[发明专利]一种高级持续性威胁加密流量检测方法、装置和电子设备

权利要求书

1.一种高级持续性威胁APT加密流量检测方法，其特征在于，包括：

获取APT加密流量数据和正常流量数据；

对所述APT加密流量数据进行处理，得到第一会话属性信息，并对所述正常流量数据进行处理，得到第二会话属性信息；

将所述第一会话属性信息进行图像转换，得到第一会话属性图像，并对所述第二会话属性信息进行图像转换，得到第二会话属性图像；

利用所述第一会话属性图像和所述第二会话属性图像对卷积神经网络模型进行训练，训练得到对所述APT加密流量进行识别的APT识别模型；

当获取到网络流量时，利用所述APT识别模型对获取到的所述网络流量是否为APT加密流量进行检测。

2.根据权利要求1所述的方法，其特征在于，所述APT加密流量数据，包括：多个会话；

所述对所述APT加密流量数据进行处理，得到第一会话属性信息，包括：

对所述APT加密流量数据进行协议解析，确定所述APT加密流量数据的四元组；

按照所述四元组中记录的源IP地址和目的IP地址，对所述APT加密流量数据中的所述多个会话进行分组，得到APT双实体的多会话分组；其中，所述APT双实体的多会话分组中的各会话均具有相同的源IP地址和目的IP地址；

从所述APT双实体的多会话分组中获取到作为第一会话属性信息的所述APT双实体的多会话分组中的各会话的发生时间、上行数据量和下行数据量。

3.根据权利要求2所述的方法，其特征在于，所述将所述第一会话属性信息进行图像转换，得到第一会话属性图像，包括：

利用各会话的发生时间，确定各会话之间的时间间隔；

将表示各所述会话中的上行数据量的柱形图案和下行数据的柱形图案拼接到一起，得到各所述会话的柱状图；

按照各会话之间的时间间隔，将各所述会话的柱状图分别设置到以会话发生时间作为坐标横轴，会话数据量作为坐标纵轴的直角坐标系中，得到第一会话属性图像；其中，在所述第一会话属性图像中，各所述会话中的上行数据量的柱形图案位于所述坐标横轴上方，各所述会话中的下行数据量的柱形图案位于所述坐标横轴上方。

4.一种高级持续性威胁APT加密流量检测装置，其特征在于，包括：

获取模块，用于获取APT加密流量数据和正常流量数据；

处理模块，用于对所述APT加密流量数据进行处理，得到第一会话属性信息，并对所述正常流量数据进行处理，得到第二会话属性信息；

转换模块，用于将所述第一会话属性信息进行图像转换，得到第一会话属性图像，并对所述第二会话属性信息进行图像转换，得到第二会话属性图像；

训练模块，用于利用所述第一会话属性图像和所述第二会话属性图像对卷积神经网络模型进行训练，训练得到对所述APT加密流量进行识别的APT识别模型；

检测模块，用于当获取到网络流量时，利用所述APT识别模型对获取到的所述网络流量是否为APT加密流量进行检测。

5.根据权利要求4所述的装置，其特征在于，所述APT加密流量数据，包括：多个会话；

所述处理模块，具体用于：

对所述APT加密流量数据进行协议解析，确定所述APT加密流量数据的四元组；

按照所述四元组中记录的源IP地址和目的IP地址，对所述APT加密流量数据中的所述多个会话进行分组，得到APT双实体的多会话分组；其中，所述APT双实体的多会话分组中的各会话均具有相同的源IP地址和目的IP地址；

从所述APT双实体的多会话分组中获取到作为第一会话属性信息的所述APT双实体的多会话分组中的各会话的发生时间、上行数据量和下行数据量。