用于识别异常行为的方法和装置与流程

1.本技术实施例涉及计算机技术领域，具体涉及用于识别异常行为的方法和装置。


背景技术：

2.大量的网站流量都被加密。加密技术可以为企业应用提供更强的隐私性和安全性，但同时攻击者也在利用这项技术将恶意软件的流量隐藏起来，从而躲避基于通信内容的安全检测。因此需要对加密流量进行异常识别的安全能力。
3.目前，加密流量的异常识别方式主要包括以下五种：其一，基于中间人原理的ssl(secure sockets layer，安全套接层)代理解密流量来进行检测。其二，将入侵检测放置在负载均衡器后面，直接拿到解密流量。其三，通过证书指纹的安全检测。其四，网络层入侵检测与主机层入侵检测联动。其五，基于netflow-加强版的统计分析检测。


技术实现要素：

4.本技术实施例提出了用于识别异常行为的方法和装置。
5.第一方面，本技术实施例提出了一种用于识别异常行为的方法，包括：提取网络流量的加密数据包的指纹信息和统计信息；对指纹信息进行异常指纹比对，输出指纹异常事件；对统计信息进行时序异常检测，输出时序异常事件；基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件。
6.在一些实施例中，提取网络流量的加密数据包的指纹信息和统计信息，包括：利用目标端口对加密数据包进行过滤，提取指纹信息和统计信息。
7.在一些实施例中，提取指纹信息，包括：分别提取加密数据包中的客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值；分别对客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值进行串联，生成客户端字符串和服务端字符串；分别计算客户端字符串和服务端字符串的模糊哈希值，生成客户端指纹和服务端指纹。
8.在一些实施例中，提取统计信息，包括：周期性统计服务端ip和服务端端口的至少一项数据包统计信息。
9.在一些实施例中，对指纹信息进行异常指纹比对，输出指纹异常事件，包括：将指纹信息在异常指纹库中进行匹配，输出指纹异常事件。
10.在一些实施例中，对统计信息进行时序异常检测，输出时序异常事件，包括：对统计信息的时序指标进行单维度指标时序异常检测，输出时序异常事件。
11.在一些实施例中，对统计信息的时序指标进行单维指标时序异常检测，输出时序异常事件，包括：确定统计信息的单维度时序指标是否是周期性数据；若是周期性数据，同比单维度时序指标的历史数据，确定是否存在时序异常事件。
12.在一些实施例中，对统计信息的时序指标进行单维指标时序异常检测，输出时序异常事件，还包括：若不是周期性数据，环比单维度时序指标的临近数据，确定是否存在数据抖动；若存在数据抖动，将单维度时序指标的波动范围与恒定阈值进行比较，确定是否存
在时序异常事件。
13.在一些实施例中，对统计信息的时序指标进行单维指标时序异常检测，输出时序异常事件，还包括：若不存在数据抖动，计算维度时序指标的环比波动率，确定是否存在时序异常事件。
14.在一些实施例中，基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件，包括：若存在时序异常事件，且消耗资源的握手数据包在总数据包中的占比大于占比阈值，确定存在挑战黑洞攻击事件；若存在时序异常事件，且对服务端固定端口频繁发送握手数据包与应用数据包，确定存在密码破解事件；若存在指纹异常事件，且与命令和控制服务器有通信行为，确定存在命令和控制攻击事件。
15.第二方面，本技术实施例提出了一种用于识别异常行为的装置，包括：提取单元，被配置成提取网络流量的加密数据包的指纹信息和统计信息；比对单元，被配置成对指纹信息进行异常指纹比对，输出指纹异常事件；检测单元，被配置成对统计信息进行时序异常检测，输出时序异常事件；分类单元，被配置成基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件。
16.在一些实施例中，提取单元进一步被配置成：利用目标端口对加密数据包进行过滤，提取指纹信息和统计信息。
17.在一些实施例中，提取单元进一步被配置成：分别提取加密数据包中的客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值；分别对客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值进行串联，生成客户端字符串和服务端字符串；分别计算客户端字符串和服务端字符串的模糊哈希值，生成客户端指纹和服务端指纹。
18.在一些实施例中，提取单元进一步被配置成：周期性统计服务端ip和服务端端口的至少一项数据包统计信息。
19.在一些实施例中，比对单元进一步被配置成：将指纹信息在异常指纹库中进行匹配，输出指纹异常事件。
20.在一些实施例中，检测单元进一步被配置成：对统计信息的时序指标进行单维度指标时序异常检测，输出时序异常事件。
21.在一些实施例中，检测单元进一步被配置成：确定统计信息的单维度时序指标是否是周期性数据；若是周期性数据，同比单维度时序指标的历史数据，确定是否存在时序异常事件。
22.在一些实施例中，检测单元进一步被配置成：若不是周期性数据，环比单维度时序指标的临近数据，确定是否存在数据抖动；若存在数据抖动，将单维度时序指标的波动范围与恒定阈值进行比较，确定是否存在时序异常事件。
23.在一些实施例中，检测单元进一步被配置成：若不存在数据抖动，计算维度时序指标的环比波动率，确定是否存在时序异常事件。
24.在一些实施例中，分类单元进一步被配置成：若存在时序异常事件，且消耗资源的握手数据包在总数据包中的占比大于占比阈值，确定存在挑战黑洞攻击事件；若存在时序异常事件，且对服务端固定端口频繁发送握手数据包与应用数据包，确定存在密码破解事件；若存在指纹异常事件，且与命令和控制服务器有通信行为，确定存在命令和控制攻击事
件。
25.第三方面，本技术实施例提供了一种电子设备，该电子设备包括：一个或多个处理器；存储装置，其上存储有一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。
26.第四方面，本技术实施例提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
27.本技术实施例提供的用于识别异常行为的方法和装置，首先提取网络流量的加密数据包的指纹信息和统计信息；之后对指纹信息进行异常指纹比对，输出指纹异常事件；然后对统计信息进行时序异常检测，输出时序异常事件；最后基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件。提供了一种基于网络行为与指纹的加密流量异常行为识别方法，有助于阻止异常流量的攻击。与现有技术的第一种异常识别方式相比，不需要解密流量，支持旁路离线检测。与现有技术的第二种异常识别方式和第四种异常识别方式相比，不改变已有入侵检测设备的拓扑结构。与现有技术的第三种异常识别方式相比，基于网络行为的检测可以覆盖未知攻击下指纹不全的场景。与现有技术的第五种异常识别方式相比，加密流量检测与数据包信息提取模块低耦合，检测上层可移植。
附图说明
28.通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本技术的其它特征、目的和优点将会变得更明显：
29.图1是本技术可以应用于其中的示例性系统架构；
30.图2是根据本技术的用于识别异常行为的方法的一个实施例的流程图；
31.图3是根据本技术的时序异常检测方法的一个实施例的流程图；
32.图4是根据本技术的用于识别异常行为的方法的一个应用场景的示意图；
33.图5是根据本技术的用于识别异常行为的装置的一个实施例的结构示意图；
34.图6是适于用来实现本技术实施例的电子设备的计算机系统的结构示意图。
具体实施方式
35.下面结合附图和实施例对本技术作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。
36.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
37.图1示出了可以应用本技术的用于识别异常行为的方法或用于识别异常行为的装置的实施例的示例性系统架构100。
38.如图1所示，系统架构100中可以包括终端设备101、网络102和服务器103。网络102用以在终端设备101和服务器103之间提供通信链路的介质。网络102可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
39.用户可以使用终端设备101通过网络102与服务器103交互，以接收或发送消息等。
终端设备101上可以安装有各种通讯客户端应用，例如网站浏览类应用等。
40.终端设备101可以是硬件，也可以是软件。当终端设备101为硬件时，可以是支持信息搜索的各种电子设备，包括但不限于智能手机、平板电脑、便携式计算机和台式计算机及等等。当终端设备101为软件时，可以安装在上述电子设备中。其可以实现成多个软件或软件模块，也可以实现成单个软件或软件模块。在此不做具体限定。
41.服务器103可以是提供各种服务的服务器，例如网站的后台服务器，网站的后台服务器可以对从终端设备101接收到的网络流量等数据进行分析等处理，并生成处理结果(例如流量异常行为事件)。
42.需要说明的是，服务器103可以是硬件，也可以是软件。当服务器103为硬件时，可以实现成多个服务器组成的分布式服务器集群，也可以实现成单个服务器。当服务器103为软件时，可以实现成多个软件或软件模块(例如用来提供分布式服务)，也可以实现成单个软件或软件模块。在此不做具体限定。
43.需要说明的是，本技术实施例所提供的用于识别异常行为的方法一般由服务器103执行，相应地，用于识别异常行为的装置一般设置于服务器103中。
44.应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
45.继续参考图2，其示出了根据本技术的用于识别异常行为的方法的一个实施例的流程200。该用于识别异常行为的方法包括以下步骤：
46.步骤201，提取网络流量的加密数据包的指纹信息和统计信息。
47.在本实施例中，用于识别异常行为的方法的执行主体(例如图1所示的服务器103)可以提取网络流量的加密数据包的指纹信息和统计信息。通常，网站的网络流量可以被加密。指纹信息可以包括但不限于ssl指纹、tls(transport layer security，安全传输层协议)指纹等等。统计信息可以是ssl统计信息。
48.在本实施例的一些可选的实现方式中，上述执行主体可以利用目标端口对加密数据包进行过滤，提取指纹信息和统计信息。其中，目标端口可以是按ssl应用层协议常用端口或用户自定义端口进行过滤。例如，协议与端口的对应关系可以如下表所示：
49.协议端口https443smtps465ldaps636pop3s995tftp69ssh22
50.在本实施例的一些可选的实现方式中，上述执行主体可以通过如下方式提取指纹信息：
51.首先，分别提取加密数据包中的客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值。
52.其中，客户端握手数据包可以是client hello数据包。服务端握手数据包可以是server hello数据包。预设字段可以包括但不限于version(版本)、ciphersuites(密码套
件)、extensions(扩展名)、elliptic_curves(椭圆曲线)和ec_point_formats(椭圆曲线点格式)等等。预设字段的字节值可以是十进制字节值。
53.然后，分别对客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值进行串联，生成客户端字符串和服务端字符串。
54.其中，至少一个预设字段的字节值可以使用预设符号串联在一起。例如，使用“,”来分隔各个预设字段。同时，使用
“-”
来分隔各个预设字段的字节值。此外，对于缺失值可以置空。
55.最后，分别计算客户端字符串和服务端字符串的模糊哈希值，生成客户端指纹和服务端指纹。
56.在本实施例的一些可选的实现方式中，上述执行主体可以周期性统计服务端ip和服务端端口的至少一项数据包统计信息。例如，统计每秒每对服务端ip和服务端端口的数据包统计信息。其中，数据包统计信息可以包括但不限于以下至少一项：总握手数据包数(包数/秒)——ssl协议类型为0x16；客户端握手数据包数(包数/秒)——ssl协议类型为0x16，ssl握手类型为0x01；加密握手数据包数(包数/秒)——ssl协议类型为0x16，ssl握手类型为加密握手消息；握手失败数据包数(包数/秒)——ssl协议类型为0x15；总应用数据包数(包数/秒)——ssl协议类型为0x17等等。
57.步骤202，对指纹信息进行异常指纹比对，输出指纹异常事件。
58.在本实施例中，上述执行主体可以对指纹信息进行异常指纹比对，输出指纹异常事件。通常，上述执行主体可以将指纹信息在异常指纹库中进行匹配，输出指纹异常事件。其中，异常指纹库可以存储历史累计的异常流量对应的ssl指纹信息，包括本系统输出指纹和开源威胁情报输出指纹。指纹异常事件信息可以包括但不限于以下至少一项：指纹异常事件开始时间、指纹异常事件结束时间、异常指纹类型和异常指纹命中规则标识等等。异常指纹类型可以包括但不限于以下至少一项：c&c(command and control，命令和控制)、cc(challenge collapsar，挑战黑洞)和密码破解等等。
59.步骤203，对统计信息进行时序异常检测，输出时序异常事件。
60.在本实施例中，上述执行主体可以对统计信息进行时序异常检测，输出时序异常事件。通常，上述执行主体可以对统计信息的时序指标进行单维度指标时序异常检测，输出时序异常事件。其中，时序异常事件信息可以包括但限于以下至少一项：异常开始时间、异常结束时间和异常指标类型等等。异常指标类型可以例如是握手失败数据包数异常。
61.步骤204，基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件。
62.在本实施例中，上述执行主体可以基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件。其中，流量异常行为事件可以包括但不限于cc攻击事件、c&c攻击事件和密码破解事件等等。通常，若存在时序异常事件，且消耗资源的握手数据包在总数据包中的占比大于占比阈值，上述执行主体可以确定存在cc攻击事件。若存在时序异常事件，且对服务端固定端口频繁发送握手数据包与应用数据包，上述执行主体可以确定存在密码破解事件。若存在指纹异常事件，且与命令和控制服务器有通信行为，上述执行主体可以确定存在c&c攻击事件。
63.例如，流量异常行为事件、行为特征、分类事件源与分类算法之间的对应关系可以
如下表所示：
[0064][0065][0066]
此外，在本技术实施例中，正常事件不进行输出，直接过滤掉。
[0067]
本技术实施例提供的用于识别异常行为的方法，首先提取网络流量的加密数据包的指纹信息和统计信息；之后对指纹信息进行异常指纹比对，输出指纹异常事件；然后对统计信息进行时序异常检测，输出时序异常事件；最后基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件。提供了一种基于网络行为与指纹的加密流量异常行为识别方法，有助于阻止异常流量的攻击。与现有技术的第一种异常识别方式相比，不需要解密流量，支持旁路离线检测。与现有技术的第二种异常识别方式和第四种异常识别方式相比，不改变已有入侵检测设备的拓扑结构。与现有技术的第三种异常识别方式相比，基于网络行为的检测可以覆盖未知攻击下指纹不全的场景。与现有技术的第五种异常识别方式相比，加密流量检测与数据包信息提取模块低耦合，检测上层可移植。
[0068]
进一步参考图3，其示出了根据本技术的时序异常检测方法的一个实施例的流程300。该时序异常检测方法包括以下步骤：
[0069]
步骤301，确定统计信息的单维度时序指标是否是周期性数据。
[0070]
在本实施例中，时序异常检测方法的执行主体(例如图1所示的服务器103)可以确定统计信息的单维度时序指标是否是周期性数据。通常，周期性判定可以采用差分。例如，假定周期为一天，上述执行主体可以首先将相邻两天的数据做归一化，之后计算差分，然后
计算方差，最后结合阈值判断是否是周期性数据。
[0071]
步骤302，同比单维度时序指标的历史数据，确定是否存在时序异常事件。
[0072]
在本实施例中，若是周期性数据，上述执行主体可以同比单维度时序指标的历史数据，确定是否存在时序异常事件。例如，单维度时序指标与其历史数据的同比变动较大，确定存在时序异常事件；反之，确定不存在时序异常事件。
[0073]
步骤303，环比单维度时序指标的临近数据，确定是否存在数据抖动。
[0074]
在本实施例中，若不是周期性数据，上述执行主体可以环比单维度时序指标的临近数据，确定是否存在数据抖动。例如，单维度时序指标与其临近数据的环比变动较大，确定存在数据抖动；反之，确定不存在数据抖动。
[0075]
步骤304，将单维度时序指标的波动范围与恒定阈值进行比较，确定是否存在时序异常事件。
[0076]
在本实施例中，若存在数据抖动，上述执行主体可以将单维度时序指标的波动范围与恒定阈值进行比较，确定是否存在时序异常事件。例如，若单维度时序指标的波动范围超出恒定阈值，确定存在时序异常事件；反之，确定不存在时序异常事件。
[0077]
步骤305，计算维度时序指标的环比波动率，确定是否存在时序异常事件。
[0078]
在本实施例中，若不存在数据抖动，上述执行主体可以计算维度时序指标的环比波动率，确定是否存在时序异常事件。例如，环比波动率存在突然的大幅上涨或下跌，确定存在时序异常事件；反之，确定不存在时序异常事件。
[0079]
进一步参考图4，其示出了根据本技术的用于识别异常行为的方法的一个应用场景的示意图。如图4所示，用于识别异常行为的方法对网络流量进行如下两个步骤处理：
[0080]
步骤401，加密数据包数据信息提取。
[0081]
步骤402，加密流量检测。
[0082]
其中，步骤401包括步骤403-405。
[0083]
步骤403，tls/ssl数据包过滤。
[0084]
通常，通过目标端口过滤。
[0085]
步骤404，指纹提取。
[0086]
通常，包括客户指纹提取和服务端指纹提取。
[0087]
步骤405，统计信息提取。
[0088]
其中，步骤402包括步骤406-408。
[0089]
步骤406，指纹比对。
[0090]
通常，在tls异常指纹库中进行指纹比对。
[0091]
步骤407，时序异常检测。
[0092]
通常，包括周期同比异常检测和非周期环比异常检测。
[0093]
步骤408，异常流量行为分类。
[0094]
进一步参考图5，作为对上述各图所示方法的实现，本技术提供了一种用于识别异常行为的装置的一个实施例，该装置实施例与图2所示的方法实施例相对应，该装置具体可以应用于各种电子设备中。
[0095]
如图5所示，本实施例的用于识别异常行为的装置500可以包括：提取单元501、比对单元502、检测单元503和分类单元504。其中，提取单元501，被配置成提取网络流量的加
密数据包的指纹信息和统计信息；比对单元502，被配置成对指纹信息进行异常指纹比对，输出指纹异常事件；检测单元503，被配置成对统计信息进行时序异常检测，输出时序异常事件；分类单元504，被配置成基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件。
[0096]
在本实施例中，用于识别异常行为的装置500中：提取单元501、比对单元502、检测单元503和分类单元504的具体处理及其所带来的技术效果可分别参考图2对应实施例中的步骤201-204的相关说明，在此不再赘述。
[0097]
在本实施例的一些可选的实现方式中，提取单元501进一步被配置成：利用目标端口对加密数据包进行过滤，提取指纹信息和统计信息。
[0098]
在本实施例的一些可选的实现方式中，提取单元501进一步被配置成：分别提取加密数据包中的客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值；分别对客户端握手数据包和服务端握手数据包中的至少一个预设字段的字节值进行串联，生成客户端字符串和服务端字符串；分别计算客户端字符串和服务端字符串的模糊哈希值，生成客户端指纹和服务端指纹。
[0099]
在本实施例的一些可选的实现方式中，提取单元501进一步被配置成：周期性统计服务端ip和服务端端口的至少一项数据包统计信息。
[0100]
在本实施例的一些可选的实现方式中，比对单元502进一步被配置成：将指纹信息在异常指纹库中进行匹配，输出指纹异常事件。
[0101]
在本实施例的一些可选的实现方式中，检测单元503进一步被配置成：对统计信息的时序指标进行单维度指标时序异常检测，输出时序异常事件。
[0102]
在本实施例的一些可选的实现方式中，检测单元503进一步被配置成：确定统计信息的单维度时序指标是否是周期性数据；若是周期性数据，同比单维度时序指标的历史数据，确定是否存在时序异常事件。
[0103]
在本实施例的一些可选的实现方式中，检测单元503进一步被配置成：若不是周期性数据，环比单维度时序指标的临近数据，确定是否存在数据抖动；若存在数据抖动，将单维度时序指标的波动范围与恒定阈值进行比较，确定是否存在时序异常事件。
[0104]
在本实施例的一些可选的实现方式中，检测单元503进一步被配置成：若不存在数据抖动，计算维度时序指标的环比波动率，确定是否存在时序异常事件。
[0105]
在本实施例的一些可选的实现方式中，分类单元504进一步被配置成：若存在时序异常事件，且消耗资源的握手数据包在总数据包中的占比大于占比阈值，确定存在挑战黑洞攻击事件；若存在时序异常事件，且对服务端固定端口频繁发送握手数据包与应用数据包，确定存在密码破解事件；若存在指纹异常事件，且与命令和控制服务器有通信行为，确定存在命令和控制攻击事件。
[0106]
下面参考图6，其示出了适于用来实现本技术实施例的电子设备(例如图1所示的服务器103)的计算机系统600的结构示意图。图6示出的电子设备仅仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
[0107]
如图6所示，计算机系统600包括中央处理单元(cpu)601，其可以根据存储在只读存储器(rom)602中的程序或者从存储部分608加载到随机访问存储器(ram)603中的程序而执行各种适当的动作和处理。在ram 603中，还存储有系统600操作所需的各种程序和数据。
cpu 601、rom 602以及ram 603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。
[0108]
以下部件连接至i/o接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至i/o接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。
[0109]
特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(cpu)601执行时，执行本技术的方法中限定的上述功能。
[0110]
需要说明的是，本技术所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
[0111]
可以以一种或多种程序设计语言或其组合来编写用于执行本技术的操作的计算机程序代码，所述程序设计语言包括面向目标的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如”c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或电子设备上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
[0112]
附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代
表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0113]
描述于本技术实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，例如，可以描述为：一种处理器包括提取单元、比对单元、检测单元和分类单元。其中，这些单元的名称在种情况下并不构成对该单元本身的限定，例如，提取单元还可以被描述为“提取网络流量的加密数据包的指纹信息和统计信息的单元”。
[0114]
作为另一方面，本技术还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：提取网络流量的加密数据包的指纹信息和统计信息；对指纹信息进行异常指纹比对，输出指纹异常事件；对统计信息进行时序异常检测，输出时序异常事件；基于行为特征对指纹异常事件与时序异常事件进行异常流量行为分类，输出流量异常行为事件。
[0115]
以上描述仅为本技术的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本技术中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本技术中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。