[发明专利]一种加密流量的检测方法及装置、存储介质

说明书

本申请提供一种加密流量的检测方法及装置、存储介质。加密流量的检测方法，包括：获取待检测加密流量的ip地址；判断所述ip地址是否为预设的恶意加密流量信息表中的ip地址；若所述ip地址是预设的恶意加密流量信息表中的ip地址，则确定所述待检测加密流量为恶意加密流量；若所述ip地址不是预设的恶意加密流量信息表中的ip地址，获取所述待检测加密流量对应的公钥证书中的颁发机构域名；判断所述颁发机构域名是否为所述预设的恶意加密流量信息表中的域名；若所述颁发机构域名是所述预设的恶意加密流量信息表中的域名，则确定所述待检测加密流量为恶意加密流量。该检测方法用以实现恶意加密流量的准确且高效的检测。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种加密流量的检测方法及装置、存储介质。

背景技术

当前网络应用越来越多，恶意加密流量也越来越普遍。因此，需要对恶意加密流量进行有效的检测，以保证网络的安全性。

现有技术中，通过随机森林和神经网络等人工智能算法，对恶意加密流量样本的行为进行分析学习，构建检测模型，然后利用检测模型对未知流量进行检测，以实现恶意加密流量的检测。

在这种检测方式中，恶意加密流量样本难以获取，检测模型的构建难度较大；且不同样本训练出的模型识别率差异较大，存在偏差，导致检测模型不能高效且准确地检测出恶意加密流量。

发明内容

本申请实施例的目的在于提供一种加密流量的检测方法及装置、存储介质，用以实现恶意加密流量的准确且高效的检测。

第一方面，本申请实施例提供一种加密流量的检测方法，包括：获取待检测加密流量的ip(Internet Protocol，网际互连协议)地址；判断所述ip地址是否为预设的恶意加密流量信息表中的ip地址；若所述ip地址是预设的恶意加密流量信息表中的ip地址，则确定所述待检测加密流量为恶意加密流量；若所述ip地址不是预设的恶意加密流量信息表中的ip地址，获取所述待检测加密流量对应的公钥证书中的颁发机构域名；判断所述颁发机构域名是否为所述预设的恶意加密流量信息表中的域名；若所述颁发机构域名是所述预设的恶意加密流量信息表中的域名，则确定所述待检测加密流量为恶意加密流量。

在本申请实施例中，不再利用基于人工智能算法的检测模型对加密流量进行检测，而是利用预设的恶意加密流量信息表对加密流量进行检测，因此，不再存在着不同样本训练所得的模型的识别结果的差异较大的问题。基于预设的恶意加密流量信息表，先利用加密流量的ip地址进行判断，若基于ip地址能确定加密流量是恶意加密流量，则可直接确定加密流量为恶意加密流量。若基于ip地址不能确定加密流量是恶意加密流量，则进一步利用待检测加密流量对应的公钥证书中的颁发机构域名进行判断。通过这种检测方式，能够实现恶意加密流量的准确且高效的检测。

作为一种可能的实现方式，所述检测方法还包括：获取DNS(Domain nameresolution，域名解析)报文中的请求域名；判断所述请求域名是否为恶意域名；若是，获取所述DNS报文的应答报文中所述请求域名对应的ip地址；将所述请求域名和所述请求域名对应的ip地址按照对应关系存储到预先创建的恶意加密流量信息表中。

在本申请实施例中，通过获取DNS报文中的请求域名，对其进行判断，可实现恶意域名的收集；基于恶意域名，再获取对应的ip地址，实现恶意域名对应的ip地址的收集；进而，基于收集的恶意域名和对应的ip地址，实现恶意加密流量信息表的有效创建。

作为一种可能的实现方式，所述判断所述请求域名是否为恶意域名，包括：判断所述请求域名是否为预设的恶意加密流量库中的域名；若是，则确定所述请求域名为恶意域名。

在本申请实施例中，基于预设的恶意加密流量库，实现恶意域名的有效且准确的判断。