本申请提供一种恶意流量识别方法、装置及设备,涉及数据识别技术领域。该恶意流量识别方法包括:还原待识别流量数据的通信信息,通信信息包括:服务器通信证书,并对服务器通信证书进行提取,得到证书注册信息,然后根据证书注册信息,对待识别流量数据进行分类,得到待识别流量数据的类别,待识别流量数据的类别用于指示待识别流量数据的恶意风险等级。本申请的方法,可基于待识别流量数据的证书注册信息对待识别流量数据进行分类,从而确定待识别流量数据是否存在恶意风险,通过智能检测,可提高待识别流量数据的检出率,对待识别流量数据的识别更加准确。据的识别更加准确。据的识别更加准确。
【技术实现步骤摘要】
恶意流量识别方法、装置及设备
[0001]本专利技术涉及数据识别领域,具体而言,涉及一种恶意流量识别方法、装置及设备。
技术介绍
[0002]近年来,基于超文本传输安全协议(Hypertext Transfer ProtocolSecure , HTTPS)方式进行木马回连通信的掩护方式越来越普遍,如何快速且精准的检测出HTTPS流量是否为恶意的就变得愈来愈重要,传统的入侵检测系统或者安全网关设备针对加密流量通常只能通过网络通信中标记为黑的互联网协议地址、标记为黑的域名地址等特征名单进行碰撞检测,进而关联出标记为黑的互联网协议地址、标记为黑的域名地址等对应的攻击行为,检测手段较为单一且检出率极低,更无法应对基于HTTPS密流的未知网络攻击行为的检测。
[0003]在实际网络攻防场景下,利用HTTPS掩护网络攻击的行为成为主要趋势,一方面HTTPS流量可以有效隐藏网络特征,另一方面对攻击行为及载荷进行良好的隐藏,虽然针对自身业务可利用证书进行流量解密,但相对于庞大的互联网应用站点而言,基本无法进行解密,所以针对HTTPS加密攻击流量的识别就成为当下网络攻防的技术难点。
技术实现思路
[0004]本专利技术的目的在于,针对上述现有技术中的不足,提供一种恶意流量识别方法、装置及设备,以便提高待识别流量数据的检出率,使得待识别流量数据的识别更加准确。
[0005]为实现上述目的,本申请实施例采用的技术方案如下:第一方面,本申请实施例提供了一种恶意流量识别方法,包括:还原待识别流量数据的通信信息,所述通信信息包括:服务器通信证书;从所述服务器通信证书中提取,得到证书注册信息;根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,所述待识别流量数据的类别用于指示所述待识别流量数据的恶意风险等级。
[0006]在可选的实施方式中,所述根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,包括:根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果;根据所述多个维度的类别检测结果确定所述待识别流量数据的类别。
[0007]在可选的实施方式中,所述多个维度的检测方法包括:语法检测;所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:采用预设的语法检测模型对所述证书注册信息进行语法检测,得到所述证书注册信息的语法检测结果,所述语法检测结果用于指示所述证书注册信息是否为随意填写的信息;
根据所述语法检测结果,得到第一类别检测结果。
[0008]在可选的实施方式中,所述多个维度的检测方法包括:域名检测;所述通信信息还包括:第一域名;所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:比对所述第一域名和所述证书注册信息中的第二域名是否一致,得到域名比对结果;根据所述域名比对结果,得到第二类别检测结果。
[0009]在可选的实施方式中,所述通信信息还包括:所述服务器通信证书的更新时间;所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:根据所述服务器通信证书的更新时间,以及所述服务器通信证书的历史更新时间,确定所述服务器通信证书的更新周期;判断所述更新周期是否小于预设更新周期,得到证书周期判断结果;根据所述证书周期判断结果,得到第三类别检测结果。
[0010]在可选的实施方式中,所述根据所述多个维度的类别检测结果确定所述待识别流量数据的类别,包括:若所述多个维度的类别检测结果中指示所述待识别流量数据的类型为存在恶意风险的流量数据,则判断所述通信信息中对应关系的变换周期的变换周期是否小于预设变换周期;若所述通信信息中对应关系的变换周期小于所述预设变换周期,则确定所述待识别流量数据的类别为恶意流量数据的类别。
[0011]在可选的实施方式中,所述根据所述多个维度的类别检测结果确定所述待识别流量数据的类别,还包括:若所述通信信息中对应关系的变换周期大于或等于所述预设变换周期,则对所述待识别流量数据的第一流量统计指标和预设安全流量数据的第二流量统计指标进行对比检测;若所述第一流量统计指标和所述第二流量统计指标的偏差大于或等于预设偏差阈值,则确定所述待识别流量数据的类别为恶意流量数据的类别。
[0012]在可选的实施方式中,所述根据所述多个维度的类别检测结果确定所述待识别流量数据的类别,还包括:若所述第一流量统计指标和所述第二流量统计指标的偏差小于所述预设偏差阈值,则根据所述多个维度的类别检测结果,得到所述待识别流量数据在所述多个维度的特征值;根据所述多个维度的特征值进行加权,得到所述待识别流量的目标特征值;根据所述待识别流量的目标特征值,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别。
[0013]第二方面,本申请实施例还提供了一种恶意流量识别装置,包括:还原模块,用于还原待识别流量数据的通信信息,所述通信信息包括:服务器通信
证书;提取模块,用于从所述服务器通信证书中提取,得到证书注册信息;分类模块,用于根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,所述待识别流量数据的类别用于指示所述待识别流量数据的恶意风险等级。
[0014]第三方面,本申请实施例还提供了一种计算机设备,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的程序指令,当计算机设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述程序指令,以执行上述第一方面任一所述的恶意流量识别方法的步骤。
[0015]第四方面,本申请实施例还提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述第一方面任一所述的恶意流量识别方法的步骤。
[0016]本申请的有益效果是:本申请实施例提供一种恶意流量识别方法、装置及设备,包括:还原待识别流量数据的通信信息,通信信息包括:服务器通信证书,并对服务器通信证书进行提取,得到证书注册信息,然后根据证书注册信息,对待识别流量数据进行分类,得到待识别流量数据的类别,待识别流量数据的类别用于指示待识别流量数据的恶意风险等级。本申请的方法,可基于待识别流量数据的证书注册信息对待识别流量数据进行分类,从而确定待识别流量数据是否存在恶意风险,通过智能检测,可提高待识别流量数据的检出率,对待识别流量数据的识别更加准确。
附图说明
[0017]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0018]图1为本申请实施例提供的一种本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意流量识别方法,其特征在于,包括:还原待识别流量数据的通信信息,所述通信信息包括:服务器通信证书;从所述服务器通信证书中提取,得到证书注册信息;根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,所述待识别流量数据的类别用于指示所述待识别流量数据的恶意风险等级。2.根据权利要求1所述的方法,其特征在于,所述根据所述证书注册信息,对所述待识别流量数据进行分类,得到所述待识别流量数据的类别,包括:根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果;根据所述多个维度的类别检测结果确定所述待识别流量数据的类别。3.根据权利要求2所述的方法,其特征在于,所述多个维度的检测方法包括:语法检测;所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:采用预设的语法检测模型对所述证书注册信息进行语法检测,得到所述证书注册信息的语法检测结果,所述语法检测结果用于指示所述证书注册信息是否为随意填写的信息;根据所述语法检测结果,得到第一类别检测结果。4.根据权利要求2所述的方法,其特征在于,所述多个维度的检测方法包括:域名检测;所述通信信息还包括:第一域名;所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:比对所述第一域名和所述证书注册信息中的第二域名是否一致,得到域名比对结果;根据所述域名比对结果,得到第二类别检测结果。5.根据权利要求2所述的方法,其特征在于,所述通信信息还包括:所述服务器通信证书的更新时间;所述根据所述证书注册信息,采用多个维度的检测方法,对所述待识别流量数据进行分类检测,得到多个维度的类别检测结果,包括:根据所述服务器通信证书的更新时间,以及所述服务器通信证书的历史更新时间,确定所述服务器通信证书的更新周期;判断所述更新周期是否小于预设更新周期,得到证书周期判断结果;根据所述证书周期判断结果,得到第三类别检测结果。6.根据权利要求2所...
【专利技术属性】
技术研发人员:姚先洪,林鹏,
申请(专利权)人:科来网络技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。