CN115941361B - 恶意流量识别方法、装置及设备 - Google Patents

恶意流量识别方法、装置及设备 Download PDF

Info

Publication number
CN115941361B
CN115941361B CN202310121358.9A CN202310121358A CN115941361B CN 115941361 B CN115941361 B CN 115941361B CN 202310121358 A CN202310121358 A CN 202310121358A CN 115941361 B CN115941361 B CN 115941361B
Authority
CN
China
Prior art keywords
identified
flow data
class
flow
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310121358.9A
Other languages
English (en)
Other versions
CN115941361A (zh
Inventor
姚先洪
林鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kelai Network Technology Co ltd
Original Assignee
Kelai Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kelai Network Technology Co ltd filed Critical Kelai Network Technology Co ltd
Priority to CN202310121358.9A priority Critical patent/CN115941361B/zh
Publication of CN115941361A publication Critical patent/CN115941361A/zh
Application granted granted Critical
Publication of CN115941361B publication Critical patent/CN115941361B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种恶意流量识别方法、装置及设备,涉及数据识别技术领域。该恶意流量识别方法包括:还原待识别流量数据的通信信息,通信信息包括:服务器通信证书,并对服务器通信证书进行提取,得到证书注册信息,然后根据证书注册信息,对待识别流量数据进行分类,得到待识别流量数据的类别,待识别流量数据的类别用于指示待识别流量数据的恶意风险等级。本申请的方法,可基于待识别流量数据的证书注册信息对待识别流量数据进行分类,从而确定待识别流量数据是否存在恶意风险,通过智能检测,可提高待识别流量数据的检出率,对待识别流量数据的识别更加准确。

Description

恶意流量识别方法、装置及设备
技术领域
本发明涉及数据识别领域,具体而言,涉及一种恶意流量识别方法、装置及设备。
背景技术
近年来,基于超文本传输安全协议(Hypertext Transfer ProtocolSecure ,HTTPS)方式进行木马回连通信的掩护方式越来越普遍,如何快速且精准的检测出HTTPS流量是否为恶意的就变得愈来愈重要,传统的入侵检测系统或者安全网关设备针对加密流量通常只能通过网络通信中标记为黑的互联网协议地址、标记为黑的域名地址等特征名单进行碰撞检测,进而关联出标记为黑的互联网协议地址、标记为黑的域名地址等对应的攻击行为,检测手段较为单一且检出率极低,更无法应对基于HTTPS密流的未知网络攻击行为的检测。
在实际网络攻防场景下,利用HTTPS掩护网络攻击的行为成为主要趋势,一方面HTTPS流量可以有效隐藏网络特征,另一方面对攻击行为及载荷进行良好的隐藏,虽然针对自身业务可利用证书进行流量解密,但相对于庞大的互联网应用站点而言,基本无法进行解密,所以针对HTTPS加密攻击流量的识别就成为当下网络攻防的技术难点。
发明内容
本发明的目的在于,针对上述现有技术中的不足,提供一种恶意流量识别方法、装置及设备,以便提高待识别流量数据的检出率,使得待识别流量数据的识别更加准确。
为实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请实施例提供了一种恶意流量识别方法,包括:
还原待识别流量数据的通信信息,所述通信信息包括:服务器通信证书;
从所述服务器通信证书中提取,得到证书注册信息;
根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,所述待识别流量数据的类别用于指示所述待识别流量数据的恶意风险等级。
在可选的实施方式中,所述根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,包括:
根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果;
根据所述多个维度的类别检测结果确定所述待识别流量数据的类别。
在可选的实施方式中,所述多个维度的检测方法包括:语法检测;所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:
采用预设的语法检测模型对所述证书注册信息进行语法检测,得到所述证书注册信息的语法检测结果,所述语法检测结果用于指示所述证书注册信息是否为随意填写的信息;
根据所述语法检测结果,得到第一类别检测结果。
在可选的实施方式中,所述多个维度的检测方法包括:域名检测;所述通信信息还包括:第一域名;
所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:
比对所述第一域名和所述证书注册信息中的第二域名是否一致,得到域名比对结果;
根据所述域名比对结果,得到第二类别检测结果。
在可选的实施方式中,所述通信信息还包括:所述服务器通信证书的更新时间;所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:
根据所述服务器通信证书的更新时间,以及所述服务器通信证书的历史更新时间,确定所述服务器通信证书的更新周期;
判断所述更新周期是否小于预设更新周期,得到证书周期判断结果;
根据所述证书周期判断结果,得到第三类别检测结果。
在可选的实施方式中,所述根据所述多个维度的类别检测结果确定所述待识别流量数据的类别,包括:
若所述多个维度的类别检测结果中指示所述待识别流量数据的类型为存在恶意风险的流量数据,则判断所述通信信息中对应关系的变换周期的变换周期是否小于预设变换周期;
若所述通信信息中对应关系的变换周期小于所述预设变换周期,则确定所述待识别流量数据的类别为恶意流量数据的类别。
在可选的实施方式中,所述根据所述多个维度的类别检测结果确定所述待识别流量数据的类别,还包括:
若所述通信信息中对应关系的变换周期大于或等于所述预设变换周期,则对所述待识别流量数据的第一流量统计指标和预设安全流量数据的第二流量统计指标进行对比检测;
若所述第一流量统计指标和所述第二流量统计指标的偏差大于或等于预设偏差阈值,则确定所述待识别流量数据的类别为恶意流量数据的类别。
在可选的实施方式中,所述根据所述多个维度的类别检测结果确定所述待识别流量数据的类别,还包括:
若所述第一流量统计指标和所述第二流量统计指标的偏差小于所述预设偏差阈值,则根据所述多个维度的类别检测结果,得到所述待识别流量数据在所述多个维度的特征值;
根据所述多个维度的特征值进行加权,得到所述待识别流量的目标特征值;
根据所述待识别流量的目标特征值,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别。
第二方面,本申请实施例还提供了一种恶意流量识别装置,包括:
还原模块,用于还原待识别流量数据的通信信息,所述通信信息包括:服务器通信证书;
提取模块,用于从所述服务器通信证书中提取,得到证书注册信息;
分类模块,用于根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,所述待识别流量数据的类别用于指示所述待识别流量数据的恶意风险等级。
第三方面,本申请实施例还提供了一种计算机设备,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的程序指令,当计算机设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述程序指令,以执行上述第一方面任一所述的恶意流量识别方法的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述第一方面任一所述的恶意流量识别方法的步骤。
本申请的有益效果是:
本申请实施例提供一种恶意流量识别方法、装置及设备,包括:还原待识别流量数据的通信信息,通信信息包括:服务器通信证书,并对服务器通信证书进行提取,得到证书注册信息,然后根据证书注册信息,对待识别流量数据进行分类,得到待识别流量数据的类别,待识别流量数据的类别用于指示待识别流量数据的恶意风险等级。本申请的方法,可基于待识别流量数据的证书注册信息对待识别流量数据进行分类,从而确定待识别流量数据是否存在恶意风险,通过智能检测,可提高待识别流量数据的检出率,对待识别流量数据的识别更加准确。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种恶意流量识别方法的流程示意图之一;
图2为本申请实施例提供的一种恶意流量识别方法的流程示意图之二;
图3为本申请实施例提供的一种恶意流量识别方法的流程示意图之三;
图4为本申请实施例提供的一种恶意流量识别方法的流程示意图之四;
图5为本申请实施例提供的一种恶意流量识别方法的流程示意图之五;
图6为本申请实施例提供的一种恶意流量识别方法的流程示意图之六;
图7为本申请实施例提供的一种恶意流量识别方法的流程示意图之七;
图8为本申请实施例提供的一种恶意流量识别方法的流程示意图之八;
图9为本申请实施例提供的一种恶意流量识别装置的功能模块示意图;
图10为本申请实施例提供的一种计算机设备的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
此外,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本申请的实施例中的特征可以相互结合。
为了有效检测恶意流量并智能识别未知网络的威胁,本申请实施例提供了一种恶意流量识别方法,通过对待识别流量数据进行分类,并根据待识别流量数据的类别判定待识别流量数据的恶意风险等级,从而提高对待识别流量数据的检出率,有效识别出未知网络的攻击行为。
如下结合附图通过具体示例对本申请实施例提供的恶意流量识别方法进行详细的解释说明。本申请实施例提供的恶意流量识别方法可由预先安装有:预设算法或者检测软件的计算机设备,通过运行算法或者软件实现。计算机设备例如可以为服务器或终端,终端可以为用户计算机。图1为本申请实施例提供的一种恶意流量识别方法的流程示意图之一。如图1所示,该方法包括:
S101、还原待识别流量数据的通信信息。
在本实施例中,实时获取预设服务器中待识别流量数据包,并通过深度检测引擎(DPI)对待识别流量数据的通信信息进行还原。
其中,预设服务器指示为可提供待识别流量数据的服务器,预设服务器可以为命令与控制服务器(Command&Control Server),又可称之为C2服务器,常见于病毒木马控制被攻击系统后,攻击者通过C2服务器发送命令、配置和新的有效载荷,并接收从被攻击系统收集的数据。通信信息包括:服务器通信证书,其中,服务器通信证书指示为通过使用服务器通信证书可为待识别流量数据在不同站点提供身份鉴定并保证该站点拥有高强度加密安全。
S102、对服务器通信证书进行提取,得到证书注册信息。
具体的,提取服务器通信证书的相关信息,得到证书注册信息,其中证书注册信息可包括:注册人、注册机构、颁发者、注册邮箱、关联域名等。
S103、根据证书注册信息,对待识别流量数据进行分类,得到待识别流量数据的类别,待识别流量数据的类别用于指示待识别流量数据的恶意风险等级。
根据上述步骤S102得到的证书注册信息,通过标记的方式对待识别流量数据进行分类,从而得到待识别流量数据的类别,具体可将待识别流量数据分为非恶意流量数据类别和恶意流量数据类别,其中非恶意流量数据类别为白名单和恶意流量数据类别为黑名单,若待识别流量数据的类别是白名单,则指示该待识别流量数据无恶意风险,为非恶意流量数据,若待识别流量数据的类别是黑名单,则指示该待识别流量数据的恶意风险高,为恶意流量数据,可通过回连通信直接进行告警。
综上所述,本申请实施例提供一种恶意流量识别方法,包括:还原待识别流量数据的通信信息,通信信息包括:服务器通信证书,并对服务器通信证书进行提取,得到证书注册信息,然后根据证书注册信息,对待识别流量数据进行分类,得到待识别流量数据的类别,待识别流量数据的类别用于指示待识别流量数据的恶意风险等级。本申请的方法,可基于待识别流量数据的证书注册信息对待识别流量数据进行分类,从而确定待识别流量数据是否存在恶意风险,通过智能检测,可提高待识别流量数据的检出率,对待识别流量数据的识别更加准确。
在上述实施例提供的一种恶意流量识别的基础上,本申请实施例还通过提供一种多个维度的检测方法来实现恶意流量识别的可能实现方式。图2为本申请实施例提供的一种恶意流量识别方法的流程示意图之二。如图2所示,根据证书注册信息,对待识别流量数据进行分类,得到待识别流量数据的类别,包括:
S201、根据证书注册信息,采用多个维度的检测方法,对待识别流量数据进行分类检测,得到多个维度的类别检测结果。
在本实施例中,通过采用多个维度的检测方法,基于待识别流量数据的证书注册信息对待识别流量数据进行分类检测,在分类检测的过程中,对符合多个维度检测方法条件的待识别流量数据可增加标记,例如标记为灰,从而得到待识别流量数据在多个维度的类别检测结果。
S202、根据多个维度的类别检测结果确定待识别流量数据的类别。
根据待识别流量数据多个维度的类别检测结果确定该待识别流量数据的类别,在一种实例中,若待识别流量数据多个维度的类别检测结果中均不存在标记为灰,则该待识别流量数据的类别即为白名单,指示为该待识别流量数据不存在恶意风险。
在另一种示例中,若待识别流量数据多个维度的类别检测结果中存在任意维度的类别检测结果标记为灰,则该待识别流量数据的类别即为灰名单,其中,灰名单指示为该待识别流量数据可能存在恶意风险。
本申请实施例提供的方法中,通过采用多个维度的检测方法,基于待识别流量数据的证书注册信息对待识别流量数据进行分类检测,从而得到多个维度的类别检测结果,并确定待识别流量数据的类别,实现对待识别流量数据的动态分类,结合三个维度的检测方法可提高待识别流量数据的检出率,对待识别流量数据的识别更加准确。
在上述实施例提供一种多个维度的检测方法来实现恶意流量识别的基础上,由于多个维度的检测方法包括:语法检测,因此本申请实施例还通过提供一种语法检测的方法来实现恶意流量识别的可能实现方式。图3为本申请实施例提供的一种恶意流量识别方法的流程示意图之三。如图3所示,根据证书注册信息,采用多个维度的检测方法,对待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:
S301、采用预设的语法检测模型对证书注册信息进行语法检测,得到证书注册信息的语法检测结果,语法检测结果用于指示证书注册信息是否为随意填写的信息。
在本实施例中,预设的语法检测模型用于检测证书注册信息是否存在随意填写的情况,具体的,预设的语法检测模型例如可包括汉语语言(N-Gram)模型、隐含马尔柯夫模型(Hidden Markov Model , HMM)以及长短期记忆网络(Long-Short Term Memory , LSTM),首先可通过N-Gram模型对待识别流量数据证书注册信息中各注册类型的词频进行对比,其中证书注册信息包括:正常注册机构、注册人、关联邮箱、关联域名等,通过HMM模型对比证书注册信息中正常字符组合的概率,分析证书注册信息的熵、元辅音字母、数字组合等特征,最后使用LSTM算法对预设的语法检测模型进行训练,并通过训练好的预设语法检测模型对待识别流量数据进行检测,从而得到证书注册信息的语法检测结果。
示例的,判断证书注册信息为随意填写的预设阈值为60%,若对待识别流量数据证书注册信息的语法检测结果为80%,大于预设阈值,则可确定该待识别流量数据证书注册信息为随意填写;若对待识别流量数据证书注册信息的语法检测结果为50%,小于预设阈值,则可确定该待识别流量数据证书注册信息不是随意填写。
S302、根据语法检测结果,得到第一类别检测结果。
根据证书注册信息的语法检测结果,确定待识别流量数据的证书注册信息是否为随意填写的信息,若待识别流量数据的证书注册信息是随意填写的信息,则将该识别流量数据标记为灰,从而得到第一类别检测结果,指示为该待识别流量数据可能存在恶意风险。
本申请实施例提供的方法中,通过采用预设的语法检测模型对证书注册信息进行语法检测,得到证书注册信息的语法检测结果,语法检测结果用于指示证书注册信息是否为随意填写的信息,从而得到第一类别检测结果,通过采用预设的语法检测模型实现对待识别流量数据的动态分类,提高识别的准确度。
由于多个维度的检测方法还包括:域名检测,通信信息还包括:第一域名,因此本申请实施例还通过提供一种域名检测的方法来实现恶意流量识别的可能实现方式。图4为本申请实施例提供的一种恶意流量识别方法的流程示意图之四。如图4所示,根据证书注册信息,采用多个维度的检测方法,对待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:
S401、比对第一域名和证书注册信息中的第二域名是否一致,得到域名比对结果。
在本实施例中,对待识别流量数据的通信信息还原的过程中,通信信息还包括第一域名,即访问域名地址,在对待识别流量数据服务器通信证书提取的过程中,得到证书注册信息,其中证书注册信息中还包括第二域名,通过对比第一域名和第二域名是否一致,得到域名比对结果。
示例的,若第一域名和第二域名一致,可输出为1,第一域名和第二域名不一致,可输出为0,从而得到该待识别流量数据的域名比对结果。
S402、根据域名比对结果,得到第二类别检测结果。
根据域名比对结果,确定待识别流量数据的第一域名和第二域名是否一致,若待识别流量数据的第一域名和第二域名不一致,则将该识别流量数据标记为灰,从而得到第二类别检测结果,指示为该待识别流量数据可能存在恶意风险。
本申请实施例提供的方法中,通过比对第一域名和证书注册信息中的第二域名是否一致,得到域名比对结果,从而得到第二类别检测结果,从域名检测的维度对待识别流量数据进行检测识别,提高了识别的准确度。
由于通信信息还包括:服务器通信证书的更新时间,因此本申请实施例还通过提供一种根据服务器通信证书的更新时间来实现恶意流量识别的可能实现方式。图5为本申请实施例提供的一种恶意流量识别方法的流程示意图之五。如图5所示,根据证书注册信息,采用多个维度的检测方法,对待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:
S501、根据服务器通信证书的更新时间,以及服务器通信证书的历史更新时间,确定服务器通信证书的更新周期。
在本实施例中,可实时检测并获取待识别流量数据,若第一次检测到待识别流量数据,则可第一次获取该待识别流量数据服务器通信证书的时间,即历史更新时间,若后续检测到待识别流量数据,则可依次获取该待识别流量数据服务器通信证书的时间,若检测到该待识别流量数据的服务器通信证书进行更新,则获取此时服务器通信证书的更新时间,并结合服务器通信证书的历史更新时间,确定服务器通信证书的更新周期。
S502、判断更新周期是否小于预设更新周期,得到证书周期判断结果。
具体的,预设更新周期可设置为15天、30天、40天等,在此不做限制,将服务器通信证书的更新周期与预设更新周期进行对比,从而得到证书周期判断结果。
S503、根据证书周期判断结果,得到第三类别检测结果。
根据证书周期判断结果,若服务器通信证书的更新周期小于预设更新周期,则将该识别流量数据标记为灰,从而得到第三类别检测结果,指示为该待识别流量数据可能存在恶意风险。
本申请实施例提供的方法中,根据服务器通信证书的更新时间,以及服务器通信证书的历史更新时间,确定服务器通信证书的更新周期,并判断更新周期是否小于预设更新周期,得到证书周期判断结果,从而得到第三类别检测结果,通过从服务器通信证书更新周期的维度对待识别流量数据进行检测识别,提高了识别的准确度。
在多个维度的类别检测结果中指示待识别流量数据的类型为存在恶意风险的流量数据,可通过预设威胁情报与存在恶意风险的流量数据中的证书注册信息进行碰撞检测,其中主要与证书注册信息中的相关域名、邮箱进行碰撞检测,若预设威胁情报与证书注册信息检测匹配成功即命中,则确定该待识别流量数据的类别为恶意流量数据的类别,可标记为黑,指示为该待识别流量数据恶意风险高。
若预设威胁情报与证书注册信息检测匹配失败,则可通过以下方法对存在恶意风险的流量数据进行进一步检测,本申请实施例还提供了另一种恶意流量识别方法的可能实现方式。图6为本申请实施例提供的一种恶意流量识别方法的流程示意图之六。如图6所示,根据多个维度的类别检测结果确定待识别流量数据的类别,包括:
S601、若多个维度的类别检测结果中指示待识别流量数据的类型为存在恶意风险的流量数据,则判断通信信息中对应关系的变换周期是否小于预设变换周期。
在本实施例中,在对待识别流量数据的通信信息还原的过程中,通信信息还包括:互联网协议地址(Internet Protocol Address)即通信IP地址,则对存在恶意风险的流量数据建立检测基线,基线指标包括通信信息中的服务器通信证书、第一域名、通信IP地址等,若待识别流量数据的通信信息中对应关系为服务器通信证书、第一域名以及通信IP地址,则判断服务器通信证书、第一域名以及通信IP地址三者对应关系的变换周期是否小于预设变换周期。
示例的,若第一次检测到待识别流量数据通信信息中的对应关系与第二次检测到待识别流量数据通信信息中的对应关系发生了变化,其中可以为对应关系三者中的任一发生变化,则确定通信信息中对应关系的变换周期,预设变换周期可设置为15天、30天、40天等,在此不做限制。
S602、若通信信息中对应关系的变换周期小于预设变换周期,则确定待识别流量数据的类别为恶意流量数据的类别。
根据通信信息中对应关系的变换周期和预设变换周期,若通信信息中对应关系的变换周期小于预设变换周期,则确定该待识别流量数据的类别为恶意流量数据的类别,可标记为黑,指示为该待识别流量数据恶意风险高。
本申请实施例提供的方法中,通过判断存在恶意风险流量数据的通信信息中对应关系的变换周期是否小于预设变换周期,若通信信息中对应关系的变换周期小于预设变换周期,则确定待识别流量数据的类别为恶意流量数据的类别,通过通信信息中对应关系的变换周期确定待识别流量数据的类别,提高了识别的准确度。
在上述实施例提供的一种恶意流量识别方法的基础上,本申请实施例还提供了另一种恶意流量识别方法的可能实现方式。图7为本申请实施例提供的一种恶意流量识别方法的流程示意图之七。如图7所示,根据多个维度的类别检测结果确定待识别流量数据的类别,还包括:
S701、若通信信息中对应关系的变换周期大于或等于预设变换周期,则对待识别流量数据的第一流量统计指标和预设安全流量数据的第二流量统计指标进行对比检测。
在本实施例中,预设安全流量数据即通过常见掩护域名获取到的安全流量数据,常见掩护域名例如可以包括:软件项目托管平台GitHub、优兔YouTube、推特twitter等,第二流量统计指标可包括与设安全流量数据的数据包大小、会话包数等,通过对待识别流量数据的第一流量统计指标和预设安全流量数据的第二流量统计指标进行对比检测,得到对比检测结果。
S702、若第一流量统计指标和第二流量统计指标的偏差大于或等于预设偏差阈值,则确定待识别流量数据的类别为恶意流量数据的类别。
根据对比检测结果,若第一流量统计指标和第二流量统计指标的偏差大于或等于预设偏差阈值,则确定待识别流量数据的类别为恶意流量数据的类别,可标记为黑,指示为该待识别流量数据恶意风险高。
本申请实施例提供的方法中,通过对待识别流量数据的第一流量统计指标和预设安全流量数据的第二流量统计指标进行对比检测,得到对比检测结果,若第一流量统计指标和第二流量统计指标的偏差大于或等于预设偏差阈值,则确定待识别流量数据的类别为恶意流量数据的类别,通过待识别流量数据的第一流量统计指标和预设安全流量数据的第二流量统计指标确定待识别流量数据的类别,提高了流量数据的识别准确度。
在上述实施例提供的一种恶意流量识别方法的基础上,本申请实施例还提供了另一种恶意流量识别方法的可能实现方式。图8为本申请实施例提供的一种恶意流量识别方法的流程示意图之八。如图8所示,根据多个维度的类别检测结果确定待识别流量数据的类别,还包括:
S801、若第一流量统计指标和第二流量统计指标的偏差小于预设偏差阈值,则根据多个维度的类别检测结果,得到待识别流量数据在多个维度的特征值。
在本实施例中,根据存在恶意风险的流量数据在多个维度的类别检测结果,获取待识别流量数据在多个维度的特征值,示例的,第一类别检测结果的特征值可表示为第一特征值,第二类别检测结果的特征值可表示为第二特征值,第三类别检测结果的特征值可表示为第三特征值。
S802、根据多个维度的特征值进行加权,得到待识别流量的目标特征值。
其中,每个维度的特征值分别具有对应的权重值,可通过对已标记为黑白的流量元数据利用最大期望(Expectation-Maximization algorithm , EM)算法对所有权重值进行自动泛化调优,使其权重极限趋近于真实值,从而得到多个维度特征值对应的权重合理值区间,并对多个维度的特征值进行加权计算,从而得到待识别流量的目标特征值,多个维度特征值的加权计算可 f(x)表示为:
其中, λ 1表示为第一特征值, k 1表示为第一权重值, λ 2表示为第二特征值, k 2表示为第二权重值, λ x 表示为第x特征值, k x 表示为第x权重值。
S803、根据待识别流量的目标特征值,对待识别流量数据进行分类,得到待识别流量数据的类别。
根据待识别流量的目标特征值与预设特征值进行对比,若待识别流量的目标特征值小于预设特征值,则确定待识别流量数据的类别为非恶意流量数据的类别即白名单,若待识别流量的目标特征值大于或等于预设特征值,则确定待识别流量数据的类别为恶意流量数据的类别即黑名单,并进行回连通信告警。
需要说明的是,得到多个维度特征值对应的权重合理值区间后,分类打分模型可基于多个维度特征值对应的权重合理值区间,对后续接收到的待识别流量数据进行打分即计算待识别流量的目标特征值,从而对待识别流量数据进行分类,得到待识别流量数据的类别。
本申请实施例提供的方法中,通过根据多个维度的类别检测结果,得到待识别流量数据在多个维度的特征值,并根据多个维度的特征值进行加权,得到待识别流量的目标特征值,最后根据待识别流量的目标特征值,对待识别流量数据进行分类,得到待识别流量数据的类别,利用权重值的自适应泛化学习以及分类打分模型实现对待识别流量数据的智能检测,并提高了流量数据的识别准确度。
如下继续对执行本申请上述任一实施例提供的恶意流量识别装置、计算机设备进行相应的解释,其具体的实现过程以及产生的技术效果与前述对应的方法实施例相同,为简要描述,本实施例中未提及部分,可参考方法实施例中的相应内容。
图9为本申请实施例提供的一种恶意流量识别装置的功能模块示意图。如图9所示,该恶意流量识别装置100包括:
还原模块110,用于还原待识别流量数据的通信信息,通信信息包括:服务器通信证书;
提取模块120,用于从服务器通信证书中提取,得到证书注册信息;
分类模块130,用于根据证书注册信息,对待识别流量数据进行分类,得到待识别流量数据的类别,待识别流量数据的类别用于指示待识别流量数据的恶意风险等级。
在可选的实施方式中,分类模块130,还用于根据证书注册信息,采用多个维度的检测方法,对待识别流量数据进行分类检测,得到多个维度的类别检测结果;根据多个维度的类别检测结果确定待识别流量数据的类别。
在可选的实施方式中,分类模块130,还用于采用预设的语法检测模型对证书注册信息进行语法检测,得到证书注册信息的语法检测结果,语法检测结果用于指示证书注册信息是否为随意填写的信息;根据语法检测结果,得到第一类别检测结果。
在可选的实施方式中,分类模块130,还用于比对第一域名和证书注册信息中的第二域名是否一致,得到域名比对结果;根据域名比对结果,得到第二类别检测结果。
在可选的实施方式中,分类模块130,还用于根据服务器通信证书的更新时间,以及服务器通信证书的历史更新时间,确定服务器通信证书的更新周期;判断更新周期是否小于预设更新周期,得到证书周期判断结果;根据证书周期判断结果,得到第三类别检测结果。
在可选的实施方式中,分类模块130,还用于若多个维度的类别检测结果中指示待识别流量数据的类型为存在恶意风险的流量数据,则判断通信信息中对应关系的变换周期是否小于预设变换周期;若通信信息中对应关系的变换周期小于预设变换周期,则确定待识别流量数据的类别为恶意流量数据的类别。
在可选的实施方式中,分类模块130,还用于若通信信息中对应关系的变换周期大于或等于预设变换周期,则对待识别流量数据的第一流量统计指标和预设安全流量数据的第二流量统计指标进行对比检测;若第一流量统计指标和第二流量统计指标的偏差大于或等于预设偏差阈值,则确定待识别流量数据的类别为恶意流量数据的类别。
在可选的实施方式中,分类模块130,还用于若第一流量统计指标和第二流量统计指标的偏差小于预设偏差阈值,则根据多个维度的类别检测结果,得到待识别流量数据在多个维度的特征值;根据多个维度的特征值进行加权,得到待识别流量的目标特征值;根据待识别流量的目标特征值,对待识别流量数据进行分类,得到待识别流量数据的类别。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器,或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(Central Processing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
图10为本申请实施例提供的一种计算机设备的示意图,该计算机设备可用于恶意流量识别。如图10所示,该计算机设备200包括:处理器210、存储介质220、总线230。
存储介质220存储有处理器210可执行的机器可读指令,当计算机设备运行时,处理器210与存储介质220之间通过总线230通信,处理器210执行机器可读指令,以执行上述方法实施例的步骤。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种存储介质220,存储介质220上存储有计算机程序,计算机程序被处理器运行时执行上述方法实施例的步骤。具体实现方式和技术效果类似,这里不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:RandomAccess Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
上仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (6)

1.一种恶意流量识别方法,其特征在于,包括:
还原待识别流量数据的通信信息,所述通信信息包括:服务器通信证书;
从所述服务器通信证书中提取,得到证书注册信息;
根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,所述待识别流量数据的类别用于指示所述待识别流量数据的恶意风险等级;
所述根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,包括:
根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果;
根据所述多个维度的类别检测结果确定所述待识别流量数据的类别;
所述根据所述多个维度的类别检测结果确定所述待识别流量数据的类别,包括:
若所述多个维度的类别检测结果中指示所述待识别流量数据的类型为存在恶意风险的流量数据,则判断所述通信信息中对应关系的变换周期是否小于预设变换周期;
若所述通信信息中对应关系的变换周期小于所述预设变换周期,则确定所述待识别流量数据的类别为恶意流量数据的类别;
所述根据所述多个维度的类别检测结果确定所述待识别流量数据的类别,还包括:
若所述通信信息中对应关系的变换周期大于或等于所述预设变换周期,则对所述待识别流量数据的第一流量统计指标和预设安全流量数据的第二流量统计指标进行对比检测;
若所述第一流量统计指标和所述第二流量统计指标的偏差大于或等于预设偏差阈值,则确定所述待识别流量数据的类别为恶意流量数据的类别;
所述根据所述多个维度的类别检测结果确定所述待识别流量数据的类别,还包括:
若所述第一流量统计指标和所述第二流量统计指标的偏差小于所述预设偏差阈值,则根据所述多个维度的类别检测结果,得到所述待识别流量数据在所述多个维度的特征值;
根据所述多个维度的特征值进行加权,得到所述待识别流量的目标特征值;
根据所述待识别流量的目标特征值,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别。
2.根据权利要求1所述的方法,其特征在于,所述多个维度的检测方法包括:语法检测;所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:
采用预设的语法检测模型对所述证书注册信息进行语法检测,得到所述证书注册信息的语法检测结果,所述语法检测结果用于指示所述证书注册信息是否为随意填写的信息;
根据所述语法检测结果,得到第一类别检测结果。
3.根据权利要求1所述的方法,其特征在于,所述多个维度的检测方法包括:域名检测;所述通信信息还包括:第一域名;
所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:
比对所述第一域名和所述证书注册信息中的第二域名是否一致,得到域名比对结果;
根据所述域名比对结果,得到第二类别检测结果。
4.根据权利要求1所述的方法,其特征在于,所述通信信息还包括:所述服务器通信证书的更新时间;所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:
根据所述服务器通信证书的更新时间,以及所述服务器通信证书的历史更新时间,确定所述服务器通信证书的更新周期;
判断所述更新周期是否小于预设更新周期,得到证书周期判断结果;
根据所述证书周期判断结果,得到第三类别检测结果。
5.一种恶意流量识别装置,其特征在于,包括:
还原模块,用于还原待识别流量数据的通信信息,所述通信信息包括:服务器通信证书;
提取模块,用于从所述服务器通信证书中提取,得到证书注册信息;
分类模块,用于根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,所述待识别流量数据的类别用于指示所述待识别流量数据的恶意风险等级;
所述分类模块,还用于根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果;根据所述多个维度的类别检测结果确定所述待识别流量数据的类别;
所述分类模块,还用于若所述多个维度的类别检测结果中指示所述待识别流量数据的类型为存在恶意风险的流量数据,则判断所述通信信息中对应关系的变换周期是否小于预设变换周期;若所述通信信息中对应关系的变换周期小于所述预设变换周期,则确定所述待识别流量数据的类别为恶意流量数据的类别;
所述分类模块,还用于若所述通信信息中对应关系的变换周期大于或等于所述预设变换周期,则对所述待识别流量数据的第一流量统计指标和预设安全流量数据的第二流量统计指标进行对比检测;若所述第一流量统计指标和所述第二流量统计指标的偏差大于或等于预设偏差阈值,则确定所述待识别流量数据的类别为恶意流量数据的类别;
所述分类模块,还用于若所述第一流量统计指标和所述第二流量统计指标的偏差小于所述预设偏差阈值,则根据所述多个维度的类别检测结果,得到所述待识别流量数据在所述多个维度的特征值;根据所述多个维度的特征值进行加权,得到所述待识别流量的目标特征值;根据所述待识别流量的目标特征值,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别。
6.一种计算机设备,其特征在于,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的程序指令,当计算机设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述程序指令,以执行如权利要求1至4任一所述的恶意流量识别方法的步骤。
CN202310121358.9A 2023-02-16 2023-02-16 恶意流量识别方法、装置及设备 Active CN115941361B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310121358.9A CN115941361B (zh) 2023-02-16 2023-02-16 恶意流量识别方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310121358.9A CN115941361B (zh) 2023-02-16 2023-02-16 恶意流量识别方法、装置及设备

Publications (2)

Publication Number Publication Date
CN115941361A CN115941361A (zh) 2023-04-07
CN115941361B true CN115941361B (zh) 2023-05-09

Family

ID=85818522

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310121358.9A Active CN115941361B (zh) 2023-02-16 2023-02-16 恶意流量识别方法、装置及设备

Country Status (1)

Country Link
CN (1) CN115941361B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111800404A (zh) * 2020-06-29 2020-10-20 深信服科技股份有限公司 一种对恶意域名的识别方法、装置以及存储介质
CN111835777A (zh) * 2020-07-20 2020-10-27 深信服科技股份有限公司 一种异常流量检测方法、装置、设备及介质
CN112134829A (zh) * 2019-06-25 2020-12-25 北京观成科技有限公司 生成加密流量特征集的方法及装置
CN112738039A (zh) * 2020-12-18 2021-04-30 北京中科研究院 一种基于流量行为的恶意加密流量检测方法、系统及设备
WO2021187782A1 (ko) * 2020-03-18 2021-09-23 (주)수산아이앤티 악성 트래픽 검출 방법 및 그 장치
CN113595967A (zh) * 2020-04-30 2021-11-02 深信服科技股份有限公司 数据识别方法、设备、存储介质及装置
CN113904861A (zh) * 2021-10-21 2022-01-07 厦门安胜网络科技有限公司 一种加密流量安全检测方法及装置
CN115314268A (zh) * 2022-07-27 2022-11-08 天津市国瑞数码安全系统股份有限公司 基于流量指纹和行为的恶意加密流量检测方法和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA3100468A1 (en) * 2019-11-21 2021-05-21 Royal Bank Of Canada System and method for detecting phishing events

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112134829A (zh) * 2019-06-25 2020-12-25 北京观成科技有限公司 生成加密流量特征集的方法及装置
WO2021187782A1 (ko) * 2020-03-18 2021-09-23 (주)수산아이앤티 악성 트래픽 검출 방법 및 그 장치
CN113595967A (zh) * 2020-04-30 2021-11-02 深信服科技股份有限公司 数据识别方法、设备、存储介质及装置
CN111800404A (zh) * 2020-06-29 2020-10-20 深信服科技股份有限公司 一种对恶意域名的识别方法、装置以及存储介质
CN111835777A (zh) * 2020-07-20 2020-10-27 深信服科技股份有限公司 一种异常流量检测方法、装置、设备及介质
CN112738039A (zh) * 2020-12-18 2021-04-30 北京中科研究院 一种基于流量行为的恶意加密流量检测方法、系统及设备
CN113904861A (zh) * 2021-10-21 2022-01-07 厦门安胜网络科技有限公司 一种加密流量安全检测方法及装置
CN115314268A (zh) * 2022-07-27 2022-11-08 天津市国瑞数码安全系统股份有限公司 基于流量指纹和行为的恶意加密流量检测方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ME-Box:A reliable method to detect malicious encrypted traffic;Bingfeng Xu,Gaofeng He,Haiting Zhu;《Elsevier》;全文 *
工业领域网络流量安全分析关键技术研究;郝志强,刘冬,王冲华;《计算机工程》;全文 *

Also Published As

Publication number Publication date
CN115941361A (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
CN110493208B (zh) 一种多特征的dns结合https恶意加密流量识别方法
US10003607B1 (en) Automated detection of session-based access anomalies in a computer network through processing of session data
US20180191755A1 (en) Network security using inflated files for anomaly detection
CN109922065B (zh) 恶意网站快速识别方法
CN106161342A (zh) 安全应用的动态优化
Oza et al. HTTP attack detection using n-gram analysis
CN105072214A (zh) 基于域名特征的c&c域名识别方法
CN116305168B (zh) 一种多维度信息安全风险评估方法、系统及存储介质
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
CN110798463B (zh) 基于信息熵的网络隐蔽信道的检测方法及装置
CN114666162A (zh) 一种流量检测方法、装置、设备及存储介质
CN114553523A (zh) 基于攻击检测模型的攻击检测方法及装置、介质、设备
CN110855716B (zh) 一种面向仿冒域名的自适应安全威胁分析方法及系统
Juvonen et al. An efficient network log anomaly detection system using random projection dimensionality reduction
CN113905016A (zh) 一种dga域名检测方法、检测装置及计算机存储介质
CN107426136B (zh) 一种网络攻击的识别方法和装置
CN113946560A (zh) 一种数据库安全管理方法及系统
CN116015703A (zh) 模型训练方法、攻击检测方法及相关装置
CN110535821A (zh) 一种基于dns多特征的失陷主机检测方法
El Attar et al. A Gaussian mixture model for dynamic detection of abnormal behavior in smartphone applications
CN115941361B (zh) 恶意流量识别方法、装置及设备
CN110097258B (zh) 一种用户关系网络建立方法、装置及计算机可读存储介质
CN109660499B (zh) 攻击拦截方法和装置、计算设备及存储介质
CN110851828A (zh) 基于多维度特征的恶意url监测方法、装置和电子设备
KR101863569B1 (ko) 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant