本发明专利技术的实施例提供了一种异常流量识别方法、客户端及服务器,涉及数据安全领域,应用于局域网中的任一客户端设备,该方法包括:获取客户端设备的网络流量,并收集网络流量的网络连接信息;对网络流量进行解密,得到解密后的流量;将解密后的流量和网络连接信息发送至服务器,以使得服务器根据网络连接信息对解密后的流量进行分类,得到多类流量信息,并根据每类流量信息建立每类流量信息对应的流量模型;获取服务器下发的多个流量模型;采用多个流量模型,分别判断解密后的流量是否包含异常流量。采用该方法,可以提升异常流量识别速度的同时,增强异常流量识别的准确率。增强异常流量识别的准确率。增强异常流量识别的准确率。
【技术实现步骤摘要】
一种异常流量识别方法、客户端及服务器
[0001]本专利技术涉及数据安全领域,具体而言,涉及一种异常流量识别方法、客户端及服务器。
技术介绍
[0002]随着计算机技术和网络技术的快速发展,计算机以及网络的应用已经深入到了各行各业。在人们享受计算机以及网络技术带来的便捷的同时,也不得不面临各类木马、病毒、恶意软件的肆虐。
[0003]为了应对日益突出的网络安全问题现有技术提出了各种安全防御技术和方法,但是对攻击行为的预测、主动防御和扩展性方面还存在局限,无法及时识别出局域网内的异常流量。
技术实现思路
[0004]本专利技术实施例提供一种异常流量识别方法、客户端及服务器,可以提升异常流量识别速度的同时,增强异常流量识别的准确率。
[0005]第一方面,本专利技术实施例提供了一种异常流量识别方法,应用于局域网中的任一客户端设备,所述方法包括:
[0006]获取所述客户端设备的网络流量,并收集所述网络流量的网络连接信息;
[0007]对所述网络流量进行解密,得到解密后的流量;
[0008]将所述解密后的流量和所述网络连接信息发送至服务器,以使得所述服务器对所述网络连接信息进行分类,得到多类流量信息,并根据每类流量信息建立所述每类流量信息对应的流量模型;
[0009]获取所述服务器下发的多个流量模型;
[0010]采用所述多个流量模型,分别判断所述解密后的流量是否包含异常流量。
[0011]可选地,所述对所述网络流量进行解密,得到解密后的流量,包括:
[0012]拦截针对服务器的公钥查询请求,返回本端公钥;
[0013]采用与所述本端公钥对应的私钥,对所述网络流量进行解密,得到所述解密后的流量。
[0014]可选地,所述拦截针对服务器的公钥查询请求,返回本端公钥,包括:
[0015]采用预设的代理程序拦截应用程序发起的针对所述服务器的所述公钥查询请求;
[0016]所述采用与所述本端公钥对应的私钥,对所述网络流量进行解密,得到所述解密后的流量,包括:
[0017]由所述代理程序,采用与所述本端公钥对应的私钥,对所述网络流量进行解密,得到所述解密后的流量。
[0018]可选地,所述采用预设的代理程序拦截应用程序发起的针对所述服务器的所述公钥查询请求之前,所述方法还包括:
[0019]将所述代理程序的根证书注册至系统根证书列表中。
[0020]可选地,所述方法还包括:
[0021]采用所述代理程序获取所述应用程序产生的所述本端公钥对应的会话秘钥;
[0022]由所述代理程序根据所述本端公钥和所述会话秘钥,对所述解密后的流量进行加密后返回至所述服务器。
[0023]可选地,所述方法还包括:
[0024]若所述解密后的流量中包含异常流量,则向所述服务器发送所述异常流量的日志,以使得所述服务器基于所述异常流量的日志,对所述多个流量模型中对应流量模型进行更新。
[0025]第二方面,本专利技术实施例还提供一种异常流量识别方法,应用于局域网中的服务器,所述方法包括:
[0026]接收所述局域网中各客户端设备发送的所述各客户端设备解密后的流量以及对应的网络连接信息;所述解密后的流量为所述各客户端设备对获取到的网络流量进行解密得到的流量,所述网络连接信息为所述各客户端设备收集的所述网络流量的连接信息;
[0027]对所述网络连接信息进行分类,得到多类流量信息;
[0028]根据每类流量信息,建立所述每类流量信息对应的流量模型;
[0029]向所述各客户端设备返回多个流量模型,以使得所述各客户端设备采用所述多个流量模型分别判断所述解密后的流量是否包含异常流量。
[0030]可选地,所述多类流量信息包括:流量内容、横向流量信息、纵向流量信息;相应的,所述多类流量模型包括:流量内容模型、横向流量模型和纵向流量模型;其中,所述横向流量信息为所述局域网中各客户端设备之间的流量信息,所述纵向流量信息为所述局域网中客户端设备与外部互联网之间的流量信息;
[0031]所述根据每类流量信息,建立所述每类流量信息对应的流量模型,包括:
[0032]对所述流量内容进行机器学习,得到所述流量内容模型;
[0033]对所述横向流量信息进行机器学习,得到所述横向流量模型;
[0034]对所述纵向流量信息进行机器学习,得到所述纵向流量模型。
[0035]第三方面,本专利技术实施例还提供一种客户端设备,包括:第一接收器、第一处理器、第一发送器和第一总线,所述第一接收器、所述第一处理器、所述第一发送器通过所述第一总线连接:
[0036]所述第一接收器,用于获取所述客户端设备的网络流量,并收集所述网络流量的网络连接信息;
[0037]所述第一处理器,用于对所述网络流量进行解密,得到解密后的流量;
[0038]所述第一发送器,用于将所述解密后的流量和所述网络连接信息发送至服务器,以使得所述服务器对所述网络连接信息进行分类,得到多类流量信息,并根据每类流量信息建立所述每类流量信息对应的流量模型;
[0039]所述第一接收器,还用于获取所述服务器下发的多个流量模型;
[0040]所述第一处理器,还用于采用所述多个流量模型,分别判断所述解密后的流量是否包含异常流量。
[0041]第四方面,本专利技术实施例还提供一种服务器,包括:第二接收器、第二处理器、第二
发送器和第二总线,所述第二接收器、所述第二处理器、所述第二发送器通过所述第二总线连接:
[0042]所述第二接收器,用于接收所述局域网中各客户端设备发送的所述各客户端设备的解密后的流量以及对应的网络连接信息;所述解密后的流量为所述各客户端设备对获取到的网络流量进行解密得到的流量,所述网络连接信息为所述各客户端设备收集的所述网络流量的连接信息;
[0043]所述第二处理器,用于对所述网络连接信息进行分类,得到多类流量信息;根据每类流量信息,建立所述每类流量信息对应的流量模型;
[0044]所述第二发送器,用于向所述各客户端设备返回多个流量模型,以使得所述各客户端设备采用所述多个流量模型分别判断所述解密后的流量是否包含异常流量。
[0045]与现有技术相比,本专利技术提供一种异常流量识别方法、客户端及服务器,通过对获取到的客户端设备的网络流量进行解密,得到解密后的流量,将解密后的流量和网络连接信息发送至服务器,服务器对网络连接信息和解密后的流量进行分类,得到不同种类的流量模型,通过流量模型判断解密后的流量中是否包含异常流量,这样无需配置复杂的检测策略直接对网络流量的解密和分析,缓解了网络流量分析导致的网络吞吐量下降的问题,也降低了操作人员的工作量;并且可以借助各类流量模型在判断各类不同的异常情况,避免同时设置多套防御系统增加识别难度,在增加异常流量的识别效率的同时保证了识别的准确性。
附图说明
[0046]为了更清楚地说明本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常流量识别方法,其特征在于,应用于局域网中的任一客户端设备,所述方法包括:获取所述客户端设备的网络流量,并收集所述网络流量的网络连接信息;对所述网络流量进行解密,得到解密后的流量;将所述解密后的流量和所述网络连接信息发送至服务器,以使得所述服务器对所述网络连接信息进行分类,得到多类流量信息,并根据每类流量信息建立所述每类流量信息对应的流量模型;获取所述服务器下发的多个流量模型;采用所述多个流量模型,分别判断所述解密后的流量是否包含异常流量。2.根据权利要求1所述的方法,其特征在于,所述对所述网络流量进行解密,得到解密后的流量,包括:拦截针对服务器的公钥查询请求,返回本端公钥;采用与所述本端公钥对应的私钥,对所述网络流量进行解密,得到所述解密后的流量。3.根据权利要求2所述的方法,其特征在于,所述拦截针对服务器的公钥查询请求,返回本端公钥,包括:采用预设的代理程序拦截应用程序发起的针对所述服务器的所述公钥查询请求;所述采用与所述本端公钥对应的私钥,对所述网络流量进行解密,得到所述解密后的流量,包括:由所述代理程序,采用与所述本端公钥对应的私钥,对所述网络流量进行解密,得到所述解密后的流量。4.根据权利要求3所述的方法,其特征在于,所述采用预设的代理程序拦截应用程序发起的针对所述服务器的所述公钥查询请求之前,所述方法还包括:将所述代理程序的根证书注册至系统根证书列表中。5.根据权利要求3所述的方法,其特征在于,所述方法还包括:采用所述代理程序获取所述应用程序产生的所述本端公钥对应的会话秘钥;由所述代理程序根据所述本端公钥和所述会话秘钥,对所述解密后的流量进行加密后返回至所述服务器。6.根据权利要求1
‑
5中任一所述的方法,其特征在于,所述方法还包括:若所述解密后的流量中包含异常流量,则向所述服务器发送所述异常流量的日志,以使得所述服务器基于所述异常流量的日志,对所述多个流量模型中对应流量模型进行更新。7.一种异常流量识别方法,其特征在于,应用于局域网中的服务器,所述方法包括:接收所述局域网中各客户端设备发送的所述各客户端设备解密后的流量以及对应的网络连接信息;所述解密后的流量为所述各客户端设备对获取到的网络流量进行解密得到的流量,所述网络连接信息为所述各客户端设备收集的所述网络流量的连接信息;对所述网络连接信息进行分类,得到多类流量信息;...
【专利技术属性】
技术研发人员:张黎,陈磊,陈广辉,刘维炜,杨大志,
申请(专利权)人:闪捷信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。