一种针对多级跳转网页的检测方法技术

本发明专利技术公开了一种针对多级跳转网页的检测方法。该方法包括：针对各级页面TLS加密流量的协议指纹和页面结构指纹分别对单级页面进行检测、提取各级页面检测结果的时间属性和客户端IP属性并对多级页面进行关联。本发明专利技术通过深入挖掘现有特征、多维度引入关联特征，可以很好应对当前云平台下出现的多应用共用服务器资源、同IP承载多种网络服务、不同服务共用域名情况，对云平台下恶意网页流量有较好的检测效果。测效果。测效果。

【技术实现步骤摘要】
一种针对多级跳转网页的检测方法


[0001]本专利技术属于网络安全
，特别是一种针对多级跳转网页的检测方法。

技术介绍

[0002]在监管力度愈发增强的背景下，恶意网页往往呈现出家族特性，家族恶意网页之间往往通过互相跳转来相互引流。网页的多级跳转特征就是从用户行为角度出发，描述用户在访问网页时从一级页面通过链接跳转到次级页面行为的特征。针对恶意网页检测问题，通过引入多级跳转特征，可以丰富现有的特征空间，提高恶意网页流量检测的准确性。
[0003]随着社会数字化转型的深入推进，虚假信息、网络诈骗、安全漏洞、数据泄露、勒索病毒等网络安全威胁也日益凸显，而这些威胁的载体通常就是恶意网页。据国家互联网应急中心CNCERT发布的《2020年我国互联网网络安全态势综述》显示，2020年监测到恶意仿冒页面约20万个，同比增长1.4倍；国内10家试点浏览器厂商全年提示拦截恶意钓鱼网站次数达3.9亿次；大多监管到的恶意网页是金融、电信领域相关，但是也有不少教育、政务相关的恶意网页，可以看出，恶意网页不仅可以侵害公民的思想和财产，甚至对社会稳定、国家安全也有威胁。因此对恶意网页检测识别问题的研究具有很重要的现实意义。
[0004]对于传统HTTP恶意网页，大多数的研究成果都是基于网页的静态特征，主要包括主机信息、URL信息、页面信息三类，其中主机信息主要利用的是WHOIS、DNS信息，URL信息主要利用的是URL及其各组件字符串的长度、特殊字符的词袋特征等，页面信息主要包括HTML、Javascript信息以及域内外HTTP请求数目比例等。但是据Netmarketshare机构统计，截至2019年10月全球使用HTTPS加密的网页流量比例超过九成，加密服务的使用限制了传统依赖页面内容的检测技术的应用范围，依据传统静态特征的检测分析方法在实际管控的网关处实用效果较差。
[0005]目前针对恶意网页HTTPS流量，已有研究成果大多针对基于TLS明文负载信息、加密部分数据包长度序列、包间时延序列等特征对加密恶意网页流量进行检测，这些特征总体可以概括为数据包级别特征和会话流级别特征两类特征。但是随着云计算、CDN技术的日益成熟，越来越多的网页部署到云端，恶意网页也混杂在其中。在这样的背景下，加密恶意网页流量的检测课题也面临着新挑战，云平台部署造成的多应用共用资源、同IP承载多种网络服务、不同服务共用域名等情况(见图)都让甄别恶意网页加密流量的难度进一步加大。面对这些挑战，常用数据包级别特征和会话流级别特征也不能对恶意网页进行强有力地表征，需要引入更多角度的特征丰富已有的特征空间。

技术实现思路

[0006]本专利技术的目的在于针对上述现有技术存在的问题，提供一种针对多级跳转网页的检测方法，用以实现对目标网页的有效检测。
[0007]实现本专利技术目的的技术解决方案为：一种针对多级跳转网页的检测方法，所述方法包括以下步骤：
[0008]步骤1，提取各级页面安全传输层协议TLS加密流量数据包的负载信息，并与协议指纹特征进行比对；
[0009]步骤2，基于各级页面的页面结构特征，提取页面TLS加密流量数据包的负载长度序列；
[0010]步骤3，提取多级页面检测日志的客户端IP属性和时间属性，之后根据不同页面检测日志客户端IP属性和时间属性间的关联信息，精准筛选检测日志得出关联日志。
[0011]进一步地，步骤1中所述提取各级页面TLS加密流量数据包的负载信息之前还包括：
[0012]根据源地址、目的地址、源端口、目的端口、协议五元组解析出TCP数据流；
[0013]根据序列号、确认号对所述TCP数据流进行排序；
[0014]通过协议筛选手段从TCP数据流中提取TLS协议流量。
[0015]进一步地，步骤1中所述提取各级页面TLS加密流量数据包的负载信息之后还包括：获取TLS协议握手部分的指纹特征信息。
[0016]进一步地，所述与协议指纹特征进行比对，具体为：将获取到的TLS指纹特征信息与预先总结好的各级网页流量的TLS指纹特征信息进行比对。
[0017]进一步地，所述TLS协议握手部分的指纹特征信息包括：
[0018]TLS握手阶段的Clienthello包信息；
[0019]TLS握手阶段的Serverhello包信息；
[0020]其中，所述Clienthello包信息具体包括：
[0021]Clienthello包中TLS层和handshake层的version字段；
[0022]Clienthello包中Session ID字段；
[0023]Clienthello包中扩展字段中的SNI字段和ALPN字段；
[0024]所述Serverhello包信息具体包括：
[0025]Serverhello包中的Supported Version字段。
[0026]进一步地，步骤2中所述提取页面TLS加密流量数据包的负载长度序列之后还包括：
[0027]提取TLS流量TCP数据流长度序列前100个带负载的数据包负载长度；
[0028]根据数据包方向标记正负：标记客户端到服务器为上行，上行为正，服务器到客户端为下行，下行为负；
[0029]依据预先总结的各级页面的页面结构特征，在提取的100个数据包负载长度序列中，通过窗口滑动的方式寻找特定页面结构特征对应的长度序列片段；
[0030]依据上述两级指纹，即网页流量的TLS协议指纹特征和基于页面结构的长度序列特征，对多级跳转网页链中的单级网页进行检测，最终输出检测日志。
[0031]进一步地，所述各级页面的页面结构特征包括：网页框架，网站logo和特定静态资源；所述特定静态资源包括javascript、层叠样式表css、背景图。
[0032]进一步地，步骤3所述提取多级页面检测日志的客户端IP属性和时间属性之后还包括：
[0033]对各级页面检测结果的客户端IP属性进行关联；
[0034]对各级页面检测结果的时间属性进行关联。
[0035]进一步地，所述对各级页面检测结果的客户端IP属性进行关联，具体包括：比对各级网页检测日志的客户端IP属性，将有相同客户端IP的日志信息筛选出来。
[0036]进一步地，所述对各级页面检测结果的时间属性进行关联，具体包括：
[0037]对于拥有相同客户端IP的多级跳转页面检测日志，判断日志的时间属性组成的时间序列顺序是否与访问网页行为的顺序一致。
[0038]本专利技术与现有技术相比，其显著优点：
[0039]1)通过从用户行为角度引入新的会话层面流量特征—多级页面跳转行为特征，可以丰富恶意网页流量检测的特征集合，提高检测的准确性。
[0040]2)通过从页面资源角度深入挖掘恶意网页加密流量的时空特征，获得对恶意网页加密流量描述性更强的检测特征，提高对恶意网页流量检测能力。
[0041]总体来说，本本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种针对多级跳转网页的检测方法，其特征在于，所述方法包括以下步骤：步骤1，提取各级页面安全传输层协议TLS加密流量数据包的负载信息，并与协议指纹特征进行比对；步骤2，基于各级页面的页面结构特征，提取页面TLS加密流量数据包的负载长度序列；步骤3，提取多级页面检测日志的客户端IP属性和时间属性，之后根据不同页面检测日志客户端IP属性和时间属性间的关联信息，精准筛选检测日志得出关联日志。2.根据权利要求1所述的针对多级跳转网页的检测方法，其特征在于，步骤1中所述提取各级页面TLS加密流量数据包的负载信息之前还包括：根据源地址、目的地址、源端口、目的端口、协议五元组解析出TCP数据流；根据序列号、确认号对所述TCP数据流进行排序；通过协议筛选手段从TCP数据流中提取TLS协议流量。3.根据权利要求1或2所述的针对多级跳转网页的检测方法，其特征在于，步骤1中所述提取各级页面TLS加密流量数据包的负载信息之后还包括：获取TLS协议握手部分的指纹特征信息。4.根据权利要求3所述的针对多级跳转网页的检测方法，其特征在于，所述与协议指纹特征进行比对，具体为：将获取到的TLS指纹特征信息与预先总结好的各级网页流量的TLS指纹特征信息进行比对。5.根据权利要求3所述的针对多级跳转网页的检测方法，其特征在于，所述TLS协议握手部分的指纹特征信息包括：TLS握手阶段的Clienthello包信息；TLS握手阶段的Serverhello包信息；其中，所述Clienthello包信息具体包括：Clienthello包中TLS层和handshake层的version字段；Clienthello包中Session ID字段；Clienthello包中扩展字段中的SNI字段和ALPN字段；所述Serverhello包...

【专利技术属性】
技术研发人员：沈昊，刘伟伟，胡嘉睿，胡梁宏，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：