本申请涉及恶意加密流量检测,尤其涉及一种恶意加密流量检测方法、装置及电子设备、存储介质。
背景技术:
1、目前主流的恶意加密流量检测方案多为非解密方案,此类方案通常基于传统的统计学分析方法或机器学习算法实现,这类方案需要依赖多种流量特征,以实现对加密流量的更加丰富的表征。然而,这些对外暴露的流量特征在第三方外包检测场景下极易引发敏感信息泄露。
技术实现思路
1、本申请实施例提供了一种恶意加密流量检测方法、装置及电子设备、存储介质,以实现不受到加密流量特征影响的恶意加密流量检测。
2、本申请实施例采用下述技术方案:
3、第一方面,本申请实施例提供一种恶意加密流量检测方法,其中,所述方法包括:
4、在第一层过滤,对请求接入环境的终端和/或节点进行信任评估;
5、对所述信任评估的结果中的可信或者可疑的终端和/或节点,进行第二层过滤;
6、在第二层过滤,根据所述可信或者可疑的终端和/或节点的加密流量,通过随机特征提取、密码体制分类器,得到恶意加密流量,所述密码体制分类器用以根据所述随机特征提取的随机性特征进行密码体制识别。
7、在一些实施例中,在第一层过滤,对请求接入环境的终端和/或节点进行信任评估,包括:
8、记录每次加入终端和/或节点的访问信息;
9、设置可信因子si(k)、可疑因子di(k)以及访问计数c(k);
10、所述可信因子si(k)包括当前节点访问信息与历史访问信息的相似程度;
11、所述可疑因子di(k)包括当前节点访问信息与历史信息的差异程度;
12、将所述可信因子si(k)和所述访问计数c(k融合计算可信系数;
13、将所述可疑因子di(k)和所述访问计数c(k)融合计算可疑系数。
14、在一些实施例中,所述方法还包括:
15、若当前访问信息与任一历史访问信息均不相同,si(k)将被置为0;
16、若当前访问信息与历史访问信息有重叠,si(k)将被置为
17、若当前访问信息与历史访问信息完全一致,则将si(k)置为1;
18、若当前访问信息与任一历史访问信息均不相同,di(k)将被置为1;
19、若当前访问信息与历史访问信息有重叠,di(k)将被置为
20、若当前访问信息与历史访问信息完全一致,置di(k)将被置为0。
21、在一些实施例中,在第一层过滤,对请求接入环境的终端和/或节点进行信任评估,还包括:
22、引入同辈评议规则,由目标节点的协作者对目标节点的声誉提出评价得到同辈信任值;
23、将所述可信系数、所述可疑系数以及所述同辈信任值,作为输入项置入到信任评估引擎中,所述信任评估引擎设定动态变化的评估策略。
24、在一些实施例中,所述方法还包括:
25、根据动态评估策略将信任值对应的终端和/或节点根据信任阈值划分为可信、可疑、不可信的三类;
26、对于不可信节点来源的所有流量将直接丢弃,
27、对于可疑或可信节点来源的流量转发到第二层过滤。
28、在一些实施例中,在第二层过滤,根据所述可信或者可疑的终端和/或节点的加密流量,通过随机特征提取、密码体制分类器,得到恶意加密流量,包括:
29、在第二层过滤,根据加密流量通过随机特征提取,在所述加密流量的密文载荷上直接提取随机性特征;
30、基于提取随机性特征,采用随机性检测套件在随机0/1序列上提取随机性指标。
31、在一些实施例中,在第二层过滤,根据所述可信或者可疑的终端和/或节点的加密流量,通过随机特征提取、密码体制分类器,得到恶意加密流量,包括:
32、根据筛选后的随机性指标构造特征空间,作为所述密码体制分类器的输入;
33、通过预先训练的数据分类模型,生成协商密码体制的识别结果,其中,所述数据分类模型为使用多组数据通过fnn前馈神经网络训练至收敛得出的;
34、对于归属于协商密码体制集合中的加密流量则允许访问;
35、对于不属于所述协商密码体制的加密流量则丢弃。
36、第二方面,本申请实施例还提供一种一种恶意加密流量检测装置,其中,所述装置包括:
37、第一过滤模块,用于在第一层过滤,对请求接入环境的终端和/或节点进行信任评估;
38、处理模块,用于对所述信任评估的结果中的可信或者可疑的终端和/或节点,进行第二层过滤;
39、第二过滤模块,用于在第二层过滤,根据所述可信或者可疑的终端和/或节点的加密流量,通过随机特征提取、密码体制分类器,得到恶意加密流量,所述密码体制分类器用以根据所述随机特征提取的随机性特征进行密码体制识别。
40、第三方面,本申请实施例还提供一种电子设备,包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行上述方法。
41、第四方面,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行上述方法。
42、本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:在第一层过滤,对请求接入环境的终端和/或节点进行信任评估;对所述信任评估的结果中的可信或者可疑的终端和/或节点,进行第二层过滤。在第二层过滤,根据所述可信或者可疑的终端和/或节点的加密流量,通过随机特征提取、密码体制分类器,得到恶意加密流量,所述密码体制分类器用以根据所述随机特征提取的随机性特征进行密码体制识别。通过上述方法,借助随机性检测和信任评估技术,不受到加密流量特征的影响。此外,上述方法可以较好的平衡流量外包检测产生的隐私性问题与检测效率之间的冲突。
1.一种恶意加密流量检测方法,其中,所述方法包括:
2.如权利要求1所述方法,其中,在第一层过滤,对请求接入环境的终端和/或节点进行信任评估,包括:
3.如权利要求2所述方法,其中,所述方法还包括:
4.如权利要求3所述方法,其中,在第一层过滤,对请求接入环境的终端和/或节点进行信任评估,还包括:
5.如权利要求4所述方法,其中,所述方法还包括:
6.如权利要求1所述方法,其中,在第二层过滤,根据所述可信或者可疑的终端和/或节点的加密流量,通过随机特征提取、密码体制分类器,得到恶意加密流量,包括:
7.如权利要求1所述方法,其中,在第二层过滤,根据所述可信或者可疑的终端和/或节点的加密流量,通过随机特征提取、密码体制分类器,得到恶意加密流量,包括:
8.一种恶意加密流量检测装置,其中,所述装置包括:
9.一种电子设备,包括:
10.一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行所述权利要求1ˉ7之任一所述方法。
