恶意流量检测方法、装置及设备制造方法及图纸

技术编号：40080561 阅读：18 留言：0更新日期：2024-01-17 02:38

本申请提供一种恶意流量检测方法、装置及设备，该方法包括：获取待检测数据包；在待检测数据包为HTTPs协议的数据包的情况下，依据待检测数据包的会话五元组信息，确定待检测数据包所属会话；确定密码卡中与该会话关联的加解密信道，并通过该加解密信道对待检测数据包的应用层数据进行解密，并利用解密后的应用层数据替换待检测数据包中未解密的应用层数据；在待检测数据包为HTTP协议或HTTPs协议的数据包的情况下，确定待检测数据包的类型；在待检测数据包的类型为响应数据包的情况下，基于待检测数据包的应用层数据和攻击成功特征进行匹配，以确定待检测数据包是否属于恶意流量。该方法可以提高恶意流量检测的全面性。

全部详细技术资料下载

【技术实现步骤摘要】

本申请涉及网络安全，尤其涉及一种恶意流量检测方法、装置及设备。

技术介绍

1、目前的恶意流量检测方法有很多，基于特征匹配、基于机器学习、基于深度学习等。

2、然而，目前的恶意流量检测方法大多集中于检测网站是否被攻击，例如，向网页发起的请求中是否存在恶意流量，而并不关注网页本身是否存在异常。

技术实现思路

1、有鉴于此，本申请提供一种恶意流量检测方法、装置及设备。

2、具体地，本申请是通过如下技术方案实现的：

3、根据本申请实施例的第一方面，提供一种恶意流量检测方法，包括：

4、获取待检测数据包；

5、在所述待检测数据包为https协议的数据包的情况下，依据所述待检测数据包的会话五元组信息，确定所述待检测数据包所属会话；

6、确定密码卡中与该会话关联的加解密信道，并通过该加解密信道对所述待检测数据包的应用层数据进行解密，并利用解密后的应用层数据替换所述待检测数据包中未解密的应用层数据；其中，所述密码卡中设置有多个加解密信道，每个加解密信道用于处理预先分配的待监测web服务关联的会话的加解密操作；

7、在所述待检测数据包为http协议或https协议的数据包的情况下，确定所述待检测数据包的类型；其中，数据包的类型包括请求数据包或响应数据包，所述请求数据包用于请求对待监测web服务进行访问，所述响应数据包用于待监测web服务对访问请求进行响应；

8、在所述待检测数据包的类型为响应数据包的情况下

9、根据本申请实施例的第二方面，提供一种恶意流量检测装置，包括：

10、获取单元，用于获取待检测数据包；

11、第一确定单元，用于在所述待检测数据包为https协议的数据包的情况下，依据所述待检测数据包的会话五元组信息，确定所述待检测数据包所属会话；

12、解密单元，用于确定密码卡中与该会话关联的加解密信道，并通过该加解密信道对所述待检测数据包的应用层数据进行解密，并利用解密后的应用层数据替换所述待检测数据包中未解密的应用层数据；其中，所述密码卡中设置有多个加解密信道，每个加解密信道用于处理预先分配的待监测web服务关联的会话的加解密操作；

13、第二确定单元，用于在所述待检测数据包为http协议或https协议的数据包的情况下，确定所述待检测数据包的类型；其中，数据包的类型包括请求数据包或响应数据包，所述请求数据包用于请求对待监测web服务进行访问，所述响应数据包用于待监测web服务对访问请求进行响应；

14、检测单元，用于在所述待检测数据包的类型为响应数据包的情况下，基于所述待检测数据包的应用层数据和攻击成功特征进行匹配，以确定所述待检测数据包是否属于恶意流量。

15、根据本申请实施例的第五方面，提供一种电子设备，包括处理器和存储器，其中，

16、存储器，用于存放计算机程序；

17、处理器，用于执行存储器上所存放的程序时，实现第一方面提供的方法。

18、本申请实施例的恶意流量检测方法，通过在密码卡中设置多个加解密信道，每个加解密信道用于处理预先分配的待监测web服务关联的会话的加解密操作，对于获取到的待检测数据包，在确定待检测数据包为https协议的数据包的情况下，依据待检测数据包的会话五元组信息，确定待检测数据包所属会话，确定密码卡中与该会话关联的加解密信道，通过该加解密信道对待检测数据包的应用层数据进行解密，并利用解密后的应用层数据替换待监测数据包中未解密的应用层数据；在待检测数据包为http协议或https协议的数据包的情况下，还可以确定待检测数据包的类型，进而，在待检测数据包的类型为响应数据包的情况下，基于待检测数据包的应用层数据和攻击成功特征进行匹配，以确定待检测数据包是否属于恶意流量，恶意流量检测不再局限于对请求访问待监测web服务的数据包进行检测，对于待监测web服务进行请求响应的响应数据包，也进行恶意流量监测，从而，可以实现对https协议的流量的安全检测，通过密码卡实现https协议的数据包的应用层数据的解密，提高了解密的效率和安全性；此外，可以对web服务被成功攻击的情况进行有效检测，提高恶意流量检测的全面性，进而，提高了设备安全性。

本文档来自技高网...

【技术保护点】

1.一种恶意流量检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述确定密码卡中与该会话关联的加解密信道，并通过该加解密信道对所述待检测数据包的应用层数据进行解密，包括：

3.根据权利要求2所述的方法，其特征在于，所述密码卡中的加解密信道包括分配给各待监测Web服务的加解密信道，以及，备份加解密信道；

4.根据权利要求1所述的方法，其特征在于，所述基于所述待检测数据包的应用层数据和攻击成功特征进行匹配，包括：

5.根据权利要求4所述的方法，其特征在于，所述攻击成功特征包括网页数据中存在敏感信息、网页数据中存在恶意链接，以及，网页内容被篡改；

6.根据权利要求4所述的方法，其特征在于，在通过对所述待检测数据包的应用层数据进行网页相似性比较触发了针对所述待检测数据包的告警的情况下，所述方法还包括：

7.一种恶意流量检测装置，其特征在于，包括：

8.根据权利要求7所述的装置，其特征在于，所述解密单元确定密码卡中与该会话关联的加解密信道，并通过该加解密信道对所述待检测数据包的应用层数据进行解密，包括：

9.根据权利要求7所述的装置，其特征在于，所述检测单元基于所述待检测数据包的应用层数据和攻击成功特征进行匹配，包括：

10.一种电子设备，其特征在于，包括处理器和存储器，其中，

...

【技术特征摘要】

1.一种恶意流量检测方法，其特征在于，包括：

3.根据权利要求2所述的方法，其特征在于，所述密码卡中的加解密信道包括分配给各待监测web服务的加解密信道，以及，备份加解密信道；

4.根据权利要求1所述的方法，其特征在于，所述基于所述待检测数据包的应用层数据和攻击成功特征进行匹配，包括：

5.根据权利要求4所述的方法，其特征在于，所述攻击成功特征包括网页数据中存在敏感信息、网页数据中存在恶意链接，以及，网页内...

【专利技术属性】
技术研发人员：王滨，张峰，郭瀚亭，吴昊，何承润，王冲华，万里，周少鹏，
申请(专利权)人：杭州海康威视数字技术股份有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人