一种基于快速模式匹配的加密流量检测方法及装置制造方法及图纸

本发明专利技术提供了一种基于快速模式匹配的加密流量检测方法及装置。在应用该加密流量检测方法时，通过对待检测加密流量对应的发送端和接收端的设备信息进行分析以对待检测加密流量进行间接的模式匹配检测，无需直接对待检测加密流量进解密和安全性检测，可以避开直接检测待检测加密流量所面临的诸如解密耗时长和解密准确性低下的问题。由于第一设备信息、第二设备信息和通信协议是可以直接获取的，因而通过该加密流量检测方法能够快速地对加密流量进行模式匹配和检测。

An encrypted traffic detection method and device based on fast pattern matching

【技术实现步骤摘要】
一种基于快速模式匹配的加密流量检测方法及装置
本专利技术涉及大数据流量检测
，具体而言，涉及一种基于快速模式匹配的加密流量检测方法及装置。
技术介绍
随着越来越多的企业实现网络化和数字化，大量的服务和应用都采用加密技术作为确保信息安全的首要方法。作为重要的加密技术之一，加密流量已经广泛应用于网络通信中。虽然在许多方面，加密流量的增长对信息安全来说是一件好事，但是更高的加密率也给流量检测带来了挑战：由于加密后的流量可以避免被检测到，这使得大多数网络设备无法对正常信息对应的加密流量以及网络攻击和恶意软件对应的加密流量进行快速区分。
技术实现思路
为了改善上述问题，本专利技术提供了一种基于快速模式匹配的加密流量检测方法及装置。本专利技术实施例的第一方面，提供了一种基于快速模式匹配的加密流量检测方法，包括：获取与待检测加密流量匹配的发送端在第一设定时段内的第一设备信息以及与所述待检测加密流量匹配的接收端在第二设定时段内的第二设备信息；根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权本文档来自技高网...

【技术保护点】
1.一种基于快速模式匹配的加密流量检测方法，其特征在于，包括：/n获取与待检测加密流量匹配的发送端在第一设定时段内的第一设备信息以及与所述待检测加密流量匹配的接收端在第二设定时段内的第二设备信息；/n根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值；基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值；/n根据所述第二设备信息以及所述发送端与所述接收端之间的通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值；基于所述第二直接入侵权重值和所述第二间接入侵权重值确定所述接收端的接收入侵权重值；/n根据所述通信协议对所述发射入侵权重值...

【技术特征摘要】
1.一种基于快速模式匹配的加密流量检测方法，其特征在于，包括：
获取与待检测加密流量匹配的发送端在第一设定时段内的第一设备信息以及与所述待检测加密流量匹配的接收端在第二设定时段内的第二设备信息；
根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值；基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值；
根据所述第二设备信息以及所述发送端与所述接收端之间的通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值；基于所述第二直接入侵权重值和所述第二间接入侵权重值确定所述接收端的接收入侵权重值；
根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权，得到所述待检测加密流量的综合入侵权重值；
确定与所述综合入侵权重值匹配的目标权重区间，根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量。


2.如权利要求1所述的加密流量检测方法，其特征在于，根据所述第一设备信息确定所述发送端的第一直接入侵权重值和第一间接入侵权重值，具体包括：
获取所述第一设备信息中的第一入侵检测记录和第一通信交互记录；
确定所述第一入侵检测记录中的表征所述发送端在所述第一设定时段内存在入侵行为的第一检测结果以及所述第一检测结果对应的检测时刻；其中，所述入侵行为包括主动入侵行为和被动入侵行为；
根据所述检测时刻在所述第一设定时段内的相对时刻系数，确定所述第一检测结果的入侵影响系数；其中，所述相对时刻系数通过将所述检测时刻与所述第一设定时段的起始时刻进行比较得到，所述入侵检测影响系数用于表征所述发送端在当前时刻存在入侵行为的概率；
基于所述入侵影响系数确定所述发送端的第一直接入侵权重值；
确定所述第一通信交互记录中的与所述发送端在所述第一设定时段内存在通信的网络设备的第三直接入侵权重值，根据所述第三直接入侵权重值确定所述发送端的第一间接入侵权重值。


3.如权利要求2所述的加密流量检测方法，基于所述第一直接入侵权重值和所述第一间接入侵权重值确定所述发送端的发射入侵权重值，具体包括：
确定所述第一入侵检测记录中的检测结果的第一数量；
确定所述第一检测结果的第二数量；
根据所述第二数量与所述第一数量的比值对所述第一直接权重值和所述第一间接入侵权重值进行加权求和得到所述发射入侵权重值。


4.如权利要求1-3任一项所述的加密流量检测方法，其特征在于，根据所述第二设备信息以及所述通信协议确定所述接收端的第二直接入侵权重值和第二间接入侵权重值，具体包括：
获取所述第二设备信息中的第二入侵检测记录和第二通信交互记录；
根据所述第二入侵检测记录确定所述接收端的初始直接入侵权重值；根据所述通信协议中的协议字段的加密等级对所述初始直接入侵权重值进行修正得到所述第二直接入侵权重值；
根据所述第二通信交互记录确定所述接收端的初始间接入侵权重值；根据所述通信协议中的协议有效时长值对所述初始间接入侵权重值进行修正得到所述第二间接入侵权重值。


5.如权利要求1所述的加密流量检测方法，其特征在于，根据所述通信协议对所述发射入侵权重值和所述接收入侵权重值进行加权，得到所述待检测加密流量的综合入侵权重值，具体包括：
从所述通信协议中确定出所述发送端的第一流量处理性能参数以及所述接收端的第二流量处理性能参数；
根据所述第一流量处理性能参数相对于所述第二流量处理性能参数的占比，对所述发射入侵权重值和所述接收入侵权重值进行加权，得到所述待检测加密流量的综合入侵权重值。


6.如权利要求1所述的加密流量检测方法，其特征在于，根据所述目标权重区间对应的加密流量模式检测所述待检测加密流量是否为异常加密流量，具体包括：
确定所述目...

【专利技术属性】
技术研发人员：杨贻宏，
申请(专利权)人：上海飞旗网络技术股份有限公司，
类型：发明
国别省市：上海;31