一种网络风险检测方法、装置、电子设备及存储介质与流程

本发明实施例涉及网络安全，尤其涉及一种网络风险检测方法、装置、电子设备及存储介质。

背景技术：

1、随着数据通信与计算机网络技术的快速发展，出于保护隐私、提高数据安全性、满足合规要求以及在公共无线网络上提供更高的安全性的考虑，加密协议和应用越来越普遍。近来，网络加密流量的占比已接近或超过了90％。为了提高网络管理和网络安全的水平，必须开展网络流量监测。网络流量监测是指通过对网络传输数据的实时监测和分析，以获得对网络的理解、检测潜在的安全威胁以及发现异常行为等。鉴于加密流量已经成为互联网流量中的主导流量，因此对加密流量的分析就变得尤为重要。

2、目前，针对加密流量的监测和分析工作主要集中在加密流量的检测、加密流量中承载的业务类型的识别等工作。然而，在特定网络空间调查和治理系统中，为了宏观上了解加密协议的应用态势，除了需要通过dpi(deep packet inspection，深度包检测技术)技术解析了解加密协议的应用情况外，还需要监测存在一定应用风险的加密协议。现有对网络风险的检测方法中，大多集中于基于tls(transport layer security，传输层安全性协议)握手信息sni(server name indication，服务器名称指示)的威胁情报以及x.509证书威胁情报的相关方法，但上述方法仅用于检测网络中存在的威胁，或用于安全基线检测和等保评估的ssl(secure socket layer，安全套接层)vpn(virtual private network，虚拟专用网络)合规性检测。也即，当前尚无相关的技术来系统化解决加密协议网络应用风险监测的问题。

技术实现思路

1、本发明实施例提供一种网络风险检测方法、装置、电子设备及存储介质，能够提高网络风险检测的准确率，进而提升网络安全监测预警的能力。

2、根据本发明的一方面，提供了一种网络风险检测方法，包括：

3、根据全量网络流量数据筛选目标加密流量数据；所述目标加密流量数据包括tls加密流量数据和/或ssl加密流量数据；

4、解析所述目标加密流量数据，以获取所述目标加密流量数据的建联消息集；其中，所述目标加密流量数据的建联消息集包括以下至少一项数据：clienthello消息、serverhello消息、服务器证书ca消息和服务器changecipherspec消息；

5、对所述目标加密流量数据的建联消息集进行解析，得到建联消息解析结果；

6、根据所述建联消息解析结果确定所述目标加密流量数据的网络风险检测结果。

7、根据本发明的另一方面，提供了一种网络风险检测装置，包括：

8、目标加密流量数据筛选模块，用于根据全量网络流量数据筛选目标加密流量数据；所述目标加密流量数据包括tls加密流量数据和/或ssl加密流量数据；

9、建联消息集获取模块，用于解析所述目标加密流量数据，以获取所述目标加密流量数据的建联消息集；其中，所述目标加密流量数据的建联消息集包括以下至少一项数据：clienthello消息、serverhello消息、服务器证书ca消息和服务器changecipherspec消息；

10、建联消息解析结果获取模块，用于对所述目标加密流量数据的建联消息集进行解析，得到建联消息解析结果；

11、网络风险检测结果确定模块，用于根据所述建联消息解析结果确定所述目标加密流量数据的网络风险检测结果。

12、根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

13、至少一个处理器；以及

14、与所述至少一个处理器通信连接的存储器；其中，

15、所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的网络风险检测方法。

16、根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的网络风险检测方法。

17、本发明实施例通过根据全量网络流量数据筛选包括tls加密流量数据和/或ssl加密流量数据的目标加密流量数据，并解析目标加密流量数据，以获取目标加密流量数据中至少包括clienthello消息、serverhello消息、服务器证书ca消息和服务器changecipherspec的消息建联消息集，从而对目标加密流量数据的建联消息集进行解析，得到建联消息解析结果，进而根据建联消息解析结果确定目标加密流量数据的网络风险检测结果，解决现有网络风险检测方法无法对基于加密协议生成的加密流量数据进行安全风险检测的问题，能够实现基于加密流量数据检测网络风险，提高了网络风险检测的准确率，进而提升网络安全监测预警的能力。

18、应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

技术特征：

1.一种网络风险检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，若所述目标加密流量数据的建联消息集包括所述clienthello消息和所述serverhello消息，则所述对所述目标加密流量数据的建联消息集进行解析，得到建联消息解析结果，包括：

3.根据权利要求1所述的方法，其特征在于，若所述目标加密流量数据的建联消息集包括所述serverhello消息，则所述对所述目标加密流量数据的建联消息集进行解析，得到建联消息解析结果，包括：

4.根据权利要求1所述的方法，其特征在于，若所述目标加密流量数据的建联消息集包括所述服务器证书ca消息，则所述对所述目标加密流量数据的建联消息集进行解析，得到建联消息解析结果，包括：

5.根据权利要求1所述的方法，其特征在于，若所述目标加密流量数据的建联消息集包括所述服务器changecipherspec消息，则所述对所述目标加密流量数据的建联消息集进行解析，得到建联消息解析结果，包括：

6.根据权利要求1-5任一所述的方法，其特征在于，所述根据所述建联消息解析结果确定所述目标加密流量数据的网络风险检测结果，包括：

7.一种网络风险检测装置，其特征在于，包括：

8.根据权利要求7所述的装置，其特征在于，所述网络风险检测结果确定模块具体用于：

9.一种电子设备，其特征在于，所述电子设备包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-6中任一所述的网络风险检测方法。

技术总结
本发明实施例公开了一种网络风险检测方法、装置、电子设备及存储介质，其中，方法包括：根据全量网络流量数据筛选目标加密流量数据；所述目标加密流量数据包括TLS加密流量数据和/或SSL加密流量数据；解析所述目标加密流量数据，以获取所述目标加密流量数据的建联消息集；其中，所述目标加密流量数据的建联消息集包括以下至少一项数据：ClientHello消息、ServerHello消息、服务器证书CA消息和服务器ChangeCipherSpec消息；对所述目标加密流量数据的建联消息集进行解析，得到建联消息解析结果；根据所述建联消息解析结果确定所述目标加密流量数据的网络风险检测结果。本发明实施例的技术方案能够提高网络风险检测的准确率，进而提升网络安全监测预警的能力。

技术研发人员：靳文京,卜哲,宋倩倩,卢泓宇,刘双喜,庄建滨,罗成,周成胜,周智超,崔枭飞,赵勋
受保护的技术使用者：中国信息通信研究院
技术研发日：
技术公布日：2024/1/15