本發(fā)明涉及網(wǎng)絡(luò)安全，具體涉及一種抓包流量異常識(shí)別方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、伴隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全的重要性也越來(lái)越高，網(wǎng)絡(luò)安全威脅越來(lái)越復(fù)雜，為了更好的保護(hù)用戶的網(wǎng)絡(luò)安全，對(duì)網(wǎng)絡(luò)抓包流量進(jìn)行異常監(jiān)測(cè)也就越來(lái)越重要。

2、現(xiàn)有技術(shù)中，在對(duì)網(wǎng)絡(luò)抓包流量進(jìn)行異常監(jiān)測(cè)識(shí)別時(shí)，往往是根據(jù)預(yù)設(shè)的固定規(guī)則來(lái)判斷抓包流量中的各個(gè)會(huì)話是否異常，通過(guò)這樣的方式對(duì)抓包流量數(shù)據(jù)中的會(huì)話進(jìn)行異常識(shí)別時(shí)，往往識(shí)別準(zhǔn)確性較低且無(wú)法針對(duì)未知威脅進(jìn)行識(shí)別，無(wú)法達(dá)到較好的異常識(shí)別效果。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本發(fā)明提供了一種抓包流量異常識(shí)別方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)，以解決對(duì)抓包流量數(shù)據(jù)中的會(huì)話進(jìn)行異常識(shí)別時(shí)，識(shí)別準(zhǔn)確性較低且無(wú)法針對(duì)未知威脅進(jìn)行識(shí)別的問(wèn)題。

2、第一方面，本發(fā)明提供了一種抓包流量異常識(shí)別，所述方法包括：

3、獲取抓包流量數(shù)據(jù)，所述抓包流量數(shù)據(jù)包括：多個(gè)會(huì)話對(duì)應(yīng)的流量數(shù)據(jù)；

4、對(duì)所述抓包流量數(shù)據(jù)進(jìn)行解析，得到各個(gè)會(huì)話對(duì)應(yīng)的灰度圖像；

5、通過(guò)深度學(xué)習(xí)對(duì)灰度圖像進(jìn)行識(shí)別，得到所述灰度圖像的特征向量，并根據(jù)所述特征向量確定所述灰度圖像對(duì)應(yīng)會(huì)話類型的概率分布；

6、判斷所述概率分布中是否存在概率大于預(yù)設(shè)值的會(huì)話類型；

7、若不存在，則通過(guò)異常檢測(cè)模型結(jié)合歷史時(shí)段內(nèi)的歷史會(huì)話，確定所述灰度圖像對(duì)應(yīng)會(huì)話是否為異常會(huì)話。

8、本方法，通過(guò)將抓包流量數(shù)據(jù)中的各個(gè)會(huì)話進(jìn)行解析，得到對(duì)應(yīng)的灰度圖像，從而通過(guò)深度學(xué)習(xí)對(duì)灰度圖像進(jìn)行識(shí)別，確定灰度圖像對(duì)應(yīng)會(huì)話類型的概率分布，并在概率分布無(wú)法給出準(zhǔn)確的判斷時(shí)，通過(guò)異常檢測(cè)模型來(lái)結(jié)合歷史數(shù)據(jù)進(jìn)行異常判斷，保證對(duì)未知異常的有效判斷，從而提高識(shí)別抓包流量數(shù)據(jù)中的會(huì)話異常的全面性和準(zhǔn)確性，以便于網(wǎng)絡(luò)安全人員及時(shí)針對(duì)異常會(huì)話進(jìn)行相關(guān)的處理，保證用戶的網(wǎng)絡(luò)安全。

9、在一種可選的實(shí)施方式中，所述會(huì)話類型包括：多個(gè)威脅類型和多個(gè)正常類型，所述方法，還包括：

10、若所述概率分布中存在概率大于預(yù)設(shè)值的會(huì)話類型，且所述會(huì)話類型為威脅類型，則確定所述灰度圖像對(duì)應(yīng)會(huì)話為異常會(huì)話，并將所述威脅類型確定為所述異常會(huì)話的異常類型；

11、若所述概率分布中不存在概率大于預(yù)設(shè)值的會(huì)話，且通過(guò)異常檢測(cè)模型確定所述灰度圖像對(duì)應(yīng)會(huì)話為異常會(huì)話，則根據(jù)所述概率分布的概率值排名確定所述灰度圖像對(duì)應(yīng)會(huì)話的相似異常類型。

12、本實(shí)施方式，通過(guò)對(duì)概率分布的具體分布情況進(jìn)行分析，以便于在深度學(xué)習(xí)能夠給出可靠性較高的判斷時(shí)，根據(jù)概率分布來(lái)直接確定會(huì)話的會(huì)話類型，并在會(huì)話類型為威脅類型時(shí)，將對(duì)應(yīng)會(huì)話確定為異常，保證異常檢測(cè)效率，同時(shí)，在深度學(xué)習(xí)由于缺少針對(duì)未知威脅的訓(xùn)練樣本而無(wú)法準(zhǔn)確判斷，且通過(guò)異常檢測(cè)模型確定對(duì)應(yīng)會(huì)話為異常會(huì)話時(shí)，結(jié)合概率分布給出供參考的相似異常類型，以便于提高工作人員異常處理效率。

13、在一種可選的實(shí)施方式中，所述通過(guò)異常檢測(cè)模型結(jié)合歷史時(shí)段內(nèi)的歷史會(huì)話，確定所述灰度圖像對(duì)應(yīng)會(huì)話是否為異常會(huì)話，包括：

14、確定所述概率分布中概率值排名大于預(yù)設(shè)排名的多個(gè)第一會(huì)話類型和所述灰度圖像對(duì)應(yīng)會(huì)話的源ip地址和目的ip地址；

15、基于所述灰度圖像對(duì)應(yīng)的特征向量、源ip地址和目的ip地址以及所述多個(gè)第一會(huì)話類型，通過(guò)異常檢測(cè)模型將所述灰度圖像對(duì)應(yīng)會(huì)話和歷史會(huì)話進(jìn)行比較，確定所述灰度圖像對(duì)應(yīng)會(huì)話的異常程度；

16、根據(jù)所述異常程度和預(yù)設(shè)區(qū)間的關(guān)系，確定所述灰度圖像對(duì)應(yīng)會(huì)話是否為異常會(huì)話；

17、所述根據(jù)所述概率分布的概率值排名確定所述灰度圖像對(duì)應(yīng)會(huì)話的相似異常類型，包括：

18、判斷所述概率分布中概率值排名大于預(yù)設(shè)排名的多個(gè)第一會(huì)話類型中是否存在威脅類型；

19、若為是，則將所述多個(gè)第一會(huì)話類型中的威脅類型確定為所述灰度圖像對(duì)應(yīng)會(huì)話的相似異常類型；

20、若為否，則將所述灰度圖像對(duì)應(yīng)會(huì)話的異常類型確定為未知異常。

21、本實(shí)施方式，通過(guò)確定會(huì)話對(duì)應(yīng)的特征向量、概率分布中概率值較大的多個(gè)第一會(huì)話類型以及源ip和目的ip，進(jìn)而通過(guò)異常監(jiān)測(cè)模型基于上述多個(gè)角度，將會(huì)話和歷史會(huì)話進(jìn)行比較，以確定該會(huì)話的具體異常程度，進(jìn)而確定其是否為異常會(huì)話，并在其為異常會(huì)話時(shí)將多個(gè)第一異常分類作為該會(huì)話的預(yù)期異常類型，從而實(shí)現(xiàn)在深度學(xué)習(xí)無(wú)法給出明確判斷時(shí)，根據(jù)歷史情況對(duì)當(dāng)前待判斷的會(huì)話進(jìn)行異常判斷，并結(jié)合概率分布確定其可能的異常類型。

22、在一種可選的實(shí)施方式中，所述異常檢測(cè)模型為：基于孤立森林算法構(gòu)建的異常檢測(cè)模型；

23、所述基于所述灰度圖像對(duì)應(yīng)的特征向量、源ip地址和目的ip地址以及所述多個(gè)第一會(huì)話類型，通過(guò)異常檢測(cè)模型將所述灰度圖像對(duì)應(yīng)會(huì)話和歷史會(huì)話進(jìn)行比較，確定所述灰度圖像對(duì)應(yīng)會(huì)話的異常程度，包括：

24、將所述特征向量、源ip地址和目的ip地址以及所述多個(gè)第一會(huì)話類型確定為多個(gè)異常衡量維度；

25、通過(guò)所述基于孤立森林算法構(gòu)建的異常檢測(cè)模型，結(jié)合所述多個(gè)異常衡量維度確定所述灰度圖像對(duì)應(yīng)會(huì)話和歷史會(huì)話的疏離程度，所述疏離程度用于表征異常程度。

26、本實(shí)施方式，通過(guò)將特征向量、ip地址以及概率分布中概率較高的會(huì)話類型作為異常衡量維度，并通過(guò)基于孤立森林算法構(gòu)建的異常監(jiān)測(cè)模型來(lái)在這些維度上將待判斷的會(huì)話和歷史會(huì)話之間進(jìn)行比較，得到對(duì)應(yīng)的疏離程度以衡量會(huì)話的異常程度，可以有效的在深度學(xué)習(xí)由于缺少針對(duì)未知威脅的訓(xùn)練樣本而無(wú)法給出明確判斷時(shí)，通過(guò)和歷史會(huì)話之間的對(duì)比對(duì)會(huì)話的異常程度進(jìn)行判斷。

27、在一種可選的實(shí)施方式中，所述方法還包括：

28、根據(jù)預(yù)設(shè)時(shí)段內(nèi)各個(gè)異常會(huì)話對(duì)應(yīng)的異常類型和源ip地址將所述異常會(huì)話進(jìn)行匯聚，得到多個(gè)匯聚數(shù)據(jù)；

29、將所述多個(gè)匯聚數(shù)據(jù)輸出給用戶，以使得用戶根據(jù)所述匯聚數(shù)據(jù)進(jìn)行異常處理。

30、本實(shí)施方式，通過(guò)將預(yù)設(shè)時(shí)段內(nèi)的異常會(huì)話根據(jù)異常類型和源ip地址將異常會(huì)話進(jìn)行匯聚后，再輸出給用戶，可以使得用戶直觀的了解到通過(guò)殘差網(wǎng)絡(luò)識(shí)別確定的不同異常類型的異常會(huì)話的具體情況，以便于做出相應(yīng)的處理。

31、在一種可選的實(shí)施方式中，所述根據(jù)預(yù)設(shè)時(shí)段內(nèi)各個(gè)異常會(huì)話對(duì)應(yīng)的異常類型和源ip地址將所述異常會(huì)話進(jìn)行匯聚，包括：

32、根據(jù)各個(gè)異常會(huì)話的異常類型確定對(duì)應(yīng)的異常標(biāo)簽；

33、將預(yù)設(shè)時(shí)段內(nèi)異常標(biāo)簽相同且源ip地址相同的異常會(huì)話對(duì)應(yīng)的抓包流量數(shù)據(jù)進(jìn)行匯聚。

34、本實(shí)施方式，通過(guò)確定各個(gè)異常會(huì)話對(duì)應(yīng)的異常標(biāo)簽，從而將異常類型相同且源ip地址相同的會(huì)話對(duì)應(yīng)的流量數(shù)據(jù)進(jìn)行匯聚，可以便于用戶了解某個(gè)源ip地址和異常類型下的會(huì)話的具體情況，以便于做出相應(yīng)的處理。

35、在一種可選的實(shí)施方式中紅，所述對(duì)所述抓包流量數(shù)據(jù)進(jìn)行解析，得到各個(gè)會(huì)話對(duì)應(yīng)的灰度圖像，包括：

36、對(duì)所述抓包流量數(shù)據(jù)中各個(gè)會(huì)話對(duì)應(yīng)的流量數(shù)據(jù)進(jìn)行解析，得到各個(gè)會(huì)話對(duì)應(yīng)的二進(jìn)制文件；

37、對(duì)所述二進(jìn)制文件進(jìn)行16進(jìn)制轉(zhuǎn)換，得到16進(jìn)制下的會(huì)話文件；

38、將所述16進(jìn)制下的會(huì)話文件轉(zhuǎn)換為對(duì)應(yīng)的灰度圖像。

39、本實(shí)施方式，通過(guò)將抓包流量中的會(huì)話文件進(jìn)行進(jìn)制轉(zhuǎn)化，從而根據(jù)轉(zhuǎn)換后的進(jìn)制生成對(duì)應(yīng)的灰度圖像，可以高效的實(shí)現(xiàn)將會(huì)話數(shù)據(jù)和圖像之間的轉(zhuǎn)換，在圖像中攜帶會(huì)話的具體信息，以保證后續(xù)的特征提取以及異常判斷的準(zhǔn)確性。

40、第二方面，本發(fā)明提供了一種抓包流量異常識(shí)別裝置，所述裝置包括：

41、流量獲取模塊，用于獲取流量數(shù)據(jù)，所述流量數(shù)據(jù)包括：多個(gè)會(huì)話對(duì)應(yīng)的流量數(shù)據(jù)；

42、圖像轉(zhuǎn)換模塊，用于對(duì)所述抓包流量數(shù)據(jù)進(jìn)行解析，得到各個(gè)會(huì)話對(duì)應(yīng)的灰度圖像；

43、圖像識(shí)別模塊，用于通過(guò)深度學(xué)習(xí)對(duì)灰度圖像進(jìn)行識(shí)別，得到所述灰度圖像的特征向量，并根據(jù)所述特征向量確定所述灰度圖像對(duì)應(yīng)會(huì)話類型的概率分布；

44、概率判斷模塊，用于判斷所述概率分布中是否存在概率大于預(yù)設(shè)值的會(huì)話類型；

45、異常判斷模塊，用于在所述概率分布中不存在大于預(yù)設(shè)值的概率時(shí)，通過(guò)異常檢測(cè)模型結(jié)合歷史時(shí)段內(nèi)的歷史會(huì)話，確定所述灰度圖像對(duì)應(yīng)會(huì)話是否為異常會(huì)話。

46、第三方面，本發(fā)明提供了一種計(jì)算機(jī)設(shè)備，包括：存儲(chǔ)器和處理器，存儲(chǔ)器和處理器之間互相通信連接，存儲(chǔ)器中存儲(chǔ)有計(jì)算機(jī)指令，處理器通過(guò)執(zhí)行計(jì)算機(jī)指令，從而執(zhí)行上述第一方面或其對(duì)應(yīng)的任一實(shí)施方式的抓包流量異常識(shí)別方法。

47、第四方面，本發(fā)明提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，該計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)指令，計(jì)算機(jī)指令用于使計(jì)算機(jī)執(zhí)行上述第一方面或其對(duì)應(yīng)的任一實(shí)施方式的抓包流量異常識(shí)別方法。