一种检测伪造流量的方法、装置及电子设备与流程

1.本发明涉及流量检测技术领域，具体而言，涉及一种检测伪造流量的方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.目前，全球互联网走向全面加密时代已经是大势所趋。根据gartner预测，有超过80％的企业网络流量被加密，这些加密的网络流量中将隐藏超过一半以上的网络恶意软件，即有超过一半的网络恶意软件基于加密流量进行非法或不合规的操作。针对这些恶意的加密网络流量，一般通过证书、sni(server name indication，服务名标识)等特征进行检测，
3.在实现本发明的过程中，发明人发现现有的方案中至少存在如下问题：
4.常规检测主要通过判断网络流量中的证书、sni是否正确的方式进行检测，但某些高级威胁可以伪造ssl(secure sockets layer，安全套接字层)/tls(transport layer security,传输层安全协议)协议，即其可以通过伪造证书、sni，甚至直接使用公共知名证书等来绕过常规检测，故检测ssl/tls协议是否为伪造尤为关键。


技术实现要素：

5.为解决现有存在的技术问题，本发明实施例提供一种检测伪造流量的方法、装置、电子设备及计算机可读存储介质。
6.第一方面，本发明实施例提供了一种检测伪造流量的方法，包括：
7.获取待处理的加密流量；
8.确定所述加密流量的密码套件特征，根据所述密码套件特征判断所述加密流量中的握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
9.确定所述加密流量的证书特征，判断所述证书特征是否异常，在所述证书特征异常时，确定所述加密流量为伪造流量；根据所述证书特征判断所述握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
10.确定所述加密流量的数据包特征，判断所述数据包特征是否异常，在所述数据包特征异常时，确定所述加密流量为伪造流量。
11.第二方面，本发明实施例还提供了一种检测伪造流量的装置，包括：
12.获取模块，用于获取待处理的加密流量；
13.第一处理模块，用于确定所述加密流量的密码套件特征，根据所述密码套件特征判断所述加密流量中的握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
14.第二处理模块，用于确定所述加密流量的证书特征，判断所述证书特征是否异常，在所述证书特征异常时，确定所述加密流量为伪造流量；根据所述证书特征判断所述握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
15.第三处理模块，用于确定所述加密流量的数据包特征，判断所述数据包特征是否异常，在所述数据包特征异常时，确定所述加密流量为伪造流量。
16.第三方面，本发明实施例提供了一种电子设备，包括总线、收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述收发器、所述存储器和所述处理器通过所述总线相连，所述计算机程序被所述处理器执行时实现上述任意一项所述的检测伪造流量的方法中的步骤。
17.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意一项所述的检测伪造流量的方法中的步骤。
18.本发明实施例提供的检测伪造流量的方法、装置、电子设备及计算机可读存储介质，基于加密流量的正常特点，从密码套件特征、证书特征、数据包特征等多个维度对加密流量进行检测，可以确定异常的伪造流量。本实施例中根据密码套件特征、证书特征判断握手消息是否异常，并根据证书特征和数据包特征本身是否异常进行综合判断，从而可以对加密流量进行多维度、全方位检测，能够比较准确地检测出伪造流量，检测精度高；且该检测方式简单，不需要大量计算即可实现检测，检测效率高。
附图说明
19.为了更清楚地说明本发明实施例或背景技术中的技术方案，下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
20.图1示出了本发明实施例所提供的一种检测伪造流量的方法的流程图；
21.图2示出了本发明实施例所提供的一种检测伪造流量的方法的详细流程图；
22.图3示出了本发明实施例所提供的一种检测伪造流量的装置的结构示意图；
23.图4示出了本发明实施例所提供的一种用于执行检测伪造流量的方法的电子设备的结构示意图。
具体实施方式
24.在本发明实施例的描述中，所属技术领域的技术人员应当知道，本发明实施例可以实现为方法、装置、电子设备及计算机可读存储介质。因此，本发明实施例可以具体实现为以下形式：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)、硬件和软件结合的形式。此外，在一些实施例中，本发明实施例还可以实现为在一个或多个计算机可读存储介质中的计算机程序产品的形式，该计算机可读存储介质中包含计算机程序代码。
25.上述计算机可读存储介质可以采用一个或多个计算机可读存储介质的任意组合。计算机可读存储介质包括：电、磁、光、电磁、红外或半导体的系统、装置或器件，或者以上任意的组合。计算机可读存储介质更具体的例子包括：便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom)、闪存(flash memory)、光纤、光盘只读存储器(cd-rom)、光存储器件、磁存储器件或以上任意组合。在本发明实施例中，计算机可读存储介质可以是任意包含或存储程序的有形介质，该程序可以被指令执行系统、装置、器件使用或与其结合使用。
26.上述计算机可读存储介质包含的计算机程序代码可以用任意适当的介质传输，包
括：无线、电线、光缆、射频(radio frequency，rf)或者以上任意合适的组合。
27.可以以汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路配置数据或以一种或多种程序设计语言或其组合来编写用于执行本发明实施例操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言，例如：java、smalltalk、c ，还包括常规的过程式程序设计语言，例如：c语言或类似的程序设计语言。计算机程序代码可以完全的在用户计算机上执行、部分的在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行以及完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络，包括：局域网(lan)或广域网(wan)，可以连接到用户计算机，也可以连接到外部计算机。
28.本发明实施例通过流程图和/或方框图描述所提供的方法、装置、电子设备。
29.应当理解，流程图和/或方框图的每个方框以及流程图和/或方框图中各方框的组合，都可以由计算机可读程序指令实现。这些计算机可读程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而生产出一种机器，这些计算机可读程序指令通过计算机或其他可编程数据处理装置执行，产生了实现流程图和/或方框图中的方框规定的功能/操作的装置。
30.也可以将这些计算机可读程序指令存储在能使得计算机或其他可编程数据处理装置以特定方式工作的计算机可读存储介质中。这样，存储在计算机可读存储介质中的指令就产生出一个包括实现流程图和/或方框图中的方框规定的功能/操作的指令装置产品。
31.也可以将计算机可读程序指令加载到计算机、其他可编程数据处理装置或其他设备上，使得在计算机、其他可编程数据处理装置或其他设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机或其他可编程数据处理装置上执行的指令能够提供实现流程图和/或方框图中的方框规定的功能/操作的过程。
32.下面结合本发明实施例中的附图对本发明实施例进行描述。
33.图1示出了本发明实施例所提供的一种检测伪造流量的方法的流程图。如图1所示，该方法包括：
34.步骤101：获取待处理的加密流量。
35.本发明实施例中，在获取或拦截到的网络流量为加密流量时，即可将该网络流量作为待处理的加密流量。加密流量为客户端与服务器之间通信时生成的，具体可以为ssl/tls加密流量。该加密流量中一般包含握手消息(如clienthello消息，serverhello消息等)，且对于新会话，也会包含服务器下发的证书消息，该证书消息中包含与证书相关的信息。
36.步骤102：确定加密流量的密码套件特征，根据密码套件特征判断加密流量中的握手消息是否异常，在握手消息异常时，确定加密流量为伪造流量。
37.本发明实施例中，该密码套件特征为服务器所确定的密码套件相关的特征，具体的，可以基于服务器下发的serverhello消息确定该加密流量所采用的密码套件。对于不同的密码套件特征，客户端与服务器在握手阶段会采用不同的握手流程，即握手消息会不完全相同；若该密码套件特征应该对应握手消息a，但是该加密流量中不包含该握手消息a，或者与该握手消息a不对应，此时即可确定握手消息异常，进而确定该加密流量为非法伪造
(fake)的流量，即该网络流量是伪造的。
38.可选的，上述步骤102“根据密码套件特征判断加密流量中的握手消息是否异常”包括：根据所选择的密码套件类型判断加密流量中的握手消息是否符合协议规定，则握手消息不符合协议规定时，确定握手消息异常；其中，密码套件类型为一种密码套件特征。
39.本发明实施例中，密码套件类型包括rsa类的密码套件，以及dhe类的密码套件等。若服务器选择rsa类的密码套件，则在握手阶段服务器不能产生server key exchange消息；相反的，若服务器选择采用dhe类的密码套件，则服务器必须要发送server key exchange消息以完成密钥协商。因此，若该加密流量的密码套件类型为rsa类的密码套件，但服务器却发送了server key exchange消息，则说明该加密流量的握手消息不符合协议规定，该握手消息异常；同样的，若该加密流量的密码套件类型为dhe类的密码套件，且服务器没有发送server key exchange消息，该握手消息也是异常的，故此时可以确定该加密流量为非法的伪造流量。
40.步骤103：确定加密流量的证书特征，判断证书特征是否异常，在证书特征异常时，确定加密流量为伪造流量；根据证书特征判断握手消息是否异常，在握手消息异常时，确定加密流量为伪造流量。
41.本发明实施例中，如上所述，加密流量中包含证书消息，基于该证书消息即可提取出该加密流量的证书特征，该证书特征具体可以包括域名特征、证书类型等，可以基于其中的一种或多种证书特征判断该加密流量是否为伪造流量。可选的，该域名特征可以包括证书subject中的commonname和证书extensions中的subject alternative name，后续简称cn特征和san特征，即该域名特征可以包括cn特征和san特征。
42.具体的，若该加密流量的证书特征与标准的证书特征相比不同，则说明该加密流量的证书被篡改了，进而即可确定加密流量是伪造流量。此外，对于不同的证书特征，握手阶段的了流程也可能是不同的，即握手消息也可能不同；若该证书特征所应当对应的握手消息与加密流量中所包含的握手消息不一致，则可说明该加密流量中的握手消息异常，该加密流量为伪造流量。
43.步骤104：确定加密流量的数据包特征，判断数据包特征是否异常，在数据包特征异常时，确定加密流量为伪造流量。
44.本发明实施例中，客户端与服务器之间通信时会发送数据包，即发送应用数据(application data)，通过提取数据包的特征来判断该数据包特征是否异常，进而确定加密流量是否为伪造流量。本实施例中，数据包特征包括协议头和数据包长度，该步骤“判断数据包特征是否异常”包括：
45.步骤a1：确定数据包特征中的协议头和数据包长度。
46.步骤a2：在协议头与所选用协议的标准协议头不同时，确定数据包特征异常。
47.本发明实施例中，ssl/tls协议在握手时，serverhello消息中会确定最终的通信协议版本，比如tls 1.1或者tls 1.2等；不同的协议版本，在传递加密数据时所用的协议头是不同的，比如tls 1.2对应的数据包的协议头为0x0302。如果协议头这个值与加密流量的serverhello消息中所确定的最终的通信协议版本不匹配，则说明该加密流量的数据包特征异常，该加密流量是伪造流量。
48.步骤a3：在数据包长度与数据包中的长度属性不一致时，确定数据包特征异常。
49.本发明实施例中，对于ssl/tls流量，数据包的第4、5字节是长度(length)属性，该长度属性用来标识该数据包的实际长度；如果该数据包的实际长度与其所包含的长度属性不相符，则也可说明数据包特征异常，即该加密流量是伪造流量。
50.步骤a4：在多个数据包长度存在规律性，或多个数据包长度相同时，确定数据包特征异常。
51.本实施例中，在正常情况下，加密流量所发送的数据包是没有规律的，即数据包长度是不存在规律的。若该加密流量的数据包长度有规律性，例如数据包长度按照等差数列递增，或者数据包长度是有周期性的(如数据包长度按照2、3、2、3、2、3的方式发送)，则说明该加密流量的数据包极有可能被非法篡改了，此时可以确定该数据包特征异常，即该加密流量是伪造流量。或者，若加密流量的多个数据包长度相同(此时也可认为其具有规律性)，例如长度相同的数据包数量较多、或所占比例较大，此时也可认为该数据包特征异常，即该加密流量是伪造流量。
52.本发明实施例提供的一种检测伪造流量的方法，基于加密流量的正常特点，从密码套件特征、证书特征、数据包特征等多个维度对加密流量进行检测，可以确定异常的伪造流量。本实施例中根据密码套件特征、证书特征判断握手消息是否异常，并根据证书特征和数据包特征本身是否异常进行综合判断，从而可以对加密流量进行多维度、全方位检测，能够比较准确地检测出伪造流量，检测精度高；且该检测方式简单，不需要大量计算即可实现检测，检测效率高。
53.在上述实施例的基础上，本实施例中基于域名特征判断证书特征是否异常。具体的，上述步骤103“判断证书特征是否异常”包括：
54.步骤b1：提取证书特征中的域名特征，在证书特征中的域名特征与知名站点集合的域名特征相匹配时，判断加密流量的目的端口是否异常，在目的端口异常时，确定证书特征异常。
55.本发明实施例中，知名站点集合(public site set，pss)是指包含多个知名站点的集合，如google、baidu等知名站点。由于非法的服务器一般会伪造知名站点的证书，故与该非法服务器所相关的加密流量中的证书特征会与知名站点的证书特征一致。本实施例中基于cn特征、san特征等域名特征来确定待处理的加密流量与知名站点的流量是否相同，若二者相同，则继续基于目的端口进行判断，若目的端口不正常，则说明该加密流量是仿知名站点所生成的网络流量，该加密流量为伪造流量。例如，一般加密流量的目的端口是443，若该加密流量的目的端口不是443，即可确定该加密流量是伪造流量。此外，本领域技术人员可以理解，若目的端口正常，只能说明该加密流量通过了步骤b1中的目的端口检测，并不能说明该加密流量一定是合法的正常流量。
56.或者，可以基于证书本身进行判断；具体的，上述步骤103“判断证书特征是否异常”包括：
57.步骤b2：确定加密流量的服务器地址所对应的所有证书，在服务器地址所对应的证书中包含多个属于知名站点集合的证书时，确定证书特征异常。
58.本发明实施例中，对于正常的合法服务器，其可以使用多个x.509证书，但不会包含多个属于知名站点集合的证书；例如，合法的服务器不会同时包含google的证书和baidu的证书。本实施例中基于服务器地址确定其所对应的所有证书，并与知名站点集合的证书
进行比对，即可确定该服务器地址是否包含多个属于知名站点集合的证书，若该服务器地址包含多个属于知名站点集合的证书，则证书特征异常，相应的加密流量为伪造流量。例如，某个服务器地址(具体可以是ip地址)既可以返回baidu的证书，又可以返回google的证书，则该服务器地址是异常的，与该服务器地址相关的加密流量均为伪造流量。
59.可选的，本实施例也可以根据证书类型和密码套件类型是否匹配来进行判断。具体的，上述步骤103“根据证书特征判断握手消息是否异常”包括：确定加密流量所选择的密码套件类型，并确定所选择的密码套件类型和所选择的证书类型是否匹配，在密码套件类型与证书类型不匹配时，确定握手消息异常；其中，证书类型为一种证书特征。
60.本发明实施例中，ssl/tls协议在握手时，选择不同类型的密码套件会对应不同类型的证书，比如，rsa类的密码套件必须对应rsa(算法的名字以发明者的名字命名：ron rivest,adi shamir和leonard adleman)证书，ecdsa(elliptic curve digital signature algorithm，椭圆曲线数字签名算法)类的密码套件必须对应ecc(elliptic curve cryptography，椭圆曲线加密)证书，否则无法完成密钥协商。本实施例中，若加密流量所选择的密码套件类型和证书类型不相匹配，则可说明该握手消息是异常的，即加密流量是伪造流量。
61.可选的，在步骤103“确定加密流量的证书特征”之前，该方法还包括：
62.步骤c1：根据加密流量的会话标识确定加密流量的会话是否为新会话。
63.步骤c2：在加密流量的会话不为新会话时，若加密流量中包含证书消息，确定加密流量为伪造流量。
64.本发明实施例中，可以根据加密流量的会话标识(session id)是否是新的来确定该加密流量所对应的会话是否为新会话。若该加密流量的会话不为新会话，则说明该加密流量的会话是恢复会话，基于ssl/tls协议可知，在成功恢复会话时不会进行完整握手，也就不会产生证书消息；若加密流量中包含证书消息，则可确定该加密流量是伪造流量，此时不需要从证书消息中提取证书特征，可以提高处理效率。
65.本发明实施例提供的检测伪造流量的方法基于多个检测指标、从多个维度对加密流量进行检测，实现准确检测。其中，在检测某个加密流量的过程中，可以基于多个检测指标依次对该加密流量进行检测，当该加密流量不符合当前的检测指标时，即可说明该加密流量是伪造流量；若该加密流量符合当前的检测指标，只能说明该加密指标通过了当前的检测指标，还需要继续进行下一步判断。具体的，该检测伪造流量的方法可参见图2所示。如图2所示，该方法包括：
66.步骤201：获取待处理的加密流量，确定加密流量的会话标识。
67.步骤202：根据会话标识判断加密流量的会话是否为新会话，若加密流量的会话不是新会话，继续步骤203，若是，则继续步骤204。
68.步骤203：判断加密流量中是否包含证书消息，若加密流量中不包含证书消息，则继续步骤204，否则继续步骤213。
69.本实施例中，若加密流量中不包含证书消息，则说明该加密流量通过了本轮检测，需要后续基于其他的指标进行进一步判断；若加密流量中包含证书消息，即可确定该加密流量是伪造流量。
70.步骤204：判断加密流量与知名站点集合的域名特征是否相匹配，若二者相匹配，
继续步骤205，否则继续步骤206。
71.步骤205：判断加密流量的目的端口是否异常，若该目的端口不存在异常，则继续步骤206，否则继续步骤213。
72.其中，在步骤204之前，可以提取出加密流量的全部证书特征，也可以只提取出域名特征，当需要判断证书特征中的其他部分(如证书类型等)时再进行提取。
73.步骤206：判断密码套件特征与加密流量中的握手消息是否匹配，若二者匹配，则继续步骤207，否则继续步骤213。
74.本发明实施例中，若该加密流量的密码套件类型为rsa类的密码套件，则判断服务器是否发送了server key exchange消息，若服务器发送了server key exchange消息，则说明该加密流量的握手消息不符合协议规定，该加密流量是伪造流量。若该加密流量的密码套件类型为dhe类的密码套件，同样需要判断服务器是否发送了server key exchange消息，相反的，若服务器没有发送server key exchange消息，则该握手消息也是异常的，故此时可以确定该加密流量为非法的伪造流量。
75.步骤207：判断所选择的密码套件类型与证书类型是否匹配，若二者相匹配，则继续步骤208，否则继续步骤213。
76.步骤208：判断协议头与所选用协议的标准协议头是否相同，若二者相同，则继续步骤209，否则继续步骤213。
77.其中，通过对比协议头进行判断的方式，其实也是对比数据包的协议头与tls版本号是否对应，即也可以校验数据包的tls版本号。
78.步骤209：判断数据包长度与数据包中的长度属性是否一致，若二者一致，则继续步骤210，否则继续步骤213。
79.步骤210：确定加密流量所对应的证书中是否包含多个属于知名站点集合的证书，若否，则继续步骤211，否则继续步骤213。
80.步骤211：统计判断数据包长度是否异常，若否，则继续步骤212，否则继续步骤213。
81.步骤212：该加密流量是正常流量。
82.步骤213：该加密流量是伪造流量。
83.本发明实施例中，检测指标包括密码套件特征、证书特征和数据包特征，其具体包括：证书消息、域名特征、目的端口、密码套件特征、证书类型、协议头、数据包长度、知名站点集合的证书的数量等，每个检测指标的检测顺序可以适当调整，图2只是示出了一种检测顺序。此外，目的端口的检测过程可以在加密流量与知名站点集合的域名特征相匹配时执行，也可直接进行目标端口的检测。
84.本发明实施例提供的一种检测伪造流量的方法，基于加密流量的正常特点，从密码套件特征、证书特征、数据包特征等多个维度对加密流量进行检测，可以确定异常的伪造流量。本实施例中根据密码套件特征、证书特征判断握手消息是否异常，并根据证书特征和数据包特征本身是否异常进行综合判断，从而可以对加密流量进行多维度、全方位检测，能够比较准确地检测出伪造流量，检测精度高；且该检测方式简单，不需要大量计算即可实现检测，检测效率高。
85.上文结合图1至图2，详细描述了本发明实施例提供的检测伪造流量的方法，该方
法也可以通过相应的装置实现，下面将结合图3详细描述本发明实施例提供的检测伪造流量的装置。
86.图3示出了本发明实施例所提供的一种检测伪造流量的装置的结构示意图。如图3所示，该检测伪造流量的装置包括：
87.获取模块31，用于获取待处理的加密流量；
88.第一处理模块32，用于确定所述加密流量的密码套件特征，根据所述密码套件特征判断所述加密流量中的握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
89.第二处理模块33，用于确定所述加密流量的证书特征，判断所述证书特征是否异常，在所述证书特征异常时，确定所述加密流量为伪造流量；根据所述证书特征判断所述握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
90.第三处理模块34，用于确定所述加密流量的数据包特征，判断所述数据包特征是否异常，在所述数据包特征异常时，确定所述加密流量为伪造流量。
91.在上述实施例的基础上，所述第一处理模块32根据所述密码套件特征判断所述加密流量中的握手消息是否异常包括：
92.根据所选择的密码套件类型判断所述加密流量中的握手消息是否符合协议规定，则所述握手消息不符合协议规定时，确定所述握手消息异常；其中，所述密码套件类型为一种密码套件特征。
93.在上述实施例的基础上，所述第二处理模块33判断所述证书特征是否异常包括：
94.提取所述证书特征中的域名特征，在所述证书特征中的域名特征与知名站点集合的域名特征相匹配时，判断所述加密流量的目的端口是否异常，在所述目的端口异常时，确定所述证书特征异常；和/或
95.确定所述加密流量的服务器地址所对应的所有证书，在所述服务器地址所对应的证书中包含多个属于知名站点集合的证书时，确定所述证书特征异常。
96.在上述实施例的基础上，所述第二处理模块33根据所述证书特征判断所述握手消息是否异常包括：
97.确定所述加密流量所选择的密码套件类型，确定所选择的密码套件类型和所选择的证书类型是否匹配，在所述密码套件类型与所述证书类型不匹配时，确定所述握手消息异常；其中，所述证书类型为一种证书特征。
98.在上述实施例的基础上，所述第三处理模块34判断所述数据包特征是否异常包括：
99.确定所述数据包特征中的协议头和数据包长度；
100.在所述协议头与所选用协议的标准协议头不同时，确定所述数据包特征异常；
101.在所述数据包长度与数据包中的长度属性不一致时，确定所述数据包特征异常；
102.在多个所述数据包长度存在规律性，或多个所述数据包长度相同时，确定所述数据包特征异常。
103.在上述实施例的基础上，该装置还包括第四处理模块；
104.在所述第二处理模块33确定所述加密流量的证书特征之前，所述第四处理模块用于：
105.根据所述加密流量的会话标识确定所述加密流量的会话是否为新会话；
106.在所述加密流量的会话不为新会话时，若所述加密流量中包含证书消息，确定所述加密流量为伪造流量。
107.本发明实施例提供的一种检测伪造流量的装置，基于加密流量的正常特点，从密码套件特征、证书特征、数据包特征等多个维度对加密流量进行检测，可以确定异常的伪造流量。本实施例中根据密码套件特征、证书特征判断握手消息是否异常，并根据证书特征和数据包特征本身是否异常进行综合判断，从而可以对加密流量进行多维度、全方位检测，能够比较准确地检测出伪造流量，检测精度高；且该检测方式简单，不需要大量计算即可实现检测，检测效率高。
108.此外，本发明实施例还提供了一种电子设备，包括总线、收发器、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，该收发器、该存储器和处理器分别通过总线相连，计算机程序被处理器执行时实现上述检测伪造流量的方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
109.具体的，参见图4所示，本发明实施例还提供了一种电子设备，该电子设备包括总线1110、处理器1120、收发器1130、总线接口1140、存储器1150和用户接口1160。
110.在本发明实施例中，该电子设备还包括：存储在存储器1150上并可在处理器1120上运行的计算机程序，计算机程序被处理器1120执行时实现以下步骤：
111.获取待处理的加密流量；
112.确定所述加密流量的密码套件特征，根据所述密码套件特征判断所述加密流量中的握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
113.确定所述加密流量的证书特征，判断所述证书特征是否异常，在所述证书特征异常时，确定所述加密流量为伪造流量；根据所述证书特征判断所述握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
114.确定所述加密流量的数据包特征，判断所述数据包特征是否异常，在所述数据包特征异常时，确定所述加密流量为伪造流量。
115.可选地，计算机程序被处理器1120执行“根据所述密码套件特征判断所述加密流量中的握手消息是否异常”步骤时，使得处理器具体实现以下步骤：
116.根据所选择的密码套件类型判断所述加密流量中的握手消息是否符合协议规定，则所述握手消息不符合协议规定时，确定所述握手消息异常；其中，所述密码套件类型为一种密码套件特征。
117.可选地，计算机程序被处理器1120执行“判断所述证书特征是否异常”步骤时，使得处理器具体实现以下步骤：
118.提取所述证书特征中的域名特征，在所述证书特征中的域名特征与知名站点集合的域名特征相匹配时，判断所述加密流量的目的端口是否异常，在所述目的端口异常时，确定所述证书特征异常；和/或
119.确定所述加密流量的服务器地址所对应的所有证书，在所述服务器地址所对应的证书中包含多个属于知名站点集合的证书时，确定所述证书特征异常。
120.可选地，计算机程序被处理器1120执行“根据所述证书特征判断所述握手消息是否异常”步骤时，使得处理器具体实现以下步骤：
memory)、只读存储器(read-only memory，rom)、可编程只读存储器(programmable rom，prom)、可擦除可编程只读存储器(erasable prom，eprom)、寄存器等本领域公知的可读存储介质中。所述可读存储介质位于存储器中，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。
135.总线1110还可以将，例如外围设备、稳压器或功率管理电路等各种其他电路连接在一起，总线接口1140在总线1110和收发器1130之间提供接口，这些都是本领域所公知的。因此，本发明实施例不再对其进行进一步描述。
136.收发器1130可以是一个元件，也可以是多个元件，例如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。例如：收发器1130从其他设备接收外部数据，收发器1130用于将处理器1120处理后的数据发送给其他设备。取决于计算机系统的性质，还可以提供用户接口1160，例如：触摸屏、物理键盘、显示器、鼠标、扬声器、麦克风、轨迹球、操纵杆、触控笔。
137.应理解，在本发明实施例中，存储器1150可进一步包括相对于处理器1120远程设置的存储器，这些远程设置的存储器可以通过网络连接至服务器。上述网络的一个或多个部分可以是自组织网络(ad hoc network)、内联网(intranet)、外联网(extranet)、虚拟专用网(vpn)、局域网(lan)、无线局域网(wlan)、广域网(wan)、无线广域网(wwan)、城域网(man)、互联网(internet)、公共交换电话网(pstn)、普通老式电话业务网(pots)、蜂窝电话网、无线网络、无线保真(wi-fi)网络以及两个或更多个上述网络的组合。例如，蜂窝电话网和无线网络可以是全球移动通信(gsm)系统、码分多址(cdma)系统、全球微波互联接入(wimax)系统、通用分组无线业务(gprs)系统、宽带码分多址(wcdma)系统、长期演进(lte)系统、lte频分双工(fdd)系统、lte时分双工(tdd)系统、先进长期演进(lte-a)系统、通用移动通信(umts)系统、增强移动宽带(enhance mobile broadband，embb)系统、海量机器类通信(massive machine type of communication，mmtc)系统、超可靠低时延通信(ultra reliable low latency communications，urllc)系统等。
138.应理解，本发明实施例中的存储器1150可以是易失性存储器或非易失性存储器，或可包括易失性存储器和非易失性存储器两者。其中，非易失性存储器包括：只读存储器(read-only memory，rom)、可编程只读存储器(programmable rom，prom)、可擦除可编程只读存储器(erasable prom，eprom)、电可擦除可编程只读存储器(electrically eprom，eeprom)或闪存(flash memory)。
139.易失性存储器包括：随机存取存储器(random access memory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如：静态随机存取存储器(static ram，sram)、动态随机存取存储器(dynamic ram，dram)、同步动态随机存取存储器(synchronous dram，sdram)、双倍数据速率同步动态随机存取存储器(double data rate sdram，ddrsdram)、增强型同步动态随机存取存储器(enhanced sdram，esdram)、同步连接动态随机存取存储器(synchlink dram，sldram)和直接内存总线随机存取存储器(direct rambus ram，drram)。本发明实施例描述的电子设备的存储器1150包括但不限于上述和任意其他适合类型的存储器。
140.在本发明实施例中，存储器1150存储了操作系统1151和应用程序1152的如下元素：可执行模块、数据结构，或者其子集，或者其扩展集。
141.具体而言，操作系统1151包含各种系统程序，例如：框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。应用程序1152包含各种应用程序，例如：媒体播放器(media player)、浏览器(browser)，用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序1152中。应用程序1152包括：小程序、对象、组件、逻辑、数据结构以及其他执行特定任务或实现特定抽象数据类型的计算机系统可执行指令。
142.此外，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述检测伪造流量的方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
143.具体而言，计算机程序被处理器执行时可实现以下步骤：
144.获取待处理的加密流量；
145.确定所述加密流量的密码套件特征，根据所述密码套件特征判断所述加密流量中的握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
146.确定所述加密流量的证书特征，判断所述证书特征是否异常，在所述证书特征异常时，确定所述加密流量为伪造流量；根据所述证书特征判断所述握手消息是否异常，在所述握手消息异常时，确定所述加密流量为伪造流量；
147.确定所述加密流量的数据包特征，判断所述数据包特征是否异常，在所述数据包特征异常时，确定所述加密流量为伪造流量。
148.可选地，计算机程序被处理器执行“根据所述密码套件特征判断所述加密流量中的握手消息是否异常”步骤时，使得处理器具体实现以下步骤：
149.根据所选择的密码套件类型判断所述加密流量中的握手消息是否符合协议规定，则所述握手消息不符合协议规定时，确定所述握手消息异常；其中，所述密码套件类型为一种密码套件特征。
150.可选地，计算机程序被处理器执行“判断所述证书特征是否异常”步骤时，使得处理器具体实现以下步骤：
151.提取所述证书特征中的域名特征，在所述证书特征中的域名特征与知名站点集合的域名特征相匹配时，判断所述加密流量的目的端口是否异常，在所述目的端口异常时，确定所述证书特征异常；和/或
152.确定所述加密流量的服务器地址所对应的所有证书，在所述服务器地址所对应的证书中包含多个属于知名站点集合的证书时，确定所述证书特征异常。
153.可选地，计算机程序被处理器执行“根据所述证书特征判断所述握手消息是否异常”步骤时，使得处理器具体实现以下步骤：
154.确定所述加密流量所选择的密码套件类型，确定所选择的密码套件类型和所选择的证书类型是否匹配，在所述密码套件类型与所述证书类型不匹配时，确定所述握手消息异常；其中，所述证书类型为一种证书特征。
155.可选地，计算机程序被处理器执行“判断所述数据包特征是否异常”步骤时，使得处理器具体实现以下步骤：
156.确定所述数据包特征中的协议头和数据包长度；
157.在所述协议头与所选用协议的标准协议头不同时，确定所述数据包特征异常；
158.在所述数据包长度与数据包中的长度属性不一致时，确定所述数据包特征异常；
159.在多个所述数据包长度存在规律性，或多个所述数据包长度相同时，确定所述数据包特征异常。
160.可选地，计算机程序被处理器执行所述确定所述加密流量的证书特征之前，还可实现以下步骤：
161.根据所述加密流量的会话标识确定所述加密流量的会话是否为新会话；
162.在所述加密流量的会话不为新会话时，若所述加密流量中包含证书消息，确定所述加密流量为伪造流量。
163.计算机可读存储介质包括：永久性和非永久性、可移动和非可移动媒体，是可以保留和存储供指令执行设备所使用指令的有形设备。计算机可读存储介质包括：电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备以及上述任意合适的组合。计算机可读存储介质包括：相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、非易失性随机存取存储器(nvram)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带存储、磁带磁盘存储或其他磁性存储设备、记忆棒、机械编码装置(例如在其上记录有指令的凹槽中的穿孔卡或凸起结构)或任何其他非传输介质、可用于存储可以被计算设备访问的信息。按照本发明实施例中的界定，计算机可读存储介质不包括暂时信号本身，例如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如穿过光纤电缆的光脉冲)或通过导线传输的电信号。
164.在本技术所提供的几个实施例中，应该理解到，所披露的装置、电子设备和方法，可以通过其他的方式实现。例如，以上描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的、机械的或其他的形式连接。
165.所述作为分离部件说明的单元可以是或也可以不是物理上分开的，作为单元显示的部件可以是或也可以不是物理单元，既可以位于一个位置，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或全部单元来解决本发明实施例方案要解决的问题。
166.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
167.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术作出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(包括：个人计算机、服务器、数据中心或其他网络设备)执行本发明各个实施例所述方法的全部或部分步骤。而上述存储介质包括如前述所列举的各种可以存储程序代码的介质。
168.以上所述，仅为本发明实施例的具体实施方式，但本发明实施例的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明实施例披露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明实施例的保护范围之内。因此，本发明实施例的保护范围应以权利要求的保护范围为准。