[发明专利]恶意流量的识别方法、装置、计算机设备及存储介质

权利要求书

1.一种恶意流量的识别方法，其特征在于，所述方法包括：

基于获取的网络流量，获取描述所述网络流量在传输层的行为模式的图像，所述网络流量在传输层的行为模式包括：发送报文段的大小、接收报文段的大小，所述行为模式在图像中以线条的形式被描述，所述发送报文段的大小和所述接收报文段的大小以所述线条的长度大小表示；

将所述图像输入恶意流量的簇进行聚类分析，以识别所述网络流量是否为恶意流量，其中，所述恶意流量的簇基于描述各网络流量样本在传输层的行为模式的图像集合进行聚类生成。

2.根据权利要求1所述的恶意流量的识别方法，其特征在于，所述网络流量在传输层的行为模式还包括：发送报文段的数量、接收报文段的数量、发送时间间隔大小、接收时间间隔大小和报文的类型。

3.根据权利要求2所述的恶意流量的识别方法，其特征在于，所述报文的类型包括加密报文和非加密报文。

4.根据权利要求1至3任一项中所述的恶意流量的识别方法，其特征在于，所述恶意流量的簇生成的步骤包括：

采集大量的网络流量样本；

根据各所述网络流量样本获取描述各所述网络流量样本在传输层的行为模式的图像集合；

对所述图像集合中的各图像进行聚类处理，生成两个簇；

基于所述两个簇的大小，将较小的簇确定为恶意流量的簇。

5.根据权利要求4所述的恶意流量的识别方法，其特征在于，所述基于所述两个簇的大小，将较小的簇确定为恶意流量的簇的步骤包括：

比较所述两个簇的大小；

如果所述两个簇的大小之差大于或者等于设定阈值，将较小的簇确定为恶意流量的簇。

6.根据权利要求1至3任一项中所述的恶意流量的识别方法，其特征在于，所述方法还包括：

将识别到的恶意流量的图像输入恶意攻击类型识别模型，以识别所述恶意流量的恶意攻击类型，其中，所述恶意攻击类型识别模型基于描述各网络流量样本在传输层的行为模式的图像集合训练建立的。

7.一种恶意流量的识别装置，其特征在于，所述装置包括：

获取模块，用于基于获取的网络流量，获取描述所述网络流量在传输层的行为模式的图像，所述网络流量在传输层的行为模式包括：发送报文段的大小、接收报文段的大小，所述行为模式在图像中以线条的形式被描述，所述发送报文段的大小和所述接收报文段的大小以所述线条的长度大小表示；

输入模块，用于将所述图像输入恶意流量的簇进行聚类分析，以识别所述网络流量是否为恶意流量，其中，所述恶意流量的簇基于描述各网络流量样本在传输层的行为模式的图像集合进行聚类生成。

8.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至6任一项中所述的恶意流量的识别方法的步骤。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现权利要求1至6任一项中所述的恶意流量的识别方法的步骤。