CN112422474A - 一种加密数据流的监测方法、第一电子设备和存储介质 - Google Patents
一种加密数据流的监测方法、第一电子设备和存储介质 Download PDFInfo
- Publication number
- CN112422474A CN112422474A CN201910768072.3A CN201910768072A CN112422474A CN 112422474 A CN112422474 A CN 112422474A CN 201910768072 A CN201910768072 A CN 201910768072A CN 112422474 A CN112422474 A CN 112422474A
- Authority
- CN
- China
- Prior art keywords
- data packet
- data stream
- encrypted data
- characteristic information
- electronic device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种加密数据流的监测方法,第一电子设备与第二电子设备进行加密数据流的通信握手;在通信握手的过程中,提取加密数据流中的第一数据包;若第一数据包为预设数据包,从加密数据流中提取第一特征信息;基于第一特征信息,生成加密数据流的分析结果;本发明的实施例同时还公开了一种第一电子设备和存储介质,实现对加密流的握手信息进行提取,确保在传输恶意流量之前便可以检测到恶意流量,并对恶意流量进行处理,以使得在恶意行为发生之前阻止其发生变得可行。
Description
技术领域
本发明涉及但不限于通信领域,尤其涉及一种加密数据流的监测方法、第一电子设备和存储介质。
背景技术
随着安全套接层(Secure Sockets Layer,SSL)及安全传输层(Transport LayerSecurity,TLS)的广泛使用,网络中的加密流量逐年增加。同时,越来越多的恶意软件也采用SSL/TLS协议对通信数据进行了加密,这使得传统的深度包检测方法的精度大幅降低。基于机器学习的加密恶意流量的检测方法应运而生,该检测方法首先获取整个网络加密流量产生的数据包,然后从该数据包中提取信息,最后基于提取的信息进行恶意流量检测;可见,相关技术中必须获取整个网络加密流量产生的数据包,并且只能在加密恶意流量结束后才能给出检测结果。
发明内容
有鉴于此,本发明实施例提供一种加密数据流的监测方法、第一电子设备和存储介质,解决了相关技术中必须获取整个网络加密流量产生的数据包,并且只能在加密恶意流量结束后才能给出检测结果的问题,实现对加密流的握手信息进行提取,确保在传输恶意流量之前便可以检测到恶意流量,并对恶意流量进行处理,以使得在恶意行为发生之前阻止其发生变得可行。
为达到上述目的,本发明的技术方案是这样实现的:
一种加密数据流的监测方法,所述方法包括:
第一电子设备与第二电子设备进行加密数据流的通信握手;
在所述通信握手的过程中,提取所述加密数据流中的第一数据包;
若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息;
基于所述第一特征信息,生成所述加密数据流的分析结果。
可选的,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:
获取所述第一数据包中的五元组;
若所述五元组与所述第一电子设备的内存中存储的五元组不同,确定所述第一数据包为所述加密数据流中的第一个数据包,并从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第一个数据包。
可选的,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:
获取所述第一数据包的标识信息;
若所述标识信息表征所述第一数据包为所述第一电子设备与所述第二电子设备在通信握手完成时产生的第二数据包,从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第二数据包。
可选的,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:
若所述第一数据包为所述预设数据包,获取所述加密数据流中的第二特征信息的属性;
从所述第二特征信息中提取属性符合预设属性的第二特征信息,得到所述第一特征信息;其中,所述预设属性用于表征以下至少之一:包特征信息、握手信息和证书信息。
可选的,所述基于所述第一特征信息,生成所述加密数据流的分析结果,包括:
对所述第一特征信息进行量化处理,得到目标特征参数;
将所述目标特征参数输入至随机森林模型,得到所述分析结果。
可选的,所述对所述第一特征信息进行量化处理,得到目标特征参数,包括:
若所述第一特征信息包括预设字段,对所述第一特征信息进行量化处理,得到第一特征参数;
若所述第一特征信息不包括所述预设字段,对所述第一特征信息进行量化处理,得到第二特征参数;其中,所述目标特征参数包括所述第二特征参数与所述第一特征参数,且所述第二特征参数与所述第一特征参数不同。
一种第一电子设备,所述第一电子设备包括:处理器、存储器和通信总线;
所述通信总线用于实现处理器和存储器之间的通信连接;
所述处理器用于执行存储器中存储的加密数据流的监测程序,以实现以下步骤:
第一电子设备与第二电子设备进行加密数据流的通信握手;
在所述通信握手的过程中,提取所述加密数据流中的第一数据包;
若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息;
基于所述第一特征信息,生成所述加密数据流的分析结果。
可选的,所述处理器还用于实现以下步骤:
获取所述第一数据包中的五元组;
若所述五元组与所述第一电子设备的内存中存储的五元组不同,确定所述第一数据包为所述加密数据流中的第一个数据包,并从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第一个数据包。
可选的,所述处理器还用于实现以下步骤:
获取所述第一数据包的标识信息;
若所述标识信息表征所述第一数据包为所述第一电子设备与所述第二电子设备在通信握手完成时产生的第二数据包,从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第二数据包。
可选的,所述处理器还用于实现以下步骤:
若所述第一数据包为所述预设数据包,获取所述加密数据流中的第二特征信息的属性;
从所述第二特征信息中提取属性符合预设属性的第二特征信息,得到所述第一特征信息;其中,所述预设属性用于表征以下至少之一:包特征信息、握手信息和证书信息。
可选的,所述处理器还用于实现以下步骤:
对所述第一特征信息进行量化处理,得到目标特征参数;
将所述目标特征参数输入至随机森林模型,得到所述分析结果。
可选的,所述处理器还用于实现以下步骤:
若所述第一特征信息包括预设字段,对所述第一特征信息进行量化处理,得到第一特征参数;
若所述第一特征信息不包括所述预设字段,对所述第一特征信息进行量化处理,得到第二特征参数;其中,所述目标特征参数包括所述第二特征参数与所述第一特征参数,且所述第二特征参数与所述第一特征参数不同。
一种存储介质,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如上述的加密数据流的监测方法的步骤。
本发明实施例所提供的加密数据流的监测方法、第一电子设备和存储介质,第一电子设备与第二电子设备进行加密数据流的通信握手;在通信握手的过程中,提取加密数据流中的第一数据包;若第一数据包为预设数据包,从加密数据流中提取第一特征信息;基于第一特征信息,生成加密数据流的分析结果;解决了相关技术中必须获取整个网络加密流量产生的数据包,并且只能在加密恶意流量结束后才能给出检测结果的问题,实现对加密流的握手信息进行提取,确保在传输恶意流量之前便可以检测到恶意流量,并对恶意流量进行处理,以使得在恶意行为发生之前阻止其发生变得可行。
附图说明
图1为本发明实施提供的一种加密数据流的监测方法的流程示意图;
图2为本发明实施例提供的另一种加密数据流的监测方法的流程示意图;
图3为本发明实施例提供的一种第一特征信息;
图4为本发明实施例提供的一种加密数据流的监测的通信场景示意图;
图5为本发明另一实施提供的一种加密数据流的监测方法的流程示意图;
图6为本发明实施提供的一种第一电子设备的结构示意图。
具体实施方式
下面结合附图及实施例对本发明再作进一步详细的描述。
相关技术中,随着SSL/TLS协议的广泛使用,网络中的加密流量逐年增加。同时,越来越多的恶意软件也采用SSL/TLS协议对通信数据进行了加密,这使得传统的深度包检测方法的精度大幅降低。基于机器学习的加密恶意流量的检测方法应运而生。此类检测方法需要首先获取整个网络加密流量产生的数据包,再提取各网络流中的特征,然后采用机器学习方法如支持向量机、决策树、随机森林、Logistic回归等检测是否存在恶意流量。
相关技术中,使用从整条加密流中提取信息,以此进行恶意流量检测,所以只能在加密恶意流结束后才能给出检测结果。
基于前述内容,本发明的实施例提供一种加密数据流的监测方法,该方法应用于第一电子设备,参照图1所示,该方法包括以下步骤:
步骤101、第一电子设备与第二电子设备进行加密数据流的通信握手。
在本发明实施例中,第一电子设备可以是客户端设备、服务端设备或网关设备;其中,该网关设备包括客户端设备和服务端设备之间的通信流量经过的设备。
示例性的,第一电子设备可以是客户端设备,第二电子设备可以是与客户端设备进行通信的服务端设备。
步骤102、在通信握手的过程中,提取加密数据流中的第一数据包。
本发明实施例中,通信握手的过程指的是从第一电子设备接收到第二电子设备发送的第一个握手传输控制协议(Transmission Control Protocol,TCP)报文开始,于接收到第二电子设备发送的加密数据流的SSL/TLS握手过程的最后一个数据包结束的这一时间段。可以理解的,最后一个数据包指的是“encrypted_handshake_message”数据包。
步骤103、若第一数据包为预设数据包,从加密数据流中提取第一特征信息。
在本发明实施例中,第一电子设备从加密数据流中提取第一特征信息之前,需要确定第一电子设备是否为该加密数据流开辟了存储空间。示例性的,假如捕获到的数据包中的五元组与第一电子设备的内存中存在的任何五元组都不相同,则第一电子设备确定自身没有为该加密数据流开辟存储空间;如果有相同的,则第一电子设备确定已经为该加密数据流开辟了存储空间。
在本发明实施例中,针对一条加密数据流,预设数据包表征在上述通信握手过程中产生的数据包;第一电子设备确定第一数据包为预设数据包,则从加密数据流中提取第一特征信息;也就是说,只要捕获到上述通信握手过程中该加密数据流的一个数据包,就进行第一特征信息的提取,直到提取到SSL/TLS握手过程的最后一个数据包则结束提取。
步骤104、基于第一特征信息,生成加密数据流的分析结果。
在本发明实施例中,分析结果表征加密数据流为恶意流量或正常流量。第一电子设备在获取到第一特征信息后,可以基于第一特征信息,生成加密数据流的分析结果。
本发明实施例所提供的加密数据流的监测方法,第一电子设备与第二电子设备进行加密数据流的通信握手;在通信握手的过程中,提取加密数据流中的第一数据包;若第一数据包为预设数据包,从加密数据流中提取第一特征信息;基于第一特征信息,生成加密数据流的分析结果;解决了相关技术中必须获取整个网络加密流量产生的数据包,并且只能在加密恶意流量结束后才能给出检测结果的问题,实现对加密流的握手信息进行提取,确保在传输恶意流量之前便可以检测到恶意流量,并对恶意流量进行处理,以使得在恶意行为发生之前阻止其发生变得可行。
基于前述实施例,本发明的实施例提供一种加密数据流的监测方法,该方法应用于第一电子设备,参照图2所示,该方法包括以下步骤:
步骤201、第一电子设备与第二电子设备进行加密数据流的通信握手。
步骤202、在通信握手的过程中,提取加密数据流中的第一数据包。
步骤203、若第一数据包为预设数据包,从加密数据流中提取第一特征信息。
本发明实施例中,步骤203若第一数据包为预设数据包,从加密数据流中提取第一特征信息,可以通过如下两种方式中的一种实现;
方式一:
步骤203a1、获取第一数据包中的五元组。
可以理解的,一条加密数据流由五元组{Pro,IPsrc,IPdst,Portsrc,Portdst}确定;其中,Pro为协议类型;IPsrc为源互联网协议地址(Internet Protocol Address,IP),IPdst为目的IP地址,Portsrc为源端口号,Portdst为目的端口号。
这里,将加密数据流的第一个TCP报文的源地址作为客户端,目的地址作为服务端,以此规定加密数据流的方向。
步骤203a2、若五元组与第一电子设备的内存中存储的五元组不同,确定第一数据包为加密数据流中的第一个数据包,并从加密数据流中提取第一特征信息。
其中,预设数据包包括第一个数据包。
这里,第一电子设备获取到第一数据包后,获取第一数据包中的五元组,并基于第一数据包中的五元组和第一电子设备的内存中存储的五元组进行比对,若两者不同,确定第一数据包为加密数据流中的第一个数据包,即第一数据包为预设数据包,则从加密数据流中提取第一特征信息。
方式二:步骤203b1、获取第一数据包的标识信息。
步骤203b2、若标识信息表征第一数据包为第一电子设备与第二电子设备在通信握手完成时产生的第二数据包,从加密数据流中提取第一特征信息。
其中,预设数据包包括第二数据包。
这里,第一电子设备获取到第一数据包后,获取第一数据包的标识信息;进一步地,第一电子设备确定上述标识信息表征第一数据包为第一电子设备与第二电子设备在通信握手完成时产生的第二数据包时,确定第一数据包为预设数据包,并从加密数据流中提取第一特征信息。
本发明实施例中,步骤203a2或步骤203b2中从加密数据流中提取第一特征信息,可以通过如下步骤实现:
第一步、若第一数据包为预设数据包,获取加密数据流中的第二特征信息的属性。
第二步、从第二特征信息中提取属性符合预设属性的第二特征信息,得到第一特征信息。
其中,预设属性用于表征以下至少之一:包特征信息、握手信息和证书信息。
进一步地,参见图3所示,本发明实施例中,包特征信息包括:发送报文的长度之和、接受报文的长度之、长度在1350到1500字节的包的数量、发送报文的包数量和接受报文的包数量。
本发明实施例中,握手信息也可以称为SSL/TLS握手信息,SSL/TLS握手信息包括:客户端是否支持“renegotiation_info”扩展、客户端是否支持“SessionTicket TLS”扩展、客户端是否支持“signed_certificate_timestamp”扩展、客户端是否支持“next_protocol_negotiation”扩展、客户端是否支持字段为0x0601的签名算法、客户端是否支持字段为0x0603的签名算法、客户端是否支持字段为0x0402的签名算法、客户端是否支持字段为0x0403的签名算法、客户端是否支持字段为0x0038的加密算法、客户端是否支持字段为0x0005的加密算法、客户端是否支持字段为0xcca8的加密算法、客户端是否支持字段为0x0033的加密算法、客户端是否支持字段为0xc02b的加密算法、客户端是否支持字段为0xc009的加密算法、客户端是否支持字段为0x009c的加密算法、客户端是否支持字段为0xc007的加密算法、客户端是否支持字段为0xcc14的加密算法、客户端是否支持字段为0xc02c的加密算法和“sever name”字段的长度。
本发明实施例中,证书信息包括:该加密数据流所有证书中不存在“basicconstraints CA”字段的比例、该加密数据流所有证书中存在字段为“2.5.29.31”的扩展的比例、该加密数据流所有证书中“SAN”字段包含邮件地址的数量和该加密数据流所有证书中使用“sha1WithRSAEncryption”算法的比例。
步骤204、对第一特征信息进行量化处理,得到目标特征参数。
本发明实施例中,第一电子设备对第一特征信息进行量化处理的过程中,对第一特征信息中除数量、长度和比例之外的信息进行量化处理。
本发明实施例中,步骤204对第一特征信息进行量化处理,得到目标特征参数,可以通过如下步骤实现:
步骤204a、若第一特征信息包括预设字段,对第一特征信息进行量化处理,得到第一特征参数。
本发明实施例中,第一电子设备确定第一特征信息包括预设字段时,则对第一特征信息进行量化处理,得到第一特征参数,例如将第一特征信息量化为1。
步骤204b、若第一特征信息不包括预设字段,对第一特征信息进行量化处理,得到第二特征参数。
其中,目标特征参数包括第二特征参数与第一特征参数,且第二特征参数与第一特征参数不同。
本发明实施例中,第一电子设备确定第一特征信息不包括预设字段时,则对第一特征信息进行量化处理,得到第二特征参数,例如将第一特征信息量化为0。
步骤205、将目标特征参数输入至随机森林模型,得到分析结果。
本发明实施例中,第一电子设备将目标特征参数输入至随机森林模型,随机森林模型的输出即为加密数据流的分析结果。这里,随机森林模型可以为分类与回归树(Classification and Regression Trees,CART)算法的随机森林模型。
基于上述内容可知,本发明实施例所提供的加密数据流的监测方法具有很好的实时性,该方法不仅在SSL/TLS协议握手过程结束完成时(通常小于1秒),即恶意行为发生之前,判断出待检测加密数据流是否为恶意流量,这使得在恶意行为发生之前阻止其发生变得可行。此外,该方法仅需提取28个第一特征信息,节省了内存,计算和时间开销;当待检网络中只存在一个恶意软件产生的加密数据流时,本发明实施例所提供的加密数据流的监测方法也能有效检测;本发明检测准确率高,误报率低。基于本发明实施例所提供的加密数据流的监测方法,实现对加密恶意数据流的检测准确率提升至99.8260%,误报率为0.1719%;而且,本发明实施例所提供的加密数据流的监测方法可部署于网络的中间节点,具有很强的实用性。
需要说明的是,相关技术中从整条加密数据流中提取信息,以此进行恶意流量检测,而本发明实施例提供的方法只需要从加密数据流的握手信息进行提取,便可实现针对加密恶意流在数据传输之前给出检测结果。
相关技术中提取的加密流的特征信息数量多,造成检测过程相较于本发明实施例提供的方法检测时间长,进而影响网络流的高速传输。
相关技术中选用的加密流的特征信息占用空间大,检测器为每个加密流维持的内存空间较大,因而对检测器的硬件要求高,而本发明实施例提供的方法所采用的第一特征信息对内存空间占用小,对检测器的硬件要求低,且更加适合在高吞吐率网络节点部署。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
基于前述实施例,对本发明的实施例所提供一种加密数据流的监测方法作进一步的说明,该方法应用于第一电子设备,参照图4和图5所示,该方法包括以下步骤:
第一步,第一电子设备检测是否为该加密数据流开辟空间。
这里,第一电子设备可以是客户端设备或网关设备。第二电子设备可以是与客户端设备或网关设备进行通信的服务端设备。第一电子设备在执行本发明实施例所提供的加密数据流的监测方法时,可以先判断第一电子设备检测是否为该加密数据流开辟空间。
第二步,在第一步的判断结果为是的情况下,第一电子设备从加密数据流中提取数据包,并判断是否为该加密数据流的最后一个数据包。
这里,加密数据流的最后一个数据包指的是第一电子设备和第二电子设备握手过程中最后一个数据包。
第三步,在第二步的判断结果为时的情况下,第一电子设备提取加密数据流的第一特征信息。
第四步,将第一特征信息进行量化,得到目标特征参数。
第五步,第一电子设备将目标特征参数输入随机森林模型,得到分析结果。这里,该分析结果包括加密数据流为恶意流量或正常流量。
第六步,在第一步的判断结果为否的情况下,第一电子设备从加密数据流中提取数据包,并判断提取的包是否为该加密数据流的第一个数据包。
第七步,在第六步的判断结果为是的情况下,第一电子设备为该加密数据流开辟特征空间,进而提取第一特征信息。
由上述可知,本发明实施例提供的方法只需要从加密数据流的握手信息进行提取,可实现在加密恶意流在数据传输之前给出检测结果。
基于前述实施例,本发明的实施例提供一种第一电子设备,该第一电子设备可以应用于图1~2对应的实施例提供的一种加密数据流的监测方法中,参照图6所示,该第一电子设备3包括:处理器31、存储器32和通信总线33,其中:
通信总线33用于实现处理器31和存储器32之间的通信连接。
处理器31用于执行存储器32中存储的加密数据流的监测程序,以实现以下步骤:
第一电子设备与第二电子设备进行加密数据流的通信握手;
在通信握手的过程中,提取加密数据流中的第一数据包;
若第一数据包为预设数据包,从加密数据流中提取第一特征信息;
基于第一特征信息,生成加密数据流的分析结果。
在本发明的其他实施例中,处理器31用于执行存储器32中存储的加密数据流的监测程序,以实现以下步骤:
获取第一数据包中的五元组;
若五元组与第一电子设备的内存中存储的五元组不同,确定第一数据包为加密数据流中的第一个数据包,并从加密数据流中提取第一特征信息;其中,预设数据包包括第一个数据包。
在本发明的其他实施例中,处理器31用于执行存储器32中存储的加密数据流的监测程序,以实现以下步骤:
获取第一数据包的标识信息;
若标识信息表征第一数据包为第一电子设备与第二电子设备在通信握手完成时产生的第二数据包,从加密数据流中提取第一特征信息;其中,预设数据包包括第二数据包。
在本发明的其他实施例中,处理器31用于执行存储器32中存储的加密数据流的监测程序,以实现以下步骤:
若第一数据包为预设数据包,获取加密数据流中的第二特征信息的属性;
从第二特征信息中提取属性符合预设属性的第二特征信息,得到第一特征信息;其中,预设属性用于表征以下至少之一:包特征信息、握手信息和证书信息。
在本发明的其他实施例中,处理器31用于执行存储器32中存储的加密数据流的监测程序,以实现以下步骤:
对第一特征信息进行量化处理,得到目标特征参数;
将目标特征参数输入至随机森林模型,得到分析结果。
在本发明的其他实施例中,处理器31用于执行存储器32中存储的加密数据流的监测程序,以实现以下步骤:
若第一特征信息包括预设字段,对第一特征信息进行量化处理,得到第一特征参数;
若第一特征信息不包括预设字段,对第一特征信息进行量化处理,得到第二特征参数;其中,目标特征参数包括第二特征参数与第一特征参数,且第二特征参数与第一特征参数不同。
需要说明的是,本实施例中处理器所执行的步骤的具体实现过程,可以参照图1~2对应的实施例提供的加密数据流的监测方法中的实现过程,此处不再赘述。
基于前述实施例,本发明的实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有一个或者多个程序,该一个或者多个程序可被一个或者多个处理器执行,以实现如下步骤:
第一电子设备与第二电子设备进行加密数据流的通信握手;
在通信握手的过程中,提取加密数据流中的第一数据包;
若第一数据包为预设数据包,从加密数据流中提取第一特征信息;
基于第一特征信息,生成加密数据流的分析结果。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,还可以实现以下步骤:
获取第一数据包中的五元组;
若五元组与第一电子设备的内存中存储的五元组不同,确定第一数据包为加密数据流中的第一个数据包,并从加密数据流中提取第一特征信息;其中,预设数据包包括第一个数据包。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,还可以实现以下步骤:
获取第一数据包的标识信息;
若标识信息表征第一数据包为第一电子设备与第二电子设备在通信握手完成时产生的第二数据包,从加密数据流中提取第一特征信息;其中,预设数据包包括第二数据包。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,还可以实现以下步骤:
若第一数据包为预设数据包,获取加密数据流中的第二特征信息的属性;
从第二特征信息中提取属性符合预设属性的第二特征信息,得到第一特征信息;其中,预设属性用于表征以下至少之一:包特征信息、握手信息和证书信息。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,还可以实现以下步骤:
对第一特征信息进行量化处理,得到目标特征参数;
将目标特征参数输入至随机森林模型,得到分析结果。
在本发明的其他实施例中,该一个或者多个程序可被一个或者多个处理器执行,还可以实现以下步骤:
若第一特征信息包括预设字段,对第一特征信息进行量化处理,得到第一特征参数;
若第一特征信息不包括预设字段,对第一特征信息进行量化处理,得到第二特征参数;其中,目标特征参数包括第二特征参数与第一特征参数,且第二特征参数与第一特征参数不同。
需要说明的是,本实施例中处理器所执行的步骤的具体实现过程,可以参照图1~2对应的实施例提供的加密数据流的监测方法中的实现过程,此处不再赘述。
需要说明的是,上述计算机可读存储介质可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种电子设备,如移动电话、计算机、平板设备、个人数字助理等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所描述的方法。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种加密数据流的监测方法,其特征在于,所述方法包括:
第一电子设备与第二电子设备进行加密数据流的通信握手;
在所述通信握手的过程中,提取所述加密数据流中的第一数据包;
若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息;
基于所述第一特征信息,生成所述加密数据流的分析结果。
2.根据权利要求1所述的方法,其特征在于,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:
获取所述第一数据包中的五元组;
若所述五元组与所述第一电子设备的内存中存储的五元组不同,确定所述第一数据包为所述加密数据流中的第一个数据包,并从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第一个数据包。
3.根据权利要求1所述的方法,其特征在于,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:
获取所述第一数据包的标识信息;
若所述标识信息表征所述第一数据包为所述第一电子设备与所述第二电子设备在通信握手完成时产生的第二数据包,从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第二数据包。
4.根据权利要求1所述的方法,其特征在于,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:
若所述第一数据包为所述预设数据包,获取所述加密数据流中的第二特征信息以及所述第二特征信息的属性;
从所述第二特征信息中提取属性符合预设属性的第二特征信息,得到所述第一特征信息;其中,所述预设属性用于表征以下至少之一:包特征信息、握手信息和证书信息。
5.根据权利要求1所述的方法,其特征在于,所述基于所述第一特征信息,生成所述加密数据流的分析结果,包括:
对所述第一特征信息进行量化处理,得到目标特征参数;
将所述目标特征参数输入至随机森林模型,得到所述分析结果。
6.根据权利要求5所述的方法,其特征在于,所述对所述第一特征信息进行量化处理,得到目标特征参数,包括:
若所述第一特征信息包括预设字段,对所述第一特征信息进行量化处理,得到第一特征参数;
若所述第一特征信息不包括所述预设字段,对所述第一特征信息进行量化处理,得到第二特征参数;其中,所述目标特征参数包括所述第二特征参数与所述第一特征参数,且所述第二特征参数与所述第一特征参数不同。
7.一种第一电子设备,其特征在于,所述第一电子设备包括:处理器、存储器和通信总线;
所述通信总线用于实现处理器和存储器之间的通信连接;
所述处理器用于执行存储器中存储的加密数据流的监测程序,以实现以下步骤:
第一电子设备与第二电子设备进行加密数据流的通信握手;
在所述通信握手的过程中,提取所述加密数据流中的第一数据包;
若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息;
基于所述第一特征信息,生成所述加密数据流的分析结果。
8.根据权利要求7所述的第一电子设备,其特征在于,所述处理器还用于实现以下步骤:
获取所述第一数据包中的五元组;
若所述五元组与所述第一电子设备的内存中存储的五元组不同,确定所述第一数据包为所述加密数据流中的第一个数据包,并从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第一个数据包。
9.根据权利要求7所述的第一电子设备,其特征在于,所述处理器还用于实现以下步骤:
获取所述第一数据包的标识信息;
若所述标识信息表征所述第一数据包为所述第一电子设备与所述第二电子设备在通信握手完成时产生的第二数据包,从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第二数据包。
10.一种存储介质,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至6中任一项所述的加密数据流的监测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910768072.3A CN112422474B (zh) | 2019-08-20 | 2019-08-20 | 一种加密数据流的监测方法、第一电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910768072.3A CN112422474B (zh) | 2019-08-20 | 2019-08-20 | 一种加密数据流的监测方法、第一电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112422474A true CN112422474A (zh) | 2021-02-26 |
| CN112422474B CN112422474B (zh) | 2023-07-18 |
Family
ID=74778897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910768072.3A Active CN112422474B (zh) | 2019-08-20 | 2019-08-20 | 一种加密数据流的监测方法、第一电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112422474B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051874A (zh) * | 2022-08-01 | 2022-09-13 | 杭州默安科技有限公司 | 一种多特征的cs恶意加密流量检测方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190190961A1 (en) * | 2017-12-20 | 2019-06-20 | Cisco Technology, Inc. | Semi-active probing framework to gather threat intelligence for encrypted traffic and learn about devices |
| CN110113349A (zh) * | 2019-05-15 | 2019-08-09 | 北京工业大学 | 一种恶意加密流量特征分析方法 |
-
2019
- 2019-08-20 CN CN201910768072.3A patent/CN112422474B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190190961A1 (en) * | 2017-12-20 | 2019-06-20 | Cisco Technology, Inc. | Semi-active probing framework to gather threat intelligence for encrypted traffic and learn about devices |
| CN110113349A (zh) * | 2019-05-15 | 2019-08-09 | 北京工业大学 | 一种恶意加密流量特征分析方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051874A (zh) * | 2022-08-01 | 2022-09-13 | 杭州默安科技有限公司 | 一种多特征的cs恶意加密流量检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112422474B (zh) | 2023-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112019574B (zh) | 异常网络数据检测方法、装置、计算机设备和存储介质 | |
| CN109257326B (zh) | 防御数据流攻击的方法、装置和存储介质及电子设备 | |
| CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及系统 | |
| KR20170060280A (ko) | 탐지 규칙 자동 생성 장치 및 방법 | |
| US9106688B2 (en) | System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN112994984B (zh) | 识别协议及内容的方法、存储设备、安全网关、服务器 | |
| CN110336835B (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
| CN112134893B (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
| CN111049781B (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN106778229B (zh) | 一种基于vpn的恶意应用下载拦截方法及系统 | |
| CN113497797B (zh) | 一种icmp隧道传输数据的异常检测方法及装置 | |
| CN111464510B (zh) | 基于快速梯度提升树分类模型的网络实时入侵检测方法 | |
| CN113595967A (zh) | 数据识别方法、设备、存储介质及装置 | |
| CN113079150A (zh) | 一种电力终端设备入侵检测方法 | |
| CN107786531B (zh) | Apt攻击检测方法和装置 | |
| CN112422474B (zh) | 一种加密数据流的监测方法、第一电子设备和存储介质 | |
| CN114785567A (zh) | 一种流量识别方法、装置、设备及介质 | |
| CN109040016B (zh) | 一种信息处理方法、设备及计算机可读存储介质 | |
| WO2016201876A1 (zh) | 一种加密流量的业务识别方法、装置和计算机存储介质 | |
| Oh et al. | Appsniffer: Towards robust mobile app fingerprinting against VPN | |
| WO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |