【技术实现步骤摘要】
一种加密恶意流量家族识别方法、装置和电子设备
[0001]本专利技术涉及计算机
,具体而言,涉及一种加密恶意流量家族识别方法、装置和电子设备。
技术介绍
[0002]目前,随着加密业务的普及和安全意识的提高,互联网中使用加密业务进行通信的情况越来越多,各种加密网络协议如安全传输层(Transport Layer Security,TLS)协议等为网络通信带来更好的安全性。但是越来越多的恶意加密流量也同样使用这类加密协议进行通信。如何对恶意加密流量进行有效识别是亟待解决的问题。
技术实现思路
[0003]为解决上述问题,本专利技术实施例的目的在于提供一种加密恶意流量家族识别方法、装置和电子设备。
[0004]第一方面,本专利技术实施例提供了一种加密恶意流量家族识别方法,包括:
[0005]获取网络流量,解析出所述网络流量携带的多个服务端协商阶段信息和多个客户端协商阶段信息;
[0006]分别计算多个服务端协商阶段信息和多个客户端协商阶段信息的信息熵;
[0007]将多个所述...
【技术保护点】
【技术特征摘要】
1.一种加密恶意流量家族识别方法,其特征在于,包括:获取网络流量,解析出所述网络流量携带的多个服务端协商阶段信息和多个客户端协商阶段信息;分别计算多个服务端协商阶段信息和多个客户端协商阶段信息的信息熵;将多个所述服务端协商阶段信息和多个所述客户端协商阶段信息中信息熵小于等于信息熵阈值的信息确定为待识别信息;确定所述待识别信息中的连续可见字符数量;将连续可见字符数量小于字符数量阈值的所述待识别信息确定为检测信息;对所述检测信息进行哈希计算,得到所述检测信息的协商家族指纹;基于所述检测信息的协商家族指纹,确定出网络流量所属的加密恶意流量家族。2.根据权利要求1所述的方法,其特征在于,计算多个服务端协商阶段信息的信息熵,包括:统计多个所述服务端协商阶段信息中各服务端协商阶段信息所包含字符串的字节数量;分别统计各服务端协商阶段信息所包含字符串中每个字节取值的出现数量;通过以下公式计算各服务端协商阶段信息所包含的字符串中每个字节取值的出现概率:其中,Q(y
i
)表示各服务端协商阶段信息所包含的字符串中每个字节取值在服务端协商阶段信息所包含的字符串中的出现概率;x
i
表示各服务端协商阶段信息所包含字符串中每个字节取值的出现数量;m表示各服务端协商阶段信息所包含字符串的字节数量;基于得到的各服务端协商阶段信息所包含的字符串中每个字节取值的出现概率,计算得到多个服务端协商阶段信息中各服务端协商阶段信息的信息熵。3.根据权利要求2所述的方法,其特征在于,基于得到的各服务端协商阶段信息所包含的字符串中每个字节取值的出现概率,计算得到多个服务端协商阶段信息中各服务端协商阶段信息的信息熵,包括:通过以下公式计算多个服务端协商阶段信息中各服务端协商阶段信息的信息熵:其中,K(x)表示多个服务端协商阶段信息中各服务端协商阶段信息的信息熵;z为256。4.根据权利要求1所述的方法,其特征在于,基于所述检测信息的协商家族指纹,确定出网络流量所属的加密恶意流量家族,包括:利用所述检测信息的协商家族指纹,在恶意流量指纹库中进行遍历操作;其中,所述恶意流量指纹库中存储有恶意流量指纹与恶意流量家族名称的对应关系;当从所述恶意流量指纹库中查询出与所述协商家族指纹相同的恶意流量指纹时,确定所述网络流量属于与所述检测信息的协商家族指纹相同的恶意流量指纹对应的恶意流量家族名称指示的恶意流量家族。
5.一种加密恶意流量家族识别装置,其特征在于,包括:获取模块,用于获取网络流量,解析出所述网络流量携带的多个服务端协商阶段信息和多个客户端协商阶段信息;计算模块,用于分别计算多个服务端协商阶段信息和多个客户端协商阶段信息的信息熵;第一确定模块,用于将多个所述服务端协商...
【专利技术属性】
技术研发人员:梁易超,于海东,
申请(专利权)人:北京观成科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。