基于加密流量的网络流量筛选方法和装置与流程

本发明涉及网络安全，具体涉及一种基于加密流量的网络流量筛选方法和装置。

背景技术：

1、随着越来越多的数据在网络中传输，由此带来网络流量带宽越来越大，传输数据越来越多。面对如此庞大的数据量，网络流量检测设备在处理性能上将面临比较大的瓶颈。特别是带阻断功能的网络安全设备，其需要高响应的要求和大流量的处理能力。面对如此大的网络流量，如何做到快速响应和检测威胁成为一个难点。其中一个可以做的是在处理流量的同时过滤掉一些通信量大的白应用流量，从而减少对检测的消耗。目前针对流量的识别上，一般采用的方式为提取明文特征，用dpi技术来做检测。但是，针对越来越多的加密流量，现有技术中通过特征来检测的方式无法实现加密流量的提取和过滤，导致过滤效果较差，无法有效降低网络安全设备的处理负担。

2、因此，提供一种基于加密流量的网络流量筛选方法和装置，以解决现有技术无法有效过滤加密流量的问题，就成为本领域技术人员亟待解决的问题。

技术实现思路

1、为此，本发明实施例提供一种基于加密流量的网络流量筛选方法和装置，以至少部分解决现有技术无法有效过滤加密流量的问题。

2、为了实现上述目的，本发明实施例提供如下技术方案：

3、本发明提供了一种基于加密流量的网络流量筛选方法，所述方法包括：

4、获取待筛选的网络流量，并提取所述网络流量中的流量数据；

5、对各所述流量数据进行解析，以确定各所述流量数据的通信协议；

6、基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库。

7、在一些实施例中，待筛选的网络流量的来源包括以下至少一者：

8、网盘、视频播放器、音乐播放器、视频会议、短视频、直播、远程访问和网络摄像头。

9、在一些实施例中，所述流量数据的通信协议包括：

10、http协议、tcp/udp明文协议、tcp/udp密文协议以及tls协议。

11、在一些实施例中，基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库，具体包括：

12、在所述通信协议为http协议数据的情况下，将所述通信协议输入预先创建的第一深度包检测特征库；

13、若所述通信协议与所述第一深度包检测特征库中存储的数据结果匹配成功，则确定所述通信协议对应的流量数据满足筛选条件并输入所述筛选结果数据库；

14、其中，所述第一深度包检测特征库是根据提取的第一明文特征串创建的，所述第一明文特征串是在通信协议为http协议数据的流量数据样本中提取的。

15、在一些实施例中，基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库，具体包括：

16、在所述流量数据的通信协议为tcp/udp协议明文数据的情况下，将所述通信协议输入预先创建的第二深度包检测特征库；

17、若所述通信协议与所述第二深度包检测特征库中存储的数据结果匹配成功，则确定所述流量数据满足筛选条件并输入所述筛选结果数据库；

18、其中，所述第二深度包检测特征库是根据提取的第二明文特征串创建的，所述第二明文特征串是在通信协议为tcp/udp协议明文数据的流量数据样本中提取的。

19、在一些实施例中，基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库，具体包括：

20、在所述通信协议为tcp/udp协议密文数据的情况下，判定所述流量数据为p2p，则确定所述流量数据满足筛选条件并输入所述筛选结果数据库；

21、在所述流量数据的通信协议不为tcp/udp协议密文数据的情况下，判定所述流量数据为非p2p，并将该流量数据输入异常行为识别模块继续识别。

22、在一些实施例中，基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库，具体包括：

23、在所述流量数据的通信协议为tls协议数据的情况下，将tls协议数据与dns相关联，以得到关联数据；

24、若所述关联数据与预存的应用dns域名库相匹配，则确定所述流量数据满足筛选条件并输入所述筛选结果数据库；

25、将dns证书限定域指纹、证书cn、sni与tls应用特征库中的证书限定域指纹匹配，匹配成功的再根据证书cn或sni与tls应用特征库中的sni、证书cn进行模糊匹配，匹配成功的将对应的目的ip和目的端口加入大流量通信ip库中；未成功匹配的进入p2p传输层处理模块。

26、本发明还提供一种基于加密流量的网络流量筛选装置，所述装置包括：

27、数据获取单元，用于获取待筛选的网络流量，并提取所述网络流量中的流量数据；

28、协议确定单元，用于对各所述流量数据进行解析，以确定各所述所流量数据的通信协议；

29、结果筛选单元，用于基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库。

30、本发明还提供一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述方法的步骤。

31、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述方法的步骤。

32、本发明所提供的基于加密流量的网络流量筛选方法，通过获取待筛选的网络流量，并提取所述网络流量中的流量数据；对各所述流量数据进行解析，以确定各所述所流量数据的通信协议；基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库；使得该方法在应用于加密流量时，能够通过行为、特征、指纹综合处理筛选出大流量白应用通信的流量方法，丢弃这些流量，从而减少网络安全设备的处理负担，提高了流量筛选能力，解决了现有技术无法有效过滤加密流量的问题。

技术特征：

1.一种基于加密流量的网络流量筛选方法，其特征在于，所述方法包括：

2.根据权利要求1所述的基于加密流量的网络流量筛选方法，其特征在于，待筛选的网络流量的来源包括以下至少一者：

3.根据权利要求1所述的基于加密流量的网络流量筛选方法，其特征在于，所述流量数据的通信协议包括：

4.根据权利要求3所述的基于加密流量的网络流量筛选方法，其特征在于，基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库，具体包括：

5.根据权利要求3所述的基于加密流量的网络流量筛选方法，其特征在于，基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库，具体包括：

6.根据权利要求3所述的基于加密流量的网络流量筛选方法，其特征在于，基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库，具体包括：

7.根据权利要求3所述的基于加密流量的网络流量筛选方法，其特征在于，基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的流量数据输入筛选结果数据库，具体包括：

8.一种基于加密流量的网络流量筛选装置，其特征在于，所述装置包括：

9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。

技术总结
本发明实施例公开了一种基于加密流量的网络流量筛选方法和装置，所述方法包括：获取待筛选的网络流量，并提取所述网络流量中的通信应用类别，而后确定各所述通信应用类别的通信协议；并基于预先创建的处理策略对各所述通信协议进行筛选，将满足筛选条件的通信协议所对应的通信应用类别输入筛选结果数据库；使得该方法在应用于加密流量时，能够通过行为、特征、指纹综合处理筛选出大流量白应用通信的流量方法，丢弃这些流量，从而减少网络安全设备的处理负担，提高了流量筛选能力，解决了现有技术无法有效过滤加密流量的问题。

技术研发人员：赖文杰,李波
受保护的技术使用者：北京观成科技有限公司
技术研发日：
技术公布日：2024/1/16