[发明专利]一种基于证书特征泛化和服务器变迁行为的SSL/TLS加密恶意服务发现方法有效
| 申请号: | 201611114844.4 | 申请日: | 2016-12-07 |
| 公开(公告)号: | CN106603519B | 公开(公告)日: | 2019-12-10 |
| 发明(设计)人: | 曹自刚;熊刚;李镇;石俊峥 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 11200 北京君尚知识产权代理有限公司 | 代理人: | 邱晓锋 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种基于证书特征泛化和服务器变迁行为的SSL/TLS加密恶意服务发现方法。该方法包括1)对已知恶意服务的证书进行采集;2)提取采集的证书的属性,根据不同服务类型对证书进行分类,从各类证书的属性域和属性关系中提取泛化特征;3)基于提取的泛化特征,在真实网络环境中进行基于证书泛化特征的潜在恶意服务发现。如果步骤2)无法提取泛化特征,则通过跟踪已知恶意服务器的证书的变迁行为来发现证书变化规律,进而发现恶意服务。本发明能够针对SSL/TLS加密的远程控制类恶意服务,在可控范围内合理筛选,扩大发现的恶意服务器集合,从而为进一步深入安全分析及取证提供依据。 | ||
| 搜索关键词: | 一种 基于 证书 特征 泛化 服务器 变迁 行为 ssl tls 加密 恶意 服务 发现 方法 | ||
【主权项】:
1.一种SSL/TLS加密恶意服务发现方法,其特征在于,包括以下步骤:/n1)对已知恶意服务的证书进行采集;/n2)提取采集的证书的属性,根据不同服务类型对证书进行分类,从各类证书的属性域和属性关系中提取泛化特征:/n基于已知的有限证书集合提取可能的候选共性特征,并对候选特征的合理性和有效性进行评估,根据评估结构进行替代提取和评估;然后将已知证书集合的大部分作为训练集,小部分作为验证集,通过训练集提取的候选特征,并在验证集进行准确性验证,当准确度高于设定阈值时认为泛化成功;/n对泛化特征的提取考虑如下属性维度:数值取值范围,字符串长度,字符串的结构,字符集构成及比例,颁发者/使用者的子域属性的个数及各个子域属性之间的关系,是否自签名;/n3)基于提取的泛化特征,在真实网络环境中进行基于证书泛化特征的潜在恶意服务发现。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201611114844.4/,转载请声明来源钻瓜专利网。
