[发明专利]一种恶意流量识别方法及系统

说明书

本发明提供了一种恶意流量识别方法及系统，所述方法及系统通过实时获取网络流量的第一流量特征，并基于所述第一流量特征利用第一识别模型识别网络流量的流量类别，得到第一识别结果，以及在等待预设时长后获取网络流量的第二流量特征，并基于所述第二流量特征利用第二识别模型识别网络流量的流量类别，得到第二识别结果；最终基于所述第一识别结果、所述第二识别结果，得到所述网络流量的第三识别结果，可有效识别网络流量是否为恶意流量，另外，本发明方案基于流量特征及识别模型实现流量类别的识别，不需依赖于网络流量的签名数据，对于将恶意行为隐藏于加密数据中的加密恶意流量同样有着良好的识别效果。

技术领域

本发明属于计算机网络安全领域，尤其涉及一种恶意流量识别方法及系统。

背景技术

恶意流量识别是计算机网络安全领域中的一项重要任务，其目的是在网络边界上基于网络流量数据判定其是否含有恶意行为，如果发现有恶意行为，则及时采取阻断等安全措施，保证终端用户的网络安全。

传统的恶意流量识别方法主要采用基于签名(signature-based)的方式，即，将已知的各类恶意网络流量的特征码(包括已知的各类恶意网络流量的签名数据)提取出来，然后与待检测流量进行匹配识别，如果发现相同签名数据，则将该待检测流量识别为恶意流量。这种方式需依赖于网络流量的签名数据，在以明文传输为主的网络流量中发挥了较好的作用。然而，近年来随着加密通信协议的普遍应用，很多恶意流量也开始使用加密通信的方式，将恶意行为隐藏于加密数据中，由于恶意行为被隐藏于加密数据中，从而基于签名的传统识别方式难以奏效。

综上，提供一种能够对诸如加密恶意流量等恶意流量进行识别的实现方案，成为本领域中亟需解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种恶意流量识别方法及系统，以用于实现对诸如加密恶意流量等恶意流量进行识别。

为此，本发明公开如下技术方案：

一种恶意流量识别方法，包括：

实时获取待检测的网络流量的第一流量特征；

基于所述第一流量特征，利用第一识别模型识别所述网络流量的流量类别，得到第一识别结果；

在等待预设时长后获取所述网络流量的第二流量特征；

基于所述第二流量特征，利用第二识别模型识别所述网络流量的流量类别，得到第二识别结果；

基于所述第一识别结果、所述第二识别结果，确定所述网络流量的第三识别结果；其中，所述第一识别结果、所述第二识别结果及所述第三识别结果分别用于表示所述网络流量的类别是否为恶意流量。

上述方法，优选的，所述网络流量为加密网络流量，所述实时获取网络流量的第一流量特征，包括：

将加密网络流量切分为至少一个流量数据单元；

提取所述至少一个流量数据单元的流特征和/或握手阶段的特征。

上述方法，优选的，所述基于所述第一流量特征，利用第一识别模型识别网络流量的流量类别，包括：

将所述至少一个流量数据单元的流特征和/或握手阶段的特征输入所述第一识别模型，得到所述第一识别模型输出的第一识别结果。

上述方法，优选的，所述网络流量为加密网络流量，所述获取网络流量的第二流量特征，包括：

在等待预设时长后，获取加密网络流量中的行为特征和/或所述预设时长内各加密网络流量的长度方差。

上述方法，优选的，所述基于所述第二流量特征，利用第二识别模型识别网络流量的流量类别，得到第二识别结果，包括：