技术特征:
1.一种加密流量检测方法,其特征在于,所述加密流量检测方法包括:在加密流量进入目标访问系统前,获取待访问流量报文,并提取所述待访问流量报文对应的查询域名以及ip访问地址;若所述查询域名和威胁情报库中的域名匹配成功,则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中;当加密流量进入目标访问系统后,提取所述加密流量对应的目标访问地址;将所述目标访问地址分别与所述本地黑名单以及所述威胁情报库进行匹配,并提取所述加密流量在建立会话连接过程对应的目标证书信息;若所述目标访问地址匹配成功,则确定所述加密流量为威胁流量,并将所述目标证书信息存储至所述本地黑名单中;若所述目标访问地址匹配失败,则将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配,并根据匹配结果确定所述加密流量是否为威胁流量。2.如权利要求1所述的加密流量检测方法,其特征在于,所述将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配,并根据匹配结果确定所述加密流量是否为威胁流量的步骤包括:将所述目标证书信息和所述本地黑名单进行遍历匹配,获得第一匹配结果;若第一匹配结果为匹配失败,则将所述目标证书信息与所述威胁情报库中的证书信息进行遍历匹配,获得第二匹配结果;若第二匹配结果为匹配成功,则确定所述加密流量为威胁流量,并将所述加密流量的目标访问地址存储至所述本地黑名单中。3.如权利要求1所述的加密流量检测方法,其特征在于,在所述若所述查询域名和威胁情报库中的域名进行遍历匹配成功,则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中的步骤之前,所述加密流量检测方法还包括:若所述查询域名和所述威胁情报库中的域名遍历匹配失败,则将所述ip访问地址和所述威胁情报库中的ip地址进行遍历匹配;若匹配成功,则将所述ip访问地址对应的查询域名存储至所述本地黑名单中。4.如权利要求1所述的加密流量检测方法,其特征在于,所述提取所述加密流量在建立会话连接过程对应的目标证书信息的步骤包括:获取所述加密流量建立会话连接过程中对应的握手信息;对所述握手信息进行解析,获得所述目标证书信息。5.如权利要求2所述的加密流量检测方法,其特征在于,在所述若第一匹配结果为匹配失败,则将所述目标证书信息与所述威胁情报库中的证书信息进行遍历匹配,获得第二匹配结果的步骤之后,所述加密流量检测方法还包括:若第二匹配结果为匹配失败,则确定所述加密流量为正常流量,并放行所述加密流量,以进行通讯访问操作。6.如权利要求2所述的加密流量检测方法,其特征在于,将所述目标访问地址存储至所述本地黑名单中的步骤包括:若所述本地黑名单不存在所述目标访问地址,则将所述目标访问地址存储至所述本地黑名单中,并记录所述目标访问地址对应的命中时间点。
7.如权利要求6所述的加密流量检测方法,其特征在于,在所述若所述本地黑名单不存在所述目标访问地址,则将所述目标访问地址存储至所述本地黑名单中,并记录所述目标访问地址对应的命中时间点的步骤之后,所述加密流量检测方法包括:检测所述本地黑名单中各访问地址对应的命中时间点;若所述命中时间点超过预设时长,则将超过预设时长对应的访问地址进行删除处理,获得更新后的本地黑名单。8.一种加密流量检测系统,其特征在于,所述加密流量检测系统包括:第一提取模块,用于在加密流量进入目标访问系统前,获取待访问流量报文,并提取所述待访问流量报文对应的查询域名以及ip访问地址;第一匹配模块,用于若所述查询域名和威胁情报库中的域名匹配成功,则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中;第二提取模块,用于当加密流量进入目标访问系统后,提取所述加密流量对应的目标访问地址;第二匹配模块,用于将所述目标访问地址分别与所述本地黑名单以及所述威胁情报库进行匹配,并提取所述加密流量在建立会话连接过程对应的目标证书信息;确定模块,用于若所述目标访问地址匹配成功,则确定所述加密流量为威胁流量,并将所述目标证书信息存储至所述本地黑名单中;第三匹配模块,用于若所述目标访问地址匹配失败,则将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配,并根据匹配结果确定所述加密流量是否为威胁流量。9.一种加密流量检测设备,其特征在于,所述加密流量检测设备包括:存储器、处理器以及存储在存储器上的加密流量检测程序,所述加密流量检测程序被所述处理器执行实现如权利要求1至7中任一项所述加密流量检测方法的步骤。10.一种存储介质,所述存储介质为计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有加密流量检测程序,所述加密流量检测程序被处理器执行实现如权利要求1至7中任一项所述加密流量检测方法的步骤。
技术总结
本申请公开一种加密流量检测方法、系统、设备及存储介质,包括:加密流量进入目标访问系统前,获取待访问流量报文,并提取待访问流量报文的查询域名以及IP访问地址,若查询域名和威胁情报库匹配成功,则将IP访问地址存储至本地黑名单,加密流量进入目标访问系统后,提取加密流量的目标访问地址,将目标访问地址与本地黑名单和威胁情报库进行匹配,并提取加密流量在建立会话连接过程中的目标证书信息,若匹配成功,则确定加密流量为威胁流量,并将目标证书信息存储至本地黑名单,若匹配不成功,则将目标证书信息与本地黑名单和威胁情报库进行匹配,并根据匹配结果确定加密流量是否为威胁流量。本申请解决威胁流量识别效果不佳的技术问题。技术问题。技术问题。
技术研发人员:刘伟
受保护的技术使用者:北京六方云科技有限公司
技术研发日:2021.12.20
技术公布日:2022/4/15