本申請涉及一種基于序列熵流量識別的方法、裝置和存儲介質，其中，該方法包括：獲取測試流量數據，確定所述測試流量數據的第一特征集合；對所述第一特征集合中相鄰的向量組進行異或操作，篩選出第二特征集合；獲取實際流量數據，通過對所述實際流量中的所述第二特征集合重復提取所述向量組和對相鄰的所述向量組進行異或操作，生成時序差分矩陣；獲取所述時序差分矩陣的突變信息熵，在所述突變信息熵小于預設閾值的情況下，判定所述實際流量為自動化流量激增狀態，通過本申請，解決了識別自動化流量攻擊準確度低和成本高的問題，實現了快速和準確的識別自動化流量攻擊。

技術領域

本申請涉及網絡安全領域，特別是涉及一種基于序列熵流量識別的方法、裝置和存儲介質。

背景技術

互聯網的進步，優化了人們的生活方式，促進了社會的發展，但是互聯網中也存在著損害他人利益的行為，惡意機器請求通過使用模擬器、偽造瀏覽器環境、隨機變化IP地址等手段，模擬正常人類行為發起攻擊，這類被稱作高級持久機器人(Advanced PersistentBots，簡稱為APBs)發出的惡意請求正持續困擾著大量網站，例如，有很大一部分票務網站受到的攻擊，屬于高級持久機器人發起的攻擊，而這種高級持久機器人發起的攻擊具有不易檢測和防護自動化攻擊的特點；企業使用的每一個在線業務和應用都可能成為高級機器人攻擊的目標；然而，在攻擊方式不斷花樣翻新，安全環境愈發動態、復雜和不確定的條件下，傳統的防范手段顯得不堪一擊，企業迫切需要主動、有效的識別檢測方法，可以在自動化攻擊對企業產生負面影響之前實現快速檢測、響應和阻擋，充分保護企業網絡、業務、應用和數據的安全。

在相關技術中，常見的自動化流量識別主要分為兩種，一種是基于流量識別終端指紋的檢測方式；另一種是利用機器學習的方式，通過樣本數據訓練，生成分類算法；其中，基于流量識別終端指紋的方法，主要是通過識別流量中的某些特征，例如流量中請求頭、客戶端Agent等數據與機器人終端特征庫進行匹配，從而達到識別自動化流量的目的，但是該方法嚴重依賴機器人終端特征庫的規模，對于無法匹配的終端特征則不能進行識別判斷；另外利用機器學習的方式，雖然不依賴機器人終端特征庫，但是對于訓練樣本的質量要求較高，并且由于不同企業的網絡環境往往差異較大，訓練樣本的分類算法的表現往往無法達到識別判斷的預期。

目前針對相關技術中，識別自動化流量攻擊準確度低和成本高的問題，尚未提出有效的解決方案。

發明內容

本申請實施例提供了一種基于序列熵流量識別的方法、裝置和存儲介質，以至少解決相關技術中對自動化流量攻擊識別準確度低和成本高的問題。

第一方面，本申請實施例提供了一種基于序列熵流量識別的方法，所述方法包括：獲取測試流量數據，確定所述測試流量數據的第一特征集合；

對所述第一特征集合中相鄰的向量組進行異或操作，篩選出第二特征集合；

獲取實際流量數據，通過對所述實際流量中的所述第二特征集合重復提取所述向量組和對相鄰的所述向量組進行異或操作，生成時序差分矩陣；

獲取所述時序差分矩陣的突變信息熵，在所述突變信息熵小于預設閾值的情況下，判定所述實際流量為自動化流量激增狀態。

在一個實施例中，所述獲取測試流量數據，確定所述測試流量數據的第一特征集合包括：

在預設時間段內，獲取并解析測試流量數據的特征，解析的所述特征包括以下至少之一：流入字節數、流出字節數、來源端口、目標端口、訪問URL、請求方法、請求體和響應碼，根據所述測試流量數據中出現的所述特征，確定所述第一特征集合。

在一個實施例中，所述對所述第一特征集合中相鄰的向量組進行異或操作，篩選出第二特征集合包括：對所述第一特征集合中相鄰的所述測試流量的每一維度進行異或操作，生成多維相鄰訪問流量的所述向量組，計算所述向量組每一維度為1的概率，選擇所述第一特征信息中概率高于預設值的所述測試流量數據的特征，將所述特征保存為所述第二特征集合。