本申請公開了一種惡意流量識別方法、裝置、設備和存儲介質。該方法包括：構建加密流量軌跡圖；通過特征提取模型獲取所述加密流量軌跡圖中的每個節點的向量；將每個節點的向量輸入到流量檢測模型得到每個節點的節點類型；所述節點類型包括：惡意流量或者正常流量。本申請解決了對于流量類型進行識別分類的技術問題，可以比較精確的識別出惡意流量。解決了現有技術中，由于流量加密，無法獲取流量中的內容，從而無法識別惡意流量的技術問題。

技術領域

本申請涉及計算機技術領域，具體而言，涉及一種惡意流量識別方法、裝置、設備和存儲介質。

背景技術

近年來，由于網絡服務質量(Quality?of?Service，QoS)機制和網絡安全原則的實施，網絡流量分類技術已受到越來越多的關注。網絡流量分類是網絡管理的基本功能，可以識別網絡中的不同協議和應用程序，廣泛應用于包括QoS以及異常檢測等方面。然而，由于網絡的不斷擴展和通信技術的創新，網絡流量呈現出復雜化、多樣化的特點。為了保證互聯網用戶的信息安全，安全技術人員利用加密技術將網絡流量中的數據包進行加密，從而保證網絡流量不被監聽和利用。加密網絡流量在現在的網絡中變得無處不在，被當作進行安全網絡溝通的基礎。據最新統計數據，2019年10月加密網絡流量的比例已經超過90％。加密流量可以在一定程度上保證私人信息的機密性和完整性，但也同樣掩蓋了數據的特征，加大了其惡意流量的檢測難度，給網絡惡意行為提供了庇護。攻擊者不僅仍可以以高概率猜測到用戶的訪問痕跡，并且還可能利用網絡流量的加密特性隱藏攻擊行為，達到逃避檢測的目的。根據云安全公司Zscaler的新威脅研究報告，未來五年，針對繞過傳統安全控制的加密流量的攻擊將增長260％。因此，僅依靠加密技術無法從根本上保證互聯網用戶的信息安全，仍需對使用加密協議的網絡流量進行監測，從而檢測其是否進行惡意行為或遭受惡意攻擊。

發明內容

本申請的主要目的在于提供一種惡意流量識別方法、裝置、設備和存儲介質，以解決上述問題。

為了實現上述目的，根據本申請的一個方面，提供了一種惡意流量識別方法，包括：

構建加密流量軌跡圖；

通過特征提取模型獲取所述加密流量軌跡圖中的每個節點的向量；

將每個節點的向量輸入到流量檢測模型得到每個節點的節點類型；

所述節點類型包括：惡意流量或者正常流量。

在一種實施方式中，構建加密流量軌跡圖，包括：

獲取服務器和客戶端之間的網絡流；

對于任意的一條網絡流，確定所述網絡流的五元組內容與統計特征；

所述五元組內容包括：源/目的IP地址；

根據每個網絡流的源/目的IP地址，采用以下的公式構建加密流量軌跡圖：

G_etdw＝(V，A，W)；

其中，V表示由圖中節點{v₁,...,v_n}組成的節點集合；

節點v_i代表第i條加密網絡流；1≤i≤n；

鄰接矩陣A＝(a_ij)_n×n，a_ij＝1表示節點v_i與節點v_j之間具有公共IP地址；

權重矩陣W＝(w_ij)_n×n，w_ij表示網絡流i和網絡流j之間的關聯強度。

在一種實施方式中，所述統計特征包括：所述網絡流的持續時間、從服務器傳輸到客戶端的數據包數、從客戶端傳輸到服務器的數據包數、從服務器傳輸到客戶端的總字節數、從客戶端傳輸到服務器的總字節數。