CN113938314B - 一种加密流量的检测方法及装置、存储介质 - Google Patents
一种加密流量的检测方法及装置、存储介质 Download PDFInfo
- Publication number
- CN113938314B CN113938314B CN202111363318.2A CN202111363318A CN113938314B CN 113938314 B CN113938314 B CN 113938314B CN 202111363318 A CN202111363318 A CN 202111363318A CN 113938314 B CN113938314 B CN 113938314B
- Authority
- CN
- China
- Prior art keywords
- domain name
- encrypted traffic
- address
- malicious
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000001514 detection method Methods 0.000 claims abstract description 47
- 230000008520 organization Effects 0.000 claims abstract description 10
- 230000007246 mechanism Effects 0.000 claims abstract description 4
- 230000000903 blocking effect Effects 0.000 claims description 41
- 238000012545 processing Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000007637 random forest analysis Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种加密流量的检测方法及装置、存储介质。加密流量的检测方法,包括:获取待检测加密流量的ip地址;判断所述ip地址是否为预设的恶意加密流量信息表中的ip地址;若所述ip地址是预设的恶意加密流量信息表中的ip地址,则确定所述待检测加密流量为恶意加密流量;若所述ip地址不是预设的恶意加密流量信息表中的ip地址,获取所述待检测加密流量对应的公钥证书中的颁发机构域名;判断所述颁发机构域名是否为所述预设的恶意加密流量信息表中的域名;若所述颁发机构域名是所述预设的恶意加密流量信息表中的域名,则确定所述待检测加密流量为恶意加密流量。该检测方法用以实现恶意加密流量的准确且高效的检测。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种加密流量的检测方法及装置、存储介质。
背景技术
当前网络应用越来越多,恶意加密流量也越来越普遍。因此,需要对恶意加密流量进行有效的检测,以保证网络的安全性。
现有技术中,通过随机森林和神经网络等人工智能算法,对恶意加密流量样本的行为进行分析学习,构建检测模型,然后利用检测模型对未知流量进行检测,以实现恶意加密流量的检测。
在这种检测方式中,恶意加密流量样本难以获取,检测模型的构建难度较大;且不同样本训练出的模型识别率差异较大,存在偏差,导致检测模型不能高效且准确地检测出恶意加密流量。
发明内容
本申请实施例的目的在于提供一种加密流量的检测方法及装置、存储介质,用以实现恶意加密流量的准确且高效的检测。
第一方面,本申请实施例提供一种加密流量的检测方法,包括:获取待检测加密流量的ip(Internet Protocol,网际互连协议)地址;判断所述ip地址是否为预设的恶意加密流量信息表中的ip地址;若所述ip地址是预设的恶意加密流量信息表中的ip地址,则确定所述待检测加密流量为恶意加密流量;若所述ip地址不是预设的恶意加密流量信息表中的ip地址,获取所述待检测加密流量对应的公钥证书中的颁发机构域名;判断所述颁发机构域名是否为所述预设的恶意加密流量信息表中的域名;若所述颁发机构域名是所述预设的恶意加密流量信息表中的域名,则确定所述待检测加密流量为恶意加密流量。
在本申请实施例中,不再利用基于人工智能算法的检测模型对加密流量进行检测,而是利用预设的恶意加密流量信息表对加密流量进行检测,因此,不再存在着不同样本训练所得的模型的识别结果的差异较大的问题。基于预设的恶意加密流量信息表,先利用加密流量的ip地址进行判断,若基于ip地址能确定加密流量是恶意加密流量,则可直接确定加密流量为恶意加密流量。若基于ip地址不能确定加密流量是恶意加密流量,则进一步利用待检测加密流量对应的公钥证书中的颁发机构域名进行判断。通过这种检测方式,能够实现恶意加密流量的准确且高效的检测。
作为一种可能的实现方式,所述检测方法还包括:获取DNS(Domain nameresolution,域名解析)报文中的请求域名;判断所述请求域名是否为恶意域名;若是,获取所述DNS报文的应答报文中所述请求域名对应的ip地址;将所述请求域名和所述请求域名对应的ip地址按照对应关系存储到预先创建的恶意加密流量信息表中。
在本申请实施例中,通过获取DNS报文中的请求域名,对其进行判断,可实现恶意域名的收集;基于恶意域名,再获取对应的ip地址,实现恶意域名对应的ip地址的收集;进而,基于收集的恶意域名和对应的ip地址,实现恶意加密流量信息表的有效创建。
作为一种可能的实现方式,所述判断所述请求域名是否为恶意域名,包括:判断所述请求域名是否为预设的恶意加密流量库中的域名;若是,则确定所述请求域名为恶意域名。
在本申请实施例中,基于预设的恶意加密流量库,实现恶意域名的有效且准确的判断。
作为一种可能的实现方式,在所述若所述颁发机构域名是所述预设的恶意加密流量信息表中的域名,则确定所述待检测加密流量为恶意加密流量之后,所述检测方法还包括:将所述待检测加密流量的ip地址存储到所述预设的恶意加密流量信息表中。
在本申请实施例中,若通过ip地址没有判断出恶意加密流量,而通过颁发机构的域名判断出恶意加密流量,则说明该ip地址也属于恶意加密流量的ip地址,此时将其存储到预设的恶意加密流量信息表中,实现恶意加密流量信息表的有效更新。
作为一种可能的实现方式,在所述确定所述待检测加密流量为恶意加密流量之后,所述检测方法还包括:对所述待检测加密流量作阻断处理。
在本申请实施例中,在确定待检测加密流量为恶意加密流量之后,对其作阻断处理,提高安全性。
作为一种可能的实现方式,所述对所述待检测加密流量作阻断处理,包括:获取待检测加密流量的域名;根据所述ip地址和所述待检测加密流量的域名确定阻断策略;基于所述阻断策略,对所述待检测加密流量作阻断处理。
在本申请实施例中,通过待检测加密流量的域名和ip地址,确定对应的阻断策略,进而,基于阻断策略实现待检测加密流量的有效阻断。
作为一种可能的实现方式,所述检测方法还包括:获取所述待检测加密流量的域名;所述若所述ip地址是预设的恶意加密流量信息表中的ip地址,则确定所述待检测加密流量为恶意加密流量,包括:若所述ip地址是预设的恶意加密流量信息表中的ip地址,判断所述ip地址在所述预设的恶意加密流量信息表中对应的域名是否与所述待检测加密流量的域名一致;若所述ip地址在所述预设的恶意加密流量信息表中对应的域名与所述待检测加密流量的域名一致,则确定所述待检测加密流量为恶意加密流量。
在本申请实施例中,若ip地址是预设的恶意加密流量信息表中的ip地址,还可以进一步判断ip地址在预设的恶意加密流量信息表中对应的域名与待检测加密流量的域名是否一致,若一致,则最终确定待检测加密流量为恶意加密流量,实现恶意加密流量的更准确的检测。
作为一种可能的实现方式,所述获取所述待检测加密流量对应的公钥证书中的颁发机构域名,包括:在SSL(Secure Sockets Layer安全套接字协议)握手的过程中,获取所述颁发机构域名。
在本申请实施例中,在SSL握手的过程中,可实现颁发机构域名的有效获取。
第二方面,本申请实施例提供一种加密流量的检测装置,包括:用于实现第一方面以及第一方面的任意一种可能的实现方式中所述的加密流量的检测方法的各个功能模块。
第三方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行第一方面以及第一方面的任意一种可能的实现方式中所述的加密流量的检测方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的加密流量的检测方法的流程图;
图2为本申请实施例提供的加密流量的检测装置的结构示意图。
图标:200-加密流量的检测装置;210-获取模块;220-处理模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本申请实施例提供的技术方案可以应用于各种需要进行加密流量的检测的应用场景中,例如:在加密流量的传输过程中,对加密流量进行检测,以识别恶意加密流量;再例如:在接收到加密流量之后,对加密流量进行检测,以识别恶意加密流量。
基于上述的应用场景,本申请实施例提供的技术方案的硬件运行环境可以是各类网络设备,例如:接收加密流量的网络设备或者传输加密流量的网络设备。除了各类网络设备,还可以是安全监测系统,安全监测系统用于对网络中传输的加密流量进行检测。
上述的安全检测系统,可以包括但不限于:服务器、服务器+客户端、以及服务器+浏览器的表现形式,在本申请实施例中不作限定。
基于上述应用场景的介绍,接下来请参照图1,为本申请实施例提供的加密流量的检测方法的流程图,该检测方法包括:
步骤110:获取待检测加密流量的ip地址。
步骤120:判断ip地址是否为预设的恶意加密流量信息表中的ip地址。
步骤130:若ip地址是预设的恶意加密流量信息表中的ip地址,则确定待检测加密流量为恶意加密流量。
步骤140:若ip地址不是预设的恶意加密流量信息表中的ip地址,获取待检测加密流量对应的公钥证书中的颁发机构域名。
步骤150:判断颁发机构域名是否为预设的恶意加密流量信息表中的域名。
步骤160:若颁发机构域名是预设的恶意加密流量信息表中的域名,则确定待检测加密流量为恶意加密流量。
在本申请实施例中,不再利用基于人工智能算法的检测模型对加密流量进行检测,而是利用预设的恶意加密流量信息表对加密流量进行检测,因此,不再存在着不同样本训练所得的模型的识别结果的差异较大的问题,降低了加密流量的检测难度。基于预设的恶意加密流量信息表,先利用加密流量的ip地址进行判断,若基于ip地址能确定加密流量是恶意加密流量,则可直接确定加密流量为恶意加密流量。若基于ip地址不能确定加密流量是恶意加密流量,则进一步利用待检测加密流量对应的公钥证书中的颁发机构域名进行判断。通过这种检测方式,能够实现恶意加密流量的准确且高效的检测。
接下来对步骤110-步骤160的详细实施方式进行介绍。
在步骤110中,待检测加密流量,可以是接收到的待检测加密流量,也可以在监测过程中,自动捕获的待检测加密流量。
在获取待检测加密流量的ip地址时,可以对待检测加密流量对应的身份信息进行解析,获得ip地址。也可以向待检测加密流量对应的传输设备发起ip地址获取请求,传输设备基于获取请求反馈ip地址,实现ip地址的获取。
即,在本申请实施例中,待检测加密流量的ip地址,可以是通过发起请求获取,也可以通过对身份信息进行解析获取,在本申请实施例中不作限定。
在步骤120中,判断ip地址是否为预设的恶意加密流量信息表中的ip地址。在预设的恶意加密流量信息表中,存储有多个恶意域名和多个恶意域名分别对应的ip地址。为了便于理解本申请实施例的技术方案,接下来对该恶意加密流量信息表的预设方式进行介绍。
作为一种可选的实施方式,恶意加密流量信息表的预设过程包括:获取DNS报文中的请求域名;判断请求域名是否为恶意域名;若是,获取DNS报文的应答报文中请求域名对应的ip地址;将请求域名和请求域名对应的ip地址按照对应关系存储到预先创建的恶意加密流量信息表中。
在这种实施方式中,在主机发起DNS域名解析的应用场景下,实现恶意加密流量信息表的设置。
在主机发起DSN域名解析时,安全设备记录被请求的域名信息,即DNS报文中的请求域名。在获取到请求域名之后,先判断请求域名是否为恶意域名。
作为一种可选的实施方式,判断请求域名是否为恶意域名,包括:判断请求域名是否为预设的恶意加密流量库中的域名;若是,则确定请求域名为恶意域名。
在这种实施方式中,预设的恶意加密流量库中存储有大量的恶意域名,将请求域名与库中的域名进行匹配,若匹配到与请求域名相同的恶意域名,则说明请求域名为恶意域名;若没有匹配到与请求域名相同的恶意与,则说明请求域名不是恶意域名。
其中,预设的恶意加密流量库可以是已有的恶意加密流量库,由安全平台提供,作为公用的数据,可随时对该恶意加密流量库进行应用。
对于该恶意加密流量库的获取方式,参照本领域成熟的技术即可,在本申请实施例中不作介绍。
在本申请实施例中,基于预设的恶意加密流量库,实现恶意域名的有效且准确的判断。
除了基于预设的恶意加密流量库判断请求域名是否为恶意域名,也可以采用其他的判断方式,例如:利用恶意域名检测模型判断,恶意域名检测模型可以是基于随机森林的模型,也可以是基于神经网络的模型,在本申请实施例中不作限定。再例如:利用恶意域名检测规则判断,恶意域名检测规则可以用于指示恶意域名具有的一些特征,判断请求域名是否符合这些规则,便可以实现请求域名是否为恶意域名的判断。
在判断请求域名是否为恶意域名之后,如果判断结果为是,则获取DNS报文的应答报文中请求域名对应的ip地址,然后将请求域名和请求域名对应的ip地址按照对应关系存储到预先创建的恶意加密流量信息表中。
其中,预先创建的恶意加密流量信息表可以是还未存储数据的空的信息表,也可以是已经存储有部分恶意域名和恶意域名对应的ip地址的信息表。
可以理解,一个恶意域名,可以对应不同的ip地址,因此,在恶意流量信息表中,每个域名可以对应多个ip地址。
此外,上述的请求域名的获取,以及判断是否为恶意域名,并根据恶意域名存储数据到恶意流量信息表中的过程,可以是周期性执行,也可以持续执行,以保证恶意加密流程信息表中的数据可以不断更新。
在上述实施方式中,如果请求域名不是恶意域名,则不对请求域名作进一步的处理,也可不用再获取请求域名对应的ip地址。
在本申请实施例中,通过获取DNS报文中的请求域名,对其进行判断,实现恶意域名的收集;基于恶意域名,再获取对应的ip地址,实现恶意域名对应的ip地址的收集;进而,基于收集的恶意域名和对应的ip地址,实现恶意加密流量信息表的有效创建。
基于上述恶意加密流量信息表的预设过程的介绍,在步骤120中,将ip地址与恶意加密流量信息表中的各个ip地址进行匹配,如果匹配到与待检测流量的ip地址相同的ip地址,则在步骤130中,确定待检测加密流量为恶意加密流量。
在前述实施例中介绍到,在恶意加密流量信息表中,各个ip地址对应有恶意域名,为了实现更准确的判断,还可以结合ip地址对应的恶意域名进行判断。因此,作为一种可选的实施方式,该检测方法还包括:获取待检测加密流量的域名,对应的,步骤130包括:若ip地址是预设的恶意加密流量信息表中的ip地址,判断ip地址在预设的恶意加密流量信息表中对应的域名是否与待检测加密流量的域名一致;若ip地址在预设的恶意加密流量信息表中对应的域名与待检测加密流量的域名一致,则确定待检测加密流量为恶意加密流量。
在这种实施方式中,如果ip地址是预设的恶意加密流量信息表中的ip地址,则进一步判断ip地址在预设的恶意流量信息表中对应的域名是否与待检测加密流量的域名一致。如果一致,则说明待检测加密流量满足恶意域名的域名和ip地址的两个判断条件,可确定待检测加密流量为恶意加密流量。
其中,待检测加密流量的域名的获取方式,参照前述实施例中获取ip地址的实施方式,在此不作重复介绍。或者,也可以采用其他通用的域名的获取方式进行获取,在此不作限定。
在本申请实施例中,若ip地址是预设的恶意加密流量信息表中的ip地址,还可以进一步判断ip地址在预设的恶意加密流量信息表中对应的域名与待检测加密流量的域名是否一致,若一致,则最终确定待检测加密流量为恶意加密流量,实现恶意加密流量的更准确的检测。
在步骤140中,若ip地址不是预设的恶意加密流量信息表中的ip地址,则获取待检测加密流量对应的公钥证书中的颁发机构域名。
作为一种可选的实施方式,步骤140包括:在SSL握手的过程中,获取所述颁发机构域名。
可以理解,加密流量的传输,会涉及到SSL握手过程,该过程中会应用到公钥证书,因此,可以在SSL握手的过程中,获取颁发机构的域名的获取。具体的,读取公钥证书中的信息,识别出其中的颁发机构的域名该项信息。
在本申请实施例中,在SSL握手的过程中,可实现颁发机构域名的有效获取。
在步骤150中,判断颁发机构域名是否为预设的恶意加密流量信息表中的域名。作为一种可选的实施方式,将颁发机构域名与恶意加密流量信息表中的各个域名进行匹配,若匹配到与颁发机构域名一致的域名,则代表颁发机构域名为预设的恶意加密流量信息表中的域名。若没有匹配到与颁发机构一致的域名,则代表颁发机构域名不是预设的恶意加密流量信息表中的域名。
进而,在步骤160中,若颁发机构域名是预设的恶意加密流量信息表中的域名,则确定待检测加密流量为恶意加密流量。
若颁发机构域名不是预设的恶意加密流量信息表中的域名,可确定待检测加密流量不是恶意加密流量。
在本申请实施例中,若最终通过颁发机构域名判断出待检测加密流量为恶意加密流量,说明待检测加密流量的ip地址也是恶意加密流量的ip地址,而恶意加密流量信息表中没有记录该ip地址,此时可以对恶意加密流量信息表进行更新。因此,作为一种可选的实施方式,在步骤160之后,该检测方法还包括:将待检测加密流量的ip地址存储到预设的恶意加密流量信息表中。
在存储时,先获取待检测加密流量的域名,然后对待检测加密流量是否为恶意加密流量信息表中的域名进行判断。如果待检测加密流量的域名不是恶意加密流量信息表中的域名,则将待检测加密流量的域名和ip地址对应存储到恶意加密流量信息表中。如果待检测加密流量的域名是恶意加密流量信息表中的域名,则将ip地址对应存储到对应的域名下即可。
在本申请实施例中,若通过ip地址没有判断出恶意加密流量,而通过颁发机构的域名判断出恶意加密流量,则说明该ip地址也属于恶意加密流量的ip地址,此时将其存储到预设的恶意加密流量信息表中,实现恶意加密流量信息表的有效更新。
在本申请实施例中,无论是在哪种情况下确定出待检测加密流量为恶意加密流量,都需要对待检测加密流量作阻断处理。因此,作为一种可选的实施方式,在确定待检测加密流量为恶意加密流量之后,检测方法还包括:对待检测加密流量作阻断处理。
作为一种可选的实施方式,对待检测加密流量作阻断处理,包括:获取待检测加密流量的域名;根据ip地址和待检测加密流量的域名确定阻断策略;基于阻断策略,对待检测加密流量作阻断处理。
在这种实施方式中,根据待检测加密流量的域名和ip地址来确定阻断策略。在确定阻断策略之后,直接按照阻断策略对待检测加密流量进行阻断处理即可。
在本申请实施例中,在确定待检测加密流量为恶意加密流量之后,对其作阻断处理,提高安全性。
作为一种可选的实施方式,预设有不同的恶意ip地址和恶意域名对应的阻断策略。基于该预设的对应关系,将待检测流量的域名和ip地址与预设的对应关系中的恶意ip地址和恶意域名进行匹配,如果匹配到一致的恶意ip地址,或者一致的恶意域名,则将一致的恶意域名或者恶意ip地址对应的阻断策略确定为待检测加密流量的阻断策略。如果匹配到一致的恶意ip地址和一致的恶意域名,则优先将一致的恶意ip地址对应的阻断策略确定为待检测加密流量的阻断策略。
在本申请实施例中,通过待检测加密流量的域名和ip地址,确定对应的阻断策略,进而,基于阻断策略实现待检测加密流量的有效阻断。
在本申请实施例中,阻断处理,包括但不限于:阻断待检测加密流量的发起方与接收方的通信行为,或者告知待检测加密流量的接收方停止与接收方的通信行为等处理方式,在此不作一一举例。
此外,在前述实施例中提到,本申请实施例的技术方案可以应用于数据接收方,也可以应用于数据发送方,还可以应用于安全检测系统。在一些实施例中,当该技术方案应用于安全检测系统时,技术效果更佳。并且,对于安全检测系统来说,在数据发送方发送出该待检测加密流量之后,便对其进行检测,以及相应的阻断。通过这种方式,可在恶意加密流量达到数据接收方之前完成阻断,安全性更高。
基于同一发明构思,请参照图2,本申请实施例中还提供一种加密流量的检测装置200,包括:获取模块210和处理模块220。
获取模块210,用于获取待检测加密流量的ip地址。处理模块220用于:判断所述ip地址是否为预设的恶意加密流量信息表中的ip地址;若所述ip地址是预设的恶意加密流量信息表中的ip地址,则确定所述待检测加密流量为恶意加密流量;若所述ip地址不是预设的恶意加密流量信息表中的ip地址,获取所述待检测加密流量对应的公钥证书中的颁发机构域名;判断所述颁发机构域名是否为所述预设的恶意加密流量信息表中的域名;若所述颁发机构域名是所述预设的恶意加密流量信息表中的域名,则确定所述待检测加密流量为恶意加密流量。
在本申请实施例中,获取模块210还用于:获取DNS(报文中的请求域名;处理模块220还用于:判断所述请求域名是否为恶意域名;若是,获取所述DNS报文的应答报文中所述请求域名对应的ip地址;将所述请求域名和所述请求域名对应的ip地址按照对应关系存储到预先创建的恶意加密流量信息表中。
在本申请实施例中,处理模块220具体用于:判断所述请求域名是否为预设的恶意加密流量库中的域名;若是,则确定所述请求域名为恶意域名。
在本申请实施例中,处理模块220还用于:将所述待检测加密流量的ip地址存储到所述预设的恶意加密流量信息表中。
在本申请实施例中,处理模块220还用于:对所述待检测加密流量作阻断处理。
在本申请实施例中,获取模块210还用于:获取待检测加密流量的域名;处理模块220还用于:根据所述ip地址和所述待检测加密流量的域名确定阻断策略;基于所述阻断策略,对所述待检测加密流量作阻断处理。
在本申请实施例中,获取模块210还用于:获取所述待检测加密流量的域名;处理模块220具体还用于:若所述ip地址是预设的恶意加密流量信息表中的ip地址,判断所述ip地址在所述预设的恶意加密流量信息表中对应的域名是否与所述待检测加密流量的域名一致;若所述ip地址在所述预设的恶意加密流量信息表中对应的域名与所述待检测加密流量的域名一致,则确定所述待检测加密流量为恶意加密流量。
在本申请实施例中,获取模块210具体用于:在SSL(Secure Sockets Layer安全套接字协议)握手的过程中,获取所述颁发机构域名。
加密流量的检测装置200与加密流量的检测方法对应,各个功能模块与各个步骤也对应,因此,各个功能模块的实施方式参照前述实施例中各个步骤的实施方式,在此不再重复介绍。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行前述实施例中所述的加密流量的检测方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种加密流量的检测方法,其特征在于,包括:
获取待检测加密流量的ip地址;
判断所述ip地址是否为预设的恶意加密流量信息表中的ip地址;
若所述ip地址是预设的恶意加密流量信息表中的ip地址,则确定所述待检测加密流量为恶意加密流量;
若所述ip地址不是预设的恶意加密流量信息表中的ip地址,获取所述待检测加密流量对应的公钥证书中的颁发机构域名;判断所述颁发机构域名是否为所述预设的恶意加密流量信息表中的域名;若所述颁发机构域名是所述预设的恶意加密流量信息表中的域名,则确定所述待检测加密流量为恶意加密流量;
其中,所述方法还包括:
获取所述待检测加密流量的域名;
相应的,所述若所述ip地址是预设的恶意加密流量信息表中的ip地址,则确定所述待检测加密流量为恶意加密流量,包括:
若所述ip地址是预设的恶意加密流量信息表中的ip地址,判断所述ip地址在所述预设的恶意加密流量信息表中对应的域名是否与所述待检测加密流量的域名一致;
若所述ip地址在所述预设的恶意加密流量信息表中对应的域名与所述待检测加密流量的域名一致,则确定所述待检测加密流量为恶意加密流量。
2.根据权利要求1所述的检测方法,其特征在于,所述检测方法还包括:
获取DNS报文中的请求域名;
判断所述请求域名是否为恶意域名;
若是,获取所述DNS报文的应答报文中所述请求域名对应的ip地址;
将所述请求域名和所述请求域名对应的ip地址按照对应关系存储到预先创建的恶意加密流量信息表中。
3.根据权利要求2所述的检测方法,其特征在于,所述判断所述请求域名是否为恶意域名,包括:
判断所述请求域名是否为预设的恶意加密流量库中的域名;
若是,则确定所述请求域名为恶意域名。
4.根据权利要求1所述的检测方法,其特征在于,在所述若所述颁发机构域名是所述预设的恶意加密流量信息表中的域名,则确定所述待检测加密流量为恶意加密流量之后,所述检测方法还包括:
将所述待检测加密流量的ip地址存储到所述预设的恶意加密流量信息表中。
5.根据权利要求1所述的检测方法,其特征在于,在所述确定所述待检测加密流量为恶意加密流量之后,所述检测方法还包括:
对所述待检测加密流量作阻断处理。
6.根据权利要求5所述的检测方法,其特征在于,所述对所述待检测加密流量作阻断处理,包括:
获取待检测加密流量的域名;
根据所述ip地址和所述待检测加密流量的域名确定阻断策略;
基于所述阻断策略,对所述待检测加密流量作阻断处理。
7.根据权利要求1所述的检测方法,其特征在于,所述获取所述待检测加密流量对应的公钥证书中的颁发机构域名,包括:
在SSL握手的过程中,获取所述颁发机构域名。
8.一种加密流量的检测装置,其特征在于,包括:
获取模块,用于获取待检测加密流量的ip地址;以及获取所述待检测加密流量的域名;
处理模块,用于:
判断所述ip地址是否为预设的恶意加密流量信息表中的ip地址;
若所述ip地址是预设的恶意加密流量信息表中的ip地址,判断所述ip地址在预设的恶意加密流量信息表中对应的域名是否与所述待检测加密流量的域名一致;若所述ip地址在预设的恶意加密流量信息表中对应的域名与所述待检测加密流量的域名一致,确定所述待检测加密流量为恶意加密流量;
若所述ip地址不是预设的恶意加密流量信息表中的ip地址,获取所述待检测加密流量对应的公钥证书中的颁发机构域名;判断所述颁发机构域名是否为所述预设的恶意加密流量信息表中的域名;若所述颁发机构域名是所述预设的恶意加密流量信息表中的域名,则确定所述待检测加密流量为恶意加密流量。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行如权利要求1-7任一项所述的加密流量的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111363318.2A CN113938314B (zh) | 2021-11-17 | 2021-11-17 | 一种加密流量的检测方法及装置、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111363318.2A CN113938314B (zh) | 2021-11-17 | 2021-11-17 | 一种加密流量的检测方法及装置、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113938314A CN113938314A (zh) | 2022-01-14 |
| CN113938314B true CN113938314B (zh) | 2023-11-28 |
Family
ID=79287060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111363318.2A Active CN113938314B (zh) | 2021-11-17 | 2021-11-17 | 一种加密流量的检测方法及装置、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113938314B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116405278A (zh) * | 2023-03-30 | 2023-07-07 | 华能信息技术有限公司 | 一种恶意攻击加密流量检测方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
| CN107124434A (zh) * | 2017-07-06 | 2017-09-01 | 中国互联网络信息中心 | 一种dns恶意攻击流量的发现方法及系统 |
| CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
| CN110187955A (zh) * | 2019-05-27 | 2019-08-30 | 四川大学 | 一种动静态结合的Docker容器内容安全性检测方法和装置 |
| CN110213227A (zh) * | 2019-04-24 | 2019-09-06 | 华为技术有限公司 | 一种网络数据流检测方法及装置 |
| CN110417810A (zh) * | 2019-08-20 | 2019-11-05 | 西安电子科技大学 | 基于逻辑回归的增强模型的恶意加密流量检测方法 |
| CN110493208A (zh) * | 2019-08-09 | 2019-11-22 | 南京聚铭网络科技有限公司 | 一种多特征的dns结合https恶意加密流量识别方法 |
| CN112217762A (zh) * | 2019-07-09 | 2021-01-12 | 北京观成科技有限公司 | 基于用途的恶意加密流量的识别方法及装置 |
| CN112532636A (zh) * | 2020-12-02 | 2021-03-19 | 赛尔网络有限公司 | 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置 |
| WO2021187782A1 (ko) * | 2020-03-18 | 2021-09-23 | (주)수산아이앤티 | 악성 트래픽 검출 방법 및 그 장치 |
| CN113645176A (zh) * | 2020-05-11 | 2021-11-12 | 北京观成科技有限公司 | 一种检测伪造流量的方法、装置及电子设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3111614B1 (en) * | 2014-02-28 | 2018-04-18 | British Telecommunications public limited company | Malicious encrypted network traffic identification |
| US11190487B2 (en) * | 2018-02-28 | 2021-11-30 | Palo Alto Networks, Inc. | Identifying security risks and enforcing policies on encrypted/encoded network communications |
-
2021
- 2021-11-17 CN CN202111363318.2A patent/CN113938314B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
| CN107124434A (zh) * | 2017-07-06 | 2017-09-01 | 中国互联网络信息中心 | 一种dns恶意攻击流量的发现方法及系统 |
| CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
| CN110213227A (zh) * | 2019-04-24 | 2019-09-06 | 华为技术有限公司 | 一种网络数据流检测方法及装置 |
| CN110187955A (zh) * | 2019-05-27 | 2019-08-30 | 四川大学 | 一种动静态结合的Docker容器内容安全性检测方法和装置 |
| CN112217762A (zh) * | 2019-07-09 | 2021-01-12 | 北京观成科技有限公司 | 基于用途的恶意加密流量的识别方法及装置 |
| CN110493208A (zh) * | 2019-08-09 | 2019-11-22 | 南京聚铭网络科技有限公司 | 一种多特征的dns结合https恶意加密流量识别方法 |
| CN110417810A (zh) * | 2019-08-20 | 2019-11-05 | 西安电子科技大学 | 基于逻辑回归的增强模型的恶意加密流量检测方法 |
| WO2021187782A1 (ko) * | 2020-03-18 | 2021-09-23 | (주)수산아이앤티 | 악성 트래픽 검출 방법 및 그 장치 |
| CN113645176A (zh) * | 2020-05-11 | 2021-11-12 | 北京观成科技有限公司 | 一种检测伪造流量的方法、装置及电子设备 |
| CN112532636A (zh) * | 2020-12-02 | 2021-03-19 | 赛尔网络有限公司 | 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113938314A (zh) | 2022-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113574838B (zh) | 通过客户端指纹过滤互联网流量的系统和方法 | |
| US8516586B1 (en) | Classification of unknown computer network traffic | |
| CN103229479B (zh) | 一种网站识别方法、装置及网络系统 | |
| CN103795702A (zh) | 用于数据的发送控制 | |
| CN102710770A (zh) | 一种上网设备识别方法及其实现系统 | |
| CN102624706A (zh) | 一种dns隐蔽信道的检测方法 | |
| CN112738121B (zh) | 密码安全态势感知方法、装置、设备和可读存储介质 | |
| CN113938314B (zh) | 一种加密流量的检测方法及装置、存储介质 | |
| CN111371889B (zh) | 消息处理方法、装置、物联网系统和存储介质 | |
| EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
| CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
| CN111386711A (zh) | 用于管理电子文件的电子指纹的方法、设备和系统 | |
| CN104104666B (zh) | 一种探测云端服务异常的方法和装置 | |
| CN113239401A (zh) | 一种基于电力物联网的大数据分析系统、方法及计算机存储介质 | |
| CN111818025A (zh) | 一种用户终端的检测方法和装置 | |
| CN110619023A (zh) | 结合区块链的物联网的水源检测数据上链方法及装置 | |
| CN112583774A (zh) | 一种攻击流量检测的方法、装置、存储介质及电子设备 | |
| CN114124512B (zh) | 基于流量行为分析的微信小程序监管方法、系统和设备 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device | |
| CN110674219A (zh) | 基于区块链的物联网的环境空气检测数据上链方法及设备 | |
| CN112436969A (zh) | 一种物联网设备管理方法、系统、设备及介质 | |
| CN108075932B (zh) | 一种数据监控方法和装置 | |
| CN115189996B (zh) | 基于Serverless的车联网数据传输方法及装置、存储介质和终端 | |
| CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |