本说明书实施例提供一种加密流量中可疑流量的判断方法和系统,该方法包括:采集待测加密流量,提取待测加密流量的加密流量特征;其中,加密流量特征包括第一流量特征,第一流量特征包括访问特征信息、协议特征信息以及传递特征信息;基于待测加密流量的加密流量特征,确定待测加密流量的流量类型,流量类型包括正常流量和可疑流量,可疑流量用于待测加密流量的后续解密分析。流量的后续解密分析。流量的后续解密分析。
【技术实现步骤摘要】
一种加密流量中可疑流量的判断方法和系统
[0001]本说明书涉及网络安全领域,特别涉及一种加密流量中可疑流量的判断方法和系统。
技术介绍
[0002]随着互联网的发展,人们的隐私意识也正在提高,因此,人们对于流量加密的需求不断增长。然而,加密流量在保护了隐私的同时,也为恶意流量的隐藏提供了便利。加密恶意流量中隐藏了许多已知或未知的威胁。需要提供一种能够提升网络安全防护能力的加密流量中可疑流量的判断方法。
技术实现思路
[0003]本说明书一个或多个实施例提供一种加密流量中可疑流量的判断方法。所述方法包括:采集待测加密流量,提取所述待测加密流量的加密流量特征;其中,所述加密流量特征包括第一流量特征,所述第一流量特征包括访问特征信息、协议特征信息以及传递特征信息;基于所述待测加密流量的所述加密流量特征,确定所述待测加密流量的流量类型,所述流量类型包括正常流量和所述可疑流量,所述可疑流量用于所述待测加密流量的后续解密分析。
[0004]本说明书一个或多个实施例提供一种加密流量中可疑流量的判断系统,所述系统包括:流量采集模块,用于采集待测加密流量,提取所述待测加密流量的加密流量特征;其中,所述加密流量特征包括第一流量特征,所述第一流量特征包括访问特征信息、协议特征信息以及传递特征信息;类型确定模块,用于基于所述待测加密流量的所述加密流量特征,确定所述待测加密流量的流量类型,所述流量类型包括正常流量和所述可疑流量,所述可疑流量用于所述待测加密流量的后续解密分析。
[0005]本说明书一个或多个实施例提供一种加密流量中可疑流量的判断装置,包括处理器,所述处理器用于执行所述计算机指令中的至少部分指令以实现加密流量中可疑流量的判断方法。
[0006]本说明书一个或多个实施例提供一种计算机可读存储介质,所述存储介质存储计算机指令,当所述计算机指令被处理器执行时实现加密流量中可疑流量的判断方法。
附图说明
[0007]本说明书将以示例性实施例的方式进一步说明,这些示例性实施例将通过附图进行详细描述。这些实施例并非限制性的,在这些实施例中,相同的编号表示相同的结构,其中:
[0008]图1是根据本说明书一些实施例所示的加密流量中可疑流量的判断系统的应用场景示意图;
[0009]图2是根据本说明书一些实施例所示的加密流量中可疑流量的判断系统的示例性
模块图;
[0010]图3是根据本说明书一些实施例所示的加密流量中可疑流量的判断方法的示例性流程图;
[0011]图4是根据本说明书一些实施例所示的通过关系图谱获取第二流量特征的示例性示意图;
[0012]图5是根据本说明书一些实施例所示的可疑流量识别模型的示意图。
具体实施方式
[0013]为了更清楚地说明本说明书实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本说明书的一些示例或实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图将本说明书应用于其它类似情景。除非从语言环境中显而易见或另做说明,图中相同标号代表相同结构或操作。
[0014]应当理解,本文使用的“系统”、“装置”、“单元”和/或“模块”是用于区分不同级别的不同组件、元件、部件、部分或装配的一种方法。然而,如果其他词语可实现相同的目的,则可通过其他表达来替换所述词语。
[0015]如本说明书和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。一般说来,术语“包括”与“包含”仅提示包括已明确标识的步骤和元素,而这些步骤和元素不构成一个排它性的罗列,方法或者设备也可能包含其它的步骤或元素。
[0016]本说明书中使用了流程图用来说明根据本说明书的实施例的系统所执行的操作。应当理解的是,前面或后面操作不一定按照顺序来精确地执行。相反,可以按照倒序或同时处理各个步骤。同时,也可以将其他操作添加到这些过程中,或从这些过程移除某一步或数步操作。
[0017]图1是根据本说明书一些实施例所示的加密流量中可疑流量的判断系统的应用场景示意图。
[0018]DPI(Deep Packet Inspection,深度报文检测)是指设备通过对网络的关键点处的流量和报文内容进行检测分析,可以根据事先定义的策略对检测流量进行过滤控制,能完成所在链路的业务精细化识别、业务流量流向分析、业务流量占比统计、业务占比整形、以及应用层拒绝服务攻击、对病毒、木马进行过滤和滥用P2P的控制等功能。例如,解密DPI模块可以在确定待测加密流量的流量类型为可疑流量时,对待测加密流量进行后续解密分析。
[0019]如图1所示,应用场景100可以包括网络110、路由器120、处理器130、加密流量140以及流量判断结果150。路由器120可以获取来自网络110的待测加密流量140,处理器130可以拷贝路由器120中的加密流量140,以采集加密流量140,并生成流量判断结果150。
[0020]网络110可以包括提供能够促进带宽应用场景100的信息和/或数据交换的任何合适的网络。应用场景100的路由器120可以通过与网络110交换信息和/或数据。例如,网络110可以将用户产生的流量信息发送到路由器120。在一些实施例中,网络110可以是有线网络或无线网络中的任意一种或多种。在一些实施例中,网络110可以包括一个或以上网络接
入点。例如,网络110可以包括有线或无线网络接入点。在一些实施例中,网络可以是点对点的、共享的、中心式的等各种拓扑结构或者多种拓扑结构的组合。
[0021]路由器120可以是读取数据包中的地址后将数据包进行存储、分组和转发处理的网络设备。在一些实施例中,路由器120可以用于连接两个或多个网络110。在一些实施例中,路由器120接收网络110的加密流量140,再将储存在路由器120中的加密流量140转发至处理器130。路由器120可以是本地的,也可以是远程的。
[0022]处理器130可以包括加密流量140中可疑流量的判断方法的执行设备,可以处理从路由器120中获得的数据和/或信息,并根据相关数据执行本说明书提供的加密流量中可疑流量的判断方法,生成流量判断结果150。例如,处理器130可以根据路由器120接收到的加密流量信息确定流量特征,再基于流量特征判断加密流量140是否为可疑流量,进而生成流量判断结果150。在一些实施例中,处理器130可以是单个服务器或服务器组。在一些实施例中,处理器130可以集成于可疑流量判断系统(如集成设置在路由器120内)。处理器130可以是本地的,也可以是远程的。处理器130可以在云平台上实现。
[0023]流量可以是用户在上网的过程中产生的流量。在一些实施例中,流量可以是加密流量或非加密流量。将流量进行加密是为了应对各种窃听和中间人攻击,使得网页基本不会被篡改,保证用户上网的安全。然而,加密流量140中仍然会隐本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种加密流量中可疑流量的判断方法,其特征在于,所述方法包括:采集待测加密流量,提取所述待测加密流量的加密流量特征;其中,所述加密流量特征包括第一流量特征,所述第一流量特征包括访问特征信息、协议特征信息以及传递特征信息;基于所述待测加密流量的所述加密流量特征,确定所述待测加密流量的流量类型,所述流量类型包括正常流量和所述可疑流量;响应于所述待测加密流量的所述流量类型为所述可疑流量,通过解密DPI模块对所述待测加密流量进行后续解密分析。2.如权利要求1所述的方法,其特征在于,所述加密流量特征还包括第二流量特征,所述第二流量特征通过关系图谱获取。3.如权利要求1所述的方法,其特征在于,所述基于所述待测加密流量的所述加密流量特征,确定所述待测加密流量的所述流量类型,包括:基于可疑流量识别模型对所述待测加密流量的所述加密流量特征进行处理,确定所述待测加密流量的所述流量类型,所述可疑流量识别模型为机器学习模型。4.如权利要求3所述的方法,其特征在于,所述可疑流量识别模型的输入还包括字节分布概率向量的参考恶意值,所述参考恶意值基于所述关系图谱获得。5.一种加密流量中可疑流量的判断系统,其特征在于,所述系统包括:流量特征获取模块,用于采集待测加密流量,提取所述待测加密流量的加密流量特征;其中,所述加密流量特征包括第一...
【专利技术属性】
技术研发人员:卢国鸣,
申请(专利权)人:上海兴容信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。