[发明专利]https模式下webshell攻击流量的识别方法和装置

权利要求书

1.一种https模式下webshel l攻击流量的识别方法，其特征在于，所述方法包括：

获取待识别的原始流量，从所述原始流量中筛选出TLS协议的流量作为目标流量；

基于预先创建的浏览器握手信息库，在所述目标流量中滤除浏览器流量，以得到未知TLS流量；其中，所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的；

基于预先创建的流量行为模型，筛选出所述未知TLS流量中的webshel l攻击流量；其中，所述流量行为模型是利用webshel l攻击流量与web应用的流行为区别特征构建的。

2.根据权利要求1所述的https模式下webshel l攻击流量的识别方法，其特征在于，从所述原始流量中筛选出TLS协议的流量作为目标流量，具体包括：

从所述原始流量中筛选出由外向内传输的TLS协议的流量作为目标流量。

3.根据权利要求2所述的https模式下webshel l攻击流量的识别方法，其特征在于，客户端握手信息具体包括TLS协议中除Session_id、Random、Extension和server_name以外的所有属性信息。

4.根据权利要求1所述的https模式下webshel l攻击流量的识别方法，其特征在于，基于预先创建的流量行为模型，筛选出所述未知TLS流量中的webshel l攻击流量，具体包括：

在所述未知TLS流量中待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配的情况下，则确定该待识别流量为webshel l攻击流量。

5.根据权利要求4所述的https模式下webshel l攻击流量的识别方法，其特征在于，待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配，具体包括：

所述待识别流量的至少一个流行为特征与所述流行为区别特征相匹配。

6.根据权利要求4所述的https模式下webshel l攻击流量的识别方法，其特征在于，所述流行为区别特征包括以下至少一者：

流时间间隔不规律、多流总体分布的时间范围小于预设时间阈值、流中数据包的长度小于预设长度阈值、流中部分上行包长度相近、至少存在1个上行或下行大于8000字节的包。

7.根据权利要求1所述的https模式下webshel l攻击流量的识别方法，其特征在于，从所述原始流量中筛选出TLS协议的流量作为目标流量，具体包括：

从所述原始流量中，提取TCP应用层存在TLS协议头的流量作为目标流量。

8.一种https模式下webshel l攻击流量的识别装置，其特征在于，所述装置包括：

目标流量获取单元，用于获取待识别的原始流量，从所述原始流量中筛选出TLS协议的流量作为目标流量；

第一筛选单元，用于基于预先创建的浏览器握手信息库，在所述目标流量中滤除浏览器流量，以得到未知TLS流量；其中，所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的；

第二筛选单元，用于基于预先创建的流量行为模型，筛选出所述未知TLS流量中的webshell攻击流量；其中，所述流量行为模型是利用webshel l攻击流量与web应用的流行为区别特征构建的。

9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。