一种通信监控方法、装置和系统制造方法及图纸

本发明专利技术公开了一种通信监控方法、装置和系统，涉及计算机技术领域。该方法的一个具体实施方式包括：响应于两个通信节点之间建立通信连接，获取与通信连接相关的流量数据；从流量数据中提取节点特征信息；基于节点特征信息以及预设的与通信连接相匹配的评估策略，评估通信连接的综合分数；判断综合分数是否满足预设的与所述通信连接相匹配的通信安全条件，如果是，则确定通信连接安全；否则，确定通信连接存在风险。该实施方式能够有效地提高监控结果准确性，从而有效地提高通信安全。从而有效地提高通信安全。从而有效地提高通信安全。

【技术实现步骤摘要】
一种通信监控方法、装置和系统


[0001]本专利技术涉及计算机
，尤其涉及一种通信监控方法、装置和系统。

技术介绍

[0002]当前，TLS/SSL加密技术已广泛应用于互联网通信。其主要通过为通信双方建立TLS/SSL加密隧道，以使通信双方通过该TLS/SSL加密隧道进行机密通信。恶意攻击者、计算机病毒也同样使用TLS/SSL加密技术进行攻击破坏、传输数据，使TLS/SSL通信存在安全隐患。因此，需要对TLS/SSL通信进行监控，以发现和阻断TLS/SSL通信存在的隐患。
[0003]目前，针对TLS/SSL通信监控的方式主要是，利用统计或者机器学习等算法，对加密流量通信双方节点特征(比如IP、证书信息、域名等)和通信流量特征(比如包大小、频次、时间等)等进行统计和学习，形成监控规则，再使用检测规则对全部流量进行检测。不管是统计算法还是机器学习算法所统计的样本都是有限的。现有通信监控的局限性，很难满足TLS/SSL通信的场景具有多样性和变化性的需求，存在监控结果准确性较低的问题。

技术实现思路

[0004]有鉴于此，本专利技术实施例提供一种通信监控方法、装置和系统，能够有效地提高监控结果准确性，从而有效地提高通信安全。
[0005]为实现上述目的，第一方面，本专利技术实施例提供了一种通信监控方法，包括：
[0006]响应于两个通信节点之间建立通信连接，获取与所述通信连接相关的流量数据；
[0007]从所述流量数据中提取节点特征信息；
[0008]基于所述节点特征信息以及预设的与所述通信连接相匹配的评估策略，评估所述通信连接的综合分数；
[0009]判断所述综合分数是否满足预设的与所述通信连接相匹配的通信安全条件，如果是，则确定所述通信连接安全；否则，确定所述通信连接存在风险。
[0010]可选地，所述从所述流量数据中提取节点特征信息，包括：
[0011]在所述流量数据中检测握手协议数据包；
[0012]从所述握手协议数据包中提取出源协议地址、目的协议地址、端口以及证书信息。
[0013]可选地，所述评估所述通信连接的综合分数，包括：
[0014]基于所述源协议地址、所述目的协议地址、所述端口以及所述证书信息，确定与所述通信连接相关的证书分数、地址分数以及信誉分数；
[0015]利用所述证书分数、所述地址分数、所述信誉分数以及所述评估策略配置的第一类权重系数组合，计算所述通信连接的综合分数。
[0016]可选地，所述确定与所述通信连接相关的证书分数，包括：
[0017]确定所述评估策略配置的所述证书分数的结构，其中，所述证书分数的结构包括：证书合法维度、证书有效维度、证书热度维度以及证书黑名单维度中的任意一个或多个维度以及第二类权重系数组合；
[0018]为所述证书分数的结构包括的每一个维度计算对应的维度分数；
[0019]根据所述证书分数的结构包括的每一个维度对应的维度分数以及所述第二类权重系数组合，计算所述证书分数。
[0020]可选地，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：
[0021]针对所述证书分数的结构包括证书合法维度的情况，
[0022]利用预设的根证书，验证所述证书信息的合法性；
[0023]根据验证的结果以及所述评估策略配置的证书合法性计算策略，计算证书合法性分数。
[0024]可选地，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：
[0025]针对所述证书分数的结构包括证书有效维度的情况，
[0026]判断所述证书信息包括的证书有效时间是否有效；
[0027]根据判断的结果和所述评估策略配置的有效性评分策略，计算证书有效期分数。
[0028]可选地，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：
[0029]针对所述证书分数的结构包括证书热度维度的情况，
[0030]在存储的历史数据中查找所述证书信息，并统计设定周期内所述证书信息的证书次数；
[0031]根据统计出的证书次数和所述评估策略配置的热度计算策略，计算证书热度分数。
[0032]可选地，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：
[0033]针对所述证书分数的结构包括证书黑名单维度的情况，
[0034]在设置的证书黑名单中查找是否存在所述证书信息；
[0035]根据查找的结果和所述评估策略配置的证书黑名单计算策略，计算证书黑名单分数。
[0036]可选地，所述确定与所述通信连接相关的地址分数，包括：
[0037]确定所述评估策略配置的所述地址分数的结构，其中，所述地址分数的结构包括：链接对热度维度、服务热度维度、目的协议地址热度维度、源协议地址热度维度以及地址黑名单维度中的任意一个或多个维度以及第三类权重系数组合；
[0038]为所述地址分数的结构包括的每一个维度计算对应的维度分数；
[0039]根据所述地址分数的结构包括的每一个维度对应的维度分数以及所述第三类权重系数组合，计算所述地址分数。
[0040]可选地，
[0041]所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：
[0042]针对所述地址分数的结构包括链接对热度维度的情况，
[0043]在存储的历史数据中查找所述源协议地址、所述目的协议地址以及所述端口组成的链接对，并统计设定周期内查找出的所述链接对的次数；
[0044]根据查找出的所述链接对的次数以及所述评估策略配置的链接对热度计算策略，计算链接对热度分数。
[0045]可选地，
[0046]所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：
[0047]针对所述地址分数的结构包括服务热度维度的情况，
[0048]在存储的历史数据中查找所述目的协议地址以及所述端口组成的服务组合，并统计设定周期内查找出的所述服务组合的次数；
[0049]根据查找出的所述服务组合的次数以及所述评估策略配置的服务热度计算策略，计算服务热度分数。
[0050]可选地，所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：
[0051]针对所述地址分数的结构包括目的协议地址热度维度的情况，
[0052]在存储的历史数据中查找目的协议地址，并统计设定周期内查找出的所述目的协议地址的次数；
[0053]根据查找出的所述目的协议地址的次数以及所述评估策略配置的目的协议地址热度计算策略，计算目的协议地址热度分数。
[0054]可选地，所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：
[0055]针对所述地址分数的结构包括源协议地址热度维度的情况，
[0056]在存储的历史数据中查找源协议地址，并统计设定周期内查本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种通信监控方法，其特征在于，包括：响应于两个通信节点之间建立通信连接，获取与所述通信连接相关的流量数据；从所述流量数据中提取节点特征信息；基于所述节点特征信息以及预设的与所述通信连接相匹配的评估策略，评估所述通信连接的综合分数；判断所述综合分数是否满足预设的与所述通信连接相匹配的通信安全条件，如果是，则确定所述通信连接安全；否则，确定所述通信连接存在风险。2.根据权利要求1所述的方法，其特征在于，所述从所述流量数据中提取节点特征信息，包括：在所述流量数据中检测握手协议数据包；从所述握手协议数据包中提取出源协议地址、目的协议地址、端口以及证书信息。3.根据权利要求2所述的方法，其特征在于，所述评估所述通信连接的综合分数，包括：基于所述源协议地址、所述目的协议地址、所述端口以及所述证书信息，确定与所述通信连接相关的证书分数、地址分数以及信誉分数；利用所述证书分数、所述地址分数、所述信誉分数以及所述评估策略配置的第一类权重系数组合，计算所述通信连接的综合分数。4.根据权利要求3所述的方法，其特征在于，所述确定与所述通信连接相关的证书分数，包括：确定所述评估策略配置的所述证书分数的结构，其中，所述证书分数的结构包括：证书合法维度、证书有效维度、证书热度维度以及证书黑名单维度中的任意一个或多个维度以及第二类权重系数组合；为所述证书分数的结构包括的每一个维度计算对应的维度分数；根据所述证书分数的结构包括的每一个维度对应的维度分数以及所述第二类权重系数组合，计算所述证书分数。5.根据权利要求4所述的方法，其特征在于，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：针对所述证书分数的结构包括证书合法维度的情况，利用预设的根证书，验证所述证书信息的合法性；根据验证的结果以及所述评估策略配置的证书合法性计算策略，计算证书合法性分数。6.根据权利要求4所述的方法，其特征在于，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：针对所述证书分数的结构包括证书有效维度的情况，判断所述证书信息包括的证书有效时间是否有效；根据判断的结果和所述评估策略配置的有效性评分策略，计算证书有效期分数。7.根据权利要求4所述的方法，其特征在于，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：针对所述证书分数的结构包括证书热度维度的情况，在存储的历史数据中查找所述证书信息，并统计设定周期内所述证书信息的证书次
数；根据统计出的证书次数和所述评估策略配置的热度计算策略，计算证书热度分数。8.根据权利要求4所述的方法，其特征在于，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：针对所述证书分数的结构包括证书黑名单维度的情况，在设置的证书黑名单中查找是否存在所述证书信息；根据查找的结果和所述评估策略配置的证书黑名单计算策略，计算证书黑名单分数。9.根据权利要求3所述的方法，其特征在于，所述确定与所述通信连接相关的地址分数，包括：确定所述评估策略配置的所述地址分数的结构，其中，所述地址分数的结构包括：链接对热度维度、服务热度维度、目的协议地址热度维度、源协议地址热度维度以及地址黑名单维度中的任意一个或多个维度以及第三类权重系数组合；为所述地址分数的结构包括的每一个维度计算对应的维度分数；根据所述地址分数的结构包括的每一个维度对应的维度分数以及所述第三类权重系数组合，计算所述地址分数。10.根据权利要求9所述的方法，其特征在于，所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：针对所述地址分数的结构包括链接对热度维度的情况，在存储的历史数据中查找所述源协议地址、所述目的协议地址以及所述端口组成的链接对，并统计设定周期内查找出的所述链接对的次数；根据查找出的所述链接对的次数以及所述评估策略配置的链接对热度计算策略，计算链接对热度分数。11.根据权利要求9所述的方法，其特征在于，所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：针对所述地址分数的结构包括服务热度维度的情况，在存储的历史数据中查找所述目的协议地址以及所述端口组成的服务组合，并统计设定周期内查找出的所述服务组合的次数；根据查找出的所述服务组合的次数以及所述评估策略配置的服务热度计算策略，计算服务热度分数。12.根据权利要求9所述的方法，其特征在于，所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：针对所述地址分数的结构包括目的协议地址热度维度的情况，在存储的历史数据中查找目的协议地址，并统计设定周期内查找出的所述目的协议地址的次数；根据查找出的所述目的协议地址的次数以及所述评估策略配置的目的协议地址热度计算策略，计算目的协议地址热度分数。13.根据权利要求9所述的方法，其特征在于，所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：针对所述地址分数的结构包括源协议地址热度维度的情况，
在存储的历史数据中查找源协议地址，并统计设定周期内查找出的所述源协议地址的次数；根据查找出的所述源协议地址的次数以及所述评估策略配置的源协议地址热度计算策略，计算源协议地址热度分数。14.根据权利要求9所述的方法，其特征在于，所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：针对所述地址分数的结构包括地址黑名单维度的情况，在设置的地址黑名单中查找是否存在所述源协议地址和/或所述目的协议地址；根据查找的结果和所述评估策略配置的地址黑名单计算策略，计算地址黑名单分数。15.根据权利要求3所述的方法，其特征在于，所述确定与所述通信连接相关的信誉分数，包括：确定所述评估策略配置的所述地址信誉分数的结构...

【专利技术属性】
技术研发人员：冯林琳，吕毅，霍云，刘磊，
申请(专利权)人：中国人民银行数字货币研究所，
类型：发明
国别省市：