(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210255959.4 (22)申请日 2022.03.15 (71)申请人 清华大学 地址 100084 北京市海淀区清华园 (72)发明人 徐恪　傅川溥　李琦　 (74)专利代理 机构 北京清亦华知识产权代理事 务所(普通 合伙) 11201 专利代理师 单冠飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/045(2022.01) G06V 10/44(2022.01) G06V 10/50(2022.01) G06V 10/26(2022.01) G06V 10/28(2022.01)G06V 10/762(2022.01) G06V 10/764(2022.01) G06K 9/62(2022.01) (54)发明名称 基于流量交互图的隐蔽恶意流量检测方法 和装置 (57)摘要 本发明公开了基于流量交互图的隐蔽恶意 流量检测方法和装置， 其中， 该方法包括： 通过工 作在网关的检测系统监听通过所述网关的流量； 对监听到的流量进行数据包粒度的特征抽取， 得 到数据包粒度特征； 根据数据包 粒度特征构建流 量交互图， 利用流量交互图的图结构表示流量的 长期交互模式； 基于流量交互图， 通过图学习的 检测算法检测流量交互图上的异常局部结构， 并 将异常局部结构标记为对应的隐蔽恶意流量。 本 发明具有检测吞吐高、 低时延、 高精度等优点， 在 兼顾计算开销和存储开销的同时， 保证了在高带 宽的场景 下的实时隐蔽恶意 流量自动识别。 权利要求书2页 说明书7页 附图2页 CN 114710322 A 2022.07.05 CN 114710322 A 1.一种基于流 量交互图的隐蔽恶意 流量检测方法， 其特 征在于， 包括以下步骤： 通过工作在网关的检测系统监听通过 所述网关的流 量； 对监听到的所述 流量进行数据包粒度的特 征抽取， 得到数据包粒度特 征； 根据所述数据包粒度 特征构建流量交互图， 利用所述流量交互图的图结构表示所述流 量的长期交 互模式； 基于所述流量交互图， 通过图学习的检测算法检测所述流量交互图上的异常局部结 构， 并将所述异常局部结构标记为对应的隐蔽恶意 流量。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述数据包粒度 特征构建流量交 互图， 包括： 进行长短流分类、 短流聚集和长流分布拟合； 所述图学习包括： 进行连通性分析、 边的预聚类、 关键节点识别和不正常交互模式的识 别。 3.根据权利要求2所述的方法， 其特 征在于， 所述进行长短流分类， 包括： 根据链接四元组将经 过所述特征抽取得到的数据包序列组装成为 流； 根据所述 流中包含的数据包数量， 将所述 流分为长流和短流； 分别处理所述长流和短流， 以将所述长流和短流构建为所述 流量交互图上的边。 4.根据权利要求3所述的方法， 其特 征在于， 所述进行短流聚集， 包括： 基于所述短流， 对预设数量的相似的短流进行聚合操作， 以将所述相似的短流划归短 流组； 基于所述短流组构造表示短流的边； 其中， 每一条所述短流的边对应一组所述相似的 短流， 表示所述短流的边保存一份逐包特征序列和每一条短流链接的四元组， 以及链接开 始的时间戳。 5.根据权利要求3所述的方法， 其特 征在于， 所述进行长流分布拟合， 包括： 对于所述长流， 利用直方图拟合长流当中的包特征分布， 并构造所述流量交互图上对 应于长流的边； 其中， 对于一条所述长流， 表示所述长流的边保存其链接的四元组和时间 戳， 以及对应各种包特 征近似概 率分布的直方图。 6.根据权利要求2所述的方法， 其特 征在于， 所述进行 连通性分析， 包括： 利用深度优先搜索算法得到所述流量交互图的强连通分量， 并根据所述强连通分量分 割所述流量交互图； 基于对所述流量交互图的分割， 抽取每个所述强连通分量的粗粒度的统计特征， 利用 所述统计特征对所述 强连通分量进行聚类， 将偏离聚类中心的强连通分量作为异常强联通 分量进行处 理。 7.根据权利要求6所述的方法， 其特 征在于， 所述进行边的预聚类， 包括： 对于每一个所述异常强连通分量当中的边进行预聚类， 对每一条边抽取图结构特征， 利用DBSCAN 算法对所述图结构特 征进行聚类得到系列簇； 对于所述系列簇 中的每一个簇， 选取所述每一个簇的聚类中心对应的边代表这一个簇 当中其余的边参与后续的处 理。 8.根据权利要求7 所述的方法， 其特 征在于， 所述进行关键节点识别， 包括： 对于每一个所述强连通分量上的节点和每一个通过所述预聚类选取的边构 成的子图， 通过求解最大节点覆盖问题选出一个节点 集合；权　利　要　求　书 1/2 页 2 CN 114710322 A 2将所述节点 集合中选中的节点作为存在潜在攻击的关键节点。 9.根据权利要求8所述的方法， 其特 征在于， 所述 不正常交互模式的识别， 包括： 对于每一个所述关键节点， 提取通过 所述预聚类选出的并且与该关键节点相连的边； 基于所述提取的边， 抽取所述流量交互图的结构化特征和所述流量的统计特征， 以构 造特征向量并对所述 提取的边进行聚类； 基于对所述提取的边进行聚类， 将偏离聚类中心 的边标记为具备异常交互模式的边， 将所述具 备异常交 互模式的边对应的流标记为隐蔽恶意 流量， 以作为检测的结果。 10.一种基于流 量交互图的隐蔽恶意 流量检测装置， 其特 征在于， 包括： 流量监听模块， 用于通过工作在网关的检测系统监听通过 所述网关的流 量； 特征抽取模块， 用于对监听到的所述流量进行数据包粒度的特征抽取， 得到数据包粒 度特征； 图构建模块， 用于根据所述数据包粒度特征构建流量交互图， 利用所述流量交互图的 图结构表示所述 流量的长期交 互模式； 检测识别模块， 用于基于所述流量交互图， 通过图学习的检测算法检测所述流量交互 图上的异常局部结构， 并将所述异常局部结构标记为对应的隐蔽恶意 流量。权　利　要　求　书 2/2 页 3 CN 114710322 A 3