CN112217762B - 基于用途的恶意加密流量的识别方法及装置 - Google Patents
基于用途的恶意加密流量的识别方法及装置 Download PDFInfo
- Publication number
- CN112217762B CN112217762B CN201910613909.7A CN201910613909A CN112217762B CN 112217762 B CN112217762 B CN 112217762B CN 201910613909 A CN201910613909 A CN 201910613909A CN 112217762 B CN112217762 B CN 112217762B
- Authority
- CN
- China
- Prior art keywords
- encrypted
- flow
- traffic
- target
- generated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种基于用途的恶意加密流量的识别方法及装置,获取目标加密流量和所述目标加密流量的流量特征,所述目标加密流量为通过动态沙箱识别的恶意程序产生的基于SSL/TLS协议的加密流量;依据所述流量特征,依次对所述目标加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别所述目标加密流量的用途;依据所述目标加密流量的用途确定所述目标加密流量是否为恶意加密流量。本发明实现对加密流量的用途进行自动化识别,并进一步根据加密流量的用途识别恶意加密流量,提高了恶意加密流量的识别效率和准确率。
Description
技术领域
本发明涉及信息安全技术领域,更具体的,涉及一种基于用途的恶意加密流量的识别方法及装置。
背景技术
恶意流量识别是计算机网络安全领域的一项重要任务,其目的是在网络边界上基于网络流量数据判定其是否含有恶意行为,如果发现有恶意行为,则及时采取阻断等安全措施,保证终端用户的网络安全。近年来,随着加密通信协议的普遍应用,很多恶意流量也开始使用加密通信的方式。由于恶意行为被隐藏于加密数据中,恶意流量很难被识别出来,恶意加密流量成为安全监测的一个难题和瓶颈。
研究恶意加密流量的检测,必须先确定使用加密通信的样本的攻击用途,目前一般依靠手工对加密流量的攻击用途进行分类,并根据攻击用途对恶意加密流量进行识别,效率低下,且准确率低。
发明内容
有鉴于此,本发明公开了一种恶意加密流量用途的识别方法及装置,对加密流量的用途进行自动化识别,并进一步根据加密流量的用途识别恶意加密流量,提高了恶意加密流量的识别效率和准确率。
为了实现上述发明目的,本发明提供的具体技术方案如下:
一种基于用途的恶意加密流量的识别方法,包括:
获取目标加密流量和所述目标加密流量的流量特征,所述目标加密流量为通过动态沙箱识别的恶意程序产生的基于SSL/TLS协议的加密流量;
依据所述流量特征,依次对所述目标加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别所述目标加密流量的用途;
依据所述目标加密流量的用途确定所述目标加密流量是否为恶意加密流量。
可选的,所述依据所述流量特征,依次对所述目标加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别所述目标加密流量的用途,包括:
依据所述流量特征,对所述目标加密流量进行母体程序检测,判断所述目标加密流量是否属于母体程序自身产生的正常加密流量或连接黑色控制端所产生的加密流量或非感染型病毒程序产生的加密流量;
若所述目标加密流量属于非感染型病毒程序产生的加密流量,对所述目标加密流量进行恶意程序检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或广告推广产生的广告流量或非感染型病毒程序产生的第三类加密流量;
若所述目标加密流量属于非感染型病毒程序产生的第三类加密流量,对所述目标加密流量进行白色站点检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或检测主机环境产生的加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量;
若所述目标加密流量属于连接黑色控制端产生的加密流量,对所述目标加密流量进行黑色控制端检测,判断所述目标加密流量是否属于连接黑色控制端产生的恶意加密流量。
可选的,所述依据所述流量特征,对所述目标加密流量进行母体程序检测,判断所述目标加密流量是否属于母体程序自身产生的正常加密流量或连接黑色控制端所产生的加密流量或非感染型病毒程序产生的加密流量,包括:
判断所述流量特征中的母体程序的家族名中是否包含病毒;
若不包含,判定所述目标加密流量属于非感染型病毒程序产生的加密流量;
若包含,判定所述目标加密流量属于感染型病毒程序产生的加密流量;
判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若在,判定所述目标加密流量属于母体程序自身产生的正常加密流量;
若不在,判定所述目标加密流量属于连接黑色控制端所产生的加密流量。
可选的,所述对所述目标加密流量进行恶意程序检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或广告推广产生的广告流量或非感染型病毒程序产生的第三类加密流量,包括:
判断所述流量特征中的母体程序的家族名中是否包含广告类病毒;
若包含广告类病毒,判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若在,判定所述目标加密流量属于广告推广产生的广告流量;
若不在,判定所述目标加密流量属于连接黑色控制端产生的加密流量;
若不包含广告类病毒,判定所述目标加密流量属于非感染型病毒程序产生的第三类加密流量。
可选的,所述对所述目标加密流量进行白色站点检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或检测主机环境产生的加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量,包括:
判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若不在第一公共证书集合中,判定所述目标加密流量属于连接黑色控制端产生的加密流量;
若在第一公共证书集合中,判定所述目标加密流量属于访问白色站点产生的加密流量,并判断所述流量特征中的DNS域名是否在用于查询IP的网站SSL证书指纹库或第二公共证书集合中;
若是,判定所述目标加密流量属于检测主机环境产生的加密流量;
若否,判断所述流量特征中的DNS域名是否包含邮件信息或DNS类型是否为邮件交换;
若是,判定所述目标加密流量属于访问邮件服务器产生的加密流量;
若否,判断所述流量特征中的DNS域名属性是否在共享类网站SSL证书指纹库中;
若是,判定所述目标加密流量属于访问共享服务产证的加密流量;
若否,判定所述目标加密流量属于访问白色站点产生的第四类加密流量。
可选的,所述对所述目标加密流量进行黑色控制端检测,判断所述目标加密流量是否属于连接黑色控制端产生的恶意加密流量,包括:
判断所述目标加密流量的证书指纹是否在黑域名集合中;
若在黑域名集合中,判定所述目标加密流量属于连接黑色控制端产生的恶意加密流量;
若不在黑域名集合中,判断所述目标加密流量的DNS域名是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
若DNS域名不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判断所述目标加密流量的协议扩展信息项是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
若协议扩展信息项不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判断所述目标加密流量是否无法通过可信根验证;
若无法通过可信根验证,判断所述目标加密流量的使用者通用名是否在公共域名集合或用于查询IP的网站SSL证书指纹库中,
若使用者通用名不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判定所述目标加密流量属于连接黑色控制端产生的恶意加密流量;
若所述目标加密流量的DNS域名、协议扩展信息项和使用者通用名中任一项在公共域名集合或用于查询IP的网站SSL证书指纹库中,或所述目标加密流量通过可信根验证,判定所述目标加密流量属于访问白色站点产生的加密流量,并对所述目标加密流量进行白色站点检测。
可选的,所述依据所述目标加密流量的用途确定所述目标加密流量是否为恶意加密流量,包括:
当所述目标加密流量属于母体程序自身产生的正常加密流量或检测主机环境产生的加密流量时,确定所述目标加密流量为无威胁加密流量;
当所述目标加密流量属于广告推广产生的广告流量时,确定所述目标加密流量为中危加密流量;
当所述目标加密流量属于连接黑色控制端产生的恶意加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量访问白色站点产生的第四类加密流量时,确定所述目标加密流量为高危加密流量;
当所述目标加密流量为无威胁加密流量时,确定所述目标加密流量不是恶意加密流量;
当所述目标加密流量为中危加密流量或高危加密流量时,确定所述目标加密流量为恶意加密流量。
一种基于用途的恶意加密流量的识别装置,包括:
加密流量获取单元,用于获取目标加密流量和所述目标加密流量的流量特征,所述目标加密流量为通过动态沙箱识别的恶意程序产生的基于SSL/TLS协议的加密流量;
流量用途识别单元,用于依据所述流量特征,依次对所述目标加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别所述目标加密流量的用途;
恶意流量确定单元,用于依据所述目标加密流量的用途确定所述目标加密流量是否为恶意加密流量。
可选的,所述流量用途识别单元包括:
母体程序检测子单元,用于依据所述流量特征,对所述目标加密流量进行母体程序检测,判断所述目标加密流量是否属于母体程序自身产生的正常加密流量或连接黑色控制端所产生的加密流量或非感染型病毒程序产生的加密流量;
恶意程序检测子单元,用于若所述目标加密流量属于非感染型病毒程序产生的加密流量,对所述目标加密流量进行恶意程序检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或广告推广产生的广告流量或非感染型病毒程序产生的第三类加密流量;
白色站点检测子单元,用于若所述目标加密流量属于非感染型病毒程序产生的第三类加密流量,对所述目标加密流量进行白色站点检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或检测主机环境产生的加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量;
黑色控制端检测子单元,用于若所述目标加密流量属于连接黑色控制端产生的加密流量,对所述目标加密流量进行黑色控制端检测,判断所述目标加密流量是否属于连接黑色控制端产生的恶意加密流量。
可选的,所述母体程序检测子单元,具体用于:
判断所述流量特征中的母体程序的家族名中是否包含病毒;
若不包含,判定所述目标加密流量属于非感染型病毒程序产生的加密流量;
若包含,判定所述目标加密流量属于感染型病毒程序产生的加密流量;
判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若在,判定所述目标加密流量属于母体程序自身产生的正常加密流量;
若不在,判定所述目标加密流量属于连接黑色控制端所产生的加密流量。
可选的,所述恶意程序检测子单元,具体用于:
判断所述流量特征中的母体程序的家族名中是否包含广告类病毒;
若包含广告类病毒,判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若在,判定所述目标加密流量属于广告推广产生的广告流量;
若不在,判定所述目标加密流量属于连接黑色控制端产生的加密流量;
若不包含广告类病毒,判定所述目标加密流量属于非感染型病毒程序产生的第三类加密流量。
可选的,所述白色站点检测子单元,具体用于:
判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若不在第一公共证书集合中,判定所述目标加密流量属于连接黑色控制端产生的加密流量;
若在第一公共证书集合中,判定所述目标加密流量属于访问白色站点产生的加密流量,并判断所述流量特征中的DNS域名是否在用于查询IP的网站SSL证书指纹库或第二公共证书集合中;
若是,判定所述目标加密流量属于检测主机环境产生的加密流量;
若否,判断所述流量特征中的DNS域名是否包含邮件信息或DNS类型是否为邮件交换;
若是,判定所述目标加密流量属于访问邮件服务器产生的加密流量;
若否,判断所述流量特征中的DNS域名属性是否在共享类网站SSL证书指纹库中;
若是,判定所述目标加密流量属于访问共享服务产证的加密流量;
若否,判定所述目标加密流量属于访问白色站点产生的第四类加密流量。
可选的,所述黑色控制端检测子单元,具体用于判断所述目标加密流量的证书指纹是否在黑域名集合中;
若在黑域名集合中,判定所述目标加密流量属于连接黑色控制端产生的恶意加密流量;
若不在黑域名集合中,判断所述目标加密流量的DNS域名是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
若DNS域名不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判断所述目标加密流量的协议扩展信息项是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
若协议扩展信息项不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判断所述目标加密流量是否无法通过可信根验证;
若无法通过可信根验证,判断所述目标加密流量的使用者通用名是否在公共域名集合或用于查询IP的网站SSL证书指纹库中,
若使用者通用名不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判定所述目标加密流量属于连接黑色控制端产生的恶意加密流量;
若所述目标加密流量的DNS域名、协议扩展信息项和使用者通用名中任一项在公共域名集合或用于查询IP的网站SSL证书指纹库中,或所述目标加密流量通过可信根验证,判定所述目标加密流量属于访问白色站点产生的加密流量,并对所述目标加密流量进行白色站点检测。
可选的,所述恶意流量确定单元,具体用于:
当所述目标加密流量属于母体程序自身产生的正常加密流量或检测主机环境产生的加密流量时,确定所述目标加密流量为无威胁加密流量;
当所述目标加密流量属于广告推广产生的广告流量时,确定所述目标加密流量为中危加密流量;
当所述目标加密流量属于连接黑色控制端产生的恶意加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量时,确定所述目标加密流量为高危加密流量;
当所述目标加密流量为无威胁加密流量时,确定所述目标加密流量不是恶意加密流量;
当所述目标加密流量为中危加密流量或高危加密流量时,确定所述目标加密流量为恶意加密流量。
相对于现有技术,本发明的有益效果如下:
本发明公开的一种基于用途的恶意加密流量的识别方法,依次自动对加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别加密流量的用途,根据加密流量的用途进一步筛选出真正有威胁的恶意加密流量,提高了识别恶意加密流量的效率和准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种基于用途的恶意加密流量的识别方法的流程示意图;
图2为本发明实施例公开的一种恶意加密流量用途的识别方法的流程示意图;
图3为本发明实施例公开的一种基于用途的恶意加密流量的识别装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例公开了一种基于用途的恶意加密流量的识别方法,请参阅图1,该识别方法具体包括以下步骤:
S101:获取目标加密流量和所述目标加密流量的流量特征,所述目标加密流量为通过动态沙箱识别的恶意程序产生的基于SSL/TLS协议的加密流量;
动态沙箱(Sandboxie)用于测试不受信任的应用程序或上网行为,本实施例利用动态沙箱识别恶意程序产生的基于SSL/TLS协议的加密流量,具体的识别方法可以为现有任意一种动态沙箱识别方法,在此不再赘述。
S102:依据所述流量特征,依次对所述目标加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别所述目标加密流量的用途;
恶意程序产生的目标加密流量的用途为母体程序产生的加密流量或连接黑色控制端所产生的恶意加密流量或检测主机环境产生的加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量,如用于下载恶意程序、水坑攻击。
具体的,请参阅图2,依据所述流量特征,依次对目标加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别目标加密流量具体属于上述哪一类。
S201:依据流量特征,对目标加密流量进行母体程序检测;
依据流量特征中的母体程序的家族名对目标加密流量进行母体检测。其中,母体程序为产生目标加密流量的恶意程序。
具体的,判断流量特征中的母体程序的家族名中是否包含病毒,若不包含,判定所述标加密流量属于非感染型病毒程序产生的加密流量;若包含判定目标加密流量属于感染型病毒程序产生的加密流量。
当目标加密流量属于感染型病毒程序产生的加密流量时,判断所述流量特征中的SSL证书是否在第一公共证书集合中,其中,第一预设Alexa排名列表为Alexa排名前100万的证书指纹列表;
若在,判定目标加密流量属于母体程序自身产生的正常加密流量;
若不在,判定目标加密流量属于连接黑色控制端所产生的加密流量。
黑色控制端为恶意程序的控制端,用于下发恶意指令。
S202:判定目标加密流量属于母体程序自身产生的正常加密流量;
S203:判定目标加密流量属于连接黑色控制端所产生的加密流量;
S204:判定目标加密流量属于非感染型病毒程序产生的加密流量;
S205:对目标加密流量进行恶意程序检测;
具体的,判断流量特征中的母体程序的家族名中是否包含广告类病毒,如Adware、PUA、SoftwareBundler;
若包含广告类病毒,判断流量特征中的SSL证书是否在第一公共证书集合中;
若在,判定目标加密流量属于广告推广产生的广告流量;
若不在,判定目标加密流量属于连接黑色控制端产生的加密流量;
若不包含广告类病毒,判定所述目标加密流量属于非感染型病毒程序产生的第三类加密流量。
S206:判定目标加密流量属于广告推广产生的广告流量;
S207:判定目标加密流量属于非感染型病毒程序产生的第三类加密流量;
S208:对目标加密流量进行白色站点检测;
其中,白色站点为正常、安全的站点。
首先,判断流量特征中的SSL证书是否在第一公共证书集合中;
若不在第一公共证书集合中,判定目标加密流量属于连接黑色控制端产生的加密流量;
若在第一公共证书集合中,判定目标加密流量属于访问白色站点产生的加密流量;
具体的,对于属于访问访问白色站点产生的加密流量判断流量特征中的DNS域名是否在用于查询IP的网站SSL证书指纹库(Query IP Domain Set,QIDS)或第二公共证书集合中,其中,第二预设Aleax排名列表为Aleax排名前10000列表;
若是,判定目标加密流量属于检测主机环境产生的加密流量;
若否,判断流量特征中的DNS域名是否包含邮件信息(如mail或smtp)或DNS类型是否为邮件交换;
即DNS TYPE=0x000F(MX邮件交换)
若是,判定目标加密流量属于访问邮件服务器产生的加密流量;
若否,判断流量特征中的DNS域名属性是否在共享类网站SSL证书指纹库(SharedDomain Set,SDS)中;
若是,判定目标加密流量属于访问共享服务产证的加密流量;
若否,判定目标加密流量属于访问白色站点产生的第四类加密流量。
S209:判定目标加密流量属于检测主机环境产生的加密流量;
具体的,检测主机环境产生的加密流量用于获取主机IP,检测主机连通性等。
S210:判定目标加密流量属于访问邮件服务器产生的加密流量;
具体的,访问邮件服务器产生的加密流量用于传播垃圾邮件,获取C2命令并被C2控制,进行蠕虫恶意传播,下载恶意程序,回传敏感数据。
S211:判定目标加密流量属于访问共享服务产生的加密流量;
具体的,访问共享服务产生的加密流量用于获取C2命令并被C2控制,进行蠕虫恶意传播。
S212:判定目标加密流量属于访问白色站点产生的第四类加密流量;
具体的,访问白色站点产生的第四类加密流量为访问白色站点产生的加密流量中,除检测主机环境、访问邮件服务器和访问共享服务之外产生的加密流量,用于下载恶意程序或水坑攻击等。
S213:对目标加密流量进行黑色控制端检测;
S214:判断目标加密流量是否属于连接黑色控制端产生的恶意加密流量。
具体的,判断所述目标加密流量的证书指纹是否在黑域名集合中;
其中,黑域名集合(Black Domain Set,BDS)。
若在黑域名集合中,判定所述目标加密流量属于连接黑色控制端产生的恶意加密流量;
若不在黑域名集合中,判断所述目标加密流量的DNS域名是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
其中,公共域名集合(Public Domain Set,PDS)
若DNS域名不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判断所述目标加密流量的协议扩展信息项是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
其中,协议扩展信息项(Server Name Indicator,SNI)。
若协议扩展信息项不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判断所述目标加密流量是否无法通过可信根验证;
若无法通过可信根验证,判断所述目标加密流量的使用者通用名是否在公共域名集合或用于查询IP的网站SSL证书指纹库中,
其中,使用者通用名(Subject.common_name,CN)。
若使用者通用名不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判定所述目标加密流量属于连接黑色控制端产生的恶意加密流量;
若DNS域名、协议扩展信息项和使用者通用名中任一项在公共域名集合或用于查询IP的网站SSL证书指纹库中,或所述目标加密流量通过可信根验证,判定所述目标加密流量属于访问白色站点产生的加密流量,并对所述目标加密流量进行白色站点检测。
S103:依据所述目标加密流量的用途确定所述目标加密流量是否为恶意加密流量。
当所述目标加密流量属于母体程序自身产生的正常加密流量或检测主机环境产生的加密流量时,确定所述目标加密流量为无威胁加密流量;
当所述目标加密流量属于广告推广产生的广告流量时,确定所述目标加密流量为中危加密流量;
当所述目标加密流量属于连接黑色控制端产生的恶意加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量时,确定所述目标加密流量为高危加密流量;
当所述目标加密流量为无威胁加密流量时,确定所述目标加密流量不是恶意加密流量;
当所述目标加密流量为中危加密流量或高危加密流量时,确定所述目标加密流量为恶意加密流量。
可见,本实施例公开的一种基于用途的恶意加密流量的识别方法,依次自动对加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别加密流量的用途,根据加密流量的用途进一步筛选出真正有威胁的恶意加密流量,提高了识别恶意加密流量的效率和准确性。
基于上述实施例公开的一种基于用途的恶意加密流量的识别方法,本实施例对应公开了一种基于用途的恶意加密流量的识别装置,请参阅图3,该装置包括:
加密流量获取单元301,用于获取目标加密流量和所述目标加密流量的流量特征,所述目标加密流量为通过动态沙箱识别的恶意程序产生的基于SSL/TLS协议的加密流量;
流量用途识别单元302,用于依据所述流量特征,依次对所述目标加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别所述目标加密流量的用途;
恶意流量确定单元303,用于依据所述目标加密流量的用途确定所述目标加密流量是否为恶意加密流量。
可选的,所述流量用途识别单元302包括:
母体程序检测子单元,用于依据所述流量特征,对所述目标加密流量进行母体程序检测,判断所述目标加密流量是否属于母体程序自身产生的正常加密流量或连接黑色控制端所产生的加密流量或非感染型病毒程序产生的加密流量;
恶意程序检测子单元,用于若所述目标加密流量属于非感染型病毒程序产生的加密流量,对所述目标加密流量进行恶意程序检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或广告推广产生的广告流量或非感染型病毒程序产生的第三类加密流量;
白色站点检测子单元,用于若所述目标加密流量属于非感染型病毒程序产生的第三类加密流量,对所述目标加密流量进行白色站点检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或检测主机环境产生的加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量;
黑色控制端检测子单元,用于若所述目标加密流量属于连接黑色控制端的加密流量,对所述目标加密流量进行黑色控制端检测,判断所述目标加密流量是否属于连接黑色控制端产生的恶意加密流量。
可选的,所述母体程序检测子单元,具体用于:
判断所述流量特征中的母体程序的家族名中是否包含病毒;
若不包含,判定所述目标加密流量属于非感染型病毒程序产生的加密流量;
若包含,判定所述目标加密流量属于感染型病毒程序产生的加密流量;
判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若在,判定所述目标加密流量属于母体程序自身产生的正常加密流量;
若不在,判定所述目标加密流量属于连接黑色控制端所产生的加密流量。
可选的,所述恶意程序检测子单元,具体用于:
判断所述流量特征中的母体程序的家族名中是否包含广告类病毒;
若包含广告类病毒,判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若在,判定所述目标加密流量属于广告推广产生的广告流量;
若不在,判定所述目标加密流量属于连接黑色控制端产生的加密流量;
若不包含广告类病毒,判定所述目标加密流量属于非感染型病毒程序产生的第三类加密流量。
可选的,所述白色站点检测子单元,具体用于:
判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若不在第一公共证书集合中,判定所述目标加密流量属于连接黑色控制端产生的加密流量;
若在第一公共证书集合中,判定所述目标加密流量属于访问白色站点产生的加密流量,并判断所述流量特征中的DNS域名是否在用于查询IP的网站SSL证书指纹库或第二公共证书集合中;
若是,判定所述目标加密流量属于检测主机环境产生的加密流量;
若否,判断所述流量特征中的DNS域名是否包含邮件信息或DNS类型是否为邮件交换;
若是,判定所述目标加密流量属于访问邮件服务器产生的加密流量;
若否,判断所述流量特征中的DNS域名属性是否在共享类网站SSL证书指纹库中;
若是,判定所述目标加密流量属于访问共享服务产证的加密流量;
若否,判定所述目标加密流量属于访问白色站点产生的第四类加密流量。
可选的,所述黑色控制端检测子单元,具体用于判断所述目标加密流量的证书指纹是否在黑域名集合中;
若在黑域名集合中,判定所述目标加密流量属于连接黑色控制端产生的恶意加密流量;
若不在黑域名集合中,判断所述目标加密流量的DNS域名是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
若DNS域名不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判断所述目标加密流量的协议扩展信息项是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
若协议扩展信息项不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判断所述目标加密流量是否无法通过可信根验证;
若无法通过可信根验证,判断所述目标加密流量的使用者通用名是否在公共域名集合或用于查询IP的网站SSL证书指纹库中,
若使用者通用名不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判定所述目标加密流量属于连接黑色控制端产生的恶意加密流量;
若所述目标加密流量的DNS域名、协议扩展信息项和使用者通用名中任一项在公共域名集合或用于查询IP的网站SSL证书指纹库中,或所述目标加密流量通过可信根验证,判定所述目标加密流量属于访问白色站点产生的加密流量,并对所述目标加密流量进行白色站点检测。
可选的,所述恶意流量确定单元303,具体用于:
当所述目标加密流量属于母体程序自身产生的正常加密流量或检测主机环境产生的加密流量时,确定所述目标加密流量为无威胁加密流量;
当所述目标加密流量属于广告推广产生的广告流量时,确定所述目标加密流量为中危加密流量;
当所述目标加密流量属于连接黑色控制端产生的恶意加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量时,确定所述目标加密流量为高危加密流量;
当所述目标加密流量为无威胁加密流量时,确定所述目标加密流量不是恶意加密流量;
当所述目标加密流量为中危加密流量或高危加密流量时,确定所述目标加密流量为恶意加密流量。
本实施例公开的一种基于用途的恶意加密流量的识别装置,依次自动对加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别加密流量的用途,根据加密流量的用途进一步筛选出真正有威胁的恶意加密流量,提高了识别恶意加密流量的效率和准确性。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种基于用途的恶意加密流量的识别方法,其特征在于,包括:
获取目标加密流量和所述目标加密流量的流量特征,所述目标加密流量为通过动态沙箱识别的恶意程序产生的基于SSL/TLS协议的加密流量;
依据所述流量特征,依次对所述目标加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别所述目标加密流量的用途,包括:依据所述流量特征,对所述目标加密流量进行母体程序检测,判断所述目标加密流量是否属于母体程序自身产生的正常加密流量或连接黑色控制端所产生的加密流量或非感染型病毒程序产生的加密流量;若所述目标加密流量属于非感染型病毒程序产生的加密流量,对所述目标加密流量进行恶意程序检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或广告推广产生的广告流量或非感染型病毒程序产生的第三类加密流量;若所述目标加密流量属于非感染型病毒程序产生的第三类加密流量,对所述目标加密流量进行白色站点检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或检测主机环境产生的加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量;若所述目标加密流量属于连接黑色控制端产生的加密流量,对所述目标加密流量进行黑色控制端检测,判断所述目标加密流量是否属于连接黑色控制端产生的恶意加密流量;
依据所述目标加密流量的用途确定所述目标加密流量是否为恶意加密流量。
2.根据权利要求1所述的方法,其特征在于,所述依据所述流量特征,对所述目标加密流量进行母体程序检测,判断所述目标加密流量是否属于母体程序自身产生的正常加密流量或连接黑色控制端所产生的加密流量或非感染型病毒程序产生的加密流量,包括:
判断所述流量特征中的母体程序的家族名中是否包含病毒;
若不包含,判定所述目标加密流量属于非感染型病毒程序产生的加密流量;
若包含,判定所述目标加密流量属于感染型病毒程序产生的加密流量;
判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若在,判定所述目标加密流量属于母体程序自身产生的正常加密流量;
若不在,判定所述目标加密流量属于连接黑色控制端所产生的加密流量。
3.根据权利要求1所述的方法,其特征在于,所述对所述目标加密流量进行恶意程序检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或广告推广产生的广告流量或非感染型病毒程序产生的第三类加密流量,包括:
判断所述流量特征中的母体程序的家族名中是否包含广告类病毒;
若包含广告类病毒,判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若在,判定所述目标加密流量属于广告推广产生的广告流量;
若不在,判定所述目标加密流量属于连接黑色控制端产生的加密流量;
若不包含广告类病毒,判定所述目标加密流量属于非感染型病毒程序产生的第三类加密流量。
4.根据权利要求1所述的方法,其特征在于,所述对所述目标加密流量进行白色站点检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或检测主机环境产生的加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量,包括:
判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若不在第一公共证书集合中,判定所述目标加密流量属于连接黑色控制端产生的加密流量;
若在第一公共证书集合中,判定所述目标加密流量属于访问白色站点产生的加密流量,并判断所述流量特征中的DNS域名是否在用于查询IP的网站SSL证书指纹库或第二公共证书集合中;
若是,判定所述目标加密流量属于检测主机环境产生的加密流量;
若否,判断所述流量特征中的DNS域名是否包含邮件信息或DNS类型是否为邮件交换;
若是,判定所述目标加密流量属于访问邮件服务器产生的加密流量;
若否,判断所述流量特征中的DNS域名属性是否在共享类网站SSL证书指纹库中;
若是,判定所述目标加密流量属于访问共享服务产证的加密流量;
若否,判定所述目标加密流量属于访问白色站点产生的第四类加密流量。
5.根据权利要求1所述的方法,其特征在于,所述对所述目标加密流量进行黑色控制端检测,判断所述目标加密流量是否属于连接黑色控制端产生的恶意加密流量,包括:
判断所述目标加密流量的证书指纹是否在黑域名集合中;
若在黑域名集合中,判定所述目标加密流量属于连接黑色控制端产生的恶意加密流量;
若不在黑域名集合中,判断所述目标加密流量的DNS域名是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
若DNS域名不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判断所述目标加密流量的协议扩展信息项是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
若协议扩展信息项不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判断所述目标加密流量是否无法通过可信根验证;
若无法通过可信根验证,判断所述目标加密流量的使用者通用名是否在公共域名集合或用于查询IP的网站SSL证书指纹库中;
若使用者通用名不在公共域名集合或用于查询IP的网站SSL证书指纹库中,判定所述目标加密流量属于连接黑色控制端产生的恶意加密流量;
若所述目标加密流量的DNS域名、协议扩展信息项和使用者通用名中任一项在公共域名集合或用于查询IP的网站SSL证书指纹库中,或所述目标加密流量通过可信根验证,判定所述目标加密流量属于访问白色站点产生的加密流量,并对所述目标加密流量进行白色站点检测。
6.根据权利要求1所述的方法,其特征在于,所述依据所述目标加密流量的用途确定所述目标加密流量是否为恶意加密流量,包括:
当所述目标加密流量属于母体程序自身产生的正常加密流量或检测主机环境产生的加密流量时,确定所述目标加密流量为无威胁加密流量;
当所述目标加密流量属于广告推广产生的广告流量时,确定所述目标加密流量为中危加密流量;
当所述目标加密流量属于连接黑色控制端产生的恶意加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量时,确定所述目标加密流量为高危加密流量;
当所述目标加密流量为无威胁加密流量时,确定所述目标加密流量不是恶意加密流量;
当所述目标加密流量为中危加密流量或高危加密流量时,确定所述目标加密流量为恶意加密流量。
7.一种基于用途的恶意加密流量的识别装置,其特征在于,包括:
加密流量获取单元,用于获取目标加密流量和所述目标加密流量的流量特征,所述目标加密流量为通过动态沙箱识别的恶意程序产生的基于SSL/TLS协议的加密流量;
流量用途识别单元,用于依据所述流量特征,依次对所述目标加密流量进行母体程序检测、恶意程序检测、白色站点检测和黑色控制端检测,识别所述目标加密流量的用途;
所述流量用途识别单元包括:母体程序检测子单元、恶意程序检测子单元、白色站点检测子单元与黑色控制端检测子单元;
所述母体程序检测子单元,用于依据所述流量特征,对所述目标加密流量进行母体程序检测,判断所述目标加密流量是否属于母体程序自身产生的正常加密流量或连接黑色控制端所产生的加密流量或非感染型病毒程序产生的加密流量;
所述恶意程序检测子单元,用于若所述目标加密流量属于非感染型病毒程序产生的加密流量,对所述目标加密流量进行恶意程序检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或广告推广产生的广告流量或非感染型病毒程序产生的第三类加密流量;
所述白色站点检测子单元,用于若所述目标加密流量属于非感染型病毒程序产生的第三类加密流量,对所述目标加密流量进行白色站点检测,判断所述目标加密流量是否属于连接黑色控制端产生的加密流量或检测主机环境产生的加密流量或访问邮件服务器产生的加密流量或访问共享服务产生的加密流量或访问白色站点产生的第四类加密流量;
所述黑色控制端检测子单元,用于若所述目标加密流量属于连接黑色控制端产生的加密流量,对所述目标加密流量进行黑色控制端检测,判断所述目标加密流量是否属于连接黑色控制端产生的恶意加密流量;
恶意流量确定单元,用于依据所述目标加密流量的用途确定所述目标加密流量是否为恶意加密流量。
8.根据权利要求7所述的装置,其特征在于,所述母体程序检测子单元,具体用于:
判断所述流量特征中的母体程序的家族名中是否包含病毒;
若不包含,判定所述目标加密流量属于非感染型病毒程序产生的加密流量;
若包含,判定所述目标加密流量属于感染型病毒程序产生的加密流量;
判断所述流量特征中的SSL证书是否在第一公共证书集合中;
若在,判定所述目标加密流量属于母体程序自身产生的正常加密流量;
若不在,判定所述目标加密流量属于连接黑色控制端所产生的加密流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910613909.7A CN112217762B (zh) | 2019-07-09 | 2019-07-09 | 基于用途的恶意加密流量的识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910613909.7A CN112217762B (zh) | 2019-07-09 | 2019-07-09 | 基于用途的恶意加密流量的识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112217762A CN112217762A (zh) | 2021-01-12 |
| CN112217762B true CN112217762B (zh) | 2022-11-18 |
Family
ID=74048331
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910613909.7A Active CN112217762B (zh) | 2019-07-09 | 2019-07-09 | 基于用途的恶意加密流量的识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112217762B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113938314B (zh) * | 2021-11-17 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 一种加密流量的检测方法及装置、存储介质 |
| CN114363073A (zh) * | 2022-01-07 | 2022-04-15 | 中国联合网络通信集团有限公司 | Tls加密流量分析方法、装置、终端设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713371A (zh) * | 2016-12-08 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 |
| CN107646190A (zh) * | 2015-03-17 | 2018-01-30 | 英国电讯有限公司 | 使用傅里叶变换的恶意加密网络流量识别 |
| CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
| CN109495513A (zh) * | 2018-12-29 | 2019-03-19 | 极客信安(北京)科技有限公司 | 无监督的加密恶意流量检测方法、装置、设备及介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10505970B2 (en) * | 2016-10-05 | 2019-12-10 | Cisco Technology, Inc. | Identifying and using DNS contextual flows |
-
2019
- 2019-07-09 CN CN201910613909.7A patent/CN112217762B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107646190A (zh) * | 2015-03-17 | 2018-01-30 | 英国电讯有限公司 | 使用傅里叶变换的恶意加密网络流量识别 |
| CN106713371A (zh) * | 2016-12-08 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 |
| CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
| CN109495513A (zh) * | 2018-12-29 | 2019-03-19 | 极客信安(北京)科技有限公司 | 无监督的加密恶意流量检测方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112217762A (zh) | 2021-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11936666B1 (en) | Risk analyzer for ascertaining a risk of harm to a network and generating alerts regarding the ascertained risk | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| US8683585B1 (en) | Using file reputations to identify malicious file sources in real time | |
| US7434261B2 (en) | System and method of identifying the source of an attack on a computer network | |
| US11122061B2 (en) | Method and server for determining malicious files in network traffic | |
| US8805995B1 (en) | Capturing data relating to a threat | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| US8375120B2 (en) | Domain name system security network | |
| CA2545916C (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
| JP2018530066A (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
| EP2998901B1 (en) | Unauthorized-access detection system and unauthorized-access detection method | |
| WO2012034304A1 (zh) | 一种基于层次化漏洞威胁评估的漏洞修复方法 | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| US8898777B1 (en) | Systems and methods for detecting user activities to identify deceptive activity | |
| US8789174B1 (en) | Method and apparatus for examining network traffic and automatically detecting anomalous activity to secure a computer | |
| US20160134658A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| US9275226B1 (en) | Systems and methods for detecting selective malware attacks | |
| CN112217762B (zh) | 基于用途的恶意加密流量的识别方法及装置 | |
| RU2531565C2 (ru) | Система и способ анализа событий запуска файлов для определения рейтинга их безопасности | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| EP3190767B1 (en) | Technique for detecting malicious electronic messages | |
| JP2011008730A (ja) | コンピュータシステム、コンピュータ装置、ファイルオープン方法、及びプログラム | |
| KR20130116418A (ko) | Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| EP3019995B1 (en) | Identifying misuse of legitimate objects |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |