本發(fā)明實(shí)施例提供一種識(shí)別異常加密流量的方法及裝置，所述方法包括：獲取加密流量文件；對(duì)所述加密流量文件進(jìn)行預(yù)處理，以確定加密流量對(duì)應(yīng)的流量協(xié)議；根據(jù)所述流量協(xié)議的類(lèi)型，選擇相對(duì)應(yīng)的行為識(shí)別規(guī)則對(duì)所述加密流量進(jìn)行行為識(shí)別；根據(jù)行為識(shí)別的識(shí)別結(jié)果、預(yù)先獲得的所述加密流量的機(jī)器學(xué)習(xí)識(shí)別結(jié)果和預(yù)設(shè)規(guī)則，識(shí)別異常加密流量。所述裝置執(zhí)行上述方法。本發(fā)明實(shí)施例提供的識(shí)別異常加密流量的方法及裝置，能夠準(zhǔn)確地對(duì)異常加密流量進(jìn)行識(shí)別。

技術(shù)領(lǐng)域

本發(fā)明實(shí)施例涉及數(shù)據(jù)流量識(shí)別技術(shù)領(lǐng)域，具體涉及一種識(shí)別異常加密流量的方法及裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)及相關(guān)應(yīng)用出現(xiàn)在了我們?nèi)粘Ｉ钪械拿恳粋€(gè)角落，相應(yīng)的，互聯(lián)網(wǎng)上的加密流量的種類(lèi)越來(lái)越多，規(guī)模也越來(lái)越大。互聯(lián)網(wǎng)使得人們的日常生活質(zhì)量得以不斷的改善和提高，但與此同時(shí)互聯(lián)網(wǎng)也帶來(lái)了越來(lái)越多的問(wèn)題，例如，病毒木馬大規(guī)模擴(kuò)散并造成危害、大量P2P應(yīng)用和流量造成的網(wǎng)絡(luò)大規(guī)模堵塞與延遲、敵對(duì)勢(shì)力利用互聯(lián)網(wǎng)對(duì)我國(guó)重要機(jī)關(guān)單位與科研院所進(jìn)行竊密與網(wǎng)絡(luò)攻擊，這些問(wèn)題都急需處理。解決上述問(wèn)題的一個(gè)關(guān)鍵是如何在復(fù)雜的真實(shí)網(wǎng)絡(luò)環(huán)境中，準(zhǔn)確、有效地識(shí)別各類(lèi)型的加密流量，并檢測(cè)出其中的異常流量。

現(xiàn)有技術(shù)采用基于端口的流量識(shí)別技術(shù)對(duì)異常流量進(jìn)行識(shí)別，該技術(shù)方法簡(jiǎn)單且計(jì)算開(kāi)銷(xiāo)小，并且針對(duì)傳統(tǒng)的應(yīng)用具有較高的準(zhǔn)確率。但是隨著端口偽裝技術(shù)以及端口跳變技術(shù)、動(dòng)態(tài)端口技術(shù)和隧道技術(shù)的提出與使用，該技術(shù)方法也正逐漸失去其優(yōu)勢(shì)，識(shí)別準(zhǔn)確率也在逐漸降低。

因此，如何準(zhǔn)確地對(duì)異常加密流量進(jìn)行識(shí)別，成為亟須解決的問(wèn)題。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)存在的問(wèn)題，本發(fā)明實(shí)施例提供一種識(shí)別異常加密流量的方法及裝置。

第一方面，本發(fā)明實(shí)施例提供一種識(shí)別異常加密流量的方法，所述方法包括：

獲取加密流量文件；

對(duì)所述加密流量文件進(jìn)行預(yù)處理，以確定加密流量對(duì)應(yīng)的流量協(xié)議；

根據(jù)所述流量協(xié)議的類(lèi)型，選擇相對(duì)應(yīng)的行為識(shí)別規(guī)則對(duì)所述加密流量進(jìn)行行為識(shí)別；

根據(jù)行為識(shí)別的識(shí)別結(jié)果、預(yù)先獲得的所述加密流量的機(jī)器學(xué)習(xí)識(shí)別結(jié)果和預(yù)設(shè)規(guī)則，識(shí)別異常加密流量。

第二方面，本發(fā)明實(shí)施例提供一種識(shí)別異常加密流量的裝置，所述裝置包括：

獲取單元，用于獲取加密流量文件；

確定單元，用于對(duì)所述加密流量文件進(jìn)行預(yù)處理，以確定加密流量對(duì)應(yīng)的流量協(xié)議；

選擇單元，用于根據(jù)所述流量協(xié)議的類(lèi)型，選擇相對(duì)應(yīng)的行為識(shí)別規(guī)則對(duì)所述加密流量進(jìn)行行為識(shí)別；

識(shí)別單元，用于根據(jù)行為識(shí)別的識(shí)別結(jié)果、預(yù)先獲得的所述加密流量的機(jī)器學(xué)習(xí)識(shí)別結(jié)果和預(yù)設(shè)規(guī)則，識(shí)別異常加密流量。

第三方面，本發(fā)明實(shí)施例提供另一種識(shí)別異常加密流量的裝置，包括：處理器、存儲(chǔ)器和總線，其中，

獲取加密流量文件；

對(duì)所述加密流量文件進(jìn)行預(yù)處理，以確定加密流量對(duì)應(yīng)的流量協(xié)議；

根據(jù)所述流量協(xié)議的類(lèi)型，選擇相對(duì)應(yīng)的行為識(shí)別規(guī)則對(duì)所述加密流量進(jìn)行行為識(shí)別；

根據(jù)行為識(shí)別的識(shí)別結(jié)果、預(yù)先獲得的所述加密流量的機(jī)器學(xué)習(xí)識(shí)別結(jié)果和預(yù)設(shè)規(guī)則，識(shí)別異常加密流量。

第四方面，本發(fā)明實(shí)施例提供一種非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，包括：

所述非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)計(jì)算機(jī)指令，所述計(jì)算機(jī)指令使所述計(jì)算機(jī)執(zhí)行如下方法：

獲取加密流量文件；