本技術(shù)涉及流量檢測，尤其涉及一種惡意流量檢測方法、裝置、計(jì)算機(jī)設(shè)備及可讀存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、惡意流量指的是網(wǎng)絡(luò)中由惡意行為或攻擊活動(dòng)生成的數(shù)據(jù)流，惡意流量通常用于攻擊計(jì)算機(jī)系統(tǒng)、竊取數(shù)據(jù)、破壞服務(wù)、散步惡意軟件或進(jìn)行未經(jīng)授權(quán)的訪問等。因此，為了預(yù)防和應(yīng)對(duì)網(wǎng)絡(luò)威脅，可以對(duì)網(wǎng)絡(luò)流量是否為惡意流量進(jìn)行檢測，以保護(hù)系統(tǒng)、數(shù)據(jù)和服務(wù)的安全與可用性。

2、相關(guān)技術(shù)中，對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測時(shí)，一般使用通用化的特征池化和特征拼接方法，將所有特征進(jìn)行組合和處理，導(dǎo)致模型無法從數(shù)據(jù)中提取有用的信息來進(jìn)行分類，降低了對(duì)惡意流量檢測的準(zhǔn)確性。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)實(shí)施例的主要目的在于提出一種惡意流量檢測方法、裝置、計(jì)算機(jī)設(shè)備及可讀存儲(chǔ)介質(zhì)，能夠提高對(duì)惡意流量檢測的準(zhǔn)確性。

2、為實(shí)現(xiàn)上述目的，本技術(shù)實(shí)施例的第一方面提出了一種惡意流量檢測方法，所述方法包括：

3、獲取待檢測流量，并基于所述待檢測流量中的多個(gè)網(wǎng)際協(xié)議地址以及所述多個(gè)網(wǎng)際協(xié)議地址之間的數(shù)據(jù)流交互關(guān)系，建立所述待檢測流量對(duì)應(yīng)的流間交互圖；

4、對(duì)任意兩個(gè)網(wǎng)際協(xié)議地址之間的每條第一數(shù)據(jù)流進(jìn)行重構(gòu)處理，得到第二數(shù)據(jù)流；

5、針對(duì)任意兩個(gè)網(wǎng)際協(xié)議地址之間的至少一條第二數(shù)據(jù)流，對(duì)所述第二數(shù)據(jù)流包含的多個(gè)數(shù)據(jù)包進(jìn)行特征聚合，得到所述第二數(shù)據(jù)流在所述流間交互圖中對(duì)應(yīng)的邊特征；

6、針對(duì)每個(gè)網(wǎng)際協(xié)議地址，根據(jù)至少一個(gè)第一數(shù)據(jù)流和對(duì)應(yīng)的第二數(shù)據(jù)流，生成所述網(wǎng)際協(xié)議地址在所述流間交互圖的節(jié)點(diǎn)特征；

7、通過第一目標(biāo)模型對(duì)所述流間交互圖中的每個(gè)邊特征進(jìn)行識(shí)別，得到第一惡意流量檢測結(jié)果，以及通過所述第一目標(biāo)模型對(duì)所述流間交互圖中的每個(gè)節(jié)點(diǎn)特征進(jìn)行識(shí)別，得到第二惡意流量檢測結(jié)果。

8、相應(yīng)的，本技術(shù)實(shí)施例的第二方面提出了一種惡意流量檢測裝置，所述裝置包括：

9、獲取模塊，用于獲取待檢測流量，并基于所述待檢測流量中的多個(gè)網(wǎng)際協(xié)議地址以及所述多個(gè)網(wǎng)際協(xié)議地址之間的數(shù)據(jù)流交互關(guān)系，建立所述待檢測流量對(duì)應(yīng)的流間交互圖；

10、重構(gòu)模塊，用于對(duì)任意兩個(gè)網(wǎng)際協(xié)議地址之間的每條第一數(shù)據(jù)流進(jìn)行重構(gòu)處理，得到第二數(shù)據(jù)流；

11、聚合模塊，用于針對(duì)任意兩個(gè)網(wǎng)際協(xié)議地址之間的至少一條第二數(shù)據(jù)流，對(duì)所述第二數(shù)據(jù)流包含的多個(gè)數(shù)據(jù)包進(jìn)行特征聚合，得到所述第二數(shù)據(jù)流在所述流間交互圖中對(duì)應(yīng)的邊特征；

12、生成模塊，用于針對(duì)每個(gè)網(wǎng)際協(xié)議地址，根據(jù)至少一個(gè)第一數(shù)據(jù)流和對(duì)應(yīng)的第二數(shù)據(jù)流，生成所述網(wǎng)際協(xié)議地址在所述流間交互圖的節(jié)點(diǎn)特征；

13、識(shí)別模塊，用于通過第一目標(biāo)模型對(duì)所述流間交互圖中的每個(gè)邊特征進(jìn)行識(shí)別，得到第一惡意流量檢測結(jié)果，以及通過所述第一目標(biāo)模型對(duì)所述流間交互圖中的每個(gè)節(jié)點(diǎn)特征進(jìn)行識(shí)別，得到第二惡意流量檢測結(jié)果。

14、在一些實(shí)施方式中，所述重構(gòu)模塊，還用于：

15、針對(duì)任意兩個(gè)網(wǎng)際協(xié)議地址之間的每條第一數(shù)據(jù)流，確定所述第一數(shù)據(jù)流包含的多個(gè)數(shù)據(jù)包的多個(gè)長度信息；

16、根據(jù)所述多個(gè)長度信息對(duì)所述多個(gè)數(shù)據(jù)包按照預(yù)設(shè)排序順序進(jìn)行排序，得到排序后的第一中間數(shù)據(jù)流；

17、對(duì)所述第一中間數(shù)據(jù)流的多個(gè)數(shù)據(jù)包進(jìn)行重復(fù)數(shù)據(jù)包去重處理，得到第二數(shù)據(jù)流。

18、在一些實(shí)施方式中，所述惡意流量檢測裝置還包括平均模塊，用于：

19、針對(duì)每條所述第二數(shù)據(jù)流，根據(jù)所述多個(gè)長度信息對(duì)所述多個(gè)數(shù)據(jù)包進(jìn)行長度平均，得到所述第二數(shù)據(jù)流對(duì)應(yīng)的平均數(shù)據(jù)包長度；

20、獲取預(yù)設(shè)的最大傳輸單元，并確定所述平均數(shù)據(jù)包長度和所述最大傳輸單元之間的偏離閾值；

21、當(dāng)所述第二數(shù)據(jù)流中存在所述偏離閾值小于預(yù)設(shè)的目標(biāo)閾值的目標(biāo)數(shù)據(jù)流時(shí)，將對(duì)應(yīng)的所述目標(biāo)數(shù)據(jù)流輸入至第二目標(biāo)模型中，得到所述目標(biāo)數(shù)據(jù)流的惡意流量檢測結(jié)果。

22、在一些實(shí)施方式中，所述聚合模塊，還用于：

23、針對(duì)任意兩個(gè)網(wǎng)際協(xié)議地址之間的至少一條第二數(shù)據(jù)流，根據(jù)所述第二數(shù)據(jù)流包含的多個(gè)數(shù)據(jù)包的方向構(gòu)建所述第二數(shù)據(jù)流對(duì)應(yīng)的流內(nèi)交互圖；

24、獲取所述第二數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包的流量統(tǒng)計(jì)特征，并根據(jù)所述流內(nèi)交互圖進(jìn)行所述多個(gè)數(shù)據(jù)包對(duì)應(yīng)的多個(gè)流量統(tǒng)計(jì)特征的特征聚合，得到所述第二數(shù)據(jù)流在所述流間交互圖中對(duì)應(yīng)的邊特征。

25、在一些實(shí)施方式中，所述聚合模塊，還用于：

26、針對(duì)任意兩個(gè)網(wǎng)際協(xié)議地址之間的至少一條第二數(shù)據(jù)流，依次確定多個(gè)數(shù)據(jù)包在所述第二數(shù)據(jù)流中的方向；

27、在所述第二數(shù)據(jù)流中將具有相同方向且連續(xù)的數(shù)據(jù)包確定為數(shù)據(jù)簇，并確定每個(gè)所述數(shù)據(jù)簇的起始數(shù)據(jù)包和終止數(shù)據(jù)包；

28、依次確定每個(gè)所述數(shù)據(jù)簇在流內(nèi)交互圖中對(duì)應(yīng)的數(shù)據(jù)層，并在每個(gè)所述數(shù)據(jù)層中，對(duì)每個(gè)數(shù)據(jù)簇包含的數(shù)據(jù)包按照順序進(jìn)行連接；

29、在任意兩個(gè)所述數(shù)據(jù)層中，將所述數(shù)據(jù)層之間的所述數(shù)據(jù)簇的起始數(shù)據(jù)包對(duì)應(yīng)連接，以及將所述數(shù)據(jù)層之間的所述數(shù)據(jù)簇的終止數(shù)據(jù)包對(duì)應(yīng)連接，得到所述第二數(shù)據(jù)流對(duì)應(yīng)的流內(nèi)交互圖。

30、在一些實(shí)施方式中，所述生成模塊，還用于：

31、針對(duì)每個(gè)網(wǎng)際協(xié)議地址，將每個(gè)所述網(wǎng)際協(xié)議地址接收的第一數(shù)據(jù)流和對(duì)應(yīng)的第二數(shù)據(jù)流進(jìn)行拼接，得到目標(biāo)數(shù)據(jù)流；

32、獲取所述網(wǎng)際協(xié)議地址接收的多個(gè)目標(biāo)數(shù)據(jù)流，并將所述多個(gè)目標(biāo)數(shù)據(jù)流按照時(shí)間先后順序進(jìn)行拼接，得到數(shù)據(jù)流序列；

33、將所述數(shù)據(jù)流序列轉(zhuǎn)化為輸入至預(yù)設(shè)的序列嵌入模型中，得到所述網(wǎng)際協(xié)議地址在所述流間交互圖的節(jié)點(diǎn)特征。

34、在一些實(shí)施方式中，所述惡意流量檢測裝置還包括融合模塊，用于：

35、當(dāng)任意兩個(gè)網(wǎng)際協(xié)議地址之間具有多個(gè)邊特征時(shí)，確定每個(gè)邊特征的調(diào)整權(quán)重；

36、基于所述多個(gè)邊特征的多個(gè)調(diào)整權(quán)重，對(duì)當(dāng)兩個(gè)網(wǎng)際協(xié)議地址之間的所述多個(gè)邊特征進(jìn)行權(quán)重融合，得到聚合邊特征；

37、則所述通過第一目標(biāo)模型對(duì)所述流間交互圖中的每個(gè)邊特征進(jìn)行識(shí)別，得到第一惡意流量檢測結(jié)果，包括：

38、通過第一目標(biāo)模型對(duì)所述流間交互圖中的每個(gè)聚合邊特征進(jìn)行識(shí)別，得到第一惡意流量檢測結(jié)果。

39、在一些實(shí)施方式中，所述惡意流量檢測裝置還包括訓(xùn)練模塊，用于：

40、獲取樣本流量，并確定所述樣本流量的樣本邊特征和樣本節(jié)點(diǎn)特征；

41、將所述樣本邊特征和所述樣本節(jié)點(diǎn)特征輸入至預(yù)設(shè)模型中，得到所述樣本邊特征的預(yù)測樣本邊標(biāo)簽，以及所述樣本節(jié)點(diǎn)特征的預(yù)測樣本節(jié)點(diǎn)標(biāo)簽；

42、獲取所述樣本邊特征的真實(shí)樣本邊標(biāo)簽，并根據(jù)所述預(yù)測樣本邊標(biāo)簽和所述真實(shí)樣本邊標(biāo)簽之間的差距，確定第一損失；

43、獲取所述樣本節(jié)點(diǎn)特征的真實(shí)樣本節(jié)點(diǎn)標(biāo)簽，根據(jù)所述預(yù)測樣本節(jié)點(diǎn)標(biāo)簽和所述真實(shí)樣本節(jié)點(diǎn)標(biāo)簽之間的差距，得到第二損失；

44、根據(jù)所述第一損失和所述第二損失對(duì)所述預(yù)設(shè)模型進(jìn)行訓(xùn)練，得到目標(biāo)模型。

45、在一些實(shí)施方式中，所述訓(xùn)練模塊，還用于：

46、獲取針對(duì)第一損失設(shè)定的第一調(diào)整權(quán)重，并根據(jù)所述第一調(diào)整權(quán)重對(duì)所述第一損失進(jìn)行調(diào)整，得到第一目標(biāo)損失；

47、獲取針對(duì)第二損失設(shè)定的第二調(diào)整權(quán)重，并根據(jù)所述第二調(diào)整權(quán)重對(duì)所述第二損失進(jìn)行調(diào)整，得到第二目標(biāo)損失；

48、將所述第一目標(biāo)損失和所述第二目標(biāo)損失進(jìn)行相加，得到目標(biāo)損失；

49、根據(jù)所述目標(biāo)損失對(duì)所述預(yù)設(shè)模型進(jìn)行訓(xùn)練，得到目標(biāo)模型。

50、相應(yīng)的，本技術(shù)實(shí)施例的第三方面提出了一種計(jì)算機(jī)設(shè)備，所述計(jì)算機(jī)設(shè)備包括存儲(chǔ)器和處理器，所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)本技術(shù)第一方面實(shí)施例任一項(xiàng)所述的惡意流量檢測方法。

51、相應(yīng)的，本技術(shù)實(shí)施例的第四方面提出了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)本技術(shù)第一方面實(shí)施例任一項(xiàng)所述的惡意流量檢測方法。

52、本技術(shù)通過獲取待檢測流量，并基于待檢測流量中的多個(gè)網(wǎng)際協(xié)議地址以及多個(gè)網(wǎng)際協(xié)議地址之間的數(shù)據(jù)流交互關(guān)系，建立待檢測流量對(duì)應(yīng)的流間交互圖；對(duì)任意兩個(gè)網(wǎng)際協(xié)議地址之間的每條第一數(shù)據(jù)流進(jìn)行重構(gòu)處理，得到第二數(shù)據(jù)流；針對(duì)任意兩個(gè)網(wǎng)際協(xié)議地址之間的至少一條第二數(shù)據(jù)流，對(duì)第二數(shù)據(jù)流包含的多個(gè)數(shù)據(jù)包進(jìn)行特征聚合，得到第二數(shù)據(jù)流在流間交互圖中對(duì)應(yīng)的邊特征；針對(duì)每個(gè)網(wǎng)際協(xié)議地址，根據(jù)至少一個(gè)第一數(shù)據(jù)流和對(duì)應(yīng)的第二數(shù)據(jù)流，生成網(wǎng)際協(xié)議地址在流間交互圖的節(jié)點(diǎn)特征；通過第一目標(biāo)模型對(duì)流間交互圖中的每個(gè)邊特征進(jìn)行識(shí)別，得到第一惡意流量檢測結(jié)果，以及通過第一目標(biāo)模型對(duì)流間交互圖中的每個(gè)節(jié)點(diǎn)特征進(jìn)行識(shí)別，得到第二惡意流量檢測結(jié)果。以此，能夠通過構(gòu)建流間交互圖，精準(zhǔn)捕捉待檢測流量中網(wǎng)際協(xié)議地址之間的交互關(guān)系，并通過重構(gòu)后的第二數(shù)據(jù)流生成細(xì)粒度級(jí)別的邊特征和節(jié)點(diǎn)特征，由此能夠充分利用待檢測流量中有限的可用特征集合，得到更好的流量嵌入表示，進(jìn)而提高了對(duì)惡意流量檢測的準(zhǔn)確性。