CN113923021A - 基于沙箱的加密流量处理方法、***、设备及介质 - Google Patents
基于沙箱的加密流量处理方法、***、设备及介质 Download PDFInfo
- Publication number
- CN113923021A CN113923021A CN202111175660.XA CN202111175660A CN113923021A CN 113923021 A CN113923021 A CN 113923021A CN 202111175660 A CN202111175660 A CN 202111175660A CN 113923021 A CN113923021 A CN 113923021A
- Authority
- CN
- China
- Prior art keywords
- encrypted traffic
- suspicious
- encrypted
- traffic
- sandbox
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种基于沙箱的加密流量处理方法、***、电子设备及计算机可读存储介质,以解决加密恶意流量识别压力大,安全性差的技术问题,所述方法包括:通过预设的识别规则对沙箱内处理的加密流量进行识别,将加密流量识别为正常加密流量、恶意加密流量或可疑加密流量;对正常加密流量予以放行;对恶意加密流量进行阻断;对可疑加密流量,将其输入到可疑加密流量数据库予以暂存,然后结合可疑加密流量所要访问的服务器的敏感度为其给出差异化的响应时间,并在所述响应时间内对该可疑加密流量再次进行确认。本公开技术方案实现对加密流量中攻击流量的快速检测与响应,在数据分流同时提升服务器的服务能力和安全性能。
Description
技术领域
本公开涉及网络安全技术领域,具体涉及一种基于沙箱的加密流量处理方法,一种基于沙箱的加密流量处理***,一种电子设备以及一种计算机可读存储介质。
背景技术
近年来流量加密越来越成为互联网发展的一个重要风向标,尤其是当前远程居家办公、远程教学、远程会议等一系列场景的高频次亮相,加剧了流量加密的需求,但由于互联网环境的复杂性,简单的加密方式并不能保障信息的安全可靠,更重要的是加密流量的爆发激发了攻击者利用加密流量实施恶意攻击,产生更加具有破坏性的行为,攻击者利用加密手段隐藏恶意病毒、蠕虫、木马等,利用现有加密流量识别手段的脆弱性,防火墙、入侵检测设备等防火策略的薄弱点,实施更加疯狂的恶意行为,因此,能够及时、快速的识别、分析加密恶意流量,对提升网络安全韧性、净化网络空间具有重要的意义。
加密流量信息的解密是一个复杂的问题,并且对其解密违背了加密的初衷,因此,针对现有流量检测技术DPI(Deep PacketInspection,深度包检测)手段不能检测加密流量的情况下,现有的技术手段大多是通过建立恶意流量具有的典型特征规则库的匹配及基于集成学习等大数据分析手段研究。现有技术虽然在一定程度上对加密恶意流量识别分析有一定的效果,但是仍然存在以下问题:客户端直接面对的服务器端,在服务器端收到客户端请求后会按照流程及要求作出响应,即无论一开始加密流量是否恶意都需要服务器端作出结果响应,这无疑增加服务器端工作压力及安全性;其次,针对服务器的重要程度没有进行细粒度评估,进而无法采取相应的响应手段;此外,当前技术存在实验或者测试数据集较为单一、数据量小、结构不够复杂等主要特性,导致检测的准确率存在较大的差异。
发明内容
为了至少解决现有技术中对加密恶意流量识别压力大,安全性差,检测不够准确的技术问题,本公开提供一种基于沙箱的加密流量处理方法、基于沙箱的加密流量处理***、电子设备及计算机可读存储介质,能够实现对加密流量中攻击流量的快速检测与响应,在实现数据分流同时提升服务器的服务能力,消减服务器受攻击的风险。
第一方面,本公开提供一种基于沙箱的加密流量处理方法,所述方法包括:
通过预设的识别规则对沙箱内处理的加密流量进行识别,并将加密流量识别为正常加密流量、恶意加密流量或可疑加密流量;
对于正常加密流量予以放行;对于恶意加密流量进行阻断;对于可疑加密流量,将其输入到可疑加密流量数据库予以暂存,然后结合所述可疑加密流量所要访问的服务器的敏感度为其设置对应的差异化的响应时间,并在所述响应时间内对该可疑加密流量再次进行确认。
进一步的,所述方法还包括:
如果在所述响应时间计时结束时仍无法确认所述可疑加密流量是否为正常加密流量,则对所述可疑加密流量访问的源IP地址进行标识,标识内容包括源IP地址;
将所述标识内容作为溯源定位的基础数据输入到基于可疑IP地址的初始溯源态势图内,并通过输入一定数量的可疑IP地址形成基于可疑IP地址的完备溯源态势图。
进一步的,所述方法还包括:
如果在所述响应时间计时结束时仍无法确认所述可疑加密流量是否为正常加密流量,则对所述可疑加密流量进行人工识别。
进一步的,所述结合所述可疑加密流量所要访问的服务器的敏感度为其设置对应的差异化的响应时间,包括:
将服务器的敏感等级由低至高的划分为多个敏感等级,并同步给沙箱;
根据服务器的敏感等级为要访问该服务器的可疑加密流量设置对应的差异化的响应时间,其中服务器的敏感等级越高则对应的响应时间越长,并且所有差异化的响应时间都大于正常响应时间。
进一步的,通过预设的识别规则对沙箱内处理的加密流量进行识别,包括:
通过预设的恶意特征库、证书特征和集成学习协同实现对沙箱内处理的加密流量进行识别。
进一步的,所述方法还包括:
若所述恶意加密流量为新型恶意加密流量,则提取其特征,并更新到恶意特征库。
进一步的,所述对该可疑加密流量再次进行确认包括:
通过人工与混合特征、密文检索以及多维特征的识别分析相结合方式对所述可疑加密流量进行综合研判,确认所述可疑加密流量是否为正常加密流量。
第二方面,本公开提供一种基于沙箱的加密流量处理***,包括服务器和沙箱,所述沙箱包括:
识别判断模块,其设置为通过预设的识别规则对沙箱内处理的加密流量进行识别,并将加密流量识别为正常加密流量、恶意加密流量或可疑加密流量;以及,
处置模块,其设置为对于正常加密流量予以放行;对于恶意加密流量进行阻断;对于可疑加密流量,将其输入到可疑加密流量数据库予以暂存,然后结合所述可疑加密流量所要访问的服务器的敏感度为其设置对应的差异化的响应时间,并在所述响应时间内对该可疑加密流量再次进行确认。
第三方面,本公开提供一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如第一方面中任一所述的基于沙箱的加密流量处理方法。
第四方面,本公开提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一所述的基于沙箱的加密流量处理方法。
有益效果:
本公开提供的基于沙箱的加密流量处理方法、基于沙箱的加密流量处理***、电子设备及计算机可读存储介质,通过预设的识别规则对沙箱内处理的加密流量进行识别,并将加密流量识别为正常加密流量、恶意加密流量或可疑加密流量;对于正常加密流量予以放行;对于恶意加密流量进行阻断;对于可疑加密流量,将其输入到可疑加密流量数据库予以暂存,然后结合所述可疑加密流量所要访问的服务器的敏感度为其设置对应的差异化的响应时间,并在所述响应时间内对该可疑加密流量再次进行确认。本公开技术方案通过沙箱形成一个服务器的安全保护屏障,在异常事件或攻击事件发生前,有效的识别出加密恶意流量,及时阻断,提升服务器安全能力,并且本公开技术方案能够结合运营商现有网络基础情况,在满足数据多样异构复杂条件下,实现对加密流量中攻击流量的快速检测与响应,在实现数据分流同时提升服务器的服务能力,消减服务器受攻击的风险。
附图说明
图1为本公开实施例一提供的一种基于沙箱的加密流量处理方法的流程示意图;
图2为本公开实施例一提供的一种在沙箱内对加密流量的识别与判断的流程示意图;
图3为本公开实施例一提供的一种在对加密流量进行识别后,在沙箱内对各类加密流量进行处理的流程示意图;
图4为本公开实施例二提供的一种基于沙箱的加密流量处理***的架构图;
图5为本公开实施例三提供的一种电子设备的架构图。
具体实施方式
为使本领域技术人员更好地理解本公开的技术方案,下面结合附图和实施例对本公开作进一步详细描述。应当理解的是,此处描述的具体实施例和附图仅仅用于解释本发明,而非对本发明的限定。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序;并且,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互任意组合。
其中,在本公开实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本公开的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
随着5G网络、物联网、工业互联网等不断发展,运营商管道承载的流量在不断增长,尤其加密流量已成为主流的流量表现形式,恶意代码、病毒、蠕虫等借助加密手段传输已经昭然若揭,但对加密恶意流量识别分析是仍然存在以下问题:首先,从客户端到服务器端,无论是基于五元组还是七元组的流量特征,客户端直接面对的服务器端,服务器端收到客户端请求后会按照流程及要求作出响应,无论一开始加密流量是否恶意都需要服务器端作出结果响应,增加服务器端工作压力及安全性;其次,针对服务器的重要程度没有进行细粒度评估,在客户端看来,所有的服务器均是同一等级,服务器对客户端的响应都是同样的时间要求,这无疑给攻击者提供了有利的机会,此外,对于恶意的流量或者说可疑的流量的溯源,没有持续性跟踪的手段;最后,当前研究存在实验或者测试数据集较为单一、数据量小、结构不够复杂等主要特性,也就是说一定程度上的研究手段在面向运营商大网这样的环境下是不适用或者说是效果甚微的,检测的准确率存在较大的差异。
下面以具体地实施例对本公开的技术方案以及本公开的技术方案如何解决上述问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图1为本公开实施例一提供的一种基于沙箱的加密流量处理方法的流程示意图,如图1所示,所述方法包括:
步骤S101:通过预设的识别规则对沙箱内处理的加密流量进行识别,并将加密流量识别为正常加密流量、恶意加密流量或可疑加密流量;
步骤S102:对于正常加密流量予以放行;对于恶意加密流量进行阻断;对于可疑加密流量,将其输入到可疑加密流量数据库予以暂存,然后结合所述可疑加密流量所要访问的服务器的敏感度为其设置对应的差异化的响应时间,并在所述响应时间内对该可疑加密流量再次进行确认。
沙箱是在互联网网络可以为运行中的程序提供的隔离环境。本发明中所述的沙箱部署在服务器前端,可以独立部署,也可以根据实际的网络环境,分布式部署,用于实现对访问服务器的流量的处置响应,沙箱与服务器之间可采用心跳模式连接,对沙箱的处置情况,服务器具有提前“知情权”,便于服务器提前做好处置策略;加密流量传入到沙箱内,首先通过集合目前加密流量判断手段对加密流量的识别与判断,包括恶意特征库、证书特征、集成学习等识别分析,综合研判加密流量。在常见的加密流量中,主流的加密协议有Ipsec(Internet Protocol Security,互联网安全协议)、SSL(Secure Sockets Layer,安全套接字协议)/TLS(Transport Layer Security,传输层安全)及SSH(Secure Shell,安全外壳协议)等,以TLS为例,TLS连接主要包括两个步骤握手及连接,其中握手阶段是明文的,包括随机数、密码套件、协议版本等信息,这对加密流量识别提供了一个很好的机会,在这个过程中可以通过证书的合法性及证书链的可靠性等主要特征来识别。故本实施例中沙箱的加密流量检测技术手段包括基于证书、DNS(Domain Name System,域名***)、密码套件、版本等众多特征来对加密流量进行识别分析,同时,加密流量识别预设的识别规则还可以包括恶意特征库及机器学习(如基于聚类等)、深度学习(如基于神经网络等)等,需要多种手段协同实现对加密流量的分析,然后输出分析结果,分为三个,正常加密流量、恶意加密流量及可疑加密流量,流程如图2所示。
在将加密流量识别并区分为正常加密流量、恶意加密流量或可疑加密流量后,对各种情况分别做出相应的处置,对于恶意加密流量直接采取阻断措施,阻止其到达服务器端造成进一步危害;对于正常加密流量及可疑加密流量则进入下一流程,对正常加密流量则直接放行,从沙箱输出到服务器端,按照正常流程继续后续操作;对识别结果是可疑加密流量的,输入到可疑加密流量数据库,其次,针对可疑的这些流量,暂存在可疑流量数据库中(等待进一步分析的数据库),结合其所要访问的服务器的敏感度来做出差异化的响应时间,可以根据其访问的服务器的敏感度等级进行划分,服务器越敏感,设置更长的响应时间,以在更长的差异化响应时间内对该可疑加密流量进一步进行确认,通过对可疑加密流量的划分,一方面削弱了服务器访问的压力,另一方面也阻止了可疑流量中恶意流量的直接攻击,延长了受攻击的时间,同时也为进一步分析识别可疑加密流量中的恶意流量争取了时间。
本公开实施例一方面通过沙箱形成一个服务器的安全保护屏障,能够有效的保护服务器的安全,提升其工作效率,另一方面,通过对恶意或可疑流量的特征匹配度及结合机器学习等关键技术手段实现对恶意流量的阻断,可疑流量的延时响应,最后通过对服务器敏感度等级划分,形成相应的可疑流量响应时间等级划分,为进一步识别恶意加密流量争取时间,更好的保证服务器安全。
进一步的,所述方法还包括:
如果在所述响应时间计时结束时仍无法确认所述可疑加密流量是否为正常加密流量,则对所述可疑加密流量访问的源IP地址进行标识,标识内容包括源IP地址;
将所述标识内容作为溯源定位的基础数据输入到基于可疑IP地址的初始溯源态势图内,并通过输入一定数量的可疑IP地址形成基于可疑IP地址的完备溯源态势图。
如果在响应时间计时结束时仍没有识别或者说还需进一步的观察追踪的,需要对这部分的可疑加密流量进行标识,即对访问的源IP地址就行标识,这对后续开展溯源定位具有重要的意义,标识策略包括源IP+编号,编号的设置可自定义,可设置为该IP访问的服务器敏感度级别和服务器编号,如源192.168.3.21+<H,1>,表示该IP地址访问了一个敏感度较高的服务器,输出的标识结果可输入到基于可疑IP地址的溯源态势图作为基础数据源,为后续开展基于可疑IP地址的溯源定位提供有力的数据基础,以助于形成完备的溯源追击链,最后通过大量的可疑IP形成完备的基于可疑IP地址的溯源态势图,组建恶意攻击路径的数据库,形成基于可疑IP的溯源轨迹态势图,通过大数据手段进行后续的跟踪,尤其针对APT(高级可持续威胁攻击),需要的是持续性的跟踪,及早发现苗头,进而预警处置,对定向定位开展网络安全能力提升及筑牢网络安全防线具有重要的意义。
进一步的,所述方法还包括:
如果在所述响应时间计时结束时仍无法确认所述可疑加密流量是否为正常加密流量,则对所述可疑加密流量进行人工识别。
对可疑加密流量,在对应的差异化的响应时间计时结束时若仍无法确认,则可通过人工识别方法对其进行最终确定,最终的人工处理可以通过投入更多人力来加大识别力度,在本实施例的另一种实施方式中,也可以将该未能识别的可疑加密流量阻断,或者将其标识后直接输入到服务器,在服务器内对其进行可监控的响应。
进一步的,所述结合所述可疑加密流量所要访问的服务器的敏感度为其设置对应的差异化的响应时间,包括:
将服务器的敏感等级由低至高的划分为多个敏感等级,并同步给沙箱;
根据服务器的敏感等级为要访问该服务器的可疑加密流量设置对应的差异化的响应时间,其中服务器的敏感等级越高则对应的响应时间越长,并且所有差异化的响应时间都大于正常响应时间。
将服务器的敏感等级由低至高的划分为多个敏感等级,并将沙箱与服务器形成联动,服务器敏感度等级划分需要同步给沙箱,服务器等级划分可依据网络实际情况定义,如可定义由高至低的等级为H、M、L三级,如服务器属于敏感度比较高的H,则请求响应H等级的时间需要慎之又慎,相应的响应时间相比正常请求需要延长,如正常响应时间为S秒,则对H级访问的请求响应时间变为S+T,T值的选择可依据自身网络环境制定,如10秒,相应地,M级对应的请求响应时间则是S+Q,(其中Q值小于T),如Q取值5秒,L级对应的请求响应时间则是S+R(R小于Q,即R<Q<T),通过对响应时间的确定,对可疑加密流量进行了进一步的梳理,坚持的原则是“不信任不放行,不信任多验证”。
进一步的,通过预设的识别规则对沙箱内处理的加密流量进行识别,包括:
通过预设的恶意特征库、证书特征和集成学习协同实现对沙箱内处理的加密流量进行识别。
通过多种方式相结合的协同方式可以更好的对恶意加密流量进行识别,使的初次识别时就能应对大部分的恶意加密流量,减少后续进一步的处理任务。
进一步的,所述方法还包括:
若所述恶意加密流量为新型恶意加密流量,则提取其特征,并更新到恶意特征库。
在识别出恶意加密流量后,若发现其在相应的恶意特征库中没有进行特征备存,则对新型的恶意流量则进一步提取其特征,更新恶意特征库,以方便后续更方便快捷的实现此类恶意加密流量的识别。
进一步的,所述对该可疑加密流量再次进行确认包括:
通过人工与混合特征、密文检索以及多维特征的识别分析相结合方式对所述可疑加密流量进行综合研判,确认所述可疑加密流量是否为正常加密流量。
在初步识别过程中无法对加密流量进行确认的可疑加密流量,需要通过更严格的识别方式进行验证,验证的方式此时需要综合人工与混合特征、新技术等识别分析方式相结合的综合研判,包括不限于密文检索、多维特征等,通过花费更多的人力物力实现对可疑加密流量识别,防止恶意流量攻击服务器。
在本公开的一种实施方式中,在对加密流量进行识别后,在沙箱内对各类加密流量的处理方式如图3所示,对正常加密流量直接输入到服务器,对可疑加密流量,输入可疑加密流量库,根据其访问的服务器的敏感等级,设置不同的响应时间,服务器敏感等级为H,则访问的请求响应时间为S+T,服务器敏感等级为M,则访问的请求响应时间为S+Q,服务器敏感等级为L,则访问的请求响应时间为S+R,在响应时间内,通过人工与混合特征,密文检索以及多维特征的识别进行研判分析,若确定该可疑加密流量为正常加密流量,则将其输入到服务器,若还不能确定,则对其进行人工识别,并对其进行标识,将标识结果输入到基于可疑IP地址的溯源态势图,为基于可疑IP地址形成攻击路径溯源图提供基础支撑,实现以大数据手段进行后续的恶意流量跟踪,同时对此未能识别的可疑加密流量,若其比较重要,则对其进行标记后输入服务器,在服务器内密切对其进行关注。
本公开实施例结合基础电信运营商自有的数据资源,满足复杂环境下数据的多样性,一方面通过沙箱形成一个服务器的安全保护屏障,能够有效的保护服务器的安全,提升其工作效率,另一方面,通过对恶意或可疑流量的特征匹配度及结合机器学习等关键技术手段实现对恶意流量的阻断,可疑流量的延时响应,最后通过对服务器敏感度等级划分,形成相应的可疑流量响应时间等级划分,输出结果作为数据源,为基于可疑IP地址形成攻击路径溯源图提供基础支撑。通过本公开的技术方案,能够增强网络安全韧性,提升自身安全防御能力,能够以更加智慧、安全的网络为客户提供安全可靠的业务保障,实现安全能力的最大化与价值化。
图4为本公开实施例二提供的一种基于沙箱的加密流量处理***,包括服务器2和沙箱1,所述沙箱1包括:
识别判断模块11,其设置为通过预设的识别规则对加密流量进行识别,将加密流量分为正常加密流量、恶意加密流量及可疑加密流量;
处置模块12,其设置为对于恶意加密流量进行阻断,对于正常加密流量予以放行;
所述处置模块12还设置为对可疑加密流量,将其输入到可疑加密流量数据库并进行暂存,然后结合所述可疑加密流量所要访问的服务器的敏感度为其给出差异化的响应时间,并在所述差异化的响应时间内对该可疑加密流量进一步进行确认。
其中,沙箱1部署在服务器2前端,用于对所述加密流量进行处理。
进一步的,所述沙箱1还包括输入模块13;
所述处置模块12还设置如果在所述响应时间计时结束时仍无法确认所述可疑加密流量是否为正常加密流量,则对所述可疑加密流量访问的源IP地址进行标识,标识内容包括源IP地址;
所述输入模块13设置为将所述标识内容作为溯源定位的基础数据输入到基于可疑IP地址的初始溯源态势图内,并通过输入一定数量的可疑IP地址形成基于可疑IP地址的完备溯源态势图。
进一步的,所述处置模块12还设置为在将服务器的敏感等级由低至高的划分为多个敏感等级,并同步给沙箱后,根据服务器的敏感等级设置为要访问该服务器的可疑加密流量设置对应的差异化的响应时间,其中服务器的敏感等级越高则对应的响应时间越长,并且所有差异化的响应时间都大于正常响应时间。
进一步的,所述识别判断模块11具体设置为通过预设的恶意特征库、证书特征和集成学习协同实现对沙箱内处理的加密流量进行识别。
进一步的,所述处置模块12还设置为若所述恶意加密流量为新型恶意加密流量,则提取其特征,并更新到恶意特征库。
进一步的,所述处置模块12所对该可疑加密流量再次进行确认包括:
通过人工与混合特征、密文检索以及多维特征的识别分析相结合方式对所述可疑加密流量进行综合研判,确认所述可疑加密流量是否为正常加密流量。
本公开实施例的基于沙箱的加密流量处理***用于实施方法实施例一中的基于沙箱的加密流量处理方法,所以描述的较为简单,具体可以参见前面方法实施例一中的相关描述,此处不再赘述。
此外,如图5所示,本公开实施例三还提供一种电子设备,包括存储器10和处理器20,所述存储器10中存储有计算机程序,当所述处理器20运行所述存储器10存储的计算机程序时,所述处理器20执行上述各种可能的基于沙箱的加密流量处理方法。
其中,存储器10与处理器20连接,存储器10可采用闪存或只读存储器或其他存储器,处理器20可采用中央处理器或单片机。
此外,本公开实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行上述各种可能的方法。
该计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory,随机存取存储器),ROM(Read-Only Memory,只读存储器),EEPROM(Electrically ErasableProgrammable read only memory,带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
可以理解的是,以上实施方式仅仅是为了说明本公开的原理而采用的示例性实施方式,然而本公开并不局限于此。对于本领域内的普通技术人员而言,在不脱离本公开的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本公开的保护范围。
Claims (10)
1.一种基于沙箱的加密流量处理方法,其特征在于,所述方法包括:
通过预设的识别规则对沙箱内处理的加密流量进行识别,并将加密流量识别为正常加密流量、恶意加密流量或可疑加密流量;
对于正常加密流量予以放行;对于恶意加密流量进行阻断;对于可疑加密流量,将其输入到可疑加密流量数据库予以暂存,然后结合所述可疑加密流量所要访问的服务器的敏感度为其设置对应的差异化的响应时间,并在所述响应时间内对该可疑加密流量再次进行确认。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果在所述响应时间计时结束时仍无法确认所述可疑加密流量是否为正常加密流量,则对所述可疑加密流量访问的源IP地址进行标识,标识内容包括源IP地址;
将所述标识内容作为溯源定位的基础数据输入到基于可疑IP地址的初始溯源态势图内,并通过输入一定数量的可疑IP地址形成基于可疑IP地址的完备溯源态势图。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果在所述响应时间计时结束时仍无法确认所述可疑加密流量是否为正常加密流量,则对所述可疑加密流量进行人工识别。
4.根据权利要求1或2所述的方法,其特征在于,所述结合所述可疑加密流量所要访问的服务器的敏感度为其设置对应的差异化的响应时间,包括:
将服务器的敏感等级由低至高的划分为多个敏感等级,并同步给沙箱;
根据服务器的敏感等级为要访问该服务器的可疑加密流量设置对应的差异化的响应时间,其中服务器的敏感等级越高则对应的响应时间越长,并且所有差异化的响应时间都大于正常响应时间。
5.根据权利要求1所述的方法,其特征在于,通过预设的识别规则对沙箱内处理的加密流量进行识别,包括:
通过预设的恶意特征库、证书特征和集成学习协同实现对沙箱内处理的加密流量进行识别。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若所述恶意加密流量为新型恶意加密流量,则提取其特征,并更新到恶意特征库。
7.根据权利要求1所述的方法,其特征在于,所述对该可疑加密流量再次进行确认包括:
通过人工与混合特征、密文检索以及多维特征的识别分析相结合方式对所述可疑加密流量进行综合研判,确认所述可疑加密流量是否为正常加密流量。
8.一种基于沙箱的加密流量处理***,其特征在于,包括服务器和沙箱,所述沙箱包括:
识别判断模块,其设置为通过预设的识别规则对沙箱内处理的加密流量进行识别,并将加密流量识别为正常加密流量、恶意加密流量或可疑加密流量;以及,
处置模块,其设置为对于正常加密流量予以放行;对于恶意加密流量进行阻断;对于可疑加密流量,将其输入到可疑加密流量数据库予以暂存,然后结合所述可疑加密流量所要访问的服务器的敏感度为其设置对应的差异化的响应时间,并在所述响应时间内对该可疑加密流量再次进行确认。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如权利要求1-7中任一项所述的基于沙箱的加密流量处理方法。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的基于沙箱的加密流量处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111175660.XA CN113923021B (zh) | 2021-10-09 | 2021-10-09 | 基于沙箱的加密流量处理方法、***、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111175660.XA CN113923021B (zh) | 2021-10-09 | 2021-10-09 | 基于沙箱的加密流量处理方法、***、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113923021A true CN113923021A (zh) | 2022-01-11 |
| CN113923021B CN113923021B (zh) | 2023-09-22 |
Family
ID=79238681
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111175660.XA Active CN113923021B (zh) | 2021-10-09 | 2021-10-09 | 基于沙箱的加密流量处理方法、***、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113923021B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465823A (zh) * | 2022-04-08 | 2022-05-10 | 杭州海康威视数字技术股份有限公司 | 工业互联网终端加密流量数据安全检测方法、装置及设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106850549A (zh) * | 2016-12-16 | 2017-06-13 | 北京江南博仁科技有限公司 | 一种分布式加密服务网关及实现方法 |
| US20170195353A1 (en) * | 2015-12-31 | 2017-07-06 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for detecting malicious network traffic |
| US20190222561A1 (en) * | 2018-01-12 | 2019-07-18 | Samsung Electronics Co., Ltd. | User terminal device, electronic device, system comprising the same and control method thereof |
| CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN111277598A (zh) * | 2020-01-21 | 2020-06-12 | 北京天琴合创技术有限公司 | 一种基于流量的应用攻击识别方法及*** |
| CN111641620A (zh) * | 2020-05-21 | 2020-09-08 | 黄筱俊 | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 |
| CN112311814A (zh) * | 2020-12-23 | 2021-02-02 | 中国航空油料集团有限公司 | 基于深度学习的恶意加密流量识别方法、***及电子设备 |
| CN113014549A (zh) * | 2021-02-01 | 2021-06-22 | 北京邮电大学 | 基于http的恶意流量分类方法及相关设备 |
| CN113469366A (zh) * | 2020-03-31 | 2021-10-01 | 北京观成科技有限公司 | 一种加密流量的识别方法、装置及设备 |
-
2021
- 2021-10-09 CN CN202111175660.XA patent/CN113923021B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170195353A1 (en) * | 2015-12-31 | 2017-07-06 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for detecting malicious network traffic |
| CN106850549A (zh) * | 2016-12-16 | 2017-06-13 | 北京江南博仁科技有限公司 | 一种分布式加密服务网关及实现方法 |
| US20190222561A1 (en) * | 2018-01-12 | 2019-07-18 | Samsung Electronics Co., Ltd. | User terminal device, electronic device, system comprising the same and control method thereof |
| CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN111277598A (zh) * | 2020-01-21 | 2020-06-12 | 北京天琴合创技术有限公司 | 一种基于流量的应用攻击识别方法及*** |
| CN113469366A (zh) * | 2020-03-31 | 2021-10-01 | 北京观成科技有限公司 | 一种加密流量的识别方法、装置及设备 |
| CN111641620A (zh) * | 2020-05-21 | 2020-09-08 | 黄筱俊 | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 |
| CN112311814A (zh) * | 2020-12-23 | 2021-02-02 | 中国航空油料集团有限公司 | 基于深度学习的恶意加密流量识别方法、***及电子设备 |
| CN113014549A (zh) * | 2021-02-01 | 2021-06-22 | 北京邮电大学 | 基于http的恶意流量分类方法及相关设备 |
Non-Patent Citations (1)
| Title |
|---|
| 邹源;张甲;江滨;: "基于LSTM循环神经网络的恶意加密流量检测", 计算机应用与软件, no. 02 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465823A (zh) * | 2022-04-08 | 2022-05-10 | 杭州海康威视数字技术股份有限公司 | 工业互联网终端加密流量数据安全检测方法、装置及设备 |
| CN114465823B (zh) * | 2022-04-08 | 2022-08-19 | 杭州海康威视数字技术股份有限公司 | 工业互联网终端加密流量数据安全检测方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113923021B (zh) | 2023-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| US10264104B2 (en) | Systems and methods for malicious code detection accuracy assurance | |
| Ghafir et al. | Botdet: A system for real time botnet command and control traffic detection | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| US7225468B2 (en) | Methods and apparatus for computer network security using intrusion detection and prevention | |
| Park et al. | Network log-based SSH brute-force attack detection model. | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及*** | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及*** | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及*** | |
| CN113923021B (zh) | 基于沙箱的加密流量处理方法、***、设备及介质 | |
| Cuzme-Rodríguez et al. | Offensive Security: Ethical Hacking Methodology on the Web | |
| Keshri et al. | DoS attacks prevention using IDS and data mining | |
| Al Makdi et al. | Trusted security model for IDS using deep learning | |
| Anand et al. | Enchanced multiclass intrusion detection using supervised learning methods | |
| Kishore et al. | Intrusion Detection System a Need | |
| Jeong et al. | Hybrid system to minimize damage by zero-day attack based on NIDPS and HoneyPot | |
| Kang et al. | Whitelist generation technique for industrial firewall in SCADA networks | |
| Patel et al. | An approach to detect and prevent distributed denial of service attacks using blockchain technology in cloud environment | |
| CN112637217B (zh) | 基于诱饵生成的云计算***的主动防御方法及装置 | |
| Abdollah et al. | Revealing the Influence of Feature Selection for Fast Attack Detection | |
| Prajapati et al. | Host-based forensic artefacts of botnet infection | |
| CN115277173B (zh) | 一种网络安全监测管理***及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |