[发明专利]流量识别方法、装置、电子设备、及存储介质

说明书

本公开实施例公开了一种流量识别方法、装置、电子设备、及存储介质，方法包括：获取网络中未确定所属应用程序的数据流作为未知数据流；回溯多个不包含域名信息且已确定所属应用程序的数据流作为多个参考数据流；分别计算所述多个参考数据流与所述未知数据流之间的相似度，以确定最大相似度、以及所述最大相似度对应的参考数据流；若所述最大相似度大于或等于预定相似度阈值，则确定所述未知数据流的所属应用程序，与所述最大相似度对应的参考数据流的所属应用程序相同。本公开实施例的技术方案能够提高识别恶意流量的准确性和精度。

技术领域

本公开实施例涉及计算机网络技术领域，具体涉及一种流量识别方法、装置、电子设备、及存储介质。

背景技术

流量识别的目标是对网络流量按照协议、应用和WEB服务三个层次进行实时识别，尽可能做到细粒度的分类，为网络监控提供决策参考。在流量识别的基础上，网络监控可以采取多种措施。流量识别可以用于流量计费、提升用户体验和保障网络安全方面，还可以用于日常运维，通过流量识别及早发现网络流量异动，从而采取保障措施，确保业务不受影响。

目前流量识别技术包括端口识别技术、深度包识别技术、深度流识别技术、以及机器学习或者人工智能技术。由于机器学习技术可以从原始数据中直接提取特征，节省了人工成本，同时能够发现人眼难以发现的规律，可以处理加密流量。因此基于机器学习和人工智能的流量识别方法是目前研究的主流方向，但是现有的基于机器学习的流量识别方法对流量分类比较粗，识别恶意流量时准确性不高。

发明内容

有鉴于此，本公开实施例提供一种流量识别方法、装置、电子设备、及存储介质，以提高识别恶意流量的准确性和精度。

本公开实施例的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开实施例的实践而习得。

在本公开的第一方面，本公开实施例提供了一种流量识别方法，包括：

获取网络中未确定所属应用程序的数据流作为未知数据流；

回溯多个不包含域名信息且已确定所属应用程序的数据流作为多个参考数据流；

分别计算所述多个参考数据流与所述未知数据流之间的相似度，以确定最大相似度、以及所述最大相似度对应的参考数据流；

若所述最大相似度大于或等于预定相似度阈值，则确定所述未知数据流的所属应用程序，与所述最大相似度对应的参考数据流的所属应用程序相同。

于一实施例中，获取网络中未确定所属应用程序的数据流作为未知数据流包括：

获取网络中数据流，根据预定的硬编码规则确定所述数据流的所属应用程序，若确定成功则为所述数据流标记所述所属应用程序，若确定失败则获取所述数据流作为所述未知数据流。

于一实施例中，所述方法还包括，若所述最大相似度小于所述预定相似度阈值，则：

回溯多个DNS应答记录，若所述多个DNS应答记录中包含以所述未知流的IP地址为目的地址的至少一个DNS记录，获取所述至少一个DNS记录对应的至少一个域名；

回溯多个包含所述至少一个域名的已确定所属应用程序的数据流，分别计算所回溯的数据流与所述未知数据流之间的域名文本相似度，若域名文本相似度大于第二预定相似度阈值，则根据所述数据流的所属应用程序，以及所述多个参考数据流的所属应用程序，确定所述未知数据流的所属应用程序。

于一实施例中，根据所述数据流的所属应用程序，以及所述多个参考数据流的所属应用程序，确定所述未知数据流的所属应用程序包括：