WO2021139643A1

WO2021139643A1 - 加密攻击网络流量检测方法，其装置及电子设备

Info

Publication number: WO2021139643A1
Application number: PCT/CN2021/070252
Authority: WO
Inventors: 徐丙凤
Original assignee: 南京林业大学
Priority date: 2020-01-07
Filing date: 2021-01-05
Publication date: 2021-07-15
Also published as: CN111010409B; CN111010409A

Abstract

本发明实施例公开了加密攻击网络流量检测方法、其装置及电子设备。该方法包括：在网络中识别加密流量并获取的标识信息；根据所述标识信息，确定所述加密流量对应的服务器和终端；统计目标时间范围内，服务器被访问的频数以及终端访问服务器的情况；分别确定所述服务器是否存在异常，所述终端是否存在异常以及所述加密流量的行为是否存在异常；在所述服务器、终端以及加密流量的行为存在异常时，确定所述加密流量为加密攻击网络流量。该方法可以检测出具备拥有合法证书、合法域名以及大量的C&C服务器的攻击者，为复杂的网络入侵攻击提供早期预警功能。

Description

加密攻击网络流量检测方法，其装置及电子设备

技术领域

本发明涉及网络安全防护技术领域，尤其涉及一种加密攻击网络流量检测方法、其装置及电子设备。

背景技术

在典型的网络攻击过程中，黑客首先利用主机漏洞，入侵网络用户的主机。然后，让用户主机访问特定服务器，下载具体的恶意代码程序。恶意代码程序运行后，会主动连接黑客所拥有的命令与控制服务器(C&C服务器)，接受攻击指令或者上传窃取的用户隐私数据。在此过程中，恶意代码程序连接C&C服务器大多采用加密方式以躲避检测。因而识别出加密形式的网络恶意流量具有重要意义，如可以切断恶意代码程序与C&C服务器的连接，从而阻止实际的网络攻击发生。

目前，已经有大量工作针对加密网络流量的异常检测展开了研究。其中，典型的代表工作为思科公司的Stealthwatch产品。Stealthwatch利用机器学习方法来识别异常加密流量，其考虑的主要特征是恶意攻击流量(TLS流量)的X.509证书与正常TLS流量的X.509证书有着明显区别。

此外，还有其它工作分析DNS域名来检测恶意加密网络流量，如域名为随机生成等的方式。

在实现本发明过程中，发明人发现相关技术存在以下问题：在实际网络攻击场景中，特别是在APT攻击中，入侵者具备国家或特定机构背景，其大多拥有合法X.509证书。因此，采用机器学习类型的方法易失效。而且，在APT等攻击中，黑客大多拥有合法和正常域名，因而即使使用分析DNS域名等分析等方法也存在着一定局限。

发明内容

针对上述技术问题，本发明实施例提供了一种加密攻击网络流量检测方法、其装置及电子设备，以解决现有的加密网络流量异常检测在复杂的网络入侵攻击时容易失效和存在局限性的问题。

本发明实施例的第一方面提供一种加密攻击网络流量检测方法。其中，所述检测方法包括：

在网络中识别加密流量并获取所述加密流量的标识信息；根据所述标识信息，确定所述加密流量对应的服务器和终端；统计目标时间范围内，服务器被访问的频数以及终端访问服务器的情况；根据所述服务器被访问的频数，确定所述服务器是否存在异常；根据所述终端访问服务器的情况，确定所述终端是否存在异常；根据所述加密流量的上行流量和所述下行流量的报文数量值，确定所述加密流量的行为是否存在异常；在所述服务器、终端以及加密流量的行为存在异常时，确定所述加密流量为加密攻击网络流量。

可选地，所述标识信息包括：源IP地址、源端口、目的IP地址以及目的端口；其中，所述源IP地址和源端口用于表示终端；所述目的IP地址和目的端口用于表示服务器。

可选地，获取所述加密流量的标识信息，具体包括：

在所述加密流量的报文头部提取源IP地址、源端口、目的IP地址以及目的端口作为所述加密流量的标识；

将每一个加密流量的记录时间、源IP地址、源端口、目的IP地址以及目的端口作为一条加密流量记录，存储到数据库中。

可选地，统计目标时间范围内服务器被访问的频数，具体包括：

在所述数据库中，以目的IP地址和目的端口为关键词进行检索；

保留所述检索结果中，记录时间与当前时间的差值小于所述目标时间范围的加密流量记录；

统计所述保留的加密流量记录的数量，作为所述服务器被访问的频数。

可选地，统计目标时间范围内，终端访问服务器的情况，具体包括：

在所述数据库中，以源IP地址为关键词进行检索；

统计所述保留的加密流量记录中，每个服务器出现的次数；

记录所述出现次数小于预设访问阈值的服务器的数量。

可选地，所述根据所述服务器被访问的频数，确定所述服务器是否存在异常，具体包括：判断所述频数是否小于预设的频数阈值；若是，则确定所述服务器存在异常；

所述根据所述终端访问服务器的情况，确定所述终端是否存在异常，具体包括：判断所述服务器的数量是否大于等于预设的服务器数量阈值；若是，则确定所述源IP地址对应的终端存在异常。

可选地，根据所述上行流量和所述下行流量的报文数量值，确定所述加密流量的行为是否存在异常，具体包括：

统计所述加密流量的上行流量和下行流量的报文数量值，所述上行流量为终端发送至服务器的报文，所述下行流量为服务器发送至终端的报文；

在所述上行流量的报文数量值大于所述下行流量时，判断所述上行流量的报文数量值是否大于预设的上行阈值；

若是，确定所述加密流量的行为存在异常；

在所述下行流量的报文数量值小于所述上行流量时，判断所述下行流量的报文数量值是否小于预设的下行阈值；

若是，确定所述加密流量的行为存在异常。

本发明实施例的第二方面提供了一种加密攻击网络流量的异常检测装置。其中，该装置包括：

加密流量识别模块，用于在网络中识别加密流量并获取所述加密流量的标识信息；分析模块，用于根据所述标识信息，确定所述加密流量对应的服务器和终端，并且统计目标时间范围内，服务器被访问的频数以及终端访问服务器的情况；服务器异常确定模块，用于根据所述服务器被访问的频数，确定所述服务器是否存在异常；终端异常确定模块，用于根据所述终端访问服务器的情况，确定所述终端是否存在异常；加密流量异常确定模块，用于根据所述加密流量的上行流量和所述下行流量的报文数量值，确定所述加密流量的行为是否存在异常；异常检测模块，用于在所述服务器、终端以及加密流量的行为存在异常时，确定所述加密流量为加密攻击网络流量。

本发明实施例的第三方面提供了一种电子设备。该电子设备包括处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放计算机可执行指令，所述可执行指令使所述处理器执行如上所述的加密攻击网络流量的异常检测方法的步骤。

本发明实施例的第四方面提供了一种非易失性计算机存储介质。其中，所述非易失性存储介质中存储有至少计算机可执行指令，所述可执行指令使处理器执行如上所述的加密攻击网络流量的异常检测方法的步骤。

本发明实施例提供的技术方案中，结合服务器异常、终端异常和网络流量自身的网络行为异常三者进行加密流量的安全检测，实现对加密恶意流量的检测。基于本发明提供的独特检测方法，可以检测出攻击者具备强大的国家或特定机构背景，拥有合法证书、合法域名以及大量的C&C服务器的加密网络流量，为复杂的网络入侵攻击提供早期预警功能。

附图说明

图1为本发明实施例的加密攻击网络流量检测方法的一个实施例示意图；

图2为本发明另一实施例的网络流量检测方法的一个实施例示意图；

图3a为本发明实施例的TLS加密类型的攻击加密流量的一个实施例示意图；

图3b为本发明实施例的一周内网络流量的一个实施例示意图；

图3c为图3a所示的加密流量的地址属性的一个实施例示意图；

图4为本发明实施例的加密攻击网络流量检测装置的一个实施例示意图；

图5为本发明实施例的电子设备的一个实施例示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本说明书所使用的术语“垂直的”、“水平的”、“左”、“右”、 “上”、“下”、“内”、“外”、“底部”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

除非另有定义，本说明书所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本说明书中在本发明的说明书中所使用的术语只是为了描述具体的实施方式的目的，不是用于限制本发明。本说明书所使用的术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

图1为本发明实施例提供的加密攻击网络流量检测方法。该方法可以应用于网络流量的监控，为网络和终端设备提供良好的安全防护，避免攻击者的攻击。如图1所示，该检测方法可以包括如下步骤：

步骤110：在网络中识别加密流量并获取所述加密流量的标识信息。

在一些实施例中，可以通过典型的加密网络安全协议(包括TLS、SSH以及IKE等)解析流量。若解析成功，则可以被确定为加密流量。

在解析不成功时，还可以进一步的利用报文字节的熵值进行判断。如在熵值接近8的情况下，可以识别确定为加密流量。当然，还可以通过其他任何类型的方式从网络流量中识别和筛选出加密流量。

标识信息是从加密流量的IP报文头部中提取获得的，可以用于区分不同加密流量的相关数据信息。这些数据信息可以用于描述和定义不同的加密流量。

步骤120：根据所述标识信息，确定所述加密流量对应的服务器和终端。

具体的，该标识信息可以包括：源IP地址、源端口、目的IP地址以及目的端口组成的四元组，用于区分不同的加密流量。其中，所述源IP地址和源端口用于表示终端；所述目的IP地址和目的端口用于表示服务器。

亦即，通过源IP地址和源端口可以作为终端的标识。而目的IP地址和目的端口可以作为服务器的标识。

在一些实施例中，首先，在所述加密流量的报文头部提取源IP地址、源端口、目的IP地址以及目的端口作为所述加密流量的标识。

然后，将每一个加密流量的记录时间、源IP地址(SrcIP)、源端口(SrcPort)、目的IP地址(DstIP)以及目的端口(DstPort)作为一条加密流量记录，存储到数据库中。

由此，形成了可以记录多条加密流量记录的数据库。每一条加密流量记录中记录有该加密流量的记录时间、源IP地址、源端口、目的IP地址以及目的端口的值。

具体的，数据库中的数据存储格式可以为：<记录时间、源IP地址、源端口、目的IP地址、目的端口>。每个字段下记录有该加密流量对应的值。

步骤130：统计目标时间范围内，服务器被访问的频数以及终端访问服务器的情况。

该目标时间范围是一个预设的数值，可以根据实际情况进行设置，可以是任何合适的时间长度。基于数据库内存储的加密流量记录，可以相应的确定与加密流量相关的服务器和终端的具体使用情况，从而进一步分析和确定服务器和终端是否存在异常。

步骤140：根据所述服务器被访问的频数，确定所述服务器是否存在异常。

在常见的网络入侵攻击和高级隐蔽攻击APT中，黑客大多会设置多个C&C服务器已保证攻击的活性。为躲避检测，运行于终端上的恶意程序软件定期获取C&C服务器最新IP地址，然后访问该C&C服务器。

因而每个IP地址访问的频数较低，大多仅访问一次。由此，可以通过服务器在特定时间范围内被访问的频数来判断是否存在异常。

具体的，可以通过如下方式统计服务器被访问的频数：

首先在数据库中，可以以目的IP地址(DstIP)以及目的端口(DstPort)作为关键词进行检索，获得对应的检索结果。

然后，仅保留检索结果中，记录时间与当前时间之间的差在预先设定的目标时间范围内的记录，其余不属于该目标时间范围内的记录责备丢弃。

最后，统计在保留的加密流量记录中，各个目的IP地址(DstIP)以及目的端口(DstPort)所对应的服务器被访问的频数。

在一些实施例中，可以通过一个预设的频数阈值来辅助判断是否存在服务器的异常。该频数阈值是一个经验性数值，可以由技术人员根据实际情况和经验数据而进行设置和调整。

当服务器被访问的频数低于设定的频数阈值时，可以认为该服务器存在异常。若否，则确认该服务器的状态正常。

步骤150：根据所述终端访问服务器的情况，确定所述终端是否存在异常。

在常见的网络入侵攻击和高级隐蔽攻击APT中，会存在终端定期访问C&C服务器的行为模式。因此，还可以根据终端对服务器的访问情况来判断终端是否存在异常。

具体的，可以通过如下方式来统计终端访问服务器的情况：

首先，在所述数据库中，以源IP地址为关键词进行检索以分析其历史数据。搜索结果中可以获取各个源IP地址对应的终端的加密流量的其他标识信息的值。

然后，仅保留所述检索结果中记录时间与当前时间的差值小于所述目标时间范围的加密流量记录。基于所述保留的加密流量记录，可以统计被保留的加密流量记录中每个服务器出现的次数。

最后，记录所述出现次数小于预设访问阈值的服务器的数量。当所述服务器的数量大于等于预设的服务器数量阈值时，可以认为终端符合“定期访问多个C&C服务器”的行为模式，很有可能以将访问过C&C服务器，从而确定所述源IP地址对应的终端存在异常。

步骤160：根据所述加密流量的上行流量和所述下行流量的报文数量值，确定所述加密流量的行为是否存在异常。

恶意程序软件连接至C&C服务器，会获取最新的攻击代码或上传数据。因此，加密流量自身的行为也可以用于帮助判断是否存在网络攻击的问题(如上行数据较多或下行网络流量符合软件下载特征)。

具体的，确定所述加密流量的行为是否存在异常的步骤可以分为上行流量和下行流量两种不同的情况分别进行处理。

首先，统计所述加密流量的上行流量和下行流量的报文数量值。其中，所述上行流量为终端发送至服务器的报文，所述下行流量为服务器发送至终端的报文。当然，在仅统计数据长度大于0的报文。

一方面，在所述上行流量的报文数量值大于所述下行流量时，判断所述上行流量的报文数量值是否大于预设的上行阈值。若是，确定所述加密流量的行为存在异常。若否，则确定无异常。

另一方面，在所述下行流量的报文数量值小于所述上行流量时，判断所述下行流量的报文数量值是否小于预设的下行阈值。若是，确定所述加密流量的行为存在异常。若否，则确定无异常。

当然，该上行阈值和下行阈值也是经验性数值，可以由技术人员根据实际情况的需要而进行设置。

步骤170：在所述服务器、终端以及加密流量的行为存在异常时，确定所述加密流量为加密攻击网络流量。

当服务器、终端以及加密流量自身的三个方面均被检测认为存在异常时，可以认为此时的网络行为模式与网络攻击的模式非常接近，具有很大的概率已经受到了网络攻击，检测确定为加密攻击网络流量。

本发明实施例提供的检测方法结合网络攻击的特点(运行于终端上的恶意程序软件对每个IP地址访问的频数较低，存在多个异常IP地址的访问并且上行数据较多或下行网络流量符合软件下载特征的模式特征)，从服务器异常、终端异常和加密网络流量本身异常3个方面，综合判断加密流量是否为加密攻击网络流量，可以有效的保障网络安全，避免现有技术中存在的缺陷和局限性，能够实现早期风险预警。

图2为本发明另一实施例提供的加密流量检测方法的方法流程图。图3a为本发明实施例提供的TLS加密类型的攻击加密流量的示意图，图3b为本发明实施例提供的目标时间范围的网络流量示意图，图3c为本发明实施例提供的图3a所示的地址属性示意图。

以下结合图2和图3所示的内容，详细描述本发明实施例提供的加密流量检测方法的具体应用过程：

在实际应用场景中，如图2所示，该方法包括：

步骤210：读取网络流量。

该应用场景是对校园局域网进行流量监控。例如，可以捕获到如图3a所示的加密流量(该加密流量的目的IP地址为185.250.204.126)。

步骤220：判断是否为加密流量。若是，执行步骤230，若否，返回步骤210，读取新的网络流量。

具体可以利用TLS协议结构解析该流量。在解析成功时，即可判断图3a所示的流量为加密流量。

步骤230：提取目的IP地址、目的端口号、源IP地址以及报文数量值。

如图3b所示，在本实施例中目标时间范围为一周，可以统计目的地址和目的端口号出现的频数，从而确定<185.250.204.126,447>出现的次数为3次。

另外，针对图3a所示的网络流量的源IP地址(10.10.2.101)，可以分析该终端主机在一周内的加密流量并统计每个加密流量对应的目的地址出现的频数。

进一步地，还可以统计分析图3b所示的上行和下行流量的报文数量。其中，上行流量中数据长度大于0的报文数量为366，下行流量中数据长度大于0的报文数量为1029，即属于下行流量大于上行流量的情况。

步骤240：判断服务器的访问频次是否小于设定的访问阈值。若是，执行步骤250；若否，执行步骤280。

由于<185.250.204.126,447>出现的次数小于设定的阈值ThS＝100，从而可以判断与<185.250.204.126,447>对应的服务器异常。

步骤250：判断访问异常服务器的次数是否大于设定的数量阈值，若是，执行步骤260；若否，执行步骤280。

如图3b所示，终端主机(10.10.2.101)共访问173.214.174.107、80.79.23.144、216.239.32.21各一次，访问185.250.204.126两次。亦即，访问异常服务器的次数大于等于设定的阈值ThN＝3。因此，可以判断终端主机(10.10.2.101)的网络行为存在异常。

步骤260：判断是否存在上传数据或下载软件的行为，若是，执行步骤 270；若否，执行步骤280。

在本实施例中，由于属于下行流量大于上行流量的情况，并且下行流量的报文数量小于设定的阈值ThP2＝3000。因此，可以判断该加密流量网络行为异常。

步骤270：确定该加密流量为攻击加密流量。

结合步骤240至步骤260的判断结果，当三个步骤均确定存在异常时，可以最终确定图3a所示的加密流量为恶意攻击流量。

步骤280：确定该加密流量不是攻击加密流量。

如图3c所示，可以看到185.250.204.126地址对应的服务器实际上为TrickBot僵尸网络的C&C服务器，说明本发明实施例提供的检测方法可以有效的实现对于攻击加密流量的检测。

综上所述，本发明实施例提供的检测方法结合服务器异常、终端网络行为异常以及加密网络流量本身行为异常三方面，实现加密恶意流量检测。

其中，针对服务器异常，使用访问频数为检测指标，即访问频度低则服务器异常，与C&C服务器的访问特征相符。

针对终端异常，则以访问异常服务器的频数为检测指标。恶意程序需访问C&C服务器获取攻击或更新指令，且C&C服务器的IP地址动态切换，因而终端会表现出大量访问异常服务器此特征。

而针对加密网络流量本身，则判断其行为是否为上传数据或下载软件更新。在行为属于上传数据或者下载软件更新则确定为异常，与一般的攻击行为模式相符。

本发明实施例还提供了一种加密攻击网络流量检测装置。如图4所示，该装置包括：加密流量识别模块410，分析模块420，服务器异常确定模块430，终端异常确定模块440，加密流量异常确定模块450以及异常检测模块460。

其中，加密流量识别模块410用于在网络中识别加密流量并获取所述加密流量的标识信息。分析模块420用于根据所述标识信息，确定所述加密流量对应的服务器和终端，并且统计目标时间范围内，服务器被访问的频数以及终端访问服务器的情况。服务器异常确定模块430用于根据所述服务器被访问的频数，确定所述服务器是否存在异常。终端异常确定模块440用于根据所述终端访问服务器的情况，确定所述终端是否存在异常。加密流量异常确定模块450用于根据所述加密流量的上行流量和所述下行流量的报文数量值，确定所述加密流量的行为是否存在异常。异常检测模块460用于在所述服务器、终端以及加密流量的行为存在异常时，确定所述加密流量为加密攻击网络流量。

本发明实施例还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的加密攻击网络流量检测方法。

图5示出了本发明实施例提供的电子设备实施例的结构示意图，本发明具体实施例并不对电子设备的具体实现做限定。

如图5所示，该电子设备可以包括：处理器(processor)502、通信接口(Communications Interface)504、存储器(memory)506、以及通信总线508。

其中，处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。通信接口504，用于与其它设备比如客户端或其它服务器等的网元通信。处理器502，用于执行程序510，具体可以执行上述加密攻击网络流量检测方法实施例中的相关步骤。

具体地，程序510可以包括程序代码，该程序代码包括计算机操作指令。

处理器502可能是中央处理器CPU，或者是特定集成电路ASIC(Application Specific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。电子设备包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个CPU；也可以是不同类型的处理器，如一个或多个CPU以及一个或多个ASIC。

存储器506，用于存放程序510。存储器506可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

程序510具体可以用于使得处理器502执行以下操作：

在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

可以理解的是，对本领域普通技术人员来说，可以根据本发明的技术方案及本发明构思加以等同替换或改变，而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。

Claims

一种加密攻击网络流量检测方法，其特征在于，包括：

在网络中识别加密流量并获取所述加密流量的标识信息；

根据所述标识信息，确定所述加密流量对应的服务器和终端；

统计目标时间范围内，服务器被访问的频数以及终端访问服务器的情况；

根据所述服务器被访问的频数，确定所述服务器是否存在异常；

根据所述终端访问服务器的情况，确定所述终端是否存在异常；

根据所述加密流量的上行流量和所述下行流量的报文数量值，确定所述加密流量的行为是否存在异常；

在所述服务器、终端以及加密流量的行为存在异常时，确定所述加密流量为加密攻击网络流量。
根据权利要求1所述的方法，其特征在于，所述标识信息包括：源IP地址、源端口、目的IP地址以及目的端口；其中，所述源IP地址和源端口用于表示终端；所述目的IP地址和目的端口用于表示服务器。
根据权利要求2所述的方法，其特征在于，获取所述加密流量的标识信息，具体包括：

在所述加密流量的报文头部提取源IP地址、源端口、目的IP地址以及目的端口作为所述加密流量的标识；

将每一个加密流量的记录时间、源IP地址、源端口、目的IP地址以及目的端口作为一条加密流量记录，存储到数据库中。
根据权利要求3所述的方法，其特征在于，统计目标时间范围内服务器被访问的频数，具体包括：

在所述数据库中，以目的IP地址和目的端口为关键词进行检索；

保留所述检索结果中，记录时间与当前时间的差值小于所述目标时间范围的加密流量记录；

统计所述保留的加密流量记录的数量，作为所述服务器被访问的频数。
根据权利要求3所述的方法，其特征在于，统计目标时间范围内，终端访问服务器的情况，具体包括：

在所述数据库中，以源IP地址为关键词进行检索；

保留所述检索结果中，记录时间与当前时间的差值小于所述目标时间范围的加密流量记录；

统计所述保留的加密流量记录中，每个服务器出现的次数；

记录所述出现次数小于预设访问阈值的服务器的数量。
根据权利要求4所述的方法，其特征在于，所述根据所述服务器被访问的频数，确定所述服务器是否存在异常，具体包括：

判断所述频数是否小于预设的频数阈值；

若是，则确定所述服务器存在异常；

所述根据所述终端访问服务器的情况，确定所述终端是否存在异常，具体包括：

判断所述服务器的数量是否大于等于预设的服务器数量阈值；

若是，则确定所述源IP地址对应的终端存在异常。
根据权利要求3所述的方法，其特征在于，根据所述上行流量和所述下行流量的报文数量值，确定所述加密流量的行为是否存在异常，具体包括：

统计所述加密流量的上行流量和下行流量的报文数量值，所述上行流量为终端发送至服务器的报文，所述下行流量为服务器发送至终端的报文；

在所述上行流量的报文数量值大于所述下行流量时，判断所述上行流量的报文数量值是否大于预设的上行阈值；

若是，确定所述加密流量的行为存在异常；

在所述下行流量的报文数量值小于所述上行流量时，判断所述下行流量的报文数量值是否小于预设的下行阈值；

若是，确定所述加密流量的行为存在异常。
一种加密攻击网络流量检测装置，其特征在于，包括：

加密流量识别模块，用于在网络中识别加密流量并获取所述加密流量的标识信息；

分析模块，用于根据所述标识信息，确定所述加密流量对应的服务器和终端，并且统计目标时间范围内，服务器被访问的频数以及终端访问服务器的情况；

服务器异常确定模块，用于根据所述服务器被访问的频数，确定所述服务器是否存在异常；

终端异常确定模块，用于根据所述终端访问服务器的情况，确定所述终端是否存在异常；

加密流量异常确定模块，用于根据所述加密流量的上行流量和所述下行流量的报文数量值，确定所述加密流量的行为是否存在异常；

异常检测模块，用于在所述服务器、终端以及加密流量的行为存在异常时，确定所述加密流量为加密攻击网络流量。
一种电子设备，其特征在于，包括处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放计算机可执行指令，所述计算机可执行指令使所述处理器执行如权利要求1-7任一项所述的加密攻击网络流量检测方法的步骤。
一种非易失性计算机存储介质，其特征在于，所述非易失性存储介质中存储有计算机可执行指令，所述计算机可执行指令使处理器执行如权利要求1-7任一项所述的加密攻击网络流量检测方法的步骤。