【技术实现步骤摘要】
一种加密正常流量的过滤方法、装置和电子设备
[0001]本专利技术涉及计算机
,具体而言,涉及一种加密正常流量的过滤方法、装置和电子设备。
技术介绍
[0002]网络通信是当前几乎所有企业和个人都会涉及的信息应用,随着企业以及个人用户对于信息安全的重视程度越来越高,当前网络通信中加密技术的使用场景越来越多。网络通信中加密技术,即通过加密方法让通信内容无法被网络上除通信双方之外的其他用户识别。
[0003]与此同时,各类恶意程序如网络木马、蠕虫等在与控制端进行通信时,为了躲避网络检测设备的识别,往往也采用加密流量通信。这就造成了正常加密流量与恶意加密流量无法区分的问题。为网络安全检测带来了很大的挑战。目前恶意加密流量检测往往采用机器学习等智能化方法进行检测,该类检测方法的准确性与检测模型的复杂性息息相关,因此,如果存在大量的加密流量需要进行精细模型检测,则效率无法保证。
[0004]况且,随着CDN、反向代理等技术的广泛应用,IP+端口无法准确描述一个服务是否为正常服务,有可能一个“IP+端口”元组对应多...
【技术保护点】
【技术特征摘要】
1.一种加密正常流量的过滤方法,其特征在于,包括:提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,其中,所述元数据包括:服务端IP、服务端口、SNI、数字证书哈希值;所述待过滤五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;基于预先确定的五元组规则,对所述待过滤五元组数据进行过滤;基于预先确定的三元组规则,对所述待过滤五元组数据进行过滤;经过所述五元组规则和三元组规则过滤,获得加密正常流量的过滤数据。2.根据权利要求1所述的方法,其特征在于,所述提取会话层流量过滤所需的元数据,对所述元数据进行统计得到待过滤五元组数据,包括:提取服务端IP、服务端口、SNI、数字证书;对所述数字证书进行哈希计算,获得数字证书哈希值;将所述服务端IP、服务端口、SNI、数字证书哈希值共同作为Key值,对所述Key值在第一设定时间段内出现的数据流数进行统计,得到所述第一设定时间段内的数据流计数;由所述服务端IP、服务端口、SNI、数字证书哈希值和数据流计数构成所述待过滤五元组数据。3.根据权利要求1所述的方法,其特征在于,所述预先确定的五元组规则,包括:提取会话层流量过滤所需的元数据,对所述元数据进行统计得到基准五元组数据,其中,所述基准五元组数据包括:服务端IP、服务端口、SNI、数字证书哈希值和数据流计数;基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则。4.根据权利要求3所述的方法,其特征在于,所述基于非法数字证书信息和SNI主机域名信息预先确定所述五元组规则,包括:对所述数字证书进行验证,得到非法数字证书;通过对所述非法数字证书进行哈希计算,获得非法数字证书哈希值;基于所述非法数字证书哈希值过滤所述基准五元组数据,将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入回溯数据集;以及,基于预先确定的知名域名库,对所述基准五元组数据中的SNI主机域名信息进行过滤,得到非知名域名;将过滤掉的所述基准五元组数据中的所述服务IP和服务端口放入所述回溯数据集;基于所述回溯数据集中的所述服务IP和服务端口对应的所述基准五元组数据构建五元组过滤的规则。...
【专利技术属性】
技术研发人员:ꢀ七四专利代理机构,
申请(专利权)人:极客信安北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。