CN114422242A - 一种异常流量识别方法、客户端及服务器 - Google Patents

Abstract

本发明的实施例提供了一种异常流量识别方法、客户端及服务器，涉及数据安全领域，应用于局域网中的任一客户端设备，该方法包括：获取客户端设备的网络流量，并收集网络流量的网络连接信息；对网络流量进行解密，得到解密后的流量；将解密后的流量和网络连接信息发送至服务器，以使得服务器根据网络连接信息对解密后的流量进行分类，得到多类流量信息，并根据每类流量信息建立每类流量信息对应的流量模型；获取服务器下发的多个流量模型；采用多个流量模型，分别判断解密后的流量是否包含异常流量。采用该方法，可以提升异常流量识别速度的同时，增强异常流量识别的准确率。

Description

一种异常流量识别方法、客户端及服务器

技术领域

本发明涉及数据安全领域，具体而言，涉及一种异常流量识别方法、客户端及服务器。

背景技术

随着计算机技术和网络技术的快速发展，计算机以及网络的应用已经深入到了各行各业。在人们享受计算机以及网络技术带来的便捷的同时，也不得不面临各类木马、病毒、恶意软件的肆虐。

为了应对日益突出的网络安全问题现有技术提出了各种安全防御技术和方法，但是对攻击行为的预测、主动防御和扩展性方面还存在局限，无法及时识别出局域网内的异常流量。

发明内容

本发明实施例提供一种异常流量识别方法、客户端及服务器，可以提升异常流量识别速度的同时，增强异常流量识别的准确率。

第一方面，本发明实施例提供了一种异常流量识别方法，应用于局域网中的任一客户端设备，所述方法包括：

获取所述客户端设备的网络流量，并收集所述网络流量的网络连接信息；

对所述网络流量进行解密，得到解密后的流量；

将所述解密后的流量和所述网络连接信息发送至服务器，以使得所述服务器对所述网络连接信息进行分类，得到多类流量信息，并根据每类流量信息建立所述每类流量信息对应的流量模型；

获取所述服务器下发的多个流量模型；

采用所述多个流量模型，分别判断所述解密后的流量是否包含异常流量。

可选地，所述对所述网络流量进行解密，得到解密后的流量，包括：

拦截针对服务器的公钥查询请求，返回本端公钥；

采用与所述本端公钥对应的私钥，对所述网络流量进行解密，得到所述解密后的流量。

可选地，所述拦截针对服务器的公钥查询请求，返回本端公钥，包括：

采用预设的代理程序拦截应用程序发起的针对所述服务器的所述公钥查询请求；

所述采用与所述本端公钥对应的私钥，对所述网络流量进行解密，得到所述解密后的流量，包括：

由所述代理程序，采用与所述本端公钥对应的私钥，对所述网络流量进行解密，得到所述解密后的流量。

可选地，所述采用预设的代理程序拦截应用程序发起的针对所述服务器的所述公钥查询请求之前，所述方法还包括：

将所述代理程序的根证书注册至系统根证书列表中。

可选地，所述方法还包括：

采用所述代理程序获取所述应用程序产生的所述本端公钥对应的会话秘钥；

由所述代理程序根据所述本端公钥和所述会话秘钥，对所述解密后的流量进行加密后返回至所述服务器。

可选地，所述方法还包括：

若所述解密后的流量中包含异常流量，则向所述服务器发送所述异常流量的日志，以使得所述服务器基于所述异常流量的日志，对所述多个流量模型中对应流量模型进行更新。

第二方面，本发明实施例还提供一种异常流量识别方法，应用于局域网中的服务器，所述方法包括：

接收所述局域网中各客户端设备发送的所述各客户端设备解密后的流量以及对应的网络连接信息；所述解密后的流量为所述各客户端设备对获取到的网络流量进行解密得到的流量，所述网络连接信息为所述各客户端设备收集的所述网络流量的连接信息；

对所述网络连接信息进行分类，得到多类流量信息；

根据每类流量信息，建立所述每类流量信息对应的流量模型；

向所述各客户端设备返回多个流量模型，以使得所述各客户端设备采用所述多个流量模型分别判断所述解密后的流量是否包含异常流量。

可选地，所述多类流量信息包括：流量内容、横向流量信息、纵向流量信息；相应的，所述多类流量模型包括：流量内容模型、横向流量模型和纵向流量模型；其中，所述横向流量信息为所述局域网中各客户端设备之间的流量信息，所述纵向流量信息为所述局域网中客户端设备与外部互联网之间的流量信息；

所述根据每类流量信息，建立所述每类流量信息对应的流量模型，包括：

对所述流量内容进行机器学习，得到所述流量内容模型；

对所述横向流量信息进行机器学习，得到所述横向流量模型；

对所述纵向流量信息进行机器学习，得到所述纵向流量模型。

第三方面，本发明实施例还提供一种客户端设备，包括：第一接收器、第一处理器、第一发送器和第一总线，所述第一接收器、所述第一处理器、所述第一发送器通过所述第一总线连接：

所述第一接收器，用于获取所述客户端设备的网络流量，并收集所述网络流量的网络连接信息；

所述第一处理器，用于对所述网络流量进行解密，得到解密后的流量；

所述第一发送器，用于将所述解密后的流量和所述网络连接信息发送至服务器，以使得所述服务器对所述网络连接信息进行分类，得到多类流量信息，并根据每类流量信息建立所述每类流量信息对应的流量模型；

所述第一接收器，还用于获取所述服务器下发的多个流量模型；

所述第一处理器，还用于采用所述多个流量模型，分别判断所述解密后的流量是否包含异常流量。

第四方面，本发明实施例还提供一种服务器，包括：第二接收器、第二处理器、第二发送器和第二总线，所述第二接收器、所述第二处理器、所述第二发送器通过所述第二总线连接：

所述第二接收器，用于接收所述局域网中各客户端设备发送的所述各客户端设备的解密后的流量以及对应的网络连接信息；所述解密后的流量为所述各客户端设备对获取到的网络流量进行解密得到的流量，所述网络连接信息为所述各客户端设备收集的所述网络流量的连接信息；

所述第二处理器，用于对所述网络连接信息进行分类，得到多类流量信息；根据每类流量信息，建立所述每类流量信息对应的流量模型；

所述第二发送器，用于向所述各客户端设备返回多个流量模型，以使得所述各客户端设备采用所述多个流量模型分别判断所述解密后的流量是否包含异常流量。

与现有技术相比，本发明提供一种异常流量识别方法、客户端及服务器，通过对获取到的客户端设备的网络流量进行解密，得到解密后的流量，将解密后的流量和网络连接信息发送至服务器，服务器对网络连接信息和解密后的流量进行分类，得到不同种类的流量模型，通过流量模型判断解密后的流量中是否包含异常流量，这样无需配置复杂的检测策略直接对网络流量的解密和分析，缓解了网络流量分析导致的网络吞吐量下降的问题，也降低了操作人员的工作量；并且可以借助各类流量模型在判断各类不同的异常情况，避免同时设置多套防御系统增加识别难度，在增加异常流量的识别效率的同时保证了识别的准确性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单的介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明提供的一种异常流量识别方法的流程示意图；

图2为本发明提供的一种网络流量解密方法的流程示意图；

图3为本发明提供的另一种网络流量解密方法的流程示意图；

图4为本发明提供的另一种网络流量解密方法的流程示意图；

图5为本发明提供的另一种异常流量识别方法的流程示意图；

图6为本发明提供的一种建立流量模型的流程示意图；

图7为本发明提供的一种异常流量识别装置的示意图；

图8为本发明提供的另一种异常流量识别装置的示意图；

图9为本发明提供的一种客户端设备的示意图；

图10为本发明提供的一种服务器的示意图。

图标：1000，第一接收模块；2000，第一处理模块；3000，第一发送模块；4000，第二接收模块；5000，第二处理模块；6000，第二发送模块；10，客户端设备；11，第一接收器；12，第一处理器；13，第一发送器；14，第一总线；20，服务器；21，第二接收器；22，第二处理器；23，第二发送器；24，第二总线。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在对本发明进行详细地解释之前，先对本发明的应用场景予以介绍。

在信息社会，计算机网络的重要性是显而易见的。越来越多的信息和重要的数据资源的存储和传输依赖于网络。网络上承载的信息越来越重要，但是由于计算机网络的开放性，在网络环境中的不安全行为和数据泄露风险越来越多。部分恶意程序可以通过网络下载广告和木马程序并在局域网内安装和传播。广告和木马程序会不断弹出广告来影响正常办公，并且有被远程控制和数据被窃取的风险。

但是传统对于网络安全的防护措施例如部署防火墙、部署网络防泄漏系统都存在一定的缺陷。防火墙技术通过限制网络连接来达到遏制攻击的目的，但是很难发现解决应用级的安全问题。并且防火墙配置困难，以及方向规则很容易被反向连接欺骗，从而绕过防火墙；网络防泄漏系统依赖复杂的流量的特征及识别的正则策略，过多的策略配置会导致流量分析消耗大量的时间，降低网络吞吐度。并且网络防泄漏系统无法识别网络攻击特征，无法发现局域网内的横向扩展攻击。

基于此，本发明提供一种异常流量识别方法、客户端及服务器，通过对网络流量信息进行解密，并结合网络连接信息进行流量分类，根据不同类的流量信息构成的不同流量模型判断解密后的流量信息中是否包含异常流量，使得异常流量的判定更为快速且全面。本发明下述实施例提供的异常流量识别方法可由客户端设备执行，也可由服务器执行，该客户端设备可为移动通信设备或台式计算机设备，该服务器可由移动通信设备或台式计算机设备搭建，本发明对此不做限制。

如下结合附图通过多个实施例进行解释说明。图1为本发明提供的一种异常流量识别方法的流程示意图。如图1所示，一种异常流量识别方法，应用于局域网中的任一客户端设备，包括：

S101，获取客户端设备的网络流量，并收集网络流量的网络连接信息。

网络流量的采集是异常流量检测与分析的基础。获取客户端设备的网络流量，并收集网络流量的网络连接信息之前可以先搭建WFP(Windows Filtering Platform，Windows过滤平台)实现网络数据的采集和过滤。

WFP是一套系统API(Application Programming Interface，应用程序接口)和服务，这套API和服务为网络流量过滤提供架构支撑，开发者可以在WFP框架已划分的不同分层中进行过滤、重定向、修改网络流量。WFP架构的引擎大致被分为应用层过滤模块和内核层的过滤模块。应用层的过滤模块向上提供可被调用的API和RPC(Remote ProcedureCall，远程过程调用)接口，使用户可以使用这些接口与用户态的过滤模块交互，以此来达到控制网络数据的目的。

具体通过加载WFP网络数据采集程序与应用层程序，开始捕获网络流量，将捕获的网络流量暂时存储至内核层的空间，应用层不断获取内核态存储的网络流量，同时释放从内核以获取网络流量的存储空间，并且把网络流量和具体的进程关联起来，通过这样的方式以达到收集网络流量和网络连接信息的目的。

获取到内核的网络流量和网络连接信息为原始信息，在应用层将网络流量和网络连接信息发送到网络驱动之前需要对原始信息进行过滤和转发。可以通过内核层的过滤模块的分类API把这些不同的原始信息传递给相应的分层中。

其中，内核层的过滤模块是引擎的主体，在其内部包含了多个分层，每一个分层都表示了特定的网络协议层。在每一个分层中存在子层和过滤器。内核层中的过滤引擎中还有一个重要的数据结构就是过滤器。用户可以向WFP框架添加自己的过滤器。过滤器中设置了网络流的过滤规则和处理动作。当过滤引擎工作时，内核层的模块将会验证网络数据对于存在的过滤器是否发生了规则的匹配，如果匹配了规则就会执行相应的动作。在实际的开发过程中，一个分层可以包含一个或多个过滤器和子层，这些子层和过滤器各自都可配置独立的规则和动作。

具体地，使用自定义函数对WFP进行设置，包括：(1)使用FwpmEngineOpen打开WFP过滤引擎；(2)使用FwpmSubLayerAdd注册过滤的子层；(3)使用FwpsCalloutRegister注册回调函数，回调函数用于执行分类和转发逻辑；(4)使用FwpmFilterAdd将(2)的子层作为过滤层插入到系统的分层中，对系统分层进行过滤。

其中，步骤(2)注册的过滤子层和具体说明如下表所示，下表为WFP注册的各过滤层与执行动作之间的对应表。

表1 WFP注册的各过滤层与执行动作之间的对应表

表1(续表)

通过注册各过滤子层，并且在WFP框架中添加过滤器，在过滤器中设置每个子层的处理动作，同时，每个过滤器都可以关联一个呼出接口，当有数据到来时，用户可以在呼出接口之中去进一步的检测网络流量。

利用WFP框架在Windows操作系统上获取客户端设备的网络流量，并收集网络流量的网络连接信息。即，利用WFP获取与具体网络活动相关的UDP(User Data Protocol，用户数据报协议)、TCP(Transmission Control Protocol，传输控制协议)流数据，进一步把这些网络流量数据和网络连接信息经过筛选和整理，交给服务器进行分析。其中，网络连接信息包括流量的源IP(Internet Protocol，网际互连协议)、目的IP、源端口、目的端口、协议、内容ID、用户ID、应用程序ID等信息。

S102，对网络流量进行解密，得到解密后的流量。

为了保护网路流量传输的安全，互联网通常使用基于SSL(Secure SocketsLayer，安全套接层)的HTTPS(Hyper Text Transfer Protocol over SecureSocketLayer，超文本传输安全协议)进行网络流量数据的加密传输。因此，在对网络流量进行分析之前，需要对网络流量进行解密，得到解密后的网络流量，再发送至服务器。

S103，将解密后的流量和网络连接信息发送至服务器，以使得服务器对网络连接信息进行分类，得到多类流量信息，并根据每类流量信息建立每类流量信息对应的流量模型。

在对网络流量进行解密后，客户端将解密后的流量和网络连接信息发送至服务器，服务器会先将网络连接信息分为横向连接信息和纵向连接信息，则会得到横向连接信息、纵向连接信息、解密后的网络流量内容信息这三类流量信息，并根据每类流量信息建立每类流量信息对应的流量模型。

在本实施例中，客户端在将本次解密后的流量和网络连接信息发送至服务器，以使得服务器对网络连接信息进行分类，得到多类流量信息，并根据每类流量信息建立每类流量信息对应的流量模型以外，客户端还会对预设的合法流量内容进行解密，将对应的预设的合法的网络连接信息和解密后的合法流量发送至服务器，服务器会对预设的合法的网络连接信息进行分类，得到合法的横向连接信息、合法的纵向连接信息，并根据合法的横向连接信息、合法的纵向连接信息、合法的流量内容建立对应的合法横向流量模型、合法纵向流量模型、合法流量内容模型。

具体地，服务器使用根据K-means算法分别对流量内容、横向连接信息、纵向连接信息进行自相似性分析；K-means算法是一种无监督学习算法，用于机器学习中，对网络流量和网络连接信息进行聚类，通过分别计算网络流量集和网络连接信息中集中各数据点之间的距离(自相似性)，让距离近的数据点聚焦在一个聚类里，最后形成K个聚类。K-means聚类的目标，是将N个网络流量信息和网络连接信息按照一定标准划分到K个聚类中，数据点根据相似度划分。每一个聚类有一个质心，质心是对聚类中所有数据点的位置求平均值得到的点。每个数据点属于距离它最近的质心所代表的簇，对网络流量集和网络连接信息通过K-means算法聚类得到的不同聚类模型，即为每类流量信息对应的流量模型。

S104，获取服务器下发的多个流量模型。

当服务器建立好多个流量模型，需发送至客户端设备，客户端设备获取服务器下发的多个流量模型。具体地，客户端会获取上述步骤中服务器下发的已建立的合法横向流量模型、合法纵向流量模型、合法流量内容模型和依据本次解密后的流量建立的横向流量模型、纵向流量模型、流量内容模型。

S105，采用多个流量模型，分别判断解密后的流量是否包含异常流量。

在本实施例中，服务器会依据合法的横向流量模型、合法的纵向流量模型、合法的流量内容模型与本次解密后的流量建立的横向流量模型、纵向流量模型、流量内容模型之间的质心来判断解密后的流量是否包含异常流量。具体地，如果本次解密后的流量建立的模型的质心和合法流量模型的质心之间距离变化小于预设的阈值，则认为解密后的流量不包含异常流量；如果本次解密后的流量建立的模型的质心和合法流量模型的质心之间距离超出预设的阈值，则认为解密后的流量包含异常流量。

在一种可能的实现方式中，如果某个IP的横向流量模型异常于合法的横向流量模型，则可以认为该IP可能存在对局域网内电脑进行很强渗透攻击，需要阻止该IP的横向攻击；如某个IP的纵向流量模型异常于合法的纵向流量模型，则可以认为该IP存在被外部计算机攻击的可能性，需要阻断外部IP或者域名，从而保护该电脑不被攻击；如某个IP的流量内容模型异常于合法的流量内容模型，则可以认为该IP可能存在泄露机密数据的可能，需要对阻断此处流量。

本实施例通过对获取到的客户端设备的网络流量进行解密，得到解密后的流量，将解密后的流量和网络连接信息发送至服务器，服务器对网络连接信息和解密后的流量进行分类，得到不同种类的流量模型，通过流量模型判断解密后的流量中是否包含异常流量，这样无需配置复杂的检测策略直接对网络流量的解密和分析，缓解了网络流量分析导致的网络吞吐量下降的问题，也降低了操作人员的工作量；并且可以借助各类流量模型在判断各类不同的异常情况，避免同时设置多套防御系统增加识别难度，在增加异常流量的识别效率的同时保证了识别的准确性。

在上述图1提供的一种异常流量识别方法的基础上，为了解释说明对网络流量进行解密，本发明还通过了一种网络流量解密方法的流程示意图。图2为本发明提供的一种网络流量解密方法的流程示意图。如图2所示，上述方法中S102，对网络流量进行解密，得到解密后的流量，包括：

S201，拦截针对服务器的公钥查询请求，返回本端公钥。

S202，采用与本端公钥对应的私钥，对网络流量进行解密，得到解密后的流量。

在SSL建立的过程采用非对称密钥机制。非对称密钥机制有两个不同的密钥：公钥和私钥，将加密功能和解密功能分开，其中公钥对外公开，不需要保密，私钥需要秘密保存。非对称密钥加密算法必须具有的特征是给定公钥，并且确定私钥不可由公钥推算获得。在本实施例中，为了解密服务器在与本端连接之外的连接中的网络流量，需要在当非本端的客户端与服务器发出公钥查询请求时进行拦截，并且给非本端的客户端返回本端公钥；则当非本端的使用本端公钥再次发出请求时，本端就可采用与本端公钥对应的私钥，对请求的网络流量进行解密，得到解密之后的流量。

在本实施例中，通过对非对称密钥加密体制的解密，使得本端获取到解密后的网络流量用于分析。

在上述图2提供的一种网络流量解密方法的基础上，本发明还通过了另一种网络流量解密方法的流程示意图。图3为本发明提供的另一种网络流量解密方法的流程示意图。如图3所示，上述方法中S201，响应针对服务器的公钥查询请求，获取本端公钥，包括：

S310，采用预设的代理程序拦截应用程序发起的针对服务器的公钥查询请求。

上述方法中S202，采用与本端公钥对应的私钥，对网络流量进行解密，得到解密后的流量，包括：

S320，由代理程序，采用与本端公钥对应的私钥，对网络流量进行解密，得到解密后的流量。

具体地，可以使用预设的代理程序代理本端，当与服务器连接的非本端的客户端为应用程序时，对于应用程序来说，它是服务器，在服务器看来，它是一个客户端。采用预设的代理程序拦截应用程序发起的针对服务器的公钥查询请求，并向应用程序返回本端公钥。则当非本端的使用本端公钥再次发出请求时，代理程序就可采用与本端公钥对应的私钥，对请求的网络流量进行解密，得到解密之后的流量。

在本实施例中，通过代理服务器充当应用程序与服务器的中间人，在传达数据的同时可以监控、分析应用程序与服务器之间的数据，达到对网络流量的解密。

在上述图3提供的另一种网络流量解密方法的基础上，如图3所示，上述方法中S310，采用预设的代理程序拦截应用程序发起的针对服务器的公钥查询请求之前，包括：

S301，将代理程序的根证书注册至系统根证书列表中。

为了防止上述解密动作被应用程序警告阻拦，需要事先将代理程序的根证书注册至应用程序所在系统根证书列表中。

具体地，首先生成根证书的私钥对，再生成根证书，将该证书导入到受信任的根证书颁发机构列表里面。

在一种可能的实现方式中，可以使用开放源代码的软件库包基于下述步骤完成对根证书的注册：(1)使用RSA_generate_key创建RSA私钥，使用EVP_PKEY_assign_RSA将生成的RSA私钥跟EVP_PKEY结构体绑定；(2)使用X509_new创建一个X509内存证书：(3)填充X509证书，包括使用X509_set_pubkey将(1)中的EVP_PKEY结构体里的RSA公钥写入到X509证书，使用X509_set_version设置X509证书的版本号，使用X509_get_serialNumber设置X509证书的序列号，使用X509_gmtime_adj设置X509证书的有效时间，使用X509_set_issuer_name设置颁发者，使用X509_set_subject_name设置跟颁发者相同的使用者；(4)使用X509_sign对上述X509证书进行签名。

在注册完成后，使用CertOpenStore打开应用程序所在系统的证书存储控件，使用CertAddEncodedCertificateToStore将上述生成的X509证书导入到受信任的根证书颁发机构列表里面。

在本实施例中，通过将代理进程的根证书注册至系统根证书列表中，保证应用程序的合法性，避免解密动作被应用程序系统进行警告。

在上述图3提供的另一种网络流量解密方法的基础上，本发明还通过了一种网络流量解密方法。图4为本发明提供的另一种网络流量解密方法的流程示意图。如图4所示，上述方法包括：

S401，采用代理程序获取应用程序产生的本端公钥对应的会话秘钥。

在采用预设的代理程序拦截应用程序发起的针对服务器的公钥查询请求之后，代理程序向应用程序返回本端的公钥，则应用程序在建立与服务器的会话时，会采用基于本端公钥加密的会话密钥，则采用代理程序在中拦截获取应用程序产生的本端公钥对应的会话秘钥。

S402，由代理程序根据本端公钥和会话秘钥，对解密后的流量进行加密后返回至服务器。

在本实施例中，代理程序还会在拦截公钥查询请求之后，向服务器发送正式请求，以获得服务器的公钥并缓存至代理程序中。

在代理程序获取到本端公钥对应的会话密钥之后，可以使用本端公钥对应的私钥对会话密钥进行解密，获取到解密后的流量，可以使用代理程序中缓存的服务器的公钥对解密后的流量进行加密，再返回至服务器，以达到完成应用程序的请求，解密动作不被感知。

在本实施例中，代理程序通过替换公钥的方式让解密动作更为隐蔽，在不被感知的情况下获得解密后的流量。

在上述实施例的基础上，方法还包括：

S501，若解密后的流量中包含异常流量，则向服务器发送异常流量的日志，以使得服务器基于异常流量的日志，对多个流量模型中对应流量模型进行更新。

采用多个流量模型，判断解密后的流量是否包含异常流量之后，若解密后的流量中包含异常流量，则客户端向服务器发送异常流量的日志，以使得服务器基于异常流量的日志，对多个流量模型中对应流量模型进行更新。具体地，基于异常流量的日志内容，对多个流量模型的更新依赖于客户端预先收集到的合法的流量内容以及合法的流量连接信息，具体更新过程与初次形成流量建模过程一致。

在一种可能的实现方式中，可使用代理程序对异常地网络连接信息和流量内容进行阻断。当存在异常网络连接信息和时，可以使代理程序通知WFP过滤驱动对WFP引擎返回FWP_ACTION_BLOCK，从而阻断此次连接。

在又一种可能的实现方式中，服务器中还包括黑名单。该黑名单基于历次异常流量日志构成，包括源IP、目的IP、源端口、目的端口。服务器可以把该黑名单发送至客户端，以使得客户端根据黑名单直接阻断部分异常流量和异常连接内容。

在本实施例中，通过基于异常流量的日志对多个流量模型中对应流量模型进行更新，以达到对异常流量的识别更为准确，防止网络攻击。

图5为本发明提供的另一种异常流量识别方法的流程示意图。如图5所示，一种异常流量识别方法，应用于局域网中的服务器，包括：

S610，接收局域网中各客户端设备发送的各客户端设备解密后的流量以及对应的网络连接信息。

当客户端收集到网络流量以及网络连接信息，并对网络流量进行解密后，则将解密后的流量发送至服务器进行分析。则服务器接收局域网中各客户端设备发送的各客户端设备解密后的流量以及对应的网络连接信息。

S620，对所述网络连接信息进行分类，得到多类流量信息。

服务器会先将网络连接信息分为横向连接信息和纵向连接信息，则会得到横向连接信息、纵向连接信息、解密后的网络流量内容信息这三类流量信息。

S630，根据每类流量信息，建立每类流量信息对应的流量模型。

服务器得到多类流量信息，并根据每类流量信息建立每类流量信息对应的流量模型，即建立横向流量模型、纵向流量模型、流量内容模型。

S640，向各客户端设备返回多个流量模型，以使得各客户端设备采用多个流量模型分别判断解密后的流量是否包含异常流量。

服务器通过Websocket(全双工通信的协议)向各客户端设备返回多个流量模型，以使得各客户端设备采用多个流量模型分别判断解密后的流量是否包含异常流量。

在本实施例中，服务器通过对网络连接信息进行分类，并且对网络流量内容和分类后的网络连接信息进行建模，将建模后的模型发送至客户端便于客户端判断当前网络流量内容和分类后的网络连接信息是否存在异常流量，提升异常流量的检出效率，保障网络安全。

在上述图5提供的另一种网络流量解密方法的基础上，本发明还通过一种建立流量模型的方法。图6为本发明提供的一种建立流量模型的流程示意图。如图6所示，上述方法包括：

S631，对流量内容进行机器学习，得到流量内容模型。

S632，对横向流量信息进行机器学习，得到横向流量模型。

S633，对纵向流量信息进行机器学习，得到纵向流量模型。

其中，多类流量信息包括：流量内容、横向流量信息、纵向流量信息；相应的，多类流量模型包括：流量内容模型、横向流量模型和纵向流量模型；其中，横向流量信息为局域网中各客户端设备之间的流量信息，纵向流量信息为局域网中客户端设备与外部互联网之间的流量信息。

在本实施例中，运用K-means算法进行机器学习，具体地，服务器使用根据K-means算法分别对流量内容、横向连接信息、纵向连接信息进行自相似性分析；K-means算法是一种无监督学习算法，用于机器学习中，对网络流量和网络连接信息进行聚类，通过分别计算网络流量集和网络连接信息中集中各数据点之间的距离(自相似性)，让距离近的数据点聚焦在一个聚类里，最后形成K个聚类。K-means聚类的目标，是将N个网络流量信息和网络连接信息按照一定标准划分到K个聚类中，数据点根据相似度划分。每一个聚类有一个质心，质心是对聚类中所有数据点的位置求平均值得到的点。每个数据点属于距离它最近的质心所代表的簇，对网络流量集和网络连接信息通过K-means算法聚类得到的不同聚类模型，即为每类流量信息对应的流量模型，即对流量内容进行基于K-means算法的机器学习得到流量内容模型；对横向流量信息进行基于K-means算法的机器学习，得到横向流量模型；对纵向流量信息进行基于K-means算法的机器学习，得到纵向流量模型。

在本实施例中，通过采用机器学习的构建流量模型，以达到对异常流量的判断可以不断通过机器学习进行改进，提升异常流量识别的效率。

图7为本发明提供的一种异常流量识别装置的示意图，如图7所示，该异常流量识别装置，应用于局域网中的任一客户端设备，包括：

第一接收模块1000，用于获取客户端设备的网络流量，并收集网络流量的网络连接信息；

第一处理模块2000，用于对网络流量进行解密，得到解密后的流量；

第一发送模块3000，用于将解密后的流量和网络连接信息发送至服务器，以使得服务器对所述网络连接信息进行分类，得到多类流量信息，并根据每类流量信息建立每类流量信息对应的流量模型；

第一接收模块1000，还用于获取服务器下发的多个流量模型；

第一处理模块2000，还用于采用多个流量模型，分别判断解密后的流量是否包含异常流量。

可选地，第一处理模块2000，具体还用于拦截针对服务器的公钥查询请求，返回本端公钥；采用与本端公钥对应的私钥，对网络流量进行解密，得到解密后的流量。

可选地，第一处理模块2000，具体还用于采用预设的代理程序拦截应用程序发起的针对服务器的公钥查询请求；采用与本端公钥对应的私钥，对网络流量进行解密，得到解密后的流量，包括：由代理程序，采用与本端公钥对应的私钥，对网络流量进行解密，得到解密后的流量。

可选地，第一处理模块2000，具体还用于将代理进程的根证书注册至系统根证书列表中。

可选地，第一处理模块2000，具体还用于采用代理程序获取应用程序产生的本端公钥对应的会话秘钥；由代理程序根据本端公钥和会话秘钥，对解密后的流量进行加密后返回至解密后的流量。

可选地，第一发送模块3000，具体还用于若解密后的流量中包含异常流量，则向服务器发送异常流量的日志，以使得服务器基于异常流量的日志，对多个流量模型中对应流量模型进行更新。

图8为本发明提供的另一种异常流量识别装置的示意图，如图8所示，该异常流量识别装置，应用于局域网中的服务器，包括：

第二接收模块4000，用于接收局域网中各客户端设备发送的各客户端设备的解密后的流量以及对应的网络连接信息；解密后的流量为各客户端设备对获取到的网络流量进行解密得到的流量，网络连接信息为各客户端设备收集的网络流量的连接信息；

第二处理模块5000，用于对所述网络连接信息进行分类；根据每类流量信息，建立每类流量信息对应的流量模型；

第二发送模块6000，用于向各客户端设备返回多个流量模型，以使得各客户端设备采用多个流量模型分别判断解密后的流量是否包含异常流量。

可选地，第二处理模块5000，具体还用于对流量内容进行机器学习，得到流量内容模型；对横向流量信息进行机器学习，得到横向流量模型；对纵向流量信息进行机器学习，得到纵向流量模型。

以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个数字信号处理器(Digital Singnal Processor，简称DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(Central Processing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(System-on-a-Chip，简称SOC)的形式实现。

图9为本发明提供的一种客户端设备的示意图，该客户端设备可以是具备计算处理功能的计算设备或服务器。

该客户端设备10包括：第一接收器11、第一处理器12、第一发送器13和第一总线14，第一接收器11、第一处理器12、第一发送器13通过第一总线14连接；

第一接收器11，用于获取客户端设备的网络流量，并收集网络流量的网络连接信息；

第一处理器12，用于对网络流量进行解密，得到解密后的流量；

第一发送器13，用于将解密后的流量和网络连接信息发送至服务器，以使得服务器对所述网络连接信息进行分类，得到多类流量信息，并根据每类流量信息建立每类流量信息对应的流量模型。

第一接收器11，还用于获取服务器下发的多个流量模型；

第一处理器12，还用于采用多个流量模型，分别判断解密后的流量是否包含异常流量。

可选地，第一处理器12，具体还用于拦截针对服务器的公钥查询请求，返回本端公钥；采用与本端公钥对应的私钥，对网络流量进行解密，得到解密后的流量。

可选地，第一处理器12，具体还用于采用预设的代理程序拦截应用程序发起的针对服务器的公钥查询请求；采用与本端公钥对应的私钥，对网络流量进行解密，得到解密后的流量，包括：由代理程序，采用与本端公钥对应的私钥，对网络流量进行解密，得到解密后的流量。

可选地，第一处理器12，具体还用于将代理进程的根证书注册至系统根证书列表中。

可选地，第一处理器12，具体还用于采用代理程序获取应用程序产生的本端公钥对应的会话秘钥；由代理程序根据本端公钥和会话秘钥，对解密后的流量进行加密后返回至解密后的流量。

可选地，第一发送器13，具体还用于若解密后的流量中包含异常流量，则向服务器发送异常流量的日志，以使得服务器基于异常流量的日志，对多个流量模型中对应流量模型进行更新。

在一种可能的实现方式中，上述客户端设备10还包括第一存储介质，第一存储介质上存储有第一处理器12可执行的程序指令，当客户端设备10运行时，第一处理器12执行该程序指令，以实现上述实施例。

图10为本发明提供的一种服务器的示意图，该服务器可以是具备计算处理功能的计算设备或服务器。

该服务器20包括：第二接收器21、第二处理器22、第二发送器23和第二总线24，第二接收器21、第二处理器22、第二发送器23通过第二总线24连接；

第二接收器21，用于接收局域网中各客户端设备发送的各客户端设备的解密后的流量以及对应的网络连接信息；解密后的流量为各客户端设备对获取到的网络流量进行解密得到的流量，网络连接信息为各客户端设备收集的网络流量的连接信息；

第二处理器22，用于对所述网络连接信息进行分类，得到多类流量信息；根据每类流量信息，建立每类流量信息对应的流量模型；

第二发送器23，用于向各客户端设备返回多个流量模型，以使得各客户端设备采用多个流量模型分别判断解密后的流量是否包含异常流量。

可选地，第二处理器22，具体还用于对流量内容进行机器学习，得到流量内容模型；对横向流量信息进行机器学习，得到横向流量模型；对纵向流量信息进行机器学习，得到纵向流量模型。

在一种可能的实现方式中，上述服务器20还包括第二存储介质，第二存储介质上存储有第二处理器22可执行的程序指令，当服务器20运行时，第二处理器22执行该程序指令，以实现上述实施例。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(英文：Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文：Read-Only Memory，简称：ROM)、随机存取存储器(英文：Random Access Memory，简称：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种异常流量识别方法，其特征在于，应用于局域网中的任一客户端设备，所述方法包括：

获取所述客户端设备的网络流量，并收集所述网络流量的网络连接信息；

对所述网络流量进行解密，得到解密后的流量；

将所述解密后的流量和所述网络连接信息发送至服务器，以使得所述服务器对所述网络连接信息进行分类，得到多类流量信息，并根据每类流量信息建立所述每类流量信息对应的流量模型；

获取所述服务器下发的多个流量模型；

采用所述多个流量模型，分别判断所述解密后的流量是否包含异常流量。

2.根据权利要求1所述的方法，其特征在于，所述对所述网络流量进行解密，得到解密后的流量，包括：

拦截针对服务器的公钥查询请求，返回本端公钥；

采用与所述本端公钥对应的私钥，对所述网络流量进行解密，得到所述解密后的流量。

3.根据权利要求2所述的方法，其特征在于，所述拦截针对服务器的公钥查询请求，返回本端公钥，包括：

采用预设的代理程序拦截应用程序发起的针对所述服务器的所述公钥查询请求；

所述采用与所述本端公钥对应的私钥，对所述网络流量进行解密，得到所述解密后的流量，包括：

由所述代理程序，采用与所述本端公钥对应的私钥，对所述网络流量进行解密，得到所述解密后的流量。

4.根据权利要求3所述的方法，其特征在于，所述采用预设的代理程序拦截应用程序发起的针对所述服务器的所述公钥查询请求之前，所述方法还包括：

将所述代理程序的根证书注册至系统根证书列表中。

5.根据权利要求3所述的方法，其特征在于，所述方法还包括：

采用所述代理程序获取所述应用程序产生的所述本端公钥对应的会话秘钥；

由所述代理程序根据所述本端公钥和所述会话秘钥，对所述解密后的流量进行加密后返回至所述服务器。

6.根据权利要求1-5中任一所述的方法，其特征在于，所述方法还包括：

若所述解密后的流量中包含异常流量，则向所述服务器发送所述异常流量的日志，以使得所述服务器基于所述异常流量的日志，对所述多个流量模型中对应流量模型进行更新。

7.一种异常流量识别方法，其特征在于，应用于局域网中的服务器，所述方法包括：

接收所述局域网中各客户端设备发送的所述各客户端设备解密后的流量以及对应的网络连接信息；所述解密后的流量为所述各客户端设备对获取到的网络流量进行解密得到的流量，所述网络连接信息为所述各客户端设备收集的所述网络流量的连接信息；

对所述网络连接信息进行分类，得到多类流量信息；

根据每类流量信息，建立所述每类流量信息对应的流量模型；

向所述各客户端设备返回多个流量模型，以使得所述各客户端设备采用所述多个流量模型分别判断所述解密后的流量是否包含异常流量。

8.根据权利要求7所述的方法，其特征在于，所述多类流量信息包括：流量内容、横向流量信息、纵向流量信息；相应的，所述多类流量模型包括：流量内容模型、横向流量模型和纵向流量模型；其中，所述横向流量信息为所述局域网中各客户端设备之间的流量信息，所述纵向流量信息为所述局域网中客户端设备与外部互联网之间的流量信息；

所述根据每类流量信息，建立所述每类流量信息对应的流量模型，包括：

对所述流量内容进行机器学习，得到所述流量内容模型；

对所述横向流量信息进行机器学习，得到所述横向流量模型；

对所述纵向流量信息进行机器学习，得到所述纵向流量模型。

9.一种客户端设备，其特征在于，包括：第一接收器、第一处理器、第一发送器和第一总线，所述第一接收器、所述第一处理器、所述第一发送器通过所述第一总线连接：

所述第一接收器，用于获取所述客户端设备的网络流量，并收集所述网络流量的网络连接信息；

所述第一处理器，用于对所述网络流量进行解密，得到解密后的流量；

所述第一发送器，用于将所述解密后的流量和所述网络连接信息发送至服务器，以使得所述服务器对所述网络连接信息进行分类，得到多类流量信息，并根据每类流量信息建立所述每类流量信息对应的流量模型；

所述第一接收器，还用于获取所述服务器下发的多个流量模型；

所述第一处理器，还用于采用所述多个流量模型，分别判断所述解密后的流量是否包含异常流量。

10.一种服务器，其特征在于，包括：第二接收器、第二处理器、第二发送器和第二总线，所述第二接收器、所述第二处理器、所述第二发送器通过所述第二总线连接：

所述第二接收器，用于接收局域网中各客户端设备发送的所述各客户端设备的解密后的流量以及对应的网络连接信息；所述解密后的流量为所述各客户端设备对获取到的网络流量进行解密得到的流量，所述网络连接信息为所述各客户端设备收集的所述网络流量的连接信息；

所述第二处理器，用于对所述网络连接信息进行分类，得到多类流量信息；根据每类流量信息，建立所述每类流量信息对应的流量模型；

所述第二发送器，用于向所述各客户端设备返回多个流量模型，以使得所述各客户端设备采用所述多个流量模型分别判断所述解密后的流量是否包含异常流量。

Images