[发明专利]一种高级持续性威胁加密流量检测方法、装置和电子设备

说明书

本发明提供了一种APT加密流量检测方法、装置和电子设备，可以利用APT加密流量的双实体多会话特征训练得到的APT识别模型对获取到的所述网络流量是否为APT加密流量进行检测，可以尽可能全面和准确的对APT恶意流量进行检测。

技术领域

本发明涉及计算机技术领域，具体而言，涉及一种高级持续性威胁加密流量检测方法、装置和电子设备。

背景技术

目前，高级持续性威胁(Advanced Persistent Threat，APT)是指隐匿而持久的计算机网络入侵过程，高级长期威胁包含三个要素：高级、长期和威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞；长期是指持续监控特定目标，并从其获取数据；威胁则指人为参与策划的网络攻击。

使用单个会话对APT恶意流量进行检测的方式，具有不能全面检测APT恶意流量的缺陷。

发明内容

为解决上述问题，本发明实施例的目的在于提供一种APT加密流量检测方法、装置和电子设备。

第一方面，本发明实施例提供了一种APT加密流量检测方法，包括：

获取APT加密流量数据和正常流量数据；

对所述APT加密流量数据进行处理，得到第一会话属性信息，并对所述正常流量数据进行处理，得到第二会话属性信息；

将所述第一会话属性信息进行图像转换，得到第一会话属性图像，并对所述第二会话属性信息进行图像转换，得到第二会话属性图像；

利用所述第一会话属性图像和所述第二会话属性图像对卷积神经网络模型进行训练，训练得到对所述APT加密流量进行识别的APT识别模型；

当获取到网络流量时，利用所述APT识别模型对获取到的所述网络流量是否为APT加密流量进行检测。

第二方面，本发明实施例还提供了一种APT加密流量检测装置，包括：

获取模块，用于获取APT加密流量数据和正常流量数据；

处理模块，用于对所述APT加密流量数据进行处理，得到第一会话属性信息，并对所述正常流量数据进行处理，得到第二会话属性信息；

转换模块，用于将所述第一会话属性信息进行图像转换，得到第一会话属性图像，并对所述第二会话属性信息进行图像转换，得到第二会话属性图像；

训练模块，用于利用所述第一会话属性图像和所述第二会话属性图像对卷积神经网络模型进行训练，训练得到对所述APT加密流量进行识别的APT识别模型；

检测模块，用于当获取到网络流量时，利用所述APT识别模型对获取到的所述网络流量是否为APT加密流量进行检测。

第三方面，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述第一方面所述的方法的步骤。

第四方面，本发明实施例还提供了一种电子设备，所述电子设备包括有存储器，处理器以及一个或者一个以上的程序，其中所述一个或者一个以上程序存储于所述存储器中，且经配置以由所述处理器执行上述第一方面所述的方法的步骤。