[发明专利]网络流量识别方法、系统、装置及计算机可读存储介质

说明书

本申请公开了一种网络流量识别方法、系统、装置及计算机可读存储介质，包括：获取网络流量数据，得到流量数据包；利用流量数据包中的分组概要信息生成分组字节矩阵；利用预先训练而成的僵尸流量识别模型对分组字节矩阵进行识别，判断分组字节矩阵对应的流量数据包是否为僵尸流量，得到分类结果；本申请将流量数据包进行处理，将其特征转换为分组字节矩阵，将分组字节矩阵充当二维图片，使得基于卷积神经网络，预先训练出僵尸流量识别模型，能够识别出分组字节矩阵，并从中提取出特征进行识别，最后输出包括分组字节矩阵是否对应僵尸流量数据包的分类结果，实现自动对网络中的流量数据包自动进行分类，在确保准确性的前提下，大大提高了分类效率。

技术领域

本发明涉及计算机领域，特别涉及一种网络流量识别方法、系统、装置及计算机可读存储介质。

背景技术

近年来，僵尸网络作为一种新型攻击方式，现已经成为互联网安全领域面临的重大威胁，僵尸网络是几十年发展起来的集木马，蠕虫和后门程序于一身的新型攻击方式。僵尸网络是由一批僵尸主机形成的网络，他们会被僵尸程序攻击后由僵尸主机远程操控，进行恶意软件分发，DDOS攻击，钓鱼攻击，窃取用户身份，发送垃圾邮件等非法行为。

现阶段大多数研究者为了能够从大量的流量中检测到是否是恶意僵尸网络产生的流量去阻止它去危害网络安全，因此利用机器学习技术在僵尸网络检测领域对恶意僵尸网络流量进行分类，也获得广泛的应用，但是随着僵尸网络形态和命令控制机制不断变化，而人工选取特征工作量极大，十分复杂。

因此，需要一种僵尸网络流量识别的技术，无需人工选择特征，提高流量识别的效率。

发明内容

有鉴于此，本发明的目的在于提供一种网络流量识别方法、系统、装置及计算机可读存储介质，提高流量识别的效率。其具体方案如下：

一种网络流量识别方法，包括：

获取网络流量数据，得到流量数据包；

利用所述流量数据包中的分组概要信息生成分组字节矩阵；

利用预先训练而成的僵尸流量识别模型对所述分组字节矩阵进行识别，判断所述分组字节矩阵对应的所述流量数据包是否为僵尸流量，得到分类结果；

其中，所述僵尸流量识别模型为基于卷积神经网络算法，利用历史分组字节矩阵对原始僵尸流量识别模型进行训练而成的。

可选的，所述获取网络流量数据，得到流量数据包的过程，包括：

获取网络流量数据；

对网络流量数据进行去噪，去除无用数据，得到所述流量数据包。

可选的，所述对网络流量数据进行去噪，去除无用数据，得到所述流量数据包的过程，包括：

利用WireShark分析网络流量数据中初始流量数据包的特征值；

根据每个初始流量数据包的特征值，筛选不满足预设的筛选条件的初始流量数据包，得到所述流量数据包。

可选的，所述利用所述流量数据包中的分组概要信息生成分组字节矩阵的过程，包括：

从所述流量数据包的头部信息和尾部信息中获取所述分组概要信息；

根据所述分组概要信息得到所述流量数据包中的初始分组数据；

根据每个初始分组数据的长度和预设的截断长度，对每个初始分组数据进行截断或补零，得到与所述截断长度相同的分组数据；

利用所有分组数据，生成初始化分组字节矩阵；

对所述初始化分组字节矩阵中的每个分组数据进行归一化处理，得到所述分组字节矩阵。

本发明还公开了一种网络流量识别系统，包括：