(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111567253.3 (22)申请日 2021.12.20 (71)申请人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 申请人 北京六方云科技有限公司 (72)发明人 刘伟　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 代理人 张婷 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) H04L 9/32(2006.01) (54)发明名称 加密流量检测方法、 系统、 设备及存 储介质 (57)摘要 本申请公开一种加密流量检测方法、 系统、 设备及存储介质， 包括： 加密流量进入目标访问 系统前， 获取待访问流量报文， 并提取待访问流 量报文的查询域名以及IP访问地址， 若查询域名 和威胁情报库匹配成功， 则将IP访问地址存储至 本地黑名单， 加密流量进入目标访问系统后， 提 取加密流量的目标访问地址， 将目标访问地址与 本地黑名单和威胁情报库进行匹配， 并提取加密 流量在建立会话连接过程中的目标证书信息， 若 匹配成功， 则确定加密流量为威胁流量， 并将目 标证书信息存储至本地黑名单， 若匹配不成功， 则将目标证书信息与本地黑名单和威胁情报库 进行匹配， 并根据匹配结果确定加密流量是否为 威胁流量。 本申请解决威胁流量识别效果不佳的 技术问题。 权利要求书2页 说明书9页 附图3页 CN 114363020 A 2022.04.15 CN 114363020 A 1.一种加密流 量检测方法， 其特 征在于， 所述加密流 量检测方法包括： 在加密流量进入目标访 问系统前， 获取待访 问流量报文， 并提取所述待访 问流量报文 对应的查询域名以及IP访问地址； 若所述查询域名和威胁情报库中的域名匹配成功， 则将所述查询域名对应的IP访问地 址存储至预先配置的本地 黑名单中； 当加密流 量进入目标访问系统后， 提取 所述加密流 量对应的目标访问地址； 将所述目标访问地址分别与 所述本地黑名单以及所述威胁情报库进行匹配， 并提取所 述加密流 量在建立会话连接过程对应的目标证书信息； 若所述目标访 问地址匹配成功， 则确定所述加密流量为威胁流量， 并将所述目标证书 信息存储至所述本地 黑名单中； 若所述目标访问地址匹配失败， 则将所述目标证书信 息分别与 所述本地黑名单以及所 述威胁情报库进行匹配， 并根据匹配结果确定所述加密流 量是否为 威胁流量。 2.如权利要求1所述的加密流量检测方法， 其特征在于， 所述将所述目标证书信 息分别 与所述本地黑名单以及所述威胁情报库进 行匹配， 并根据匹配结果确定所述加密流量是否 为威胁流量的步骤 包括： 将所述目标证书信息和所述本地 黑名单进行遍历匹配， 获得第一匹配结果； 若第一匹配结果为匹配失败， 则将所述目标证书信 息与所述威胁情报库中的证书信 息 进行遍历匹配， 获得第二匹配结果； 若第二匹配结果为匹配成功， 则确定所述加密流量为威胁流量， 并将所述加密流量的 目标访问地址存 储至所述本地 黑名单中。 3.如权利要求1所述的加密流量检测方法， 其特征在于， 在所述若所述查询域名和威胁 情报库中的域名进 行遍历匹配成功， 则将所述查询域名对应的IP访问地址存储至预先配置 的本地黑名单中的步骤之前， 所述加密流 量检测方法还 包括： 若所述查询域名和所述威胁情报库中的域名遍历匹配失败， 则将所述IP访问地址和所 述威胁情报库中的IP地址进行遍历匹配； 若匹配成功， 则将所述 IP访问地址对应的查询域名存 储至所述本地 黑名单中。 4.如权利要求1所述的加密流量检测方法， 其特征在于， 所述提取所述加密流量在 建立 会话连接过程对应的目标证书信息的步骤 包括： 获取所述加密流 量建立会话连接过程中对应的握 手信息； 对所述握 手信息进行解析， 获得 所述目标证书信息 。 5.如权利要求2所述的加密流量检测方法， 其特征在于， 在所述若第 一匹配结果为匹配 失败， 则将所述目标证书信息与所述威胁情报库中的证书信息进行遍历匹配， 获得第二匹 配结果的步骤之后， 所述加密流 量检测方法还 包括： 若第二匹配结果为匹配失败， 则确定所述加密流量为正常流量， 并放行所述加密流量， 以进行通讯访问操作。 6.如权利要求2所述的加密流量检测方法， 其特征在于,将所述目标访问地址存储至所 述本地黑名单中的步骤 包括： 若所述本地黑名单不存在所述目标访问地址， 则将所述目标访问地址存储至所述本地 黑名单中， 并记录所述目标访问地址对应的命中时间点。权　利　要　求　书 1/2 页 2 CN 114363020 A 27.如权利要求6所述的加密流量检测方法， 其特征在于， 在所述若所述本地黑名单不存 在所述目标访问地址， 则将所述 目标访问地址存储至所述本地黑名单中， 并记录所述 目标 访问地址对应的命中时间点的步骤之后， 所述加密流 量检测方法包括： 检测所述本地 黑名单中各访问地址对应的命中时间点； 若所述命中时间点超过预设时长， 则将超过预设时长对应的访 问地址进行删除处理， 获得更新后的本地 黑名单。 8.一种加密流 量检测系统， 其特 征在于， 所述加密流 量检测系统包括： 第一提取模块， 用于在加密流量进入目标访问系统前， 获取待访问流量报文， 并提取所 述待访问流 量报文对应的查询域名以及IP访问地址； 第一匹配模块， 用于若所述查询域名和威胁情报库中的域名匹配成功， 则将所述查询 域名对应的IP访问地址存 储至预先配置的本地 黑名单中； 第二提取模块， 用于当加密流量进入目标访 问系统后， 提取所述加密流量对应的目标 访问地址； 第二匹配模块， 用于将所述目标访问地址分别与 所述本地黑名单以及所述威胁情报库 进行匹配， 并提取 所述加密流 量在建立会话连接过程对应的目标证书信息； 确定模块， 用于若所述目标访问地址匹配成功， 则确定所述加密流量为威胁流量， 并将 所述目标证书信息存 储至所述本地 黑名单中； 第三匹配模块， 用于若所述目标访 问地址匹配失败， 则将所述目标证书信息分别与所 述本地黑名单以及所述威胁情报库进 行匹配， 并根据匹配结果确定所述加密流量是否为威 胁流量。 9.一种加密流量检测设备， 其特征在于， 所述加密流量检测设备包括： 存储器、 处理器 以及存储在存储器上的加密流 量检测程序， 所述加密流量检测程序被所述处理器执行实现如权利要求1至7中任一项所述加密流 量检测方法的步骤。 10.一种存储介质， 所述存储介质为计算机可读存储介质， 其特征在于， 所述计算机可 读存储介质上存储有加密流量检测程序， 所述加密流量检测程序被处理器执行实现如权利 要求1至7中任一项所述加密流 量检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114363020 A 3