[发明专利]一种恶意HTTPS隐秘通道的检测系统及其检测方法

说明书

本申请提供一种恶意HTTPS隐秘通道的检测系统及其检测方法，包括流量模块、HTTPS模块和安全检测模块；所述流量模块存储有流量信息，所述流量信息包括会话信息和历史流量信息；所述HTTPS模块能够根据获得的流量信息得到HTTPS隐蔽通道信息；所述HTTPS隐蔽通道信息包括HTTPS元数据、SSL元数据和SNI元数据；所述安全检测模块包括心跳检测模块、证书检测模块、指纹检测模块和SNI检测模块，根据安全检测模块获得的心跳异常五元组、证书异常五元组、指纹异常五元组和SNI异常五元组的信息，综合判断是否为恶意HTTPS隐秘通道。本申请提高了网络安全性，能够对恶意HTTPS隐秘通道进行及时报警。

技术领域

本申请涉及网络安全领域，尤其是指一种恶意HTTPS隐秘通道的检测系统及其检测方法。

背景技术

NTA作为网络安全领域的重要安全检测技术之一，是通过网络行为分析发现隐藏在加密流量、隧道封装中的威胁信息，发掘长期潜伏黑客组织的一种重要手段。对于已经失陷的内网主机，通常需要和外部CC服务器建立定期的联系，接收控制指令。攻击者为了躲避各类安全设备的检测会对交互的流量进行加密，使得传统的检测设备无法从内容上甄别这种异常行为。因此，急需一种检测方法解决传统特征检测针对HTTPS隐蔽隧道检测失效的问题。

发明内容

为解决上述问题，本申请提供一种恶意HTTPS隐秘通道的检测系统，包括包括流量模块、HTTPS模块和安全检测模块；

其中，所述流量模块存储有流量信息，所述流量信息包括会话信息和历史流量信息；所述HTTPS模块能够根据获得的流量信息得到HTTPS隐蔽通道信息；所述HTTPS隐蔽通道信息包括HTTPS元数据、SSL元数据和SNI元数据；所述安全检测模块包括心跳检测模块、证书检测模块、指纹检测模块和SNI检测模块。

本申请还提供一种如上所述的恶意HTTPS隐秘通道的检测系统的检测方法，步骤包括：

S10，记录网络中所有流量，以流为对象提取会话信息，当在会话信息中检测到HTTPS隐秘通道时，转入步骤S20；

S20,获得HTTPS隐秘通道的HTTPS元数据信息，其中，HTTPS元数据信息包括客户端JA3指纹、服务器端JA3S指纹、SNI信息和证书信息；

S30，对HTTPS隐秘通道的会话进行心跳检测，通过心跳检测算法判断是否存在异常心跳；当判断为是时，提取出对应流量的五元组信息，记录为心跳异常五元组；

S40，对HTTPS隐秘通道传输的证书进行检测，判断是否存在异常证书；当判断为是时，提取出对应流量的五元组信息，记录为证书异常五元组；

S50,对HTTPS隐秘通道会话的客户端JA3指纹和服务器端JA3S指纹结合后进行指纹检测，判断是否为存在异常指纹，当判断为是时，提取对应的流量的五元组信息，记录为指纹异常五元组；

S60，对HTTPS隐秘通道的SNI元数据进行域名检测，判断是否存在异常域名，当判断为是时，提取出对应的流量的五元组信息，记录为SNI异常五元组；

S70，根据获得的心跳异常五元组、证书异常五元组、指纹异常五元组和SNI异常五元组的信息，综合判断是否为恶意HTTPS隐秘通道。

其中，优选的，HTTPS心跳检测的方法包括：

S31，将会话信息中的五元组进行归并，建立源IP+目的IP+目的端口的三元组对象；

S32，按预定条件将三元组对象设置为N个分组，将符合预定条件的会话信息存储在对应的分组中；

S33，记录满足此分组条件的首条会话的时间戳信息；

S34，定期遍历每个分组的首条会话的时间，如果分组存在的时间超过设定的时间阈值，则对此分组进行心跳检测；