加密流量数据的检测方法、系统、电子装置和存储介质与流程

技术特征：

1.一种加密流量数据的检测方法，其特征在于包括：

获取加密流量数据，并按时间序列将所述加密流量数据分成多个数据包；

利用流式计算模块在所述多个数据包中检测预设特征信息，其中，所述预设特征信息至少包括以下一种特征：时序特征、流量特征、行为特征；

将每个所述数据包和每个所述数据包对应的所述时序特征作为第一流量数据，输入已训练的第一流量预测模型，获得每个所述数据包对应的第一概率信息，以及将每个数据包和每个所述数据包对应的流量特征和行为特征作为第二流量数据，输入已训练的第二流量预测模型，获得每个数据包对应的第二概率信息，其中，所述第一概率信息和所述第二概率信息均包括所述数据包中存在的多种网络入侵行为的类别及每个类别对应的网络入侵行为的预测概率；

至少对所述第一概率信息和所述第二概率信息进行数据处理，得到最终概率信息，并根据所述最终概率信息确定与所述数据包对应的网络入侵行为。

2.根据权利要求1所述的加密流量数据的检测方法，其特征在于，所述第一概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第一预测概率，所述第二概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第二预测概率；至少对所述第一概率信息和所述第二概率信息进行数据处理，得到最终概率信息，并根据所述最终概率信息确定与所述数据包对应的网络入侵行为包括：

至少对每个类别对应的网络入侵行为的第一预测概率的第二预测概率进行加权平均计算，得到每个类别对应的网络入侵行为的最终预测概率，并确定所述最终概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的最终预测概率；

在每个类别对应的网络入侵行为的最终预测概率中选取概率最高的最终预测概率，并确定与所述数据包对应的网络入侵行为包括所述概率最高的最终预测概率对应的所述网络入侵行为。

3.根据权利要求1所述的加密流量数据的检测方法，其特征在于，所述预设特征信息还包括：数据包特征、证书特征；在至少对所述第一概率信息和所述第二概率信息进行数据处理，得到最终概率信息之前，所述方法还包括：

将每个数据包和每个所述数据包对应的数据包特征和证书特征作为第三流量数据，输入已训练的第三流量预测模型，获得每个数据包对应的第三概率信息，其中，所述第三概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第三预测概率。

4.根据权利要求3所述的加密流量数据的检测方法，其特征在于，所述第一概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第一预测概率，所述第二概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第二预测概率；至少对所述第一概率信息和所述第二概率信息进行数据处理，得到最终概率信息包括：

对每个类别对应的网络入侵行为的第一预测概率、第二预测概率以及第三预测概率进行加权平均计算，得到每个类别对应的网络入侵行为的最终预测概率，并确定所述最终概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的最终预测概率。

5.根据权利要求1所述的加密流量数据的检测方法，其特征在于，利用流式计算模块在所述多个数据包中检测预设特征信息包括：

对所述多个数据包进行预处理，得到多个备选数据包，其中，所述预处理包括结构化处理；

将多个所述备选数据包输入到分布式消息处理模块进行分类处理，得到对应每个所述数据包的类别标签；

在所述多个数据包中检测所述类别标签为实时数据的候选数据包，并利用所述流式计算模块在所述候选数据包中检测所述预设特征信息。

6.根据权利要求1所述的加密流量数据的检测方法，其特征在于，在利用流式计算模块在所述多个数据包中检测预设特征信息之后，所述方法还包括：

将每个所述数据包、每个所述数据包对应的预设特征信息以及每个所述数据包和所述预设特征信息的对应关系存储到预设数据库中。

7.根据权利要求1所述的加密流量数据的检测方法，其特征在于，所述方法还包括：

构建第一初始神经网络模型和第二初始神经网络模型；

获取多个训练数据包、对应于每个所述训练数据包的预设特征信息以及对应于每个所述训练数据包的实际网络入侵行为；

将每个所述训练数据包和每个所述训练数据包对应的所述时序特征作为第一训练数据集，输入所述第一初始神经网络模型，以对应于每个所述训练数据包的实际网络入侵行为作为监督，更新所述第一初始神经网络模型中各网络层的连接权值，得到所述已训练的第一流量预测模型；

将每个所述训练数据包和每个所述训练数据包对应的所述流量特征和所述行为特征作为第二训练数据集，输入所述第二初始神经网络模型，以对应于每个所述训练数据包的实际网络入侵行为作为监督，更新所述第二初始神经网络模型中各网络层的连接权值，得到所述已训练的第二流量预测模型。

8.一种加密流量数据的检测系统，其特征在于，包括：

分布式消息处理模块，所述分布式消息处理模块用于对数据包进行分类处理；

流式计算模块，所述流式计算模块用于对所述分布式消息处理模块中的数据包进行特征计算，并获取与每个所述数据包对应的预设特征信息；

预设数据库，所述预设数据库用于存储每个所述数据包、每个所述数据包对应的预设特征信息以及每个所述数据包和所述预设特征信息的对应关系；

流量检测模块，所述流量检测模块用于执行权利要求1至7中任一项所述的加密流量数据的检测方法。

9.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的加密流量数据的检测方法。

10.一种存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的加密流量数据的检测方法。

技术总结
本申请涉及一种加密流量数据的检测方法、系统、电子装置和存储介质，该方法包括：获取加密流量数据，并按时间序列将加密流量数据分成多个数据包；利用流式计算模块在多个数据包中检测预设特征信息；将每个数据包和每个数据包对应的时序特征作为第一流量数据，输入已训练的第一流量预测模型，获得每个数据包对应的第一概率信息，以及获得每个数据包对应的第二概率信息；至少对第一概率信息和第二概率信息进行数据处理，得到最终概率信息，并根据最终概率信息确定与数据包对应的网络入侵行为。通过本申请，解决了相关技术中流量数据中对异常行为的检测效率低的问题，实现了提高对流量数据中异常行为的检测效率的技术效果。

技术研发人员：陈胜;范渊;吴卓群;王欣
受保护的技术使用者：杭州安恒信息技术股份有限公司
技术研发日：2021.03.11
技术公布日：2021.06.22