CN115085992B - 一种恶意https隐秘通道的检测系统及其检测方法 - Google Patents

一种恶意https隐秘通道的检测系统及其检测方法 Download PDF

Info

Publication number
CN115085992B
CN115085992B CN202210649186.8A CN202210649186A CN115085992B CN 115085992 B CN115085992 B CN 115085992B CN 202210649186 A CN202210649186 A CN 202210649186A CN 115085992 B CN115085992 B CN 115085992B
Authority
CN
China
Prior art keywords
fingerprint
information
https
detection
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210649186.8A
Other languages
English (en)
Other versions
CN115085992A (zh
Inventor
陈亘
刘敦辉
黄质
徐飞
罗元沙
赵宇
余乐临
刘洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING LEADSEC TECHNOLOGY CO LTD
Beijing Venustech Cybervision Co ltd
Original Assignee
BEIJING LEADSEC TECHNOLOGY CO LTD
Beijing Venustech Cybervision Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING LEADSEC TECHNOLOGY CO LTD, Beijing Venustech Cybervision Co ltd filed Critical BEIJING LEADSEC TECHNOLOGY CO LTD
Priority to CN202210649186.8A priority Critical patent/CN115085992B/zh
Publication of CN115085992A publication Critical patent/CN115085992A/zh
Application granted granted Critical
Publication of CN115085992B publication Critical patent/CN115085992B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种恶意HTTPS隐秘通道的检测系统及其检测方法,包括流量模块、HTTPS模块和安全检测模块;所述流量模块存储有流量信息,所述流量信息包括会话信息和历史流量信息;所述HTTPS模块能够根据获得的流量信息得到HTTPS隐蔽通道信息;所述HTTPS隐蔽通道信息包括HTTPS元数据、SSL元数据和SNI元数据;所述安全检测模块包括心跳检测模块、证书检测模块、指纹检测模块和SNI检测模块,根据安全检测模块获得的心跳异常五元组、证书异常五元组、指纹异常五元组和SNI异常五元组的信息,综合判断是否为恶意HTTPS隐秘通道。本申请提高了网络安全性,能够对恶意HTTPS隐秘通道进行及时报警。

Description

一种恶意HTTPS隐秘通道的检测系统及其检测方法
技术领域
本申请涉及网络安全领域,尤其是指一种恶意HTTPS隐秘通道的检测系统及其检测方法。
背景技术
NTA作为网络安全领域的重要安全检测技术之一,是通过网络行为分析发现隐藏在加密流量、隧道封装中的威胁信息,发掘长期潜伏黑客组织的一种重要手段。对于已经失陷的内网主机,通常需要和外部C&C服务器建立定期的联系,接收控制指令。攻击者为了躲避各类安全设备的检测会对交互的流量进行加密,使得传统的检测设备无法从内容上甄别这种异常行为。因此,急需一种检测方法解决传统特征检测针对HTTPS隐蔽隧道检测失效的问题。
发明内容
为解决上述问题,本申请提供一种恶意HTTPS隐秘通道的检测系统,包括包括流量模块、HTTPS模块和安全检测模块;
其中,所述流量模块存储有流量信息,所述流量信息包括会话信息和历史流量信息;所述HTTPS模块能够根据获得的流量信息得到HTTPS隐蔽通道信息;所述HTTPS隐蔽通道信息包括HTTPS元数据、SSL元数据和SNI元数据;所述安全检测模块包括心跳检测模块、证书检测模块、指纹检测模块和SNI检测模块。
本申请还提供一种如上所述的恶意HTTPS隐秘通道的检测系统的检测方法,步骤包括:
S10,记录网络中所有流量,以流为对象提取会话信息,当在会话信息中检测到HTTPS隐秘通道时,转入步骤S20;
S20,获得HTTPS隐秘通道的HTTPS元数据信息,其中,HTTPS元数据信息包括客户端JA3指纹、服务器端JA3S指纹、SNI信息和证书信息;
S30,对HTTPS隐秘通道的会话进行心跳检测,通过心跳检测算法判断是否存在异常心跳;当判断为是时,提取出对应流量的五元组信息,记录为心跳异常五元组;
S40,对HTTPS隐秘通道传输的证书进行检测,判断是否存在异常证书;当判断为是时,提取出对应流量的五元组信息,记录为证书异常五元组;
S50,对HTTPS隐秘通道会话的客户端JA3指纹和服务器端JA3S指纹结合后进行指纹检测,判断是否为存在异常指纹,当判断为是时,提取对应的流量的五元组信息,记录为指纹异常五元组;
S60,对HTTPS隐秘通道的SNI元数据进行域名检测,判断是否存在异常域名,当判断为是时,提取出对应的流量的五元组信息,记录为SNI异常五元组;
S70,根据获得的心跳异常五元组、证书异常五元组、指纹异常五元组和SNI异常五元组的信息,综合判断是否为恶意HTTPS隐秘通道。
其中,优选的,HTTPS心跳检测的方法包括:
S31,将会话信息中的五元组进行归并,建立源IP+目的IP+目的端口的三元组对象;
S32,按预定条件将三元组对象设置为N个分组,将符合预定条件的会话信息存储在对应的分组中;
S33,记录满足此分组条件的首条会话的时间戳信息;
S34,定期遍历每个分组的首条会话的时间,如果分组存在的时间超过设定的时间阈值,则对此分组进行心跳检测;
S35,记录分组中每次网络请求的时间间隔与数据传输大小,建立心跳检测模型,得到心跳检测的结果。
其中,优选的,在步骤S50中,指纹检测的步骤为:
S511,将SSL元数据中的客户端JA3指纹和服务器端JA3S指纹拼接生成JA3+JA3S指纹,获得预设时间段T内一类JA3+JA3S指纹的个数U1
S512,获得预设时间段T的流量中共检测到指纹个数U0,得到预设时间段T内该类JA3+JA3S指纹的分布概率P1=U1/U0
设定稀有度阈值为P0
当P1≤P0时,判断该类JA3+JA3S指纹的全局稀有度检测正常,判断指纹正常;
当P1>P0时,判断该类JA3+JA3S指纹的全局稀有度检测异常,转入步骤S513;
S513,在预设时间段T中获得m个不同时间长度的滑动窗口,设置其中第i滑动窗口的时间长度为ti,设置ti时间长度的流量中共有指纹U2个,其中包含该类JA3+JA3S指纹U3个,则得到第i滑动窗口中该类JA3+JA3S指纹分布概率为Pi=U3/U2
S514,计算得到第i滑动窗口的集中度分别获得m个滑动窗口的集中度,得到其中的最大值/>将Lmax作为该类JA3+JA3S指纹的局部集中度;
S515,设定局部集中度阈值L0
当Lmax≤L0时,判断该类JA3+JA3S指纹对应IP的局部集中度检测正常,判断该类指纹正常;
当Lmax>L0时,判断该类JA3+JA3S指纹对应IP的局部集中度检测异常,判断该类指纹异常。
其中,优选的,在步骤S60中,对SNI元数据进行异常检测的方法,包括:
S61,根据SNI对应DNS协议返回的信息,判断是否为域名前置网络攻击,若判断为是时,提取出对应流量的五元组信息,记录为SNI异常五元组;
S62,根据SNI元数据的信息判断其是否为动态域名、DGA域名、可疑TLD或者高仿域名,若判断为是时,提取出对应流量的五元组信息,记录为SNI异常五元组;
S63,筛选出网络中稀有的SNI对象,提取出对应流量的五元组信息,记录为SNI异常五元组。
本申请实现的有益效果如下:
针对HTTPS加密流量的隐秘通道检测,需要基于实时数据,历史流量,特征提取等多个维度,进行相应的异常识别,并进行多个维度的结果综合关联分析,形成更加准确的检测结果。本系统实现针对恶意软件基于HTTPS协议和外部C&C服务器建立隐秘通道的检测模型。
以往对于JA3的使用均以情报匹配为主,误报率和漏报率都较高。这里使用扩展的JA3和JA3S指纹为对象来进行指纹稀有度和集中度检测,相比单独的JA3指纹情报匹配准确率更高,误报率更低。
结合心跳行为检测结果,指纹稀有度和集中度检测,证书信息验证信息,SNI信息异常信息等多维度进行判定,比传统的单一的判定对象效果更精准。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请恶意HTTPS隐秘隧道检测系统的模块结构图。
图2为本申请恶意HTTPS隐秘隧道检测方法的流程结构图。
具体实施方式
下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请提供一种恶意HTTPS隐秘隧道检测系统,系统包括以下四个主要模块:
流量日志提取模块,用于提取会话信息,SSL元数据信息,证书信息等;日志存储模块,用于存储网络中的历史流量日志,进行指纹的稀有度和集中度检测;全包存储模块,用于存储网络中全量数据包,在检测出HTTPS隐秘隧道时进行取证。
具体的,HTTPS隐秘隧道检测包括心跳检测,证书异常检测,指纹异常检测,SNI异常检测等。
HTTPS加密流量的隐秘通道检测的方法,包括:记录网络中的全流量,以流为对象提取流的会话信息,包括五元组信息,开始时间,结束时间,传输总的报文数,字节数,上行字节数,下行字节数等。
提取HTTPS的元数据信息,包括五元组信息,开始时间,结束时间,传输报文总数,客户端JA3指纹,服务器端JA3S指纹,SNI信息,并还原出流量中的证书信息。
根据获得的隐秘通道的信息,进行安全检测,所述安全检测模块包括心跳检测、证书检测、指纹检测和SNI检测。
其中,心跳检测的具体方案如下;
(1)接收网络中所有的会话信息,基于会话信息中的五元组进行归并,建立以源IP+目的IP+目的端口的三元组对象;
(2)建立多个三元组对象的分组,比如分组1,分组2…分组N;
(3)记录满足此分组条件的首条会话的时间戳信息,符合条件的会话信息存储在对应的分组中;
(4)定期遍历每个分组接收到的首次会话日志的时间,如果分组的时间超过30分钟,则此分组不再接收会话日志信息,并调用心跳检测算法进行心跳检测;
(5)心跳检测算法中统计每个分组内的每次网络请求的间隔与数据传输大小,并对输出的分组中数据进行心跳检测,输出心跳检测结果。其中,当每次网络请求的间隔和数据传输大小越接近,也就是定时传输固定大小的数据时,是恶意HTTPS的概率越大,
其中,证书检测的具体方案如下;
根据接收到的SSL元数据信息,从证书维度分析流量的异常行为,主要事实基于证书链+已有黑白名单证书库进行验证,分析此次传输的证书是否为伪造证书,自签名证书,过期证书,非法证书等,提取出证书异常的流量五元组信息,标记为证书检测异常,并给定对应的分值。
其中,指纹检测的具体方案为:根据接收到的SSL元数据中的JA3指纹和JA3S指纹,进行稀有度和集中度检测,包括全局稀有度检测和局部区域的集中度检测,其中全局稀有度检测过程为:
将提取到的JA3指纹和JA3S指纹拼接生成新的指纹。这样做的目的是,单独通过客户端指纹JA3难以体现出足够的区分度,存在大量误报情况,即将不同的客户端标识为同一指纹。如CobaltStrike某版本生成的样本在Windows 10上的JA3指纹为a0e9f5d64349fb13191bc781f81f42e1,而印象笔记客户端在相同操作系统上的JA3指纹也为a0e9f5d64349fb13191bc781f81f42e1。将JA3S指纹引入后,可以明显地将二者区分开,即:CobaltStrike的JA3+JA3S指纹为a0e9f5d64349fb13191bc781f81f42e17ffabb231fb7c0899f94df57988bfdb4,印象笔记的JA3+JA3S指纹为a0e9f5d64349fb13191bc781f81f42e1098e26e2609212ac1bfac552fbe04127。
以新的扩展JA3+JA3S指纹为对象,计算一定时间范围内JA3+JA3S指纹对应的IP个数。基于生成的数据,采用稀有度检测算法,设定一个可信度阈值,筛选出网络中稀有的JA3+JA3S指纹对象,同时提取这个对象的五元组信息,标记为流量指纹异常。
稀有度算法的步骤为:设定一个稀有度阈值P0(如设置为0.2),获得较长的预设时间段T(如一周)的流量数据,设置在流量数据共检测到指纹个数U0,JA3+JA3S指纹个数为U1,得到预设时间段T内JA3+JA3S指纹的分布概率P1=U1/U0
设定稀有度阈值为P0
当P1≤P0时,判断JA3+JA3S指纹的全局稀有度检测正常,判断指纹正常;
当P1>P0时,判断JA3+JA3S指纹的全局稀有度检测异常,转入局部区域集中度判断。
另外,稀有度算法还能够采用概率质量函数进行计算,得到基于上述稀有度阈值(P0=0.2)的稀有度分值。以计算出来的稀有度分值为基线,对所有小于该分值的数据设置稀有度分数为0。在所有大于该分值的数据创建累积分布函数,进而计算出最终的稀有度分数(0~100之间的分值,分值越大越稀有)。对稀有度不为0的数据进行局部区域集中度计算。
计算得到的JA3+JA3S指纹对象中,稀有度不超过稀有度阈值的,说明有度检测正常,也就是说对应的ip不是稀有ip,是常见的ip,将对应指纹加入白名单列表;
当JA3+JA3S指纹对象计算得到的稀有度超过稀有度阈值,则说明对应的ip有可能为异常ip,因此要对指纹对象的局部区域集中度进行进一步检测,具体方法为:
获取一类JA3+JA3S指纹对象在测试时间中多个不同时长的滑动窗口,例如,获取JA3+JA3S指纹对象在测试时间段中的4个时长不重叠滑动窗口,滑动窗口时长分别为30s、60s、120s、180s,
依次获得30s、60s、120s、180s内,JA3+JA3S指纹出现次数占所有指纹出现次数的比值P1、P2、P3、P4;
计算得到30s滑动窗口的集中度60s滑动窗口的集中度120s滑动窗口的集中度/>180s滑动窗口的集中度/>
得到其中的最大值Lmax;将Lmax作为JA3+JA3S指纹的局部集中度;
设定局部集中度阈值L0
当Lmax≤L0时,判断JA3+JA3S指纹局部集中度检测正常,判断指纹正常;
当Lmax>L0时,判断JA3+JA3S指纹局部集中度检测异常,判断指纹异常。
根据接收到的SNI元数据,进行NI异常检测,具体步骤包括:
(1)根据SNI对应DNS协议返回的cname等信息,判定是否为可做域前置的域名,并标记SNI异常。
(2)根据SNI信息判断其是否为动态域名、DGA域名、可疑TLD,高仿域名等,并标记SNI异常。
(3)基于一定时间范围内的SNI信息,采用稀有度检测算法,设定一个可信度阈值,筛选出网络中稀有的SNI对象,提取这个对象的五元组信息,并标记SNI异常。
通过上述心跳检测、证书检测、指纹检测和SNI检测的过程,设置HTTPS隐秘通信决策系统,根据心跳信息中的五元组,非法证书中的五元组,SNI异常和流量指纹异常五元组信息进行关联,设置对应的评分系统,超过某一阈值,并告警为HTTPS隐秘隧道流量行为。
基于告警的HTTPS隐秘隧道行为,分析失陷主机的原始PCAP包进行取证。
本发明适用于针对恶意加密流量进行检测的系统。尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (4)

1.一种恶意HTTPS隐秘通道的检测系统,其特征在于,包括流量模块、HTTPS模块和安全检测模块;
其中,所述流量模块存储有流量信息,所述流量信息包括会话信息和历史流量信息;所述HTTPS模块能够根据获得的流量信息得到HTTPS隐蔽通道信息;所述HTTPS隐蔽通道信息包括客户端JA3指纹、服务器端JA3S指纹、SNI信息和证书信息;所述安全检测模块包括心跳检测模块、证书检测模块、指纹检测模块和SN I检测模块,根据安全检测模块获得的异常信息,综合判断是否为恶意HTTPS隐秘通道;
其中,所述心跳检测模块能够获得HTTPS隐蔽通道存在的异常心跳;所述证书检测模块能够获得HTTPS隐蔽通道存在的异常证书;所述指纹检测模块能够获得HTTPS隐秘通道存在的异常指纹;所述SNI检测模块能够获得HTTPS隐秘通道存在的异常域名;
其中,所述指纹检测模块包括全局稀有度检测子模块和局部集中度检测子模块,所述全局稀有度检测子模块将客户端JA3指纹和服务器端JA3S指纹拼接生成JA3+JA3S指纹,从而得到预设时间段内JA3+JA3S指纹的分布概率,根据分布概率判断是否进入局部集中度检测子模块进行检测;
局部集中度检测子模块通过在预设时间段内获得的JA3+JA3S指纹的分布概率,得到滑动窗口的集中度的最大值作为JA3+JA3S指纹的局部集中度,根据局部集中度判断是否为异常指纹。
2.一种使用如权利要求1所述的恶意HTTPS隐秘通道的检测系统的检测方法,其特征在于,步骤包括:
S10,记录网络中所有流量,以流为对象提取会话信息,当在会话信息中检测到HTTPS隐秘通道时,转入步骤S20;
S20,获得HTTPS隐秘通道的客户端JA3指纹、服务器端JA3S指纹、SN I信息和证书信息;
S30,对HTTPS隐秘通道的会话进行心跳检测,通过心跳检测算法判断是否存在异常心跳;当判断为是时,提取出对应流量的五元组信息,记录为心跳异常五元组;
S40,对HTTPS隐秘通道传输的证书进行检测,判断是否存在异常证书;当判断为是时,提取出对应流量的五元组信息,记录为证书异常五元组;
S50,对HTTPS隐秘通道会话的客户端JA3指纹和服务器端JA3S指纹结合后进行指纹检测,判断是否为存在异常指纹,当判断为是时,提取对应的流量的五元组信息,记录为指纹异常五元组;
其中,所述指纹检测的步骤为:
S511,将客户端JA3指纹和服务器端JA3S指纹拼接生成JA3+JA3S指纹,获得预设时间段T内一类JA3+JA3S指纹的个数U1
S512,获得预设时间段T的流量中共检测到指纹个数U0,得到预设时间段T内该类JA3+JA3S指纹的分布概率P1=U1/U0
设定稀有度阈值为P0
当P1≤P0时,判断该类JA3+JA3S指纹的全局稀有度检测正常,判断指纹正常;
当P1>P0时,判断该类JA3+JA3S指纹的全局稀有度检测异常,转入步骤S513;
S513,在预设时间段T中获得m个不同时间长度的滑动窗口,设置其中第i滑动窗口的时间长度为ti,设置ti时间长度的流量中共有指纹U2个,其中包含该类JA3+JA3S指纹U3个,则得到第i滑动窗口中该类JA3+JA3S指纹分布概率为Pi=U3/U2
S514,计算得到第i滑动窗口的集中度分别获得m个滑动窗口的集中度,得到其中的最大值/>将Lmax作为该类JA3+JA3S指纹的局部集中度;
S515,设定局部集中度阈值L0
当Lmax≤L0时,判断该类JA3+JA3S指纹对应IP的局部集中度检测正常,判断该类指纹正常;
当Lmax>L0时,判断该类JA3+JA3S指纹对应IP的局部集中度检测异常,判断该类指纹异常;
S60,对HTTPS隐秘通道的SNI信息进行域名检测,判断是否存在异常域名,当判断为是时,提取出对应的流量的五元组信息,记录为SN I异常五元组;
S70,根据获得的心跳异常五元组、证书异常五元组、指纹异常五元组和SNI异常五元组的信息,综合判断是否为恶意HTTPS隐秘通道。
3.如权利要求2所述的恶意HTTPS隐秘通道的检测方法,其特征在于,在步骤S30中,HTTPS心跳检测的方法包括:
S31,将会话信息中的五元组进行归并,建立源IP+目的IP+目的端口的三元组对象;
S32,按预定条件将三元组对象设置为N个分组,将符合预定条件的会话信息存储在对应的分组中;
S33,记录满足此分组条件的首条会话的时间戳信息;
S34,定期遍历每个分组的首条会话的时间,如果分组存在的时间超过设定的时间阈值,则对此分组进行心跳检测;
S35,记录分组中每次网络请求的时间间隔与数据传输大小,建立心跳检测模型,得到心跳检测的结果。
4.如权利要求2所述的恶意HTTPS隐秘通道的检测方法,其特征在于,在步骤S60中,对SN I信息进行异常检测的方法,包括:
S61,根据SNI对应DNS协议返回的信息,判断是否为域名前置网络攻击,若判断为是时,提取出对应流量的五元组信息,记录为SNI异常五元组;
S62,根据SN I信息判断其是否为动态域名、DGA域名、可疑TLD或者高仿域名,若判断为是时,提取出对应流量的五元组信息,记录为SN I异常五元组;
S63,筛选出网络中稀有的SN I对象,提取出对应流量的五元组信息,记录为SN I异常五元组。
CN202210649186.8A 2022-06-09 2022-06-09 一种恶意https隐秘通道的检测系统及其检测方法 Active CN115085992B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210649186.8A CN115085992B (zh) 2022-06-09 2022-06-09 一种恶意https隐秘通道的检测系统及其检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210649186.8A CN115085992B (zh) 2022-06-09 2022-06-09 一种恶意https隐秘通道的检测系统及其检测方法

Publications (2)

Publication Number Publication Date
CN115085992A CN115085992A (zh) 2022-09-20
CN115085992B true CN115085992B (zh) 2023-08-15

Family

ID=83251983

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210649186.8A Active CN115085992B (zh) 2022-06-09 2022-06-09 一种恶意https隐秘通道的检测系统及其检测方法

Country Status (1)

Country Link
CN (1) CN115085992B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112738039A (zh) * 2020-12-18 2021-04-30 北京中科研究院 一种基于流量行为的恶意加密流量检测方法、系统及设备
CN113259313A (zh) * 2021-03-30 2021-08-13 浙江工业大学 一种基于在线训练算法的恶意https流量智能分析方法
CN113726818A (zh) * 2021-11-01 2021-11-30 北京微步在线科技有限公司 一种失陷主机检测方法及装置
CN113904861A (zh) * 2021-10-21 2022-01-07 厦门安胜网络科技有限公司 一种加密流量安全检测方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11463457B2 (en) * 2018-02-20 2022-10-04 Darktrace Holdings Limited Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance
US20220159016A1 (en) * 2019-03-05 2022-05-19 Red Piranha Limited Network data traffic identification
US11368545B2 (en) * 2020-01-31 2022-06-21 Rsa Security Llc Ranking of enterprise devices using activity-based network profiles and functional characterization-based device clustering

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112738039A (zh) * 2020-12-18 2021-04-30 北京中科研究院 一种基于流量行为的恶意加密流量检测方法、系统及设备
CN113259313A (zh) * 2021-03-30 2021-08-13 浙江工业大学 一种基于在线训练算法的恶意https流量智能分析方法
CN113904861A (zh) * 2021-10-21 2022-01-07 厦门安胜网络科技有限公司 一种加密流量安全检测方法及装置
CN113726818A (zh) * 2021-11-01 2021-11-30 北京微步在线科技有限公司 一种失陷主机检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
康鹏 ; 杨文忠 ; 马红桥.TLS协议恶意加密流量识别研究综述.《计算机工程与应用》.2022,全文. *

Also Published As

Publication number Publication date
CN115085992A (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
Liu et al. Detecting DNS tunnel through binary-classification based on behavior features
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
Brauckhoff et al. Impact of packet sampling on anomaly detection metrics
Yoda et al. Finding a connection chain for tracing intruders
CN106034056B (zh) 一种业务安全分析的方法和系统
US8006306B2 (en) Exploit-based worm propagation mitigation
US7669240B2 (en) Apparatus, method and program to detect and control deleterious code (virus) in computer network
Lu et al. Automatic discovery of botnet communities on large-scale communication networks
Salem et al. A scalable, efficient and informative approach for anomaly‐based intrusion detection systems: theory and practice
CN101631026A (zh) 一种防御拒绝服务攻击的方法及装置
CN110855717B (zh) 一种物联网设备防护方法、装置和系统
CN105429940B (zh) 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法
Ireland Intrusion detection with genetic algorithms and fuzzy logic
CN116132989B (zh) 一种工业互联网安全态势感知系统及方法
CN104852914A (zh) 一种基于数据包间隔的水印跳变通信方法
JP2005236863A (ja) ログ分析装置、ログ分析プログラムおよび記録媒体
CN112217777A (zh) 攻击回溯方法及设备
Bereziński et al. Entropy-based internet traffic anomaly detection: A case study
CN106790073B (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙
CN115150181A (zh) 基于精细化统计特征分析的伪造恶意加密流量检测方法
Böttger et al. Dos amplification attacks–protocol-agnostic detection of service abuse in amplifier networks
Pashamokhtari et al. Progressive monitoring of iot networks using sdn and cost-effective traffic signatures
CN110636076A (zh) 一种主机攻击检测方法及系统
JP2005236862A (ja) ログ分析装置、ログ分析プログラムおよび記録媒体
CN115085992B (zh) 一种恶意https隐秘通道的检测系统及其检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant