[发明专利]恶意流量识别方法、装置、电子设备及存储介质

权利要求书

1.一种恶意流量识别方法，其特征在于，包括：

获取待识别流的有效载荷；

通过分类器的公共识别部分对所述有效载荷进行识别，确定所述待识别流的目标类型为所述公共识别部分中识别成功的第一关键字对应的恶意聚类流对应的类型，以确定所述待识别流对应的特定识别部分，其中，所述公共识别部分包括至少一个第一关键字，所述第一关键字是其对应的已知类型的恶意聚类流中首次出现的关键字，每一个所述恶意聚类流对应所述分类器中的一个特定识别部分；

通过分类器中所述待识别流对应的特定识别部分对所述有效载荷进行识别，确定所述待识别流的类型为所述目标类型，其中，所述待识别流对应的特定识别部分包括至少一个特定关键字，所述特定关键字是所述目标类型对应的恶意聚类流中非首次出现的关键字。

2.根据权利要求1所述的恶意流量识别方法，其特征在于，所述通过分类器的公共识别部分对所述有效载荷进行识别，包括：

获取所述分类器的公共识别部分中的第一关键字及各第一关键字分别对应的字节偏移范围；

对于每一个第一关键字，将其与所述有效载荷的公共输入部分的字节偏移范围内的字节，进行匹配，确定匹配成功的第一关键字对应的恶意聚类流的类型为所述目标类型，所述公共输入部分的字节偏移范围根据所述第一关键字对应的字节偏移范围确定，所述有效载荷的公共输入部分根据所述分类器中公共识别部分的所有关键字的最大偏移与最小偏移确定。

3.根据权利要求1所述的恶意流量识别方法，其特征在于，所述通过分类器中所述待识别流对应的特定识别部分对所述有效载荷进行识别，包括：

获取所述待识别流对应的特定识别部分的特定关键字及各特定关键字分别对应的字节偏移范围；

按照所述特定关键字在所述特定识别部分中的排列顺序，依次对每一个特定关键字，与所述有效载荷的剩余输入部分的字节偏移范围内的字节，进行匹配，所述字节偏移范围根据所述特定关键字对应的字节偏移范围确定。

4.根据权利要求1所述的恶意流量识别方法，其特征在于，所述通过分类器的公共识别部分对所述有效载荷进行识别之前，包括：

获取恶意流样本；

对所述恶意流样本进行流重建；

在所述流重建后的恶意流样本中获取至少一个已知类型的所述恶意聚类流；

基于所述恶意聚类流的第一关键字和特定关键字生成分类器。

5.根据权利要求4所述的恶意流量识别方法，其特征在于，所述基于所述恶意聚类流的第一关键字和特定关键字生成分类器，包括：

对于每个所述恶意聚类流，基于其有效负载生成对应的词频向量，以提取其第一关键字和特定关键字；

基于所有恶意聚类流的第一关键字和特定关键字生成分类器。

6.根据权利要求5所述的恶意流量识别方法，其特征在于，所述基于所有恶意聚类流的第一关键字和特定关键字生成分类器，包括：

对于每一个恶意聚类流，获取其第一关键字及所述第一关键字的字节偏移范围；

基于所有恶意聚类流的所述第一关键字及对应的字节偏移范围，生成所述分类器的公共识别部分；

对于每一个恶意聚类流，基于其特定关键字及所有特定关键字分别对应的字节偏移范围，按照所述特定关键字在所述恶意聚类流中的出现顺序，生成分类器中所述恶意聚类流对应的特定识别部分。

7.根据权利要求4所述的恶意流量识别方法，其特征在于，所述获取恶意流样本，包括：

获取已知类型的恶意流量数据集作为恶意流样本；或

从网络中获取通信数据包作为恶意流样本，相应地，所述在所述流重建后的恶意流样本中获取至少一个已知类型的所述恶意聚类流包括：对流重建后的所述通信数据包进行聚类分析，获取至少一个已知类型的所述恶意聚类流。