[发明专利]恶意通信检测方法、系统、存储介质和电子设备

权利要求书

1.一种恶意通信检测方法，其特征在于，包括：

获取待检测通信流量；

对所述待检测通信流量进行流量加解码，得到通信特征；

判断所述通信特征是否存在匹配的恶意通信模式；

若是，确认所述待检测通信流量为恶意通信流量。

2.根据权利要求1所述恶意通信检测方法，其特征在于，判断所述通信特征是否存在匹配的恶意通信模式包括：

调用恶意通信模式数据表判断是否存在包含所有通信特征的恶意通信模式。

3.根据权利要求2所述恶意通信检测方法，其特征在于，判断所述通信特征是否存在匹配的恶意通信模式之前，还包括：

获取黑客工具的配置文件；

解析所述黑客工具配置文件对应的数据包加密方式，得到加密特征；所述加密特征包括加密方法、加密时间和加密对象；

将所述加密特征作为恶意通信模式添加至所述恶意通信模式数据表。

4.根据权利要求2所述恶意通信检测方法，其特征在于，判断所述通信特征是否存在匹配的恶意通信模式之前，还包括：

获取黑客工具的黑客流量；

对所述黑客流量进行解析，整合所述黑客流量的弱特征得到所述恶意通信模式，并添加至所述恶意通信模式数据表；所述弱特征包括URL信息、流量时间戳和编码值中的任一种或任意几种的组合。

5.根据权利要求1所述恶意通信检测方法，其特征在于，若所述待检测通信流量的通信特征存在匹配的恶意通信模式，在确认所述待检测通信流量为恶意通信流量之前，还包括：

根据所述待检测通信流量所匹配恶意通信模式对应的加密方式对所述待检测通信流量进行反向解密；

若解密成功，执行确认所述待检测通信流量为恶意通信流量的步骤。

6.根据权利要求1所述恶意通信检测方法，其特征在于，判断所述通信特征是否存在匹配的恶意通信模式包括：

判断特定特征是否存在匹配的待定恶意通信模式；

若否，确认所述待检测通信流量为正常流量；

若是，判断所述待定恶意通信模式是否包含弱特征；

若所述待定恶意通信模式存在包含所述弱特征的目标恶意通信模式，将所述目标恶意通信模式作为所述通信特征对应匹配的恶意通信模式；

其中，所述特定特征包括通信方式特征和通信流量特征。

7.根据权利要求1所述恶意通信检测方法，其特征在于，确认所述待检测通信流量为恶意通信流量之后，还包括：

生成所述恶意通信流量对应的告警信息，所述告警信息用于指示所述恶意通信流量为黑客工具通信流量。

8.一种恶意通信检测系统，其特征在于，包括：

获取模块，用于获取待检测通信流量；

通信特征提取模块，用于对所述待检测通信流量进行流量加解码，得到通信特征；

判断模块，用于判断所述通信特征是否存在匹配的恶意通信模式；

确认模块，用于所述判断模块的判断结果为是时，确认所述待检测通信流量为恶意通信流量。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-7任一项所述的恶意通信检测方法的步骤。

10.一种电子设备，其特征在于，包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时实现如权利要求1-7任一项所述的恶意通信检测方法的步骤。