1.一種黑產(chǎn)場(chǎng)景下惡意云機(jī)器人的識(shí)別方法，包括以下步驟：

(1)在服務(wù)器端實(shí)時(shí)收集客戶(hù)端發(fā)來(lái)的待測(cè)流量；

(2)將待測(cè)流量按照客戶(hù)端IP-時(shí)間段進(jìn)行匯聚，每個(gè)客戶(hù)端在一定時(shí)間段內(nèi)的流集合作為一個(gè)樣本，并進(jìn)一步提取樣本中與惡意云機(jī)器人識(shí)別模型相對(duì)應(yīng)的特征向量，其中，所述流集合指具有相同五元組的包序列：{源IP，目的IP，源端口，目的端口，TCP}，所述特征向量依據(jù)多層流量統(tǒng)計(jì)特征得到，所述多層流量統(tǒng)計(jì)特征包括基本特征、操作系統(tǒng)指紋特征、TTL相關(guān)特征、端口相關(guān)特征和應(yīng)用層統(tǒng)計(jì)特征，所述基本特征包括對(duì)端節(jié)點(diǎn)的數(shù)量、數(shù)據(jù)包總數(shù)、總字節(jié)數(shù)、流的數(shù)量、每個(gè)流的包數(shù)的統(tǒng)計(jì)值、每個(gè)流的總字節(jié)數(shù)的統(tǒng)計(jì)值及每個(gè)流的持續(xù)時(shí)間的統(tǒng)計(jì)值，所述操作系統(tǒng)指紋特征包括TCP最大分段大小、TCP窗口大小，TCP窗口比例及No-option選項(xiàng)的頻數(shù)統(tǒng)計(jì)，所述TTL相關(guān)特征包括TTL值統(tǒng)計(jì)和跳數(shù)統(tǒng)計(jì)，所述端口相關(guān)特征包括至少一個(gè)客戶(hù)端端口集合，所述應(yīng)用層統(tǒng)計(jì)特征包括每一樣本的HTTP請(qǐng)求中方法類(lèi)型統(tǒng)計(jì)、HTTP頭部不同host的數(shù)量及不同host在HTTP請(qǐng)求中相應(yīng)的數(shù)據(jù)包與字節(jié)數(shù)、HTTP頭部不同URL字段值的數(shù)量及不同URL字段值在HTTP請(qǐng)求中相應(yīng)的數(shù)據(jù)包與字節(jié)數(shù)、SSL/TLS頭部不同sni字段值的數(shù)量和SSL/TLS頭部不同sni字段值對(duì)應(yīng)的數(shù)據(jù)包與字節(jié)數(shù)；

(3)將上述待測(cè)流量的特征向量作為輸入，通過(guò)惡意云機(jī)器人識(shí)別模型進(jìn)行識(shí)別；

其中，所述惡意云機(jī)器人識(shí)別模型通過(guò)下述方法構(gòu)建：

在服務(wù)器端實(shí)時(shí)收集客戶(hù)端發(fā)來(lái)的流量，存儲(chǔ)并提取樣本，使用惡意云機(jī)器人數(shù)據(jù)庫(kù)對(duì)樣本數(shù)據(jù)進(jìn)行標(biāo)注，若初始樣本的客戶(hù)端IP包含在該數(shù)據(jù)庫(kù)中，則將該初始樣本標(biāo)注為惡意云機(jī)器人樣本；反之，則標(biāo)注為人類(lèi)用戶(hù)樣本；

對(duì)樣本流量數(shù)據(jù)進(jìn)行多層流量統(tǒng)計(jì)特征的提取，得到特征向量；

基于機(jī)器學(xué)習(xí)方法，利用特征向量訓(xùn)練多種分類(lèi)器，選取具有最優(yōu)效果的分類(lèi)器，得到惡意云機(jī)器人識(shí)別模型。