[发明专利]一种恶意HTTPS隐秘通道的检测系统及其检测方法

权利要求书

1.一种恶意HTTPS隐秘通道的检测系统，其特征在于，包括流量模块、HTTPS模块和安全检测模块；

其中，所述流量模块存储有流量信息，所述流量信息包括会话信息和历史流量信息；所述HTTPS模块能够根据获得的流量信息得到HTTPS隐蔽通道信息；所述HTTPS隐蔽通道信息包括客户端JA3指纹、服务器端JA3S指纹、SNI信息和证书信息；所述安全检测模块包括心跳检测模块、证书检测模块、指纹检测模块和SN I检测模块，根据安全检测模块获得的异常信息，综合判断是否为恶意HTTPS隐秘通道；

其中，所述心跳检测模块能够获得HTTPS隐蔽通道存在的异常心跳；所述证书检测模块能够获得HTTPS隐蔽通道存在的异常证书；所述指纹检测模块能够获得HTTPS隐秘通道存在的异常指纹；所述SNI检测模块能够获得HTTPS隐秘通道存在的异常域名；

其中，所述指纹检测模块包括全局稀有度检测子模块和局部集中度检测子模块，所述全局稀有度检测子模块将客户端JA3指纹和服务器端JA3S指纹拼接生成JA3+JA3S指纹,从而得到预设时间段内JA3+JA3S指纹的分布概率，根据分布概率判断是否进入局部集中度检测子模块进行检测；

局部集中度检测子模块通过在预设时间段内获得的JA3+JA3S指纹的分布概率，得到滑动窗口的集中度的最大值作为JA3+JA3S指纹的局部集中度，根据局部集中度判断是否为异常指纹。

2.一种使用如权利要求1所述的恶意HTTPS隐秘通道的检测系统的检测方法，其特征在于，步骤包括：

S10，记录网络中所有流量，以流为对象提取会话信息，当在会话信息中检测到HTTPS隐秘通道时，转入步骤S20；

S20,获得HTTPS隐秘通道的客户端JA3指纹、服务器端JA3S指纹、SN I信息和证书信息；

S30，对HTTPS隐秘通道的会话进行心跳检测，通过心跳检测算法判断是否存在异常心跳；当判断为是时，提取出对应流量的五元组信息，记录为心跳异常五元组；

S40，对HTTPS隐秘通道传输的证书进行检测，判断是否存在异常证书；当判断为是时，提取出对应流量的五元组信息，记录为证书异常五元组；

S50,对HTTPS隐秘通道会话的客户端JA3指纹和服务器端JA3S指纹结合后进行指纹检测，判断是否为存在异常指纹，当判断为是时，提取对应的流量的五元组信息，记录为指纹异常五元组；

其中，所述指纹检测的步骤为：

S511,将客户端JA3指纹和服务器端JA3S指纹拼接生成JA3+JA3S指纹,获得预设时间段T内一类JA3+JA3S指纹的个数U₁；

S512,获得预设时间段T的流量中共检测到指纹个数U₀，得到预设时间段T内该类JA3+JA3S指纹的分布概率P₁＝U₁/U₀；

设定稀有度阈值为P₀；

当P₁≤P₀时，判断该类JA3+JA3S指纹的全局稀有度检测正常，判断指纹正常；

当P₁＞P₀时，判断该类JA3+JA3S指纹的全局稀有度检测异常，转入步骤S513；

S513，在预设时间段T中获得m个不同时间长度的滑动窗口，设置其中第i滑动窗口的时间长度为t_i，设置t_i时间长度的流量中共有指纹U₂个，其中包含该类JA3+JA3S指纹U₃个，则得到第i滑动窗口中该类JA3+JA3S指纹分布概率为P_i＝U₃/U₂；

S514，计算得到第i滑动窗口的集中度分别获得m个滑动窗口的集中度，得到其中的最大值将L_max作为该类JA3+JA3S指纹的局部集中度；

S515，设定局部集中度阈值L₀，

当L_max≤L₀时，判断该类JA3+JA3S指纹对应IP的局部集中度检测正常，判断该类指纹正常；

当L_max＞L₀时，判断该类JA3+JA3S指纹对应IP的局部集中度检测异常，判断该类指纹异常；

S60，对HTTPS隐秘通道的SNI信息进行域名检测，判断是否存在异常域名，当判断为是时，提取出对应的流量的五元组信息，记录为SN I异常五元组；

S70，根据获得的心跳异常五元组、证书异常五元组、指纹异常五元组和SNI异常五元组的信息，综合判断是否为恶意HTTPS隐秘通道。