本發(fā)明涉及一種惡意流量檢測方法，屬于網(wǎng)絡(luò)安全領(lǐng)域。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的蓬勃發(fā)展和全球化普及，網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘Ｉ詈凸ぷ髦胁豢苫蛉钡囊徊糠?。它不僅為我們提供了便捷的信息獲取和交流渠道，還極大地推動了社會經(jīng)濟(jì)的發(fā)展和進(jìn)步。然而，與此同時(shí)，網(wǎng)絡(luò)安全問題也變得越來越突出，網(wǎng)絡(luò)攻擊便是其中極具破壞性的一種。網(wǎng)絡(luò)攻擊包括僵尸網(wǎng)絡(luò)、病毒、木馬等攻擊方式，這些攻擊行為不僅可能導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果，還可能破壞網(wǎng)絡(luò)服務(wù)的正常運(yùn)行，給用戶和企業(yè)帶來不可估量的損失。因此，網(wǎng)絡(luò)攻擊的惡意流量檢測成為了保障網(wǎng)絡(luò)安全的重要一環(huán)，它是網(wǎng)絡(luò)安全防護(hù)體系的重要組成部分。

2、網(wǎng)絡(luò)惡意流量檢測是一項(xiàng)復(fù)雜而重要的任務(wù)，其目的是及時(shí)發(fā)現(xiàn)并攔截惡意流量攻擊，保護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全。它需要具備扎實(shí)的網(wǎng)絡(luò)安全知識，同時(shí)還需要對網(wǎng)絡(luò)流量進(jìn)行深入分析，識別出其中的惡意行為。這需要采用多種技術(shù)和方法，包括基于統(tǒng)計(jì)學(xué)的方法、基于模式識別的方法、基于機(jī)器學(xué)習(xí)的方法等。通過這些技術(shù)和方法，我們可以對網(wǎng)絡(luò)流量進(jìn)行深入挖掘和分析，及時(shí)發(fā)現(xiàn)并攔截惡意流量攻擊，保護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全。

3、除了技術(shù)層面的防范措施，網(wǎng)絡(luò)惡意流量檢測還需要從管理和制度層面進(jìn)行保障。例如，加強(qiáng)網(wǎng)絡(luò)安全教育，提高用戶和企業(yè)的安全意識；建立完善的網(wǎng)絡(luò)安全管理制度，明確責(zé)任和分工；加強(qiáng)網(wǎng)絡(luò)安全法律法規(guī)建設(shè)，嚴(yán)厲打擊網(wǎng)絡(luò)犯罪行為等。這些措施可以與技術(shù)防范相輔相成，共同構(gòu)建一個(gè)更加安全的網(wǎng)絡(luò)環(huán)境。

4、在當(dāng)今數(shù)字化浪潮蓬勃興起的時(shí)代，網(wǎng)絡(luò)環(huán)境呈現(xiàn)出前所未有的復(fù)雜多變態(tài)勢。隨著各類新興技術(shù)的廣泛應(yīng)用，如物聯(lián)網(wǎng)設(shè)備的大規(guī)模接入、云計(jì)算服務(wù)的普及以及移動互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)中的流量成分變得愈發(fā)繁雜多樣。惡意流量如同隱藏在暗處的狡猾獵手，巧妙地隱匿于海量的正常流量之中，時(shí)刻尋找著可乘之機(jī)發(fā)動攻擊。傳統(tǒng)的惡意流量檢測方法，往往依賴于固定的特征庫或較為簡單的閾值判斷機(jī)制。它們在面對復(fù)雜網(wǎng)絡(luò)環(huán)境時(shí)顯得力不從心，難以敏銳地捕捉到流量特征的細(xì)微變化。例如，基于單一特征閾值的檢測方式，僅僅關(guān)注數(shù)據(jù)包的大小是否超過某個(gè)預(yù)設(shè)值，或者流量速率是否突破特定的界限。然而，現(xiàn)代惡意流量的產(chǎn)生手段日益精巧，攻擊者可能會采用漸進(jìn)式的攻擊策略，逐步地改變流量特征，從而導(dǎo)致在惡意流量的早期檢測環(huán)節(jié)中常常出現(xiàn)疏漏，使得網(wǎng)絡(luò)安全面臨著潛在的巨大威脅。

5、在網(wǎng)絡(luò)流量的動態(tài)變化過程中，正常流量偶爾會出現(xiàn)極端值，這是由多種復(fù)雜因素所導(dǎo)致的。一方面，網(wǎng)絡(luò)設(shè)備可能會在某些特定時(shí)刻產(chǎn)生一些異常的數(shù)據(jù)包，例如網(wǎng)絡(luò)接口出現(xiàn)短暫的故障或錯(cuò)誤，導(dǎo)致瞬間發(fā)出或接收超大或超小的數(shù)據(jù)包；另一方面，某些特殊的網(wǎng)絡(luò)應(yīng)用在特定場景下也會生成不符合常規(guī)流量模式的極端值，如進(jìn)行大規(guī)模數(shù)據(jù)備份或軟件更新時(shí)，可能會出現(xiàn)短暫的流量高峰，其中，個(gè)別數(shù)據(jù)包的大小遠(yuǎn)遠(yuǎn)超出正常范圍。這些極端值一旦出現(xiàn)在流量數(shù)據(jù)集中，會對基于平均值的流量分析判斷造成嚴(yán)重干擾。因此，極端值會使平均值向其方向產(chǎn)生較大偏移，進(jìn)而無法準(zhǔn)確反映正常流量的真實(shí)特征。當(dāng)使用這樣被極端值扭曲的平均值來判斷流量是否存在惡意行為時(shí)，就極易導(dǎo)致誤判或漏判的情況發(fā)生。在誤判方面，若某個(gè)時(shí)間段內(nèi)正常流量因極端值拉高了特征值，檢測系統(tǒng)可能會將其誤判為惡意流量，從而觸發(fā)不必要的警報(bào)和安全措施，這不僅浪費(fèi)了安全資源，還可能影響網(wǎng)絡(luò)的正常運(yùn)行效率。而在漏判方面，當(dāng)惡意流量與正常流量的平均值因極端值的影響而變得相近時(shí)，檢測系統(tǒng)可能無法有效區(qū)分兩者，導(dǎo)致惡意流量在眼皮底下悄然通過，錯(cuò)過了最佳的防御時(shí)機(jī)，使網(wǎng)絡(luò)遭受潛在的攻擊威脅，如黑客利用被扭曲的平均包大小特征掩蓋其惡意數(shù)據(jù)傳輸，進(jìn)而成功實(shí)施入侵、竊取關(guān)鍵信息等惡意活動，給網(wǎng)絡(luò)安全帶來極大的隱患。

6、在當(dāng)今高度復(fù)雜且動態(tài)變化的網(wǎng)絡(luò)環(huán)境中，流量的多樣性和多變性使得判斷流量是否異常成為一項(xiàng)極具挑戰(zhàn)性的任務(wù)。當(dāng)我們試圖識別惡意流量時(shí)，僅僅憑借簡單地知曉當(dāng)前流量與正常流量之間存在差異是遠(yuǎn)遠(yuǎn)不夠的。這是因?yàn)榫W(wǎng)絡(luò)本身就具有一定的自然波動性和靈活性，正常流量在不同的時(shí)間段、不同的應(yīng)用場景以及不同的用戶行為模式下，也會呈現(xiàn)出各種各樣的變化。例如，在企業(yè)網(wǎng)絡(luò)中，工作日的工作時(shí)間內(nèi)，網(wǎng)絡(luò)流量主要集中在與業(yè)務(wù)相關(guān)的應(yīng)用程序上，如電子郵件的收發(fā)、文件的傳輸以及各類辦公軟件與服務(wù)器之間的數(shù)據(jù)交互，此時(shí)流量的特征表現(xiàn)為相對穩(wěn)定的數(shù)據(jù)包大小分布、較為規(guī)律的傳輸時(shí)間間隔以及特定的流量流向模式。然而，在非工作時(shí)間，如深夜或周末，可能會有系統(tǒng)自動進(jìn)行的軟件更新、數(shù)據(jù)備份等任務(wù)在后臺運(yùn)行，這就會導(dǎo)致流量特征發(fā)生明顯的變化，數(shù)據(jù)包大小可能會增大，傳輸時(shí)間間隔也可能變得不規(guī)律。但這些變化仍然屬于正常流量的范疇，只是因?yàn)椴煌木W(wǎng)絡(luò)活動所引起的正常波動。如果我們僅僅依靠判斷是否存在差異，而不考慮差異的程度大小，那么在面對上述這種正常的流量變化時(shí)，就很容易產(chǎn)生誤判，將正常的流量波動錯(cuò)誤地識別為惡意流量，從而引發(fā)不必要的警報(bào)和后續(xù)處理流程，這不僅會浪費(fèi)大量的時(shí)間和資源，還可能對網(wǎng)絡(luò)的正常運(yùn)行造成不必要的干擾。在網(wǎng)絡(luò)流量檢測中，只有通過精確量化流量與正常模式的偏離程度，我們才能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中準(zhǔn)確地識別出惡意流量，及時(shí)采取有效的防御措施，保障網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。

技術(shù)實(shí)現(xiàn)思路

1、針對現(xiàn)有技術(shù)存在的不足本發(fā)明提供一種惡意流量檢測方法，旨在解決目前入侵檢測技術(shù)的不足，達(dá)到保護(hù)系統(tǒng)安全的目的。

2、本發(fā)明的目的是通過下述技術(shù)方案實(shí)現(xiàn)的：一種惡意流量檢測方法，其特征在于：步驟如下：

3、步驟一：提取流量數(shù)據(jù)，以供檢測；

4、步驟二：計(jì)算惡意流量的檢測特征以供檢測算法進(jìn)行檢測，包括平均流量大小，平均包大小，平均包時(shí)間間隔；

5、步驟三：通過檢測算法來檢測惡意流量的存在。

6、優(yōu)選地，所述的步驟一中流量數(shù)據(jù)為通過代理程序?qū)⑼ㄟ^網(wǎng)絡(luò)接口或網(wǎng)卡捕獲數(shù)據(jù)包，并根據(jù)要捕獲的數(shù)據(jù)類型和過濾條件對數(shù)據(jù)進(jìn)行篩選。

7、優(yōu)選地，所述的步驟二中檢測特征包括：

8、在滑動窗口m內(nèi)，將每個(gè)窗口時(shí)間片內(nèi)分為n個(gè)時(shí)間片，計(jì)算特征如下：

9、(1)最近流量交叉熵：

10、

11、其中，xi表示第i個(gè)時(shí)間片內(nèi)網(wǎng)絡(luò)的流量值，α為衰減因子，因?yàn)榫W(wǎng)絡(luò)流量中最近的流量具有較大的分析價(jià)值，因此α的取值范圍為從0到1，若xi＝0，則

12、αn-ixilog(xi)＝0；

13、(2)最近平均包大小：

14、

15、其中，yi表示第i個(gè)時(shí)間片內(nèi)網(wǎng)絡(luò)的平均包大小，α為衰減因子，因?yàn)榫W(wǎng)絡(luò)流量中最近的平均包大小具有較大的分析價(jià)值；

16、(3)最近平均包時(shí)間間隔：

17、

18、其中，ti表示第i個(gè)時(shí)間片內(nèi)網(wǎng)絡(luò)的平均包時(shí)間間隔，α為衰減因子，因?yàn)榫W(wǎng)絡(luò)流量中最近的平均包時(shí)間間隔具有較大的分析價(jià)值。

19、優(yōu)選地，所述的步驟三檢測算法計(jì)算過程如下：

20、(1)計(jì)算樣本的最近方差：對于每個(gè)樣本，計(jì)算其樣本的最近方差，記為nvar(x1),nvar(x2),...,nvar(xm)；

21、樣本方差的計(jì)算公式為：

22、

23、其中，xi表示樣本中的特征值，μi表示第i個(gè)時(shí)間片流量的最近均值，n表示流量樣本大小，α為衰減因子，因?yàn)榫W(wǎng)絡(luò)流量中最近的流量具有較大的分析價(jià)值；

24、最近均值的定義如下：

25、

26、其中，xi表示樣本中的特征值，μi表示第i個(gè)時(shí)間片流量的最近均值，n表示流量樣本大小，α為衰減因子，因?yàn)榫W(wǎng)絡(luò)流量中最近的流量具有較大的分析價(jià)值；

27、

28、其中，nvar(xi)為特征的最近方差值，ai為權(quán)重調(diào)節(jié)參數(shù)。

29、(2)計(jì)算中位數(shù)：對于每個(gè)時(shí)間片內(nèi)的樣本，平均分為n份，在每份中計(jì)算其中位數(shù)，記為med(1),med(2),...,med(n)；

30、中位數(shù)是將一組數(shù)據(jù)從小到大排序后，位于中間位置的數(shù)值。計(jì)算最近總體中位數(shù)：將所有中位數(shù)與衰減因子的n-i次方相乘后除以樣本數(shù)n，得到總體最近中位數(shù)med_all；每個(gè)特征的最近總體中位數(shù)計(jì)算公式為：

31、

32、其中，med(i)表示每個(gè)樣本的中位數(shù)，n表示樣本數(shù)，α為衰減因子，因?yàn)榫W(wǎng)絡(luò)流量中最近的流量具有較大的分析價(jià)值；

33、(3)計(jì)算距離：對于每個(gè)中位數(shù)，計(jì)算其中位數(shù)與總體最近中位數(shù)的距離，記為d1,d2,...,dn；

34、距離計(jì)算公式為：

35、di?＝?|med(i)?-?med_all|????????????????????????????????????????(8)

36、其中，med(i)表示每個(gè)樣本的中位數(shù)，med_all表示總體中位數(shù)。

37、

38、其中，di為特征的中位數(shù)與總體最近中位數(shù)的距離，ai為權(quán)重調(diào)節(jié)參數(shù)，mmed為當(dāng)前窗口的中位數(shù)特征值；

39、(4)計(jì)算最近的流量的權(quán)重，公式如下：

40、

41、其中,i表示第i個(gè)特征，n表示樣本大小,α為衰減因子，a和b為參數(shù)調(diào)節(jié)因子。根據(jù)每個(gè)樣本的距離與其對應(yīng)的值來計(jì)算的，它衡量了流量數(shù)據(jù)與期望的流量數(shù)據(jù)之間的差異；

42、通過上述計(jì)算，如果f值大于閾值，那么認(rèn)為惡意流量爆發(fā)；如果f值小于閾值，那么即認(rèn)為惡意流量不存在。

43、本發(fā)明的有益效果：本發(fā)明則從技術(shù)角度出發(fā)，通過代理程序在網(wǎng)絡(luò)中提取流量數(shù)據(jù)，以供惡意流量檢測系統(tǒng)進(jìn)行檢測。然后，計(jì)算惡意流量的檢測特征以供檢測算法進(jìn)行檢測，包括平均流量大小，平均包大小，平均包時(shí)間間隔。最后，通過檢測算法來檢測惡意流量的存在。在網(wǎng)絡(luò)流量監(jiān)測分析領(lǐng)域，通過綜合考慮最近流量交叉熵，最近平均包大小，最近平均包時(shí)間間隔等特征的最近方差、中位數(shù)和距離計(jì)算可以達(dá)到檢測復(fù)雜網(wǎng)絡(luò)情況下的惡意流量。最近方差基于流量特征數(shù)據(jù)統(tǒng)計(jì)處理，反映特征值相對均值的離散程度，如最近平均包大小方差突然增大，像ddos攻擊時(shí)攻擊者用僵尸網(wǎng)絡(luò)發(fā)海量異常數(shù)據(jù)包，或數(shù)據(jù)泄露時(shí)惡意程序分割數(shù)據(jù)成異常小包傳輸，都使方差急劇變化預(yù)示異常。中位數(shù)按數(shù)據(jù)大小排序取中間值(或中間兩數(shù)平均)，相比易受極端值干擾的平均值，它能更穩(wěn)健反映正常流量水平，網(wǎng)絡(luò)中極端包因故障或特殊應(yīng)用產(chǎn)生，會影響均值但中位數(shù)能排除干擾，當(dāng)惡意軟件發(fā)送少量與正常包大小不同的包致中位數(shù)偏移，監(jiān)測其變化可發(fā)現(xiàn)惡意行為。計(jì)算樣本與正常流量特征的距離能綜合考量多特征關(guān)系量化偏離程度，超閾值意味著異常，像端口掃描時(shí)攻擊者發(fā)大量包，其頻率和時(shí)間間隔異于正常，通過計(jì)算與正常流量在平均包時(shí)間間隔等特征上的距離可發(fā)現(xiàn)；慢速攻擊以極長間隔發(fā)包也會使距離超正常范圍被檢測到，這些方法從不同角度助力精準(zhǔn)識別網(wǎng)絡(luò)流量中的異常情況，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。