CN113518080B - 一种tls加密流量检测方法、装置和电子设备 - Google Patents

一种tls加密流量检测方法、装置和电子设备 Download PDF

Info

Publication number
CN113518080B
CN113518080B CN202110698790.5A CN202110698790A CN113518080B CN 113518080 B CN113518080 B CN 113518080B CN 202110698790 A CN202110698790 A CN 202110698790A CN 113518080 B CN113518080 B CN 113518080B
Authority
CN
China
Prior art keywords
tls
server
fingerprint
certificate
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110698790.5A
Other languages
English (en)
Other versions
CN113518080A (zh
Inventor
赖文杰
李波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Guancheng Technology Co ltd
Original Assignee
Beijing Guancheng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guancheng Technology Co ltd filed Critical Beijing Guancheng Technology Co ltd
Priority to CN202110698790.5A priority Critical patent/CN113518080B/zh
Publication of CN113518080A publication Critical patent/CN113518080A/zh
Application granted granted Critical
Publication of CN113518080B publication Critical patent/CN113518080B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Abstract

本发明提供了一种TLS加密流量检测方法、装置和电子设备,通过获取到的会话的TLS加密流量的IP地址和TLS握手信息,确定会话的TLS加密流量是TLS单流时,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定TLS单流所属的病毒家族,可以有效的确定出TLS加密流量所属的病毒家族,从而可以对TLS加密流量中的恶意流量进行有效识别。

Description

一种TLS加密流量检测方法、装置和电子设备
技术领域
本发明涉及计算机技术领域,具体而言,涉及一种TLS加密流量检测方法、装置和电子设备。
背景技术
目前,大量的主流产品检测安全传输层协议(Transport Layer Security,TLS)恶意流量主要依赖于从已经被公开报告的木马病毒样本(恶意软件样本)所产生的TLS流量中提取客户端指纹和证书异常信息。
发明内容
为解决上述问题,本发明实施例的目的在于提供一种TLS加密流量检测方法、装置和电子设备。
第一方面,本发明实施例提供了一种安全传输层协议TLS加密流量检测方法,包括:
获取不同会话的TLS加密流量,对所述TLS加密流量进行解析,得到所述TLS加密流量的流量信息;其中,所述TLS加密流量的流量信息,包括:IP地址、服务器名称标识SNI、域名DNS、X.509证书和/或者TLS握手信息;所述TLS握手信息包括:服务器端握手信息和/或者客户端握手信息;所述IP地址,包括:源IP地址和目的IP地址;
根据不同会话的TLS加密流量中的所述源IP地址和目的IP地址,从不同会话中确定出具有相同源IP地址和目的IP地址的会话;
获取具有相同源IP地址和目的IP地址的会话中的TLS握手信息;
当具有相同源IP地址和目的IP地址的会话的服务器端握手信息的数量为预设数量且客户端握手信息的数量为预设数量时,确定所述会话的TLS加密流量是TLS单流;
分别利用自定义规则库、白名单库以及威胁情报库对所述TLS单流进行处理,确定所述TLS单流所属的病毒家族;
当利用自定义规则库、白名单库以及威胁情报库未能确定所述TLS单流所属的病毒家族时,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定所述TLS单流所属的病毒家族。
第二方面,本发明实施例还提供了一种安全传输层协议TLS加密流量检测装置,包括:
第一获取模块,用于获取不同会话的TLS加密流量,对所述TLS加密流量进行解析,得到所述TLS加密流量的流量信息;其中,所述TLS加密流量的流量信息,包括:IP地址、服务器名称标识SNI、域名DNS、X.509证书和/或者TLS握手信息;所述TLS握手信息包括:服务器端握手信息和/或者客户端握手信息;所述IP地址,包括:源IP地址和目的IP地址;
第一确定模块,用于根据不同会话的TLS加密流量中的所述源IP地址和目的IP地址,从不同会话中确定出具有相同源IP地址和目的IP地址的会话;
第二获取模块,用于获取具有相同源IP地址和目的IP地址的会话中的TLS握手信息;
第二确定模块,用于当具有相同源IP地址和目的IP地址的会话的服务器端握手信息的数量为预设数量且客户端握手信息的数量为预设数量时,确定所述会话的TLS加密流量是TLS单流;
第一处理模块,用于分别利用自定义规则库、白名单库以及威胁情报库对所述TLS单流进行处理,确定所述TLS单流所属的病毒家族;
第二处理模块,用于当利用自定义规则库、白名单库以及威胁情报库未能确定所述TLS单流所属的病毒家族时,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定所述TLS单流所属的病毒家族。
第三方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述第一方面所述的方法的步骤。
第四方面,本发明实施例还提供了一种电子设备,所述电子设备包括有存储器,处理器以及一个或者一个以上的程序,其中所述一个或者一个以上程序存储于所述存储器中,且经配置以由所述处理器执行上述第一方面所述的方法的步骤。
本发明实施例上述第一方面至第四方面提供的方案中,通过获取到的会话的TLS加密流量的IP地址和TLS握手信息,确定会话的TLS加密流量是TLS单流时,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定TLS单流所属的病毒家族,可以有效的确定出TLS加密流量所属的病毒家族,从而可以对TLS加密流量中的恶意流量进行有效识别。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例1所提供的一种TLS加密流量检测方法的流程图;
图2示出了本发明实施例2所提供的一种TLS加密流量检测装置的结构示意图;
图3示出了本发明实施例3所提供的一种电子设备的结构示意图。
具体实施方式
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
目前,大量的主流产品检测安全传输层协议(Transport Layer Security,TLS)恶意流量主要依赖于从已经被公开报告的木马病毒样本(恶意软件样本)所产生的TLS流量中提取客户端指纹和证书异常信息。
未知的恶意软件样本产生的客户端握手指纹与公开过的样本产生的指纹不一致,因此不能通过客户端指纹检测判定;证书异常只能表明证书申请人证书填写信息不规范以及没有从正规的机构获得证书,并不能直接判定为恶意通信。
基于此,本实施例提出一种TLS加密流量检测方法、装置和电子设备,通过获取到的会话的TLS加密流量的IP地址和TLS握手信息,确定会话的TLS加密流量是TLS单流时,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定TLS单流所属的病毒家族,可以有效的确定出TLS加密流量所属的病毒家族,从而可以对TLS加密流量中的恶意流量进行有效识别。
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请做进一步详细的说明。
实施例1
本实施例提出一种安全传输层协议TLS加密流量检测方法的执行主体是服务器。
所述服务器,可以采用现有技术中任何可以对TLS加密流量进行病毒家族检测的计算设备,这里不再一一赘述。
本实施例提出一种安全传输层协议TLS加密流量检测方法,包括以下具体步骤:
步骤100、获取不同会话的TLS加密流量,对所述TLS加密流量进行解析,得到所述TLS加密流量的流量信息。
其中,所述TLS加密流量的流量信息,包括:IP地址、服务器名称标识SNI、域名DNS、X.509证书和/或者TLS握手信息;所述TLS握手信息包括:服务器端握手信息和/或者客户端握手信息;所述IP地址,包括:源IP地址和目的IP地址。
在上述步骤100中,所述服务器端握手信息,就是ServerHello信息;所述客户端握手信息,就是ClientHello信息。
步骤102、根据不同会话的TLS加密流量中的所述源IP地址和目的IP地址,从不同会话中确定出具有相同源IP地址和目的IP地址的会话。
步骤104、获取具有相同源IP地址和目的IP地址的会话中的TLS握手信息。
步骤106、当具有相同源IP地址和目的IP地址的会话的服务器端握手信息的数量为预设数量且客户端握手信息的数量为预设数量时,确定所述会话的TLS加密流量是TLS单流。
在上述步骤106中,预设数量可以设置为1。
所述TLS单流,是指具有服务器端握手信息的数量为1且客户端握手信息的数量为1的会话。
步骤108、分别利用自定义规则库、白名单库以及威胁情报库对所述TLS单流进行处理,确定所述TLS单流所属的病毒家族。
在上述步骤108中,所述自定义规则库:由安全专家对特定病毒家族的TLS流量提取的规则组成。所述自定义规则库,包括病毒家族的标识与病毒家族的特征字符串的对应关系。
所述白名单库:包括全球主要网站的DNS。
所述威胁情报库中存储有病毒家族的IP地址、DNS以及病毒家族标识的对应关系。
为了确定所述TLS单流所属的病毒家族,可以执行以下步骤(1)至步骤(5):
(1)获取所述TLS单流的报文内容,利用所述TLS单流的报文内容在自定义规则库进行遍历操作;其中,所述自定义规则库中存储有特征字符串与病毒家族标识的对应关系;
(2)当能够从自定义规则库中查询出与所述TLS单流的报文内容相同的特征字符串时,确定所述TLS单流属于与所述TLS单流相同的特征字符串对应的病毒家族标识指示的病毒家族;
(3)当未能从自定义规则库中查询出与所述TLS单流的报文内容相同的特征字符串时,利用所述TLS单流的DNS在所述白名单库中进行遍历;其中,所述白名单库中存储有正常网站的DNS;
(4)当未能从所述白名单库中查询出与所述TLS单流的DNS相同的正常网站的DNS时,利用所述TLS单流的IP地址以及DNS在威胁情报库中进行遍历;所述威胁情报库中存储有病毒家族的IP地址、DNS以及病毒家族标识的对应关系;
(5)当能够从威胁情报库中查询出与所述TLS单流的目的IP地址以及DNS相同的病毒家族时,确定所述TLS单流属于与所述TLS单流具有相同的IP地址、DNS的病毒家族,并将所述病毒家族的病毒家族标识分配给所述TLS单流。
当利用自定义规则库、白名单库以及威胁情报库未能确定TLS单流所属的病毒家族时,可以继续执行以下步骤110,继续确定TLS单流所属的病毒家族。
步骤110、当利用自定义规则库、白名单库以及威胁情报库未能确定所述TLS单流所属的病毒家族时,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定所述TLS单流所属的病毒家族。
这里,为了确定所述TLS单流所属的病毒家族,可以执行以下步骤(1)至步骤(6):
(1)当所述TLS单流的所述TLS握手信息仅具有服务器端握手信息时,确定所述TLS单流是服务器端单向TLS单流;
(2)当获取到所述服务器端单向TLS单流的X.509证书的证书信息时,对所述X.509证书的证书信息进行哈希计算,得到所述服务器端单向TLS单流的证书限定指纹;
(3)对X.509证书进行哈希计算,得到所述服务器端单向TLS单流的服务端证书指纹;
(4)利用所述服务器端单向TLS单流的证书限定指纹和服务端证书指纹在证书家族指纹库中进行遍历;其中,所述证书家族指纹库中记录有病毒家族标识、证书限定指纹和服务端证书指纹的对应关系;
(5)当从所述证书家族指纹库中查询出与所述服务器端单向TLS单流具有相同的证书限定指纹和服务端证书指纹的病毒家族标识时,确定所述服务器端单向TLS单流属于所述病毒家族标识指示的病毒家族;
(6)当未能获取到所述服务器端单向TLS单流的X.509证书的证书信息或者未能从所述证书家族指纹库中查询出与所述服务器端单向TLS单流具有相同的证书限定指纹和服务端证书指纹的病毒家族标识时,对所述服务器端单向TLS单流的服务端协议字段进行处理,确定所述服务器端单向TLS单流所属的病毒家族。
在上述步骤(2)中,对所述X.509证书的证书信息进行哈希计算,得到所述服务器端单向TLS单流的证书限定指纹的过程,是现有技术,这里不再赘述。
所述证书信息,是由提取出的X.509证书的证书版本、签名算法、签名算法长度、颁发者项、使用者项、公钥算法、公钥算法长度、扩展项、扩展项内容,按顺序组成的字符串。
提取X.509证书的证书版本、签名算法、签名算法长度、颁发者项、使用者项、公钥算法、公钥算法长度、扩展项、扩展项内容的过程是现有技术,这里不再赘述。
在上述步骤(3)中,对X.509证书进行哈希计算,得到所述服务器端单向TLS单流的服务端证书指纹的过程,是现有技术,这里不再赘述。
在上述步骤(4)中,所述证书家族指纹库预先设置在所述服务器中。
在上述步骤(6)中,当未能获取到所述服务器端单向TLS单流的X.509证书的证书信息或者未能从所述证书家族指纹库中查询出与所述服务器端单向TLS单流具有相同的证书限定指纹和服务端证书指纹的病毒家族标识时,对所述服务器端单向TLS单流的服务端协议字段进行处理,确定所述服务器端单向TLS单流所属的病毒家族,包括以下步骤(61)至步骤(72):
(61)当所述服务器端单向TLS单流未携带X.509证书时,获取所述服务器端单向TLS单流的服务端协议字段,对所述服务器端单向TLS单流的服务端协议字段进行处理,得到所述服务器端单向TLS单流的服务器端单向TLS指纹;
(62)利用得到的所述服务器端单向TLS单流的服务器端单向TLS指纹对服务器端单向TLS指纹库进行遍历;其中,服务器端单向TLS指纹库中记录有病毒家族标识与服务器端单向TLS指纹的对应关系;
(63)当能够在服务器端单向TLS指纹库中查询出与服务器端单向TLS单流具有相同服务器端单向TLS指纹的病毒家族标识时,确定所述服务器端单向TLS单流属于所述病毒家族标识指示的病毒家族;
(64)将所述服务器端单向TLS单流的服务端协议字段输入到服务器端单向流模型,得到第一参数值,将所述服务器端单向TLS单流的服务端协议字段输入到服务器端单向握手模型中,得到第二参数值;
(65)利用得到的第一参数值和第二参数值,计算得到所述服务器端单向TLS单流的第一置信概率;
(66)当所述服务器端单向TLS单流携带有X.509证书时,对所述X.509证书的证书信息进行哈希计算,得到所述服务器端单向TLS单流的证书限定指纹;
(67)当能够从证书限定指纹库中查询出所述服务器端单向TLS单流的证书限定指纹时,获取所述服务器端单向TLS单流的服务端协议字段,对所述服务器端单向TLS单流的服务端协议字段进行处理,得到所述服务器端单向TLS单流的服务器端单向TLS指纹;
(68)利用得到的所述服务器端单向TLS单流的服务器端单向TLS指纹对服务器端单向TLS指纹库进行遍历;其中,服务器端单向TLS指纹库中记录有病毒家族标识与服务器端单向TLS指纹的对应关系;
(69)当能够在服务器端单向TLS指纹库中查询出与服务器端单向TLS单流具有相同服务器端单向TLS指纹的病毒家族标识时,确定所述服务器端单向TLS单流属于所述病毒家族标识指示的病毒家族;
(70)将所述服务器端单向TLS单流的服务端协议字段输入到服务器端单向流模型,得到第三参数值,将所述服务器端单向TLS单流的服务端协议字段输入到服务器端单向握手模型中,得到第四参数值;
(71)提取所述X.509证书的证书特征,将所述X.509证书的证书特征输入到证书模型中,得到第五参数值;
(72)利用得到的第三参数值、第四参数值以及第五参数值,计算得到所述服务器端单向TLS单流的第二置信概率。
在上述步骤(61)中,在一个实施方式中,所述服务端协议字段,可以包括但不限于:服务器端握手信息、服务器返回的加密套件、服务器返回选择使用的TLS协议版本、TLS扩展ALPN协议信息、TLS扩展列表。
对所述服务器端单向TLS单流的服务端协议字段进行处理,包括:对服务器端握手信息、服务器返回的加密套件、服务器返回选择使用的TLS协议版本、TLS扩展ALPN协议信息、TLS扩展列表这些字段的字符拼接到一起的字符串进行哈希计算,得到所述服务器端单向TLS单流的服务器端单向TLS指纹。
在上述步骤(64)中,所述服务器端单向流模型,用于提取恶意软件流量中的行为统计量(如:上行包数、下行包数、上行载荷大小、下行载荷大小)和服务器端的字段(如:选择的加密套件、TLS版本)作为特征,使用AI(人工智能)训练得到的计算模型,可以通过该计算模型判定服务器端单向TLS单流与恶意流量之间的趋近程度,第一参数值的取值范围在0-1之间,数值越大,表明该服务器端单向TLS单流为恶意流量的可能性越大。
所述服务器端单向握手模型,用于提取恶意软件通信流量中的TLS服务器端握手阶段单向流协议字段(如:数据包个数、载荷大小以及加密套件选择)作为特征,使用AI(人工智能)训练得到的计算模型,可以通过该计算模型判定服务器端单向TLS单流与恶意流量之间的趋近程度,第二参数值的取值范围在0-1之间,数值越大,表明该服务器端单向TLS单流为恶意流量的可能性越大。
在上述步骤(65)中,第一置信概率=A*第一参数值+B*第二参数值
其中,A+B=1。在一个实施方式中,A=B=0.5。所述第一置信概率越趋近于1,那么服务器端单向TLS单流为恶意流量的可能性就越大。
在上述步骤(70)中,所述第三参数值的取值范围在0-1之间,数值越大,表明该服务器端单向TLS单流为恶意流量的可能性越大。
所述第四参数值的取值范围在0-1之间,数值越大,表明该服务器端单向TLS单流为恶意流量的可能性越大。
在上述步骤(71)中,所述证书模型,是提取恶意软件通信流量中的证书字段作为特征,使用AI(人工智能)训练得到的计算模型,可以通过模型判定服务器端单向TLS单流与恶意流量之间的趋近程度,第五参数值的取值范围在0-1之间,数值越大,表明该服务器端单向TLS单流为恶意流量的可能性越大。
提取所述X.509证书的证书特征的具体过程,是现有技术,这里不再赘述。
所述X.509证书的证书特征,包括但不限于:证书公用名、组织、自签名、证书有效期。
在上述步骤(72)中,第二置信概率= C*第三参数值+D*第四参数值+ E*第五参数值
其中,C+D+E=1。在一个实施方式中,C=D=0.2;E=0.6。所述第二置信概率越趋近于1,那么服务器端单向TLS单流为恶意流量的可能性就越大。
可选地,为了确定所述TLS单流所属的病毒家族,还可以执行以下步骤(10)至步骤(13):
(10)当所述TLS单流的所述TLS握手信息仅具有客户端握手信息时,确定所述TLS单流是客户端单向TLS单流;
(11)当获取到所述客户端单向TLS单流的DNS和SNI时,利用所述客户端单向TLS单流的DNS和SNI在DNS/SNI家族指纹库中进行遍历;其中,所述DNS/SNI家族指纹库中记录有病毒家族标识、DNS和SNI的对应关系;
(12)当从所述DNS/SNI家族指纹库中查询出与所述客户端单向TLS单流具有相同的DNS和SNI的病毒家族标识时,确定所述客户端单向TLS单流属于所述病毒家族标识指示的病毒家族;
(13)当未能获取到所述客户端单向TLS单流的DNS或者SNI,或者未能从所述DNS/SNI家族指纹库中查询出与所述客户端单向TLS单流具有相同的DNS和SNI的病毒家族标识时,对所述客户端单向TLS单流的客户端协议字段进行处理,确定所述客户端单向TLS单流所属的病毒家族。
在上述步骤(11)中,所述DNS/SNI家族指纹库,预先设置在所述服务器中。
在上述步骤(13)中,当未能获取到所述客户端单向TLS单流的DNS或者SNI,或者未能从所述DNS/SNI家族指纹库中查询出与所述客户端单向TLS单流具有相同的DNS和SNI的病毒家族标识时,对所述客户端单向TLS单流的客户端协议字段进行处理,确定所述客户端单向TLS单流所属的病毒家族,可以执行以下步骤(131)至步骤(141):
(131)当所述客户端单向TLS单流未携带DNS或者SNI时,获取所述客户端单向TLS单流的客户端协议字段(如:客户端提供的支持最高TLS版本、可选择的加密套件列表、扩展个数),对所述客户端单向TLS单流的客户端协议字段进行处理,得到所述客户端单向TLS单流的客户端单向TLS指纹;
(132)利用得到的所述客户端单向TLS单流的客户端单向TLS指纹对客户端单向TLS指纹库进行遍历;其中,客户端单向TLS指纹库中记录有病毒家族标识与客户端单向TLS指纹的对应关系;
(133)当能够在客户端单向TLS指纹库中查询出与客户端单向TLS单流具有相同客户端单向TLS指纹的病毒家族标识时,确定所述客户端单向TLS单流属于所述病毒家族标识指示的病毒家族;
(134)将所述客户端单向TLS单流的客户端协议字段输入到客户端单向流模型,得到第六参数值,将所述客户端单向TLS单流的客户端协议字段输入到客户端单向握手模型中,得到第七参数值;
(135)利用得到的第六参数值和第七参数值,计算得到所述客户端单向TLS单流的第三置信概率;
(136)当所述客户端单向TLS单流携带有DNS和SNI时,获取所述客户端单向TLS单流的客户端协议字段,对所述客户端单向TLS单流的客户端协议字段进行处理,得到所述客户端单向TLS单流的客户端单向TLS指纹;
(137)利用得到的所述客户端单向TLS单流的客户端单向TLS指纹对客户端单向TLS指纹库进行遍历;其中,客户端单向TLS指纹库中记录有病毒家族标识与客户端单向TLS指纹的对应关系;
(138)当能够在客户端单向TLS指纹库中查询出与客户端单向TLS单流具有相同客户端单向TLS指纹的病毒家族标识时,确定所述客户端单向TLS单流属于所述病毒家族标识指示的病毒家族;
(139)将所述客户端单向TLS单流的客户端协议字段输入到客户端单向流模型,得到第八参数值,将所述客户端单向TLS单流的客户端协议字段输入到客户端单向握手模型中,得到第九参数值;
(140)提取所述客户端单向TLS单流携带的DNS和SNI的特征,将所述DNS和SNI的特征输入到DNS/SNI模型中,得到第十参数值;
(141)利用得到的第八参数值、第九参数值以及第十参数值,计算得到所述客户端单向TLS单流的第四置信概率。
在上述步骤(131)中,所述获取所述客户端单向TLS单流的客户端协议字段,对所述客户端单向TLS单流的客户端协议字段进行处理,得到所述客户端单向TLS单流的客户端单向TLS指纹的具体过程是现有技术,这里不再赘述。
在上述步骤(132)中,所述客户端单向TLS指纹库,预先设置在所述服务器中。
在上述步骤(134)中,所述客户端单向流模型,提取恶意软件的流量中的行为统计量(如:上下行包数、上下行载荷大小)和客户端的字段(如:TLS版本号、加密套件列表)作为特征,使用AI(人工智能)训练得到的计算模型,可以通过该计算模型判定客户端单向TLS单流与恶意流量之间的趋近程度,第六参数值的取值范围在0-1之间,数值越大,表明该客户端单向TLS单流为恶意流量的可能性越大。
所述客户端单向握手模型,提取恶意软件通信流量中的TLS客户端握手阶段单向流协议字段(如:TLS版本号、加密套件列表)作为特征,使用AI(人工智能)训练得到的计算模型,可以通过模型判定客户端单向TLS单流与恶意流量之间的趋近程度,第七参数值的取值范围在0-1之间,数值越大,表明该客户端单向TLS单流为恶意流量的可能性越大。
在上述步骤(135)中,第三置信概率=F*第六参数值+G*第七参数值
其中,F+G=1。在一个实施方式中,F=G=0.5。所述第三置信概率越趋近于1,那么客户端单向TLS单流为恶意流量的可能性就越大。
在上述步骤(139)中,将所述客户端单向TLS单流的客户端协议字段输入到客户端单向流模型得到的第八参数值的取值范围在0-1之间,数值越大,表明该客户端单向TLS单流为恶意流量的可能性越大。
将所述客户端单向TLS单流的客户端协议字段输入到客户端单向流模型得到的第九参数值的取值范围在0-1之间,数值越大,表明该客户端单向TLS单流为恶意流量的可能性越大。
所述DNS/SNI模型,提取恶意软件的流量中的恶意DNS/SNI流量特征(如:域名随机性、域名的长度),使用AI(人工智能)训练得到的计算模型,可以通过该计算模型判定客户端单向TLS单流与恶意流量之间的趋近程度,第十参数值的取值范围在0-1之间,数值越大,表明该客户端单向TLS单流为恶意流量的可能性越大。
在上述步骤(141)中,第四置信概率= H*第八参数值+I*第九参数值+ J*第十参数值
其中,H+I+J=1。在一个实施方式中,H=I=0.2;J=0.6。所述第四置信概率越趋近于1,那么客户端单向TLS单流为恶意流量的可能性就越大。
为了确定所述TLS单流所属的病毒家族,可以执行以下步骤(1)至步骤(8):
(1)当所述TLS单流的所述TLS握手信息包括服务器端握手信息和客户端握手信息时,确定所述TLS单流是双向TLS单流;
(2)当获取到所述双向TLS单流的X.509证书的证书信息时,对所述X.509证书的证书信息进行哈希计算,得到所述双向TLS单流的证书限定指纹;
(3)对X.509证书进行哈希计算,得到所述双向TLS单流的服务端证书指纹;
(4)利用所述双向TLS单流的证书限定指纹和服务端证书指纹在证书家族指纹库中进行遍历;其中,所述证书家族指纹库中记录有病毒家族标识、证书限定指纹和服务端证书指纹的对应关系;
(5)当从所述证书家族指纹库中查询出与所述双向TLS单流具有相同的证书限定指纹和服务端证书指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
(6)当未能获取到所述双向TLS单流的X.509证书的证书信息或者未能从所述证书家族指纹库中查询出与所述双向TLS单流具有相同的证书限定指纹和服务端证书指纹的病毒家族标识的情况下,并能够获取到所述双向TLS单流的DNS和SNI时,利用所述双向TLS单流的DNS和SNI在DNS/SNI家族指纹库中进行遍历;其中,所述DNS/SNI家族指纹库中记录有病毒家族标识、DNS和SNI的对应关系;
(7)当从所述DNS/SNI家族指纹库中查询出与所述双向TLS单流具有相同的DNS和SNI的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
(8)当未能获取到所述双向TLS单流的DNS或者SNI,或者未能从所述DNS/SNI家族指纹库中查询出与所述双向TLS单流具有相同的DNS和SNI的病毒家族标识时,对所述双向TLS单流的服务器端协议字段和客户端协议字段进行处理,确定所述双向TLS单流所属的病毒家族。
在上述步骤(8)中,为了对所述双向TLS单流的服务器端协议字段和客户端协议字段进行处理,确定所述双向TLS单流所属的病毒家族,可以执行以下步骤(81)至步骤(89):
(81)当所述双向TLS单流携带有X.509证书且未携带所述双向TLS单流的DNS或者SNI时,对所述双向TLS单流的服务端协议字段进行处理,得到所述双向TLS单流的服务器端单向TLS指纹,并对所述双向TLS单流的客户端协议字段进行处理,得到所述双向TLS单流的客户端单向TLS指纹;
(82)利用得到的所述双向TLS单流的服务器端单向TLS指纹和客户端单向TLS指纹对双向TLS指纹库进行遍历;其中,双向TLS指纹库中记录有病毒家族标识、服务器端单向TLS指纹和客户端单向TLS指纹的对应关系;
(83)当能够在双向TLS指纹库中查询出与双向TLS单流具有相同服务器端单向TLS指纹和客户端单向TLS指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
(84)当未能在双向TLS指纹库中查询出与双向TLS单流具有相同服务器端单向TLS指纹和客户端单向TLS指纹的病毒家族标识时,获取所述双向TLS单流的X.509证书的证书信息,并对所述X.509证书的证书信息进行哈希计算,得到所述双向TLS单流的证书限定指纹;
(85)利用所述双向TLS单流的证书限定指纹在证书限定指纹库中进行遍历;其中,所述证书家族指纹库中记录有病毒家族标识、证书限定指纹的对应关系;
(86)当从所述证书限定指纹库中查询出与所述双向TLS单流具有相同的证书限定指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
(87)将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向流模型,得到第十一参数值,将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向握手模型中,得到第十二参数值;
(88)提取所述X.509证书的证书特征,将所述X.509证书的证书特征输入到证书模型中,得到第十三参数值;
(89)利用得到的第十一参数值、第十二参数值以及第十三参数值,计算得到所述双向TLS单流的第五置信概率。
在上述步骤(87)中,所述双向流模型,是将恶意软件产生的双向TLS单流中通过提取TLS客户端和服务端协议字段(如:加密套件列表和选择的加密套件)或统计数据(如:上下行包数和上下行字节等)作为特征,输入到AI(人工智能)模型中进行训练后得到的计算模型。通过该计算模型对双向TLS单流的服务器端协议字段和客户端协议字段进行分析,可以获得取值范围在0-1之间的第十一参数值,第十一参数值的分值越大,说明双向TLS单流越趋向于恶意软件流量。
所述双向握手模型,是将恶意软件产生的双向TLS单流中提取到的TLS握手阶段的客户端和服务端字段(如:加密套件列表和选择的加密套件)或统计数据(如:上下行包数和上下行字节等)作为特征,输入到AI(人工智能)模型中进行训练后得到的计算模型。通过该计算模型对双向TLS单流的服务器端协议字段和客户端协议字段进行分析,可以获得取值范围在0-1之间的第十二参数值,第十二参数值的分值越大,说明双向TLS单流越趋向于恶意软件流量。
在上述步骤(88)中,将所述双向TLS单流的X.509证书的证书特征输入到证书模型中得到的第十三参数值的取值范围在0-1之间,数值越大,表明该双向TLS单流为恶意流量的可能性越大。
在上述步骤(89)中,第五置信概率= K*第十一参数值+L*第十二参数值+ M*第十三参数值
其中,K+L+M=1。在一个实施方式中,K=L=0.2;M=0.6。所述第五置信概率越趋近于1,那么所述双向TLS单流为恶意流量的可能性就越大。
可选地,对所述双向TLS单流的服务器端协议字段和客户端协议字段进行处理,确定所述双向TLS单流所属的病毒家族,还可以执行以下步骤(10)至步骤(15):
(10)当所述双向TLS单流携带有所述双向TLS单流的DNS和SNI且未携带所述双向TLS单流的X.509证书时,对所述双向TLS单流的服务端协议字段进行处理,得到所述双向TLS单流的服务器端单向TLS指纹,并对所述双向TLS单流的客户端协议字段进行处理,得到所述双向TLS单流的客户端单向TLS指纹;
(11)利用得到的所述双向TLS单流的服务器端单向TLS指纹和客户端单向TLS指纹对双向TLS指纹库进行遍历;其中,双向TLS指纹库中记录有病毒家族标识、服务器端单向TLS指纹和客户端单向TLS指纹的对应关系;
(12)当能够在双向TLS指纹库中查询出与双向TLS单流具有相同服务器端单向TLS指纹和客户端单向TLS指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
(13)将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向流模型,得到第十四参数值,将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向握手模型中,得到第十五参数值;
(14)提取所述双向TLS单流携带的DNS和SNI的特征,将所述DNS和SNI的特征输入到DNS/SNI模型中,得到第十六参数值;
(15)利用得到的第十四参数值、第十五参数值以及第十六参数值,计算得到所述双向TLS单流的第六置信概率。
在上述步骤(13)中,将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向流模型,得到的第十四参数值的取值范围在0-1之间,数值越大,表明该双向TLS单流为恶意流量的可能性越大。
将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向握手模型中,得到第十五参数值的取值范围在0-1之间,数值越大,表明该双向TLS单流为恶意流量的可能性越大。
在上述步骤(14)中,将所述DNS和SNI的特征输入到DNS/SNI模型中,得到的第十六参数值,取值范围在0-1之间,数值越大,表明该双向TLS单流为恶意流量的可能性越大。
在上述步骤(15)中,第六置信概率= N*第十四参数值+Q*第十五参数值+ P*第十六参数值
其中,N+Q+P=1。在一个实施方式中,N=Q=0.2;P=0.6。所述第六置信概率越趋近于1,那么所述双向TLS单流为恶意流量的可能性就越大。
可选地,对所述双向TLS单流的服务器端协议字段和客户端协议字段进行处理,确定所述双向TLS单流所属的病毒家族,还可以执行以下步骤(20)至步骤(29):
(20)当所述双向TLS单流携带有X.509证书且携带所述双向TLS单流的DNS和SNI时,对所述双向TLS单流的服务端协议字段进行处理,得到所述双向TLS单流的服务器端单向TLS指纹,并对所述双向TLS单流的客户端协议字段进行处理,得到所述双向TLS单流的客户端单向TLS指纹;
(21)利用得到的所述双向TLS单流的服务器端单向TLS指纹和客户端单向TLS指纹对双向TLS指纹库进行遍历;其中,双向TLS指纹库中记录有病毒家族标识、服务器端单向TLS指纹和客户端单向TLS指纹的对应关系;
(22)当能够在双向TLS指纹库中查询出与双向TLS单流具有相同服务器端单向TLS指纹和客户端单向TLS指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
(23)当未能在双向TLS指纹库中查询出与双向TLS单流具有相同服务器端单向TLS指纹和客户端单向TLS指纹的病毒家族标识时,获取所述双向TLS单流的X.509证书的证书信息,并对所述X.509证书的证书信息进行哈希计算,得到所述双向TLS单流的证书限定指纹;
(24)利用所述双向TLS单流的证书限定指纹在证书限定指纹库中进行遍历;其中,所述证书家族指纹库中记录有病毒家族标识、证书限定指纹的对应关系;
(25)当从所述证书限定指纹库中查询出与所述双向TLS单流具有相同的证书限定指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
(26)将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向流模型,得到第十七参数值,将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向握手模型中,得到第十八参数值;
(27)提取所述X.509证书的证书特征,将所述X.509证书的证书特征输入到证书模型中,得到第十九参数值;
(28)提取所述双向TLS单流携带的DNS和SNI的特征,将所述DNS和SNI的特征输入到DNS/SNI模型中,得到第二十参数值;
(29)利用得到的第十七参数值、第十八参数值、第十九参数值以及第二十参数值,计算得到所述双向TLS单流的第七置信概率。
在上述步骤(26)中,将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向流模型,得到的第十七参数值的取值范围在0-1之间,数值越大,表明该双向TLS单流为恶意流量的可能性越大。
将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向握手模型中,得到第十八参数值的取值范围在0-1之间,数值越大,表明该双向TLS单流为恶意流量的可能性越大。
在上述步骤(27)中,将所述X.509证书的证书特征输入到证书模型中,得到的第十九参数值的取值范围在0-1之间,数值越大,表明该双向TLS单流为恶意流量的可能性越大。
在上述步骤(28)中,将所述DNS和SNI的特征输入到DNS/SNI模型中,得到的第二十参数值,取值范围在0-1之间,数值越大,表明该双向TLS单流为恶意流量的可能性越大。
在上述步骤(29)中,第七置信概率=R*第十七参数值+S*第十八参数值+ T*第十九参数值+U*第二十参数值
其中,R+S+T+U=1。在一个实施方式中,R=S=0.2;T=U=0.3。所述第七置信概率越趋近于1,那么所述双向TLS单流为恶意流量的可能性就越大。
综上所述,本实施例提出的一种TLS加密流量检测方法、装置和电子设备,通过获取到的会话的TLS加密流量的IP地址和TLS握手信息,确定会话的TLS加密流量是TLS单流时,对所述TLS单流的所述TLS握手信息、SNI、DNS和/或者X.509证书进行处理,确定TLS单流所属的病毒家族,可以有效的确定出TLS加密流量所属的病毒家族,从而可以对TLS加密流量中的恶意流量进行有效识别。
实施例2
本实施例提出的一种TLS加密流量检测装置,用于执行上述实施例1中提出的TLS加密流量检测方法。
参见图2所示的一种TLS加密流量检测装置的结构示意图,本实施例提出一种TLS加密流量检测装置,包括:
第一获取模块200,用于获取不同会话的TLS加密流量,对所述TLS加密流量进行解析,得到所述TLS加密流量的流量信息;其中,所述TLS加密流量的流量信息,包括:IP地址、服务器名称标识SNI、域名DNS、X.509证书和/或者TLS握手信息;所述TLS握手信息包括:服务器端握手信息和/或者客户端握手信息;所述IP地址,包括:源IP地址和目的IP地址;
第一确定模块202,用于根据不同会话的TLS加密流量中的所述源IP地址和目的IP地址,从不同会话中确定出具有相同源IP地址和目的IP地址的会话;
第二获取模块204,用于获取具有相同源IP地址和目的IP地址的会话中的TLS握手信息;
第二确定模块206,用于当具有相同源IP地址和目的IP地址的会话的服务器端握手信息的数量为预设数量且客户端握手信息的数量为预设数量时,确定所述会话的TLS加密流量是TLS单流;
第一处理模块208,用于分别利用自定义规则库、白名单库以及威胁情报库对所述TLS单流进行处理,确定所述TLS单流所属的病毒家族;
第二处理模块210,用于当利用自定义规则库、白名单库以及威胁情报库未能确定所述TLS单流所属的病毒家族时,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定所述TLS单流所属的病毒家族。
综上所述,本实施例提出的一种TLS加密流量检测装置、装置和电子设备,通过获取到的会话的TLS加密流量的IP地址和TLS握手信息,确定会话的TLS加密流量是TLS单流时,对所述TLS单流的所述TLS握手信息、SNI、DNS和/或者X.509证书进行处理,确定TLS单流所属的病毒家族,可以有效的确定出TLS加密流量所属的病毒家族,从而可以对TLS加密流量中的恶意流量进行有效识别。
实施例3
本实施例提出一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述实施例1描述的TLS加密流量检测方法的步骤。具体实现可参见方法实施例1,在此不再赘述。
此外,参见图3所示的一种电子设备的结构示意图,本实施例还提出一种电子设备,上述电子设备包括总线51、处理器52、收发机53、总线接口54、存储器55和用户接口56。上述电子设备包括有存储器55。
本实施例中,上述电子设备还包括:存储在存储器55上并可在处理器52上运行的一个或者一个以上的程序,经配置以由上述处理器执行上述一个或者一个以上程序用于进行以下步骤(1)至步骤(6):
(1)获取不同会话的TLS加密流量,对所述TLS加密流量进行解析,得到所述TLS加密流量的流量信息;其中,所述TLS加密流量的流量信息,包括:IP地址、服务器名称标识SNI、域名DNS、X.509证书和/或者TLS握手信息;所述TLS握手信息包括:服务器端握手信息和/或者客户端握手信息;所述IP地址,包括:源IP地址和目的IP地址;
(2)根据不同会话的TLS加密流量中的所述源IP地址和目的IP地址,从不同会话中确定出具有相同源IP地址和目的IP地址的会话;
(3)获取具有相同源IP地址和目的IP地址的会话中的TLS握手信息;
(4)当具有相同源IP地址和目的IP地址的会话的服务器端握手信息的数量为预设数量且客户端握手信息的数量为预设数量时,确定所述会话的TLS加密流量是TLS单流;
(5)分别利用自定义规则库、白名单库以及威胁情报库对所述TLS单流进行处理,确定所述TLS单流所属的病毒家族;
(6)当利用自定义规则库、白名单库以及威胁情报库未能确定所述TLS单流所属的病毒家族时,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定所述TLS单流所属的病毒家族。
收发机53,用于在处理器52的控制下接收和发送数据。
其中,总线架构(用总线51来代表),总线51可以包括任意数量的互联的总线和桥,总线51将包括由处理器52代表的一个或多个处理器和存储器55代表的存储器的各种电路链接在一起。总线51还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本实施例不再对其进行进一步描述。总线接口54在总线51和收发机53之间提供接口。收发机53可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。例如:收发机53从其他设备接收外部数据。收发机53用于将处理器52处理后的数据发送给其他设备。取决于计算系统的性质,还可以提供用户接口56,例如小键盘、显示器、扬声器、麦克风、操纵杆。
处理器52负责管理总线51和通常的处理,如前述上述运行通用操作系统。而存储器55可以被用于存储处理器52在执行操作时所使用的数据。
可选的,处理器52可以是但不限于:中央处理器、单片机、微处理器或者可编程逻辑器件。
可以理解,本发明实施例中的存储器55可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器 (Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器 (Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本实施例描述的系统和方法的存储器55旨在包括但不限于这些和任意其它适合类型的存储器。
在一些实施方式中,存储器55存储了如下的元素,可执行模块或者数据结构,或者它们的子集,或者它们的扩展集:操作系统551和应用程序552。
其中,操作系统551,包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序552,包含各种应用程序,例如媒体播放器(Media Player)、浏览器(Browser)等,用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序552中。
综上所述,本实施例提出一种计算机可读存储介质和电子设备,通过获取到的会话的TLS加密流量的IP地址和TLS握手信息,确定会话的TLS加密流量是TLS单流时,对所述TLS单流的所述TLS握手信息、SNI、DNS和/或者X.509证书进行处理,确定TLS单流所属的病毒家族,可以有效的确定出TLS加密流量所属的病毒家族,从而可以对TLS加密流量中的恶意流量进行有效识别。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (13)

1.一种安全传输层协议TLS加密流量检测方法,其特征在于,包括:
获取不同会话的TLS加密流量,对所述TLS加密流量进行解析,得到所述TLS加密流量的流量信息;其中,所述TLS加密流量的流量信息,包括:IP地址、服务器名称标识SNI、域名DNS、X.509证书和/或者TLS握手信息;所述TLS握手信息包括:服务器端握手信息和/或者客户端握手信息;所述IP地址,包括:源IP地址和目的IP地址;
根据不同会话的TLS加密流量中的所述源IP地址和目的IP地址,从不同会话中确定出具有相同源IP地址和目的IP地址的会话;
获取具有相同源IP地址和目的IP地址的会话中的TLS握手信息;
当具有相同源IP地址和目的IP地址的会话的服务器端握手信息的数量为预设数量且客户端握手信息的数量为预设数量时,确定所述会话的TLS加密流量是TLS单流;
分别利用自定义规则库、白名单库以及威胁情报库对所述TLS单流进行处理,确定所述TLS单流所属的病毒家族;
当利用自定义规则库、白名单库以及威胁情报库未能确定所述TLS单流所属的病毒家族时,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定所述TLS单流所属的病毒家族。
2.根据权利要求1所述的方法,其特征在于,分别利用自定义规则库、白名单库以及威胁情报库对所述TLS单流进行处理,确定所述TLS单流所属的病毒家族,包括:
获取所述TLS单流的报文内容,利用所述TLS单流的报文内容在自定义规则库进行遍历操作;其中,所述自定义规则库中存储有特征字符串与病毒家族标识的对应关系;
当能够从自定义规则库中查询出与所述TLS单流的报文内容相同的特征字符串时,确定所述TLS单流属于与所述TLS单流相同的特征字符串对应的病毒家族标识指示的病毒家族;
当未能从自定义规则库中查询出与所述TLS单流的报文内容相同的特征字符串时,利用所述TLS单流的DNS在所述白名单库中进行遍历;其中,所述白名单库中存储有正常网站的DNS;
当未能从所述白名单库中查询出与所述TLS单流的DNS相同的正常网站的DNS时,利用所述TLS单流的IP地址以及DNS在威胁情报库中进行遍历;所述威胁情报库中存储有病毒家族的IP地址、DNS以及病毒家族标识的对应关系;
当能够从威胁情报库中查询出与所述TLS单流的IP地址以及DNS相同的病毒家族时,确定所述TLS单流属于与所述TLS单流具有相同的IP地址、DNS的病毒家族,并将所述病毒家族的病毒家族标识分配给所述TLS单流。
3.根据权利要求1所述的方法,其特征在于,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定所述TLS单流所属的病毒家族,包括:
当所述TLS单流的所述TLS握手信息仅具有服务器端握手信息时,确定所述TLS单流是服务器端单向TLS单流;
当获取到所述服务器端单向TLS单流的X.509证书的证书信息时,对所述X.509证书的证书信息进行哈希计算,得到所述服务器端单向TLS单流的证书限定指纹;
对X.509证书进行哈希计算,得到所述服务器端单向TLS单流的服务端证书指纹;
利用所述服务器端单向TLS单流的证书限定指纹和服务端证书指纹在证书家族指纹库中进行遍历;其中,所述证书家族指纹库中记录有病毒家族标识、证书限定指纹和服务端证书指纹的对应关系;
当从所述证书家族指纹库中查询出与所述服务器端单向TLS单流具有相同的证书限定指纹和服务端证书指纹的病毒家族标识时,确定所述服务器端单向TLS单流属于所述病毒家族标识指示的病毒家族;
当未能获取到所述服务器端单向TLS单流的X.509证书的证书信息或者未能从所述证书家族指纹库中查询出与所述服务器端单向TLS单流具有相同的证书限定指纹和服务端证书指纹的病毒家族标识时,对所述服务器端单向TLS单流的服务端协议字段进行处理,确定所述服务器端单向TLS单流所属的病毒家族。
4.根据权利要求1所述的方法,其特征在于,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定所述TLS单流所属的病毒家族,还包括:
当所述TLS单流的所述TLS握手信息仅具有客户端握手信息时,确定所述TLS单流是客户端单向TLS单流;
当获取到所述客户端单向TLS单流的DNS和SNI时,利用所述客户端单向TLS单流的DNS和SNI在DNS/SNI家族指纹库中进行遍历;其中,所述DNS/SNI家族指纹库中记录有病毒家族标识、DNS和SNI的对应关系;
当从所述DNS/SNI家族指纹库中查询出与所述客户端单向TLS单流具有相同的DNS和SNI的病毒家族标识时,确定所述客户端单向TLS单流属于所述病毒家族标识指示的病毒家族;
当未能获取到所述客户端单向TLS单流的DNS或者SNI,或者未能从所述DNS/SNI家族指纹库中查询出与所述客户端单向TLS单流具有相同的DNS和SNI的病毒家族标识时,对所述客户端单向TLS单流的客户端协议字段进行处理,确定所述客户端单向TLS单流所属的病毒家族。
5.根据权利要求3所述的方法,其特征在于,对所述服务器端单向TLS单流的服务端协议字段进行处理,确定所述服务器端单向TLS单流所属的病毒家族,包括:
当所述服务器端单向TLS单流未携带X.509证书时,获取所述服务器端单向TLS单流的服务端协议字段,对所述服务器端单向TLS单流的服务端协议字段进行处理,得到所述服务器端单向TLS单流的服务器端单向TLS指纹;
利用得到的所述服务器端单向TLS单流的服务器端单向TLS指纹对服务器端单向TLS指纹库进行遍历;其中,服务器端单向TLS指纹库中记录有病毒家族标识与服务器端单向TLS指纹的对应关系;
当能够在服务器端单向TLS指纹库中查询出与服务器端单向TLS单流具有相同服务器端单向TLS指纹的病毒家族标识时,确定所述服务器端单向TLS单流属于所述病毒家族标识指示的病毒家族;
将所述服务器端单向TLS单流的服务端协议字段输入到服务器端单向流模型,得到第一参数值,将所述服务器端单向TLS单流的服务端协议字段输入到服务器端单向握手模型中,得到第二参数值;
利用得到的第一参数值和第二参数值,计算得到所述服务器端单向TLS单流的第一置信概率;
当所述服务器端单向TLS单流携带有X.509证书时,对所述X.509证书的证书信息进行哈希计算,得到所述服务器端单向TLS单流的证书限定指纹;
当能够从证书限定指纹库中查询出所述服务器端单向TLS单流的证书限定指纹时,获取所述服务器端单向TLS单流的服务端协议字段,对所述服务器端单向TLS单流的服务端协议字段进行处理,得到所述服务器端单向TLS单流的服务器端单向TLS指纹;
利用得到的所述服务器端单向TLS单流的服务器端单向TLS指纹对服务器端单向TLS指纹库进行遍历;其中,服务器端单向TLS指纹库中记录有病毒家族标识与服务器端单向TLS指纹的对应关系;
当能够在服务器端单向TLS指纹库中查询出与服务器端单向TLS单流具有相同服务器端单向TLS指纹的病毒家族标识时,确定所述服务器端单向TLS单流属于所述病毒家族标识指示的病毒家族;
将所述服务器端单向TLS单流的服务端协议字段输入到服务器端单向流模型,得到第三参数值,将所述服务器端单向TLS单流的服务端协议字段输入到服务器端单向握手模型中,得到第四参数值;
提取所述X.509证书的证书特征,将所述X.509证书的证书特征输入到证书模型中,得到第五参数值;
利用得到的第三参数值、第四参数值以及第五参数值,计算得到所述服务器端单向TLS单流的第二置信概率。
6.根据权利要求4所述的方法,其特征在于,对所述客户端单向TLS单流的客户端协议字段进行处理,确定所述客户端单向TLS单流所属的病毒家族,包括:
当所述客户端单向TLS单流未携带DNS或者SNI时,获取所述客户端单向TLS单流的客户端协议字段,对所述客户端单向TLS单流的客户端协议字段进行处理,得到所述客户端单向TLS单流的客户端单向TLS指纹;
利用得到的所述客户端单向TLS单流的客户端单向TLS指纹对客户端单向TLS指纹库进行遍历;其中,客户端单向TLS指纹库中记录有病毒家族标识与客户端单向TLS指纹的对应关系;
当能够在客户端单向TLS指纹库中查询出与客户端单向TLS单流具有相同客户端单向TLS指纹的病毒家族标识时,确定所述客户端单向TLS单流属于所述病毒家族标识指示的病毒家族;
将所述客户端单向TLS单流的客户端协议字段输入到客户端单向流模型,得到第六参数值,将所述客户端单向TLS单流的客户端协议字段输入到客户端单向握手模型中,得到第七参数值;
利用得到的第六参数值和第七参数值,计算得到所述客户端单向TLS单流的第三置信概率;
当所述客户端单向TLS单流携带有携带DNS和SNI时,获取所述客户端单向TLS单流的客户端协议字段,对所述客户端单向TLS单流的客户端协议字段进行处理,得到所述客户端单向TLS单流的客户端单向TLS指纹;
利用得到的所述客户端单向TLS单流的客户端单向TLS指纹对客户端单向TLS指纹库进行遍历;其中,客户端单向TLS指纹库中记录有病毒家族标识与客户端单向TLS指纹的对应关系;
当能够在客户端单向TLS指纹库中查询出与客户端单向TLS单流具有相同客户端单向TLS指纹的病毒家族标识时,确定所述客户端单向TLS单流属于所述病毒家族标识指示的病毒家族;
将所述客户端单向TLS单流的客户端协议字段输入到客户端单向流模型,得到第八参数值,将所述客户端单向TLS单流的客户端协议字段输入到客户端单向握手模型中,得到第九参数值;
提取所述客户端单向TLS单流携带的DNS和SNI的特征,将所述DNS和SNI的特征输入到DNS/SNI模型中,得到第十参数值;
利用得到的第八参数值、第九参数值以及第十参数值,计算得到所述客户端单向TLS单流的第四置信概率。
7.根据权利要求1所述的方法,其特征在于,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定所述TLS单流所属的病毒家族,包括:
当所述TLS单流的所述TLS握手信息包括服务器端握手信息和客户端握手信息时,确定所述TLS单流是双向TLS单流;
当获取到所述双向TLS单流的X.509证书的证书信息时,对所述X.509证书的证书信息进行哈希计算,得到所述双向TLS单流的证书限定指纹;
对X.509证书进行哈希计算,得到所述双向TLS单流的服务端证书指纹;
利用所述双向TLS单流的证书限定指纹和服务端证书指纹在证书家族指纹库中进行遍历;其中,所述证书家族指纹库中记录有病毒家族标识、证书限定指纹和服务端证书指纹的对应关系;
当从所述证书家族指纹库中查询出与所述双向TLS单流具有相同的证书限定指纹和服务端证书指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
当未能获取到所述双向TLS单流的X.509证书的证书信息或者未能从所述证书家族指纹库中查询出与所述双向TLS单流具有相同的证书限定指纹和服务端证书指纹的病毒家族标识的情况下,并能够获取到所述双向TLS单流的DNS和SNI时,利用所述双向TLS单流的DNS和SNI在DNS/SNI家族指纹库中进行遍历;其中,所述DNS/SNI家族指纹库中记录有病毒家族标识、DNS和SNI的对应关系;
当从所述DNS/SNI家族指纹库中查询出与所述双向TLS单流具有相同的DNS和SNI的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
当未能获取到所述双向TLS单流的DNS或者SNI,或者未能从所述DNS/SNI家族指纹库中查询出与所述双向TLS单流具有相同的DNS和SNI的病毒家族标识时,对所述双向TLS单流的服务器端协议字段和客户端协议字段进行处理,确定所述双向TLS单流所属的病毒家族。
8.根据权利要求7所述的方法,其特征在于,对所述双向TLS单流的服务器端协议字段和客户端协议字段进行处理,确定所述双向TLS单流所属的病毒家族,包括:
当所述双向TLS单流携带有X.509证书且未携带所述双向TLS单流的DNS或者SNI时,对所述双向TLS单流的服务端协议字段进行处理,得到所述双向TLS单流的服务器端单向TLS指纹,并对所述双向TLS单流的客户端协议字段进行处理,得到所述双向TLS单流的客户端单向TLS指纹;
利用得到的所述双向TLS单流的服务器端单向TLS指纹和客户端单向TLS指纹对双向TLS指纹库进行遍历;其中,双向TLS指纹库中记录有病毒家族标识、服务器端单向TLS指纹和客户端单向TLS指纹的对应关系;
当能够在双向TLS指纹库中查询出与双向TLS单流具有相同服务器端单向TLS指纹和客户端单向TLS指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
当未能在双向TLS指纹库中查询出与双向TLS单流具有相同服务器端单向TLS指纹和客户端单向TLS指纹的病毒家族标识时,获取所述双向TLS单流的X.509证书的证书信息,并对所述X.509证书的证书信息进行哈希计算,得到所述双向TLS单流的证书限定指纹;
利用所述双向TLS单流的证书限定指纹在证书限定指纹库中进行遍历;其中,所述证书家族指纹库中记录有病毒家族标识、证书限定指纹的对应关系;
当从所述证书限定指纹库中查询出与所述双向TLS单流具有相同的证书限定指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向流模型,得到第十一参数值,将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向握手模型中,得到第十二参数值;
提取所述X.509证书的证书特征,将所述X.509证书的证书特征输入到证书模型中,得到第十三参数值;
利用得到的第十一参数值、第十二参数值以及第十三参数值,计算得到所述双向TLS单流的第五置信概率。
9.根据权利要求7所述的方法,其特征在于,对所述双向TLS单流的服务器端协议字段和客户端协议字段进行处理,确定所述双向TLS单流所属的病毒家族,还包括:
当所述双向TLS单流携带有所述双向TLS单流的DNS和SNI且未携带所述双向TLS单流的X.509证书时,对所述双向TLS单流的服务端协议字段进行处理,得到所述双向TLS单流的服务器端单向TLS指纹,并对所述双向TLS单流的客户端协议字段进行处理,得到所述双向TLS单流的客户端单向TLS指纹;
利用得到的所述双向TLS单流的服务器端单向TLS指纹和客户端单向TLS指纹对双向TLS指纹库进行遍历;其中,双向TLS指纹库中记录有病毒家族标识、服务器端单向TLS指纹和客户端单向TLS指纹的对应关系;
当能够在双向TLS指纹库中查询出与双向TLS单流具有相同服务器端单向TLS指纹和客户端单向TLS指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向流模型,得到第十四参数值,将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向握手模型中,得到第十五参数值;
提取所述双向TLS单流携带的DNS和SNI的特征,将所述DNS和SNI的特征输入到DNS/SNI模型中,得到第十六参数值;
利用得到的第十四参数值、第十五参数值以及第十六参数值,计算得到所述双向TLS单流的第六置信概率。
10.根据权利要求7所述的方法,其特征在于,对所述双向TLS单流的服务器端协议字段和客户端协议字段进行处理,确定所述双向TLS单流所属的病毒家族,还包括:
当所述双向TLS单流携带有X.509证书且携带所述双向TLS单流的DNS和SNI时,对所述双向TLS单流的服务端协议字段进行处理,得到所述双向TLS单流的服务器端单向TLS指纹,并对所述双向TLS单流的客户端协议字段进行处理,得到所述双向TLS单流的客户端单向TLS指纹;
利用得到的所述双向TLS单流的服务器端单向TLS指纹和客户端单向TLS指纹对双向TLS指纹库进行遍历;其中,双向TLS指纹库中记录有病毒家族标识、服务器端单向TLS指纹和客户端单向TLS指纹的对应关系;
当能够在双向TLS指纹库中查询出与双向TLS单流具有相同服务器端单向TLS指纹和客户端单向TLS指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
当未能在双向TLS指纹库中查询出与双向TLS单流具有相同服务器端单向TLS指纹和客户端单向TLS指纹的病毒家族标识时,获取所述双向TLS单流的X.509证书的证书信息,并对所述X.509证书的证书信息进行哈希计算,得到所述双向TLS单流的证书限定指纹;
利用所述双向TLS单流的证书限定指纹在证书限定指纹库中进行遍历;其中,所述证书家族指纹库中记录有病毒家族标识、证书限定指纹的对应关系;
当从所述证书限定指纹库中查询出与所述双向TLS单流具有相同的证书限定指纹的病毒家族标识时,确定所述双向TLS单流属于所述病毒家族标识指示的病毒家族;
将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向流模型,得到第十七参数值,将所述双向TLS单流的服务器端协议字段和客户端协议字段输入到双向握手模型中,得到第十八参数值;
提取所述X.509证书的证书特征,将所述X.509证书的证书特征输入到证书模型中,得到第十九参数值;
提取所述双向TLS单流携带的DNS和SNI的特征,将所述DNS和SNI的特征输入到DNS/SNI模型中,得到第二十参数值;
利用得到的第十七参数值、第十八参数值、第十九参数值以及第二十参数值,计算得到所述双向TLS单流的第七置信概率。
11.一种安全传输层协议TLS加密流量检测装置,其特征在于,包括:
第一获取模块,用于获取不同会话的TLS加密流量,对所述TLS加密流量进行解析,得到所述TLS加密流量的流量信息;其中,所述TLS加密流量的流量信息,包括:IP地址、服务器名称标识SNI、域名DNS、X.509证书和/或者TLS握手信息;所述TLS握手信息包括:服务器端握手信息和/或者客户端握手信息;所述IP地址,包括:源IP地址和目的IP地址;
第一确定模块,用于根据不同会话的TLS加密流量中的所述源IP地址和目的IP地址,从不同会话中确定出具有相同源IP地址和目的IP地址的会话;
第二获取模块,用于获取具有相同源IP地址和目的IP地址的会话中的TLS握手信息;
第二确定模块,用于当具有相同源IP地址和目的IP地址的会话的服务器端握手信息的数量为预设数量且客户端握手信息的数量为预设数量时,确定所述会话的TLS加密流量是TLS单流;
第一处理模块,用于分别利用自定义规则库、白名单库以及威胁情报库对所述TLS单流进行处理,确定所述TLS单流所属的病毒家族;
第二处理模块,用于当利用自定义规则库、白名单库以及威胁情报库未能确定所述TLS单流所属的病毒家族时,对所述TLS单流的所述TLS握手信息、服务器名称标识SNI、域名DNS和/或者X.509证书进行处理,确定所述TLS单流所属的病毒家族。
12.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器运行时执行上述权利要求1-10任一项所述的方法的步骤。
13.一种电子设备,其特征在于,所述电子设备包括有存储器,处理器以及一个或者一个以上的程序,其中所述一个或者一个以上程序存储于所述存储器中,且经配置以由所述处理器执行权利要求1-10任一项所述的方法的步骤。
CN202110698790.5A 2021-06-23 2021-06-23 一种tls加密流量检测方法、装置和电子设备 Active CN113518080B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110698790.5A CN113518080B (zh) 2021-06-23 2021-06-23 一种tls加密流量检测方法、装置和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110698790.5A CN113518080B (zh) 2021-06-23 2021-06-23 一种tls加密流量检测方法、装置和电子设备

Publications (2)

Publication Number Publication Date
CN113518080A CN113518080A (zh) 2021-10-19
CN113518080B true CN113518080B (zh) 2021-11-19

Family

ID=78065930

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110698790.5A Active CN113518080B (zh) 2021-06-23 2021-06-23 一种tls加密流量检测方法、装置和电子设备

Country Status (1)

Country Link
CN (1) CN113518080B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114244846B (zh) * 2021-12-15 2024-02-09 山石网科通信技术股份有限公司 一种流量报文转发方法、装置,中间设备及存储介质
CN114449064B (zh) * 2022-01-26 2023-12-29 普联技术有限公司 Tls加密流量的应用识别方法、装置和应用识别设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110113349A (zh) * 2019-05-15 2019-08-09 北京工业大学 一种恶意加密流量特征分析方法
CN111224940A (zh) * 2019-11-15 2020-06-02 中国科学院信息工程研究所 一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统
WO2020224341A1 (zh) * 2019-05-09 2020-11-12 中兴通讯股份有限公司 一种tls加密流量识别方法及装置
CN112217763A (zh) * 2019-07-10 2021-01-12 四川大学 一种基于机器学习的隐蔽tls通信流检测方法
CN112311814A (zh) * 2020-12-23 2021-02-02 中国航空油料集团有限公司 基于深度学习的恶意加密流量识别方法、系统及电子设备
CN112738039A (zh) * 2020-12-18 2021-04-30 北京中科研究院 一种基于流量行为的恶意加密流量检测方法、系统及设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7360075B2 (en) * 2001-02-12 2008-04-15 Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020224341A1 (zh) * 2019-05-09 2020-11-12 中兴通讯股份有限公司 一种tls加密流量识别方法及装置
CN110113349A (zh) * 2019-05-15 2019-08-09 北京工业大学 一种恶意加密流量特征分析方法
CN112217763A (zh) * 2019-07-10 2021-01-12 四川大学 一种基于机器学习的隐蔽tls通信流检测方法
CN111224940A (zh) * 2019-11-15 2020-06-02 中国科学院信息工程研究所 一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统
CN112738039A (zh) * 2020-12-18 2021-04-30 北京中科研究院 一种基于流量行为的恶意加密流量检测方法、系统及设备
CN112311814A (zh) * 2020-12-23 2021-02-02 中国航空油料集团有限公司 基于深度学习的恶意加密流量识别方法、系统及电子设备

Also Published As

Publication number Publication date
CN113518080A (zh) 2021-10-19

Similar Documents

Publication Publication Date Title
US11150874B2 (en) API specification generation
CN112468520B (zh) 一种数据检测方法、装置、设备及可读存储介质
CN113518080B (zh) 一种tls加密流量检测方法、装置和电子设备
JP2018063694A (ja) Webページの悪意のある要素を検出するシステム及び方法
CN107003976A (zh) 基于可准许活动规则确定可准许活动
CN110888838B (zh) 基于对象存储的请求处理方法、装置、设备及存储介质
US10505986B1 (en) Sensor based rules for responding to malicious activity
US11810014B2 (en) Systems, methods and apparatus for evaluating status of computing device user
CN107172081A (zh) 一种数据校验的方法和装置
CN109547426B (zh) 业务响应方法及服务器
US20180227263A1 (en) System and method for providing services
CN110708335A (zh) 访问认证方法、装置及终端设备
CN114035827A (zh) 应用程序更新方法、装置、设备及存储介质
CN112989348A (zh) 攻击检测方法、模型训练方法、装置、服务器及存储介质
CN109698806B (zh) 一种用户数据校验方法及系统
EP3789890A1 (en) Fully qualified domain name (fqdn) determination
US11017029B2 (en) Data transfer system, data transfer apparatus, data transfer method, and computer-readable recording medium
CN107995167B (zh) 一种设备识别方法及服务器
CN116719709A (zh) Web页面性能监控方法、装置、设备及存储介质
CN115695043A (zh) 漏洞扫描攻击检测方法、模型训练方法及装置
CN112202785B (zh) 一种上传文件处理方法、装置、设备及计算机存储介质
CN108366071A (zh) Url异常定位方法、装置、服务器及存储介质
Kozik et al. The http content segmentation method combined with adaboost classifier for web-layer anomaly detection system
CN110460685B (zh) 用户唯一标识处理方法、装置、计算机设备和存储介质
CN113438134A (zh) 请求报文处理方法、装置、服务器及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant