一种通信监控方法、装置和系统与流程

1.本发明涉及计算机技术领域，尤其涉及一种通信监控方法、装置和系统。


背景技术：

2.当前，tls/ssl加密技术已广泛应用于互联网通信。其主要通过为通信双方建立tls/ssl加密隧道，以使通信双方通过该tls/ssl加密隧道进行机密通信。恶意攻击者、计算机病毒也同样使用tls/ssl加密技术进行攻击破坏、传输数据，使tls/ssl通信存在安全隐患。因此，需要对tls/ssl通信进行监控，以发现和阻断tls/ssl通信存在的隐患。
3.目前，针对tls/ssl通信监控的方式主要是，利用统计或者机器学习等算法，对加密流量通信双方节点特征(比如ip、证书信息、域名等)和通信流量特征(比如包大小、频次、时间等)等进行统计和学习，形成监控规则，再使用检测规则对全部流量进行检测。不管是统计算法还是机器学习算法所统计的样本都是有限的。现有通信监控的局限性，很难满足tls/ssl通信的场景具有多样性和变化性的需求，存在监控结果准确性较低的问题。


技术实现要素：

4.有鉴于此，本发明实施例提供一种通信监控方法、装置和系统，能够有效地提高监控结果准确性，从而有效地提高通信安全。
5.为实现上述目的，第一方面，本发明实施例提供了一种通信监控方法，包括：
6.响应于两个通信节点之间建立通信连接，获取与所述通信连接相关的流量数据；
7.从所述流量数据中提取节点特征信息；
8.基于所述节点特征信息以及预设的与所述通信连接相匹配的评估策略，评估所述通信连接的综合分数；
9.判断所述综合分数是否满足预设的与所述通信连接相匹配的通信安全条件，如果是，则确定所述通信连接安全；否则，确定所述通信连接存在风险。
10.可选地，所述从所述流量数据中提取节点特征信息，包括：
11.在所述流量数据中检测握手协议数据包；
12.从所述握手协议数据包中提取出源协议地址、目的协议地址、端口以及证书信息。
13.可选地，所述评估所述通信连接的综合分数，包括：
14.基于所述源协议地址、所述目的协议地址、所述端口以及所述证书信息，确定与所述通信连接相关的证书分数、地址分数以及信誉分数；
15.利用所述证书分数、所述地址分数、所述信誉分数以及所述评估策略配置的第一类权重系数组合，计算所述通信连接的综合分数。
16.可选地，所述确定与所述通信连接相关的证书分数，包括：
17.确定所述评估策略配置的所述证书分数的结构，其中，所述证书分数的结构包括：证书合法维度、证书有效维度、证书热度维度以及证书黑名单维度中的任意一个或多个维度以及第二类权重系数组合；
18.为所述证书分数的结构包括的每一个维度计算对应的维度分数；
19.根据所述证书分数的结构包括的每一个维度对应的维度分数以及所述第二类权重系数组合，计算所述证书分数。
20.可选地，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：
21.针对所述证书分数的结构包括证书合法维度的情况，
22.利用预设的根证书，验证所述证书信息的合法性；
23.根据验证的结果以及所述评估策略配置的证书合法性计算策略，计算证书合法性分数。
24.可选地，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：
25.针对所述证书分数的结构包括证书有效维度的情况，
26.判断所述证书信息包括的证书有效时间是否有效；
27.根据判断的结果和所述评估策略配置的有效性评分策略，计算证书有效期分数。
28.可选地，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：
29.针对所述证书分数的结构包括证书热度维度的情况，
30.在存储的历史数据中查找所述证书信息，并统计设定周期内所述证书信息的证书次数；
31.根据统计出的证书次数和所述评估策略配置的热度计算策略，计算证书热度分数。
32.可选地，所述为所述证书分数的结构包括的每一个维度计算对应的维度分数，包括：
33.针对所述证书分数的结构包括证书黑名单维度的情况，
34.在设置的证书黑名单中查找是否存在所述证书信息；
35.根据查找的结果和所述评估策略配置的证书黑名单计算策略，计算证书黑名单分数。
36.可选地，所述确定与所述通信连接相关的地址分数，包括：
37.确定所述评估策略配置的所述地址分数的结构，其中，所述地址分数的结构包括：链接对热度维度、服务热度维度、目的协议地址热度维度、源协议地址热度维度以及地址黑名单维度中的任意一个或多个维度以及第三类权重系数组合；
38.为所述地址分数的结构包括的每一个维度计算对应的维度分数；
39.根据所述地址分数的结构包括的每一个维度对应的维度分数以及所述第三类权重系数组合，计算所述地址分数。
40.可选地，
41.所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：
42.针对所述地址分数的结构包括链接对热度维度的情况，
43.在存储的历史数据中查找所述源协议地址、所述目的协议地址以及所述端口组成的链接对，并统计设定周期内查找出的所述链接对的次数；
44.根据查找出的所述链接对的次数以及所述评估策略配置的链接对热度计算策略，计算链接对热度分数。
45.可选地，
46.所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：
47.针对所述地址分数的结构包括服务热度维度的情况，
48.在存储的历史数据中查找所述目的协议地址以及所述端口组成的服务组合，并统计设定周期内查找出的所述服务组合的次数；
49.根据查找出的所述服务组合的次数以及所述评估策略配置的服务热度计算策略，计算服务热度分数。
50.可选地，所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：
51.针对所述地址分数的结构包括目的协议地址热度维度的情况，
52.在存储的历史数据中查找目的协议地址，并统计设定周期内查找出的所述目的协议地址的次数；
53.根据查找出的所述目的协议地址的次数以及所述评估策略配置的目的协议地址热度计算策略，计算目的协议地址热度分数。
54.可选地，所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：
55.针对所述地址分数的结构包括源协议地址热度维度的情况，
56.在存储的历史数据中查找源协议地址，并统计设定周期内查找出的所述源协议地址的次数；
57.根据查找出的所述源协议地址的次数以及所述评估策略配置的源协议地址热度计算策略，计算源协议地址热度分数。
58.可选地，所述为所述地址分数的结构包括的每一个维度计算对应的维度分数，包括：
59.针对所述地址分数的结构包括地址黑名单维度的情况，
60.在设置的地址黑名单中查找是否存在所述源协议地址和/或所述目的协议地址；
61.根据查找的结果和所述评估策略配置的地址黑名单计算策略，计算地址黑名单分数。
62.可选地，所述确定与所述通信连接相关的信誉分数，包括：
63.确定所述评估策略配置的所述地址信誉分数的结构，其中，所述信誉分数的结构包括：证书级别维度、证书签发机构维度、证书状态维度、地理位置维度、地址信誉维度以及时间维度中的任意一个或多个维度以及第四类权重系数组合；
64.为所述信誉分数的结构包括的每一个维度计算对应的维度分数；
65.根据所述信誉分数的结构包括的每一个维度对应的维度分数以及所述第四类权重系数组合，计算所述信誉分数。
66.可选地，所述为所述信誉分数的结构包括的每一个维度计算对应的维度分数，包括：
67.针对所述信誉分数的结构包括证书级别维度的情况，
68.确定所述证书信息对应的证书级别和证书类型；
69.根据确定出的所述证书级别、所述证书类型以及所述评估策略配置的级别计算策略，计算证书级别分数。
70.可选地，所述为所述信誉分数的结构包括的每一个维度计算对应的维度分数，包括：
71.针对所述信誉分数的结构包括证书签发机构维度的情况，
72.确定所述证书信息对应的签发机构；
73.根据确定出的所述签发机构以及所述评估策略配置的签发机构计算策略，计算签发机构分数。
74.可选地，所述为所述信誉分数的结构包括的每一个维度计算对应的维度分数，包括：
75.针对所述信誉分数的结构包括证书签发机构维度的情况，
76.确定所述证书信息的吊销情况；
77.根据确定出的吊销情况以及所述评估策略配置的证书状态计算策略，计算证书状态分数。
78.可选地，所述为所述信誉分数的结构包括的每一个维度计算对应的维度分数，包括：
79.针对所述信誉分数的结构包括证书签发机构维度的情况，
80.确定所述目标协议地址对应的域名信誉；
81.根据确定出的所述域名信誉以及所述评估策略配置的域名信誉计算策略，计算域名信誉分数。
82.可选地，所述为所述信誉分数的结构包括的每一个维度计算对应的维度分数，包括：
83.针对所述信誉分数的结构包括证书签发机构维度的情况，
84.确定所述目标协议地址对应的域名信誉；
85.根据确定出的所述域名信誉以及所述评估策略配置的域名信誉计算策略，计算域名信誉分数。
86.可选地，所述为所述信誉分数的结构包括的每一个维度计算对应的维度分数，包括：
87.针对所述信誉分数的结构包括地理位置维度的情况，
88.确定所述源协议地址和/或所述目的协议地址的地理位置；
89.根据所述源协议地址和/或所述目的协议地址的地理位置以及所述评估策略配置的地理位置计算策略，计算地理位置分数。
90.可选地，所述为所述信誉分数的结构包括的每一个维度计算对应的维度分数，包括：
91.针对所述信誉分数的结构包括地址信誉维度的情况，
92.确定所述源协议地址和/或所述目的协议地址的信誉情况；
93.根据所述源协议地址和/或所述目的协议地址的信誉情况以及所述评估策略配置的地址信誉计算策略，计算地址信誉分数。
94.可选地，所述为所述信誉分数的结构包括的每一个维度计算对应的维度分数，包括：
95.针对所述信誉分数的结构包括时间维度的情况，
96.确定所述目的协议地址的域名绑定时间；
97.根据所述目的协议地址的域名绑定时间以及所述评估策略配置的域名绑定计算策略，计算域名绑定时间分数。
98.可选地，通信监控方法，进一步包括：
99.提供多个配置项给客户端，以使所述客户端基于所述配置项为所述通信连接配置评估策略包括的配置信息；
100.接收所述客户端发送的多个所述配置项对应的配置信息；
101.将多个所述配置项对应的配置信息组合为与所述通信连接相匹配的评估策略。
102.可选地，所述配置信息，包括：
103.下述信息中的任意一项或多项：
104.第一类权重系数组合，证书分数的结构包含的多个证书维度和第二类权重系数组合，地址分数的结构包含的多个地址维度和第三类权重系数组合，以及地址信誉分数的结构包含的多个信誉维度和第四类权重系数组合。
105.可选地，所述与所述通信连接相匹配的通信安全条件，包括：
106.所述综合分数不小于预先配置的通信安全阈值；
107.或者，
108.所述综合分数不大于预先配置的通信安全阈值。
109.可选地，在所述确定所述通信连接存在风险之后，进一步包括：
110.阻断所述通信连接；
111.和/或，
112.对所述通信连接进行风险预警。
113.第二方面，本发明实施例提供一种通信监控装置，包括：
114.获取模块，响应于两个通信节点之间建立通信连接，获取与所述通信连接相关的流量数据；
115.评估模块，用于从所述流量数据中提取节点特征信息；基于所述节点特征信息以及预设的与所述通信连接相匹配的评估策略，评估所述通信连接的综合分数；
116.风险管理模块，用于判断所述综合分数是否满足预设的与所述通信连接相匹配的通信安全条件，如果是，则确定所述通信连接安全；否则，确定所述通信连接存在风险。
117.第三方面，本发明实施例提供一种通信监控系统，包括：多个通信节点以及上述第二方面实施例提供的通信监控装置。
118.可选地，通信监控系统进一步包括：配置客户端，其中，
119.所述配置客户端，用于接收用户配置的分别针对评估策略和通信安全条件的配置信息，将针对所述评估策略和所述通信安全条件的配置信息发送给所述通信监控装置；
120.所述通信监控装置，用于基于所述配置信息，确定出针对通信连接的评估策略和通信安全条件。
121.第四方面，本发明实施例提供一种电子设备。
122.一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现本发明实施例所提供的通信监控方法。
123.第五方面，本发明实施例提供一种计算机可读介质。
124.一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明实施例所提供的通信监控方法。
125.上述发明中的一个实施例具有如下优点或有益效果：由于评估通信连接的综合分数是基于从流量数据中提取的节点特征信息以及与通信连接相匹配的评估策略，使该综合分数能够更真实的反映通信连接的情况，因此，基于该综合分数判断通信连接是否安全或者存在风险，能够有效地提高监控结果准确性，从而有效地提高通信安全。
126.上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
127.附图用于更好地理解本发明，不构成对本发明的不当限定。其中：
128.图1是根据本发明一个实施例的通信监控方法的主要步骤示意图；
129.图2是根据本发明一个实施例的评估通信连接综合分数的主要步骤示意图；
130.图3是根据本发明一个实施例的计算证书分数的主要步骤示意图；
131.图4是根据本发明一个实施例的计算地址分数的主要步骤示意图；
132.图5是根据本发明一个实施例的计算信誉分数的主要步骤示意图；
133.图6是根据本发明一个实施例的配置评估策略的主要步骤示意图；
134.图7是根据本发明一个实施例的通信监控装置的主要模块示意图；
135.图8是根据本发明一个实施例的通信监控系统的主要构成示意图；
136.图9是根据本发明一个实施例的内网终端与外网服务器通信监控的主要流程示意图；
137.图10是根据本发明一个实施例的转账通信监控的主要流程示意图；
138.图11是本发明实施例可以应用于其中的示例性系统架构图；
139.图12是适于用来实现本发明实施例的终端设备/服务器的计算机系统的结构示意图。
具体实施方式
140.以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
141.目前常用的用于实现两个应用程序之间传输信息的应用层协议(http、ftp、smtp等)一般都存在着网络安全问题，例如http协议，在传输过程中使用的是明文信息，传输报文一旦被截获便会泄露传输内容；传输过程中报文如果被篡改，无法轻易发现。另外，http协议也无法保证消息交互的两端身份的可靠性。为了解决此类问题，目前主要通过在应用
层和传输层之间加入了tls/ssl协议。其中，tls(transport layer security，安全传输层)是建立在传输层tcp协议之上的协议，服务于应用层；ssl(secure socket layer，安全套接字层)实现了将应用层的报文进行加密后再交由tcp进行传输的功能。
142.即：在终端或者客户端与服务器之间传输信息过程中，可建立专门的tls/ssl加密隧道，以通过该tls/ssl加密隧道进行机密通信，第三方无法破解加密隧道和获取通信内容。比如，终端从邮件服务器获取邮件信息过程中，对邮件进行加密，加密后的邮件会通过终端与邮件服务器之间建立的加密通道从邮件服务器发送给终端。又比如，用户通过终端进行线上支付，对线上支付的信息如用户信息、支付金额等进行加密，并在终端与收款服务端之间建立一条加密隧道，以通过该加密隧道传输加密后的线上支付的信息等。
143.一般来说，通信双方(终端与服务器)之间建立的加密通道的合法性，是通信双方安全通信的基础。该加密通道的合法性，则可根据用户不同需求，设置不同的通信合法规范。比如，某一企业设置内网终端与内网服务器之间建立加密通道，定义为合法；内网终端与外网服务器之间建立加密通道，定义为不合法。因此，检测不合法的加密通道是保证数据安全的基础。
144.目前利用统计或者机器学习等算法，对加密流量通信双方节点特征(比如ip、证书信息、域名等)和通信流量特征(比如包大小、频次、时间等)等进行统计和学习，形成监控规则，再使用检测规则对全部流量进行检测，虽然可以适用于大部分的检测，但是，由于tls/ssl通信的场景具有多样性和变化性，现有的检测方式对某种场景的通信检测，可能存在漏报、误报多等问题。另外，由于现有检测方式需要采集大量的样本特征，而且涉及的特征比较多，导致检测过程资源消耗比较大，无法高效准确的检测tls/ssl非法加密隧道。
145.基于现有通信监控存在的问题，本发明实施例提供一种通信监控方法、装置和系统。其中，在该通信监控、装置和系统中，所涉及的两个通信节点可以为终端与服务端之间进行通信，也可以为服务端与服务端之间进行通信。
146.其中，两个通信节点中一个通信节点为源端，另一个通信节点为目的端。其中，两个通信节点中，源端一般是主动发起连接请求的一个通信节点；目的端一般为接收连接请求的另一个通信节点。该源端对应的通信节点可以为终端，也可以为服务端；相应地，目的端对应的通信节点可以为服务端，也可以为终端。比如，邮件服务器通过加密隧道发送邮件给终端，则该邮件服务器为源端，接收邮件的终端为目的端，又比如，终端发送支付信息给收款服务器，则该终端为源端，收款服务器为目的端。相应地，源协议地址则为源端的协议地址，目的协议地址则为目的端对应的协议地址。证书信息一般ca认证机构或者ca授权机构为服务器所颁发的证书的相关信息。
147.图1是根据本发明一个实施例的一种通信监控方法的主要步骤示意图。如图1所示，本发明一个实施例的一种通信监控方法主要包括如下步骤。
148.步骤s101：响应于两个通信节点之间建立通信连接，获取与通信连接相关的流量数据；
149.一般来说，如果两个通信节点通过tls/ssl协议进行通信，则该两个通信节点首先需要通过tls/ssl握手协议建立tls/ssl加密隧道，后续通过该tls/ssl加密隧道进行流量数据的传输。
150.在该步骤中，可采用镜像或串接串路等方式监控一个通信节点向另一个通信节点
发送的流量数据，在监控到握手流量数据时，确定两个通信节点之间建立通信连接。
151.获取与通信连接相关的流量数据具体为：采用镜像、串接线路等方式获取tls/ssl加密隧道中的流量数据或者获取tls/ssl握手协议第一包“clienthello”包。
152.其中，在本实施例中，通信连接的两个通信节点可以均为服务器；也可以为一个通信节点是终端或者客户端，另一个通信节点是服务器。一般来说，本发明实施例提供的通信监控方法是对两个监控节点中的一个监控节点的流量数据进行监控。
153.其中，两个通信节点之间建立通信连接一般是指该通信监控方法所监控的通信节点与其他通信节点中的任一通信节点之间建立通信隧道。
154.步骤s102：从流量数据中提取节点特征信息；
155.该步骤的具体实施方式可包括：在流量数据中检测握手协议数据包；从握手协议数据包中提取出源协议地址、目的协议地址、端口以及证书信息。其中，该握手协议数据包可为tls/ssl握手协议第一包“clienthello”包以及tls/ssl握手协议“certifacate”包信息。节点特征信息可包括：源协议地址、目的协议地址、端口、证书信息以及提取这些信息的当前时间。其中，源协议地址、目的协议地址以及端口可以从tls/ssl握手协议第一包“clienthello”包中提取，证书信息可以从tls/ssl握手协议“certifacate”信息中提取。
156.其中，源协议地址是指，通信连接的两个通信节点中发起通信连接的通信节点的ip地址。目的协议地址是指，通信连接的两个通信节点中接收通信连接的通信节点的ip地址。端口是指，通信连接所依赖的端口号。即该节点特征信息为两个通信节点的tcp连接四元组信息(两个通信节点的ip地址以及端口号)。
157.另外，节点特征信息还可包括：节点地理位置、节点信誉信息等。
158.在该步骤中提取的节点特征信息可根据与通信连接相匹配的评估策略所需的节点特征信息进行提取，也可根据用户需求配置进行提取。
159.步骤s103：基于节点特征信息以及预设的与通信连接相匹配的评估策略，评估通信连接的综合分数；
160.该与通信连接相匹配的评估策略可以是专门为通信连接的任一通信节点配置的评估策略，也可以是为通信连接的任一通信节点所在网络配置的评估策略，还可以是通信监控装置或系统设置的初始的评估策略等。因此，该评估策略具有比较好的配置灵活性，能够比较贴合通信连接的需求。
161.由于节点特征信息包括源协议地址、目的协议地址、端口、证书信息等，这些节点特征信息能够比较真实的反映通信节点的特征，因此，通过节点特征信息以及与通信连接相匹配的评估策略，能够保证评估结果能够比较真实以及准确地反映通信连接的情况。
162.另外，由于该评估过程主要涉及节点特征信息，而无须对流量数据整体分析，能够大大降低计算资源的开销。
163.步骤s104：判断综合分数是否满足预设的与通信连接相匹配的通信安全条件，如果是，则执行步骤s105；否则，执行步骤s106；
164.该步骤的通信安全条件可以是综合分数不小于预先配置的通信安全阈值；或者，综合分数不大于预先配置的通信安全阈值。该通信安全阈值可根据通信连接本身特性或者通信连接所在网络的特性进行相应地配置，使该通信安全条件能够比较好的贴合不同通信连接的需求，从而进一步提高通信监控结果的准确性以及通信的安全性。
165.步骤s105：确定通信连接安全，并结束当前流程；
166.步骤s106：确定通信连接存在风险。
167.如果确定通信连接存在风险，则可进一步阻断通信连接；和/或，对通信连接进行风险预警。该风险预警可以通过邮件、短信通知等方式通知通信安全管理人员。
168.根据图1所示实施例，由于评估通信连接的综合分数是基于从流量数据中提取的节点特征信息以及与通信连接相匹配的评估策略，使该综合分数能够更真实的反映通信连接的情况，因此，基于该综合分数判断通信连接是否安全或者存在风险，能够有效地提高监控结果准确性，从而有效地提高通信安全。
169.综上可知，本发明实施例提供的方案以tls/ssl加密隧道为单位对，tls/ssl加密隧道进行综合评估。同时，每条tls/ssl加密隧道只分析建链阶段，无需进行全流量规则学习和检测，可高效检测tls/ssl非法加密隧道。其可应用于高安全区域主动向外部建立链接传输数据场景比如安全性要求比较高的企业如银行、证券公司等的内网主动向外网传输数据等，根据通信连接的特点为通信连接设置对应的评估策略，以更有效地检测出非法加密隧道。
170.在本发明实施例中，如图2所示，上述步骤s103的具体实施方式可包括如下步骤：
171.步骤s201：基于源协议地址、目的协议地址、端口以及证书信息，确定与通信连接相关的证书分数、地址分数以及信誉分数；
172.步骤s202：利用证书分数、地址分数、信誉分数以及评估策略配置的第一类权重系数组合，计算通信连接的综合分数。
173.该证书分数、地址分数以及信誉分数能够比较全面的评估通信连接的安全性。其中，第一类权重系数组合是指在计算综合分数过程中证书分数、地址分数、信誉分数分别对应的权重系数的组合，该权重系数可以根据实际情况进行相应地配置，也可以选择该第一类权重系数组合中各种权重的初始值。
174.其中，该步骤s202可通过下述计算公式(1)，计算综合分数。
[0175][0176]
其中，f表征综合分数；i表征分数类型(该分数类型为证书分数、地址分数、信誉分数中的一种；比如：i＝1表征分数类型为证书分数，i＝2表征分数类型为地址分数，i＝3表征分数类型为信誉分数)；αi表征第一类权重系数组合中分数类型i对应的权重系数；fi表征分数类型i对应的具体分值。
[0177]
其中，分数类型i对应的权重系数可以根据需求设定任意值，比如-1，-0.2，0，0.5，1，2等。
[0178]
其中，各个分数类型(证书分数、地址分数、信誉分数)的权重系数均不大于0或者均不小于0，且各个分数类型的权重系数不全部为0。另外，一般来说，在各个分数类型(证书分数、地址分数、信誉分数)的权重系数均不大于0的情况，综合分数越小安全性越高，综合分数越大安全性越低。相反地，在各个分数类型(证书分数、地址分数、信誉分数)的权重系数均不小于0的情况，综合分数越大安全性越高，综合分数越小安全性越低。
[0179]
具体地，如图3所示，上述确定与通信连接相关的证书分数的具体实施方式可包括如下步骤：
[0180]
步骤s301：确定评估策略配置的证书分数的结构，其中，证书分数的结构包括：证
书合法维度、证书有效维度、证书热度维度以及证书黑名单维度中的任意一个或多个维度以及第二类权重系数组合；
[0181]
该评估策略配置的证书分数的结构可以是用户根据通信节点或者通信节点所在网络，进行相应配置的。比如，通信监控装置为用户提供证书合法维度、证书有效维度、证书热度维度以及证书黑名单维度，用户可以从这些维度中选择其配置的证书分数的结构所包括的维度，相应地，第二类权重系数组合为配置的各个维度对应的权重系数的组合。比如，内网a的评估策略配置的证书分数的结构包括证书合法维度、证书有效维度、证书热度维度，相应地，第二权重系数组合包括：证书合法维度对应的权重系数、证书有效维度对应的权重系数以及证书热度维度对应的权重系数。则该内网a内的各个通信节点对应的评估策略配置的证书分数的结构则均为该内网a的评估策略配置的证书分数的结构。又比如，内网b的评估策略配置的证书分数的结构包括证书合法维度、证书有效维度、证书热度维度以及证书黑名单维度，相应地，第二权重系数组合包括：证书合法维度对应的权重系数、证书有效维度对应的权重系数、证书热度维度对应的权重系数以及证书黑名单维度对应的权重系数。则该内网b内的各个通信节点对应的评估策略配置的证书分数的结构则均为该内网b的评估策略配置的证书分数的结构。
[0182]
步骤s302：为证书分数的结构包括的每一个维度计算对应的维度分数；
[0183]
该步骤的具体实施方式可包括：
[0184]
针对证书分数的结构包括证书合法维度的情况，利用预设的根证书，验证证书信息的合法性；根据验证的结果以及评估策略配置的证书合法性计算策略，计算证书合法性分数。
[0185]
一般来说，证书一般由根证书或者根证书授权的中间证书进行授权，因此，根据根证书验证证书信息的合法性可以保证合法性验证的准确性。该验证过程可以选用现有的验证方式实现。
[0186]
该证书合法性计算策略可根据用户需求进行相应地设置。验证的结果可以为合法或者非法，比如，证书合法性计算策略为：验证的结果指示证书信息合法，则为该证书信息分配证书合法性分数a；验证的结果指示证书信息非法，则为该证书信息分配证书合法性分数0。证书合法性计算策略还可为：针对验证的结果指示证书信息合法，利用设置的包含验证的结果指示证书信息合法对应的参数的计算公式s1，计算该证书信息分配证书合法性分数；针对验证的结果指示证书信息非法，利用设置的包含验证的结果指示证书信息非法对应的参数的计算公式s2，计算该证书信息分配证书合法性分数。该计算公式s1和s2可根据用户需求进行设置。
[0187]
针对证书分数的结构包括证书有效维度的情况，判断证书信息包括的证书有效时间是否有效；根据判断的结果和评估策略配置的有效性评分策略，计算证书有效期分数。该有效性评分策略可以为：证书有效时间有效则分配证书有效期分数b1，证书有效时间无效则分配证书有效期分数0。该有效性评分策略还可以为：证书有效时间有效则分配证书有效期分数b2；证书有效时间无效且无效时长小于c1则分配证书有效期分数b3；证书有效时间无效，无效时长大于或等于c1则分配证书有效期分数b4等。该评估策略配置的有效性评分策略还可根据用户需求进行其他配置。
[0188]
针对证书分数的结构包括证书热度维度的情况，在存储的历史数据中查找证书信
息，并统计设定周期内证书信息的证书次数；根据统计出的证书次数和评估策略配置的热度计算策略，计算证书热度分数。
[0189]
其中，历史数据是通信监控装置将其监控的流量数据的相关信息比如通信节点的ip、端口号、证书信息、流量数据的采集时间等。该设定周期可以根据需求进行相应地设置比如24h、48h等。证书次数是指在设定周期内某一证书出现的次数。
[0190]
该热度计算策略可以为：证书次数转换为证书热度分数(证书次数的数值等于证书热度分数的数值)。该热度计算策略还可以为：证书次数在证书次数范围[o1，o2]，对应证书热度分数p1；该热度计算策略还可以为：证书次数在证书次数范围(o2，o3]，对应证书热度分数p2；证书次数在证书次数范围(o3，o4]，对应证书热度分数p3等，其中，o1《o2《o3《o4。该评估策略配置的热度计算策略还可根据用户需求进行其他配置。
[0191]
针对证书分数的结构包括证书黑名单维度的情况，在设置的证书黑名单中查找是否存在证书信息；根据查找的结果和评估策略配置的证书黑名单计算策略，计算证书黑名单分数。该评估策略配置的证书黑名单计算策略可以为：查找的结果指示证书信息不在黑名单中，则分配该证书黑名单分数为h，查找的结果指示证书信息在黑名单中，则分配该证书黑名单分数为0。
[0192]
步骤s303：根据证书分数的结构包括的每一个维度对应的维度分数以及第二类权重系数组合，计算证书分数。
[0193]
该步骤s303可通过计算公式(2)，计算该证书分数。
[0194][0195]
其中，f1表征证书分数；j表征配置的证书分数的结构包括的第j个维度；βj表征第二类权重系数组合中第j个维度对应的权重系数；zj表征第j个维度的具体分值；n表征配置的证书分数的结构包括的维度的个数。
[0196]
具体地，如图4所示，上述确定与所述通信连接相关的地址分数的具体实施方式可包括如下步骤：
[0197]
步骤s401：确定评估策略配置的地址分数的结构，其中，地址分数的结构包括：链接对热度维度、服务热度维度、目的协议地址热度维度、源协议地址热度维度以及地址黑名单维度中的任意一个或多个维度以及第三类权重系数组合；
[0198]
步骤s402：为地址分数的结构包括的每一个维度计算对应的维度分数；
[0199]
该步骤s402的具体实施方式可包括：
[0200]
针对地址分数的结构包括链接对热度维度的情况，在存储的历史数据中查找源协议地址、目的协议地址以及端口(端口号)组成的链接对，并统计设定周期内查找出的链接对的次数；根据查找出的链接对的次数以及评估策略配置的链接对热度计算策略，计算链接对热度分数。该热度计算策略可以根据用户或者网络需求进行相应地设置。比如，链接对热度计算策略可为：将链接对的次数直接作为链接对热度分数。链接对热度计算策略还可为：链接对的次数在[y1，y2]范围内，分配链接对热度分数g1；链接对的次数在(y2，y3]范围内，分配链接对热度分数g2等，其中，y1《y2《y3。一般可设置链接对的次数越高，链接对热度分数越高。
[0201]
值得说明的是，上述链接对的次数在[y1，y2]范围内，分配链接对热度分数g1；链接对的次数在(y2，y3]范围内，分配链接对热度分数g2等仅是一种示例。针对链接对热度计
算策略基于链接对的次数的取值区间配置链接对热度分数的情况，该取值区间的个数可以根据实际情况进行设置，并不仅限定为2个。
[0202]
针对地址分数的结构包括服务热度维度的情况，在存储的历史数据中查找目的协议地址以及端口组成的服务组合，并统计设定周期内查找出的服务组合的次数；根据查找出的服务组合的次数以及评估策略配置的服务热度计算策略，计算服务热度分数。该服务热度计算策略可以根据用户或者网络需求进行相应地设置。比如，服务热度计算策略可为：服务组合的次数直接作为服务热度分数。服务热度计算策略还可为：服务组合的次数在[r1，r2]范围内，分配服务热度分数t1；服务组合的次数在(r2，r3]范围内，分配服务热度分数t2等，其中，r1《r2《r3。一般可设置服务组合的次数越高，服务热度分数越高。
[0203]
值得说明的是，上述服务组合的次数在[r1，r2]范围内，分配服务热度分数t1；服务组合的次数在(r2，r3]范围内，分配服务热度分数t2等仅是一种示例。针对服务热度计算策略基于服务组合的次数的取值区间配置服务热度分数的情况，该取值区间的个数可以根据实际情况进行设置，并不仅限定为2个。
[0204]
针对地址分数的结构包括目的协议地址热度维度的情况，在存储的历史数据中查找目的协议地址，并统计设定周期内查找出的目的协议地址的次数；根据查找出的目的协议地址的次数以及评估策略配置的目的协议地址热度计算策略，计算目的协议地址热度分数。该目的协议地址热度计算策略可以根据用户或者网络需求进行相应地设置。比如，该目的协议地址热度计算策略可与上述服务热度计算策略、链接对热度计算策略等的配置方式类似，在此不再赘述。
[0205]
针对地址分数的结构包括源协议地址热度维度的情况，在存储的历史数据中查找源协议地址，并统计设定周期内查找出的源协议地址的次数；根据查找出的源协议地址的次数以及评估策略配置的源协议地址热度计算策略，计算源协议地址热度分数。该源协议地址热度计算策略可以根据用户或者网络需求进行相应地设置。比如，该源协议地址热度计算策略可与上述服务热度计算策略、链接对热度计算策略等的配置方式类似，在此不再赘述。
[0206]
针对地址分数的结构包括地址黑名单维度的情况，在设置的地址黑名单中查找是否存在源协议地址和/或目的协议地址；根据查找的结果和评估策略配置的地址黑名单计算策略，计算地址黑名单分数。该地址黑名单计算策略可以为黑名单中包括目的协议地址，则该地址黑名单分数为0，黑名单中不包括目的协议地址，则该地址黑名单分数为k等，另外，该地址黑名单计算策略还可根据实际需求进行相应地配置。
[0207]
步骤s403：根据地址分数的结构包括的每一个维度对应的维度分数以及第三类权重系数组合，计算地址分数。
[0208]
该计算地址分数也可通过对各个维度分数与第三权重系数组合中包括的该维度的权重系数的乘积的结果进行累加得到。
[0209]
具体地，如图5所示，上述确定与所述通信连接相关的信誉分数的具体实施方式可包括如下步骤：
[0210]
步骤s501：确定评估策略配置的地址信誉分数的结构，其中，信誉分数的结构包括：证书级别维度、证书签发机构维度、证书状态维度、地理位置维度、地址信誉维度以及时间维度中的任意一个或多个维度以及第四类权重系数组合；
[0211]
步骤s502：为信誉分数的结构包括的每一个维度计算对应的维度分数；
[0212]
针对信誉分数的结构包括证书级别维度的情况，确定证书信息对应的证书级别和证书类型；根据确定出的证书级别、证书类型以及评估策略配置的级别计算策略，计算证书级别分数。该证书级别分为ev、ov、dv等，该证书类型可以为单一域名证书、多域名证书、泛域名证书。级别计算策略可以是：为不同证书级别分配对应的分数以及为不同证书类型分配对应的分数，通过对证书级别对应的分数和证书类型对应的分数求和得到该证书级别分数。另外，该级别计算策略还可根据实际需求进行相应地设置。
[0213]
针对信誉分数的结构包括证书签发机构维度的情况，确定证书信息对应的签发机构；根据确定出的签发机构以及评估策略配置的签发机构计算策略，计算签发机构分数。比如，签发机构计算策略可为：签发机构属于用户配置的可信的签发机构，则确定该签发机构分数为l，签发机构不属于用户配置的可信的签发机构，则确定该签发机构分数为0等。另外，该签发机构计算策略还可根据实际需求进行相应地设置。
[0214]
针对信誉分数的结构包括证书签发机构维度的情况，确定证书信息的吊销情况；根据确定出的吊销情况以及评估策略配置的证书状态计算策略，计算证书状态分数。比如，该证书状态计算策略可为：证书信息的未被吊销，则确定该证书状态分数为q，证书信息的被吊销，则确定该证书状态分数为0等。另外，该证书状态计算策略还可根据实际需求进行相应地设置。
[0215]
针对信誉分数的结构包括证书签发机构维度的情况，确定目标协议地址对应的域名信誉；根据确定出的域名信誉以及评估策略配置的域名信誉计算策略，计算域名信誉分数。其中，该域名信誉可以来源于其他系统评估出的域名的信誉，也可以是通信监控装置自身对域名进行信誉评估的结果。
[0216]
针对信誉分数的结构包括地理位置维度的情况，确定源协议地址和/或目的协议地址的地理位置；根据源协议地址和/或目的协议地址的地理位置以及评估策略配置的地理位置计算策略，计算地理位置分数。该地理位置计算策略可以为：源协议地址和/或目的协议地址的地理位置不在经常出现的地理位置，则为该地理位置分数分配较低的分值，源协议地址和/或目的协议地址的地理位置在经常出现的地理位置，则为该地理位置分数分配较高的分值等。
[0217]
针对信誉分数的结构包括地址信誉维度的情况，确定源协议地址和/或目的协议地址的信誉情况；根据源协议地址和/或目的协议地址的信誉情况以及评估策略配置的地址信誉计算策略，计算地址信誉分数。源协议地址和/或目的协议地址的信誉情况可从外部信誉评估系统获得，也可根据通信监控装置设置的信誉评估规则对源协议地址和/或目的协议地址的信誉进行评估。该信誉评估过程可通过现有的信誉评估技术实现。
[0218]
针对信誉分数的结构包括时间维度的情况，确定目的协议地址的域名绑定时间；根据目的协议地址的域名绑定时间以及评估策略配置的域名绑定计算策略，计算域名绑定时间分数。比如，域名绑定计算策略为域名绑定时间越长，域名绑定时间分数越高等。
[0219]
步骤s503：根据信誉分数的结构包括的每一个维度对应的维度分数以及第四类权重系数组合，计算信誉分数。
[0220]
该计算信誉分数也可通过对信誉分数的结构包括的各个维度分数与第四权重系数组合中包括的该维度的权重系数的乘积的结果进行累加得到。
[0221]
在本发明实施例中，如图6所示，上述通信监控方法可进一步包括如下步骤：
[0222]
步骤s601：提供多个配置项给客户端，以使客户端基于配置项为通信连接配置评估策略包括的配置信息；
[0223]
为了得到上述各个实施例所需的第一类权重系数组合、证书分数的结构包含的多个证书维度和第二类权重系数组合、地址分数的结构包含的多个地址维度和第三类权重系数组合以及地址信誉分数的结构包含的多个信誉维度和第四类权重系数组合等，通过客户端为用户提供的多个配置项可包括：
[0224]
对应于第一类权重系数组合的多个第一权重配置项；对应于证书分数的结构的多个可选证书维度配置项；对应于证书分数的结构的第二类权重系数组合包含的多个第二权重配置项；对应于地址分数的结构的多个可选地址维度配置项；对应于地址分数的结构包含的第三类权重系数组合的多个第三权重配置项，以及对应于地址信誉分数的结构的多个可选信誉维度配置项；对应于地址信誉分数的结构的第四类权重系数组合包括的多个第四权重配置项。
[0225]
相应地，配置信息可包括下述信息的多种：
[0226]
通过多个第一权重配置项配置的权重组成的第一类权重系数组合；通过多个可选证书维度配置项配置的证书维度；通过多个第二权重配置项配置的权重组成的第二类权重系数组合；通过多个可选地址维度配置项配置的地址维度；通过多个第三权重配置项配置的权重组成的第三类权重系数组合；通过多个可选信誉维度配置项配置的信誉维度；通过多个第四权重配置项配置的权重组成的第四类权重系数组合。
[0227]
值得说明的是，上述通过多个可选证书维度配置项配置的证书维度以及通过多个第二权重配置项配置的权重组成的第二类权重系数组合构成上述实施例的证书分数的结构的一部分；上述通过多个可选地址维度配置项配置的地址维度以及通过多个第三权重配置项配置的权重组成的第三类权重系数组合构成上述实施例的地址分数的结构的一部分；上述通过多个可选信誉维度配置项配置的信誉维度以及通过多个第四权重配置项配置的权重组成的第四类权重系数组合构成上述实施例的地址信誉分数的结构的一部分。
[0228]
步骤s602：接收客户端发送的多个配置项对应的配置信息；
[0229]
步骤s603：将多个配置项对应的配置信息组合为与通信连接相匹配的评估策略。
[0230]
通过该配置信息可以灵活的为通信连接配置所需的评估策略，以更好的满足通信连接安全性的评估需求。
[0231]
值得说明的是，上述各个实施例提供的通信监控方法可通过网关或者中转节点或者代理节点实现。
[0232]
图7是根据本发明一个实施例的通信监控装置的主要模块示意图。
[0233]
如图7所示，本发明一个实施例的通信监控装置700主要包括：获取模块701、评估模块702以及风险管理模块703，其中，
[0234]
获取模块701，响应于两个通信节点之间建立通信连接，获取与通信连接相关的流量数据；
[0235]
评估模块702，用于从流量数据中提取节点特征信息；基于节点特征信息以及预设的与通信连接相匹配的评估策略，评估通信连接的综合分数；
[0236]
风险管理模块703，用于判断综合分数是否满足预设的与通信连接相匹配的通信
安全条件，如果是，则确定通信连接安全；否则，确定通信连接存在风险。
[0237]
在本发明实施例中，评估模块702，进一步用于在流量数据中检测握手协议数据包；从握手协议数据包中提取出源协议地址、目的协议地址、端口以及证书信息。
[0238]
在本发明实施例中，评估模块702，进一步用于基于源协议地址、目的协议地址、端口以及证书信息，确定与通信连接相关的证书分数、地址分数以及信誉分数；利用证书分数、地址分数、信誉分数以及评估策略配置的第一类权重系数组合，计算通信连接的综合分数。
[0239]
在本发明实施例中，评估模块702，进一步用于确定评估策略配置的证书分数的结构，其中，证书分数的结构包括：证书合法维度、证书有效维度、证书热度维度以及证书黑名单维度中的任意一个或多个维度以及第二类权重系数组合；为证书分数的结构包括的每一个维度计算对应的维度分数；根据证书分数的结构包括的每一个维度对应的维度分数以及第二类权重系数组合，计算证书分数。
[0240]
在本发明实施例中，评估模块702，进一步用于针对证书分数的结构包括证书合法维度的情况，利用预设的根证书，验证证书信息的合法性；根据验证的结果以及评估策略配置的证书合法性计算策略，计算证书合法性分数。
[0241]
在本发明实施例中，评估模块702，进一步用于针对证书分数的结构包括证书有效维度的情况，判断证书信息包括的证书有效时间是否有效；根据判断的结果和评估策略配置的有效性评分策略，计算证书有效期分数。
[0242]
在本发明实施例中，评估模块702，进一步用于针对证书分数的结构包括证书热度维度的情况，在存储的历史数据中查找证书信息，并统计设定周期内证书信息的证书次数；根据统计出的证书次数和评估策略配置的热度计算策略，计算证书热度分数。
[0243]
在本发明实施例中，评估模块702，进一步用于针对证书分数的结构包括证书黑名单维度的情况，在设置的证书黑名单中查找是否存在证书信息；根据查找的结果和评估策略配置的证书黑名单计算策略，计算证书黑名单分数。
[0244]
在本发明实施例中，评估模块702，进一步用于确定评估策略配置的地址分数的结构，其中，地址分数的结构包括：链接对热度维度、服务热度维度、目的协议地址热度维度、源协议地址热度维度以及地址黑名单维度中的任意一个或多个维度以及第三类权重系数组合；为地址分数的结构包括的每一个维度计算对应的维度分数；根据地址分数的结构包括的每一个维度对应的维度分数以及第三类权重系数组合，计算地址分数。
[0245]
在本发明实施例中，评估模块702，进一步用于针对地址分数的结构包括链接对热度维度的情况，在存储的历史数据中查找源协议地址、目的协议地址以及端口组成的链接对，并统计设定周期内查找出的链接对的次数；根据查找出的链接对的次数以及评估策略配置的链接对热度计算策略，计算链接对热度分数。
[0246]
在本发明实施例中，评估模块702，进一步用于针对地址分数的结构包括服务热度维度的情况，在存储的历史数据中查找目的协议地址以及端口组成的服务组合，并统计设定周期内查找出的服务组合的次数；根据查找出的服务组合的次数以及所述评估策略配置的服务热度计算策略，计算服务热度分数。
[0247]
在本发明实施例中，评估模块702，进一步用于针对地址分数的结构包括目的协议地址热度维度的情况，在存储的历史数据中查找目的协议地址，并统计设定周期内查找出
的目的协议地址的次数；根据查找出的目的协议地址的次数以及评估策略配置的目的协议地址热度计算策略，计算目的协议地址热度分数。
[0248]
在本发明实施例中，评估模块702，进一步用于针对地址分数的结构包括源协议地址热度维度的情况，在存储的历史数据中查找源协议地址，并统计设定周期内查找出的源协议地址的次数；根据查找出的源协议地址的次数以及评估策略配置的源协议地址热度计算策略，计算源协议地址热度分数。
[0249]
在本发明实施例中，评估模块702，进一步用于针对地址分数的结构包括地址黑名单维度的情况，在设置的地址黑名单中查找是否存在源协议地址和/或目的协议地址；根据查找的结果和评估策略配置的地址黑名单计算策略，计算地址黑名单分数。
[0250]
在本发明实施例中，评估模块702，进一步用于确定评估策略配置的地址信誉分数的结构，其中，信誉分数的结构包括：证书级别维度、证书签发机构维度、证书状态维度、地理位置维度、地址信誉维度以及时间维度中的任意一个或多个维度以及第四类权重系数组合；为信誉分数的结构包括的每一个维度计算对应的维度分数；根据信誉分数的结构包括的每一个维度对应的维度分数以及第四类权重系数组合，计算信誉分数。
[0251]
在本发明实施例中，评估模块702，进一步用于针对信誉分数的结构包括证书级别维度的情况，确定证书信息对应的证书级别和证书类型；根据确定出的证书级别、证书类型以及评估策略配置的级别计算策略，计算证书级别分数。
[0252]
在本发明实施例中，评估模块702，进一步用于针对信誉分数的结构包括证书签发机构维度的情况，确定证书信息对应的签发机构；根据确定出的签发机构以及评估策略配置的签发机构计算策略，计算签发机构分数。
[0253]
在本发明实施例中，评估模块702，进一步用于针对信誉分数的结构包括证书签发机构维度的情况，确定证书信息的吊销情况；根据确定出的吊销情况以及评估策略配置的证书状态计算策略，计算证书状态分数。
[0254]
在本发明实施例中，评估模块702，进一步用于针对信誉分数的结构包括证书签发机构维度的情况，确定证书信息的吊销情况；根据确定出的吊销情况以及评估策略配置的证书状态计算策略，计算证书状态分数。
[0255]
在本发明实施例中，评估模块702，进一步用于针对信誉分数的结构包括证书签发机构维度的情况，确定目标协议地址对应的域名信誉；根据确定出的域名信誉以及评估策略配置的域名信誉计算策略，计算域名信誉分数。
[0256]
在本发明实施例中，评估模块702，进一步用于针对信誉分数的结构包括地理位置维度的情况，确定源协议地址和/或目的协议地址的地理位置；根据源协议地址和/或目的协议地址的地理位置以及评估策略配置的地理位置计算策略，计算地理位置分数。
[0257]
在本发明实施例中，评估模块702，进一步用于针对信誉分数的结构包括地址信誉维度的情况，确定源协议地址和/或目的协议地址的信誉情况；根据源协议地址和/或目的协议地址的信誉情况以及评估策略配置的地址信誉计算策略，计算地址信誉分数。
[0258]
在本发明实施例中，评估模块702，进一步用于针对信誉分数的结构包括时间维度的情况，确定目的协议地址的域名绑定时间；根据目的协议地址的域名绑定时间以及评估策略配置的域名绑定计算策略，计算域名绑定时间分数。
[0259]
在本发明实施例中，如图7所示，上述通信监控装置可进一步包括：交互模块704，
其中，
[0260]
交互模块704，用于提供多个配置项给客户端，以使客户端基于配置项为通信连接配置评估策略包括的配置信息；接收客户端发送的多个配置项对应的配置信息；将多个配置项对应的配置信息组合为与通信连接相匹配的评估策略。
[0261]
在本发明实施例中，配置信息可包括：第一类权重系数组合、证书分数的结构、地址分数的结构以及地址信誉分数的结构。
[0262]
在本发明实施例中，风险管理模块703设置的与通信连接相匹配的通信安全条件可包括：综合分数不小于预先配置的通信安全阈值；或者，综合分数不大于预先配置的通信安全阈值。
[0263]
在本发明实施例中，风险管理模块703，进一步用于阻断通信连接；和/或，对通信连接进行风险预警。
[0264]
上述通信监控装置可设置在网关或者中转节点或者代理节点。
[0265]
如图8所示，本发明实施例提供一种通信监控系统800，该通信监控系统800包括：多个通信节点801以及上述任一实施例提供的通信监控装置700，其中，
[0266]
通信监控装置700，用于监控多个通信节点801中任意两个通信节点801之间的通信流量。
[0267]
在本发明实施例中，如图8所示，该通信监控系统800还可进一步包括：配置客户端802，其中，
[0268]
配置客户端802，用于接收用户配置的分别针对评估策略和通信安全条件的配置信息，将针对评估策略和通信安全条件的配置信息发送给通信监控装置700；
[0269]
通信监控装置700，用于基于配置信息，确定出针对通信连接的评估策略和通信安全条件。
[0270]
为了能够清楚地说明本发明实施例提供的通信监控方法，下面分别以公司内终端访问外网服务器以及终端与服务器交互完成转账业务这两个场景为例，详细说明通信监控系统包括的各个设备之间的交互过程。
[0271]
其中，针对公司内终端访问外网服务器这一应用场景来说，其对应的通信监控系统可包括：通信节点(比如，内网终端和外网服务器)、通信监控装置。
[0272]
如图9所示，针对内网终端访问外网服务器这一应用场景来说，通信监控方法可包括如下步骤：
[0273]
步骤s901：配置客户端接收管理员为内网配置的评估策略以及通信安全条件；
[0274]
步骤s902：配置客户端将内网配置的评估策略以及通信安全条件发送给通信监控装置；
[0275]
步骤s903：内网终端与外网服务器之间建立tsl/ssl通信连接；通信监控装置获取内网终端与外网服务器之间的流量数据；
[0276]
步骤s904：通信监控装置从流量数据中提取内网终端的协议地址、外网服务器的协议地址、外网服务器的端口号以及外网服务器的证书信息；
[0277]
步骤s905：通信监控装置基于内网终端的协议地址、外网服务器的协议地址、外网服务器的端口号、外网服务器的证书信息以及配置的评估策略，确定与通信连接相关的证书分数、地址分数以及信誉分数；
[0278]
步骤s906：通信监控装置利用证书分数、地址分数、信誉分数以及评估策略配置的第一类权重系数组合，计算通信连接的综合分数；
[0279]
步骤s907：通信监控装置判断综合分数是否满足预设的与通信连接相匹配的通信安全条件，如果是，则执行步骤s908；否则，执行步骤s910；
[0280]
步骤s908：通信监控装置确定通信连接安全；
[0281]
步骤s909：内网终端与外网服务器之间继续传输流量数据，并结束当前流程；
[0282]
步骤s910：通信监控装置确定通信连接存在风险，阻断内网终端与外网服务器之间通信，并将该通信连接上报管理员。
[0283]
如图10所示，针对线上转账这一应用场景来说，通信监控方法可包括如下步骤：
[0284]
步骤s1001：配置客户端针对转账场景，接收管理员配置的评估策略和通信安全条件；
[0285]
步骤s1002：配置客户端将转账场景对应的评估策略和通信安全条件发送给通信监控装置；
[0286]
步骤s1003：通信监控装置为转账场景配置对应的评估策略和通信安全条件；
[0287]
步骤s1004：终端向服务器发起转账请求，并与服务器建立转账通信隧道；
[0288]
步骤s1005：通信监控装置获取转账通信隧道传输的转账流量数据；
[0289]
步骤s1006：通信监控装置从转账流量数据中提取终端的协议地址、服务器的协议地址、服务器的端口号以及服务器的证书信息；
[0290]
步骤s1007：通信监控装置基于终端的协议地址、服务器的协议地址、服务器的端口号、服务器的证书信息以及评估策略，确定与通信连接相关的证书分数、地址分数以及信誉分数；
[0291]
步骤s1008：利用证书分数、地址分数、信誉分数以及评估策略配置的第一类权重系数组合，计算通信连接的综合分数；
[0292]
步骤s1009：监控装置判断综合分数是否满足预设的与通信连接相匹配的通信安全条件，如果是，则执行步骤s1010；否则，执行步骤s1012；
[0293]
步骤s1010：监控装置确定通信连接安全；
[0294]
步骤s1011：终端与服务器之间继续转账，以完成转账，并结束当前流程；
[0295]
步骤s1012：监控装置确定终端与服务器之间转账通信存在风险，阻断内网终端与外网服务器之间通信，并将该通信连接上报管理员。
[0296]
图11示出了可以应用本发明实施例的通信监控方法或通信监控装置的示例性系统架构1100。
[0297]
如图11所示，系统架构1100可以包括多个通信节点1101、网络1102、监控节点1103、终端设备1104、1105、1106。网络1102用以在多个通信节点1101中任意两个通信节点1101之间、监控节点与通信节点1101之间、监控节点1103与终端设备1104、1105、1106之间提供通信链路的介质。网络1102可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
[0298]
用户可以使用终端设备1104、1105、1106，通过网络1102与监控节点1103交互，以为多个通信节点之间的通信连接的评估策略和/或通信安全条件等。其中，评估策略可包括第一类权重系数组合、证书分数的结构包括的一个或多个维度以及第二类权重系数组合、
证书合法性计算策略、有效性评分策略、热度计算策略、证书黑名单计算策略、地址分数的结构包括的一个或多个维度以及第三类权重系数组合、链接对热度计算策略、服务热度计算策略、目的协议地址热度计算策略、源协议地址热度计算策略、地址黑名单计算策略、地址信誉分数的结构包括的一个或多个维度以及第四类权重系数组合、级别计算策略、签发机构计算策略、证书状态计算策略、证书状态计算策略、域名信誉计算策略、地理位置计算策略、地址信誉计算策略、域名绑定计算策略等。配置的通信安全条件可以为通信安全阈值等。以满足不同通信安全性的需求。
[0299]
在任意两个通信节点1101之间通信连接时，监控节点1103对该通信连接的通信流量进行监控，以通过配置的与通信连接相匹配的评估策略，监控该通信连接的两个通信节点1101建立的通信隧道是否合法。
[0300]
其中，移动终端设备1104、1105、1106以及通信节点上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
[0301]
移动终端设备1104、1105、1106可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑等等。
[0302]
监控节点1103可以是提供各种服务的服务器，例如对任意两个通信节点之间通信连接的安全性提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对获取到的通信连接中两个通信节点的信息进行分析等处理，并将处理结果(例如通信隧道安全或者存在风险
‑‑
仅为示例)提供给管理人员。
[0303]
需要说明的是，本发明实施例所提供的通信监控方法一般由监控节点1103执行。
[0304]
应该理解，图11中的通信节点、监控节点、终端设备以及网络的数目仅仅是示意性的。根据实现需要，可以具有任意数目的通信节点、监控节点、终端设备以及网络。
[0305]
下面参考图12，其示出了适于用来实现本技术实施例的通信节点的计算机系统1200的结构示意图。图12示出的移动终端设备或收款客户端仅仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
[0306]
如图12所示，计算机系统1200包括中央处理单元(cpu)1201，其可以根据存储在只读存储器(rom)1202中的程序或者从存储部分1208加载到随机访问存储器(ram)1203中的程序而执行各种适当的动作和处理。在ram 1203中，还存储有系统1200操作所需的各种程序和数据。cpu 1201、rom 1202以及ram 1203通过总线1204彼此相连。输入/输出(i/o)接口1205也连接至总线1204。
[0307]
以下部件连接至i/o接口1205：包括键盘、鼠标等的输入部分1206；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分1207；包括硬盘等的存储部分1208；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分1209。通信部分1209经由诸如因特网的网络执行通信处理。驱动器1210也根据需要连接至i/o接口1205。可拆卸介质1211，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1210上，以便于从其上读出的计算机程序根据需要被安装入存储部分1208。
[0308]
特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在
这样的实施例中，该计算机程序可以通过通信部分1209从网络上被下载和安装，和/或从可拆卸介质1211被安装。在该计算机程序被中央处理单元(cpu)1201执行时，执行本技术的系统中限定的上述功能。
[0309]
需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
[0310]
附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0311]
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括获取模块、评估模块以及风险管理模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，获取模块还可以被描述为“响应于两个通信节点之间建立通信连接，获取与所述通信连接相关的流量数据的模块”。
[0312]
作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：响应于两个通信节点之间建立通信连接，获取与通信连接相关的流量数据；从流量数据中提取节点特征信息；基于节点特征信息以及预设的与通信连接相匹配的评估策略，评估通信连接的综合分数；判断综合分数是否满足预设的与通信连接相匹配的通信安全条件，如果是，则确定通信连接安全；否则，确定通信连接存在风险。
[0313]
根据本发明实施例的技术方案，由于评估通信连接的综合分数是基于从流量数据中提取的节点特征信息以及与通信连接相匹配的评估策略，使该综合分数能够更真实的反映通信连接的情况，因此，基于该综合分数判断通信连接是否安全或者存在风险，能够有效地提高监控结果准确性，从而有效地提高通信安全。
[0314]
上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。