[发明专利]一种基于对称密钥体制的加密数据异常检测方法与系统

说明书

本发明公开了一种基于对称密钥体制的加密数据异常检测方法与系统。该检测方法包括：令牌生成，客户端对明文数据流进行处理得到令牌集和密文流；模糊规则生成，规则生成器对带有恶意关键字的规则集进行处理生成模糊规则集和密钥种子集；令牌检测，中间件对令牌集进行检测操作；一致性验证，服务器对经过检测的加密流量执行验证操作，判别客户端是否存在欺骗行为；纠纷解决，规则生成器根据服务器和中间件提供的证据信息，判定服务器和客户端中存在欺骗行为的一方。该检测系统包括客户端模块、服务器模块、规则生成器模块以及中间件模块。本发明在保护客户端数据流隐私的前提下，实现了高效的加密数据异常检测。

技术领域

本发明涉及信息安全领域，尤其涉及一种基于对称密钥体制的加密数据异常检测方法与 系统。

背景技术

出于保证信息安全和用户隐私的目的，加密技术在网络通信领域得到了广泛应用。据最 新统计数据显示，九成以上的网络流量被进行了加密处理，而且预计这一数字仍会持续增长。 对于特定类型的流量，加密甚至已成为法律的强制性要求。加密技术通过某种特殊算法改变原有的信息数据，保证数据的安全传输，实现信息安全的机密性。在网络通信领域，加密技 术通过加密协议来具体实现。当前主要使用的加密协议有安全套接层协议(Secure Sockets Layer，SSL)和传输层安全协议(Transport Layer Security，TLS)两种。随着对信息安全的重视 和加密协议的逐渐成熟，加密协议在各种应用中得到了使用。

但是，存在一些恶意用户，他们通过将含有恶意信息的内容加密发送给受害者从而实施攻 击。如果不解密，技术人员无法检测此类恶意流量；如果解密，则会破坏数据的完整性和机密 性，从而危害用户的个人隐私。这就意味着加密数据的检测需要在安全和隐私之间需要做出权衡。用于保护网络数据的加密技术给恶意信息提供了藏身之地。

网络中间件利用深度包检测技术来检测网络流量异常和可疑活动是过去较为常用的方法， 其中深度包检测技术使用海量字符串匹配技术对包中的异常数据进行检测，对于未经加密处 理的数据流量有着较好的检测效果。然而，随着数据加密技术的广泛应用，越来越多的加密流量出现，网络中间件似乎逐渐失去了原有的作用。如何在保持完整性和机密性的情况下， 检测出加密流量中的安全威胁，一直是信息安全领域面临的一个难题。

目前，涉及深度包检测的相关加密流量检测方法有两种：基于混淆电路的加密流量检测 方法和基于双线性映射的加密流量检测方法。虽然两种检测方法均使用到了字符串匹配检测 技术，但是与传统深度包检测技术不同的是，这两种检测方法均是对加密处理过的数据流进行规则匹配从而实现异常检测。虽然这两种检测方法的安全性均在理论上得到了证明，但是 使用混淆电路或双线性映射对大量数据进行安全处理及检测均会造成的巨大的时间和资源开 销。

发明内容

针对相关技术的不足，本发明提出一种基于对称密钥体制的加密数据异常检测方法与系 统，以解决背景技术中提到的问题。

根据本发明的一个方面，提供了一种基于对称密钥体制的加密数据异常检测方法，包括 以下步骤：

步骤S1，令牌生成：客户端利用TLS密钥加密明文数据流，之后将明文数据流划分为明 文块集，通过带密钥的哈希函数、伪随机值序列以及伪随机函数对明文块集处理生成令牌集， 将令牌集与TLS密文流一并发送给中间件；

步骤S2，模糊规则生成：规则生成器利用包含恶意关键字的规则集、带密钥的哈希函数， 生成模糊规则集和密钥集，发送给中间件；

步骤S3，令牌检测：中间件收到来自客户端和规则生成器的数据后，利用检测算法对令 牌集进行异常检测，如果存在令牌与某一模糊规则匹配，则判定流量中含有恶意关键字；