(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111486004.1 (22)申请日 2021.12.07 (71)申请人 全球能源互联网研究院有限公司 地址 102209 北京市昌平区未来科技城 滨 河大道18号 申请人 国家电网有限公司 　 国网江西省电力有限公司 　 国网雄安金融科技 集团有限公司 (72)发明人 沈文　郭骞　于鹏飞　 (74)专利代理 机构 北京安博达知识产权代理有 限公司 1 1271 代理人 徐国文 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/08(2006.01) (54)发明名称 一种恶意机 器流量识别方法及系统 (57)摘要 本发明设计了一种恶意机器流量识别方法 及系统， 针对国网等互联网侧APP可能出现的用 户访问次数和频率大幅增加， 带来恶意流量识别 困难的问题， 采用深度学习技术动态划分可疑流 量， 并对流量使用隐性马尔可夫链预测用户访问 行为， 达到了有针对性地分析并识别恶意机器流 量、 为恶意 流量的处理提供准确的定位的效果。 权利要求书2页 说明书6页 附图2页 CN 114422168 A 2022.04.29 CN 114422168 A 1.一种恶意机器流 量识别方法， 其特 征在于， 包括以下步骤: 步骤1， 采集全量的历史流 量数据， 分解 流量数据， 形成训练样本； 步骤2， 基于训练样本进行 数据训练， 得到流 量行为模型； 步骤3， 基于用户访问行为特征进行深度 学习， 利用所述流量行为模型对实时网络流量 进行检测,识别出异常用户； 步骤4， 对所述异常用户访问操作流 量进行持续追踪； 步骤5， 对恶意机器流 量进行识别。 2.根据权利要求1所述的方法， 其中， 所述步骤1， 采集全量的历史流量数据， 分解流量 数据， 形成训练样本， 具体包括： 步骤1‑1， 网络探针提取全量的历史流量数据， 所述流量数据是所有访问用户的流量数 据总集合； 步骤1‑2， 流量分析器对比不同时间段的访问用户， 去除偶发的用户访问流 量； 步骤1‑3， 流量分析器统计所有数据中相同的访问用户。 3.根据权利要求2所述的方法， 其中， 所述网络探针部署在网关入口的中间件服务器 上， 以插件形式按照旁路方式部署。 4.根据权利要求2所述的方法， 其中， 所述流量数据总集合包括用户访 问终端的IP、 访 问时间、 访问页面、 页面停留时间； 所述访问页面为网页ur l地址； 所述页面停留时间为用户 从访问到关闭网站页面/访问下一个网站页面的时间。 5.根据权利要求1所述的方法， 其中， 所述步骤2， 基于训练样本进行数据训练， 得到流 量行为模型， 具体包括： 步骤2‑1， 生成业 务所有访问操作集 合； 步骤2‑2， 统计流 量训练样本中用户前N个操作； 步骤2‑3， 生成隐性马尔科 夫链， 构建流 量行为模型 结构及估计模型参数； 步骤2‑4， 对用户N+1步的操作进行预测， 并与训练样本中用户实际N+1步操作比较， 修 正所述的模型 结构及模型参数； 步骤2‑5， 得到训练后的流 量行为模型。 6.根据权利要求1所述的方法， 其中， 所述步骤4， 对所述异常用户访问操作流量进行持 续追踪， 具体包括： 步骤4‑1， 将所述异常用户标记到负面清单； 步骤4‑2， 对于标记到负面清单的用户， 持续记录其访问流 量和访问操作间隔。 7.根据权利要求1所述的方法， 其中， 所述步骤5， 对恶意机器流量进行识别， 具体包括： 识别所述访问流量是否异常， 并判断所述访问操作间隔是否呈现正态分布， 若所述访问流 量异常且所述访问操作间隔未 呈现正态分布， 标记该用户的访问流 量为恶意机器流 量。 8.一种恶意机器流 量识别系统， 其特 征在于， 包括: 采集单元， 用于采集全量的历史流 量数据， 分解 流量数据， 形成训练样本； 训练单元， 用于基于训练样本进行 数据训练， 得到流 量行为模型； 学习单元， 用于基于用户访 问行为特征进行深度学习， 利用所述流量行为模型对实时 网络流量进行检测,识别出异常用户； 追踪单元， 用于对所述异常用户访问操作流 量进行持续追踪；权　利　要　求　书 1/2 页 2 CN 114422168 A 2识别单元， 用于对恶意机器流 量进行识别。 9.根据权利要求8所述的系统， 其中， 所述采集单元， 用于采集全量的历史流量数据， 分 解流量数据， 形成训练样本， 具体包括： 提取子单元， 用于网络探针提取全量的历史流量数据， 所述流量数据是所有访 问用户 的流量数据总集 合； 预处理单元， 用于流 量分析器对比不同时间段的访问用户， 去除偶发的用户访问流 量； 统计单元， 用于流 量分析器统计所有数据中相同的访问用户。 10.根据权利要求8所述的系统， 其中， 所述识别单元， 用于对恶意机器流量进行识别， 具体包括： 识别所述访问流量是否异常， 并判断所述访问操作间隔是否呈现正态分布， 若 所 述访问流量异常且所述访问操作间隔未呈现正态分布， 标记该用户的访问流量为恶意机器 流量。权　利　要　求　书 2/2 页 3 CN 114422168 A 3