本公開實施例提供一種基于數據流序列的異常主機檢測方法、裝置、設備及介質，方法包括：針對每臺所述主機采集多個時間片的各類數據流量，進行流重組，建立數據流序列；提取各所述數據流序列的自有特征以及各所述數據流序列之間的關聯特征；形成每臺所述主機的特征向量集；將每臺所述主機的所述特征向量集作為正樣本，將其他N?1臺所述主機的特征向量集作為負樣本集合，進行訓練，形成每臺所述主機的檢測模型；通過所述檢測模型進行檢測，對于差異性較大的特征向量集，報警為異常特征向量集；對于未報警的特征向量，進行再次訓練與修正，形成最終檢測模型，采用所述最終檢測模型對異常主機進行檢測。

技術領域

本公開涉及流量數據檢測技術領域，具體為一種基于數據流序列的異常主機檢測方法、裝置、電子設備及存儲介質。

背景技術

網絡通信是當前幾乎所有企業和個人都會涉及的信息應用。隨著企業以及個人用戶對于信息安全的重視程度越來越高，當前網絡通信中加密技術的使用場景越來越多。即通過加密方法讓通信內容無法被網絡上除通信雙方之外的其他用戶識別。這就造成了正常加密流量與惡意加密流量無法區分的問題。為網絡安全檢測帶來了很大的挑戰。

現有方案除了有效解密加密流量之外，當前對于加密惡意流量的檢測主要采用機器學習等人工智能的方法。目前所采用的方法主要是檢測一條數據流是否為惡意流量，主要的方法可以分為兩類：

(1)有監督的學習方法：利用已知的惡意流量進行檢測模型訓練，然后將該模型用于檢測；

(2)無監督的學習方法：定義一組聚類規則，對流量進行聚類分析，然后篩選出其中的惡意流量簇

現有方案存在的問題

(1)有監督模型訓練依賴大量的黑樣本，樣本數量不足很可能導致訓練得到的檢測模型不準確；

(2)無監督聚類分析無法確切區分哪些流量為惡意流量，僅能通過不同簇之間的數量比例等進行推測，準確率較低；

(3)對于單個數據流作為分析對象，對于一些惡意行為則丟失了數據流之間的關聯關系，從而降低了檢測的準確率；

(4)容易被攻擊者根據特征集合繞過，即一旦攻擊者發現檢測所用的特征集，則可以通過一定技術手段規避這些特征。

發明內容

本公開的目的在于提供一種基于數據流序列的異常主機檢測方法、裝置、電子設備及存儲介質，能夠快速地檢測流量信息中的惡意加密流量。

第一方面，本公開提供一種基于數據流序列的異常主機檢測方法，包括如下步驟：

步驟S101：選取N臺抽樣主機，針對每臺所述主機采集多個時間片的各類數據流量，進行流重組，建立數據流序列，其中N為大于3的自然數；

步驟S102：提取各所述數據流序列的自有特征以及各所述數據流序列之間的關聯特征；將所述自有特征和關聯特征向量化處理，形成每臺所述主機的特征向量集；

步驟S103:將每臺所述主機的所述特征向量集作為正樣本，將其他N-1臺所述主機的特征向量集作為負樣本集合，進行訓練，形成每臺所述主機的檢測模型；

步驟S104:通過所述檢測模型進行檢測，對于差異性較大的特征向量集，報警為異常特征向量集；

步驟S105：對于未報警的特征向量，加入到對應主機的特征向量集中，在一定時間內對所述檢測模型利用新的特征向量集進行再次訓練與修正，形成最終檢測模型，采用所述最終檢測模型對異常主機進行檢測。

可選的，所述自有特征包括：

流目的端口、流目的IP、流目的域名、DNS查詢域名、流長度或數字證書。

可選的，所述關聯特征包括：