CN111310187A - 一种恶意软件的检测方法、装置、电子设备及存储介质 - Google Patents
一种恶意软件的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111310187A CN111310187A CN202010250314.2A CN202010250314A CN111310187A CN 111310187 A CN111310187 A CN 111310187A CN 202010250314 A CN202010250314 A CN 202010250314A CN 111310187 A CN111310187 A CN 111310187A
- Authority
- CN
- China
- Prior art keywords
- information
- client
- tls
- clienthello
- fingerprint
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 32
- 238000001514 detection method Methods 0.000 claims abstract description 22
- 238000013507 mapping Methods 0.000 claims description 38
- 238000004590 computer program Methods 0.000 claims description 9
- 230000006870 function Effects 0.000 claims description 8
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000004891 communication Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种恶意软件的检测方法,所述检测方法包括获取客户端向服务器发送的ClientHello信息;其中,所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息;根据所述ClientHello信息生成所述客户端的TLS指纹信息;判断恶意指纹特征库中是否包括所述客户端的TLS指纹信息;若是,则判定检测到恶意软件。本方法能够提高恶意软件的识别准确率。本申请还公开了一种恶意软件的检测装置、一种存储介质及一种电子设备,具有以上有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种恶意软件的检测方法、装置、一种电子设备及一种存储介质。
背景技术
在网络威胁情报应用领域,通常基于IoC(Indicators of Compromise,入侵指标)对恶意软件进行识别,但是这种基于IoC的恶意软件识别方式往往需要配合文件哈希值(hash)、域名、互联网协议地址(Internet Protocol Address,IP地址)、统一资源标识符(Uniform Resource Identifier,URI)路径、超文本传输协议的用户代理(HTTP User-Agent)、甚至网络通信报文等等多项信息。为了将恶意通信隐藏在合法的通信流量之中,并增加检测难度,越来越多恶意软件使用变化的域名、IP地址以及加密的网络流量来进行伪装,因此传统的基于IoC的恶意软件识别准确率较低。
因此,如何提高恶意软件的识别准确率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种恶意软件的检测方法、装置、一种电子设备及一种存储介质,能够提高恶意软件的识别准确率。
为解决上述技术问题,本申请提供一种恶意软件的检测方法,该状态预警方法包括:
获取客户端向服务器发送的ClientHello信息;其中,所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息;
根据所述ClientHello信息生成所述客户端的TLS指纹信息;
若所述客户端的TLS指纹信息与恶意指纹特征库中的预设指纹信息匹配,则判定检测到恶意软件。
可选的,根据所述ClientHello信息生成所述客户端的TLS指纹信息包括:
计算所述ClientHello信息对应的映射值,并将所述映射值作为所述客户端的TLS指纹信息。
可选的,计算所述ClientHello信息对应的映射值包括;
基于十进制映射函数将所述ClientHello信息映射为对应的十进制数据;
或,基于哈希函数将所述ClientHello信息映射为对应的哈希值。
可选的,计算所述ClientHello信息对应的映射值包括:
将所述客户端的所述TLS协议版本、所述密码套件、所述扩展项目和所述密钥加密信息按照预设顺序排列,得到待映射数据;
按照预设映射方式计算所述待映射数据的映射值。
可选的,所述密钥加密信息包括椭圆曲线加密算法和所述椭圆曲线加密算法对应的椭圆曲线参数。
可选的,还包括:
获取所述服务器向所述客户端发送的ServerHello信息;其中,所述ServerHello信息包括所述服务器的TLS协议版本、密码套件、扩展项目和密钥加密信息;
根据所述ServerHello信息生成所述服务器的TLS指纹信息;
若所述服务器的TLS指纹信息与所述恶意指纹体征库中的预设指纹信息匹配,则判定检测到恶意软件。
可选的,还包括:
若所述服务器的TLS指纹信息和所述客户端的TLS指纹信息均为所述恶意指纹体征库中的预设指纹信息,则生成恶意软件报警信息,并将所述恶意软件报警信息的置信度设置为最大值。
本申请还提供了一种恶意软件的检测装置,该恶意软件的检测装置包括:
信息获取模块,用于获取客户端向服务器发送的ClientHello信息;其中,所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息;
指纹生成模块,用于根据所述ClientHello信息生成所述客户端的TLS指纹信息;
检测模块,用于判断恶意指纹特征库中是否包括所述客户端的TLS指纹信息;若是,则判定检测到恶意软件。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述恶意软件的检测方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述恶意软件的检测方法执行的步骤。
本申请提供了一种恶意软件的检测方法,包括:获取客户端向服务器发送的ClientHello信息;其中,所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息;根据所述ClientHello信息生成所述客户端的TLS指纹信息;判断恶意指纹特征库中是否包括所述客户端的TLS指纹信息;若是,则判定检测到恶意软件。
本申请首先获取客户端向服务器发送的ClientHello信息,ClientHello信息为客户端与服务器建立连接过程中发送的信息,ClientHello信息中可以包括TLS协议版本、密码套件、扩展项目和密钥加密信息。由于TLS协议版本、密码套件、扩展项目和密钥加密信息为固定不变的信息,利用ClientHello信息生成所述客户端的TLS指纹信息具有较高的稳定性,进而可以根据TLS指纹信息与恶意指纹特征库中的预设指纹信息匹配,黑客无法通过变化的域名或IP地址对恶意软件发出的流量进行伪装,因此本申请能够提高恶意软件的识别准确率。本申请同时还提供了一种恶意软件的检测装置、一种存储介质和一种电子设备,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种恶意软件的检测方法的流程图;
图2为本申请实施例所提供的一种TLS协议客户端与服务器交互流程示意图;
图3为本申请实施例所提供的一种基于ServerHello信息的恶意软件检测方法的流程图;
图4为本申请实施例所提供的一种恶意软件的检测装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种恶意软件的检测方法的流程图。
具体步骤可以包括:
S101:获取客户端向服务器发送的ClientHello信息;
其中,本实施例可以应用于客户端,也可以应用于服务器,还可以应用于与客户端和/或服务器连接的网络安全监控设备。本实施例中的客户端为可以为基于TLS/SSL通信的设备,TLS为Transport Layer Security(安全传输层协议)的简写,SSL为Secure SocketsLayer(安全套接层)的简写。
请参见图2,图2为本申请实施例所提供的一种TLS协议客户端与服务器交互流程示意图。图2中SYN为同步序列编号(Synchronize Sequence Numbers),ACK为确认字符(Acknowledge character),Change Cipher Spec Finished为更改密码规范已完成,Application Data为应用程序数据。
在TLS会话中,客户端向服务器发送的第一个消息为ClientHello信息,ClientHello信息中可以包括客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息。所述密钥加密信息可以包括椭圆曲线加密算法和所述椭圆曲线加密算法对应的椭圆曲线参数。上述客户端的TLS协议版本即客户端当前可支持的TLS协议版本Version,密码套件指客户端当前支持的密码套件Cipher Suites,扩展项目又称扩展列表Extensions,密钥加密信息可以包括椭圆曲线(Extension:elliptic curves/SupportedGroups)和椭圆曲线参数(Extension:ec_point_formats)。在TLS标准中,在TLS1.0-1.2版本的密码套件的名称是以协商安全设置时使用的密钥交换算法、批量加密算法、消息认证码(MAC)算法以及伪随机数等。在TLS1.3版本中,密码套件用于协商加密和HMAC算法。
S102:根据ClientHello信息生成客户端的TLS指纹信息;
其中,本步骤建立在已经得到客户端向服务器发送的ClientHello信息的基础上,基于ClientHello信息生成客户端的TLS指纹信息。作为一种可行的实施方式,可以直接将ClientHello信息的全部内容或部分内容作为TLS指纹信息。作为另一种可行的实施方式,可以计算ClientHello信息对应的映射值,进而将所述映射值作为所述客户端的TLS指纹信息。通过对ClientHello信息进行映射得到的TLS指纹信息,能够减小TLS指纹信息的数据量大小,提高后续操作中TLS指纹信息匹配的效率。
S103:判断恶意指纹特征库中是否包括客户端的TLS指纹信息;若是,则进入S104;
其中,本实施例可以存在预先构建恶意指纹特征库的操作,具体如下:获取恶意软件发送的历史ClientHello信息,根据历史ClientHello信息生成对应的预设TLS指纹信息。若恶意指纹特征库中包括所述客户端的TLS指纹信息,则说明ClientHello信息为恶意软件发送的信息;若恶意指纹特征库中不包括客户端的TLS指纹信息,则可以结束检测流程,当然也可以利用服务器返回的ServerHello信息进一步判断是否存在恶意软件。
具体的,利用ServerHello信息判断是否存在恶意软件的过程可以为:获取服务器向客户端发送的ServerHello信息;根据所述ServerHello信息生成所述服务器的TLS指纹信息;判断恶意指纹特征库中是否包括所述服务器的TLS指纹信息,若是判定存在恶意软件。
S104:判定检测到恶意软件。
其中,本实施例在判定检测到恶意软件之后,还可以存在生成恶意软件报警信息的操作,以便对用户进行提醒。具体的,本实施例可以将客户端中发送ClientHello信息的软件作为恶意软件。作为一种可行的实施方式,恶意软件报警信息中可以包括置信度,置信度可以用于描述本次操作检测到恶意软件的可信程度。
本实施例首先获取客户端向服务器发送的ClientHello信息,ClientHello信息为客户端与服务器建立连接过程中发送的信息,ClientHello信息中可以包括TLS协议版本、密码套件、扩展项目和密钥加密信息。由于TLS协议版本、密码套件、扩展项目和密钥加密信息为固定不变的信息,利用ClientHello信息生成所述客户端的TLS指纹信息具有较高的稳定性,进而可以根据TLS指纹信息与恶意指纹特征库中的预设指纹信息匹配,黑客无法通过变化的域名或IP地址对恶意软件发出的流量进行伪装,因此本实施例能够提高恶意软件的识别准确率。进一步的,由于用于生成TLS指纹信息的ClientHello信息在TLS加密会话建立前是明文的,因此即使恶意软件通信流量无法解密、通信服务器ip或域名不断变化的情况下,本实施例仍能实现对恶意软件的识别。
作为对于图1对应实施例的进一步介绍,S102中生成TLS指纹信息的方式可以包括:计算所述ClientHello信息对应的映射值,并将所述映射值作为所述客户端的TLS指纹信息。作为一种可行的实施方式,可以基于十进制映射函数将所述ClientHello信息映射为对应的十进制数据,进而得到十进制数据的TLS指纹信息。作为另一种可行的实施方式,可以基于哈希函数将所述ClientHello信息映射为对应的哈希值,进而将该哈希值作为TLS指纹信息。
例如,若将ClientHello信息映射为十进制序列值,得到的TLS指纹信息可以为771,19018-4865-4866-4867-49195-49199-49196-49200-52393-52392-49171-49172-156-157-47-53-10,60138-29-23-24,0,5-5-1-0-0。
例如,若将ClientHello信息映射为哈希值,得到的TLS指纹信息可以为88454649d364a77df39d5dd820ac1f20。
TLS协议加密套件及扩展项目中的可选项非常多,组合的类型也有很多种类,因此恶意软件所使用的TLS版本号信息、加密算法套件中算法及其排序、扩展信息内容及其排序往往具有其唯一性。基于上述原理,可以通过以下方式生成TSL指纹信息:将所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息按照预设顺序排列,得到待映射数据;按照预设映射方式计算所述待映射数据的映射值,并将所述映射值作为客户端的TLS指纹信息。本实施例可以将待映射数据的映射值作为识别特定恶意软件的指纹,并定义该指纹识别方法为TLS_FP。TLS_FP可以用于指纹识别的ClientHello及ServerHello数据包中字段,具体可以包含如下内容:版本(Version)、可接受的密码套件(Cipher Suites)、扩展列表(Extensions)、椭圆曲线(Extension:elliptic curves/SupportedGroups)和椭圆曲线参数(Extension:ec_point_formats)。
请参见图3,图3为本申请实施例所提供的一种基于ServerHello信息的恶意软件检测方法的流程图,可以包括以下步骤:
S201:获取所述服务器向所述客户端发送的ServerHello信息;
其中,所述ServerHello信息包括所述服务器的TLS协议版本、密码套件、扩展项目和密钥加密信息;
S202:根据所述ServerHello信息生成所述服务器的TLS指纹信息;
S203:若所述服务器的TLS指纹信息与所述恶意指纹体征库中的预设指纹信息匹配,则判定检测到恶意软件。
本实施例可以应用于使用TLS加密流量进行C2(Command and Control,命令控制服务器)通信的恶意软件或渗透测试工具的识别场景,在进行分析期间,可以将恶意软件与服务器进行TLS加密通信前进行加密通信协商的部分流量特征作为指纹,进而识别该恶意软件。具体的,本实施例可以将服务器中发送ServerHello信息的软件作为恶意软件。
在具体应用过程中,同一台服务器会根据Client Hello消息及其内容以不同的方式创建其Server Hello消息。为降低误判,图1对应的实施例可以将一对ClientHello和ServerHello中的指纹结合起来作为一个识别特定恶意软件的指纹。在TLS会话中,客户端向服务器发送的ClientHello中往往包含了客户端支持的TLS协议版本、支持的密码套件、扩展项目等信息;而服务器返回的ServerHello中往往也包含了这几项信息,且这部分信息在TLS加密会话建立前是明文的,因此即使恶意软件通信流量无法解密、通信服务器ip或域名不断变化的情况下,本实施例仍能实现对恶意软件的识别。
作为一种可行的实施方式,在检测到恶意软件后均可以生成恶意软件报警信息进行报警,恶意软件报警信息中可以包括置信度,置信度可以用于描述本次操作检测到恶意软件的可信程度。若恶意指纹体征库包括客户端的TLS指纹信息且不包括服务器的TLS指纹信息,则将恶意软件报警信息的置信度设置为第一预设值。若恶意指纹体征库包括服务器的TLS指纹信息且不包括客户端的TLS指纹信息,则将恶意软件报警信息的置信度设置为第二预设值。若所述服务器的TLS指纹信息和所述客户端的TLS指纹信息均为所述恶意指纹体征库中的预设指纹信息,则生成恶意软件报警信息,并将所述恶意软件报警信息的置信度设置为最大值。其中,第一预设值和第二预设值均小于置信度的最大值。
请参见图4,图4为本申请实施例所提供的一种恶意软件的检测装置的结构示意图;
该装置可以包括:
信息获取模块100,用于获取客户端向服务器发送的ClientHello信息;其中,所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息;
指纹生成模块200,用于根据所述ClientHello信息生成所述客户端的TLS指纹信息;
检测模块300,用于判断恶意指纹特征库中是否包括所述客户端的TLS指纹信息;若是,则判定检测到恶意软件。
本实施例首先获取客户端向服务器发送的ClientHello信息,ClientHello信息为客户端与服务器建立连接过程中发送的信息,ClientHello信息中可以包括TLS协议版本、密码套件、扩展项目和密钥加密信息。由于TLS协议版本、密码套件、扩展项目和密钥加密信息为固定不变的信息,利用ClientHello信息生成所述客户端的TLS指纹信息具有较高的稳定性,进而可以根据TLS指纹信息与恶意指纹特征库中的预设指纹信息匹配,黑客无法通过变化的域名或IP地址对恶意软件发出的流量进行伪装,因此本实施例能够提高恶意软件的识别准确率。
进一步的,指纹生成模块200包括:
映射单元,用于计算所述ClientHello信息对应的映射值;
指纹设置单元,用于将所述映射值作为所述客户端的TLS指纹信息。
进一步的,映射单元用于射基于十进制映射函数将所述ClientHello信息映射为对应的十进制数据;或,用于基于哈希函数将所述ClientHello信息映射为对应的哈希值。
进一步的,映射单元用于将所述客户端的所述TLS协议版本、所述密码套件、所述扩展项目和所述密钥加密信息按照预设顺序排列,得到待映射数据;还用于按照预设映射方式计算所述待映射数据的映射值。
进一步的,所述密钥加密信息包括椭圆曲线加密算法和所述椭圆曲线加密算法对应的椭圆曲线参数。
进一步的,还包括:
ServerHello获取模块,用于获取所述服务器向所述客户端发送的ServerHello信息;其中,所述ServerHello信息包括所述服务器的TLS协议版本、密码套件、扩展项目和密钥加密信息;
服务器指纹生成模块,用于根据所述ServerHello信息生成所述服务器的TLS指纹信息;
服务器判定模块,用于若所述服务器的TLS指纹信息与所述恶意指纹体征库中的预设指纹信息匹配,则判定检测到恶意软件。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种恶意软件的检测方法,其特征在于,包括:
获取客户端向服务器发送的ClientHello信息;其中,所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息;
根据所述ClientHello信息生成所述客户端的TLS指纹信息;
判断恶意指纹特征库中是否包括所述客户端的TLS指纹信息;
若是,则判定检测到恶意软件。
2.根据权利要求1所述检测方法,其特征在于,根据所述ClientHello信息生成所述客户端的TLS指纹信息包括:
计算所述ClientHello信息对应的映射值,并将所述映射值作为所述客户端的TLS指纹信息。
3.根据权利要求2所述检测方法,其特征在于,计算所述ClientHello信息对应的映射值包括;
基于十进制映射函数将所述ClientHello信息映射为对应的十进制数据;
或,基于哈希函数将所述ClientHello信息映射为对应的哈希值。
4.根据权利要求2所述检测方法,其特征在于,计算所述ClientHello信息对应的映射值包括:
将所述客户端的所述TLS协议版本、所述密码套件、所述扩展项目和所述密钥加密信息按照预设顺序排列,得到待映射数据;
按照预设映射方式计算所述待映射数据的映射值。
5.根据权利要求1所述检测方法,其特征在于,所述密钥加密信息包括椭圆曲线加密算法和所述椭圆曲线加密算法对应的椭圆曲线参数。
6.根据权利要求1至5任一项所述检测方法,其特征在于,还包括:
获取所述服务器向所述客户端发送的ServerHello信息;其中,所述ServerHello信息包括所述服务器的TLS协议版本、密码套件、扩展项目和密钥加密信息;
根据所述ServerHello信息生成所述服务器的TLS指纹信息;
若所述服务器的TLS指纹信息与所述恶意指纹体征库中的预设指纹信息匹配,则判定检测到恶意软件。
7.根据权利要求6任一项所述检测方法,其特征在于,还包括:
若所述服务器的TLS指纹信息和所述客户端的TLS指纹信息均为所述恶意指纹体征库中的预设指纹信息,则生成恶意软件报警信息,并将所述恶意软件报警信息的置信度设置为最大值。
8.一种恶意软件的检测装置,其特征在于,包括:
信息获取模块,用于获取客户端向服务器发送的ClientHello信息;其中,所述ClientHello信息包括所述客户端的TLS协议版本、密码套件、扩展项目和密钥加密信息;
指纹生成模块,用于根据所述ClientHello信息生成所述客户端的TLS指纹信息;
检测模块,用于判断恶意指纹特征库中是否包括所述客户端的TLS指纹信息;若是,则判定检测到恶意软件。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至7任一项所述恶意软件的检测方法的步骤。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至7任一项所述恶意软件的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010250314.2A CN111310187A (zh) | 2020-04-01 | 2020-04-01 | 一种恶意软件的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010250314.2A CN111310187A (zh) | 2020-04-01 | 2020-04-01 | 一种恶意软件的检测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111310187A true CN111310187A (zh) | 2020-06-19 |
Family
ID=71160828
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010250314.2A Pending CN111310187A (zh) | 2020-04-01 | 2020-04-01 | 一种恶意软件的检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111310187A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037746A (zh) * | 2021-03-05 | 2021-06-25 | 中国工商银行股份有限公司 | 客户端指纹提取、身份识别和网络安全检测的方法及装置 |
| CN114172703A (zh) * | 2021-11-26 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 一种恶意软件识别方法、装置、介质 |
| CN114928452A (zh) * | 2022-05-17 | 2022-08-19 | 壹沓科技(上海)有限公司 | 访问请求验证方法、装置、存储介质及服务器 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102006062283A1 (de) * | 2006-12-22 | 2008-06-26 | Authentidate International Ag | Verfahren zum Signieren von digitalen Daten |
| CN108259406A (zh) * | 2016-12-28 | 2018-07-06 | 中国电信股份有限公司 | 检验ssl证书的方法和系统 |
| US20180324153A1 (en) * | 2017-05-08 | 2018-11-08 | Salesforce.Com, Inc. | Client fingerprinting for information system security |
| CN109617904A (zh) * | 2018-12-29 | 2019-04-12 | 江苏天创科技有限公司 | 一种IPv6网络中的HTTPS应用识别方法 |
-
2020
- 2020-04-01 CN CN202010250314.2A patent/CN111310187A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102006062283A1 (de) * | 2006-12-22 | 2008-06-26 | Authentidate International Ag | Verfahren zum Signieren von digitalen Daten |
| CN108259406A (zh) * | 2016-12-28 | 2018-07-06 | 中国电信股份有限公司 | 检验ssl证书的方法和系统 |
| US20180324153A1 (en) * | 2017-05-08 | 2018-11-08 | Salesforce.Com, Inc. | Client fingerprinting for information system security |
| CN109617904A (zh) * | 2018-12-29 | 2019-04-12 | 江苏天创科技有限公司 | 一种IPv6网络中的HTTPS应用识别方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037746A (zh) * | 2021-03-05 | 2021-06-25 | 中国工商银行股份有限公司 | 客户端指纹提取、身份识别和网络安全检测的方法及装置 |
| CN113037746B (zh) * | 2021-03-05 | 2022-11-01 | 中国工商银行股份有限公司 | 客户端指纹提取、身份识别和网络安全检测的方法及装置 |
| CN114172703A (zh) * | 2021-11-26 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 一种恶意软件识别方法、装置、介质 |
| CN114928452A (zh) * | 2022-05-17 | 2022-08-19 | 壹沓科技(上海)有限公司 | 访问请求验证方法、装置、存储介质及服务器 |
| CN114928452B (zh) * | 2022-05-17 | 2024-02-13 | 壹沓科技(上海)有限公司 | 访问请求验证方法、装置、存储介质及服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10560271B2 (en) | Increased communication security | |
| US12003505B2 (en) | Custom authorization of network connected devices using signed credentials | |
| CN107483419B (zh) | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 | |
| WO2017045552A1 (zh) | 一种在ssl或tls通信中加载数字证书的方法和装置 | |
| EP2037621B1 (en) | Method and device for deriving local interface key | |
| US20140298037A1 (en) | Method, apparatus, and system for securely transmitting data | |
| CN111310187A (zh) | 一种恶意软件的检测方法、装置、电子设备及存储介质 | |
| CN109688098B (zh) | 数据的安全通信方法、装置、设备及计算机可读存储介质 | |
| US10348701B2 (en) | Protecting clients from open redirect security vulnerabilities in web applications | |
| US9602486B2 (en) | Increased communication security | |
| US10277576B1 (en) | Diameter end-to-end security with a multiway handshake | |
| CN110933675B (zh) | 一种无线传感器网络认证方法、系统与电子设备 | |
| US9426148B2 (en) | Increased communication security | |
| CN111935123B (zh) | 一种检测dns欺骗攻击的方法、设备、存储介质 | |
| KR20190034048A (ko) | 암호화 보안 프로토콜 기반 통신을 이용한 클라이언트의 서버 등록 방법 및 암호화 보안 프로토콜 기반 통신을 이용한 클라이언트와 서버간 무결성 검증 방법 | |
| CN113703911B (zh) | 一种虚拟机迁移方法、装置、设备、存储介质 | |
| WO2019047693A1 (zh) | 一种进行WiFi网络安全监控的方法与设备 | |
| EP3664358A1 (en) | Methods and devices for remote integrity verification | |
| Odyuo et al. | Multifactor Mutual Authentication of IoT Devices and Server | |
| CN112887983B (zh) | 设备身份认证方法、装置、设备及介质 | |
| US10079857B2 (en) | Method of slowing down a communication in a network | |
| CN116192389B (zh) | 轻量级设备通信密钥协商方法、装置、设备及系统 | |
| US20240283794A1 (en) | Digest Access Authentication for a Client Device | |
| CN110493233B (zh) | 通信方法、装置、系统、计算机可读介质及设备 | |
| CN115086069B (zh) | 一种DDoS攻击识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200619 |
|
| RJ01 | Rejection of invention patent application after publication |