(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111470687.1 (22)申请日 2021.12.0 3 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 高炳俊　范渊　刘博　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 吴磊 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种密文攻击流 量的检测方法及相关装置 (57)摘要 本申请公开了一种密文攻击流量的检测方 法， 包括： 识别捕获的加密流量的前置特征， 并根 据所述前置特征从解密函数库中确定目标解密 函数； 调用所述目标解密函数对 所述加密流量进 行解密； 对解密得到的流量进行攻击特征匹配； 若攻击特征匹配成功， 则所述加密流量为密文攻 击流量。 该检测方法通过将密文流量解密为明文 流量后再进行攻击特征匹配， 可以有效确保检测 的精确性。 本申请还公开了一种密文攻击流量的 检测装置、 设备以及计算机可读存储介质， 均具 有上述技术效果。 权利要求书1页 说明书7页 附图5页 CN 114172720 A 2022.03.11 CN 114172720 A 1.一种密文攻击流 量的检测方法， 其特 征在于， 包括： 识别捕获的加密流量的前置特征， 并根据 所述前置特征从解密函数库中确定目标解密 函数； 调用所述目标解密函数对所述加密流 量进行解密； 对解密得到的流 量进行攻击特 征匹配； 若攻击特 征匹配成功， 则所述加密流 量为密文攻击流 量。 2.根据权利要求1所述的检测方法， 其特征在于， 所述识别捕获的流量的前置特征包 括： 识别捕获的业 务加密流 量或直接加密流 量的前置特 征。 3.根据权利要求1所述的检测方法， 其特征在于， 所述对解密得到的流量进行攻击特征 匹配包括： 采用正则匹配的方式对解密得到的流 量进行攻击特 征匹配。 4.根据权利要求1所述的检测方法， 其特 征在于， 还 包括： 若攻击特 征匹配成功， 则进行告警。 5.根据权利要求1所述的检测方法， 其特 征在于， 还 包括： 更新所述 解密函数库。 6.一种密文攻击流 量的检测装置， 其特 征在于， 包括： 识别模块， 用于识别捕获的加密流量的前置特征， 并根据所述前置特征从解密函数库 中确定目标解密函数； 解密模块， 用于调用所述目标解密函数对所述加密流 量进行解密； 匹配模块， 用于对解密得到的流 量进行攻击特 征匹配； 确定模块， 用于若攻击特 征匹配成功， 则所述加密流 量为密文攻击流 量。 7.根据权利要求6所述的检测装置， 其特征在于， 所述识别模块具有用于识别捕获的业 务加密流 量或直接加密流 量的前置特 征。 8.根据权利要求7 所述的检测装置， 其特 征在于， 还 包括： 告警模块， 用于若攻击特 征匹配成功， 则进行告警。 9.一种密文攻击流 量的检测设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至5任一项所述的密文攻击流量 的检测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至5任一项 所述的密 文攻击流量的 检测方法的步骤。权　利　要　求　书 1/1 页 2 CN 114172720 A 2一种密文 攻击流量的检测方 法及相关装 置 技术领域 [0001]本申请涉及网络安全技术领域， 特别涉及一种密文攻击流量的检测方法； 还涉及 一种密文攻击流 量的检测装置、 设备以及计算机可读存 储介质。 背景技术 [0002]目前， 在现有的网络环境中， 时常会发生黑客攻击 企业的行为， 在攻击流量中有一 部分流量为黑客向企业发起的漏洞攻击流量， 还有一部 分流量为黑客在获取服务器控制权 限后向服务器发送控制命令的攻击流量。 攻击流量分为明文攻击流量和密文攻击流量。 对 于明文攻击流量， 检测手段在于特征库的积累。 对于密 文攻击流量， 现有检测方案往往是在 加密流量层面上进行检测， 检测点包括域名、 IP、 证书、 哈希、 行为模式等， 然而这种方式并 没有根本上去检测攻击特征， 需要时常更新规则特征， 例如， 域名、 IP被弃用， 行为模式变更 等， 无法保障精确检测。 [0003]有鉴于此， 如何精确检测密文攻击流量已成为本领域技术人员亟待解决的技术问 题。 发明内容 [0004]本申请的目的是提供一种密文攻击流量的检测方法， 密文流量解密为明文流量后 再进行攻击特征匹配， 能够精确检测出密文攻击流量。 本申请的另一个目的是提供一种密 文攻击流 量的检测装置、 设备以及计算机可读存 储介质， 均具有上述 技术效果。 [0005]为解决上述 技术问题， 本申请提供了一种密文攻击流 量的检测方法， 包括： [0006]识别捕获的加密流量的前置特征， 并根据所述前置特征从解密函数库中确定目标 解密函数； [0007]调用所述目标解密函数对所述加密流 量进行解密； [0008]对解密得到的流 量进行攻击特 征匹配； [0009]若攻击特 征匹配成功， 则所述加密流 量为密文攻击流 量。 [0010]可选的， 所述识别捕获的流 量的前置特 征包括： [0011]识别捕获的业 务加密流 量或直接加密流 量的前置特 征。 [0012]可选的， 所述对解密得到的流 量进行攻击特 征匹配包括： [0013]采用正则匹配的方式对解密得到的流 量进行攻击特 征匹配。 [0014]可选的， 还 包括： [0015]若攻击特 征匹配成功， 则进行告警。 [0016]可选的， 还 包括： [0017]更新所述 解密函数库。 [0018]为解决上述 技术问题， 本申请还提供了一种密文攻击流 量的检测装置， 包括： [0019]识别模块， 用于识别捕获的加密流量的前置特征， 并根据所述前置特征从解密函 数库中确定目标解密函数；说　明　书 1/7 页 3 CN 114172720 A 3