云场景微服务间恶意流量分析检测方法、系统及存储介质与流程

本发明属于网络安全，具体涉及云场景微服务间恶意流量分析检测方法、系统及存储介质。

背景技术：

1、微服务是一种云原生架构方法，在单个应用中包含众多松散耦合且可单独部署的小型组件或服务。这些服务通常拥有自己的技术栈，包括数据库和数据管理模型；通过一个rest api、事件流和消息代理组合彼此通信；以及按照业务能力进行组织，具有通常称为有界上下文的服务分隔线。微服务特点在于代码更容易更新，可以直接添加新特性或功能，而不必更新整个应用，团队可以对不同的组件使用不同的技术栈和不同的编程语言。组件可以相互独立地扩展，从而减少与必须扩展整个应用相关的浪费和成本（因为单个功能可能面临过多的负载）。

2、随着云技术的高速发展，云安全越来越受各使用者的关注。而微服务作为云技术发展的成果之一，其安全不可忽视。其中，微服务东西向流量的防护是非常重要的，因为东西向流量是指从外部网络进入内部网络的流量，而微服务架构中，服务之间的通信通常是通过东西向流量进行的。因此，保护微服务的东西向流量可以有效地防止外部攻击者利用东西向流量进入内部网络并对微服务进行攻击。

3、因此，本发明提供了一种云场景下的微服务间恶意流量的分析检测方案，在特定场景下使用高效分析检测方法对流量进行阻断与放行，其中特定场景即云环境下的微服务。例如，在k8s（kubernetes）中微服务有各自的id、名称和ip，我们将其统一称为唯一标识，微服务间可以使用多种通讯协议如grpc、http等进行交互，其协议格式固定。因此，微服务间流量相对集群外部网络流量具有单一性与固定性。本发明将微服务的唯一标识作为基线主键建立学习基线，基线内容包含但不限于协议、动作、发送时间、请求特征、响应特征。本发明利用深度学习算法对建立的基线进行建模形成基线模型，学习完成后，通过基线模型对流量进行恶意分析检测。

技术实现思路

1、本发明的目的在于提供云场景微服务间恶意流量分析检测方法、系统及存储介质，旨在解决上述的问题。

2、本发明主要通过以下技术方案实现：

3、云场景微服务间恶意流量分析检测方法，包括以下步骤：

4、步骤s1：采集集群中的微服务信息，根据唯一标识建立按时序排列的基线；

5、步骤s2：分析流量并获取一维时序数据，并构建正常样本的恶意请求流量；

6、步骤s3：采用步骤s2中的时序数据训练网络模型；

7、步骤s31：将一维时序数据导入采样取样器进行预处理；

8、步骤s32：将采样特征输入矫正器，利用矫正器结合服务进程的环境参数对流量进行鉴别，拦截具体特征的流量；

9、步骤s33：将一维数组输入特征模型，特征模型对微服务间流量进行检查，并结合步骤s32中的输出结果计算得到该流量是否为恶意流量的0/1输出；

10、步骤s34：将步骤s31输出的一维时序数据特征与步骤s33的输出结果输入时间卷积算法训练模型进行处理，得到最终的流量检测结果；同时记录流量时序与频率并反馈给矫正器；

11、步骤s4：将监测的数据输入训练后的网络模型得到恶意流量分析结果。

12、为了更好地实现本发明，进一步地，所述步骤s2中，所述一维时序数据包括协议、动作、发生时间、请求特征、响应特征和恶意流量特性；所述协议包括grpc、http中的任意一种或多种，所述发生时间为交互流量产生的时间；所述恶意流量特性由样本流量本身决定，正常流量取0，恶意流量取1。

13、为了更好地实现本发明，进一步地，所述请求特征、响应特征分别包括整体数据特征、局部数据特征和协议特征，所述整体数据特征包括json、xml、text格式中的任意一种；所述局部数据特征包括固定格式中标签或数据字段的类型特征，在响应特征的局部数据特征中，提取的响应关键字段包括响应码、错误码；所述类型特征包括整形、字符串、md5、hash中的任意一种或多种；所述协议特征包括协议头固定字段。

14、为了更好地实现本发明，进一步地，在提取请求特征、响应特征时，利用模糊hash算法将各特征进行相似度匹配，相似度在阈值范围内即样本有效；对于有固定特征的流量，阈值为80%，若满足条件，即将匹配阈值置为1，不满足则为0。

15、为了更好地实现本发明，进一步地，在restful中提取http的请求方式，所述动作包括post作为创建、put作为修改；其他模式下，若提取url中特征，则动作包括create、add作为创建、modify、change、update作为修改，delete、remove作为删除。

16、为了更好地实现本发明，进一步地，步骤s32中，所述环境参数包括服务进程的cpu、磁盘、内存使用情况及时序特征、请求频率。

17、本发明主要通过以下技术方案实现：

18、云场景微服务间恶意流量分析检测系统，采用上述的方法进行，包括数据采集模块、模型训练模块和检测模块，所述数据采集模块用于根据唯一标识建立按时序排列的基线并获取一维时序数据；所述模型训练模块用于采用一维时序数据训练网络模型，所述检测模块用于将实时检测的数据输入训练后的网络模型并输出检测结果；

19、所述网络模型包括从前至后依次设置的采样取样器、矫正器、特征模型和时间卷积模块，所述采样取样器分别与矫正器、特征模型连接，所述矫正器、特征模型的输出端与计算模块连接，所述计算模块用于计算得到该流量是否为恶意流量的0/1输出，所述计算模块和采样取样器分别通过组合模块与时间卷积模块连接，所述时间卷积模块与矫正器连接，用于形成负反馈。

20、为了更好地实现本发明，进一步地，所述特征模块基于多因果卷积算法构建。

21、一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述的方法。

22、本发明的有益效果如下：

23、本发明通过提取一维时序数据实现对离散数据进行整合，使得结果更加准确，减少了漏报与误报。本发明针对云场景下的微服务，提取了协议特征、动作特征、请求特征、响应特征、恶意流量特性的特征和时间特征，利用了特定场景下数据的特征性对网络模型进行训练，本发明的网络模型检测的是所有流量中的一帧数据而非对流量数据进行分类；本发明利用矫正器结合服务进程环境对正常流量进行精准鉴别，利用负反馈的原理能够找到伪装正常流量的恶意行为，具有较好的实用性。

技术特征：

1.云场景微服务间恶意流量分析检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的云场景微服务间恶意流量分析检测方法，其特征在于，所述步骤s2中，所述一维时序数据包括协议、动作、发生时间、请求特征、响应特征和恶意流量特性；所述协议包括grpc、http中的任意一种或多种，所述发生时间为交互流量产生的时间；所述恶意流量特性由样本流量本身决定，正常流量取0，恶意流量取1。

3.根据权利要求2所述的云场景微服务间恶意流量分析检测方法，其特征在于，所述请求特征、响应特征分别包括整体数据特征、局部数据特征和协议特征，所述整体数据特征包括json、xml、text格式中的任意一种；所述局部数据特征包括固定格式中标签或数据字段的类型特征，在响应特征的局部数据特征中，提取的响应关键字段包括响应码、错误码；所述类型特征包括整形、字符串、md5、hash中的任意一种或多种；所述协议特征包括协议头固定字段。

4.根据权利要求3所述的云场景微服务间恶意流量分析检测方法，其特征在于，在提取请求特征、响应特征时，利用模糊hash算法将各特征进行相似度匹配，相似度在阈值范围内即样本有效；对于有固定特征的流量，阈值为80%，若满足条件，即将匹配阈值置为1，不满足则为0。

5.根据权利要求2所述的云场景微服务间恶意流量分析检测方法，其特征在于，在restful中提取http的请求方式，所述动作包括post作为创建、put作为修改；其他模式下，若提取url中特征，则动作包括create、add作为创建、modify、change、update作为修改，delete、remove作为删除。

6.根据权利要求1所述的云场景微服务间恶意流量分析检测方法，其特征在于，步骤s32中，所述环境参数包括服务进程的cpu、磁盘、内存使用情况及时序特征、请求频率。

7.云场景微服务间恶意流量分析检测系统，采用权利要求1-6任一项所述的方法进行，其特征在于，包括数据采集模块、模型训练模块和检测模块，所述数据采集模块用于根据唯一标识建立按时序排列的基线并获取一维时序数据；所述模型训练模块用于采用一维时序数据训练网络模型，所述检测模块用于将实时检测的数据输入训练后的网络模型并输出检测结果；

8.根据权利要求7所述的云场景微服务间恶意流量分析检测系统，其特征在于，所述特征模块基于多因果卷积算法构建。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1-6中任一项所述的方法。

技术总结
本发明提供了云场景微服务间恶意流量分析检测方法、系统及存储介质，采集微服务信息，根据唯一标识建立按时序排列的基线；获取一维时序数据，并构建正常样本的恶意请求流量；训练网络模型。本发明通过提取一维时序数据实现对离散数据进行整合，使得结果更加准确，减少了漏报与误报。本发明提取了协议特征、动作特征、请求特征、响应特征、恶意流量特性的特征和时间特征，利用了特定场景下数据的特征性对网络模型进行训练，本发明的网络模型检测的是所有流量中的一帧数据而非对流量数据进行分类；本发明利用矫正器结合服务进程环境对正常流量进行精准鉴别，利用负反馈的原理能够找到伪装正常流量的恶意行为，具有较好的实用性。

技术研发人员：李亿伦,夏先宁,陈曦
受保护的技术使用者：成都安恒信息技术有限公司
技术研发日：
技术公布日：2024/2/21