[发明专利]加密攻击网络流量检测方法

说明书

本发明实施例公开了加密攻击网络流量检测方法。该方法包括：在网络中识别加密流量并获取的标识信息；根据所述标识信息，确定所述加密流量对应的服务器和终端；统计目标时间范围内，服务器被访问的频数以及终端访问服务器的情况；分别确定所述服务器是否存在异常，所述终端是否存在异常以及所述加密流量的行为是否存在异常；在所述服务器、终端以及加密流量的行为存在异常时，确定所述加密流量为加密攻击网络流量。该方法可以检测出具备拥有合法证书、合法域名以及大量的CC服务器的攻击者，为复杂的网络入侵攻击提供早期预警功能。

技术领域

本发明涉及网络安全防护技术领域，尤其涉及一种加密攻击网络流量检测方法。

背景技术

在典型的网络攻击过程中，黑客首先利用主机漏洞，入侵网络用户的主机。然后，让用户主机访问特定服务器，下载具体的恶意代码程序。恶意代码程序运行后，会主动连接黑客所拥有的命令与控制服务器(CC服务器)，接受攻击指令或者上传窃取的用户隐私数据。在此过程中，恶意代码程序连接CC服务器大多采用加密方式以躲避检测。因而识别出加密形式的网络恶意流量具有重要意义，如可以切断恶意代码程序与CC服务器的连接，从而阻止实际的网络攻击发生。

目前，已经有大量工作针对加密网络流量的异常检测展开了研究。其中，典型的代表工作为思科公司的Stealthwatch产品。Stealthwatch利用机器学习方法来识别异常加密流量，其考虑的主要特征是恶意攻击流量(TLS流量)的X.509证书与正常TLS流量的X.509证书有着明显区别。

此外，还有其它工作分析DNS域名来检测恶意加密网络流量，如域名为随机生成等的方式。

在实现本发明过程中，发明人发现相关技术存在以下问题：在实际网络攻击场景中，特别是在APT攻击中，入侵者具备国家或特定机构背景，其大多拥有合法X.509证书。因此，采用机器学习类型的方法易失效。而且，在APT等攻击中，黑客大多拥有合法和正常域名，因而即使使用分析DNS域名等分析等方法也存在着一定局限。

发明内容

针对上述技术问题，本发明实施例提供了一种加密攻击网络流量检测方法，以解决现有的加密网络流量异常检测在复杂的网络入侵攻击时容易失效和存在局限性的问题。

本发明实施例的第一方面提供一种加密攻击网络流量检测方法。其中，所述检测方法包括：

在网络中识别加密流量并获取所述加密流量的标识信息；根据所述标识信息，确定所述加密流量对应的服务器和终端；统计目标时间范围内，服务器被访问的频数以及终端访问服务器的情况；根据所述服务器被访问的频数，确定所述服务器是否存在异常；根据所述终端访问服务器的情况，确定所述终端是否存在异常；根据所述加密流量的上行流量和所述下行流量的报文数量值，确定所述加密流量的行为是否存在异常；在所述服务器、终端以及加密流量的行为存在异常时，确定所述加密流量为加密攻击网络流量。

可选地，所述标识信息包括：源IP地址、源端口、目的IP地址以及目的端口；其中，所述源IP地址和源端口用于表示终端；所述目的IP地址和目的端口用于表示服务器。

可选地，获取所述加密流量的标识信息，具体包括：

在所述加密流量的报文头部提取源IP地址、源端口、目的IP地址以及目的端口作为所述加密流量的标识；

将每一个加密流量的记录时间、源IP地址、源端口、目的IP地址以及目的端口作为一条加密流量记录，存储到数据库中。

可选地，统计目标时间范围内服务器被访问的频数，具体包括：

在所述数据库中，以目的IP地址和目的端口为关键词进行检索；

保留所述检索结果中，记录时间与当前时间的差值小于所述目标时间范围的加密流量记录；

统计所述保留的加密流量记录的数量，作为所述服务器被访问的频数。