[发明专利]一种网络安全监控的方法、装置、存储介质及服务器

说明书

本发明公开一种网络安全监控的方法、装置、存储介质及服务器，属于互联网安全技术领域，特别涉及一种网络安全监控方法，包括：对公共网络中已加密的流量采用过滤器过滤，进行流量采集；对采集到的流量提取特征类别以及特征；采用预设算法根据所述特征类别及所述特征对样本数据进行训练，生成模型分类准确率结果。本方法无需使用拦截器，降低了成本以及计算能力，在不影响网络性能前提下，无需解密流量，保证流量通信过程中的私密性。

技术领域

本发明属于互联网安全技术领域，特别涉及一种网络安全监控的方法、装置、存储介质及服务器。

背景技术

计算机网络是人们通过现代信息技术手段了解社会、获取信息的重要手段和途径。网络安全管理是人们能够安全上网、绿色上网、健康上网的根本保证。

为了确保通信安全和隐私以及应对各种窃听和中间人攻击，HTTPS逐渐全面普及，越来越多的网络流量也被加密，然而，攻击者也可以通过这种方式来隐藏自己的信息和行踪，通过给恶意软件穿上一层名为TLS/SSL的马甲来将其伪装成正常流量进行攻击感染，逃避检测。

近年来，针对加密恶意流量的检测一直是网络安全领域关注的焦点，本发明人经研究发现，现有技术中，业界网关设备主要使用解密流量的方法检测攻击行为，但这种解密方法会消耗大量的资源，成本很高，同时也违反了加密的初衷，解密过程会受到隐私保护相关法律法规的严格限制。

发明内容

为了至少解决上述技术问题，本发明提供了网络安全监控方法、装置、存储介质及服务器。

根据本发明第一方面，提供了一种网络安全监控方法，包括：

对公共网络中已加密的流量采用过滤器过滤，进行流量采集；

对采集到的流量提取特征类别以及特征；

采用预设算法根据所述特征类别及所述特征对样本数据进行训练，生成模型分类准确率结果。

进一步的，

所述对公共网络中已加密的流量采用过滤器过滤，进行流量采集，包括：

采用wireshark作为过滤器，根据预设的过滤规则捕获网络数据包，生成过程特性分析软件包文件，作为采集到的流量。

进一步的，

所述对公共网络中已加密的流量采用过滤器过滤，进行流量采集，包括：

采用流量包深度解析方式，提取抓包到的HTTPS流量中的信息日志，所述信息日志包括连接通信日志、SSL协议日志、证书日志。

进一步的，

所述对采集到的流量提取特征类别以及特征，包括：

通过解析HTTPS数据包头部信息来获取所述采集到的流量的特征，使用wireshark捕获网络数据包，生成过程特性分析软件包文件，得到流量特征类别。

进一步的，

所述对采集到的流量提取特征，包括：

通过来自所述连接日志、所述SSL协议日志、所述证书日志中的数据创建连接4元组，并提取特征。

进一步的，

所述采用预设算法根据特征类别及特征对样本数据进行训练，生成模型分类准确率结果，包括采用合适的汲取学习算法作为分类器对样本数据进行训练，生成相应的分类模型，基于所述分类模型对样本数据进行准确率计算，得到分类准确率结果；

所述样本数据包括加密恶意流量和加密良性流量。

进一步的，