[发明专利]恶意通信检测方法、系统、存储介质和电子设备在审
| 申请号: | 202110224943.2 | 申请日: | 2021-03-01 |
| 公开(公告)号: | CN112910920A | 公开(公告)日: | 2021-06-04 |
| 发明(设计)人: | 钱赵荣 | 申请(专利权)人: | 深信服科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 深圳市深佳知识产权代理事务所(普通合伙) 44285 | 代理人: | 王兆林 |
| 地址: | 518055 广东省深圳市南*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 恶意 通信 检测 方法 系统 存储 介质 电子设备 | ||
本申请一种恶意通信检测方法,包括:获取待检测通信流量;对所述待检测通信流量进行流量加解码,得到通信特征;判断所述通信特征是否存在匹配的恶意通信模式;若是,确认所述待检测通信流量为恶意通信流量。本申请在检测待检测通信流量时,通过对通信流量进行流量加解码执行流量解析,得到待检测通信流量的通信特征,基于该通信特征与已知的恶意通信模式进行匹配,从而判断待检测通信流量是否为恶意通信流量。本申请针对于黑客工具的通信模式进行检测,可以检测出静态特征无法识别的黑客流量。还可以结合静态特征,能够显著提高针对于黑客工具的检测成功率。本申请还提供一种检测系统、计算机可读存储介质和电子设备,具有上述有益效果。
技术领域
本申请涉及网络安全领域,特别涉及恶意通信检测方法、系统、存储介质和电子设备。
背景技术
对于黑客工具的检测,当前通常需要提取黑客工具的静态特征来进行匹配,但黑客工具在使用的过程中,配置文件可以由使用者自行定义,而大部分使用黑客工具的人都会修改默认配置,传统的检测仅针对于默认配置文件,导致检测存在漏报,影响检测成功率。其次部分黑客工具的静态特征本身就是模仿正常流量,例如url(Uniform ResourceLocator,统一资源定位器)设置为bootstrap.min.js、jquery.min.js这种常见的url,导致特征的提取会存在大量的误报情况。由此可见,基于黑客工具的静态特征进行检测存在较大的漏报率和误报率。
因此,如何提高针对于黑客工具的检测成功率,从而避免漏报和误报是本领域技术人员亟需解决的技术问题。
发明内容
本申请的目的是提供一种恶意通信检测方法、恶意通信检测系统、计算机可读存储介质和电子设备,通过识别通信流量的通信模式提高针对于黑客工具的检测成功率。
为解决上述技术问题,本申请提供一种恶意通信检测方法,具体技术方案如下:
获取待检测通信流量;
对所述待检测通信流量进行流量加解码,得到通信特征;
判断所述通信特征是否存在匹配的恶意通信模式;
若是,确认所述待检测通信流量为恶意通信流量。
可选的,判断所述通信特征是否存在匹配的恶意通信模式包括:
调用恶意通信模式数据表判断是否存在包含所有通信特征的恶意通信模式。
可选的,判断所述通信特征是否存在匹配的恶意通信模式之前,还包括:
获取黑客工具的配置文件;
解析所述黑客工具配置文件对应的数据包加密方式,得到加密特征;所述加密特征包括加密方法、加密时间和加密对象;
将所述加密特征作为恶意通信模式添加至所述恶意通信模式数据表。
可选的,还包括:
获取黑客工具的黑客流量;
对所述黑客流量进行解析,整合所述黑客流量的弱特征得到所述恶意通信模式,并添加至所述恶意通信模式数据表;所述弱特征包括URL信息、流量时间戳和编码值中的任一种或任意几种的组合。
可选的,若所述待检测通信流量的通信特征存在匹配的恶意通信模式,在确认所述待检测通信流量为恶意通信流量之前,还包括:
根据所述待检测通信流量所匹配恶意通信模式对应的加密方式对所述待检测通信流量进行反向解密;
若解密成功,执行确认所述待检测通信流量为恶意通信流量的步骤。
可选的,判断所述通信特征是否存在匹配的恶意通信模式包括:
判断所述特定特征是否存在匹配的待定恶意通信模式;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司,未经深信服科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110224943.2/2.html,转载请声明来源钻瓜专利网。
