[发明专利]一种数据处理方法及装置有效
| 申请号: | 201910173339.4 | 申请日: | 2019-03-07 |
| 公开(公告)号: | CN109818970B | 公开(公告)日: | 2021-04-30 |
| 发明(设计)人: | 陈国 | 申请(专利权)人: | 腾讯科技(深圳)有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06N3/08;G06N3/04 |
| 代理公司: | 广州三环专利商标代理有限公司 44202 | 代理人: | 郝传鑫;熊永强 |
| 地址: | 518057 广东省深圳*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 数据处理 方法 装置 | ||
1.一种数据处理方法,其特征在于,包括:
当检测到目标保护对象处于被攻击状态时,获取所述目标保护对象与多个通信对象之间的所有会话;
获取所述所有会话相关联的报文集合,根据所述报文集合确定每个会话的会话特征参数;
将所述每个会话的会话特征参数输入到识别模型中,基于所述识别模型确定所述每个会话的会话类型;所述会话类型包括正常会话类型和异常会话类型;所述识别模型的模型参数包括:异常会话对应的会话类型特征的模型参数、正常会话对应的会话类型特征的模型参数;所述识别模型具备区分所述正常会话类型和所述异常会话类型的能力;
根据所述每个会话的会话类型确定所述多个通信对象中的每个通信对象的通信对象类型;
当存在所述通信对象类型为非法类型的通信对象时,将为所述非法类型的通信对象确定为非法通信对象,将所述非法通信对象添加至黑名单,并丢弃所述非法通信对象对应的会话。
2.根据权利要求1所述的方法,其特征在于,所述获取所述所有会话相关联的报文集合,根据所述报文集合确定每个会话的会话特征参数,包括:
获取所述所有会话相关联的报文集合;所述报文集合中包括多个报文;
根据所述多个报文中的每个报文的来源特征数据,确定所述每个会话对应的报文子集合;
根据所述每个会话对应的报文子集合确定所述每个会话的会话特征参数。
3.根据权利要求2所述的方法,其特征在于,所述根据所述多个报文中的每个报文的来源特征数据,确定所述每个会话对应的报文子集合,包括:
提取所述每个报文的来源特征数据;
将具有相同所述来源特征数据的报文确定为所属于同一个会话对应的所述报文子集合;
所述来源特征数据包括来源地址、目的地址、来源端口、目的端口以及通信协议。
4.根据权利要求1所述的方法,其特征在于,所述识别模型包括卷积神经网络模型;所述将所述每个会话的会话特征参数输入到识别模型中,基于所述识别模型确定所述每个会话的会话类型,包括:
将所述每个会话的会话特征参数输入所述卷积神经网络模型的输入层中;
根据所述卷积神经网络模型中的分类器,分别识别所述每个会话的会话特征参数与所述卷积神经网络模型中的会话类型特征的匹配度,根据识别结果将与所述每个会话的会话特征参数具有最高匹配度的会话类型特征对应的会话类型,分别确定为所述每个会话对应的会话类型。
5.根据权利要求1所述的方法,其特征在于,还包括:
当存在所述通信对象类型为合法类型的通信对象时,将为所述合法类型的通信对象确定为合法通信对象,并转发所述合法通信对象对应的会话至服务器。
6.根据权利要求1或5所述的方法,其特征在于,所述根据所述每个会话的会话类型确定所述多个通信对象中的每个通信对象的通信对象类型,包括:
根据所述每个会话的会话类型分别设置所述每个会话的会话类型标签;
根据所述会话类型标签分别检测所述每个通信对象对应的异常会话数量;所述异常会话数量是指所述会话类型标签为异常会话标签的会话的数量;
将所述异常会话数量达到异常数量阈值的通信对象,确定为所述非法类型的通信对象;
将所述多个通信对象中除所述非法通信对象之外的通信对象确定为合法类型的通信对象。
7.根据权利要求1所述的方法,其特征在于,还包括:
通过旁路抓包的方式进行样本数据抓包;
根据抓包结果确定样本会话的样本会话特征参数,根据所述抓包结果确定所述样本会话对应的样本会话标签;所述样本会话标签用于标记所述样本会话的会话类型;
根据所述样本会话的样本会话特征参数与所述样本会话标签之间的映射关系,构建所述识别模型。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于腾讯科技(深圳)有限公司,未经腾讯科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910173339.4/1.html,转载请声明来源钻瓜专利网。
