[发明专利]网络流量安全检测方法及装置

说明书

本发明提供了一种网络流量安全检测方法及装置，方法包括：获取网络流量数据的第一训练样本集；针对每一个样本对应的网络流量数据，均执行：将该网络流量数据分割为若干个会话流数据，每一个会话流数据为一个完整的会话；按照预设特征提取策略从每一个会话流数据中提取出数据特征，使得提取出的数据特征所占字节数为预设字节数；将提取出的每一个数据特征分别转换为图片，并为图片标注对应的正负状态；将得到的每一个图片作为第二训练样本集，并利用第二训练样本集训练神经网络，得到网络流量安全检测模型；利用网络流量安全检测模型对待检测网络流量数据进行安全检测。本方案，能够提高网络流量安全检测的准确性。

技术领域

本发明实施例涉及安全技术领域，特别涉及一种网络流量安全检测方法及装置。

背景技术

随着网络技术的飞速发展，越来越多的信息存储在网络流量数据中，信息安全也逐渐成为当前面临的重要问题。面对网络流量数据的攻击，需要对网络流量进行安全检测。

传统网络流量安全检测的方式，是基于维护的规则集对网络流量中的入侵访问进行拦截。然后，这些硬规则在灵活的网络攻击面前，很容易被绕过。因此，亟需提供一种新的网络流量检测方法，以提高网络流量安全检测的准确性。

发明内容

本发明实施例提供了一种网络流量安全检测方法及装置，能够提高网络流量安全检测的准确性。

第一方面，本发明实施例提供了一种网络流量安全检测方法，包括：

获取网络流量数据的第一训练样本集；所述第一训练样本集中包括若干个正样本和若干个负样本；

针对每一个样本对应的网络流量数据，均执行：

将该网络流量数据分割为若干个会话流数据，其中，每一个会话流数据为一个完整的会话；

按照预设特征提取策略从每一个会话流数据中提取出数据特征，使得提取出的数据特征所占字节数为所述预设字节数；

将提取出的每一个数据特征分别转换为图片，并为图片标注对应的正负状态；

将得到的每一个图片作为第二训练样本集，并利用所述第二训练样本集训练神经网络，得到网络流量安全检测模型；

利用所述网络流量安全检测模型对待检测网络流量数据进行安全检测。

在一种可能的实现方式中，所述将该网络流量数据分割为若干个会话流数据，包括：

将该网络流量数据切分为流数据，并将切分后的流数据按照五元组信息进行分组，并将每一个分组中的流数据按照时间进行排序；

对每一个分组中排序后的流数据进行遍历，每遍历到当前流数据，则判断该当前流数据是否为另一个会话的开始，若是，则将当前流数据与上一条流数据分割为不同的会话流数据。

在一种可能的实现方式中，所述判断该当前流数据是否为另一个会话的开始，包括：

判断该当前流数据与上一条流数据的主机对是否相同，若不相同，则表明该当前流数据是另一个会话的开始。

在一种可能的实现方式中，还包括：

若判断该当前流数据与上一条流数据的主机对相同，则进一步判断该当前流数据与该上一条流数据之间是否包括SYN标志位，若包括SYN标志位，则表明该当前流数据是另一个会话的开始。

在一种可能的实现方式中，所述预设特征提取策略包括：从会话流数据中的应用层提取出数据特征，和/或，从会话流数据中的所有层提取出数据特征。

在一种可能的实现方式中，所述从每一个会话流数据中提取出数据特征，包括：