本发明专利技术公开了一种加密数据流的监测方法,第一电子设备与第二电子设备进行加密数据流的通信握手;在通信握手的过程中,提取加密数据流中的第一数据包;若第一数据包为预设数据包,从加密数据流中提取第一特征信息;基于第一特征信息,生成加密数据流的分析结果;本发明专利技术的实施例同时还公开了一种第一电子设备和存储介质,实现对加密流的握手信息进行提取,确保在传输恶意流量之前便可以检测到恶意流量,并对恶意流量进行处理,以使得在恶意行为发生之前阻止其发生变得可行。发生之前阻止其发生变得可行。发生之前阻止其发生变得可行。
【技术实现步骤摘要】
一种加密数据流的监测方法、第一电子设备和存储介质
[0001]本专利技术涉及但不限于通信领域,尤其涉及一种加密数据流的监测方法、第一电子设备和存储介质。
技术介绍
[0002]随着安全套接层(Secure Sockets Layer,SSL)及安全传输层(Transport Layer Security,TLS)的广泛使用,网络中的加密流量逐年增加。同时,越来越多的恶意软件也采用SSL/TLS协议对通信数据进行了加密,这使得传统的深度包检测方法的精度大幅降低。基于机器学习的加密恶意流量的检测方法应运而生,该检测方法首先获取整个网络加密流量产生的数据包,然后从该数据包中提取信息,最后基于提取的信息进行恶意流量检测;可见,相关技术中必须获取整个网络加密流量产生的数据包,并且只能在加密恶意流量结束后才能给出检测结果。
技术实现思路
[0003]有鉴于此,本专利技术实施例提供一种加密数据流的监测方法、第一电子设备和存储介质,解决了相关技术中必须获取整个网络加密流量产生的数据包,并且只能在加密恶意流量结束后才能给出检测结果的问题,实现对加密流的握手信息进行提取,确保在传输恶意流量之前便可以检测到恶意流量,并对恶意流量进行处理,以使得在恶意行为发生之前阻止其发生变得可行。
[0004]为达到上述目的,本专利技术的技术方案是这样实现的:
[0005]一种加密数据流的监测方法,所述方法包括:
[0006]第一电子设备与第二电子设备进行加密数据流的通信握手;
[0007]在所述通信握手的过程中,提取所述加密数据流中的第一数据包;
[0008]若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息;
[0009]基于所述第一特征信息,生成所述加密数据流的分析结果。
[0010]可选的,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:
[0011]获取所述第一数据包中的五元组;
[0012]若所述五元组与所述第一电子设备的内存中存储的五元组不同,确定所述第一数据包为所述加密数据流中的第一个数据包,并从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第一个数据包。
[0013]可选的,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:
[0014]获取所述第一数据包的标识信息;
[0015]若所述标识信息表征所述第一数据包为所述第一电子设备与所述第二电子设备在通信握手完成时产生的第二数据包,从所述加密数据流中提取所述第一特征信息;其中,
所述预设数据包包括所述第二数据包。
[0016]可选的,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:
[0017]若所述第一数据包为所述预设数据包,获取所述加密数据流中的第二特征信息的属性;
[0018]从所述第二特征信息中提取属性符合预设属性的第二特征信息,得到所述第一特征信息;其中,所述预设属性用于表征以下至少之一:包特征信息、握手信息和证书信息。
[0019]可选的,所述基于所述第一特征信息,生成所述加密数据流的分析结果,包括:
[0020]对所述第一特征信息进行量化处理,得到目标特征参数;
[0021]将所述目标特征参数输入至随机森林模型,得到所述分析结果。
[0022]可选的,所述对所述第一特征信息进行量化处理,得到目标特征参数,包括:
[0023]若所述第一特征信息包括预设字段,对所述第一特征信息进行量化处理,得到第一特征参数;
[0024]若所述第一特征信息不包括所述预设字段,对所述第一特征信息进行量化处理,得到第二特征参数;其中,所述目标特征参数包括所述第二特征参数与所述第一特征参数,且所述第二特征参数与所述第一特征参数不同。
[0025]一种第一电子设备,所述第一电子设备包括:处理器、存储器和通信总线;
[0026]所述通信总线用于实现处理器和存储器之间的通信连接;
[0027]所述处理器用于执行存储器中存储的加密数据流的监测程序,以实现以下步骤:
[0028]第一电子设备与第二电子设备进行加密数据流的通信握手;
[0029]在所述通信握手的过程中,提取所述加密数据流中的第一数据包;
[0030]若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息;
[0031]基于所述第一特征信息,生成所述加密数据流的分析结果。
[0032]可选的,所述处理器还用于实现以下步骤:
[0033]获取所述第一数据包中的五元组;
[0034]若所述五元组与所述第一电子设备的内存中存储的五元组不同,确定所述第一数据包为所述加密数据流中的第一个数据包,并从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第一个数据包。
[0035]可选的,所述处理器还用于实现以下步骤:
[0036]获取所述第一数据包的标识信息;
[0037]若所述标识信息表征所述第一数据包为所述第一电子设备与所述第二电子设备在通信握手完成时产生的第二数据包,从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第二数据包。
[0038]可选的,所述处理器还用于实现以下步骤:
[0039]若所述第一数据包为所述预设数据包,获取所述加密数据流中的第二特征信息的属性;
[0040]从所述第二特征信息中提取属性符合预设属性的第二特征信息,得到所述第一特征信息;其中,所述预设属性用于表征以下至少之一:包特征信息、握手信息和证书信息。
[0041]可选的,所述处理器还用于实现以下步骤:
[0042]对所述第一特征信息进行量化处理,得到目标特征参数;
[0043]将所述目标特征参数输入至随机森林模型,得到所述分析结果。
[0044]可选的,所述处理器还用于实现以下步骤:
[0045]若所述第一特征信息包括预设字段,对所述第一特征信息进行量化处理,得到第一特征参数;
[0046]若所述第一特征信息不包括所述预设字段,对所述第一特征信息进行量化处理,得到第二特征参数;其中,所述目标特征参数包括所述第二特征参数与所述第一特征参数,且所述第二特征参数与所述第一特征参数不同。
[0047]一种存储介质,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如上述的加密数据流的监测方法的步骤。
[0048]本专利技术实施例所提供的加密数据流的监测方法、第一电子设备和存储介质,第一电子设备与第二电子设备进行加密数据流的通信握手;在通信握手的过程中,提取加密数据流中的第一数据包;若第一数据包为预设数据包,从加密数据流中提取第一特征信息;基于第一特征信息,生成加密数据流的分析结果;解决了相关技术中必须获取整个网络加密流量产生的数据包,并且只能在加密恶意流量结本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种加密数据流的监测方法,其特征在于,所述方法包括:第一电子设备与第二电子设备进行加密数据流的通信握手;在所述通信握手的过程中,提取所述加密数据流中的第一数据包;若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息;基于所述第一特征信息,生成所述加密数据流的分析结果。2.根据权利要求1所述的方法,其特征在于,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:获取所述第一数据包中的五元组;若所述五元组与所述第一电子设备的内存中存储的五元组不同,确定所述第一数据包为所述加密数据流中的第一个数据包,并从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第一个数据包。3.根据权利要求1所述的方法,其特征在于,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:获取所述第一数据包的标识信息;若所述标识信息表征所述第一数据包为所述第一电子设备与所述第二电子设备在通信握手完成时产生的第二数据包,从所述加密数据流中提取所述第一特征信息;其中,所述预设数据包包括所述第二数据包。4.根据权利要求1所述的方法,其特征在于,所述若所述第一数据包为预设数据包,从所述加密数据流中提取第一特征信息,包括:若所述第一数据包为所述预设数据包,获取所述加密数据流中的第二特征信息以及所述第二特征信息的属性;从所述第二特征信息中提取属性符合预设属性的第二特征信息,得到所述第一特征信息;其中,所述预设属性用于表征以下至少之一:包特征信息、握手信息和证书信息。5.根据权利要求1所述的方法,其特征在于,所述基于所述第一特征信息,生成所述加密数据流的分析结果,包括:对所述第一特征信息进行量化处理,得到目标特征参数;将所述目标特征参数输入至随机森林模型,得到所述分析结果。6.根据权利要求5所述的方法,其特征在于...
【专利技术属性】
技术研发人员:何亮忠,承成,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。