【技术实现步骤摘要】
本专利技术涉及流量检测,尤其涉及一种基于分段信息熵的异常证书检测方法及系统。
技术介绍
1、在网络安全防护中,异常流量检测是十分重要的一环。当前网络中大多数应用层数据已采用https方式传输,在异常流量中也呈现ssl协议逐渐增多的趋势,例如许多隐蔽信道开始采用tls/ssl协议进行搭建、一些私有协议常使用tls进行封装。
2、鉴于tls/ssl协议的特性,其负载被完全加密,而头部字段大多结构相似,没有明显的内容差异,很难区分正常流量和异常流量。目前较常见的方法,是从tls头部指纹,如ja3指纹;链接行为和ip域名信誉角度入手,检测流量是否存在异常,但这类方法的特征都是不直接的,例如对于恶意流量来说,ja3指纹在线上流量中很难找到完全一致的,而链接行为可能被网络波动、浏览器缓存等多种机制干扰。
3、在加密过程中,数字证书是必不可缺的一环,且能够表明证书使用者方身份,因此可以考虑使用数字证书。tls/ssl协议为了加密数据,需要协商双方密钥,因此需要用到ssl数字证书。在一般流程中,ssl证书是由可信的证书授权机构颁...
【技术保护点】
1.一种基于分段信息熵的异常证书检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述表现自然语义的字段包括:证书颁发者字段、证书使用者字段、通用名字段、组织字段、所在城市字段、所在省份字段、所在国家字段、电子邮件字段、其他字段、有效期字段和可选使用者字段。
3.根据权利要求1所述的方法,其特征在于,所述根据若干正常证书中表现自然语义的字段的熵值,生成该字段的门限范围,包括:
4.根据权利要求3所述的方法,其特征在于,所述计算每一组正常证书所对应的各个字段值的平均熵值,包括:
5.根据权利要...
【技术特征摘要】
1.一种基于分段信息熵的异常证书检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述表现自然语义的字段包括:证书颁发者字段、证书使用者字段、通用名字段、组织字段、所在城市字段、所在省份字段、所在国家字段、电子邮件字段、其他字段、有效期字段和可选使用者字段。
3.根据权利要求1所述的方法,其特征在于,所述根据若干正常证书中表现自然语义的字段的熵值,生成该字段的门限范围,包括:
4.根据权利要求3所述的方法,其特征在于,所述计算每一组正常证书所对应的各个字段值的平均熵值,包括:
5.根据权利要求4所述的方法,其特征在于,所述基于所述统计列表计算各个字段值的熵值之前,还包括:
...【专利技术属性】
技术研发人员:欧阳林澍,孙睿,段凌轩,刘路,杨晓恬,丁庸,
申请(专利权)人:中资网络信息安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。