【技术实现步骤摘要】
一种加密恶意流量的检测方法和装置
[0001]本专利技术涉及计算机
,具体而言,涉及一种加密恶意流量的检测方法和装置。
技术介绍
[0002]在真实的网络应用中,恶意加密流量检测往往是在非对称路由环境下进行。即在一些大型网络边界,如省际、国际网络出口等,此类网络由于路由配置等方面的技术原因,同一个数据流的上下行数据可能不是通过同一个线路传输,从而导致一些检测节点无法获得一个数据流的全部流量。即需要在非对称路由环境中进行数据流的恶意行为检测。
[0003]在非对称路由环境中,发现恶意加密流量的恶意行为方法可以分为两种:第一种是非数据流分析法;即利用离散的数据包直接分析发现其中可能的恶意加密流量;第二种是数据流分析法:在非对称路由环境下,尽其所能的还原部分数据流,对可以还原的数据流进行分析,其余数据丢弃;但第一种方法所能获得的流量信息有限,在不还原数据流的情况下,很难获得真正有意义的数据信息,导致分析的准确性下降;第二种方法基于数据流的分析方法在分析过程中虽然对于可还原的数据流具有较好的准确性,但是由于非对称路由的...
【技术保护点】
【技术特征摘要】
1.一种加密恶意流量的检测方法,其特征在于,包括:在网络边界上实时采集网络数据流,所述网络数据流包括网络层数据包和传输层数据包,基于所述网络层数据包和传输层数据包的特征,将所述数据流进行分组;对所述分组后的数据流,通过白名单进行数据过滤,获得剩余数据流;对所述剩余数据流进行计算,基于所述计算结果,预测可疑流量信息,并对所述可疑流量进行第一信息补充;其中,所述第一信息,包括:预测丢失数据包的大小、预测丢失数据包的上下行方向、预测丢失数据包的传输时间;基于主动网络探测所述可疑流量信息,对可疑流量进行第二信息补充;其中,所述第二信息包括:数字证书和服务端的算法套件信息;利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测。2.根据权利要求1所述的方法,其特征在于,所述在网络边界上实时采集网络数据,基于网络层和传输层的数据包特征,将数据流进行分组,包括:将五元组信息相同的数据包划分为一组;其中,所述五元组信息包括:源IP地址、目的IP地址、源端口、目的端口以及传输层协议类。3.根据权利要求2所述的方法,其特征在于,所述将五元组信息相同的数据包划分为一组之后,还包括:在同一组中,基于所述数据包的时间戳进行所述数据包排序;基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分;或者,对不带有所述特殊标识位且序列号差异超过第一设定值的所述数据包进行划分;其中,所述特殊标识位包括:SYN、FIN或RST。4.根据权利要求3所述的方法,其特征在于,所述基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分,包括:对数据包中包含特殊标识位且出现间隔时间超过第二设定值的所述数据包进行划分。5.根据权利要求1所述的方法,其特征在于,所述对所述分组后的数据流,通过白名单进行数据过滤,获得剩余数据流,包括:对所述分组后的数据流,基于服务端IP、数字证书和访问域名信息过滤掉白名单数据流。6.根据权利要求1所述的方法,其特征在于,所述对所述剩余数据流进行计算,基于所述计算结果,预测可疑流量信息,并对所述可疑流量...
【专利技术属性】
技术研发人员:ꢀ七四专利代理机构,
申请(专利权)人:极客信安北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。