【技术实现步骤摘要】
用于识别异常行为的方法和装置
[0001]本申请实施例涉及计算机
,具体涉及用于识别异常行为的方法和装置。
技术介绍
[0002]大量的网站流量都被加密。加密技术可以为企业应用提供更强的隐私性和安全性,但同时攻击者也在利用这项技术将恶意软件的流量隐藏起来,从而躲避基于通信内容的安全检测。因此需要对加密流量进行异常识别的安全能力。
[0003]目前,加密流量的异常识别方式主要包括以下五种:其一,基于中间人原理的SSL(Secure Sockets Layer,安全套接层)代理解密流量来进行检测。其二,将入侵检测放置在负载均衡器后面,直接拿到解密流量。其三,通过证书指纹的安全检测。其四,网络层入侵检测与主机层入侵检测联动。其五,基于netflow-加强版的统计分析检测。
技术实现思路
[0004]本申请实施例提出了用于识别异常行为的方法和装置。
[0005]第一方面,本申请实施例提出了一种用于识别异常行为的方法,包括:提取网络流量的加密数据包的指纹信息和统计信息;对指纹信息进行异常指纹比对,输出指纹异常事件;对统计信息进行时序异常检测,输出时序异常事件;基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类,输出流量异常行为事件。
[0006]在一些实施例中,提取网络流量的加密数据包的指纹信息和统计信息,包括:利用目标端口对加密数据包进行过滤,提取指纹信息和统计信息。
[0007]在一些实施例中,提取指纹信息,包括:分别提取加密数据包中的客户端握手数据包和服务端...
【技术保护点】
【技术特征摘要】
1.一种用于识别异常行为的方法,包括:提取网络流量的加密数据包的指纹信息和统计信息;对所述指纹信息进行异常指纹比对,输出指纹异常事件;对所述统计信息进行时序异常检测,输出时序异常事件;基于行为特征对所述指纹异常事件与所述时序异常事件进行异常流量行为分类,输出流量异常行为事件。2.根据权利要求1所述的方法,其中,所述提取网络流量的加密数据包的指纹信息和统计信息,包括:利用目标端口对所述加密数据包进行过滤,提取所述指纹信息和所述统计信息。3.根据权利要求2所述的方法,其中,所述提取所述指纹信息,包括:分别提取所述加密数据包中的客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值;分别对所述客户端握手数据包和所述服务端握手数据包中的至少一个预设字段的字节值进行串联,生成客户端字符串和服务端字符串;分别计算所述客户端字符串和所述服务端字符串的模糊哈希值,生成客户端指纹和服务端指纹。4.根据权利要求2所述的方法,其中,所述提取所述统计信息,包括:周期性统计服务端IP和服务端端口的至少一项数据包统计信息。5.根据权利要求1所述的方法,其中,所述对所述指纹信息进行异常指纹比对,输出指纹异常事件,包括:将所述指纹信息在异常指纹库中进行匹配,输出指纹异常事件。6.根据权利要求1所述的方法,其中,所述对所述统计信息进行时序异常检测,输出时序异常事件,包括:对所述统计信息的时序指标进行单维度指标时序异常检测,输出时序异常事件。7.根据权利要求6所述的方法,其中,所述对所述统计信息的时序指标进行单维指标时序异常检测,输出时序异常事件,包括:确定所述统计信息的单维度时序指标是否是周期性数据;若是周期性数据,同比所述单维度时序指标的历史数据,确定是否存在时序异常事件。8.根据权利要求7所述的方法,其中,所述对所述统计信息的时序指标进行单维指标时序异常检测,输出时序异常事件,还包括:若不是周期性数据,环比所述单维度时序指标的临近数据,确定是否存在数据抖动;若存在数据抖动,将所述单维度时序指标的波动范围与恒定阈值进行比较,确定是否存在时序异常事件。9.根据权利要求8所述的方法,其中,所述对所述统计信息的时序指标进行单维指标时序异常检测,输出时序异常事件,还包括:若不存在数据抖动,计算所述维度时序指标的环比波动率,确定是否存在时序异常事件。10.根据权利要求1所述的方法,其中,所述基于行为特征对所述指纹异常事件与所述时序异常事件进行异常流量行为分类,输出流量异常行为事件,包括:
若存在时序异常事件,且消耗资源的握手数据包在总数据包中的占比大于占比阈值,确定存在挑战黑洞攻击事件;若存在时序异常事件,且对服务端固定端口频繁发送握手数据包与应用数据包,确定存在密码破解事件;若存在指纹异常事件,且与命令和控制服务器有通信行为,确定存在命令和控制攻击事件。11.一种用于识别异常行为的装置,包括:提取单元,被配置成...
【专利技术属性】
技术研发人员:李丹青,钱华钩,
申请(专利权)人:百度在线网络技术北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。