CN112152966B - 非法ssl证书的识别方法及装置 - Google Patents

非法ssl证书的识别方法及装置 Download PDF

Info

Publication number
CN112152966B
CN112152966B CN201910568526.2A CN201910568526A CN112152966B CN 112152966 B CN112152966 B CN 112152966B CN 201910568526 A CN201910568526 A CN 201910568526A CN 112152966 B CN112152966 B CN 112152966B
Authority
CN
China
Prior art keywords
ssl certificate
certificate
ssl
determining
pass
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910568526.2A
Other languages
English (en)
Other versions
CN112152966A (zh
Inventor
邢明
苏香艳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Guancheng Technology Co ltd
Original Assignee
Beijing Guancheng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guancheng Technology Co ltd filed Critical Beijing Guancheng Technology Co ltd
Priority to CN201910568526.2A priority Critical patent/CN112152966B/zh
Publication of CN112152966A publication Critical patent/CN112152966A/zh
Application granted granted Critical
Publication of CN112152966B publication Critical patent/CN112152966B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种非法SSL证书的识别方法及装置,确定目标网络流量,目标网络流量中含有SSL证书;提取SSL证书的特征;对SSL证书的特征进行先验知识库的特征校验;如果SSL证书的特征未通过先验知识库的特征校验,则确定SSL证书为非法SSL证书;如果SSL证书的特征通过先验知识库的特征校验,则对SSL证书的特征的随机性进行检测;如果SSL证书的特征未通过随机性检测,则确定SSL证书为非法SSL证书;如果SSL证书的特征通过随机性检测,则对SSL证书的特征的相关性进行检测;如果SSL证书的特征未通过相关性检测,则确定SSL证书为非法SSL证书;如果SSL证书的特征通过相关性检测,则确定SSL证书为合法SSL证书。基于上述方法及装置能够实现对非法SSL证书的自动识别。

Description

非法SSL证书的识别方法及装置
技术领域
本申请涉及信息安全技术领域,更具体的说,是涉及非法SSL证书的识别方法及装置。
背景技术
证书颁发机构是一个受信任的第三方组织,负责发布和管理SSL(Secure SocketsLayer,安全套接层)/TLS(Transport Layer Security,传输层安全)数字证书。在互联网中,数十亿的互联网用户为了确保个人数据的机密性和完整性,盲目地依赖于全球的数百个证书颁发机构。但是,证书颁发机构的权利被滥用,或者是错误地被用于颁发伪造的数字证书,使互联网用户的隐私处于高度危险之中。
目前,越来越多的企业网络流量被加密,加密的网络流量中也将隐藏越来越多的恶意网络流量。而加密的网络流量中含有SSL证书,恶意网络流量中含有非法SSL证书,识别出非法SSL证书对恶意网络流量的筛选显得尤为重要。
因此,提供一种非法SSL证书的识别方法成为本领域技术人员亟待解决的技术问题。
发明内容
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的非法SSL证书的识别方法及装置。具体方案如下:
一种非法SSL证书的识别方法,所述方法包括:
确定目标网络流量,所述目标网络流量中含有SSL证书;
提取所述SSL证书的特征;
对所述SSL证书的特征进行先验知识库的特征校验;
如果所述SSL证书的特征未通过先验知识库的特征校验,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过先验知识库的特征校验,则对所述SSL证书的特征的随机性进行检测;
如果所述SSL证书的特征未通过随机性检测,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过随机性检测,则对所述SSL证书的特征的相关性进行检测;
如果所述SSL证书的特征未通过相关性检测,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过相关性检测,则确定所述SSL证书为合法SSL证书。
可选地,所述提取所述SSL证书的特征,包括:
提取所述SSL证书的有限集特征和所述SSL证书的无限集特征。
可选地,所述对所述SSL证书的特征进行先验知识库的特征校验,包括:
将所述SSL证书的特征逐一与所述先验知识库进行对比,判断所述SSL证书的至少一个特征是否命中所述先验知识库;
当所述SSL证书的至少一个特征命中所述先验知识库时,确定所述SSL证书的特征未通过先验知识库的特征校验;
当所述SSL证书的全部特征均未命中所述先验知识库时,确定所述SSL证书的特征通过先验知识库的特征校验。
可选地,所述先验知识库包括证书吊销列表CRL、Alexa排名前100万的证书指纹库PCS、黑域名库BDS、黑证书指纹库BCS以及匿名CN集合ACNS中的任意一个或多个。
可选地,所述对所述SSL证书的特征的随机性进行检测,包括:
通过GRU神经网络对所述SSL证书的无限集特征进行随机性检测;
当所述SSL证书的特征中包含至少一个具有随机性特性的无限集特征时,确定所述SSL证书的特征未通过随机性检测;
当所述SSL证书的特征中不包含具有随机性特性的无限集特征时,确定所述SSL证书的特征通过随机性检测。
可选地,所述对所述SSL证书的特征的相关性进行检测,包括:
通过LSTM神经网络对所述SSL证书的特征进行综合检测,确定所述SSL证书的特征之间的关系权重;
当所述SSL证书的特征之间的关系权重满足预设条件时,确定所述SSL证书的特征通过相关性检测;
当所述SSL证书的特征之间的关系权重不满足预设条件时,确定所述SSL证书的特征未通过相关性检测。
可选地,所述SSL证书的有限集特征包括证书长度、证书版本、签名算法、签名算法强度、是否自签名、颁发者选项个数、使用者选项个数、证书扩展项个数、证书有效期天数、证书是否有效、证书是否通配符证书、使用者通用名长度、使用者通用名字符个数以及使用者通用名数字个数中的任意一个或多个;
所述SSL证书的无限集特征包括使用者通用名、使用者组织名、使用者公司名、使用者所在地、使用者所在国家、颁发者通用名、颁发者组织名、颁发者公司名、颁发者所在地以及颁发者所在国家中的任意一个或多个。
一种非法SSL证书的识别装置,包括:
确定单元、特征提取单元、特征校验单元、特征随机性检测单元以及特征相关性检测单元;其中,
所述确定单元,用于确定目标网络流量,所述目标网络流量中含有SSL证书;
所述特征提取单元,用于提取所述SSL证书的特征;
所述特征校验单元,用于对所述SSL证书的特征进行先验知识库的特征校验;如果所述SSL证书的特征未通过先验知识库的特征校验,则确定所述SSL证书为非法SSL证书;如果所述SSL证书的特征通过先验知识库的特征校验,则触发所述特征随机性检测单元对所述SSL证书的特征的随机性进行检测;如果所述SSL证书的特征未通过随机性检测,则确定所述SSL证书为非法SSL证书;如果所述SSL证书的特征通过随机性检测,则触发所述特征相关性检测单元对所述SSL证书的特征的相关性进行检测;如果所述SSL证书的特征未通过相关性检测,则确定所述SSL证书为非法SSL证书;如果所述SSL证书的特征通过相关性检测,则确定所述SSL证书为合法SSL证书。
一种存储介质,其上存储有程序,该程序被处理器执行时实现如上所述的非法SSL证书的识别方法。
一种电子设备,所述电子设备包括存储器和处理器,所述存储器用于存储程序,所述处理器用于运行程序,其中,所述程序运行时执行如上所述的非法SSL证书的识别方法。
借由上述技术方案,本申请公开了一种非法SSL证书的识别方法及装置,确定目标网络流量,目标网络流量中含有SSL证书;提取SSL证书的特征;对SSL证书的特征进行先验知识库的特征校验;如果SSL证书的特征未通过先验知识库的特征校验,则确定SSL证书为非法SSL证书;如果SSL证书的特征通过先验知识库的特征校验,则对SSL证书的特征的随机性进行检测;如果SSL证书的特征未通过随机性检测,则确定SSL证书为非法SSL证书;如果SSL证书的特征通过随机性检测,则对SSL证书的特征的相关性进行检测;如果SSL证书的特征未通过相关性检测,则确定SSL证书为非法SSL证书;如果SSL证书的特征通过相关性检测,则确定SSL证书为合法SSL证书。基于上述方法及装置能够实现对非法SSL证书的自动识别。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本申请实施例提供的一种非法SSL证书的识别方法的流程示意图;
图2为本申请实施例提供的一种GRU神经网络的结构图;
图3为本申请实施例提供的一种LSTM神经网络的结构图;
图4为本发明实施例提供的一种非法SSL证书的识别装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
下面对本申请实施例提供的具体实现方案进行详细介绍。
请参阅附图1,图1为本申请实施例公开的一种非法SSL证书的识别方法的流程示意图,该方法包括如下步骤:
S101:确定目标网络流量,所述目标网络流量中含有SSL证书。
需要说明的是,在本申请中,网络流量是基于SSL/TLS协议的网络流量,目标网络流量的确定过程具体可以为,先获取一批基于SSL/TLS协议的网络流量,在对该批基于SSL/TLS协议的网络流量进行识别,分离出加密网络流量,这些加密流量中的任意一个即为目标网络流量。
S102:提取所述SSL证书的特征。
需要说明的是,SSL证书有有限集特征和无限集特征,其中,有限集特征的取值在有限范围内或在某个特定区间内,其可枚举或可预知,而无限集特征的取值是具有一定的随机性的。作为一种可实施方式,SSL证书的有限集特征和无限集特征分别如下表所示:
Figure BDA0002110174600000051
Figure BDA0002110174600000061
在本实施例中,提取所述SSL证书的特征即提取SSL证书的有限集特征和无限集特征,提取的有限集特征和无限集特征可以为上表中的全部或部分特征,对此,本申请实施例不进行任何限定。
S103:对所述SSL证书的特征进行先验知识库的特征校验,如果所述SSL证书的特征未通过先验知识库的特征校验,则执行S107,如果所述SSL证书的特征通过先验知识库的特征校验,则执行S104。
在本实施例中,先验知识库包括CRL(Certificate Revocation List,证书吊销列表)、PCS(Public Certificate Set,Alexa排名前100万的证书指纹库)、BDS(Black DomainSet,黑域名库)、BCS(Black Certificate Set,黑证书指纹库)以及ACNS(AnonymousCommon_Name Set,匿名CN集合)等先验知识库中的任意一个或多个。作为一种示例,本实施例给出了ACNS的一种列表,具体如下:
通用名 组织名 所在地
example.com Company Ltd Default City
localhost.com My Company Ltd Some City
main.info MyCompany Ltd.
default.com MySpace,Inc.
domain.com My Company Name LTD.
Company
Default Company Ltd
作为一种可实施方式,所述对所述SSL证书的特征进行先验知识库的特征校验,包括:
将所述SSL证书的特征逐一与所述先验知识库进行对比,判断所述SSL证书的至少一个特征是否命中所述先验知识库;
当所述SSL证书的至少一个特征命中所述先验知识库时,确定所述SSL证书的特征未通过先验知识库的特征校验;
当所述SSL证书的全部特征均未命中所述先验知识库时,确定所述SSL证书的特征通过先验知识库的特征校验。
S104:对所述SSL证书的特征的随机性进行检测,如果所述SSL证书的特征未通过随机性检测,则执行S107,如果所述SSL证书的特征通过随机性检测,则执行S105。
对所述SSL证书的特征的随机性进行检测的方式可以有多种,具体将通过后续实施例详细说明。
S105:对所述SSL证书的特征的相关性进行检测,如果所述SSL证书的特征未通过相关性检测,则执行S107,如果所述SSL证书的特征通过相关性检测,则执行S106。
对所述SSL证书的特征的相关性进行检测的方式可以有多种,具体将通过后续实施例详细说明。
S106:确定所述SSL证书为合法SSL证书。
S107:确定所述SSL证书为非法SSL证书。
本实施例公开了一种非法SSL证书的识别方法,确定目标网络流量,目标网络流量中含有SSL证书;提取SSL证书的特征;对SSL证书的特征进行先验知识库的特征校验;如果SSL证书的特征未通过先验知识库的特征校验,则确定SSL证书为非法SSL证书;如果SSL证书的特征通过先验知识库的特征校验,则对SSL证书的特征的随机性进行检测;如果SSL证书的特征未通过随机性检测,则确定SSL证书为非法SSL证书;如果SSL证书的特征通过随机性检测,则对SSL证书的特征的相关性进行检测;如果SSL证书的特征未通过相关性检测,则确定SSL证书为非法SSL证书;如果SSL证书的特征通过相关性检测,则确定SSL证书为合法SSL证书。基于上述方法能够实现对非法SSL证书的自动识别。
在本申请另外一个实施例中详细描述了对所述SSL证书的特征的随机性进行检测的一种实现方式,具体如下:
通过GRU(Gated Recurrent Unit)神经网络对所述SSL证书的无限集特征进行随机性检测;
当所述SSL证书的特征中包含至少一个具有随机性特性的无限集特征时,确定所述SSL证书的特征未通过随机性检测;
当所述SSL证书的特征中不包含具有随机性特性的无限集特征时,确定所述SSL证书的特征通过随机性检测。
需要说明的是,本实施例中采用的GRU神经网络的结构图如图2所示,GRU神经网络包括训练数据集、词嵌入层、GRU层、Dropout层、全连接层以及Sigmoid层几部分。
在对GRU神经网络模型进行训练时,训练数据集部分可以将Alexa排名前10万、合法组织名、公司名和地名等作为正例,DGA算法随机生成相同数量的字符串作为反例。在本申请中,与传统的自然语言的词处理方式相比,训练数据需转换为单个字符形式作为词嵌入层的输入。词嵌入层部分主要是为了把输入数据转换为便于网络运算的固定长度稠密向量,本申请中,词嵌入层部分可以把输入数据转换为64维稠密向量。GRU层是SSL证书特征随机性检测的主要组成部分,采用GRU层是为了将以前的信息和当前的信息结合起来,更准确的对输入数据进行判别。通过该层的训练,计算各输入字符之间的关系权重。Dropout层部分用于通过在训练过程中将GRU层的部分权重或输出按一定比例归零,降低节点间的相互依赖和网络结构风险,从而有效的避免过拟合。作为一种可实施方式,dropout比例为0.6。全连接层用于把GRU循环神经网络的输出转化为Sigmoid层的输入。由于判断证书的无限集特征是否符合随机性是一个二分类任务,因此Sigmoid层选用sigmoid函数,并且可以根据实际应用场景提高sigmoid函数的判决门限。
通过GRU神经网络对所述SSL证书的无限集特征进行随机性检测的方式对于利用DGA算法生成域名、组织名等特征的SSL证书具有非常高的检出率。
在本申请另外一个实施例中详细描述了对所述SSL证书的特征的相关性进行检测的一种实现方式,具体如下:
通过LSTM神经网络对所述SSL证书的特征进行综合检测,确定所述SSL证书的特征之间的关系权重;
当所述SSL证书的特征之间的关系权重满足预设条件时,确定所述SSL证书的特征通过相关性检测;
当所述SSL证书的特征之间的关系权重不满足预设条件时,确定所述SSL证书的特征未通过相关性检测。
需要说明的是,本实施例中采用的LSTM神经网络的结构图如图3所示,LSTM神经网络包括证书特征集、词嵌入层、LSTM层、Dropout层、全连接层以及Sigmoid层几部分。
在对LSTM神经网络模型进行训练时,证书特征集,包括证书的有限集特征和无限集特征。有效的合法证书集作为正例,搜集到的伪造证书作为反例。证书特征值直接作为单词输入到词嵌入层,无限集特征直接利用证书随机检测的输出结果作为新的特征值。词嵌入层主要是为了把输入数据转换为便于网络运算的向量。在本实施例中可转换为128维的向量。LSTM层是证书特征综合检测的主要组成部分,具有通过门控单元去除或增加信息到细胞状态的能力。门是一种让信息选择式通过的方法。通过该层的训练,让LSTM神经网络自主学习到各证书特征之间的相关性,计算出各特征之间的关系权重。采用LSTM层是为了将以前的特征信息和当前的特征信息结合起来,更准确的对输入数据进行判别。Dropout层部分用于通过在训练过程中将LSTM层的部分权重或输出按一定比例归零,降低节点间的相互依赖和网络结构风险,从而有效的避免过拟合。作为一种可实施方式,dropout比例为0.5。全连接层用于把LSTM循环神经网络的输出转化为Sigmoid层的输入。由于判断证书的无限集特征是否符合随机性是一个二分类任务,因此Sigmoid层选用sigmoid函数,并且可以根据实际应用场景提高sigmoid函数的判决门限。
请参阅附图4,图4为本发明实施例提供的一种非法SSL证书的识别装置的结构示意图,该装置包括:
确定单元41、特征提取单元42、特征校验单元43、特征随机性检测单元44以及特征相关性检测单元45;其中,
所述确定单元,用于确定目标网络流量,所述目标网络流量中含有SSL证书;
所述特征提取单元,用于提取所述SSL证书的特征;
所述特征校验单元,用于对所述SSL证书的特征进行先验知识库的特征校验;如果所述SSL证书的特征未通过先验知识库的特征校验,则确定所述SSL证书为非法SSL证书;如果所述SSL证书的特征通过先验知识库的特征校验,则触发所述特征随机性检测单元对所述SSL证书的特征的随机性进行检测;如果所述SSL证书的特征未通过随机性检测,则确定所述SSL证书为非法SSL证书;如果所述SSL证书的特征通过随机性检测,则触发所述特征相关性检测单元对所述SSL证书的特征的相关性进行检测;如果所述SSL证书的特征未通过相关性检测,则确定所述SSL证书为非法SSL证书;如果所述SSL证书的特征通过相关性检测,则确定所述SSL证书为合法SSL证书。
需要说明的是,上述各个单元的具体实现已在方法实施例中详细说明,具体请参见方法实施例中的相关内容,本实施例不再赘述。
所述非法SSL证书的识别装置包括处理器和存储器,上述各个单元均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来实现对非法SSL证书的自动识别。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本申请实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述非法SSL证书的识别方法。
本申请实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述非法SSL证书的识别方法。
本申请实施例提供了一种电子设备,电子设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:
确定目标网络流量,所述目标网络流量中含有SSL证书;
提取所述SSL证书的特征;
对所述SSL证书的特征进行先验知识库的特征校验;
如果所述SSL证书的特征未通过先验知识库的特征校验,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过先验知识库的特征校验,则对所述SSL证书的特征的随机性进行检测;
如果所述SSL证书的特征未通过随机性检测,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过随机性检测,则对所述SSL证书的特征的相关性进行检测;
如果所述SSL证书的特征未通过相关性检测,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过相关性检测,则确定所述SSL证书为合法SSL证书。
可选地,所述提取所述SSL证书的特征,包括:
提取所述SSL证书的有限集特征和所述SSL证书的无限集特征。
可选地,所述对所述SSL证书的特征进行先验知识库的特征校验,包括:
将所述SSL证书的特征逐一与所述先验知识库进行对比,判断所述SSL证书的至少一个特征是否命中所述先验知识库;
当所述SSL证书的至少一个特征命中所述先验知识库时,确定所述SSL证书的特征未通过先验知识库的特征校验;
当所述SSL证书的全部特征均未命中所述先验知识库时,确定所述SSL证书的特征通过先验知识库的特征校验。
可选地,所述先验知识库包括证书吊销列表CRL、Alexa排名前100万的证书指纹库PCS、黑域名库BDS、黑证书指纹库BCS以及匿名CN集合ACNS中的任意一个或多个。
可选地,所述对所述SSL证书的特征的随机性进行检测,包括:
通过GRU神经网络对所述SSL证书的无限集特征进行随机性检测;
当所述SSL证书的特征中包含至少一个具有随机性特性的无限集特征时,确定所述SSL证书的特征未通过随机性检测;
当所述SSL证书的特征中不包含具有随机性特性的无限集特征时,确定所述SSL证书的特征通过随机性检测。
可选地,所述对所述SSL证书的特征的相关性进行检测,包括:
通过LSTM神经网络对所述SSL证书的特征进行综合检测,确定所述SSL证书的特征之间的关系权重;
当所述SSL证书的特征之间的关系权重满足预设条件时,确定所述SSL证书的特征通过相关性检测;
当所述SSL证书的特征之间的关系权重不满足预设条件时,确定所述SSL证书的特征未通过相关性检测。
可选地,所述SSL证书的有限集特征包括证书长度、证书版本、签名算法、签名算法强度、是否自签名、颁发者选项个数、使用者选项个数、证书扩展项个数、证书有效期天数、证书是否有效、证书是否通配符证书、使用者通用名长度、使用者通用名字符个数以及使用者通用名数字个数中的任意一个或多个;。
所述SSL证书的无限集特征包括使用者通用名、使用者组织名、使用者公司名、使用者所在地、使用者所在国家、颁发者通用名、颁发者组织名、颁发者公司名、颁发者所在地以及颁发者所在国家中的任意一个或多个。
本文中的电子设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:
确定目标网络流量,所述目标网络流量中含有SSL证书;
提取所述SSL证书的特征;
对所述SSL证书的特征进行先验知识库的特征校验;
如果所述SSL证书的特征未通过先验知识库的特征校验,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过先验知识库的特征校验,则对所述SSL证书的特征的随机性进行检测;
如果所述SSL证书的特征未通过随机性检测,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过随机性检测,则对所述SSL证书的特征的相关性进行检测;
如果所述SSL证书的特征未通过相关性检测,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过相关性检测,则确定所述SSL证书为合法SSL证书。
可选地,所述提取所述SSL证书的特征,包括:
提取所述SSL证书的有限集特征和所述SSL证书的无限集特征。
可选地,所述对所述SSL证书的特征进行先验知识库的特征校验,包括:
将所述SSL证书的特征逐一与所述先验知识库进行对比,判断所述SSL证书的至少一个特征是否命中所述先验知识库;
当所述SSL证书的至少一个特征命中所述先验知识库时,确定所述SSL证书的特征未通过先验知识库的特征校验;
当所述SSL证书的全部特征均未命中所述先验知识库时,确定所述SSL证书的特征通过先验知识库的特征校验。
可选地,所述先验知识库包括证书吊销列表CRL、Alexa排名前100万的证书指纹库PCS、黑域名库BDS、黑证书指纹库BCS以及匿名CN集合ACNS中的任意一个或多个。
可选地,所述对所述SSL证书的特征的随机性进行检测,包括:
通过GRU神经网络对所述SSL证书的无限集特征进行随机性检测;
当所述SSL证书的特征中包含至少一个具有随机性特性的无限集特征时,确定所述SSL证书的特征未通过随机性检测;
当所述SSL证书的特征中不包含具有随机性特性的无限集特征时,确定所述SSL证书的特征通过随机性检测。
可选地,所述对所述SSL证书的特征的相关性进行检测,包括:
通过LSTM神经网络对所述SSL证书的特征进行综合检测,确定所述SSL证书的特征之间的关系权重;
当所述SSL证书的特征之间的关系权重满足预设条件时,确定所述SSL证书的特征通过相关性检测;
当所述SSL证书的特征之间的关系权重不满足预设条件时,确定所述SSL证书的特征未通过相关性检测。
可选地,所述SSL证书的有限集特征包括证书长度、证书版本、签名算法、签名算法强度、是否自签名、颁发者选项个数、使用者选项个数、证书扩展项个数、证书有效期天数、证书是否有效、证书是否通配符证书、使用者通用名长度、使用者通用名字符个数以及使用者通用名数字个数中的任意一个或多个;。
所述SSL证书的无限集特征包括使用者通用名、使用者组织名、使用者公司名、使用者所在地、使用者所在国家、颁发者通用名、颁发者组织名、颁发者公司名、颁发者所在地以及颁发者所在国家中的任意一个或多个。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种非法SSL证书的识别方法,其特征在于,所述方法包括:
确定目标网络流量,所述目标网络流量中含有SSL证书;
提取所述SSL证书的特征;
对所述SSL证书的特征进行先验知识库的特征校验;
如果所述SSL证书的特征未通过先验知识库的特征校验,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过先验知识库的特征校验,则对所述SSL证书的特征的随机性进行检测;
如果所述SSL证书的特征未通过随机性检测,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过随机性检测,则对所述SSL证书的特征的相关性进行检测;
如果所述SSL证书的特征未通过相关性检测,则确定所述SSL证书为非法SSL证书;
如果所述SSL证书的特征通过相关性检测,则确定所述SSL证书为合法SSL证书。
2.根据权利要求1所述的方法,其特征在于,所述提取所述SSL证书的特征,包括:
提取所述SSL证书的有限集特征和所述SSL证书的无限集特征。
3.根据权利要求1所述的方法,其特征在于,所述对所述SSL证书的特征进行先验知识库的特征校验,包括:
将所述SSL证书的特征逐一与所述先验知识库进行对比,判断所述SSL证书的至少一个特征是否命中所述先验知识库;
当所述SSL证书的至少一个特征命中所述先验知识库时,确定所述SSL证书的特征未通过先验知识库的特征校验;
当所述SSL证书的全部特征均未命中所述先验知识库时,确定所述SSL证书的特征通过先验知识库的特征校验。
4.根据权利要求3所述的方法,其特征在于,所述先验知识库包括证书吊销列表CRL、Alexa排名前100万的证书指纹库PCS、黑域名库BDS、黑证书指纹库BCS以及匿名CN集合ACNS中的任意一个或多个。
5.根据权利要求2所述的方法,其特征在于,所述对所述SSL证书的特征的随机性进行检测,包括:
通过GRU神经网络对所述SSL证书的无限集特征进行随机性检测;
当所述SSL证书的特征中包含至少一个具有随机性特性的无限集特征时,确定所述SSL证书的特征未通过随机性检测;
当所述SSL证书的特征中不包含具有随机性特性的无限集特征时,确定所述SSL证书的特征通过随机性检测。
6.根据权利要求1所述的方法,其特征在于,所述对所述SSL证书的特征的相关性进行检测,包括:
通过LSTM神经网络对所述SSL证书的特征进行综合检测,确定所述SSL证书的特征之间的关系权重;
当所述SSL证书的特征之间的关系权重满足预设条件时,确定所述SSL证书的特征通过相关性检测;
当所述SSL证书的特征之间的关系权重不满足预设条件时,确定所述SSL证书的特征未通过相关性检测。
7.根据权利要求2所述的方法,其特征在于,所述SSL证书的有限集特征包括证书长度、证书版本、签名算法、签名算法强度、是否自签名、颁发者选项个数、使用者选项个数、证书扩展项个数、证书有效期天数、证书是否有效、证书是否通配符证书、使用者通用名长度、使用者通用名字符个数以及使用者通用名数字个数中的任意一个或多个;
所述SSL证书的无限集特征包括使用者通用名、使用者组织名、使用者公司名、使用者所在地、使用者所在国家、颁发者通用名、颁发者组织名、颁发者公司名、颁发者所在地以及颁发者所在国家中的任意一个或多个。
8.一种非法SSL证书的识别装置,其特征在于,包括:
确定单元、特征提取单元、特征校验单元、特征随机性检测单元以及特征相关性检测单元;其中,
所述确定单元,用于确定目标网络流量,所述目标网络流量中含有SSL证书;
所述特征提取单元,用于提取所述SSL证书的特征;
所述特征校验单元,用于对所述SSL证书的特征进行先验知识库的特征校验;如果所述SSL证书的特征未通过先验知识库的特征校验,则确定所述SSL证书为非法SSL证书;如果所述SSL证书的特征通过先验知识库的特征校验,则触发所述特征随机性检测单元对所述SSL证书的特征的随机性进行检测;如果所述SSL证书的特征未通过随机性检测,则确定所述SSL证书为非法SSL证书;如果所述SSL证书的特征通过随机性检测,则触发所述特征相关性检测单元对所述SSL证书的特征的相关性进行检测;如果所述SSL证书的特征未通过相关性检测,则确定所述SSL证书为非法SSL证书;如果所述SSL证书的特征通过相关性检测,则确定所述SSL证书为合法SSL证书。
9.一种存储介质,其上存储有程序,该程序被处理器执行时实现如权利要求1至7中任一项所述的非法SSL证书的识别方法。
10.一种电子设备,所述电子设备包括存储器和处理器,所述存储器用于存储程序,所述处理器用于运行程序,其中,所述程序运行时执行如权利要求1至7中任一项所述的非法SSL证书的识别方法。
CN201910568526.2A 2019-06-27 2019-06-27 非法ssl证书的识别方法及装置 Active CN112152966B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910568526.2A CN112152966B (zh) 2019-06-27 2019-06-27 非法ssl证书的识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910568526.2A CN112152966B (zh) 2019-06-27 2019-06-27 非法ssl证书的识别方法及装置

Publications (2)

Publication Number Publication Date
CN112152966A CN112152966A (zh) 2020-12-29
CN112152966B true CN112152966B (zh) 2022-07-12

Family

ID=73869273

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910568526.2A Active CN112152966B (zh) 2019-06-27 2019-06-27 非法ssl证书的识别方法及装置

Country Status (1)

Country Link
CN (1) CN112152966B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904861B (zh) * 2021-10-21 2023-10-17 厦门安胜网络科技有限公司 一种加密流量安全检测方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026599A (zh) * 2007-01-19 2007-08-29 深圳市深信服电子科技有限公司 基于网关、网桥防范网络钓鱼网站的方法
US7739494B1 (en) * 2003-04-25 2010-06-15 Symantec Corporation SSL validation and stripping using trustworthiness factors
US9450764B1 (en) * 2013-09-12 2016-09-20 Symantec Corporation Systems and methods for validating self-signed certificates
CN106603519A (zh) * 2016-12-07 2017-04-26 中国科学院信息工程研究所 一种基于证书特征泛化和服务器变迁行为的ssl/tls加密恶意服务发现方法
CN108650236A (zh) * 2018-04-13 2018-10-12 上海连尚网络科技有限公司 一种用于检测ssl中间人攻击的方法与设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7739494B1 (en) * 2003-04-25 2010-06-15 Symantec Corporation SSL validation and stripping using trustworthiness factors
CN101026599A (zh) * 2007-01-19 2007-08-29 深圳市深信服电子科技有限公司 基于网关、网桥防范网络钓鱼网站的方法
US9450764B1 (en) * 2013-09-12 2016-09-20 Symantec Corporation Systems and methods for validating self-signed certificates
CN106603519A (zh) * 2016-12-07 2017-04-26 中国科学院信息工程研究所 一种基于证书特征泛化和服务器变迁行为的ssl/tls加密恶意服务发现方法
CN108650236A (zh) * 2018-04-13 2018-10-12 上海连尚网络科技有限公司 一种用于检测ssl中间人攻击的方法与设备

Also Published As

Publication number Publication date
CN112152966A (zh) 2020-12-29

Similar Documents

Publication Publication Date Title
CN110046482A (zh) 身份核实方法及其系统
JP2020511059A (ja) 情報認証方法及びシステム
CN113469366B (zh) 一种加密流量的识别方法、装置及设备
Panchenko et al. Analysis of fingerprinting techniques for Tor hidden services
CN109344611B (zh) 应用的访问控制方法、终端设备及介质
CN105224600B (zh) 一种样本相似度的检测方法及装置
CN109800560B (zh) 一种设备识别方法和装置
CN101681657A (zh) 安全存储器
Hakak et al. A framework for authentication of digital Quran
Drichel et al. Analyzing the real-world applicability of DGA classifiers
CN112152961B (zh) 一种恶意加密流量的识别方法及装置
Sheykhkanloo Employing neural networks for the detection of SQL injection attack
CN110830257B (zh) 一种文件签名方法、装置、电子设备及可读存储介质
CN112019519B (zh) 网络安全情报威胁度的检测方法、装置和电子装置
CN108234454B (zh) 一种身份认证方法、服务器及客户端设备
CN110855635B (zh) Url识别方法、装置及数据处理设备
CN112152966B (zh) 非法ssl证书的识别方法及装置
CN112134829B (zh) 生成加密流量特征集的方法及装置
CN110826091A (zh) 一种文件签名方法、装置、电子设备及可读存储介质
CN114024761A (zh) 网络威胁数据的检测方法、装置、存储介质及电子设备
CN112099870B (zh) 文档处理方法、装置、电子设备及计算机可读存储介质
Gupta et al. Blockchain based detection of android malware using ranked permissions
CN111027065B (zh) 一种勒索病毒识别方法、装置、电子设备及存储介质
CN110826034B (zh) 一种文件签名方法、装置、电子设备及可读存储介质
Alsaedi et al. Multi-Modal Features Representation-Based Convolutional Neural Network Model for Malicious Website Detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant