(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210923990.0 (22)申请日 2022.08.02 (71)申请人 清华大学 地址 100084 北京市海淀区清华园 (72)发明人 徐恪　李海斌　赵乙　李琦　 (74)专利代理 机构 北京清亦华知识产权代理事 务所(普通 合伙) 11201 专利代理师 孟洋 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于窗口特征的恶意流量检测方法及 装置 (57)摘要 本发明公开了一种基于窗口特征的恶意流 量检测方法及装置， 该方法包括： 获取本次待检 测网络流量数据； 根据基于窗口的特征提取方法 对本次待检测网络流量数据的特征值进行计算 得到第一特征数据的特征向量， 将特征向量满足 预设条件的第二特征数据输入本次预先训练的 流量检测模 型进行数据类型判定， 得到数据类型 判定结果； 根据数据类型判定结果确定本次待检 测网络流量数据中的恶意流量数据。 本发明实施 的方案可以降低机器学习检测恶意流量的延迟， 还可以减小机器学习训练和检测过程中对网络 设备造成的开销， 并且在降低检测延迟和开销的 同时可以提高检测准确率， 有助于提升机器学习 模型在资源 有限的网络设备中的易部署性。 权利要求书2页 说明书7页 附图4页 CN 115459947 A 2022.12.09 CN 115459947 A 1.一种基于窗口特 征的恶意 流量检测方法， 其特 征在于， 包括以下步骤： 获取本次待检测网络流 量数据； 根据基于窗口的特征提取方法对所述本次待检测网络流量数据的特征值进行计算得 到第一特征数据的特征向量， 将所述特征向量满足预设条件的第二特征数据输入本次预先 训练的流 量检测模型进行 数据类型判定， 得到数据类型判定结果； 根据所述数据类型判定结果确定所述本次待检测网络流 量数据中的恶意 流量数据。 2.根据权利要求1所述的方法， 其特征在于， 所述本次待检测网络流量数据的特征值， 包括： 包速率、 字节速率、 IPID平均值、 IPID标准差、 TTL平均值、 TTL标准差、 包大小的平均值、 包大小的标准差、 源端口号的平均值、 源端口号的标准差、 目的端口号的平均值、 目的端口 号的标准差、 TCP包序列号的平均值、 TCP包序列号的标准差、 TCP包应答号的平均值、 TCP包 应答号的标准差、 TCP包窗口 的平均值和TCP包窗口 的标准差数据中的多种。 3.根据权利要求2所述的方法， 其特征在于， 在所述将特征向量满足预设条件的第 二特 征数据输入本次预 先训练的流 量检测模型进行 数据类型判定之前， 还 包括： 获取本次样本数据， 其中， 所述本次样本数据包括带标注的正常流量数据和恶意流量 数据； 利用基于窗口的特征提取方法对所述本次样本数据中的特征值进行特征提取， 得到本 次样本数据的特 征向量的训练特 征数据集； 从所述本次样本数据的特征向量的训练特征数据集中， 将满足预设条件的特征向量对 应的第三特征数据输入本次流量检测模型进 行模型训练和验证， 得到所述本次预先训练的 流量检测模型。 4.根据权利要求3所述的方法， 其特征在于， 所述利用基于窗口的特征提取方法对本次 样本数据中的特征值进行特征提取， 得到本次样本数据的特征向量的训练特征数据集， 包 括： 利用预设采样频率对时间窗口的本次样本数据进行采样得到多个数据包， 从所述多个 数据包中计算所述本次样本数据中的特 征值得到第四特 征数据； 对所述第四特征数据中的每一个样本特征数据生成一个样本特征向量， 根据 所有所述 样本特征向量得到 本次训练特 征数据集。 5.根据权利要求3所述的方法， 其特 征在于， 所述方法， 还 包括： 在进行下次待检测网络流量数据中的恶意流量数据检测时， 基于更新后的样本数据 更 新流量检测模型， 并根据所述更新后的流 量检测模型进行恶意 流量数据检测。 6.一种基于窗口特 征的恶意 流量检测装置， 其特 征在于， 包括以下步骤： 数据获取模块， 用于获取本次待检测网络流 量数据； 数据类型判定模块， 用于根据基于窗口的特征提取方法对所述本次待检测网络流量数 据的特征值进 行计算得到第一特征数据的特征向量， 将所述特征向量满足预设条件的第二 特征数据输入本次预 先训练的流 量检测模型进行 数据类型判定， 得到数据类型判定结果； 流量检测模块， 用于根据所述数据类型判定结果确定所述本次待检测网络流量数据中 的恶意流量数据。 7.根据权利要求6所述的装置， 其特 征在于， 所述数据获取模块中的特 征值， 包括：权　利　要　求　书 1/2 页 2 CN 115459947 A 2包速率、 字节速率、 IPID平均值、 IPID标准差、 TTL平均值、 TTL标准差、 包大小的平均值、 包大小的标准差、 源端口号的平均值、 源端口号的标准差、 目的端口号的平均值、 目的端口 号的标准差、 TCP包序列号的平均值、 TCP包序列号的标准差、 TCP包应答号的平均值、 TCP包 应答号的标准差、 TCP包窗口 的平均值和TCP包窗口 的标准差数据中的多种。 8.根据权利要求7所述的装置， 其特征在于， 在所述数据类型判定模块之前， 还包括模 型训练模块， 包括： 训练数据子单元， 用于获取本次样本数据， 其中， 所述本次样本数据包括带标注的正常 流量数据和恶意 流量数据； 特征提取子单元， 用于利用基于窗口的特征提取方法对所述本次样本数据中的特征值 进行特征提取， 得到 本次样本数据的特 征向量的训练特 征数据集； 训练验证子单元， 用于从所述本次样本数据的特征向量的训练特征数据集中， 将满足 预设条件的特征向量对应的第三特征数据输入本次流量检测模型进行模型训练和验证， 得 到所述本次预 先训练的流 量检测模型。 9.根据权利要求8所述的装置， 其特 征在于， 所述特 征提取子单 元， 还用于： 利用预设采样频率对时间窗口的本次样本数据进行采样得到多个数据包， 从所述多个 数据包中计算所述本次样本数据中的特 征值得到第四特 征数据； 对所述第四特征数据中的每一个样本特征数据生成一个样本特征向量， 根据 所有所述 样本特征向量得到 本次训练特 征数据集。 10.根据权利要求8所述的装置， 其特 征在于， 所述装置还 包括， 模型 更新模块， 所述模型更新模块， 用于在进行下次待检测网络流量数据中的恶意流量数据检测时， 基于更新后的样本数据更新流量检测模型， 并根据所述更新后的流量检测模型进 行恶意流 量数据检测。权　利　要　求　书 2/2 页 3 CN 115459947 A 3