CN112152961A - 一种恶意加密流量的识别方法及装置 - Google Patents

一种恶意加密流量的识别方法及装置 Download PDF

Info

Publication number
CN112152961A
CN112152961A CN201910560964.4A CN201910560964A CN112152961A CN 112152961 A CN112152961 A CN 112152961A CN 201910560964 A CN201910560964 A CN 201910560964A CN 112152961 A CN112152961 A CN 112152961A
Authority
CN
China
Prior art keywords
certificate
self
signed
ssl
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910560964.4A
Other languages
English (en)
Other versions
CN112152961B (zh
Inventor
宋冰晶
于海东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Guancheng Technology Co ltd
Original Assignee
Beijing Guancheng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guancheng Technology Co ltd filed Critical Beijing Guancheng Technology Co ltd
Priority to CN201910560964.4A priority Critical patent/CN112152961B/zh
Publication of CN112152961A publication Critical patent/CN112152961A/zh
Application granted granted Critical
Publication of CN112152961B publication Critical patent/CN112152961B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/64Self-signed certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种恶意加密流量的识别方法及装置,提取加密流量中的SSL证书;综合利用X509标准函数、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对SSL证书的类型进行识别;当SSL证书为中危证书或高危证书时,确定加密流量为恶意加密流量,可见本发明实现了自动化识别恶意加密流量,提高了恶意加密流量的识别效率。

Description

一种恶意加密流量的识别方法及装置
技术领域
本发明涉及信息安全技术领域,更具体的,涉及一种恶意加密流量的识别方法及装置。
背景技术
2019年,超过80%的企业网络流量将被加密,其中,网络流量主要通过SSL(Securesocket layer)协议进行加密,届时加密的流量中将隐藏超过70%的恶意网络流量。
由于DV SSL证书是只验证网站域名所有权的简易型SSL证书,可快速颁发,能起到加密传输的作用,但无法向用户证明网站的真实身份,因此,恶意加密网络流量通常都会使用DV SSL证书或者自签名证书。但是,实际上并不是使用DV SSL证书或者自签名证书的加密流量就一定是恶意的,需要经过协议专家的进一步分析才能够判断。
但是,这种用人工的方式对海量的证书进行分析来识别恶意加密流量的方法是不现实的,且识别效率及其低下。
发明内容
有鉴于此,本发明提供了一种恶意加密流量的识别方法及装置,实现了自动化识别恶意加密流量。
为了实现上述发明目的,本发明提供的具体技术方案如下:
一种恶意加密流量的识别方法,包括:
提取加密流量中的SSL证书;
综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对所述SSL证书的类型进行识别;
当所述SSL证书为中危证书或高危证书时,确定所述加密流量为恶意加密流量。
可选的,所述综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对所述SSL证书的类型进行识别,包括:
读取所述SSL证书的X509对象,调用X509标准中的第一预设函数,判断所述SSL证书是否为CA证书;
若为所述CA证书,利用所述证书特征、所述预设证书知识库和所述PKI标准的证书校验体系,进一步识别所述CA证书的类型;
若为非CA证书,利用X509标准函数、所述预设证书知识库、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述非CA证书的类型。
可选的,所述利用所述证书特征和所述预设证书知识库,进一步识别所述CA证书的类型,包括:
提取所述CA证书的所述证书特征,所述证书特征包括使用者信息和签发者信息;
判断所述使用者信息与所述签发者信息是否一致;
若一致,则确定所述CA证书为自签名CA证书,并判断所述自签名CA证书是否在所述预设证书知识库中的可信根证书列表ARCS中;
若在所述可信根证书列表ARCS中时,确定所述自签名CA证书为有效根CA证书,其中,所述有效根CA证书为正常证书;
若不在所述可信根证书列表ARCS中时,确定所述自签名CA证书为伪造根CA证书,其中,所述伪造根CA证书为中危证书;
若所述使用者信息与所述签发者信息不一致时,确定所述CA证书为非自签名CA证书;
利用所述PKI标准的证书校验体系,对所述非自签名CA证书从叶子节点逐个进行校验认证直到可信根证书;
若校验认证通过,确定所述非自签名CA证书为有效非根CA证书,其中,所述有效非根CA证书为正常证书;
若校验认证未通过,确定所述非自签名CA证书为危险CA证书,其中,所述危险CA证书为中危证书。
可选的,所述利用X509标准函数、所述预设证书知识库、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述非CA证书的类型,包括:
判断所述非CA证书是否在所述预设证书知识库中的常用证书列表PCS中;
若在PCS中,确定所述非CA证书为流行证书,其中,所述流行证书为正常证书;
若不在PCS中,确定所述非CA证书为一般证书,并利用所述PKI标准的证书校验体系,对所述一般证书从叶子节点逐个进行校验认证直到可信根证书;
若校验认证通过,确定所述一般证书为校验合格证书,并利用X509标准函数和所述预设证书知识库,进一步识别所述校验合格证书的类型;
若校验认证未通过,确定所述一般证书为校验不合格证书,并利用所述证书特征、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述校验不合格证书的类型。
可选的,所述利用X509标准函数和所述预设证书知识库,进一步识别所述校验合格证书的类型,包括:
读取所述校验合格证书的X509对象和扩展索引,调用X509标准中的第二预设函数,得到所述校验合格证书的指定扩展项;
依次将所述校验合格证书的指定扩展项与增强型SSL证书列表、企业型SSL证书列表以及域名型SSL证书列表进行匹配;
若与所述增强型SSL证书列表相匹配,确定所述校验合格证书为增强型SSL证书,其中,所述增强型SSL证书为正常证书;
若与所述企业型SSL证书列表相匹配,确定所述校验合格证书为企业型SSL证书,其中,所述企业型SSL证书为正常证书;
若与所述域名型SSL证书列表相匹配,确定所述校验合格证书为域名型SSL证书,并提取所述域名型SSL证书的证书指纹;
判断所述域名型SSL证书的证书指纹是否在所述预设证书知识库中的黑证书指纹库或黑域名库中;
若是,确定所述域名型SSL证书为恶意应用证书,其中,所述恶意应用证书为高危证书;
若否,确定所述域名型SSL证书为正常应用证书,其中,所述正常应用证书为正常证书。
可选的,所述利用所述证书特征、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述校验不合格证书的类型,包括:
提取所述校验不合格证书的所述证书特征,所述证书特征包括使用者信息和签发者信息;
判断所述使用者信息与所述签发者信息是否一致;
若一致,则确定所述校验不合格证书为自签名证书,并依据所述自签名证书的所述证书特征、所述预设证书知识库和所述随机性检测神经网络模型计算所述自签名证书的证书可信度;
判断所述自签名证书的证书可信度是否大于可信度阈值;
若是,确定所述自签名证书为正常应用证书,其中,所述正常应用证书为正常证书;
若否,确定所述自签名证书为危险应用证书,并判断所述危险应用证书的域名是否在Alexa的预设排名范围内;
若在Alexa的预设排名范围内,确定所述危险应用证书为恶意应用证书,其中,恶意应用证书为高危证书。
可选的,所述证书特征包括使用者信息和签发者信息,所述使用者信息包括通用名、组织名、所在地和所属国家,所述证书可信度包括通用名正常度、组织正常度、所在地正常度和所属国家正常度,所述依据所述自签名证书的所述证书特征、所述预设证书知识库和所述随机性检测神经网络模型计算所述自签名证书的证书可信度,包括:
通过检测所述自签名证书的通用名是否符合域名格式、是否在匿名CN集合中,并调用所述随机性检测神经网络模型检测所述自签名证书的通用名是否具有随机性,计算所述自签名证书的通用名正常度;
通过检测所述自签名证书的组织名是否在所述匿名CN集合中,并调用所述随机性检测神经网络模型检测所述自签名证书的组织名是否具有随机性,计算所述自签名证书的组织名正常度;
通过检测所述自签名证书的所在地是否在所述匿名CN集合中,并调用所述随机性检测神经网络模型检测所述自签名证书的所在地是否具有随机性,计算所述自签名证书的所在地正常度;
通过检测所述自签名证书的所属国家是否在已知国家列表中,计算所述自签名证书的所属国家正常度;
依据所述自签名证书的通用名正常度、组织名正常度、所在地正常度和所属国家正常度,计算所述自签名证书的证书可信度。
可选的,所述方法还包括:
获取通用名训练集、组织名训练集和地名训练集;
利用所述通用名训练集、所述组织名训练集和所述地名训练集对神经网络模型进行训练,得到随机性检测神经网络模型。
一种恶意加密流量的识别装置,包括:
SSL证书提取单元,用于提取加密流量中的SSL证书;
SSL证书识别单元,用于综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对所述SSL证书的类型进行识别;
恶意加密流量确定单元,用于当所述SSL证书为中危证书或高危证书时,确定所述加密流量为恶意加密流量。
可选的,所述SSL证书识别单元包括:
CA证书识别子单元,用于读取所述SSL证书的X509对象,调用X509标准中的第一预设函数,判断所述SSL证书是否为CA证书,若为所述CA证书,触发第一识别子单元,若为非CA证书,触发第二识别子单元;
所述第一识别子单元,用于利用所述证书特征、所述预设证书知识库和所述PKI标准的证书校验体系,进一步识别所述CA证书的类型;
所述第二识别子单元,用于利用X509标准函数、所述预设证书知识库、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述非CA证书的类型。
可选的,所述第一识别子单元,具体用于:
提取所述CA证书的所述证书特征,所述证书特征包括使用者信息和签发者信息;
判断所述使用者信息与所述签发者信息是否一致;
若一致,则确定所述CA证书为自签名CA证书,并判断所述自签名CA证书是否在所述预设证书知识库中的可信根证书列表ARCS中;
若在所述可信根证书列表ARCS中时,确定所述自签名CA证书为有效根CA证书,其中,所述有效根CA证书为正常证书;
若不在所述可信根证书列表ARCS中时,确定所述自签名CA证书为伪造根CA证书,其中,所述伪造根CA证书为中危证书;
若所述使用者信息与所述签发者信息不一致时,确定所述CA证书为非自签名CA证书;
利用所述PKI标准的证书校验体系,对所述非自签名CA证书从叶子节点逐个进行校验认证直到可信根证书;
若校验认证通过,确定所述非自签名CA证书为有效非根CA证书,其中,所述有效非根CA证书为正常证书;
若校验认证未通过,确定所述非自签名CA证书为危险CA证书,其中,所述危险CA证书为中危证书。
可选的,所述第二识别子单元,具体用于:
判断所述非CA证书是否在所述预设证书知识库中的常用证书列表PCS中;
若在PCS中,确定所述非CA证书为流行证书,其中,所述流行证书为正常证书;
若不在PCS中,确定所述非CA证书为一般证书,并利用所述PKI标准的证书校验体系,对所述一般证书从叶子节点逐个进行校验认证直到可信根证书;
若校验认证通过,确定所述一般证书为校验合格证书,并触发第三识别子单元;
若校验认证未通过,确定所述一般证书为校验不合格证书,并触发第四识别子单元;
所述第三识别子单元,用于利用X509标准函数和所述预设证书知识库,进一步识别所述校验合格证书的类型;
所述第四识别子单元,用于利用所述证书特征、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述校验不合格证书的类型。
可选的,所述第三识别子单元,具体用于:
读取所述校验合格证书的X509对象和扩展索引,调用X509标准中的第二预设函数,得到所述校验合格证书的指定扩展项;
依次将所述校验合格证书的指定扩展项与增强型SSL证书列表、企业型SSL证书列表以及域名型SSL证书列表进行匹配;
若与所述增强型SSL证书列表相匹配,确定所述校验合格证书为增强型SSL证书,其中,所述增强型SSL证书为正常证书;
若与所述企业型SSL证书列表相匹配,确定所述校验合格证书为企业型SSL证书,其中,所述企业型SSL证书为正常证书;
若与所述域名型SSL证书列表相匹配,确定所述校验合格证书为域名型SSL证书,并提取所述域名型SSL证书的证书指纹;
判断所述域名型SSL证书的证书指纹是否在所述预设证书知识库中的黑证书指纹库或黑域名库中;
若是,确定所述域名型SSL证书为恶意应用证书,其中,所述恶意应用证书为高危证书;
若否,确定所述域名型SSL证书为正常应用证书,其中,所述正常应用证书为正常证书。
可选的,所述第四识别子单元,具体用于:
提取所述校验不合格证书的所述证书特征,所述证书特征包括使用者信息和签发者信息;
判断所述使用者信息与所述签发者信息是否一致;
若一致,则确定所述校验不合格证书为自签名证书,并依据所述自签名证书的所述证书特征、所述预设证书知识库和所述随机性检测神经网络模型计算所述自签名证书的证书可信度;
判断所述自签名证书的证书可信度是否大于可信度阈值;
若是,确定所述自签名证书为正常应用证书,其中,所述正常应用证书为正常证书;
若否,确定所述自签名证书为危险应用证书,并判断所述危险应用证书的域名是否在Alexa的预设排名范围内;
若在Alexa的预设排名范围内,确定所述危险应用证书为恶意应用证书,其中,恶意应用证书为高危证书。
可选的,所述装置还包括:
模型训练单元,用于获取通用名训练集、组织名训练集和地名训练集;
利用所述通用名训练集、所述组织名训练集和所述地名训练集对神经网络模型进行训练,得到随机性检测神经网络模型。
相对于现有技术,本发明的有益效果如下:
本发明公开的一种恶意加密流量的识别方法,综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对从加密流量中提取的SSL证书的类型进行准确识别,通过自动化准确识别SSL证书的类型实现了自动化识别恶意加密流量,提高了恶意加密流量的识别效率和准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种恶意加密流量的识别方法的流程示意图;
图2为本发明实施例公开的一种SSL证书的分类示意图;
图3为本发明实施例公开的一种SSL证书的分类原理示意图;
图4为本发明实施例公开的一种恶意加密流量的识别装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例公开了一种恶意加密流量的识别方法,实现自动化识别恶意加密流量,请参阅图1,该识别方法具体包括以下步骤:
S101:提取加密流量中的SSL证书;
具体的,首先识别加密流量是否为使用SSL/TLS进行通信的网络流量,若为使用SSL/TLS进行通信的网络流量,则遵守X509规范从加密流量中提取SSL证书。
S102:综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对SSL证书的类型进行识别;
证书特征包括:网络中提取的完整证书数据、证书使用者信息、证书签发者信息和证书指纹。
其中,证书使用者信息包括:通用名、组织名、所在地和所属国家;
证书签发者信息包括:通用名、组织名、所在地和所属国家。
预设证书知识库包括:
ARCS(Authority Root CA Set,权威的ROOT CA集合);
PCS(Public Certificate Set,Alexa排名前100万的证书指纹库);
ACNS(Anonymous Common_Name Set,匿名CN集合,但实际包括三项);
BCS(Black Certificate Set,黑证书指纹库);
BDS(Black Domain Set,黑域名库);
Alexa排名。
随机性检测神经网络模型是预先构建的,随机性检测神经网络模型采用如下结构:
1、嵌入层:128维
2、LSTM层:128维
3、Dropout层:防止模型过拟合
4、Dense层(全连接层)
5、激活函数simoid
6、代价函数交叉熵损失函数
7、随机梯度下降法:RMSProp
其中,随机性检测神经网络模型由通用名训练集、组织名训练集和地名训练集对上述神经网络模型进行训练而得到。
通用名训练集:
1、Alexa排名前1万
2、DGA算法随机生成1万
组织名训练集:
1、数据库白流量组织名+地名+Alexa排名前1万
2、DGA算法随机生成对应数量
地名训练集:
1、地名
2、DGA算法随机生成对应数量
其中,Alexa全球排名是Alexa专业提供世界各地网站Alexa排名服务栏目,收集了全球各地排名前列的众多知名网站,是世界上最专业、最权威的网站排行榜。
DGA(域名生成算法)是一种利用随机字符来生成域名的算法。
请参阅图2,SSL证书的类型包括:正常证书、中危证书和高危证书,其中,正常证书包括有效根CA证书、有效非根CA证书和正常应用证书,中危证书包括伪造根CA证书、危险CA证书和危险应用证书,高危证书指恶意应用证书。
S103:当SSL证书为中危证书或高危证书时,确定加密流量为恶意加密流量。
本实施例公开的恶意加密流量的识别方法,构建科学的SSL证书类型的识别体系,综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对从加密流量中提取的SSL证书的类型进行准确识别,通过自动化准确识别SSL证书的类型实现了自动化识别恶意加密流量,提高了恶意加密流量的识别效率和准确度。
具体的,请参阅图3,综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对SSL证书的类型进行识别的方法如下:
分类-A
读取SSL证书的X509对象,调用X509标准中的第一预设函数,即X509_check_ca函数,函数的输入为X509对象,若函数的输出为0,则确定SSL证书为非CA证书,若函数的输出不为0,则确定SSL证书为CA证书。
分类-A-1
首先提取CA证书的证书特征,证书特征包括使用者信息和签发者信息,然后判断使用者信息与签发者信息是否一致。
若一致,则确定CA证书为自签名CA证书。
若不一致,则确定CA证书为非自签名CA证书。
分类-A-1-1
判断自签名CA证书是否在预设证书知识库中的可信根证书列表ARCS中,若在可信根证书列表ARCS中时,确定自签名CA证书为有效根CA证书,其中,有效根CA证书为正常证书;若不在可信根证书列表ARCS中时,确定自签名CA证书为伪造根CA证书,其中,伪造根CA证书为中危证书。
分类-A-1-2
对于非自签名CA证书,利用PKI标准的证书校验体系,对非自签名CA证书从叶子节点逐个进行校验认证直到可信根证书,若校验认证通过,确定非自签名CA证书为有效非根CA证书,其中,有效非根CA证书为正常证书;若校验认证未通过,确定非自签名CA证书为危险CA证书,其中,危险CA证书为中危证书。
需要说明的是,一个SSL会话中通常会包含多个证书,最上层的是叶子证书,也就是服务器端所使用的证书,后面的是CA证书(此处称C1),用来证明叶子证书;C1的后面还可能存在另一个CA(此处称C2),用来证明上面的C1,以此类推;如果一直校验到可信根CA都能通过则说明叶子证书为有效非根CA证书,否则为危险CA证书;
分类-B
判断非CA证书是否在预设证书知识库中的常用证书列表PCS中,若在PCS中,确定非CA证书为流行证书,其中,流行证书为正常证书;若不在PCS中,确定非CA证书为一般证书。
分类-C
利用PKI标准的证书校验体系,对一般证书从叶子节点逐个进行校验认证直到可信根证书,若校验认证通过,确定一般证书为校验合格证书;若校验认证未通过,确定一般证书为校验不合格证书。
分类-C-1
读取校验合格证书的X509对象和扩展索引,调用X509标准中的第二预设函数,即X509_get_ext,得到校验合格证书的指定扩展项"X509v3Certificate Policies”;
依次将校验合格证书的指定扩展项与增强型SSL证书列表、企业型SSL证书列表以及域名型SSL证书列表进行匹配;
若与增强型SSL证书列表相匹配,确定校验合格证书为增强型SSL证书,其中,增强型SSL证书为正常证书;
若与企业型SSL证书列表相匹配,确定校验合格证书为企业型SSL证书,其中,企业型SSL证书为正常证书;
若与域名型SSL证书列表相匹配,确定校验合格证书为域名型SSL证书。
分类-C-1-1
提取域名型SSL证书的证书指纹,判断域名型SSL证书的证书指纹是否在预设证书知识库中的黑证书指纹库或黑域名库中;
若是,确定域名型SSL证书为恶意应用证书,其中,恶意应用证书为高危证书;
若否,确定域名型SSL证书为正常应用证书,其中,正常应用证书为正常证书。
分类-C-2
提取校验不合格证书的证书特征,证书特征包括使用者信息和签发者信息,判断使用者信息与签发者信息是否一致。
若一致,则确定校验不合格证书为自签名证书;
若不一致,则确定校验不合格证书为危险应用证书。
分类-C-2-1
依据自签名证书的证书特征、预设证书知识库和随机性检测神经网络模型计算自签名证书的证书可信度,判断自签名证书的证书可信度是否大于可信度阈值;
若是,确定自签名证书为正常应用证书,其中,正常应用证书为正常证书;
若否,确定自签名证书为危险应用证书。
其中,通过检测自签名证书的通用名是否符合域名格式、是否在匿名CN集合中,并调用随机性检测神经网络模型检测自签名证书的通用名是否具有随机性,计算自签名证书的通用名正常度;通过检测自签名证书的组织名是否在匿名CN集合中,并调用随机性检测神经网络模型检测自签名证书的组织名是否具有随机性,计算自签名证书的组织名正常度;通过检测自签名证书的所在地是否在匿名CN集合中,并调用随机性检测神经网络模型检测自签名证书的所在地是否具有随机性,计算自签名证书的所在地正常度;通过检测自签名证书的所属国家是否在已知国家列表中,计算自签名证书的所属国家正常度。
具体的,证书可信度CCD的计算方法原理如下:
Figure BDA0002108267240000131
最后,依据自签名证书的通用名正常度、组织名正常度、所在地正常度和所属国家正常度,计算自签名证书的证书可信度,如将自签名证书的通用名正常度、组织名正常度、所在地正常度和所属国家正常度的和值作为自签名证书的证书可信度。
分类-C-2-2
判断危险应用证书的域名是否在Alexa的预设排名范围内,若在Alexa的预设排名范围内,确定危险应用证书为恶意应用证书,其中,恶意应用证书为高危证书。
基于上述实施例公开的一种恶意加密流量的识别方法,本实施例对应公开了一种恶意加密流量的识别装置,请参阅图4,该装置包括:
SSL证书提取单元401,用于提取加密流量中的SSL证书;
SSL证书识别单元402,用于综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对SSL证书的类型进行识别;
恶意加密流量确定单元403,用于当SSL证书为中危证书或高危证书时,确定加密流量为恶意加密流量。
可选的,SSL证书识别单元402包括:
CA证书识别子单元,用于读取SSL证书的X509对象,调用X509标准中的第一预设函数,判断SSL证书是否为CA证书,若为CA证书,触发第一识别子单元,若为非CA证书,触发第二识别子单元;
第一识别子单元,用于利用证书特征、预设证书知识库和PKI标准的证书校验体系,进一步识别CA证书的类型;
第二识别子单元,用于利用X509标准函数、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,进一步识别非CA证书的类型。
可选的,第一识别子单元,具体用于:
提取CA证书的证书特征,证书特征包括使用者信息和签发者信息;
判断使用者信息与签发者信息是否一致;
若一致,则确定CA证书为自签名CA证书,并判断自签名CA证书是否在预设证书知识库中的可信根证书列表ARCS中;
若在可信根证书列表ARCS中时,确定自签名CA证书为有效根CA证书,其中,有效根CA证书为正常证书;
若不在可信根证书列表ARCS中时,确定自签名CA证书为伪造根CA证书,其中,伪造根CA证书为中危证书;
若使用者信息与签发者信息不一致时,确定CA证书为非自签名CA证书;
利用PKI标准的证书校验体系,对非自签名CA证书从叶子节点逐个进行校验认证直到可信根证书;
若校验认证通过,确定非自签名CA证书为有效非根CA证书,其中,有效非根CA证书为正常证书;
若校验认证未通过,确定非自签名CA证书为危险CA证书,其中,危险CA证书为中危证书。
可选的,第二识别子单元,具体用于:
判断非CA证书是否在预设证书知识库中的常用证书列表PCS中;
若在PCS中,确定非CA证书为流行证书,其中,流行证书为正常证书;
若不在PCS中,确定非CA证书为一般证书,并利用PKI标准的证书校验体系,对一般证书从叶子节点逐个进行校验认证直到可信根证书;
若校验认证通过,确定一般证书为校验合格证书,并触发第三识别子单元;
若校验认证未通过,确定一般证书为校验不合格证书,并触发第四识别子单元;
第三识别子单元,用于利用X509标准函数和预设证书知识库,进一步识别校验合格证书的类型;
第四识别子单元,用于利用证书特征、随机性检测神经网络模型和PKI标准的证书校验体系,进一步识别校验不合格证书的类型。
可选的,第三识别子单元,具体用于:
读取校验合格证书的X509对象和扩展索引,调用X509标准中的第二预设函数,得到校验合格证书的指定扩展项;
依次将校验合格证书的指定扩展项与增强型SSL证书列表、企业型SSL证书列表以及域名型SSL证书列表进行匹配;
若与增强型SSL证书列表相匹配,确定校验合格证书为增强型SSL证书,其中,增强型SSL证书为正常证书;
若与企业型SSL证书列表相匹配,确定校验合格证书为企业型SSL证书,其中,企业型SSL证书为正常证书;
若与域名型SSL证书列表相匹配,确定校验合格证书为域名型SSL证书,并提取域名型SSL证书的证书指纹;
判断域名型SSL证书的证书指纹是否在预设证书知识库中的黑证书指纹库或黑域名库中;
若是,确定域名型SSL证书为恶意应用证书,其中,恶意应用证书为高危证书;
若否,确定域名型SSL证书为正常应用证书,其中,正常应用证书为正常证书。
可选的,第四识别子单元,具体用于:
提取校验不合格证书的证书特征,证书特征包括使用者信息和签发者信息;
判断使用者信息与签发者信息是否一致;
若一致,则确定校验不合格证书为自签名证书,并依据自签名证书的证书特征、预设证书知识库和随机性检测神经网络模型计算自签名证书的证书可信度;
判断自签名证书的证书可信度是否大于可信度阈值;
若是,确定自签名证书为正常应用证书,其中,正常应用证书为正常证书;
若否,确定自签名证书为危险应用证书,并判断危险应用证书的域名是否在Alexa的预设排名范围内;
若在Alexa的预设排名范围内,确定危险应用证书为恶意应用证书,其中,恶意应用证书为高危证书。
可选的,装置还包括:
模型训练单元,用于获取通用名训练集、组织名训练集和地名训练集;
利用通用名训练集、组织名训练集和地名训练集对神经网络模型进行训练,得到随机性检测神经网络模型。
本实施例公开的一种恶意加密流量的识别装置,综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对从加密流量中提取的SSL证书的类型进行准确识别,通过自动化准确识别SSL证书的类型实现了自动化识别恶意加密流量,提高了恶意加密流量的识别效率和准确度。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种恶意加密流量的识别方法,其特征在于,包括:
提取加密流量中的SSL证书;
综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对所述SSL证书的类型进行识别;
当所述SSL证书为中危证书或高危证书时,确定所述加密流量为恶意加密流量。
2.根据权利要求1所述的方法,其特征在于,所述综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对所述SSL证书的类型进行识别,包括:
读取所述SSL证书的X509对象,调用X509标准中的第一预设函数,判断所述SSL证书是否为CA证书;
若为所述CA证书,利用所述证书特征、所述预设证书知识库和所述PKI标准的证书校验体系,进一步识别所述CA证书的类型;
若为非CA证书,利用X509标准函数、所述预设证书知识库、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述非CA证书的类型。
3.根据权利要求2所述的方法,其特征在于,所述利用所述证书特征和所述预设证书知识库,进一步识别所述CA证书的类型,包括:
提取所述CA证书的所述证书特征,所述证书特征包括使用者信息和签发者信息;
判断所述使用者信息与所述签发者信息是否一致;
若一致,则确定所述CA证书为自签名CA证书,并判断所述自签名CA证书是否在所述预设证书知识库中的可信根证书列表ARCS中;
若在所述可信根证书列表ARCS中时,确定所述自签名CA证书为有效根CA证书,其中,所述有效根CA证书为正常证书;
若不在所述可信根证书列表ARCS中时,确定所述自签名CA证书为伪造根CA证书,其中,所述伪造根CA证书为中危证书;
若所述使用者信息与所述签发者信息不一致时,确定所述CA证书为非自签名CA证书;
利用所述PKI标准的证书校验体系,对所述非自签名CA证书从叶子节点逐个进行校验认证直到可信根证书;
若校验认证通过,确定所述非自签名CA证书为有效非根CA证书,其中,所述有效非根CA证书为正常证书;
若校验认证未通过,确定所述非自签名CA证书为危险CA证书,其中,所述危险CA证书为中危证书。
4.根据权利要求2所述的方法,其特征在于,所述利用X509标准函数、所述预设证书知识库、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述非CA证书的类型,包括:
判断所述非CA证书是否在所述预设证书知识库中的常用证书列表PCS中;
若在PCS中,确定所述非CA证书为流行证书,其中,所述流行证书为正常证书;
若不在PCS中,确定所述非CA证书为一般证书,并利用所述PKI标准的证书校验体系,对所述一般证书从叶子节点逐个进行校验认证直到可信根证书;
若校验认证通过,确定所述一般证书为校验合格证书,并利用X509标准函数和所述预设证书知识库,进一步识别所述校验合格证书的类型;
若校验认证未通过,确定所述一般证书为校验不合格证书,并利用所述证书特征、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述校验不合格证书的类型。
5.根据权利要求4所述的方法,其特征在于,所述利用X509标准函数和所述预设证书知识库,进一步识别所述校验合格证书的类型,包括:
读取所述校验合格证书的X509对象和扩展索引,调用X509标准中的第二预设函数,得到所述校验合格证书的指定扩展项;
依次将所述校验合格证书的指定扩展项与增强型SSL证书列表、企业型SSL证书列表以及域名型SSL证书列表进行匹配;
若与所述增强型SSL证书列表相匹配,确定所述校验合格证书为增强型SSL证书,其中,所述增强型SSL证书为正常证书;
若与所述企业型SSL证书列表相匹配,确定所述校验合格证书为企业型SSL证书,其中,所述企业型SSL证书为正常证书;
若与所述域名型SSL证书列表相匹配,确定所述校验合格证书为域名型SSL证书,并提取所述域名型SSL证书的证书指纹;
判断所述域名型SSL证书的证书指纹是否在所述预设证书知识库中的黑证书指纹库或黑域名库中;
若是,确定所述域名型SSL证书为恶意应用证书,其中,所述恶意应用证书为高危证书;
若否,确定所述域名型SSL证书为正常应用证书,其中,所述正常应用证书为正常证书。
6.根据权利要求4所述的方法,其特征在于,所述利用所述证书特征、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述校验不合格证书的类型,包括:
提取所述校验不合格证书的所述证书特征,所述证书特征包括使用者信息和签发者信息;
判断所述使用者信息与所述签发者信息是否一致;
若一致,则确定所述校验不合格证书为自签名证书,并依据所述自签名证书的所述证书特征、所述预设证书知识库和所述随机性检测神经网络模型计算所述自签名证书的证书可信度;
判断所述自签名证书的证书可信度是否大于可信度阈值;
若是,确定所述自签名证书为正常应用证书,其中,所述正常应用证书为正常证书;
若否,确定所述自签名证书为危险应用证书,并判断所述危险应用证书的域名是否在Alexa的预设排名范围内;
若在Alexa的预设排名范围内,确定所述危险应用证书为恶意应用证书,其中,恶意应用证书为高危证书。
7.根据权利要求6所述的方法,其特征在于,所述证书特征包括使用者信息和签发者信息,所述使用者信息包括通用名、组织名、所在地和所属国家,所述证书可信度包括通用名正常度、组织正常度、所在地正常度和所属国家正常度,所述依据所述自签名证书的所述证书特征、所述预设证书知识库和所述随机性检测神经网络模型计算所述自签名证书的证书可信度,包括:
通过检测所述自签名证书的通用名是否符合域名格式、是否在匿名CN集合中,并调用所述随机性检测神经网络模型检测所述自签名证书的通用名是否具有随机性,计算所述自签名证书的通用名正常度;
通过检测所述自签名证书的组织名是否在所述匿名CN集合中,并调用所述随机性检测神经网络模型检测所述自签名证书的组织名是否具有随机性,计算所述自签名证书的组织名正常度;
通过检测所述自签名证书的所在地是否在所述匿名CN集合中,并调用所述随机性检测神经网络模型检测所述自签名证书的所在地是否具有随机性,计算所述自签名证书的所在地正常度;
通过检测所述自签名证书的所属国家是否在已知国家列表中,计算所述自签名证书的所属国家正常度;
依据所述自签名证书的通用名正常度、组织名正常度、所在地正常度和所属国家正常度,计算所述自签名证书的证书可信度。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取通用名训练集、组织名训练集和地名训练集;
利用所述通用名训练集、所述组织名训练集和所述地名训练集对神经网络模型进行训练,得到随机性检测神经网络模型。
9.一种恶意加密流量的识别装置,其特征在于,包括:
SSL证书提取单元,用于提取加密流量中的SSL证书;
SSL证书识别单元,用于综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系,对所述SSL证书的类型进行识别;
恶意加密流量确定单元,用于当所述SSL证书为中危证书或高危证书时,确定所述加密流量为恶意加密流量。
10.根据权利要求9所述的装置,其特征在于,所述SSL证书识别单元包括:
CA证书识别子单元,用于读取所述SSL证书的X509对象,调用X509标准中的第一预设函数,判断所述SSL证书是否为CA证书,若为所述CA证书,触发第一识别子单元,若为非CA证书,触发第二识别子单元;
所述第一识别子单元,用于利用所述证书特征、所述预设证书知识库和所述PKI标准的证书校验体系,进一步识别所述CA证书的类型;
所述第二识别子单元,用于利用X509标准函数、所述预设证书知识库、所述随机性检测神经网络模型和所述PKI标准的证书校验体系,进一步识别所述非CA证书的类型。
CN201910560964.4A 2019-06-26 2019-06-26 一种恶意加密流量的识别方法及装置 Active CN112152961B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910560964.4A CN112152961B (zh) 2019-06-26 2019-06-26 一种恶意加密流量的识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910560964.4A CN112152961B (zh) 2019-06-26 2019-06-26 一种恶意加密流量的识别方法及装置

Publications (2)

Publication Number Publication Date
CN112152961A true CN112152961A (zh) 2020-12-29
CN112152961B CN112152961B (zh) 2023-01-31

Family

ID=73869852

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910560964.4A Active CN112152961B (zh) 2019-06-26 2019-06-26 一种恶意加密流量的识别方法及装置

Country Status (1)

Country Link
CN (1) CN112152961B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904861A (zh) * 2021-10-21 2022-01-07 厦门安胜网络科技有限公司 一种加密流量安全检测方法及装置
CN115378589A (zh) * 2022-10-26 2022-11-22 北京惠朗时代科技有限公司 二进制密钥的随机性测试方法、装置、设备及介质
CN116708034A (zh) * 2023-08-07 2023-09-05 北京安天网络安全技术有限公司 一种域名的安全属性的确定方法、装置、介质及设备
CN116723051A (zh) * 2023-08-07 2023-09-08 北京安天网络安全技术有限公司 一种域名情报信息生成方法、装置及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1759565A (zh) * 2003-04-07 2006-04-12 国际商业机器公司 用于以质量特性进行公钥证书的认证的方法和服务
WO2015101149A1 (zh) * 2013-12-30 2015-07-09 北京网秦天下科技有限公司 基于应用证书来检测应用安装包的安全性的方法、终端以及辅助服务器
US20160080363A1 (en) * 2014-09-11 2016-03-17 The Boeing Company Computer implemented method of analyzing x.509 certificates in ssl/tls communications and the dataprocessing system
JP2016512411A (ja) * 2013-03-14 2016-04-25 マイクロソフト テクノロジー ライセンシング,エルエルシー 不正デジタル証明書の自動検出
US9407644B1 (en) * 2013-11-26 2016-08-02 Symantec Corporation Systems and methods for detecting malicious use of digital certificates
US20160277193A1 (en) * 2015-03-17 2016-09-22 Digicert, Inc. Method and system for certificate discovery and ranking certificate authorities
CN109104441A (zh) * 2018-10-24 2018-12-28 上海交通大学 一种基于深度学习的加密恶意流量的检测系统和方法
US20190058714A1 (en) * 2017-08-15 2019-02-21 Gigamon Inc. Dynamic Decryption of Suspicious Network Traffic Based on Certificate Validation

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1759565A (zh) * 2003-04-07 2006-04-12 国际商业机器公司 用于以质量特性进行公钥证书的认证的方法和服务
JP2016512411A (ja) * 2013-03-14 2016-04-25 マイクロソフト テクノロジー ライセンシング,エルエルシー 不正デジタル証明書の自動検出
US9407644B1 (en) * 2013-11-26 2016-08-02 Symantec Corporation Systems and methods for detecting malicious use of digital certificates
WO2015101149A1 (zh) * 2013-12-30 2015-07-09 北京网秦天下科技有限公司 基于应用证书来检测应用安装包的安全性的方法、终端以及辅助服务器
US20160080363A1 (en) * 2014-09-11 2016-03-17 The Boeing Company Computer implemented method of analyzing x.509 certificates in ssl/tls communications and the dataprocessing system
US20160277193A1 (en) * 2015-03-17 2016-09-22 Digicert, Inc. Method and system for certificate discovery and ranking certificate authorities
US20190058714A1 (en) * 2017-08-15 2019-02-21 Gigamon Inc. Dynamic Decryption of Suspicious Network Traffic Based on Certificate Validation
CN109104441A (zh) * 2018-10-24 2018-12-28 上海交通大学 一种基于深度学习的加密恶意流量的检测系统和方法

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
VARSHARANI HAWANNA: "Risk assessment of X.509 certificate by evaluating Certification Practice Statements", 《2016 INTERNATIONAL CONFERENCE ON COMPUTING, ANALYTICS AND SECURITY TRENDS (CAST)》 *
冯达等: "基于SGX的证书可信性验证与软件安全签发系统", 《信息网络安全》 *
张毅哲等: "PKI/CA技术在LIMS系统中的应用研究", 《计量与测试技术》 *
林锵等: "PKI技术的近年研究综述", 《密码学报》 *
王兵: "权限分离的匿名数字证书发布方案的研究", 《电子技术与软件工程》 *
王娟等: "粤港跨境数字证书认证技术研究", 《计算机工程》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904861A (zh) * 2021-10-21 2022-01-07 厦门安胜网络科技有限公司 一种加密流量安全检测方法及装置
CN113904861B (zh) * 2021-10-21 2023-10-17 厦门安胜网络科技有限公司 一种加密流量安全检测方法及装置
CN115378589A (zh) * 2022-10-26 2022-11-22 北京惠朗时代科技有限公司 二进制密钥的随机性测试方法、装置、设备及介质
CN115378589B (zh) * 2022-10-26 2023-01-13 北京惠朗时代科技有限公司 二进制密钥的随机性测试方法、装置、设备及介质
CN116708034A (zh) * 2023-08-07 2023-09-05 北京安天网络安全技术有限公司 一种域名的安全属性的确定方法、装置、介质及设备
CN116723051A (zh) * 2023-08-07 2023-09-08 北京安天网络安全技术有限公司 一种域名情报信息生成方法、装置及介质
CN116723051B (zh) * 2023-08-07 2023-10-27 北京安天网络安全技术有限公司 一种域名情报信息生成方法、装置及介质
CN116708034B (zh) * 2023-08-07 2023-10-27 北京安天网络安全技术有限公司 一种域名的安全属性的确定方法、装置、介质及设备

Also Published As

Publication number Publication date
CN112152961B (zh) 2023-01-31

Similar Documents

Publication Publication Date Title
CN112152961B (zh) 一种恶意加密流量的识别方法及装置
TWI737001B (zh) 身分核實方法及其系統
CN109067801B (zh) 一种身份认证方法、身份认证装置及计算机可读介质
US11190355B2 (en) Secure biometric authentication using electronic identity
TWI592822B (zh) Man-machine identification method, network service access method and the corresponding equipment
CN105763521B (zh) 一种设备验证方法及装置
KR101853610B1 (ko) 생체정보 기반의 전자서명 인증 시스템 및 그의 전자서명 인증 방법
EP2992472B1 (en) User authentication
US9800574B2 (en) Method and apparatus for providing client-side score-based authentication
US20040010697A1 (en) Biometric authentication system and method
JP5676592B2 (ja) 参照点を使用した及び使用しない頑強なバイオメトリック特徴抽出
Cavoukian et al. Advances in biometric encryption: Taking privacy by design from academic research to deployment
CN110611647A (zh) 一种区块链系统上的节点加入方法和装置
CN102456102A (zh) 用Usb key技术对信息系统特殊操作进行身份再认证的方法
KR20190031986A (ko) 모바일 생체인식 인증 수행 장치 및 인증 요청 장치
CN114553444A (zh) 身份认证方法、装置及存储介质
CN102694776A (zh) 一种基于可信计算的认证系统及方法
CN109145543B (zh) 一种身份认证方法
CN108471419B (zh) 基于可信身份的证书共享方法
CN110505199A (zh) 基于轻量级非对称身份的Email安全登录方法
KR20200004666A (ko) 머신러닝과 블록체인을 이용한 생체정보 인증 시스템
CN104518880A (zh) 一种基于随机抽样检测的大数据可信性验证方法及系统
CN115086090A (zh) 基于UKey的网络登录认证方法及装置
CN102457484A (zh) 用户名密码认证加校验码两者集合来验证用户信息的方法
US11681787B1 (en) Ownership validation for cryptographic asset contracts using irreversibly transformed identity tokens

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant