[发明专利]用于识别异常行为的方法、装置、电子设备和计算机可读介质

说明书

本申请实施例公开了用于识别异常行为的方法和装置。该方法的一具体实施方式包括：提取网络流量的加密数据包的指纹信息和统计信息；对指纹信息进行异常指纹比对，输出指纹异常事件；对统计信息进行时序异常检测，输出时序异常事件；基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件。该实施方式提供了一种基于网络行为与指纹的加密流量异常行为识别方法，有助于阻止异常流量的攻击。

技术领域

本申请实施例涉及计算机技术领域，具体涉及用于识别异常行为的方法和装置。

背景技术

大量的网站流量都被加密。加密技术可以为企业应用提供更强的隐私性和安全性，但同时攻击者也在利用这项技术将恶意软件的流量隐藏起来，从而躲避基于通信内容的安全检测。因此需要对加密流量进行异常识别的安全能力。

目前，加密流量的异常识别方式主要包括以下五种：其一，基于中间人原理的SSL(Secure Sockets Layer，安全套接层)代理解密流量来进行检测。其二，将入侵检测放置在负载均衡器后面，直接拿到解密流量。其三，通过证书指纹的安全检测。其四，网络层入侵检测与主机层入侵检测联动。其五，基于netflow-加强版的统计分析检测。

发明内容

本申请实施例提出了用于识别异常行为的方法和装置。

第一方面，本申请实施例提出了一种用于识别异常行为的方法，包括：提取网络流量的加密数据包的指纹信息和统计信息；对指纹信息进行异常指纹比对，输出指纹异常事件；对统计信息进行时序异常检测，输出时序异常事件；基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件。

在一些实施例中，提取网络流量的加密数据包的指纹信息和统计信息，包括：利用目标端口对加密数据包进行过滤，提取指纹信息和统计信息。

在一些实施例中，提取指纹信息，包括：分别提取加密数据包中的客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值；分别对客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值进行串联，生成客户端字符串和服务端字符串；分别计算客户端字符串和服务端字符串的模糊哈希值，生成客户端指纹和服务端指纹。

在一些实施例中，提取统计信息，包括：周期性统计服务端IP和服务端端口的至少一项数据包统计信息。

在一些实施例中，对指纹信息进行异常指纹比对，输出指纹异常事件，包括：将指纹信息在异常指纹库中进行匹配，输出指纹异常事件。

在一些实施例中，对统计信息进行时序异常检测，输出时序异常事件，包括：对统计信息的时序指标进行单维度时序指标异常检测，输出时序异常事件。

在一些实施例中，对统计信息的时序指标进行单维度时序指标异常检测，输出时序异常事件，包括：确定统计信息的单维度时序指标是否是周期性数据；若是周期性数据，同比单维度时序指标的历史数据，确定是否存在时序异常事件。

在一些实施例中，对统计信息的时序指标进行单维度时序指标异常检测，输出时序异常事件，还包括：若不是周期性数据，环比单维度时序指标的临近数据，确定是否存在数据抖动；若存在数据抖动，将单维度时序指标的波动范围与恒定阈值进行比较，确定是否存在时序异常事件。

在一些实施例中，对统计信息的时序指标进行单维度时序指标异常检测，输出时序异常事件，还包括：若不存在数据抖动，计算维度时序指标的环比波动率，确定是否存在时序异常事件。

在一些实施例中，基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件，包括：若存在时序异常事件，且消耗资源的握手数据包在总数据包中的占比大于占比阈值，确定存在挑战黑洞攻击事件；若存在时序异常事件，且对服务端固定端口频繁发送握手数据包与应用数据包，确定存在密码破解事件；若存在指纹异常事件，且与命令和控制服务器有通信行为，确定存在命令和控制攻击事件。