CN111343210B - 一种基于快速模式匹配的加密流量检测方法及装置 - Google Patents

一种基于快速模式匹配的加密流量检测方法及装置 Download PDF

Info

Publication number
CN111343210B
CN111343210B CN202010433861.4A CN202010433861A CN111343210B CN 111343210 B CN111343210 B CN 111343210B CN 202010433861 A CN202010433861 A CN 202010433861A CN 111343210 B CN111343210 B CN 111343210B
Authority
CN
China
Prior art keywords
intrusion
weight value
determining
detection
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010433861.4A
Other languages
English (en)
Other versions
CN111343210A (zh
Inventor
杨贻宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Feiqi Network Technology Co ltd
Original Assignee
Shanghai Feiqi Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feiqi Network Technology Co ltd filed Critical Shanghai Feiqi Network Technology Co ltd
Priority to CN202010433861.4A priority Critical patent/CN111343210B/zh
Publication of CN111343210A publication Critical patent/CN111343210A/zh
Application granted granted Critical
Publication of CN111343210B publication Critical patent/CN111343210B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于快速模式匹配的加密流量检测方法及装置。在应用该加密流量检测方法时,通过对待检测加密流量对应的发送端和接收端的设备信息进行分析以对待检测加密流量进行间接的模式匹配检测,无需直接对待检测加密流量进解密和安全性检测,可以避开直接检测待检测加密流量所面临的诸如解密耗时长和解密准确性低下的问题。由于第一设备信息、第二设备信息和通信协议是可以直接获取的,因而通过该加密流量检测方法能够快速地对加密流量进行模式匹配和检测。

Description

一种基于快速模式匹配的加密流量检测方法及装置
技术领域
本发明涉及大数据流量检测技术领域,具体而言,涉及一种基于快速模式匹配的加密流量检测方法及装置。
背景技术
随着越来越多的企业实现网络化和数字化,大量的服务和应用都采用加密技术作为确保信息安全的首要方法。作为重要的加密技术之一,加密流量已经广泛应用于网络通信中。虽然在许多方面,加密流量的增长对信息安全来说是一件好事,但是更高的加密率也给流量检测带来了挑战:由于加密后的流量可以避免被检测到,这使得大多数网络设备无法对正常信息对应的加密流量以及网络攻击和恶意软件对应的加密流量进行快速区分。
发明内容
为了改善上述问题,本发明提供了一种基于快速模式匹配的加密流量检测方法及装置。
本发明实施例的第一方面,提供了一种基于快速模式匹配的加密流量检测方法,包括:
获取与待检测加密流量匹配的发送端在第一设定时段内的第一设备信息以及与所述待检测加密流量匹配的接收端在第二设定时段内的第二设备信息;
根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值;基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值;
根据所述第二设备信息以及所述发送端与所述接收端之间的通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值;基于所述第二直接入侵权重值和所述第二间接入侵权重值确定所述接收端的接收入侵权重值;
根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值;
确定与所述综合入侵权重值匹配的目标权重区间,根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量。
可选地,根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值,具体包括:
获取所述第一设备信息中的第一入侵检测记录和第一通信交互记录;
确定所述第一入侵检测记录中的表征所述发送端在所述第一设定时段内存在入侵行为的第一检测结果以及所述第一检测结果对应的检测时刻;其中,所述入侵行为包括主动入侵行为和被动入侵行为;
根据所述检测时刻在所述第一设定时段内的相对时刻系数,确定所述第一检测结果的入侵影响系数;其中,所述相对时刻系数通过将所述检测时刻与所述第一设定时段的起始时刻进行比较得到,所述入侵检测影响系数用于表征所述发送端在当前时刻存在入侵行为的概率;
基于所述入侵影响系数确定所述发送端的第一直接入侵权重值;
确定所述第一通信交互记录中的与所述发送端在所述第一设定时段内存在通信的网络设备的第三直接入侵权重值,根据所述第三直接入侵权重值确定所述发送端的第一间接入侵权重值。
可选地,基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值,具体包括:
确定所述第一入侵检测记录中的检测结果的第一数量;
确定所述第一检测结果的第二数量;
根据所述第二数量与所述第一数量的比值对所述第一直接权重值和所述第一间接入侵权重值进行加权求和得到所述发射入侵权重值。
可选地,根据所述第二设备信息以及所述通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值,具体包括:
获取所述第二设备信息中的第二入侵检测记录和第二通信交互记录;
根据所述第二入侵检测记录确定所述接收端的初始直接入侵权重值;根据所述通信协议中的协议字段的加密等级对所述初始直接入侵权重值进行修正得到所述第二直接入侵权重值;
根据所述第二通信交互记录确定所述接收端的初始间接入侵权重值;根据所述通信协议中的协议有效时长值对所述初始间接入侵权重值进行修正得到所述第二间接入侵权重值。
可选地,根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值,具体包括:
从所述通信协议中确定出所述发送端的第一流量处理性能参数以及所述接收端的第二流量处理性能参数;
根据所述第一流量处理性能参数相对于所述第二流量处理性能参数的占比,对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值。
可选地,根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量,具体包括:
确定所述目标权重区间对应的加密流量模式的入侵概率;
在所述入侵概率达到设定概率时,确定所述待检测加密流量为异常加密流量;
在所述入侵概率未达到所述设定概率时,确定所述待检测加密流量为正常加密流量。
本发明实施例的第二方面,提供了一种基于快速模式匹配的加密流量检测装置,包括:
信息获取模块,用于获取与待检测加密流量匹配的发送端在第一设定时段内的第一设备信息以及与所述待检测加密流量匹配的接收端在第二设定时段内的第二设备信息;
权重确定模块,用于根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值;基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值;根据所述第二设备信息以及所述发送端与所述接收端之间的通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值;基于所述第二直接入侵权重值和所述第二间接入侵权重值确定所述接收端的接收入侵权重值;
权重加权模块,用于根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值;
流量检测模块,用于确定与所述综合入侵权重值匹配的目标权重区间,根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量。
可选地,所述权重确定模块,具体用于:
获取所述第一设备信息中的第一入侵检测记录和第一通信交互记录;
确定所述第一入侵检测记录中的表征所述发送端在所述第一设定时段内存在入侵行为的第一检测结果以及所述第一检测结果对应的检测时刻;其中,所述入侵行为包括主动入侵行为和被动入侵行为;
根据所述检测时刻在所述第一设定时段内的相对时刻系数,确定所述第一检测结果的入侵影响系数;其中,所述相对时刻系数通过将所述检测时刻与所述第一设定时段的起始时刻进行比较得到,所述入侵检测影响系数用于表征所述发送端在当前时刻存在入侵行为的概率;
基于所述入侵影响系数确定所述发送端的第一直接入侵权重值;
确定所述第一通信交互记录中的与所述发送端在所述第一设定时段内存在通信的网络设备的第三直接入侵权重值,根据所述第三直接入侵权重值确定所述发送端的第一间接入侵权重值;
所述权重确定模块,还用于:
确定所述第一入侵检测记录中的检测结果的第一数量;
确定所述第一检测结果的第二数量;
根据所述第二数量与所述第一数量的比值对所述第一直接权重值和所述第一间接入侵权重值进行加权求和得到所述发射入侵权重值;
所述权重确定模块,还用于:
获取所述第二设备信息中的第二入侵检测记录和第二通信交互记录;
根据所述第二入侵检测记录确定所述接收端的初始直接入侵权重值;根据所述通信协议中的协议字段的加密等级对所述初始直接入侵权重值进行修正得到所述第二直接入侵权重值;
根据所述第二通信交互记录确定所述接收端的初始间接入侵权重值;根据所述通信协议中的协议有效时长值对所述初始间接入侵权重值进行修正得到所述第二间接入侵权重值。
可选地,所述权重加权模块,具体用于:
从所述通信协议中确定出所述发送端的第一流量处理性能参数以及所述接收端的第二流量处理性能参数;
根据所述第一流量处理性能参数相对于所述第二流量处理性能参数的占比,对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值。
可选地,所述流量检测模块,具体用于:
确定所述目标权重区间对应的加密流量模式的入侵概率;
在所述入侵概率达到设定概率时,确定所述待检测加密流量为异常加密流量;
在所述入侵概率未达到所述设定概率时,确定所述待检测加密流量为正常加密流量。
在应用上述的加密流量检测方法时,首先,获取待检测加密流量的发送端对应的第一设备信息以及接收端对应的第二设备信息。其次,基于根据第一设备信息确定出的第一直接入侵权重和第一间接入侵权重确定发送端的发射入侵权重值,基于根据第二设备信息确定出的第二直接入侵权重和第一间接入侵权重值确定接收端的接收入侵权重值。然后,根据通信协议对发射入侵权重值和接收入侵权重值进行加权得到综合入侵权重值。最后,确定与综合入侵权重值匹配的目标权重区间并根据目标权重区间对应的加密流量模式检测待检测加密流量是否为异常加密流量。
如此,通过对待检测加密流量对应的发送端和接收端的设备信息进行分析以对待检测加密流量进行间接的模式匹配检测,无需直接对待检测加密流量进解密和安全性检测,可以避开直接检测待检测加密流量所面临的诸如解密耗时长和解密准确性低下的问题。由于第一设备信息、第二设备信息和通信协议是可以直接获取的,因而通过上述方法能够快速地对加密流量进行模式匹配和检测。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例所提供的一种基于快速模式匹配的加密流量检测方法的流程图。
图2为本发明实施例所提供的一种基于快速模式匹配的加密流量检测装置的流程图。
具体实施方式
下面将参照附图更详细地描述本发明公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
请参阅图1,为本发明实施例所提供的一种基于快速模式匹配的加密流量检测方法的流程图,所述加密流量检测方法具体可以包括以下步骤所描述的内容。
步骤S1,获取与待检测加密流量匹配的发送端在第一设定时段内的第一设备信息以及与所述待检测加密流量匹配的接收端在第二设定时段内的第二设备信息。
在本实施例中,所述第一设备信息包括所述发送端在所述第一设定时段内的第一通信交互记录和第一入侵检测记录,所述第二设备信息包括所述接收端在所述第二设定时段内的第二通信交互信息和第二入侵检测记录,所述第一通信交互记录和所述第二通信交互记录中均未包括所述发送端与所述接收端的通信交互记录。
在本实施例中,第一设定时段和第二设定时段可以是相同的时段也可以是不同的时段,第一设定时段和第二设定时段的终止时刻为当前时刻,起始时刻可以相同也可以不同。
步骤S2,根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值;基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值。
步骤S3,根据所述第二设备信息以及所述发送端与所述接收端之间的通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值;基于所述第二直接入侵权重值和所述第二间接入侵权重值确定所述接收端的接收入侵权重值。
步骤S4,根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值。
在本实施例中,综合入侵权重值用于表征待检测加密流量在发送端和接收端之间传输时存在网络攻击和入侵行为的概率。
在本实施例中,直接入侵权重值、间接入侵权重值和综合入侵权重值的取值范围均为[0,1]。
步骤S5,确定与所述综合入侵权重值匹配的目标权重区间,根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量。
在应用上述的加密流量检测方法时,首先,获取待检测加密流量的发送端对应的第一设备信息以及接收端对应的第二设备信息。其次,基于根据第一设备信息确定出的第一直接入侵权重和第一间接入侵权重确定发送端的发射入侵权重值,基于根据第二设备信息确定出的第二直接入侵权重和第一间接入侵权重值确定接收端的接收入侵权重值。然后,根据通信协议对发射入侵权重值和接收入侵权重值进行加权得到综合入侵权重值。最后,确定与综合入侵权重值匹配的目标权重区间并根据目标权重区间对应的加密流量模式检测待检测加密流量是否为异常加密流量。
如此,通过对待检测加密流量对应的发送端和接收端的设备信息进行分析以对待检测加密流量进行间接的模式匹配检测,无需直接对待检测加密流量进解密和安全性检测,可以避开直接检测待检测加密流量所面临的诸如解密耗时长和解密准确性低下的问题。由于第一设备信息、第二设备信息和通信协议是可以直接获取的,因而通过上述方法能够快速地对加密流量进行模式匹配和检测。
在一种可替换的实施方式中,根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值的步骤,具体包括以下步骤所描述的内容。
步骤S111,获取所述第一设备信息中的第一入侵检测记录和第一通信交互记录。
步骤S112,确定所述第一入侵检测记录中的表征所述发送端在所述第一设定时段内存在入侵行为的第一检测结果以及所述第一检测结果对应的检测时刻;其中,所述入侵行为包括主动入侵行为和被动入侵行为。
在本实施例中,检测时刻位于第一设定时段内,检测时刻可以是检测到发送端存在入侵行为的时刻。主动入侵行为用于表征发送端存在对其他设备进行网络攻击的行为,被动入侵行为用于表征发送端存在被其他设备进行网络攻击的行为。
步骤S113,根据所述检测时刻在所述第一设定时段内的相对时刻系数,确定所述第一检测结果的入侵影响系数。
在本实施例中,所述相对时刻系数通过将所述检测时刻与所述第一设定时段的起始时刻进行比较得到,例如,第一设定时段的起始时刻为t1,终止时刻为t2,且检测时刻为t3,则相对时刻系数可以是(t3-t1)/(t2-t1)。所述入侵影响系数用于表征所述发送端在当前时刻存在入侵行为的概率,在本实施例中,入侵检测系数可以是0-1之间的有理数。
步骤S114,基于所述入侵影响系数确定所述发送端的第一直接入侵权重值。
步骤S115,确定所述第一通信交互记录中的与所述发送端在所述第一设定时段内存在通信的网络设备的第三直接入侵权重值,根据所述第三直接入侵权重值确定所述发送端的第一间接入侵权重值。
在本实施例中,第一通信交互记录中的与发送端在第一设定时段内存在通信的网络设备不包括接收端。进一步地,若网络设备的数量为多个,则可以根据多个第三直接入侵权重值的均值确定发送端的第一间接入侵权重值。
可以理解,基于步骤S111-步骤S115所描述的内容,能够将发送端在第一设定时段内的入侵检测情况以及交互情况考虑在内,从而准确确定出第一直接入侵权重值和第二间接入侵权重值。
进一步地,基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值的步骤,具体包括以下内容。
步骤S121,确定所述第一入侵检测记录中的检测结果的第一数量。
步骤S122,确定所述第一检测结果的第二数量。
步骤S123,根据所述第二数量与所述第一数量的比值对所述第一直接权重值和所述第一间接入侵权重值进行加权求和得到所述发射入侵权重值。
例如,第一数量为x,第二数量为y,则第二数量和第一数量的比值为y/x。又例如,第一直接入侵权重为q1,第二直接入侵权重为q2,发射入侵权重为qs,则qs=q1*(1-y/x)+q2*y/x。
在应用上述步骤S121-步骤S123所描述的方法时,能够将第一直接入侵权重值和第一间接入侵权重值与入侵检测记录的相关性考虑在内,从而确保发射入侵权重值的置信度。
在另一种可能的实现方式中,根据所述第二设备信息以及所述通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值的步骤,具体可以包括以下步骤所描述的内容。
步骤S41,获取所述第二设备信息中的第二入侵检测记录和第二通信交互记录。
步骤S42,根据所述第二入侵检测记录确定所述接收端的初始直接入侵权重值;根据所述通信协议中的协议字段的加密等级对所述初始直接入侵权重值进行修正得到所述第二直接入侵权重值。
步骤S43,根据所述第二通信交互记录确定所述接收端的初始间接入侵权重值;根据所述通信协议中的协议有效时长值对所述初始间接入侵权重值进行修正得到所述第二间接入侵权重值。
由于确定初始直接入侵权重值和初始间接入侵权重值的步骤与确定第一直接入侵权重值和第一间接入侵权重值的步骤类似,在此不作更多说明。
在应用上述步骤S41-步骤S43所描述的方法时,可以将通信协议对接收端的影响考虑在内,从而对根据第二入侵检测记录和第二通信交互记录确定出的初始直接入侵权重值和初始间接入侵权重值进行修正,以消除初始直接入侵权重值和初始间接入侵权重值的误差,确保第二直接入侵权重值和第二间接入侵权重值的准确性。
在另一个示例中,根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权得到所述待检测加密流量的综合入侵权重值的步骤,具体包括如下内容。
步骤S51,从所述通信协议中确定出所述发送端的第一流量处理性能参数以及所述接收端的第二流量处理性能参数。
在本实施例中,流量处理性能参数用于表征发送端和接收端对加密流量的检测成功率和平均检测耗时。
步骤S52,根据所述第一流量处理性能参数相对于所述第二流量处理性能参数的占比,对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值。
在本实施例中,以所述第一流量处理性能参数相对于所述第二流量处理性能参数的占比为z,以所述发射入侵权重值为qs,接收入侵权重值为qr,综合入侵权重值为qm进行说明,则qm=z*qs+(1-z)*qr。
可以理解,通过步骤S51-步骤S52所描述的内容,能够将发送端和接收端的流量处理性能参数考虑在内,从而准确确定出待检测加密流量的综合入侵权重值。
在具体实施时,步骤S5 中所描述的根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量的步骤,进一步包括以下子步骤所描述的内容。
步骤S61,确定所述目标权重区间对应的加密流量模式的入侵概率。
步骤S62,在所述入侵概率达到设定概率时,确定所述待检测加密流量为异常加密流量。
步骤S63在所述入侵概率未达到所述设定概率时,确定所述待检测加密流量为正常加密流量。
在本实施例中,设定概率可以根据实际网络环境进行选取,在此不作限定。
基于上述步骤S61-步骤S63所描述的内容,能够快速地对加密流量进行模式匹配和检测,从而快速区分出正常加密流量和异常加密流量。
在上述基础上,请结合参阅图2,为本发明实施例所提供的一种基于快速模式匹配的加密流量检测装置100的功能模块框图,所述加密流量检测装置100包括信息获取模块101、权重确定模块102、权重加权模块103和流量检测模块104。
信息获取模块101,用于获取与待检测加密流量匹配的发送端在第一设定时段内的第一设备信息以及与所述待检测加密流量匹配的接收端在第二设定时段内的第二设备信息。
权重确定模块102,用于根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值;基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值;根据所述第二设备信息以及所述发送端与所述接收端之间的通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值;基于所述第二直接入侵权重值和所述第二间接入侵权重值确定所述接收端的接收入侵权重值。
权重加权模块103,用于根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值。
流量检测模块104,用于确定与所述综合入侵权重值匹配的目标权重区间,根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量。
关于上述模块的说明请参阅对图1所示的步骤S1-步骤S5 的说明,在此不作更多说明。
进一步地,所述权重确定模块102,具体用于:
获取所述第一设备信息中的第一入侵检测记录和第一通信交互记录;
确定所述第一入侵检测记录中的表征所述发送端在所述第一设定时段内存在入侵行为的第一检测结果以及所述第一检测结果对应的检测时刻;其中,所述入侵行为包括主动入侵行为和被动入侵行为;
根据所述检测时刻在所述第一设定时段内的相对时刻系数,确定所述第一检测结果的入侵影响系数;其中,所述相对时刻系数通过将所述检测时刻与所述第一设定时段的起始时刻进行比较得到,所述入侵检测影响系数用于表征所述发送端在当前时刻存在入侵行为的概率;
基于所述入侵影响系数确定所述发送端的第一直接入侵权重值;
确定所述第一通信交互记录中的与所述发送端在所述第一设定时段内存在通信的网络设备的第三直接入侵权重值,根据所述第三直接入侵权重值确定所述发送端的第一间接入侵权重值。
所述权重确定模块102,还用于:
确定所述第一入侵检测记录中的检测结果的第一数量;
确定所述第一检测结果的第二数量;
根据所述第二数量与所述第一数量的比值对所述第一直接权重值和所述第一间接入侵权重值进行加权求和得到所述发射入侵权重值。
所述权重确定模块102,还用于:
获取所述第二设备信息中的第二入侵检测记录和第二通信交互记录;
根据所述第二入侵检测记录确定所述接收端的初始直接入侵权重值;根据所述通信协议中的协议字段的加密等级对所述初始直接入侵权重值进行修正得到所述第二直接入侵权重值;
根据所述第二通信交互记录确定所述接收端的初始间接入侵权重值;根据所述通信协议中的协议有效时长值对所述初始间接入侵权重值进行修正得到所述第二间接入侵权重值。
进一步地,所述权重加权模块103,具体用于:
从所述通信协议中确定出所述发送端的第一流量处理性能参数以及所述接收端的第二流量处理性能参数;
根据所述第一流量处理性能参数相对于所述第二流量处理性能参数的占比,对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值。
进一步地,所述流量检测模块104,具体用于:
确定所述目标权重区间对应的加密流量模式的入侵概率;
在所述入侵概率达到设定概率时,确定所述待检测加密流量为异常加密流量;
在所述入侵概率未达到所述设定概率时,确定所述待检测加密流量为正常加密流量。
综上,在应用上述的加密流量检测方法时,首先,获取待检测加密流量的发送端对应的第一设备信息以及接收端对应的第二设备信息。其次,基于根据第一设备信息确定出的第一直接入侵权重和第一间接入侵权重确定发送端的发射入侵权重值,基于根据第二设备信息确定出的第二直接入侵权重和第一间接入侵权重值确定接收端的接收入侵权重值。然后,根据通信协议对发射入侵权重值和接收入侵权重值进行加权得到综合入侵权重值。最后,确定与综合入侵权重值匹配的目标权重区间并根据目标权重区间对应的加密流量模式检测待检测加密流量是否为异常加密流量。
如此,通过对待检测加密流量对应的发送端和接收端的设备信息进行分析以对待检测加密流量进行间接的模式匹配检测,无需直接对待检测加密流量进解密和安全性检测,可以避开直接检测待检测加密流量所面临的诸如解密耗时长和解密准确性低下的问题。由于第一设备信息、第二设备信息和通信协议是可以直接获取的,因而通过上述方法能够快速地对加密流量进行模式匹配和检测。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种基于快速模式匹配的加密流量检测方法,其特征在于,包括:
获取与待检测加密流量匹配的发送端在第一设定时段内的第一设备信息以及与所述待检测加密流量匹配的接收端在第二设定时段内的第二设备信息;
根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值;基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值;
根据所述第二设备信息以及所述发送端与所述接收端之间的通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值;基于所述第二直接入侵权重值和所述第二间接入侵权重值确定所述接收端的接收入侵权重值;
根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值;
确定与所述综合入侵权重值匹配的目标权重区间,根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量。
2.如权利要求1所述的加密流量检测方法,其特征在于,根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值,具体包括:
获取所述第一设备信息中的第一入侵检测记录和第一通信交互记录;
确定所述第一入侵检测记录中的表征所述发送端在所述第一设定时段内存在入侵行为的第一检测结果以及所述第一检测结果对应的检测时刻;其中,所述入侵行为包括主动入侵行为和被动入侵行为;
根据所述检测时刻在所述第一设定时段内的相对时刻系数,确定所述第一检测结果的入侵影响系数;其中,所述相对时刻系数通过将所述检测时刻与所述第一设定时段的起始时刻进行比较得到,所述入侵检测影响系数用于表征所述发送端在当前时刻存在入侵行为的概率;
基于所述入侵影响系数确定所述发送端的第一直接入侵权重值;
确定所述第一通信交互记录中的与所述发送端在所述第一设定时段内存在通信的网络设备的第三直接入侵权重值,根据所述第三直接入侵权重值确定所述发送端的第一间接入侵权重值。
3.如权利要求2所述的加密流量检测方法,基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值,具体包括:
确定所述第一入侵检测记录中的检测结果的第一数量;
确定所述第一检测结果的第二数量;
根据所述第二数量与所述第一数量的比值对所述第一直接入侵权重值和所述第一间接入侵权重值进行加权求和得到所述发射入侵权重值。
4.如权利要求1-3任一项所述的加密流量检测方法,其特征在于,根据所述第二设备信息以及所述通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值,具体包括:
获取所述第二设备信息中的第二入侵检测记录和第二通信交互记录;
根据所述第二入侵检测记录确定所述接收端的初始直接入侵权重值;根据所述通信协议中的协议字段的加密等级对所述初始直接入侵权重值进行修正得到所述第二直接入侵权重值;
根据所述第二通信交互记录确定所述接收端的初始间接入侵权重值;根据所述通信协议中的协议有效时长值对所述初始间接入侵权重值进行修正得到所述第二间接入侵权重值。
5.如权利要求1所述的加密流量检测方法,其特征在于,根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值,具体包括:
从所述通信协议中确定出所述发送端的第一流量处理性能参数以及所述接收端的第二流量处理性能参数;
根据所述第一流量处理性能参数相对于所述第二流量处理性能参数的占比,对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值。
6.如权利要求1所述的加密流量检测方法,其特征在于,根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量,具体包括:
确定所述目标权重区间对应的加密流量模式的入侵概率;
在所述入侵概率达到设定概率时,确定所述待检测加密流量为异常加密流量;
在所述入侵概率未达到所述设定概率时,确定所述待检测加密流量为正常加密流量。
7.一种基于快速模式匹配的加密流量检测装置,其特征在于,包括:
信息获取模块,用于获取与待检测加密流量匹配的发送端在第一设定时段内的第一设备信息以及与所述待检测加密流量匹配的接收端在第二设定时段内的第二设备信息;
权重确定模块,用于根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值;基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值;根据所述第二设备信息以及所述发送端与所述接收端之间的通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值;基于所述第二直接入侵权重值和所述第二间接入侵权重值确定所述接收端的接收入侵权重值;
权重加权模块,用于根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值;
流量检测模块,用于确定与所述综合入侵权重值匹配的目标权重区间,根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量。
8.如权利要求7所述的加密流量检测装置,其特征在于,所述权重确定模块,具体用于:
获取所述第一设备信息中的第一入侵检测记录和第一通信交互记录;
确定所述第一入侵检测记录中的表征所述发送端在所述第一设定时段内存在入侵行为的第一检测结果以及所述第一检测结果对应的检测时刻;其中,所述入侵行为包括主动入侵行为和被动入侵行为;
根据所述检测时刻在所述第一设定时段内的相对时刻系数,确定所述第一检测结果的入侵影响系数;其中,所述相对时刻系数通过将所述检测时刻与所述第一设定时段的起始时刻进行比较得到,所述入侵检测影响系数用于表征所述发送端在当前时刻存在入侵行为的概率;
基于所述入侵影响系数确定所述发送端的第一直接入侵权重值;
确定所述第一通信交互记录中的与所述发送端在所述第一设定时段内存在通信的网络设备的第三直接入侵权重值,根据所述第三直接入侵权重值确定所述发送端的第一间接入侵权重值;
所述权重确定模块,还用于:
确定所述第一入侵检测记录中的检测结果的第一数量;
确定所述第一检测结果的第二数量;
根据所述第二数量与所述第一数量的比值对所述第一直接入侵权重值和所述第一间接入侵权重值进行加权求和得到所述发射入侵权重值;
所述权重确定模块,还用于:
获取所述第二设备信息中的第二入侵检测记录和第二通信交互记录;
根据所述第二入侵检测记录确定所述接收端的初始直接入侵权重值;根据所述通信协议中的协议字段的加密等级对所述初始直接入侵权重值进行修正得到所述第二直接入侵权重值;
根据所述第二通信交互记录确定所述接收端的初始间接入侵权重值;根据所述通信协议中的协议有效时长值对所述初始间接入侵权重值进行修正得到所述第二间接入侵权重值。
9.如权利要求7所述的加密流量检测装置,其特征在于,所述权重加权模块,具体用于:
从所述通信协议中确定出所述发送端的第一流量处理性能参数以及所述接收端的第二流量处理性能参数;
根据所述第一流量处理性能参数相对于所述第二流量处理性能参数的占比,对所述发射入侵权重值和所述接收入侵权重值进行加权,得到所述待检测加密流量的综合入侵权重值。
10.如权利要求7所述的加密流量检测装置,其特征在于,所述流量检测模块,具体用于:
确定所述目标权重区间对应的加密流量模式的入侵概率;
在所述入侵概率达到设定概率时,确定所述待检测加密流量为异常加密流量;
在所述入侵概率未达到所述设定概率时,确定所述待检测加密流量为正常加密流量。
CN202010433861.4A 2020-05-21 2020-05-21 一种基于快速模式匹配的加密流量检测方法及装置 Active CN111343210B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010433861.4A CN111343210B (zh) 2020-05-21 2020-05-21 一种基于快速模式匹配的加密流量检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010433861.4A CN111343210B (zh) 2020-05-21 2020-05-21 一种基于快速模式匹配的加密流量检测方法及装置

Publications (2)

Publication Number Publication Date
CN111343210A CN111343210A (zh) 2020-06-26
CN111343210B true CN111343210B (zh) 2020-08-04

Family

ID=71183029

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010433861.4A Active CN111343210B (zh) 2020-05-21 2020-05-21 一种基于快速模式匹配的加密流量检测方法及装置

Country Status (1)

Country Link
CN (1) CN111343210B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532776A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 业务流量检测方法及系统
CN107579986A (zh) * 2017-09-21 2018-01-12 北京工业大学 一种复杂网络中网络安全检测的方法
US20180262487A1 (en) * 2017-03-13 2018-09-13 At&T Intellectual Property I, L.P. Extracting data from encrypted packet flows

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532969A (zh) * 2013-10-23 2014-01-22 国家电网公司 一种僵尸网络检测方法、装置及处理器
CN107835201A (zh) * 2017-12-14 2018-03-23 华中师范大学 网络攻击检测方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532776A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 业务流量检测方法及系统
US20180262487A1 (en) * 2017-03-13 2018-09-13 At&T Intellectual Property I, L.P. Extracting data from encrypted packet flows
CN107579986A (zh) * 2017-09-21 2018-01-12 北京工业大学 一种复杂网络中网络安全检测的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《针对Android应用的恶意加密流量标注方法研究》;何高峰、司勇瑞等;《计算机工程》;20190917;全文 *

Also Published As

Publication number Publication date
CN111343210A (zh) 2020-06-26

Similar Documents

Publication Publication Date Title
US20070019543A1 (en) Systems and methods for detecting and preventing flooding attacks in a network environment
Tang et al. Exploiting Wireless Received Signal Strength Indicators to Detect Evil‐Twin Attacks in Smart Homes
EP3264312A1 (en) Model-based computer attack analytics orchestration
CN107733581B (zh) 基于全网环境下的快速互联网资产特征探测方法及装置
CN109040140B (zh) 一种慢速攻击检测方法及装置
CN108063833B (zh) Http dns解析报文处理方法及装置
KR20040094437A (ko) 두 개의 노드들 사이의 프록시미티를 결정하기 위한타이밍 신호들의 사용
CN114124476B (zh) 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置
US20050147108A1 (en) Communication device , communication method, recording medium and program
EP2798811B1 (en) Method and device for fingerprinting of network devices
CN111343210B (zh) 一种基于快速模式匹配的加密流量检测方法及装置
CN114301706B (zh) 基于目标节点中现有威胁的防御方法、装置及系统
CN110061998B (zh) 一种攻击防御方法及装置
CN102055582A (zh) 用于现场设备的数据处理设备
CN111343206B (zh) 一种针对数据流攻击的主动防御方法及装置
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
CN115766297B (zh) 一种基于物联网的信息数据安全防护方法
CN111866995A (zh) 一种基于微信小程序的智能设备配网方法及系统
US20060130146A1 (en) Network packet generation apparatus and method having attack test packet generation function for information security system test
CN103067360A (zh) 程序网络行为识别方法及系统
CN114221778B (zh) 一种提高无线公网接入安全性的方法
CN111552949B (zh) 一种物联网设备加密方法、装置及电子设备
US7466654B1 (en) Method of detecting intermediary communication device
CN113055406A (zh) 一种基于通信协议的操作系统特征隐藏方法及系统
CN114499917A (zh) Cc攻击检测方法及cc攻击检测装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant