[发明专利]一种恶意加密流量的识别方法及装置

说明书

本发明公开了一种恶意加密流量的识别方法及装置，提取加密流量中的SSL证书；综合利用X509标准函数、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系，对SSL证书的类型进行识别；当SSL证书为中危证书或高危证书时，确定加密流量为恶意加密流量，可见本发明实现了自动化识别恶意加密流量，提高了恶意加密流量的识别效率。

技术领域

本发明涉及信息安全技术领域，更具体的，涉及一种恶意加密流量的识别方法及装置。

背景技术

2019年，超过80％的企业网络流量将被加密，其中，网络流量主要通过SSL(Securesocket layer)协议进行加密，届时加密的流量中将隐藏超过70％的恶意网络流量。

由于DV SSL证书是只验证网站域名所有权的简易型SSL证书，可快速颁发，能起到加密传输的作用，但无法向用户证明网站的真实身份，因此，恶意加密网络流量通常都会使用DV SSL证书或者自签名证书。但是，实际上并不是使用DV SSL证书或者自签名证书的加密流量就一定是恶意的，需要经过协议专家的进一步分析才能够判断。

但是，这种用人工的方式对海量的证书进行分析来识别恶意加密流量的方法是不现实的，且识别效率及其低下。

发明内容

有鉴于此，本发明提供了一种恶意加密流量的识别方法及装置，实现了自动化识别恶意加密流量。

为了实现上述发明目的，本发明提供的具体技术方案如下：

一种恶意加密流量的识别方法，包括：

提取加密流量中的SSL证书；

综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系，对所述SSL证书的类型进行识别；

当所述SSL证书为中危证书或高危证书时，确定所述加密流量为恶意加密流量。

可选的，所述综合利用X509标准函数、证书特征、预设证书知识库、随机性检测神经网络模型和PKI标准的证书校验体系，对所述SSL证书的类型进行识别，包括：

读取所述SSL证书的X509对象，调用X509标准中的第一预设函数，判断所述SSL证书是否为CA证书；

若为所述CA证书，利用所述证书特征、所述预设证书知识库和所述PKI标准的证书校验体系，进一步识别所述CA证书的类型；

若为非CA证书，利用X509标准函数、所述预设证书知识库、所述随机性检测神经网络模型和所述PKI标准的证书校验体系，进一步识别所述非CA证书的类型。

可选的，所述利用所述证书特征和所述预设证书知识库，进一步识别所述CA证书的类型，包括：

提取所述CA证书的所述证书特征，所述证书特征包括使用者信息和签发者信息；

判断所述使用者信息与所述签发者信息是否一致；

若一致，则确定所述CA证书为自签名CA证书，并判断所述自签名CA证书是否在所述预设证书知识库中的可信根证书列表ARCS中；

若在所述可信根证书列表ARCS中时，确定所述自签名CA证书为有效根CA证书，其中，所述有效根CA证书为正常证书；

若不在所述可信根证书列表ARCS中时，确定所述自签名CA证书为伪造根CA证书，其中，所述伪造根CA证书为中危证书；

若所述使用者信息与所述签发者信息不一致时，确定所述CA证书为非自签名CA证书；

利用所述PKI标准的证书校验体系，对所述非自签名CA证书从叶子节点逐个进行校验认证直到可信根证书；