(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113901976A(43)申请公布日2022.01.07(21)申请号202010574518.1(22)申请日2020.06.22(71)申请人北京观成科技有限公司地址100089北京市海淀区西北旺东路10号院东区1号楼三层306A(72)发明人宋冰晶刘军(74)专利代理机构北京集佳知识产权代理有限公司11227代理人柳欣(51)Int.Cl.G06K9/62(2006.01)权利要求书2页说明书11页附图2页(54)发明名称一种恶意流量的识别方法、装置及电子设备(57)摘要本发明提供了一种恶意流量的识别方法、装置及电子设备，其中，该方法包括：获取待处理的目标流量，并确定目标流量中每条元数据的属性参数；根据元数据的属性参数生成图像元素，根据目标流量的多个图像元素依次排列生成与目标流量对应的单流心电图；根据图像分类模型对单流心电图进行分类处理，确定目标流量是否为恶意流量。通过本发明实施例提供的恶意流量的识别方法、装置及电子设备，将目标流量转换为单流心电图，该单流心电图能够表征通信活动在时间维度上的行为特点，从而在图像分类时可以比较容易地提取出异常行为，并比较准确地确定恶意流量，能够提高流量识别的准确率；且该方式可以在无证书、无域名等情况下执行，适用性强。CN113901976ACN113901976A权利要求书1/2页1.一种恶意流量的识别方法，其特征在于，包括：获取待处理的目标流量，并确定所述目标流量中每条元数据的属性参数，所述属性参数包括消息长度、消息类型、消息序列、交互方向中的至少两项；根据所述元数据的属性参数生成与所述元数据对应的图像元素，根据所述目标流量的多个图像元素依次排列生成与所述目标流量对应的单流心电图；根据预设的图像分类模型对所述单流心电图进行分类处理，确定所述目标流量是否为恶意流量。2.根据权利要求1所述的方法，其特征在于，所述根据所述元数据的属性参数生成与所述元数据对应的图像元素包括：根据所述元数据的属性参数，按照相应的预设处理方式生成与所述元数据对应的图像元素；所述预设处理方式包括：根据所述元数据的所述消息长度确定图像元素的尺寸；根据所述元数据的所述消息类型确定图像元素的颜色；根据所述元数据的所述消息序列确定图像元素的所在位置；根据所述元数据的所述交互方向确定图像元素的正负方向。3.根据权利要求2所述的方法，其特征在于，所述根据所述元数据的所述消息长度确定图像元素的尺寸包括：根据所述元数据的所述消息长度确定图像元素的幅值；所述根据所述元数据的所述消息类型确定图像元素的颜色包括：预先为每种消息类型分配相应的颜色，且每两种颜色之间的区分度大于预设阈值；在确定所述元数据的消息类型后，将与所述元数据的消息类型相对应的颜色作为图像元素的颜色。4.根据权利要求1所述的方法，其特征在于，所述根据所述目标流量的多个图像元素依次排列生成与所述目标流量对应的单流心电图包括：根据所述目标流量的多个图像元素依次排列生成原始图像；对所述原始图像进行归一化处理，将所述原始图像转换为预设尺寸的单流心电图。5.根据权利要求1-4任意一项所述的方法，其特征在于，在所述根据预设的图像分类模型对所述单流心电图进行分类处理之前，还包括：获取样本流量以及所述样本流量的分类标签，确定所述样本流量中每条样本元数据的属性参数；根据所述样本元数据的属性参数生成与所述样本元数据对应的样本图像元素，并根据所述样本流量的多个样本图像元素生成与所述样本流量对应的样本单流心电图；将所述样本单流心电图作为输入，将相应的分类标签作为输出，对待训练的图像分类模型进行训练，训练结束后生成所需的图像分类模型。6.根据权利要求5所述的方法，其特征在于，所述分类标签包括：正常浏览器流量、正常应用流量、第一恶意家族流量和第二恶意家族流量。7.一种恶意流量的识别装置，其特征在于，包括：预处理模块，用于获取待处理的目标流量，并确定所述目标流量中每条元数据的属性参数，所述属性参数包括消息长度、消息类型、消息序列、交互方向中的至少两项；2CN113901976A权利要求书2/2页图像生成模块，用于根据所述元数据的属性参数生成与所述元数据对应的图像元素，根据所述目标流量的多个图像元素依次排列生成与所述目标流量对应的单流心电图；分类模块，用于根据预设的图像分类模型对所述单流心电图进行分类处理，确定所述目标流量是否为恶意流量。8.根据权利要求7所述的装置，其特征在于，所述图像生成模块根据所述元数据的属性参数生成与所述元数据对应的图像元素包括：根据所述元数据的属性参数，按照相应的预设处理方式生成与所述元数据对应的图像元素；所述预设处理方式包括：根据所述元数据的所述消息长度确定图像元素的尺寸；根据所述元数据的所述消息