本申請一種惡意通信檢測方法，包括：獲取待檢測通信流量；對所述待檢測通信流量進行流量加解碼，得到通信特征；判斷所述通信特征是否存在匹配的惡意通信模式；若是，確認所述待檢測通信流量為惡意通信流量。本申請在檢測待檢測通信流量時，通過對通信流量進行流量加解碼執行流量解析，得到待檢測通信流量的通信特征，基于該通信特征與已知的惡意通信模式進行匹配，從而判斷待檢測通信流量是否為惡意通信流量。本申請針對于黑客工具的通信模式進行檢測，可以檢測出靜態特征無法識別的黑客流量。還可以結合靜態特征，能夠顯著提高針對于黑客工具的檢測成功率。本申請還提供一種檢測系統、計算機可讀存儲介質和電子設備，具有上述有益效果。

技術領域

本申請涉及網絡安全領域，特別涉及惡意通信檢測方法、系統、存儲介質和電子設備。

背景技術

對于黑客工具的檢測，當前通常需要提取黑客工具的靜態特征來進行匹配，但黑客工具在使用的過程中，配置文件可以由使用者自行定義，而大部分使用黑客工具的人都會修改默認配置，傳統的檢測僅針對于默認配置文件，導致檢測存在漏報，影響檢測成功率。其次部分黑客工具的靜態特征本身就是模仿正常流量，例如url(Uniform ResourceLocator，統一資源定位器)設置為bootstrap.min.js、jquery.min.js這種常見的url，導致特征的提取會存在大量的誤報情況。由此可見，基于黑客工具的靜態特征進行檢測存在較大的漏報率和誤報率。

因此，如何提高針對于黑客工具的檢測成功率，從而避免漏報和誤報是本領域技術人員亟需解決的技術問題。

發明內容

本申請的目的是提供一種惡意通信檢測方法、惡意通信檢測系統、計算機可讀存儲介質和電子設備，通過識別通信流量的通信模式提高針對于黑客工具的檢測成功率。

為解決上述技術問題，本申請提供一種惡意通信檢測方法，具體技術方案如下：

獲取待檢測通信流量；

對所述待檢測通信流量進行流量加解碼，得到通信特征；

判斷所述通信特征是否存在匹配的惡意通信模式；

若是，確認所述待檢測通信流量為惡意通信流量。

可選的，判斷所述通信特征是否存在匹配的惡意通信模式包括：

調用惡意通信模式數據表判斷是否存在包含所有通信特征的惡意通信模式。

可選的，判斷所述通信特征是否存在匹配的惡意通信模式之前，還包括：

獲取黑客工具的配置文件；

解析所述黑客工具配置文件對應的數據包加密方式，得到加密特征；所述加密特征包括加密方法、加密時間和加密對象；

將所述加密特征作為惡意通信模式添加至所述惡意通信模式數據表。

可選的，還包括：

獲取黑客工具的黑客流量；

對所述黑客流量進行解析，整合所述黑客流量的弱特征得到所述惡意通信模式，并添加至所述惡意通信模式數據表；所述弱特征包括URL信息、流量時間戳和編碼值中的任一種或任意幾種的組合。

可選的，若所述待檢測通信流量的通信特征存在匹配的惡意通信模式，在確認所述待檢測通信流量為惡意通信流量之前，還包括：

根據所述待檢測通信流量所匹配惡意通信模式對應的加密方式對所述待檢測通信流量進行反向解密；

若解密成功，執行確認所述待檢測通信流量為惡意通信流量的步驟。

可選的，判斷所述通信特征是否存在匹配的惡意通信模式包括：

判斷所述特定特征是否存在匹配的待定惡意通信模式；