[发明专利]恶意流量识别方法、装置、电子设备及存储介质

说明书

本发明实施例提供一种恶意流量识别方法，装置、电子设备及存储介质。所述方法包括：获取待识别流的有效载荷；通过分类器的公共识别部分对有效载荷进行识别，确定待识别流的目标类型为公共识别部分中识别成功的第一关键字对应的恶意聚类流对应的类型，以确定待识别流对应的特定识别部分，其中，每一个恶意聚类流对应分类器中的一个特定识别部分；通过确定的特定识别部分对有效载荷进行识别，确定待识别流的类型为目标类型。本发明实施例通过公共识别部分确定待识别流的目标类型，再通过针对性识别目标类别的特定部分确定待识别流的恶意流量类型，有效提高识别效率，降低对硬件处理性能的依赖。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种恶意流量识别方法、装置、电子设备及存储介质。

背景技术

深度包检测除了对协议类型、源地址、目的地址、源端口和目的端口等进行解析外，还需要对应用层载荷的分析和识别。当数据经过检测点(如防火墙)时，对数据包的载荷部分进行检测，试图检测该数据包足否与应用协议标识匹配，是否包含病毒、垃圾信息、或恶意代码，据此决定数据包是允许通过、丢弃还是转发，并记录信息留作统计。

现有的深度包检测包括端口识别法、字符串匹配法、数值属性法、行为和启发式方法，但都是基于逐包检测、模式匹配，对于网络设备的性能提出很高的要求，对检测设备的处理能力要求较高，并且由于应用层协议的复杂多样，导致系统硬件的处理能力也在很大程度上影响该技术的效果；现有的BM字符串搜索算法(Boyer-Moore字符串搜索算法)中，在模式串移动过程中，有的字符可能已经进行了一次比较，而进入字符比较过程又会再进行一次比较，这样就出现了没必要的重复，降低了算法的性能。

因此，如何提出一种能降低硬件处理性能要求，且具有高识别效率的识别方法，成为亟需解决的问题。

发明内容

本发明实施例提供一种恶意流量识别方法、装置、电子设备及存储介质，用以解决现有技术中深度包检测性能要求高，识别效率低的缺陷，实现降低硬件处理性能要求，且具有高识别效率。

第一方面，本发明实施例提供一种恶意流量识别方法，包括：

获取待识别流的有效载荷；

通过分类器的公共识别部分对所述有效载荷进行识别，确定所述待识别流的目标类型为所述公共识别部分中识别成功的第一关键字对应的恶意聚类流对应的类型，以确定所述待识别流对应的特定识别部分，其中，所述公共识别部分包括至少一个第一关键字，所述第一关键字是其对应的已知类型的恶意聚类流中首次出现的关键字，每一个所述恶意聚类流对应所述分类器中的一个特定识别部分；

通过分类器中所述待识别流对应的特定识别部分对所述有效载荷进行识别，确定所述待识别流的类型为所述目标类型，其中，所述待识别流对应的特定识别部分包括至少一个特定关键字，所述特定关键字是所述目标类型对应的恶意聚类流中非首次出现的关键字。

根据本发明一个实施例的恶意流量识别方法，所述通过分类器的公共识别部分对所述有效载荷进行识别，包括：

获取所述分类器的公共识别部分中的第一关键字及各第一关键字分别对应的字节偏移范围；

对于每一个第一关键字，将其与所述有效载荷的公共输入部分的字节偏移范围内的字节，进行匹配，确定匹配成功的第一关键字对应的恶意聚类流的类型为所述目标类型，所述公共输入部分的字节偏移范围根据所述第一关键字对应的字节偏移范围确定，所述有效载荷的公共输入部分根据所述分类器中公共识别部分的所有关键字的最大偏移与最小偏移确定。

根据本发明一个实施例的恶意流量识别方法，所述通过分类器中所述待识别流对应的特定识别部分对所述有效载荷进行识别，包括：

获取所述待识别流对应的特定识别部分的特定关键字及各特定关键字分别对应的字节偏移范围；