[發(fā)明專利]惡意通信檢測方法、系統(tǒng)、存儲介質和電子設備在審
| 申請?zhí)枺?/td> | 202110224943.2 | 申請日: | 2021-03-01 |
| 公開(公告)號: | CN112910920A | 公開(公告)日: | 2021-06-04 |
| 發(fā)明(設計)人: | 錢趙榮 | 申請(專利權)人: | 深信服科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 深圳市深佳知識產權代理事務所(普通合伙) 44285 | 代理人: | 王兆林 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 惡意 通信 檢測 方法 系統(tǒng) 存儲 介質 電子設備 | ||
1.一種惡意通信檢測方法,其特征在于,包括:
獲取待檢測通信流量;
對所述待檢測通信流量進行流量加解碼,得到通信特征;
判斷所述通信特征是否存在匹配的惡意通信模式;
若是,確認所述待檢測通信流量為惡意通信流量。
2.根據(jù)權利要求1所述惡意通信檢測方法,其特征在于,判斷所述通信特征是否存在匹配的惡意通信模式包括:
調用惡意通信模式數(shù)據(jù)表判斷是否存在包含所有通信特征的惡意通信模式。
3.根據(jù)權利要求2所述惡意通信檢測方法,其特征在于,判斷所述通信特征是否存在匹配的惡意通信模式之前,還包括:
獲取黑客工具的配置文件;
解析所述黑客工具配置文件對應的數(shù)據(jù)包加密方式,得到加密特征;所述加密特征包括加密方法、加密時間和加密對象;
將所述加密特征作為惡意通信模式添加至所述惡意通信模式數(shù)據(jù)表。
4.根據(jù)權利要求2所述惡意通信檢測方法,其特征在于,判斷所述通信特征是否存在匹配的惡意通信模式之前,還包括:
獲取黑客工具的黑客流量;
對所述黑客流量進行解析,整合所述黑客流量的弱特征得到所述惡意通信模式,并添加至所述惡意通信模式數(shù)據(jù)表;所述弱特征包括URL信息、流量時間戳和編碼值中的任一種或任意幾種的組合。
5.根據(jù)權利要求1所述惡意通信檢測方法,其特征在于,若所述待檢測通信流量的通信特征存在匹配的惡意通信模式,在確認所述待檢測通信流量為惡意通信流量之前,還包括:
根據(jù)所述待檢測通信流量所匹配惡意通信模式對應的加密方式對所述待檢測通信流量進行反向解密;
若解密成功,執(zhí)行確認所述待檢測通信流量為惡意通信流量的步驟。
6.根據(jù)權利要求1所述惡意通信檢測方法,其特征在于,判斷所述通信特征是否存在匹配的惡意通信模式包括:
判斷特定特征是否存在匹配的待定惡意通信模式;
若否,確認所述待檢測通信流量為正常流量;
若是,判斷所述待定惡意通信模式是否包含弱特征;
若所述待定惡意通信模式存在包含所述弱特征的目標惡意通信模式,將所述目標惡意通信模式作為所述通信特征對應匹配的惡意通信模式;
其中,所述特定特征包括通信方式特征和通信流量特征。
7.根據(jù)權利要求1所述惡意通信檢測方法,其特征在于,確認所述待檢測通信流量為惡意通信流量之后,還包括:
生成所述惡意通信流量對應的告警信息,所述告警信息用于指示所述惡意通信流量為黑客工具通信流量。
8.一種惡意通信檢測系統(tǒng),其特征在于,包括:
獲取模塊,用于獲取待檢測通信流量;
通信特征提取模塊,用于對所述待檢測通信流量進行流量加解碼,得到通信特征;
判斷模塊,用于判斷所述通信特征是否存在匹配的惡意通信模式;
確認模塊,用于所述判斷模塊的判斷結果為是時,確認所述待檢測通信流量為惡意通信流量。
9.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執(zhí)行時實現(xiàn)如權利要求1-7任一項所述的惡意通信檢測方法的步驟。
10.一種電子設備,其特征在于,包括存儲器和處理器,所述存儲器中存有計算機程序,所述處理器調用所述存儲器中的計算機程序時實現(xiàn)如權利要求1-7任一項所述的惡意通信檢測方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深信服科技股份有限公司,未經(jīng)深信服科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110224943.2/1.html,轉載請聲明來源鉆瓜專利網(wǎng)。
