[發(fā)明專利]一種基于證書特征泛化和服務(wù)器變遷行為的SSL/TLS加密惡意服務(wù)發(fā)現(xiàn)方法有效
| 申請?zhí)枺?/td> | 201611114844.4 | 申請日: | 2016-12-07 |
| 公開(公告)號: | CN106603519B | 公開(公告)日: | 2019-12-10 |
| 發(fā)明(設(shè)計)人: | 曹自剛;熊剛;李鎮(zhèn);石俊崢 | 申請(專利權(quán))人: | 中國科學(xué)院信息工程研究所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 11200 北京君尚知識產(chǎn)權(quán)代理有限公司 | 代理人: | 邱曉鋒 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 證書 特征 泛化 服務(wù)器 變遷 行為 ssl tls 加密 惡意 服務(wù) 發(fā)現(xiàn) 方法 | ||
1.一種SSL/TLS加密惡意服務(wù)發(fā)現(xiàn)方法,其特征在于,包括以下步驟:
1)對已知惡意服務(wù)的證書進行采集;
2)提取采集的證書的屬性,根據(jù)不同服務(wù)類型對證書進行分類,從各類證書的屬性域和屬性關(guān)系中提取泛化特征:
基于已知的有限證書集合提取可能的候選共性特征,并對候選特征的合理性和有效性進行評估,根據(jù)評估結(jié)構(gòu)進行替代提取和評估;然后將已知證書集合的大部分作為訓(xùn)練集,小部分作為驗證集,通過訓(xùn)練集提取的候選特征,并在驗證集進行準確性驗證,當準確度高于設(shè)定閾值時認為泛化成功;
對泛化特征的提取考慮如下屬性維度:數(shù)值取值范圍,字符串長度,字符串的結(jié)構(gòu),字符集構(gòu)成及比例,頒發(fā)者/使用者的子域?qū)傩缘膫€數(shù)及各個子域?qū)傩灾g的關(guān)系,是否自簽名;
3)基于提取的泛化特征,在真實網(wǎng)絡(luò)環(huán)境中進行基于證書泛化特征的潛在惡意服務(wù)發(fā)現(xiàn)。
2.如權(quán)利要求1所述的方法,其特征在于:如果步驟2)無法提取泛化特征,則通過跟蹤已知惡意服務(wù)器的證書的變遷行為來發(fā)現(xiàn)證書變化規(guī)律,進而發(fā)現(xiàn)惡意服務(wù)。
3.如權(quán)利要求2所述的方法,其特征在于,所述證書變化規(guī)律包括:服務(wù)器更新證書的頻率、證書屬性域及關(guān)系變化的規(guī)律、周期性交替使用一定集合內(nèi)的證書。
4.如權(quán)利要求2或3所述的方法,其特征在于:對多次變遷的同一服務(wù)的證書,通過步驟2)對特征進行泛化,再借助步驟3)進行惡意服務(wù)發(fā)現(xiàn)。
5.如權(quán)利要求1所述的方法,其特征在于,步驟1)采集證書時獲取原始證書或者只獲取證書的屬性域,采集證書的方法包括:從公開網(wǎng)站、惡意服務(wù)相關(guān)數(shù)據(jù)集中提取惡意服務(wù)器或證書信息,或者通過執(zhí)行惡意樣本數(shù)據(jù)集中的樣本,再通過網(wǎng)絡(luò)通信流量捕獲提取證書信息;如果獲取到的是服務(wù)器,則借助自動化或人工方式訪問該服務(wù)器獲取證書信息。
6.如權(quán)利要求1所述的方法,其特征在于:步驟3)得到的結(jié)果中包含可疑的惡意服務(wù)器IP、端口和證書,借助受害主機查驗、惡意服務(wù)人工或自動驗證的方法進一步分析以使結(jié)果更為準確。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國科學(xué)院信息工程研究所,未經(jīng)中國科學(xué)院信息工程研究所許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611114844.4/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
