(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114124563A(43)申请公布日2022.03.01(21)申请号202111461622.0(22)申请日2021.12.02(71)申请人湖北天融信网络安全技术有限公司地址430040湖北省武汉市临空港经济技术开发区五环大道666号(21)申请人北京天融信网络安全技术有限公司北京天融信科技有限公司北京天融信软件有限公司(72)发明人刘盈(74)专利代理机构北京超凡宏宇专利代理事务所(特殊普通合伙)11463代理人李飞(51)Int.Cl.H04L9/40(2022.01)G06K9/62(2022.01)权利要求书2页说明书7页附图2页(54)发明名称一种异常流量检测方法、装置、电子设备及存储介质(57)摘要本申请实施例提供一种异常流量检测方法、装置、电子设备及存储介质，涉及网络安全技术领域。该方法包括提取待检测流量的第一特征向量；依次计算所述第一特征向量与预设的恶意流量的特征向量库中的第二特征向量之间的相似度，以得到相似度集合；根据所述相似度集合判断所述待检测流量是否为异常流量，不需要解码或解密，保留原始的流量特征，通过提取恶意流量特征建立特征库的方法，能够较准确的检测出异常流量，解决了现有方法检测较为耗时且检测结果准确性较低的问题。CN114124563ACN114124563A权利要求书1/2页1.一种异常流量检测方法，其特征在于，所述方法包括：提取待检测流量的第一特征向量；依次计算所述第一特征向量与预设的恶意流量的特征向量库中的第二特征向量之间的相似度，以得到相似度集合；根据所述相似度集合判断所述待检测流量是否为异常流量。2.根据权利要求1所述的异常流量检测方法，其特征在于，在所述依次计算所述第一特征向量与预设的特征向量库中的第二特征向量之间的相似度的步骤之前，所述方法还包括：提取恶意流量的第二特征向量，以构建特征向量库。3.根据权利要求2所述的异常流量检测方法，其特征在于，所述提取异常流量的第二特征向量，以构建特征向量库，包括：提取所述恶意流量的地址信息、首部字段特征和主体特征，以构成第二特征向量，所述地址信息包括源地址、目标地址、源端口、目标端口、相对URL长度、相对URL处理值、查询参数的个数、参数值明文个数、参数值编码个数、参数值加密个数、参数值压缩个数和参数值长度总和。4.根据权利要求3所述的异常流量检测方法，其特征在于，所述提取所述恶意流量的首部字段特征，包括：获取首部字段，所述首部字段包括User‑Agent、Cookie、Set‑Cookie、Content‑Type、X‑Session、HOST、From和Content‑Disposition；基于所述首部字段，判断是否存在key＝value格式，若无则记为0，若有则记为1；获取值的长度，若存在key＝value格式，则值的长度即为value的长度，若不存在，则为所述首部字段的长度；判断值是否经过编码、加密或压缩处理或是明文，若是明文则记为0，编码记为1，加密记为2，压缩记为3。5.根据权利要求3所述的异常流量检测方法，其特征在于，所述提取所述恶意流量的主体特征，包括：判断是否存在key＝value格式，若无则记为0，若有则记为1；判断主体内容是否经过编码、加密、压缩处理或是明文，若是明文则记为0，编码记为1，加密记为2，压缩记为3。6.根据权利要求1所述的异常流量检测方法，其特征在于，所述根据所述相似度集合判断所述待检测流量是否为异常流量，包括：获取所述相似度集合中的最大值；将所述最大值与预设阈值进行比较；若所述最大值大于所述预设阈值，则所述待检测流量为异常流量。7.根据权利要求1所述的异常流量检测方法，其特征在于，所述方法还包括：若所述待检测流量的判断结果为异常流量且判定结果有效，则将所述待检测流量的第一特征向量加入所述特征向量库。8.一种异常流量检测装置，其特征在于，所述装置包括：提取模块，用于提取待检测流量的第一特征向量；2CN114124563A权利要求书2/2页计算模块，用于依次计算所述第一特征向量与预设的特征向量库中的第二特征向量之间的相似度，以得到相似度集合；判断模块，用于根据所述相似度集合判断所述待检测流量是否为异常流量。9.一种电子设备，其特征在于，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至7中任一项所述的异常流量检测方法。10.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行权利要求1至7任一项所述的异常流量检测方法。3CN114124563A说明书1/7页一种异常流量检测方法、装置、电子设