[发明专利]一种识别异常加密流量的方法及装置

权利要求书

1.一种识别异常加密流量的方法，其特征在于，包括：

获取加密流量文件；

对所述加密流量文件进行预处理，以确定加密流量对应的流量协议；

根据所述流量协议的类型，选择相对应的行为识别规则对所述加密流量进行行为识别；

根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则，识别异常加密流量；

所述流量协议的类型包括基础加密协议、C/S即时通信协议、P2P即时通信协议和P2P文件传输协议，相应的，所述根据所述流量协议的类型，选择相对应的行为识别规则对所述加密流量进行行为识别，包括：

若所述流量协议为所述基础加密协议，选择相对应的第一行为识别规则对所述加密流量进行行为识别；

或，

若所述流量协议为所述C/S即时通信协议，选择相对应的第二行为识别规则对所述加密流量进行行为识别；

或，

若所述流量协议为所述P2P即时通信协议，选择相对应的第三行为识别规则对所述加密流量进行行为识别；

或，

若所述流量协议为所述P2P文件传输协议，选择相对应的第四行为识别规则对所述加密流量进行行为识别；

所述若所述流量协议为所述基础加密协议，选择相对应的第一行为识别规则对所述加密流量进行行为识别，包括：

对所述加密流量进行端口识别；

若端口识别的识别结果为第一识别结果，则根据所述加密流量的包头信息和后续信息是否包括有指定字符串，确定所述加密流量的行为识别结果；

或，

若端口识别的识别结果为第二识别结果，则获取所述基础加密协议中的客户端节点在发送首个请求握手包过程中所提供的加密方法套件名称；

在所述基础加密协议中的服务器节点与所述客户端节点进行后续数据传输的过程中，根据所述服务器节点是否向所述客户端节点发送过针对所述首个请求握手包反馈的服务器节点请求握手包，且所述服务器节点请求握手包的指定字段是否对应有所述加密方法套件名称，确定所述加密流量的行为识别结果。

2.根据权利要求1所述的方法，其特征在于，所述若所述流量协议为所述C/S即时通信协议，选择相对应的第二行为识别规则对所述加密流量进行行为识别，包括：

对所述加密流量进行端口识别；

若端口识别的识别结果为第三识别结果，获取标识由客户端向服务器端发送的请求包类型的类型标识字段、以及标识所述客户端用户身份的身份标识字段；其中，请求包为所述客户端向所述服务器端发送的更新当前用户的朋友列表请求；

根据所述类型标识字段和所述身份标识字段，确定候选请求包，所述候选请求包表示同一用户发送的同一类型请求包；

获取发送所述候选请求包的时间间隔，并将所述时间间隔小于等于预设时间间隔阈值的候选请求包作为目标请求包；

计算所述目标请求包的数量与同一用户发送的所有请求包总数的比值；

根据所述比值是否大于比值阈值，确定所述加密流量的行为识别结果。

3.根据权利要求1所述的方法，其特征在于，所述若所述流量协议为所述P2P即时通信协议，选择相对应的第三行为识别规则对所述加密流量进行行为识别，包括：

对所述加密流量进行端口识别；

若端口识别的识别结果为第四识别结果，则获取所述加密流量的源地址和目的地址，并根据当前网络掩码的配置，计算所述源地址对应的源广播地址、所述目的地址对应的目的广播地址；

根据所述加密流量文件是否存在从所述源地址发送至所述源广播地址、且端口为所述第四识别结果的广播包，确定所述加密流量的行为识别结果；

或，

根据所述加密流量是否存在从所述目的地址发送至所述目的广播地址、且端口为所述第四识别结果的广播包，确定所述加密流量的行为识别结果。