一种检测伪造流量的方法、装置及电子设备制造方法及图纸

本发明专利技术提供了一种检测伪造流量的方法、装置及电子设备，其中，该方法包括：获取待处理的加密流量；根据密码套件特征判断加密流量中的握手消息是否异常，在握手消息异常时，确定加密流量为伪造流量；判断证书特征是否异常，在证书特征异常时，确定加密流量为伪造流量；根据证书特征判断握手消息是否异常，在握手消息异常时，确定加密流量为伪造流量；判断数据包特征是否异常，在数据包特征异常时，确定加密流量为伪造流量。通过本发明专利技术实施例提供的检测伪造流量的方法、装置及电子设备，从多个维度对加密流量进行检测，能够比较准确地检测出伪造流量，检测精度高；且该检测方式简单，不需要大量计算即可实现检测，检测效率高。检测效率高。检测效率高。

【技术实现步骤摘要】
一种检测伪造流量的方法、装置及电子设备


[0001]本专利技术涉及流量检测
，具体而言，涉及一种检测伪造流量的方法、装置、电子设备及计算机可读存储介质。

技术介绍

[0002]目前，全球互联网走向全面加密时代已经是大势所趋。根据Gartner预测，有超过80％的企业网络流量被加密，这些加密的网络流量中将隐藏超过一半以上的网络恶意软件，即有超过一半的网络恶意软件基于加密流量进行非法或不合规的操作。针对这些恶意的加密网络流量，一般通过证书、SNI(Server Name Indication，服务名标识)等特征进行检测，
[0003]在实现本专利技术的过程中，专利技术人发现现有的方案中至少存在如下问题：
[0004]常规检测主要通过判断网络流量中的证书、SNI是否正确的方式进行检测，但某些高级威胁可以伪造SSL(Secure Sockets Layer，安全套接字层)/TLS(Transport Layer Security,传输层安全协议)协议，即其可以通过伪造证书、SNI，甚至直接使用公共知名证书等来绕过常规检测，故检测SSL/TLS协议是否为伪造尤为关键。

技术实现思路

[0005]为解决现有存在的技术问题，本专利技术实施例提供一种检测伪造流量的方法、装置、电子设备及计算机可读存储介质。
[0006]第一方面，本专利技术实施例提供了一种检测伪造流量的方法，包括：
[0007]获取待处理的加密流量；
[0008]确定所述加密流量的密码套件特征，根据所述密码套件特征判断所述加密流量中的握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
[0009]确定所述加密流量的证书特征，判断所述证书特征是否异常，在所述证书特征异常时，确定所述加密流量为伪造流量；根据所述证书特征判断所述握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
[0010]确定所述加密流量的数据包特征，判断所述数据包特征是否异常，在所述数据包特征异常时，确定所述加密流量为伪造流量。
[0011]第二方面，本专利技术实施例还提供了一种检测伪造流量的装置，包括：
[0012]获取模块，用于获取待处理的加密流量；
[0013]第一处理模块，用于确定所述加密流量的密码套件特征，根据所述密码套件特征判断所述加密流量中的握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
[0014]第二处理模块，用于确定所述加密流量的证书特征，判断所述证书特征是否异常，在所述证书特征异常时，确定所述加密流量为伪造流量；根据所述证书特征判断所述握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
[0015]第三处理模块，用于确定所述加密流量的数据包特征，判断所述数据包特征是否异常，在所述数据包特征异常时，确定所述加密流量为伪造流量。
[0016]第三方面，本专利技术实施例提供了一种电子设备，包括总线、收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述收发器、所述存储器和所述处理器通过所述总线相连，所述计算机程序被所述处理器执行时实现上述任意一项所述的检测伪造流量的方法中的步骤。
[0017]第四方面，本专利技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意一项所述的检测伪造流量的方法中的步骤。
[0018]本专利技术实施例提供的检测伪造流量的方法、装置、电子设备及计算机可读存储介质，基于加密流量的正常特点，从密码套件特征、证书特征、数据包特征等多个维度对加密流量进行检测，可以确定异常的伪造流量。本实施例中根据密码套件特征、证书特征判断握手消息是否异常，并根据证书特征和数据包特征本身是否异常进行综合判断，从而可以对加密流量进行多维度、全方位检测，能够比较准确地检测出伪造流量，检测精度高；且该检测方式简单，不需要大量计算即可实现检测，检测效率高。
附图说明
[0019]为了更清楚地说明本专利技术实施例或
技术介绍
中的技术方案，下面将对本专利技术实施例或
技术介绍
中所需要使用的附图进行说明。
[0020]图1示出了本专利技术实施例所提供的一种检测伪造流量的方法的流程图；
[0021]图2示出了本专利技术实施例所提供的一种检测伪造流量的方法的详细流程图；
[0022]图3示出了本专利技术实施例所提供的一种检测伪造流量的装置的结构示意图；
[0023]图4示出了本专利技术实施例所提供的一种用于执行检测伪造流量的方法的电子设备的结构示意图。
具体实施方式
[0024]在本专利技术实施例的描述中，所属
的技术人员应当知道，本专利技术实施例可以实现为方法、装置、电子设备及计算机可读存储介质。因此，本专利技术实施例可以具体实现为以下形式：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)、硬件和软件结合的形式。此外，在一些实施例中，本专利技术实施例还可以实现为在一个或多个计算机可读存储介质中的计算机程序产品的形式，该计算机可读存储介质中包含计算机程序代码。
[0025]上述计算机可读存储介质可以采用一个或多个计算机可读存储介质的任意组合。计算机可读存储介质包括：电、磁、光、电磁、红外或半导体的系统、装置或器件，或者以上任意的组合。计算机可读存储介质更具体的例子包括：便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、闪存(Flash Memory)、光纤、光盘只读存储器(CD-ROM)、光存储器件、磁存储器件或以上任意组合。在本专利技术实施例中，计算机可读存储介质可以是任意包含或存储程序的有形介质，该程序可以被指令执行系统、装置、器件使用或与其结合使用。
[0026]上述计算机可读存储介质包含的计算机程序代码可以用任意适当的介质传输，包
括：无线、电线、光缆、射频(Radio Frequency，RF)或者以上任意合适的组合。
[0027]可以以汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路配置数据或以一种或多种程序设计语言或其组合来编写用于执行本专利技术实施例操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言，例如：Java、Smalltalk、C++，还包括常规的过程式程序设计语言，例如：C语言或类似的程序设计语言。计算机程序代码可以完全的在用户计算机上执行、部分的在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行以及完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络，包括：局域网(LAN)或广域网(WAN)，可以连接到用户计算机，也可以连接到外部计算机。
[0028]本专利技术实施例通过流程图和/或方框图描述所提供的方法、装置、电子设备。
[0029]应当理解，流程图和/或方框图的每个方框以及流程图和/或方本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测伪造流量的方法，其特征在于，包括：获取待处理的加密流量；确定所述加密流量的密码套件特征，根据所述密码套件特征判断所述加密流量中的握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；确定所述加密流量的证书特征，判断所述证书特征是否异常，在所述证书特征异常时，确定所述加密流量为伪造流量；根据所述证书特征判断所述握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；确定所述加密流量的数据包特征，判断所述数据包特征是否异常，在所述数据包特征异常时，确定所述加密流量为伪造流量。2.根据权利要求1所述的方法，其特征在于，所述根据所述密码套件特征判断所述加密流量中的握手消息是否异常包括：根据所选择的密码套件类型判断所述加密流量中的握手消息是否符合协议规定，则所述握手消息不符合协议规定时，确定所述握手消息异常；其中，所述密码套件类型为一种密码套件特征。3.根据权利要求1所述的方法，其特征在于，所述判断所述证书特征是否异常包括：提取所述证书特征中的域名特征CN特征，在所述证书特征中的域名特征与知名站点集合的域名特征相匹配时，判断所述加密流量的目的端口是否异常，在所述目的端口异常时，确定所述证书特征异常；和/或确定所述加密流量的服务器地址所对应的所有证书，在所述服务器地址所对应的证书中包含多个属于知名站点集合的证书时，确定所述证书特征异常。4.根据权利要求1所述的方法，其特征在于，所述根据所述证书特征判断所述握手消息是否异常包括：确定所述加密流量所选择的密码套件类型，确定所选择的密码套件类型和所选择的证书类型是否匹配，在所述密码套件类型与所述证书类型不匹配时，确定所述握手消息异常；其中，所述证书类型为一种证书特征。5.根据权利要求1所述的方法，其特征在于，所述判断所述数据包特征是否异常包括：确定所述数据包特征中的协议头和数据包长度；在所述协议头与所选用协议的标准协议头不同时，确定所述数据包特征异常；在所述数据包长度与数据包中的长度属性不...

【专利技术属性】
技术研发人员：徐静宇，于海东，
申请(专利权)人：北京观成科技有限公司，
类型：发明
国别省市：