[发明专利]恶意流量的检测方法、系统、装置及计算机可读存储介质

权利要求书

1.一种恶意流量的检测方法，其特征在于，包括：

利用获取的恶意数据流量样本和正常数据流量样本对应建立恶意数据样本库和正常数据样本库；

对所述恶意数据样本库和所述正常数据样本库均依次执行数据清洗操作和预处理操作，得到训练数据，并利用所述训练数据和深度学习算法构建流量检测模型；

利用所述流量检测模型判断待测数据流量中是否含有恶意数据；

若含有所述恶意数据，则通过预设路径发送携带有属于所述恶意数据的待测数据流量的警告信息。

2.根据权利要求1所述的检测方法，其特征在于，利用获取的恶意数据流量样本和正常数据流量样本对应建立恶意数据样本库和正常数据样本库，包括：

获取预设数量的恶意程序和正常程序；

将所述恶意程序和所述正常程序分别放置于两个独立的虚拟系统程序中运行，得到所述恶意数据样本库和所述正常数据样本库。

3.根据权利要求2所述的检测方法，其特征在于，获取预设数量的恶意程序和正常程序，包括：

利用代理、蜜罐、公开恶意软件样本库以及威胁情报和IOC资源获取得到第一预设数量的恶意应用；

从通过安全认证的程序官网和从软件供应商处批量获取得到第二预设数量的正常应用。

4.根据权利要求3所述的检测方法，其特征在于，将所述恶意程序和所述正常程序分别放置于两个独立的虚拟系统程序中运行，得到所述恶意数据样本库和所述正常数据样本库，包括：

将所述恶意应用运行于第一沙箱，并利用流量截取工具从所述第一沙箱中截取得到恶意数据包；

将所述正常应用运行于第二沙箱，并利用所述流量截取工具从所述第二沙箱中截取得到正常数据包；

利用数据解析工具对所述恶意数据包和所述正常数据包进行解析，分别得到所述恶意数据样本库和所述正常数据样本库。

5.根据权利要求4所述的检测方法，其特征在于，对所述恶意数据样本库和所述正常数据样本库均依次执行数据清洗操作和预处理操作，得到训练数据，并利用所述训练数据和深度学习算法构建流量检测模型，包括：

对所述恶意数据样本库和所述正常数据样本库中的数据进行异常筛选，得到异常数据；其中，所述异常数据包括残缺数据、错误数据、重复数据中的至少一种；

对所述异常数据根据不同的异常种类选用相应的修复处理技术进行纠正，得到清洗后数据；

对所述清洗后数据执行所述预处理操作，得到所述训练数据；其中，所述预处理操作包括协议解析、格式转换、数据选择、解码以及嵌入中的至少一项。

6.根据权利要求5所述的检测方法，其特征在于，利用所述训练数据和深度学习算法构建流量检测模型，包括：

将所述训练数据利用LSTM神经网络算法构建LSTM流量检测模型。

7.根据权利要求1至6任一项所述的检测方法，其特征在于，利用所述流量检测模型判断待测数据流量是否含有恶意数据，包括：

采集得到实际数据流量，并对所述实际数据流量依次执行所述数据清洗操作和所述预处理操作，得到所述待测数据流量；

利用所述LSTM流量检测模型判断所述待测数据流量中是否含有所述恶意数据。

8.根据权利要求7所述的检测方法，其特征在于，利用所述LSTM流量检测模型判断所述待测数据流量中是否含有所述恶意数据，包括：

利用LSTM嵌入层将所述待测数据流量转换得到可计算向量；

利用LSTM隐层对所述可计算向量按预设转换方式进行格式转换，得到转换后数据；

利用Softmax层对所述转换后数据按预设预测算法进行数据威胁预测，以判断所述待测数据流量中是否含有所述恶意数据；

其中，所述LSTM流量监测模型包括所述LSTM嵌入层、所述LSTM隐层和所述Softmax层。