[发明专利]一种恶意流量检测方法、系统、装置及存储介质

说明书

本发明公开了一种恶意流量检测方法、系统、装置及存储介质，属于网络流量分析和网络空间安全应用的技术领域，方法包括：获取待检测的流量统计信息，对流量统计信息进行格式预处理得到样本向量；将样本向量输入到预训练好的神经网络部分框架搜索网络模型中，得到预测向量；预测向量中包含多个预测值，每个预测值中包含自身的分类标签，选取最大预测值的分类标签作为最终分类标签，若最终分类标签为恶意，则流量统计信息对应的流量为恶意流量，否则为非恶意流量；无需进行手动特征设计即可判断所述流量的类别；通过使用较为轻量化的模型，计算量减小，能够部署在边缘计算节点，增强了特征提取能力与实用性，克服了精度不足与普适性不够的问题。

技术领域

本发明涉及一种恶意流量检测方法、系统、装置及存储介质，属于网络流量分析和网络空间安全应用的技术领域。

背景技术

随着互联网、物联网(Internet of Tings,IoT)、大数据以及人工智能为代表的新一代信息技术的快速发展，以及与传统产业的加速融合，全球新一轮科技革命和产业革命正蓬勃兴起，新的生产方式、组织方式和商业模式的不断涌现，工业物联网(IndustrialInternet of Tings,IIoT)应运而生，推动着全球工业体系的智能化变革。

相较传统IoT，在IIoT中，由于设备组件通常多出数个数量级，且组件间的联系十分复杂，基于经验与签名的人工恶意流量检测成本十分高昂。此外，相对传统IoT，由于IIoT往往涉及更高价值的设备资产，且常大规模地应用在具有更高重要性的行业，如能源、运输、工业控制等，对网络攻击的准确性检测与异常及时处理有着更高的要求，因此，设计一种高效、准确、稳定而又具有鲁棒性的IIoT恶意流量检测方法在当下显得愈发重要。

但是，由于上文提出的IIoT的设备复杂性以及组件间的海量的通信，可以预见，传统恶意流量检测的计算开销将变得十分巨大，以至于云计算中心将无法承担；为了解决这个问题，研究人员提出了新的分布式智能计算网络架构，如边缘计算，以弥补云计算的不足；这些技术允许边缘计算节点以分布式、低延迟和高可用性的形式为附近的数据源提供服务，将计算任务卸载到边缘节点，解决了IIoT中的资源紧张问题,可以满足IIoT的计算、存储、控制需求。

与其他服务类似，传统的集中式网络恶意流量检测架构难以适应分布式环境，此外，分布式计算导致的计算节点之间的多次、海量通信不仅增加了IIoT组件通信的复杂性，还使得分布式计算节点成为了新的易受攻击的对象。因此，更好的方式是直接在边缘节点部署，将恶意流量检测部署到边缘节点，从而为直接连接的网络设备提供低延时的安全支持，但是，相较计算中心和分布式计算，边缘计算节点往往缺乏足够的计算能力。

网络恶意流量检测是计算机网络的必要任务之一，在新型网络架构不断涌现，规模和复杂度不断扩展的今天，网络安全问题成为了网络发展的阻碍；传统的网络恶意流量检测的方法大致可以分为两类，第一类是基于签名的方法，第二类是基于特征的方法。

基于签名的方法通过将输入样本与一系列已知的网络异常攻击样本模式进行匹配，从而识别出异常流量；这类方法需要维护一个记录异常行为规则的数据库，成本高，时间开销大，由于新的网络攻击类型不断地出现，这种方法无法适应现在网络吞吐量高速增长下的安全需求。

而基于特征的方法则很好地弥补了该缺陷，这些方法通过分析学习历史数据、统计特征，从而识别出当前网络中的异常行为；其中机器学习方法在检测未知异常行为上具有更大的潜力。

基于机器学习的方法通常基于统计特征，需要手动设计和选择特征，目前的工作通常包括两部分：特征提取和算法设计。