一种流量数据的检测方法、装置、设备及存储介质与流程

本技术涉及网络安全，尤其涉及一种流量数据的检测方法、装置、设备及存储介质。

背景技术：

1、随着万维网(world wide web，web)的发展，基于web的应用系统充斥着我们的生活，在便利我们生活的同时，web安全也变得尤为重要。在web安全中，最受攻击者的青睐的是xss网络攻击。具体而言，攻击者通过在web页面中插入恶意脚本代码，如在web页面中插入html代码和javascript脚本等，将该恶意代码注入到网页中，当其他用户浏览这些网页时，就会执行这些恶意脚本代码，攻击者便可以通过恶意指令代码进行cookie资料窃取、会话劫持、钓鱼欺骗以及提升攻击者的用户权限并进一步作恶等，更有甚者这些恶意代码还会蔓延到别的系统形成xss蠕虫。

2、现有的xss检测方法主要是基于规则匹配的方式对获取到的流量数据进行检测，如针对获取到的流量数据中的payload进行正则匹配，从而确定是否检测到xss攻击。然而，现有的基于规则匹配的检测方式太过于固定，攻击者只要找到规则匹配的规律即可通过更换编码的方式绕过检测，且现有的规则匹配的方式也无法全面识别xss攻击，如在攻击者使用新的攻击规则时，现有的基于规则匹配的检测方法无法也准确识别xss攻击。

技术实现思路

1、为了解决上述技术问题或者至少部分地解决上述技术问题，本技术提供了一种流量数据的检测方法、装置、设备及存储介质。

2、第一方面，本技术提供了一种流量数据的检测方法，其特征在于，包括：

3、获取目标流量数据；

4、通过预设的编码分类模型对所述目标流量数据进行分类解码处理，得到目标解码数据；

5、依据所述目标解码数据中包含的字段特征信息，将所述目标解码数据输入所述字段特征信息对应预设的分类识别模型，得到所述分类识别模型输出的分类识别信息；

6、依据所述分类识别信息，生成所述目标流量数据对应的检测识别结果。

7、可选的，所述通过预设的编码分类模型对所述目标流量数据进行分类解码处理，得到目标解码数据，包括：

8、通过预设的编码分类模型对所述目标流量数据进行分类解码，得到初始解码数据；

9、按照预设的数据格式，对所述初始解码数据进行去重处理，得到目标解码数据。

10、可选的，所述通过预设的编码分类模型对所述目标流量数据进行分类解码处理，得到初始解码数据，包括：

11、将所述目标流量数据输入到所述编码分类模型中，其中，所述目标流量数据包含至少两个目标检测字段信息；

12、通过所述编码分类模型中的分类器对所述至少两个目标检测字段信息进行分类处理，得到各目标检测字段信息对应的待编码信息；

13、对所述各目标检测字段信息对应的待编码信息进行统一编码，得到待检测编码数据；

14、若所述待检测编码数据符合预设的解码条件，则将所述待检测编码数据确定为所述初始解码数据。

15、可选的，所述得到待检测编码数据之后，还包括：

16、判断所述待检测编码数据是否包含待解码数据；

17、若所述待检测编码数据不包含待解码数据，则确定所述待检测编码数据符合预设的解码条件；

18、若所述待检测编码数据包含待解码数据，则记录所述待检测编码数据对应的分类解码迭代次数；

19、若所述待检测编码数据对应的分类解码迭代次数达到预设的分类解码迭代次数阈值，则确定所述待检测编码数据符合预设的解码条件；

20、若所述待检测编码数据对应的分类解码迭代次数小于预设的分类解码迭代次数阈值，则依据所述待检测编码数据重新执行分类解码处理的步骤，直到待检测编码数据对应的分类解码迭代次数达到预设的分类解码迭代次数阈值。

21、可选的，所述按照预设的数据格式，对所述初始解码数据进行去重处理，得到目标解码数据，包括：

22、基于所述数据格式，对所述初始解码数据中包含的字符信息进行格式统一处理，得到目标格式数据；

23、基于所述目标格式数据进行去重处理，得到所述目标解码数据。

24、可选的，所述目标解码数据包含的至少两个字段特征信息，所述依据所述目标解码数据中包含的字段特征信息，将所述目标解码数据输入所述字段特征信息对应预设的分类识别模型，得到所述分类识别模型输出的分类识别信息，包括：

25、针对所述目标解码数据中包含的每一个字段特征信息，将所述目标解码数据输入所述字段特征信息对应预设的分类识别模型，得到所述分类识别模型输出的分类识别信息；其中，所述分类识别信息包括每一个字段特征信息对应预设的分类识别模型输出的攻击识别分数。

26、可选的，所述依据所述分类识别信息，生成所述目标流量数据对应的检测识别结果，包括：

27、通过深度神经网络，对所述分类识别信息包含的攻击识别分数进行深度处理，得到所述目标流量数据对应的预测分数；

28、若所述预测分数大于预设的预测分数阈值，则生成所述目标流量数据对应的正常流量识别结果；

29、若所述预测分数不大于预设的预测分数阈值，则生成所述目标流量数据对应的异常流量识别结果，并基于所述异常流量识别结果，将所述目标流量数据确定为恶意指令代码；

30、其中，所述获取目标流量数据之前，还包括：从预设的训练数据集中获取待训练的样本流量数据；依据所述样本流量数据进行模型训练，得到所述编码分类模型；依据所述样本流量数据，确定样本字段特征信和所述样本字段特征信息对应的样本标识识别信息；基于所述样本字段特征信息和所述样本字段特征信息对应的样本标识识别信息进行模型训练，得到所述分类识别模型。

31、第二方面，本技术提供了一种流量数据的检测装置，包括：获取模块、目标解码数据确定模块、分类识别信息确定模块以及检测结果确定模块；

32、其中，所述获取模块，用于获取目标流量数据；

33、所述目标解码数据确定模块，用于通过预设的编码分类模型对所述目标流量数据进行分类解码处理，得到目标解码数据；

34、所述分类识别信息确定模块，用于依据所述目标解码数据中包含的字段特征信息，将所述目标解码数据输入所述字段特征信息对应预设的分类识别模型，得到所述分类识别模型输出的分类识别信息；

35、所述检测结果模块，用于依据所述分类识别信息，生成所述目标流量数据对应的检测识别结果。

36、第三方面，本技术提供了一种流量数据的检测设备，其特征在于，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

37、存储器，用于存放计算机程序；

38、处理器，用于执行存储器上所存放的程序时，实现如第一方面任一项实施例所述的流量数据的检测方法的步骤。

39、第四方面，本技术提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如第一方面任一项实施例所述的流量数据的检测方法的步骤。

40、综上，本技术通过获取目标流量数据，通过预设的编码分类模型对目标流量数据进行分类解码处理，得到目标解码数据，依据目标解码数据中包含的字段特征信息，将目标解码数据输入字段特征信息对应预设的分类识别模型，得到分类识别模型输出的分类识别信息，依据分类识别信息，生成目标流量数据对应的检测识别结果，从而可以通过多维度匹配的方式对目标流量数据进行检测，提高了检测精度，解决了现有的基于规则匹配的xss检测方法，由于检测规则过于固定，导致在攻击者使用新的攻击规则时无法全面、准确识别xss攻击的问题。