【技术实现步骤摘要】
恶意通信检测方法、系统、存储介质和电子设备
[0001]本申请涉及网络安全领域,特别涉及恶意通信检测方法、系统、存储介质和电子设备。
技术介绍
[0002]对于黑客工具的检测,当前通常需要提取黑客工具的静态特征来进行匹配,但黑客工具在使用的过程中,配置文件可以由使用者自行定义,而大部分使用黑客工具的人都会修改默认配置,传统的检测仅针对于默认配置文件,导致检测存在漏报,影响检测成功率。其次部分黑客工具的静态特征本身就是模仿正常流量,例如url(Uniform Resource Locator,统一资源定位器)设置为bootstrap.min.js、jquery.min.js这种常见的url,导致特征的提取会存在大量的误报情况。由此可见,基于黑客工具的静态特征进行检测存在较大的漏报率和误报率。
[0003]因此,如何提高针对于黑客工具的检测成功率,从而避免漏报和误报是本领域技术人员亟需解决的技术问题。
技术实现思路
[0004]本申请的目的是提供一种恶意通信检测方法、恶意通信检测系统、计算机可读存储介质和...
【技术保护点】
【技术特征摘要】
1.一种恶意通信检测方法,其特征在于,包括:获取待检测通信流量;对所述待检测通信流量进行流量加解码,得到通信特征;判断所述通信特征是否存在匹配的恶意通信模式;若是,确认所述待检测通信流量为恶意通信流量。2.根据权利要求1所述恶意通信检测方法,其特征在于,判断所述通信特征是否存在匹配的恶意通信模式包括:调用恶意通信模式数据表判断是否存在包含所有通信特征的恶意通信模式。3.根据权利要求2所述恶意通信检测方法,其特征在于,判断所述通信特征是否存在匹配的恶意通信模式之前,还包括:获取黑客工具的配置文件;解析所述黑客工具配置文件对应的数据包加密方式,得到加密特征;所述加密特征包括加密方法、加密时间和加密对象;将所述加密特征作为恶意通信模式添加至所述恶意通信模式数据表。4.根据权利要求2所述恶意通信检测方法,其特征在于,判断所述通信特征是否存在匹配的恶意通信模式之前,还包括:获取黑客工具的黑客流量;对所述黑客流量进行解析,整合所述黑客流量的弱特征得到所述恶意通信模式,并添加至所述恶意通信模式数据表;所述弱特征包括URL信息、流量时间戳和编码值中的任一种或任意几种的组合。5.根据权利要求1所述恶意通信检测方法,其特征在于,若所述待检测通信流量的通信特征存在匹配的恶意通信模式,在确认所述待检测通信流量为恶意通信流量之前,还包括:根据所述待检测通信流量所匹配恶意通信模式对应的加密方式对所述待检测通信流量进行反向解密;若解密成功,执行确认所述待检测通信流量为恶意通信流量的步骤。6.根...
【专利技术属性】
技术研发人员:钱赵荣,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。