,从而保持其时效性和准确性。将恶意软件标记数据存储在预设流量检测模型中,可以使模型更加适应当前的网络安全威胁。随着网络攻击手段的不断演变,恶意软件的行为模式也会发生变化。通过不断地学习和更新,模型可以更好地应对这些新的威胁,提高检测恶意软件的能力。恶意软件标记数据通常包含了关于恶意软件的确切信息和特征,将其纳入模型中可以增强模型的识别能力。模型可以利用这些标记数据来优化其检测算法,从而更准确地识别出恶意软件活动,减少误报和漏报的情况。如果多个目标设备都发送恶意软件标记数据到同一个预设流量检测模型中,那么这些设备之间就可以实现数据共享和协作。这不仅有助于提升整个网络环境的安全性,还可以促进不同组织和个人之间的合作,共同应对网络安全挑战。通过自动接收和处理目标设备发送的恶意软件标记数据,可以简化人工操作和干预的需要。这不仅提高了工作效率,还降低了人为错误的可能性,使得恶意软件检测过程更加自动化和高效。
在本申请的第二方面提供了一种基于流量的恶意软件检测装置,所述恶意软件检测装置包括获取模块和处理模块,其中,所述获取模块,用于获取针对目标设备的网络流量数据组,所述网络流量数据组包括流量基础数据和数据组属性数据;所述处理模块,还用于采用预设流量检测模型从所述流量基础数据中提取得到流量基础特征,所述流量基础特征包括流量大小特征、持续时间特征以及传输速率特征;所述处理模块,还用于采用所述预设流量检测模型从所述数据组属性数据中提取得到数据组属性特征,所述数据组属性特征包括源IP地址特征、目标IP地址特征、端口特征以及协议类型特征;所述处理模块,还用于通过所述预设流量检测模型,对所述流量基础特征和所述数据组属性特征分别进行特征比对,得到比对结果;所述处理模块,还用于若确定所述比对结果指示所述流量基础特征和/或所述数据组属性特征存在异常特征,则确定所述目标设备中存在潜在恶意软件。
在本申请的第三方面提供了一种电子设备,所述电子设备包括处理器、存储器、用户接口以及网络接口,所述存储器用于存储指令,所述用户接口和所述网络接口均用于给其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述电子设备执行如上所述的方法。
在本申请的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,执行如上所述的方法。
综上所述,本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
由于该流程是实时获取网络流量数据并进行分析,这意味着它能够及时发现潜在恶意软件的存在,并迅速做出响应。这种实时性对于快速应对网络威胁至关重要。通过使用预设的流量检测模型进行特征提取和特征比对,此流程减少了人工参与的需要,提高了检测的自动化和智能化水平。这不仅可以减少人力资源的消耗,还可以减少人为错误,提高检测的准确性。由于该流程考虑了多种流量特征和数据组属性,它能够在复杂多变的网络环境中进行适应性的检测。这使得它能够应对不断演变的恶意软件威胁,保持检测的有效性。通过识别流量基础特征和数据组属性中的异常特征,此流程能够在恶意软件实际造成损害之前发出预警。这种预警功能可以帮助企业和个人提前采取措施,防止恶意软件对系统和数据的破坏。此流程不仅考虑了流量基础数据(流量大小、持续时间和传输速率),还考虑了数据组属性数据(源IP地址、目标IP地址、端口和协议类型)。这种全面的分析方法使得检测能够覆盖更多的潜在恶意行为,提高了检测的准确性。
附图说明
图1为本申请实施例提供的一种基于流量的恶意软件检测方法的流程示意图。
图2为本申请实施例提供的一种基于流量的恶意软件检测方法的另一流程示意图。
图3为本申请实施例提供的一种基于流量的恶意软件检测装置的模块示意图。
图4为本申请实施例提供的一种电子设备的结构示意图。
附图标记说明:31、获取模块;32、处理模块;41、处理器;42、通信总线;43、用户接口;44、网络接口;45、存储器。
具体实施方式
为了使本领域的技术人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。
在本申请实施例的描述中,“例如”或者“举例来说”等词用于表示作例子、例证或说明。本申请实施例中被描述为“例如”或者“举例来说”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“例如”或者“举例来说”等词旨在以具体方式呈现相关概念。
在本申请实施例的描述中,术语“多个”的含义是指两个或两个以上。例如,多个系统是指两个或两个以上的系统,多个屏幕终端是指两个或两个以上的屏幕终端。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
随着科技的日新月异,众多软件应用如雨后春笋般涌现,为用户提供了丰富的使用体验。然而,这些安装在用户设备中的应用程序在利用用户的个人信息之前,通常需要获得用户的授权。相反,恶意软件则是一种对用户构成严重威胁的存在,它们会暗中窃取用户的个人信息,如用户名、密码、银行账户等敏感数据,这不仅可能导致用户的财务损失,还可能引发隐私泄露的风险。
为了应对这一挑战,恶意软件检测成为了至关重要的一环。它能够及时发现并清除这些潜藏在用户设备中的威胁,从而保护用户的隐私和信息安全。然而,目前传统的恶意软件检测方法往往只关注某一特定的特征或指标,如文件哈希值、进程行为等,而忽视了其他可能的关键特征。这种单一性的检测策略使得现有的检测方法在面对不断进化的攻击手段时显得捉襟见肘,从而导致检测准确性大大降低。
为了解决上述技术问题,本申请提供了一种基于流量的恶意软件检测方法,参照图1,图1为本申请实施例提供的一种基于流量的恶意软件检测方法的流程示意图。该方法应用于控制器,包括步骤S110至步骤S150,上述步骤如下:
S110、获取针对目标设备的网络流量数据组,网络流量数据组包括流量基础数据和数据组属性数据。
具体地,控制器是一个系统或网络的中心组件,它负责管理和协调目标设备中其他组件的行为,能够监控、分析和响应网络流量。目标设备是指被监控的网络设备,它可能是任何类型的网络设备,如路由器、交换机、计算机、手机等,这些设备在网络中产生和传输流量。网络流量数据组是指与目标设备相关的网络流量的集合,这些数据包括流量基础数据和数据组属性数据。流量基础数据是网络流量的基本信息,如数据包的数量、大小、传输速率等。这些数据提供了关于网络流量基本特性的信息。数据组属性数据是指与网络流量相关的其他属性信息,如源IP地址、目标IP地址、端口号、协议类型等。这些数据提供了关于流量来源、目的地和传输方式的详细信息。
举例来说,假设有一个公司网络,其中有多台服务器、计算机和其他网络设备。为了监控网络的安全性和性能,设置了一个控制器来收集和分析网络流量数据。其中,控制器检测到一个异常的网络流量数据组。这个数据组包括流量基础数据和数据组属性数据。流量基础数据显示,该数据组的流量突然激增,并且持续了一段时间。数据组属性数据则显示,这个流量主要来自一个未知的IP地址,目标是公司网络中的一台重要服务器,使用的是一种不常见的协议。通过分析和比对这些数据,控制器可以判断这个流量数据组可能是恶意软件或网络攻击的迹象。于是,控制器可以触发警报,通知网络管理员采取进一步的措施来应对这个潜在的安全威胁。
在一种可能的实施方式中,获取针对目标设备的网络流量数据组,具体包括:接收目标设备发送的原始数据;对原始数据进行数据处理,得到网络流量数据组,数据处理包括数据清洗、数据去重以及数据整合。
具体地,控制器需要与目标设备建立连接,以便能够接收它们发送的原始数据。这些原始数据包含各种网络流量信息,但通常是比较原始和未经处理的。其中,原始数据中可能包含错误、异常值或无效数据。数据清洗的目的是识别和纠正这些问题,确保数据的准确性和一致性。例如,删除重复的数据行、填充缺失值、修正错误的字段等。在网络流量数据中,还可能存在重复的数据包或记录。数据去重的目的是去除这些重复项,以减少数据集中的冗余信息,提高数据的质量。另外,原始数据可能来自不同的源或格式,需要进行整合以形成一个统一的数据集。数据整合可能涉及将不同格式的数据转换为统一的格式、合并来自不同源的数据等。
举例来说,控制器接收到原始数据后,首先进行数据清洗。例如,它可能会删除那些包含错误或无效字段的数据行,如IP地址格式不正确或时间戳缺失的数据。接下来,控制器会对数据进行去重处理。由于网络流量数据中可能存在重复的数据包或记录,控制器会识别并去除这些重复项,以确保数据集中不包含重复的信息。最后,控制器会对来自不同源和格式的数据进行整合。例如,它可能会将来自不同服务器的数据合并到一个统一的数据集中,并将不同格式的数据转换为统一的格式,以便后续的分析和处理。经过上述数据处理过程后,控制器可以得到一个高质量的网络流量数据组,为后续的网络安全和流量监控任务提供有力的数据支持。
S120、采用预设流量检测模型从流量基础数据中提取得到流量基础特征,流量基础特征包括流量大小特征、持续时间特征以及传输速率特征。
具体地,预设流量检测模型是一个已经训练好的机器学习模型,它能够对网络流量数据进行分析和识别。这个模型是基于神经网络算法构建的,并且已经使用大量的历史流量数据进行了训练和优化。在这个过程中,预设流量检测模型会接收流量基础数据作为输入,然后应用其学习到的算法和模式来提取数据中的关键信息。这些关键信息即为流量基础特征,它们能够描述网络流量的基本属性和行为。流量大小特征指的是网络流量的总量或大小,通常以字节或数据包的数量来衡量。这个特征可以帮助了解网络流量的规模和数量级。持续时间特征指的是网络流量持续的时间长度。这个特征可以反映网络活动的持续性和稳定性。传输速率特征指的是网络流量的传输速度,通常以每秒传输的字节数或数据包数来表示。这个特征可以揭示网络流量的速率和带宽使用情况。
在一种可能的实施方式中,采用预设流量检测模型从流量基础数据中提取得到流量基础特征,具体包括:根据流量基础数据,统计平均组流量值、极小组流量值以及极大组流量值,得到流量大小特征;根据流量基础数据,计算流量的开始时间与结束时间,得到持续时间特征;根据流量基础数据,计算流量在单位时间内传输字节数,得到传输速率特征;将流量大小特征、持续时间特征以及传输速率特征进行融合,得到流量基础特征。
具体地,首先,控制器从流量基础数据中提取出每个数据包的流量值,流量值以字节为单位。然后,计算这些流量值的统计信息,包括平均流量值,即所有数据包流量值的平均值,最小流量值,即所有数据包中流量值最小的,和最大流量值,即所有数据包中流量值最大的。这些统计信息共同构成了流量大小特征,它们描述了流量的规模和波动范围。通过分析流量基础数据,还将确定每个数据包的发送时间。从这些时间戳中,找出流量的最早开始时间和最晚结束时间。持续时间特征就是流量的开始时间到结束时间之间的差值,它反映了流量活动的持续长度。其次,确定流量的总传输字节数,即所有数据包流量值的总和。然后,用总传输字节数除以持续时间(以秒为单位),得到单位时间内的传输字节数,它描述了流量在单位时间内传输的数据量,通常以字节/秒(Bps)或兆字节/秒(Mbps)来表示。最后,将上述三个特征结合起来,形成一个综合的流量基础特征。这通常涉及到将这些特征值组合成一个特征向量或矩阵,以便后续的分析和处理。
举例来说,假设有一家网络服务提供商,需要对用户的网络流量进行监控和分析。控制器收集了一段时间内用户的网络流量数据,并使用预设的流量检测模型来提取流量基础特征。首先,控制器提取了用户流量数据的统计信息。这些数据显示,用户的平均流量值为500KB/s,最小流量值为100KB/s,最大流量值为10MB/s。这表明用户的流量使用量在一段时间内有所波动,但大部分时间都在平均流量附近。接下来,控制器分析了流量数据的开始时间和结束时间,发现流量活动持续了整整一个小时,从上午10点开始,到上午11点结束,这表明用户的网络活动持续了相当长的时间。然后,控制器计算了流量的传输速率。在这一个小时内,用户总共传输了3GB的数据,因此传输速率约为5Mbps。这表明用户的网络连接速度相对较快。最后,控制器将这三个特征融合起来,形成了一个流量基础特征向量:平均流量值=500KB/s,最小流量值=100KB/s,最大流量值=10MB/s,持续时间=1小时,传输速率=5Mbps。
S130、采用预设流量检测模型从数据组属性数据中提取得到数据组属性特征,数据组属性特征包括源IP地址特征、目标IP地址特征、端口特征以及协议类型特征。
具体地,数据组属性数据包含了与网络流量相关的各种属性信息,如源IP地址、目标IP地址、端口号、协议类型等。预设流量检测模型会针对这些数据进行分析,提取出关键的数据组属性特征。数据组属性特征包括源IP地址特征、目标IP地址特征、端口特征以及协议类型特征。源IP地址特征指的是发起网络请求或数据传输的设备的IP地址。通过分析源IP地址,可以了解哪些设备或网络段在产生流量。目标IP地址特征指的是接收网络请求或数据传输的设备的IP地址。这有助于了解流量的目的地和可能的流量模式。端口特征指的是用于数据传输的网络端口号。不同的端口号通常与不同的应用程序或服务相关联,因此端口特征可以提供关于流量来源和目的应用程序的信息。协议类型特征指的是用于数据传输的网络协议类型,如TCP、UDP等。协议类型特征可以提供关于流量传输方式和通信协议的信息。
S140、通过预设流量检测模型,对流量基础特征和数据组属性特征分别进行特征比对,得到比对结果。
具体地,预设流量检测模型将分别对流量基础特征(如流量大小、持续时间和传输速率)和数据组属性特征(如源IP地址、目标IP地址、端口和协议类型)进行比对。特征比对涉及将提取的特征与一组已知的、预期的或基线的特征进行比较,以识别任何异常或偏离正常模式的行为。经过比对后,模型会生成一个比对结果。这个结果可以是一个简单的“正常”或“异常”的标记,也可以是一个更详细的报告,其中包含有关流量特征的详细信息和比对结果。
举例来说,假设一家大型企业的网络安全团队,正在使用预设的流量检测模型来监控和分析网络流量。这个模型已经被训练成能够识别出常见的网络攻击模式和异常流量行为。首先,模型提取了这组流量的流量基础特征,包括平均流量值、最小流量值、最大流量值、持续时间和传输速率。然后,模型将这些特征与模型中存储的正常流量模式的基准数据进行了比对。比对结果显示,这组流量的持续时间异常长,并且最大流量值远远超过了正常情况下的最大值。这些异常特征使得流量像是在进行某种恶意活动,如拒绝服务攻击(DoS)或数据泄露。接下来,控制器控制模型提取了数据组属性特征,包括源IP地址、目标IP地址、端口和协议类型。再将这些特征与已知的恶意IP地址库、开放的漏洞端口和常用的攻击协议进行了比对。比对结果显示,源IP地址与已知的恶意IP地址库中的地址相匹配,目标IP地址是公司内部的一个重要服务器,端口号是最近报告的一个安全漏洞所利用的端口,而协议类型则是一种常用于网络攻击的协议。综合这些比对结果,可以得出结论,这组流量很可能是来自一个恶意攻击者的攻击行为。进一步地,可以采取相应的安全措施,如阻断源IP地址的访问、关闭漏洞端口和加强目标服务器的安全防护,以应对这个潜在的安全威胁。通过这种方式,预设的流量检测模型通过特征比对能够帮助网络安全团队及时发现和识别异常流量,从而采取相应的措施来保护网络的安全和稳定。
S150、若确定比对结果指示流量基础特征和/或数据组属性特征存在异常特征,则确定目标设备中存在潜在恶意软件。
具体地,在进行特征比对之后,模型会产生一个结果,这个结果会指示流量基础特征(如流量大小、持续时间和传输速率)或数据组属性特征(如源IP地址、目标IP地址、端口和协议类型)是否存在异常。异常特征可能意味着流量不符合正常的网络行为模式,或者与已知的恶意流量模式相符。如果检测到异常特征,这通常是一个信号,表明目标设备(即产生这些流量的设备)可能受到了恶意软件的影响。恶意软件,如病毒、木马、蠕虫等,可能会改变设备的正常行为,导致网络流量出现异常。
由此,由于该流程是实时获取网络流量数据并进行分析,这意味着它能够及时发现潜在恶意软件的存在,并迅速做出响应。这种实时性对于快速应对网络威胁至关重要。通过使用预设的流量检测模型进行特征提取和特征比对,此流程减少了人工参与的需要,提高了检测的自动化和智能化水平。这不仅可以减少人力资源的消耗,还可以减少人为错误,提高检测的准确性。由于该流程考虑了多种流量特征和数据组属性,它能够在复杂多变的网络环境中进行适应性的检测。这使得它能够应对不断演变的恶意软件威胁,保持检测的有效性。通过识别流量基础特征和数据组属性中的异常特征,此流程能够在恶意软件实际造成损害之前发出预警。这种预警功能可以帮助企业和个人提前采取措施,防止恶意软件对系统和数据的破坏。此流程不仅考虑了流量基础数据(流量大小、持续时间和传输速率),还考虑了数据组属性数据(源IP地址、目标IP地址、端口和协议类型)。这种全面的分析方法使得检测能够覆盖更多的潜在恶意行为,提高了检测的准确性。
在一种可能的实施方式中,通过预设流量检测模型,对流量基础特征和数据组属性特征分别进行特征比对,得到比对结果,具体包括:计算持续时间特征对应的持续时间;计算流量大小特征对应的流量波动差值;计算传输速率特征对应的流量传输速率;在持续时间内,判断流量波动差值出现的频率与预设频率阈值之间的大小关系,以及判断流量传输速率与预设速率阈值之间的大小关系,并得到比对结果;若确定比对结果指示流量基础特征和/或数据组属性特征存在异常特征,则确定目标设备中存在潜在恶意软件,具体包括:若确定频率大于或等于预设频率阈值,且流量传输速率大于或等于预设速率阈值,则确定流量基础特征存在异常特征,以确定目标设备中存在恶意软件。
具体地,首先,控制器从流量数据中提取出流量的持续时间,即流量开始到结束的时间差。流量大小特征包括了平均流量值、最小流量值和最大流量值。流量波动差值可以通过计算这些值的差异来得到,例如通过计算最大流量值与平均流量值之间的差值。接下来,计算单位时间内传输的字节数,即流量的传输速率。其次,控制器在持续时间内检查流量波动差值出现的频率。如果这个频率大于或等于预设的频率阈值,说明流量波动异常频繁;与此同时,控制器还会检查流量传输速率是否大于或等于预设的速率阈值。如果也超出这个阈值,则意味着流量的传输速度异常。同时满足上述两个条件,控制器目标设备中存在恶意软件。
在一种可能的实施方式中,通过预设流量检测模型,对流量基础特征和数据组属性特征分别进行特征比对,得到比对结果,具体包括:根据数据组属性特征,得到源IP地址、目标IP地址、端口以及协议类型;将源IP地址、目标IP地址、端口以及协议类型与预设特征组进行比对,并得到比对结果,预设特征组包括源IP地址、预设目标IP地址、预设端口以及预设协议类型,预设特征组为预先存储在预设流量检测模型中的正常特征;若确定比对结果指示流量基础特征和/或数据组属性特征存在异常特征,则确定目标设备中存在潜在恶意软件,具体包括:若源IP地址、目标IP地址、端口以及协议类型中的任意一个特征与预设特征组中的对应特征不符,则确定数据组属性特征存在异常特征,以确定目标设备中存在恶意软件。
具体地,控制器从捕获的网络流量数据中,提取出数据组属性特征,这些特征通常包括源IP地址(发送流量的设备地址)、目标IP地址(接收流量的设备地址)、使用的端口号以及通信协议类型。预设特征组是一组预先存储在预设流量检测模型中的正常特征,包括源IP地址、预设目标IP地址、预设端口以及预设协议类型。这些预设特征通常代表正常的、期望的网络行为模式。比对过程就是检查从流量数据中提取出的特征是否与预设特征组中的特征相符合。比对结果将表明数据组属性特征与预设特征组是否匹配。当从流量数据中提取出的至少一个数据组属性特征与预设的正常特征不匹配时,这表明流量数据中包含异常或不符合正常行为模式的信息。基于数据组属性特征的异常,模型会推断目标设备(即发送或接收流量的设备)可能受到了恶意软件的影响。
举例来说,假设模型检测到了一个异常的流量模式。从流量数据中,提取了以下数据组属性特征:源IP地址:192.168.1.100;目标IP地址:10.0.0.1;端口:8080;协议类型:TCP,接下来,将这些特征与预设特征组进行了比对。预设特征组可能包括:预设源IP地址范围:192.168.1.0-192.168.1.255;预设目标IP地址:10.0.0.1;预设端口范围:8000-9000;预设协议类型:TCP。比对结果显示,源IP地址不在预设的源IP地址范围内,而端口号也在预设端口范围之外,这意味着数据组属性特征中存在异常。
在一种可能的实施方式中,参照图2,图2为本申请实施例提供的一种基于流量的恶意软件检测方法的另一流程示意图,在采用预设流量检测模型从流量基础数据中提取得到流量基础特征之前,训练预设流量检测模型;训练预设流量检测模型,具体包括步骤S210至步骤S250,上述步骤如下:S210、将历史流量基础数据和历史数据组属性数据进行处理,得到多个特征数值;S220、将多个特征数值中,大于预设阈值的特征数值作为代表特征数值;S230、将代表特征数值对应的历史流量基础数据和历史数据组属性数据作为训练样本;S240、将训练样本输入至神经网络的输入层,以及将对应的比对结果至神经网络的输出层进行监督训练,得到初始流量检测模型;S250、对初始流量检测模型进行精度检测,选取精度满足预设条件的模型作为预设流量检测模型。
具体地,首先,收集大量的历史流量数据(包括流量基础数据和数据组属性数据),并对这些数据进行处理,例如清洗、归一化等,以提取出多个特征数值。这些特征数值可能包括流量大小、持续时间、传输速率、源IP地址、目标IP地址、端口号等。在处理完数据后,对特征数值进行筛选。通常,只有那些大于某个预设阈值的特征数值才会被视为有代表性的,即这些特征数值可能对模型的学习更有价值。其中,选择那些与大于预设阈值的特征数值相对应的历史流量数据作为训练样本。这些样本将用于训练神经网络模型。进一步地,使用一个神经网络结构(例如,深度学习网络),并将上述的训练样本作为输入,将其对应的比对结果(即期望的输出)作为目标输出。通过监督训练(如反向传播算法),神经网络学习如何根据输入数据预测输出。经过足够的训练迭代后,得到一个初始的流量检测模型。最后,在得到初始模型后,需要对其进行评估。这通常涉及到使用独立的测试数据集来验证模型的预测能力。如果模型的精度(例如,准确率、召回率等)满足预设的条件(如大于某个阈值),则将该模型作为最终的预设流量检测模型。如果不满足,可能需要调整模型的结构、参数或重新收集更多的数据来进一步训练。
在一种可能的实施方式中,接收目标设备发送的恶意软件标记数据;将恶意软件标记数据存储至预设流量检测模型中。
具体地,当目标设备检测到恶意软件或可疑活动时,它会生成恶意软件标记数据。这些数据可能包括恶意软件的签名、行为特征、感染时间、源IP地址等信息。目标设备将这些数据发送给控制器,以便进行进一步的分析和处理。一旦控制器接收到来自目标设备的恶意软件标记数据,它会将这些数据存储在预设流量检测模型中。这样做的目的是为了更新模型的知识库,使其能够识别新的恶意软件特征或行为模式。通过不断更新模型,可以提高其检测新威胁的能力。其中,目标设备中的恶意软件标记数据还可以为用户自行输入,从而能够提高检测效率。
本申请还提供了一种基于流量的恶意软件检测装置,参照图3,图3为本申请实施例提供的一种基于流量的恶意软件检测装置的模块示意图。该装置为控制器,控制器包括获取模块31和处理模块32,其中,获取模块31获取针对目标设备的网络流量数据组,网络流量数据组包括流量基础数据和数据组属性数据;处理模块32采用预设流量检测模型从流量基础数据中提取得到流量基础特征,流量基础特征包括流量大小特征、持续时间特征以及传输速率特征;处理模块32采用预设流量检测模型从数据组属性数据中提取得到数据组属性特征,数据组属性特征包括源IP地址特征、目标IP地址特征、端口特征以及协议类型特征;处理模块32通过预设流量检测模型,对流量基础特征和数据组属性特征分别进行特征比对,得到比对结果;若处理模块32确定比对结果指示流量基础特征和/或数据组属性特征存在异常特征,则确定目标设备中存在潜在恶意软件。
在一种可能的实施方式中,获取模块31获取针对目标设备的网络流量数据组,具体包括:获取模块31接收目标设备发送的原始数据;处理模块32对原始数据进行数据处理,得到网络流量数据组,数据处理包括数据清洗、数据去重以及数据整合。
在一种可能的实施方式中,处理模块32采用预设流量检测模型从流量基础数据中提取得到流量基础特征,具体包括:处理模块32根据流量基础数据,统计平均组流量值、极小组流量值以及极大组流量值,得到流量大小特征;处理模块32根据流量基础数据,计算流量的开始时间与结束时间,得到持续时间特征;处理模块32根据流量基础数据,计算流量在单位时间内传输字节数,得到传输速率特征;处理模块32将流量大小特征、持续时间特征以及传输速率特征进行融合,得到流量基础特征。
在一种可能的实施方式中,处理模块32通过预设流量检测模型,对流量基础特征和数据组属性特征分别进行特征比对,得到比对结果,具体包括:处理模块32计算持续时间特征对应的持续时间;处理模块32计算流量大小特征对应的流量波动差值;处理模块32计算传输速率特征对应的流量传输速率;处理模块32在持续时间内,判断流量波动差值出现的频率与预设频率阈值之间的大小关系,以及判断流量传输速率与预设速率阈值之间的大小关系,并得到比对结果;若处理模块32确定比对结果指示流量基础特征和/或数据组属性特征存在异常特征,则确定目标设备中存在潜在恶意软件,具体包括:若处理模块32确定频率大于或等于预设频率阈值,且流量传输速率大于或等于预设速率阈值,则确定流量基础特征存在异常特征,以确定目标设备中存在恶意软件。
在一种可能的实施方式中,处理模块32通过预设流量检测模型,对流量基础特征和数据组属性特征分别进行特征比对,得到比对结果,具体包括:处理模块32根据数据组属性特征,得到源IP地址、目标IP地址、端口以及协议类型;处理模块32将源IP地址、目标IP地址、端口以及协议类型与预设特征组进行比对,并得到比对结果,预设特征组包括源IP地址、预设目标IP地址、预设端口以及预设协议类型,预设特征组为预先存储在预设流量检测模型中的正常特征;若处理模块32确定比对结果指示流量基础特征和/或数据组属性特征存在异常特征,则确定目标设备中存在潜在恶意软件,具体包括:若源IP地址、目标IP地址、端口以及协议类型中的任意一个特征与预设特征组中的对应特征不符,则处理模块32确定数据组属性特征存在异常特征,以确定目标设备中存在恶意软件。
在一种可能的实施方式中,在采用预设流量检测模型从流量基础数据中提取得到流量基础特征之前,训练预设流量检测模型;训练预设流量检测模型,具体包括:处理模块32将历史流量基础数据和历史数据组属性数据进行处理,得到多个特征数值;处理模块32将多个特征数值中,大于预设阈值的特征数值作为代表特征数值;处理模块32将代表特征数值对应的历史流量基础数据和历史数据组属性数据作为训练样本;处理模块32将训练样本输入至神经网络的输入层,以及将对应的比对结果至神经网络的输出层进行监督训练,得到初始流量检测模型;处理模块32对初始流量检测模型进行精度检测,选取精度满足预设条件的模型作为预设流量检测模型。
在一种可能的实施方式中,获取模块31接收目标设备发送的恶意软件标记数据;处理模块32将恶意软件标记数据存储至预设流量检测模型中。
需要说明的是:上述实施例提供的装置在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的装置和方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本申请还提供了一种电子设备,参照图4,图4为本申请实施例提供的一种电子设备的结构示意图。电子设备可以包括:至少一个处理器41,至少一个网络接口44,用户接口43,存储器45,至少一个通信总线42。
其中,通信总线42用于实现这些组件之间的连接通信。
其中,用户接口43可以包括显示屏(Display)、摄像头(Camera),可选用户接口43还可以包括标准的有线接口、无线接口。
其中,网络接口44可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。
其中,处理器41可以包括一个或者多个处理核心。处理器41利用各种接口和线路连接整个服务器内的各个部分,通过运行或执行存储在存储器45内的指令、程序、代码集或指令集,以及调用存储在存储器45内的数据,执行服务器的各种功能和处理数据。可选的,处理器41可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable Logic Array,PLA)中的至少一种硬件形式来实现。处理器41可集成中央处理器(Central ProcessingUnit,CPU)、图像处理器(Graphics Processing Unit,GPU)和调制解调器等中的一种或几种的组合。其中,CPU主要处理操作系统、用户界面和应用程序等;GPU用于负责显示屏所需要显示的内容的渲染和绘制;调制解调器用于处理无线通信。可以理解的是,上述调制解调器也可以不集成到处理器41中,单独通过一块芯片进行实现。
其中,存储器45可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory)。可选的,该存储器45包括非瞬时性计算机可读介质(non-transitory computer-readable storage medium)。存储器45可用于存储指令、程序、代码、代码集或指令集。存储器45可包括存储程序区和存储数据区,其中,存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现上述各个方法实施例的指令等;存储数据区可存储上面各个方法实施例中涉及的数据等。存储器45可选的还可以是至少一个位于远离前述处理器41的存储装置。如图4所示,作为一种计算机存储介质的存储器45中可以包括操作系统、网络通信模块、用户接口模块以及一种基于流量的恶意软件检测方法的应用程序。
在图4所示的电子设备中,用户接口43主要用于为用户提供输入的接口,获取用户输入的数据;而处理器41可以用于调用存储器45中存储一种基于流量的恶意软件检测方法的应用程序,当由一个或多个处理器执行时,使得电子设备执行如上述实施例中一个或多个的方法。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必需的。
本申请还提供了一种计算机可读存储介质,计算机可读存储介质存储有指令。当由一个或多个处理器执行时,使得电子设备执行如上述实施例中一个或多个所述的方法。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所披露的装置,可通过其他的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些服务接口,装置或单元的间接耦合或通信连接,可以是电性或其他的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储器包括:U盘、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述者,仅为本公开的示例性实施例,不能以此限定本公开的范围。即但凡依本公开教导所作的等效变化与修饰,皆仍属本公开涵盖的范围内。本领域技术人员在考虑说明书及实践真理的公开后,将容易想到本公开的其他实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未记载的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的范围和精神由权利要求限定。
Claims (10)
1.一种基于流量的恶意软件检测方法,其特征在于,所述方法包括:
获取针对目标设备的网络流量数据组,所述网络流量数据组包括流量基础数据和数据组属性数据;
采用预设流量检测模型从所述流量基础数据中提取得到流量基础特征,所述流量基础特征包括流量大小特征、持续时间特征以及传输速率特征;
采用所述预设流量检测模型从所述数据组属性数据中提取得到数据组属性特征,所述数据组属性特征包括源IP地址特征、目标IP地址特征、端口特征以及协议类型特征;
通过所述预设流量检测模型,对所述流量基础特征和所述数据组属性特征分别进行特征比对,得到比对结果;
若确定所述比对结果指示所述流量基础特征和/或所述数据组属性特征存在异常特征,则确定所述目标设备中存在潜在恶意软件。
2.根据权利要求1所述的基于流量的恶意软件检测方法,其特征在于,所述获取针对目标设备的网络流量数据组,具体包括:
接收所述目标设备发送的原始数据;
对所述原始数据进行数据处理,得到所述网络流量数据组,所述数据处理包括数据清洗、数据去重以及数据整合。
3.根据权利要求1所述的基于流量的恶意软件检测方法,其特征在于,所述采用预设流量检测模型从所述流量基础数据中提取得到流量基础特征,具体包括:
根据所述流量基础数据,统计平均组流量值、极小组流量值以及极大组流量值,得到所述流量大小特征;
根据所述流量基础数据,计算流量的开始时间与结束时间,得到所述持续时间特征;
根据所述流量基础数据,计算流量在单位时间内传输字节数,得到所述传输速率特征;
将所述流量大小特征、所述持续时间特征以及所述传输速率特征进行融合,得到所述流量基础特征。
4.根据权利要求1所述的基于流量的恶意软件检测方法,其特征在于,所述通过所述预设流量检测模型,对所述流量基础特征和所述数据组属性特征分别进行特征比对,得到比对结果,具体包括:
计算所述持续时间特征对应的持续时间;
计算所述流量大小特征对应的流量波动差值;
计算所述传输速率特征对应的流量传输速率;
在所述持续时间内,判断所述流量波动差值出现的频率与预设频率阈值之间的大小关系,以及判断所述流量传输速率与预设速率阈值之间的大小关系,并得到所述比对结果;
所述若确定所述比对结果指示所述流量基础特征和/或所述数据组属性特征存在异常特征,则确定所述目标设备中存在潜在恶意软件,具体包括:
若确定所述频率大于或等于所述预设频率阈值,且所述流量传输速率大于或等于所述预设速率阈值,则确定所述流量基础特征存在异常特征,以确定所述目标设备中存在所述恶意软件。
5.根据权利要求1所述的基于流量的恶意软件检测方法,其特征在于,所述通过所述预设流量检测模型,对所述流量基础特征和所述数据组属性特征分别进行特征比对,得到比对结果,具体包括:
根据所述数据组属性特征,得到源IP地址、目标IP地址、端口以及协议类型;
将所述源IP地址、所述目标IP地址、所述端口以及所述协议类型与预设特征组进行比对,并得到所述比对结果,所述预设特征组包括源IP地址、预设目标IP地址、预设端口以及预设协议类型,所述预设特征组为预先存储在所述预设流量检测模型中的正常特征;
所述若确定所述比对结果指示所述流量基础特征和/或所述数据组属性特征存在异常特征,则确定所述目标设备中存在潜在恶意软件,具体包括:
若所述源IP地址、所述目标IP地址、所述端口以及所述协议类型中的任意一个特征与所述预设特征组中的对应特征不符,则确定所述数据组属性特征存在异常特征,以确定所述目标设备中存在所述恶意软件。
6.根据权利要求1所述的基于流量的恶意软件检测方法,其特征在于,在所述采用预设流量检测模型从所述流量基础数据中提取得到流量基础特征之前,训练所述预设流量检测模型;所述训练所述预设流量检测模型,具体包括:
将历史流量基础数据和历史数据组属性数据进行处理,得到多个特征数值;
将多个所述特征数值中,大于预设阈值的特征数值作为代表特征数值;
将所述代表特征数值对应的历史流量基础数据和历史数据组属性数据作为训练样本;
将所述训练样本输入至神经网络的输入层,以及将对应的比对结果至所述神经网络的输出层进行监督训练,得到初始流量检测模型;
对所述初始流量检测模型进行精度检测,选取精度满足预设条件的模型作为所述预设流量检测模型。
7.根据权利要求1所述的基于流量的恶意软件检测方法,其特征在于,所述方法还包括:
接收所述目标设备发送的恶意软件标记数据;
将所述恶意软件标记数据存储至所述预设流量检测模型中。
8.一种基于流量的恶意软件检测装置,其特征在于,所述恶意软件检测装置包括获取模块(31)和处理模块(32),其中,
所述获取模块(31),用于获取针对目标设备的网络流量数据组,所述网络流量数据组包括流量基础数据和数据组属性数据;
所述处理模块(32),还用于采用预设流量检测模型从所述流量基础数据中提取得到流量基础特征,所述流量基础特征包括流量大小特征、持续时间特征以及传输速率特征;
所述处理模块(32),还用于采用所述预设流量检测模型从所述数据组属性数据中提取得到数据组属性特征,所述数据组属性特征包括源IP地址特征、目标IP地址特征、端口特征以及协议类型特征;
所述处理模块(32),还用于通过所述预设流量检测模型,对所述流量基础特征和所述数据组属性特征分别进行特征比对,得到比对结果;
所述处理模块(32),还用于若确定所述比对结果指示所述流量基础特征和/或所述数据组属性特征存在异常特征,则确定所述目标设备中存在潜在恶意软件。
9.一种电子设备,其特征在于,所述电子设备包括处理器(41)、存储器(45)、用户接口(43)以及网络接口(44),所述存储器(45)用于存储指令,所述用户接口(43)和所述网络接口(44)均用于给其他设备通信,所述处理器(41)用于执行所述存储器(45)中存储的指令,以使所述电子设备执行如权利要求1至7任意一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令被执行时,执行如权利要求1至7任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410267255.8A CN117955729A (zh) | 2024-03-08 | 2024-03-08 | 一种基于流量的恶意软件检测方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410267255.8A CN117955729A (zh) | 2024-03-08 | 2024-03-08 | 一种基于流量的恶意软件检测方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117955729A true CN117955729A (zh) | 2024-04-30 |
Family
ID=90805310
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410267255.8A Pending CN117955729A (zh) | 2024-03-08 | 2024-03-08 | 一种基于流量的恶意软件检测方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117955729A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118430106A (zh) * | 2024-06-13 | 2024-08-02 | 中通服网盈科技有限公司 | 一种智慧园区安防监控方法、装置及电子设备 |
| CN119603016A (zh) * | 2024-11-22 | 2025-03-11 | 广东电网有限责任公司 | 基于电网主站的网络安全防控方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110808945A (zh) * | 2019-09-11 | 2020-02-18 | 浙江大学 | 一种基于元学习的小样本场景下网络入侵检测方法 |
| CN112398779A (zh) * | 2019-08-12 | 2021-02-23 | 中国科学院国家空间科学中心 | 一种网络流量数据分析方法及系统 |
| CN112565266A (zh) * | 2020-12-07 | 2021-03-26 | 深信服科技股份有限公司 | 一种信息泄露攻击检测方法、装置、电子设备及存储介质 |
| US20220368703A1 (en) * | 2019-10-28 | 2022-11-17 | University Of Science And Technology Of China | Method and device for detecting security based on machine learning in combination with rule matching |
| CN116405261A (zh) * | 2023-03-15 | 2023-07-07 | 华中科技大学 | 基于深度学习的恶意流量检测方法、系统及存储介质 |
| CN117478357A (zh) * | 2023-09-25 | 2024-01-30 | 国网黑龙江省电力有限公司双鸭山供电公司 | 电力工控网络流量异常检测方法 |
-
2024
- 2024-03-08 CN CN202410267255.8A patent/CN117955729A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112398779A (zh) * | 2019-08-12 | 2021-02-23 | 中国科学院国家空间科学中心 | 一种网络流量数据分析方法及系统 |
| CN110808945A (zh) * | 2019-09-11 | 2020-02-18 | 浙江大学 | 一种基于元学习的小样本场景下网络入侵检测方法 |
| US20220368703A1 (en) * | 2019-10-28 | 2022-11-17 | University Of Science And Technology Of China | Method and device for detecting security based on machine learning in combination with rule matching |
| CN112565266A (zh) * | 2020-12-07 | 2021-03-26 | 深信服科技股份有限公司 | 一种信息泄露攻击检测方法、装置、电子设备及存储介质 |
| CN116405261A (zh) * | 2023-03-15 | 2023-07-07 | 华中科技大学 | 基于深度学习的恶意流量检测方法、系统及存储介质 |
| CN117478357A (zh) * | 2023-09-25 | 2024-01-30 | 国网黑龙江省电力有限公司双鸭山供电公司 | 电力工控网络流量异常检测方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118430106A (zh) * | 2024-06-13 | 2024-08-02 | 中通服网盈科技有限公司 | 一种智慧园区安防监控方法、装置及电子设备 |
| CN119603016A (zh) * | 2024-11-22 | 2025-03-11 | 广东电网有限责任公司 | 基于电网主站的网络安全防控方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12047396B2 (en) | System and method for monitoring security attack chains | |
| US12301628B2 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| US11968227B2 (en) | Detecting KERBEROS ticket attacks within a domain | |
| US12225042B2 (en) | System and method for user and entity behavioral analysis using network topology information | |
| JP7673082B2 (ja) | 関心度に基づいてデータ・フローを異なって取り扱うこと | |
| CN107454109B (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
| EP2040435B1 (en) | Intrusion detection method and system | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN116760636A (zh) | 一种未知威胁的主动防御系统和方法 | |
| US20160019388A1 (en) | Event correlation based on confidence factor | |
| CN116319061A (zh) | 一种智能控制网络系统 | |
| US12489793B2 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
| US20150172302A1 (en) | Interface for analysis of malicious activity on a network | |
| CN117955729A (zh) | 一种基于流量的恶意软件检测方法、装置及电子设备 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN118018231A (zh) | 隔离区的安全策略管理方法、装置、设备和存储介质 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN119299218A (zh) | 一种基于人工智能的网络安全威胁检测与防御系统 | |
| Li et al. | A distributed intrusion detection model based on cloud theory | |
| CN117792733A (zh) | 一种网络威胁的检测方法及相关装置 | |
| CN118200022B (zh) | 基于大数据网络恶意攻击的数据加密方法及系统 | |
| Thenmozhi et al. | Machine Learning to Enhance Network Security | |
| KR20260023115A (ko) | 사용자 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 | |
| CN121283714A (zh) | 一种检测方法、装置、设备、介质及产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20240430 |
|
| RJ01 | Rejection of invention patent application after publication |