[发明专利]异常流量的检测方法、装置和计算机可读存储介质

说明书

本申请公开了一种异常流量的检测方法、装置和计算机可读存储介质，异常流量的检测方法包括：获取终端的流量数据；将流量数据与沙盒模型中的预设特征进行比对，得到第一比对结果；根据第一比对结果确定流量数据中的第一正常流量数据，对第一正常流量数据进行分类；对分类后的第一正常流量数据进行筛选，根据筛选结果确定第一正常流量数据中的第一异常流量数据。本申请通过对流量数据进行二次检测以及分类，从而确定异常流量数据，提高了APT的检测精度。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种异常流量的检测方法、装置和计算机可读存储介质。

背景技术

目前，随着计算机通信和移动网络的迅速普及和发展，高级长期持续网络威胁(Advanced Persistent Threat，APT)网络攻击正在给我们带来重大的经济和社会安全问题。APT攻击过程中的恶意软件/载荷为了窃取数据、下载新的恶意软件等通常会进行恶意的通信行为。基于此，现有一般采用“沙盒方案”或者基于异常的检测方案进行APT检测，但是，现有的APT检测精度低。

发明内容

本申请实施例通过提供一种异常流量的检测方法、装置和计算机可读存储介质，旨在解决APT检测精度低的问题。

为实现上述目的，本申请一方面提供一种异常流量的检测方法，所述方法包括：

获取终端的流量数据；

将所述流量数据与沙盒模型中的预设特征进行比对，得到第一比对结果；

根据所述第一比对结果确定所述流量数据中的第一正常流量数据，对所述第一正常流量数据进行分类；

对分类后的所述第一正常流量数据进行筛选，根据筛选结果确定所述第一正常流量数据中的第一异常流量数据。

可选地，所述根据所述第一比对结果确定所述流量数据中的第一正常流量数据，对所述第一正常流量数据进行分类的步骤包括：

根据所述第一比对结果确定所述流量数据中的第一正常流量数据和第二异常流量数据；

将所述第一正常流量数据存储至第一虚拟区域，以及将所述第二异常流量数据存储至第二虚拟区域；

对所述第一虚拟区域存储的第一正常流量数据进行分类。

可选地，所述对所述第一正常流量数据进行分类的步骤包括：

获取所述第一正常流量数据的流量类型；

根据所述流量类型对所述第一正常流量数据进行分类。

可选地，所述对分类后的所述第一正常流量数据进行筛选的步骤包括：

获取分类后的所述第一正常流量数据的通信特征，将所述通信特征与异常流量数据的通信特征进行比对；

根据第二比对结果对所述第一正常流量数据进行筛选。

可选地，所述根据筛选结果确定所述第一正常流量数据中的第一异常流量数据的步骤之后，包括：

根据所述筛选结果确定所述第一正常流量数据中的第二正常流量数据；

将所述第二正常流量数据存储至虚拟安全区域，以及将所述第一异常流量数据存储至虚拟回收区域，并输出告警信息，所述虚拟安全区域与所述虚拟回收区域均为第一虚拟区域的子区域。

可选地，所述根据筛选结果确定所述第一正常流量数据中的第一异常流量数据的步骤之后，包括：

获取所述虚拟安全区域的存储空间，以及所述第二正常流量数据在所述虚拟安全区域的存储时长；

根据所述存储空间和/或所述存储时长删除所述虚拟安全区域中的第二正常流量数据。