加密信道中的行为识别方法、装置及电子设备

技术领域

本发明涉及信息处理技术领域，尤其是涉及一种加密信道中的行为识别方法、装置及电子设备。

背景技术

当前密码设备使用越来越广泛，对包括网络设备的远程管理操作数据大多通过加密信道传输，确保了数据传输上的安全，当前主要采用日志的方式记录操作事件、操作用户、操作过程、数据修改等。在不具备完整日志系统的网络或办公设备上，还可能采用替代日志的探针系统，收集更全面的内存、网络、进程、文件等信息。然而，当前的日志系统或者探针系统都属于密码所保护的内部系统或关联系统中，在攻击发生之后，难以确保记录的客观准确性，从而难以进行数据分析并准确客观记录内部事件。

发明内容

本发明的目的在于提供一种加密信道中的行为识别方法、装置及电子设备，以对加密数据进行深入分析，对加密信道中的行为进行识别，并对识别结果进行客观记录，实现了在不解密情况下进行信道中发生事件的识别记录。

本发明提供的一种加密信道中的行为识别方法，方法应用于电子设备，第一密码设备通过电子设备与第二密码设备通信连接；方法包括：镜像采集从第一密码设备向第二密码设备发送的第一报文序列；基于第一报文序列，确定第二报文序列；从预设行为特征库中提取目标行为特征；其中，目标行为特征包括：目标行为名称，以及目标行为名称对应的多个数据对；每个数据对由序号和密报长度组成；基于每个数据对的序号和密报长度，按预设比对方式将每个数据对与第二报文序列进行比对处理，得到比对结果；根据比对结果识别加密信道中是否存在目标行为名称对应的行为。

进一步的，基于每个数据对的序号和密报长度，按预设比对方式将每个数据对与第二报文序列进行比对处理，得到比对结果；根据比对结果识别加密信道中是否存在目标行为名称对应的行为的步骤包括：将第二报文序列中的第一个报文作为当前报文，从当前报文开始，提取满足预设时间窗口的当前子序列；将第一个数据对作为当前数据对，将当前数据对与当前子序列进行比对，查找当前子序列中是否存在与当前数据对中的密报长度相同的目标报文；如果当前子序列中存在目标报文，将下一个数据对作为新的当前数据对，从目标报文的下一个报文开始，重复执行将当前数据对与当前子序列进行比对的步骤，直至完成每个数据对与当前子序列的比对；如果当前子序列中存在与每个数据对中的密报长度相同的目标报文，确定从加密信道中识别出目标行为名称对应的行为。

进一步的，方法还包括：如果当前子序列中缺少至少一个数据对中的密报长度相同的目标报文，将当前报文的下一个报文作为新的当前报文，重复执行从当前报文开始，提取满足预设时间窗口的当前子序列的步骤，直至完成每个数据对与当前子序列的比对；如果第二报文序列对应的每个子序列中都不同时存在与每个数据对中的密报长度相同的目标报文，确定从加密信道中未识别出目标行为名称对应的行为。

进一步的，镜像采集从第一密码设备向第二密码设备发送的第一报文序列的步骤之后，方法还包括：在采集第一报文序列中的每个报文时，记录对应的采集时间，将采集时间作为对应报文的报文时间。

进一步的，每个密报长度由密文数据的长度、报头数据长度和报尾数据长度组成；基于第一报文序列，确定第二报文序列的步骤包括：按照预设的提取指示信息，从第一报文序列中提取出第二报文序列；其中，第一报文序列中的每个报文包括报头数据和报尾数据。

进一步的，每个密报长度为密文数据的长度；基于第一报文序列，确定第二报文序列的步骤包括：按照预设的提取指示信息，从所述第一报文序列中提取出指定报文序列；根据加密信道的密文特征，从指定报文序列的每个报文中，识别出每个报文对应的密文数据；其中，密文特征包括以下至少一种：通信地址、通信协议、端口号和密文报头协议；基于每个报文对应的密文数据确定第二报文序列。

进一步的，行为特征库中包括多个行为特征，每个行为特征预先通过下述方式确定：对于每个行为特征对应的每个操控行为，获取对第一设备执行该操控行为的明文，以及将明文通过加密设备加密后输出的密文；其中，第一设备与加密设备通信连接；根据时序和报长，建立每个明文报文与每个密文报文的对应关系；从操控行为发生时的第一个明文报文开始，按顺序依次提取每个明文报文对应的密文报文的密报长度；基于顺序序号和每个密报长度，确定该操控行为对应的行为特征。

本发明提供的一种加密信道中的行为识别装置，装置设置于电子设备，第一密码设备通过电子设备与第二密码设备通信连接；装置包括：镜像采集模块，用于镜像采集从第一密码设备向第二密码设备发送的第一报文序列；基于第一报文序列，确定第二报文序列；提取模块，用于从预设行为特征库中提取目标行为特征；其中，目标行为特征包括：目标行为名称，以及目标行为名称对应的多个数据对；每个数据对由序号和密报长度组成；识别模块，用于基于每个数据对的序号和密报长度，按预设比对方式将每个数据对与第二报文序列进行比对处理，得到比对结果；根据比对结果识别加密信道中是否存在目标行为名称对应的行为。

本发明提供的一种电子设备，包括处理器和存储器，存储器存储有能够被处理器执行的机器可执行指令，处理器执行机器可执行指令以实现上述任一项的加密信道中的行为识别方法。

本发明提供的一种机器可读存储介质，该机器可读存储介质存储有机器可执行指令，该机器可执行指令在被处理器调用和执行时，机器可执行指令促使处理器实现上述任一项的加密信道中的行为识别方法。

本发明提供的加密信道中的行为识别方法、装置及电子设备，镜像采集从第一密码设备向第二密码设备发送的第一报文序列；基于第一报文序列，确定第二报文序列；从预设行为特征库中提取目标行为特征；其中，目标行为特征包括：目标行为名称，以及目标行为名称对应的多个数据对；每个数据对由序号和密报长度组成；基于每个数据对的序号和密报长度，按预设比对方式将每个数据对与第二报文序列进行比对处理，得到比对结果；根据比对结果识别加密信道中是否存在目标行为名称对应的行为。该方式将目标行为特征与第二报文序列进行比对，由于目标行为特征由序号和密报长度组成，因而可以在不解密第二报文序列的情况下，实现对第二报文序列的深度分析，进而得到相应的第一报文序列的分析结果，实现对加密信道中的行为的识别和客观记录，实现了在不解密情况下进行加密信道中发生事件的识别记录。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种密码设备的典型部署架构示意图；

图2为本发明实施例提供的一种加密信道中的行为识别方法的流程图；

图3为本发明实施例提供的一种行为特征库的制作流程图；

图4为本发明实施例提供的一种加密信道中的行为识别系统的结构示意图；

图5为本发明实施例提供的一种加密信道中的行为识别装置的结构示意图；

图6为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，密码设备使用越来越广泛，对包括网络设备的远程管理操作数据大多通过加密信道传输，确保了数据传输上的安全。由于信道数据的加密，在不解密数据情况下，对内部网络设备的远程操控过程并不能通过数据传输上的明文或密文进行识别记录。

当前主要采用日志的方式，通过设备上的日志文件记录操作事件、操作用户、操作过程、数据修改等。日志文件一般保存在设备上，或者定期通过日志管理系统汇聚到管理中心。如图1所示的一种密码设备的典型部署架构示意图，该图采用日志方法对加密信道中设备远程管理行为进行记录，图中所示为常见的中心式网络拓扑，其中，总部网络与各分部网络之间以密码设备构建加密通道，总部管理主机可以通过加密通道对各分部的密码设备、网络设备、办公设备等进行远程维护、升级、配置修改、安全检查等操作。

各网络设备和办公设备上一般主要通过日志系统对包括远程管理在内的系统操控、运行状态等进行记录。部分网络中采用了集中的日志汇聚监控设备，所记录的日志文件定期通过网络通信传输汇聚到总部日志汇聚设备上，通过分析日志监控各分部网络安全状况，根据日志追踪溯源发现现实中网络通信异常的根源。

在不具备完整日志系统的网络或办公设备上，还可能采用替代日志的探针系统，收集更全面的内存、网络、进程、文件等信息，不断汇聚到总部的汇聚设备。探针尽管能够发挥比通常日志更详尽的记录作用，但其原理上仍旧是一种类似日志采集的监控方法。

现有的以设备上日志记录为主的监控技术存在的缺点主要有三方面：

其一，在解决部分安全问题的同时，自身带来了新的安全问题。日志监控记录的方式能够记录部分问题，在安全事件发生时，利用日志可以分析溯源问题。但是由于日志记录了系统包括加载模块、运行状态、参数设置等关键信息，这种信息泄漏之后反过来也可能为攻击者所利用，成为获取必要攻击线索的手段。其次，日志汇聚系统或者汇聚协议本身比较复杂，也可能成为攻击者的攻击入口。

其二，日志记录存在被删除的风险。这种删除的原因，可能是设备上分配的日志存储空间有限，导致日志记录超出存储空间或者时长而清理覆盖掉部分旧的日志。更可能是由于攻击者控制了包括日志汇聚设备在内的网络设备，篡改了日志以掩盖攻击痕迹。

其三，增加了系统复杂性，不能覆盖大多数设备，很多设备没有提供详尽日志且难以部署探针。网络设备类型多样，并非所有设备都提供了详尽的日志，也并非所有设备都能部署探针。网络设备新旧混用现象比较频繁。比如打印机之类的专用网络设备，一般就没有日志文件，也不支持用户自己部署探针。

另外，由于加密信道中的数据已被加密，不管是采用日志记录方式还是探针系统记录方式，都存在因无法解密数据，而无法对加密数据进行深入分析的问题，从而难以对加密信道中的行为进行识别。基于此，本发明实施例提供了一种加密信道中的行为识别方法、装置及电子设备，该技术可以应用于需要对加密信道中的行为进行识别的应用中。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种加密信道中的行为识别方法进行介绍，方法应用于电子设备，第一密码设备通过电子设备与第二密码设备通信连接；该电子设备通常是独立于第一密码设备和第二密码设备的设备，相当于是在原本通信连接的第一密码设备和第二密码设备之间添加了该电子设备；如图2所示，该方法包括如下步骤：

步骤S202，镜像采集从第一密码设备向第二密码设备发送的第一报文序列；基于第一报文序列，确定第二报文序列。

上述电子设备除了可以将第一密码设备输出的第一报文序列正常发送至第二密码设备，还可以镜像采集该第一报文序列，相当于将第一报文序列拷贝了一份，以根据拷贝的第一报文序列对加密信道中的行为进行识别，具体的，可以先根据拷贝的第一报文序列确定第二报文序列；该第二报文序列可能与第一报文序列相同，也可能不同，比如，只将第一报文序列中的纯密文作为排列得到第二报文序列，具体可以根据实际应用需求选择。

步骤S204，从预设行为特征库中提取目标行为特征；其中，目标行为特征包括：目标行为名称，以及目标行为名称对应的多个数据对；每个数据对由序号和密报长度组成。

上述行为特征库中通常包括多个行为特征，本实施例定义行为特征为行为名称和一组<时序、密报报长>的集合。可以根据实际需求从多个行为特征中选择想要识别的目标行为特征，该目标行为特征通常包括目标行为名称，以及由序号和密报长度组成的多个数据对的集合，比如，某次内部加密网站远程连接行为，目标行为名称为“登录内部A网站”，其对应的多个数据对的集合T={<1,60>、<2,60>、<3,200>、<4,820>、<5,80>、<6,100>、<7,100>、<8,150>、<9,120>、<10,135>}；其中，每个数据对中的第一个数据表示序号，也可以称为时序，第二个数据表示密报长度；通常序号为从1开始计数的序号，不同行为特征所对应的数据对的数量可能相同，也可能不同，每个数据对中的密报长度通常不同。

步骤S206，基于每个数据对的序号和密报长度，按预设比对方式将每个数据对与第二报文序列进行比对处理，得到比对结果；根据比对结果识别加密信道中是否存在目标行为名称对应的行为。

上述预设比对方式可以根据实际需求进行设置，比如，可以从第二报文序列中选择1分钟的时间窗口对应的子序列，按照上述数据对的序号依次循环比对该子序列中的报文，确认是否存在与每个数据对中的密报长度相同的报文，根据比对情况进行循环比对处理；通过比对，可以得到最终的比对结果，根据比对结果可以识别出该加密信道中是否存在目标行为名称对应的行为。

上述加密信道中的行为识别方法，镜像采集从第一密码设备向第二密码设备发送的第一报文序列；基于第一报文序列，确定第二报文序列；从预设行为特征库中提取目标行为特征；其中，目标行为特征包括：目标行为名称，以及目标行为名称对应的多个数据对；每个数据对由序号和密报长度组成；基于每个数据对的序号和密报长度，按预设比对方式将每个数据对与第二报文序列进行比对处理，得到比对结果；根据比对结果识别加密信道中是否存在目标行为名称对应的行为。该方式将目标行为特征与第二报文序列进行比对，由于目标行为特征由序号和密报长度组成，因而可以在不解密第二报文序列的情况下，实现对第二报文序列的深度分析，进而得到相应的第一报文序列的分析结果，实现对加密信道中的行为的识别和客观记录，实现了在不解密情况下进行加密信道中发生事件的识别记录。

本发明实施例还提供了另一种加密信道中的行为识别方法，该方法在上述实施例方法的基础上实现，该方法包括如下步骤：

步骤一，镜像采集从第一密码设备向第二密码设备发送的第一报文序列。

步骤二，在采集第一报文序列中的每个报文时，记录对应的采集时间，将采集时间作为对应报文的报文时间。

上述第一报文序列通常是单向加密通道中的报文序列；在采集第一报文序列中的每个报文时，记录当前采集时间作为该报文的报文时间，该采集时间可以以报文到达电子设备的时间为基准，时间采用系统时间，可以精确到微秒级，得到携带有报文时间的报文；上述每个报文通常是IP网络协议数据包，在完整接收到第一报文序列中的每个报文，并通过IP头部校验后，可以生成一个系统时间。所有携带有报文时间的报文按照到达的先后顺序排列，构成数据流。

步骤三，基于第一报文序列，确定第二报文序列。

在实际实现时，如果每个密报长度由密文数据的长度、报头数据长度和报尾数据长度组成，则该步骤可以包括：按照预设的提取指示信息，从第一报文序列中提取出第二报文序列；其中，第一报文序列中的每个报文包括报头数据和报尾数据。

上述密文数据的长度可以理解为纯密文数据本身的长度；上述提取指示信息可以包括：传输端口、密码协议特征等；在实际实现时，当目标行为特征中每个数据对中的密报长度包含密文数据本身的长度、报头数据长度和报尾数据长度时，由于采集到的第一报文序列中可能同时包括明文形式的报文和密文形式的报文，可以按照传输端口、密码协议特征等提取指示信息，从第一报文序列中提取出密文形式的报文，其中，每个密文形式的报文通常包含密文数据、报头和报尾，此时可以将提取出的密文形式的报文按时序排列，得到第二报文序列，通过该提取过程，可以有效降低数据量，提高数据处理效率，进而提高加密信道中行为识别的效率。

如果每个密报长度为密文数据的长度，则该步骤可以包括：按照预设的提取指示信息，从第一报文序列中提取出指定报文序列；根据加密信道的密文特征，从指定报文序列的每个报文中，识别出每个报文对应的密文数据；其中，密文特征包括以下至少一种：通信地址、通信协议、端口号和密文报头协议；基于每个报文对应的密文数据确定第二报文序列。

在实际实现时，当目标行为特征中每个数据对中的密报长度为密文数据本身的长度，即不包含报头数据长度和报尾数据长度时，由于采集到的第一报文序列中可能同时包括明文形式的报文和密文形式的报文，可以按照传输端口、密码协议特征等提取指示信息，从第一报文序列中提取出密文形式的报文，按时序排列即得到上述指定报文序列，根据加密信道的密文特征，从指定报文序列的每个报文中，识别出每个报文对应的密文数据；该密文特征通常包括通信地址、通信协议、端口号和密文报头协议，当然也可以根据实际需求在密文特征中包含其他数据特征；在指定报文序列中，通常按照不同的密文特征提取形成每个单向加密通道的第二报文序列，比如，可以将指定报文序列中的每个报文去掉报头、报尾等，得到每个报文对应的纯密文数据，将每个纯密文数据按时序排列，得到第二报文序列。

密文特征通常需要针对密码设备进行单独采集，该密码设备可以是网络密码机等。比如，某网络密码机采用IP-240号协议，IP-240号协议载荷部分的前8字节为依次递增的报文序号，8字节之后为以16字节分组的密数据，则此密文特征将由以下几部分组成，包括IP-240协议号，IP发方地址，IP收方地址，载荷头部8字节序号依次递增的性质，8字节之后16字节分块性质，密数据符合随机性性质等。

网络中不同的设备对应于不同的IP地址。网络密码设备除了使用密码协议与其它密码设备进行通信外，还可能具有其它非密或者加密通信方式。按如上的IP-240协议，总部密码设备A与分支的密码设备B进行通信时，密码设备A到密码设备B的IP-240协议加密数据构成一个单向的加密通道数据流序列。而密码设备B到密码设备A的IP-240协议加密数据构成另一个单向的加密通道数据流序列，这两个单向的加密通道的密文特征中的通信地址中，发方地址和收方地址不同。对于总部采取了多个密码设备进行分流的情况，每个密码设备与分区的通信单独构成一组双向加密通道数据流序列。

步骤四，从预设行为特征库中提取目标行为特征；其中，目标行为特征包括：目标行为名称，以及目标行为名称对应的多个数据对；每个数据对由序号和密报长度组成。

上述行为主要是能够体现在即时流量中的行为，比如页面翻动而实际数据并未及时发生交互，则不做考虑。同时，这里能够识别到的是能够通过流量进行区分的部分行为。比如，某次尝试登录使用密码“abcde”，另一次尝试登录使用密码“12345”，则由于体现在密报上的长度均相同，所以使用本发明中方法无法区分，无法对此建立特征库。总体来说，对于不同的网络设备，经过加密后，基于密文能够识别一部分行为特征，这一部分特征将作为行为特征库中目标行为特征。

行为特征库中包括多个行为特征，每个行为特征预先通过下述步骤A至步骤D确定：

步骤A，对于每个行为特征对应的每个操控行为，获取对第一设备执行该操控行为的明文，以及将明文通过加密设备加密后输出的密文；其中，第一设备与加密设备通信连接。

上述第一设备可以是网络设备、专用设备或者需要识别的办公设备等；在实际实现时，行为特征库的制作在模拟环境中进行，采用实际加密信道对应的密码设备、实际需识别的网络设备等，构建出模拟环境，在此模拟环境中通过实验采集行为特征。

参见图3所示的一种行为特征库的制作流程图，通过时序和密报长度共同识别加密信道中的行为。在模拟环境中模拟某种远程操控行为，可以对网络设备、专用设备或者需要识别的办公设备等，逐一进行远程操控实验，每个待识别设备直接连接到一个密码设备，针对登录、登出、配置修改等每个操控步骤，分别进行后续流程操作。同时记录操控端明文、加密信道输出的密文，根据记录的对应时刻，选择一个区间提取对应明文、密文。操控端明文可以通过在操控对象端前置一个数据分流设备进行旁路采集。密码信道密文可以在密码设备输出端置一个数据分流设备进行旁路采集。

步骤B，根据时序和报长，建立每个明文报文与每个密文报文的对应关系。

根据明文报文和密文报文的时序关系和报长关系，将每个明文报文与每个密文报文进行一一对应。

步骤C，从操控行为发生时的第一个明文报文开始，按顺序依次提取每个明文报文对应的密文报文的密报长度。

步骤D，基于顺序序号和每个密报长度，确定该操控行为对应的行为特征。

可以根据行为的明文序列，对应密文序列特征，具体可以根据操控记录的时刻，通过明文识别出设备远程操控所对应的明文流。根据明文-密文对应关系，提取操控行为时刻前后采集到的密文报文序列。从操控行为发生时的第一个TCP（Transmission ControlProtocol，传输控制协议）握手开始的明文报文对应密文数据，作为行为特征集合中第1个元素，按照顺序依次提取该行为所属明文对应的后续报长特征序列，以<序号、密报长度>形成的集合作为最终的行为特征的集合。设定行为特征的序列长度的最小阈值为10，如果集合元素个数小于10，则认为该行为无法建立特征序列。如果超过此阈值，则认为该特征序列为一个有效特征序列。

本实施例中设定的特征集合的最小阈值为10，假定在网络流量中密报长度为L的报文出现的概率为P

该方式给出了基于实验环境构建行为特征序列的有效方法。通过调整特征集合的最小阈值，将可以构建出更多有效特征序列，可以根据实际网络流速、误报率要求等进行估算。

作为一种替换方式，也可以直接记录明文报文，不记录密文报文，在已经明确密文报文头部格式特征的情况下，可以不需要建立明文报文与密文报文的对应关系，此种情况下，对于明文对应的密文，时序特征可以根据明文序列计算出来。

步骤五，将第二报文序列中的第一个报文作为当前报文，从当前报文开始，提取满足预设时间窗口的当前子序列。

上述预设时间窗口可以根据实际需求进行设置，比如，可以设置1分钟的时间窗口，从第二报文序列中的第一个报文开始，提取出1分钟时间窗对应的连续的当前子序列。

步骤六，将第一个数据对作为当前数据对，将当前数据对与当前子序列进行比对，查找当前子序列中是否存在与当前数据对中的密报长度相同的目标报文。

步骤七，如果当前子序列中存在目标报文，将下一个数据对作为新的当前数据对，从目标报文的下一个报文开始，重复执行将当前数据对与当前子序列进行比对的步骤，直至完成每个数据对与当前子序列的比对。

将目标特征行为中，多个数据对中的第一个数据对，即序号为1的数据对与当前子序列进行循环比对，查找其中是否存在与该第一个数据对的密报长度相同的目标报文。如果存在，则继续将第二个数据对与当前子序列进行循环比对，由于多个数据对是按时序排列，因此，在比对第二个数据对时，通常需要从当前子序列中比对到第一个数据对的报文的下一个报文开始比对，依次类推，直接完成每个数据对与当前子序列的循环比对。

步骤八，如果当前子序列中存在与每个数据对中的密报长度相同的目标报文，确定从加密信道中识别出目标行为名称对应的行为。

如果当前子序列中存在与每个数据对中的密报长度相同的目标报文，可以认为该加密信道中存在目标行为名称对应的行为；比如，目标行为 “登录内部A网站”对应的多个数据对的集合T={<1,60>、<2,60>、<3,200>、<4,820>、<5,80>、<6,100>、<7,100>、<8,150>、<9,120>、<10,135>}，如果在当前子序列中比对到数据对的集合T={<1,60>、<2,60>、<3,200>、<4,820>、<5,80>、<6,100>、<7,100>、<8,150>、<9,120>、<10,135>}；可以认为加密信道中存在“登录内部A网站”这一操控行为。

在实际实现时，密报长度可以是一个具体单一值，也可以是一个数值范围，即多个单一值的子集合；比如，某个行为对应为输入口令，其输入123、或输入12345，输入长度变化，会导致产生的明文数据变化，进而密文长度变化。所以制作该特征时，在对于输入口令这个动作上，可以采取每个数据对为多个单一值的子集合的方式，比如[k,k+32]，表示k、k+1，...直到k+32，共33个单值；在进行比对时，对于密报长度为一个单一值的情况，可以直接比较是否相等；对于密报长度为多个单一值的子集合的情况，则查询该子集合中是否涵盖目标值。

步骤九，如果当前子序列中缺少至少一个数据对中的密报长度相同的目标报文，将当前报文的下一个报文作为新的当前报文，重复执行从当前报文开始，提取满足预设时间窗口的当前子序列的步骤，直至完成每个数据对与当前子序列的比对。

如果在比对过程中，确认在当前子序列中缺少一个或多个数据对时，确认目标行为特征与当前子序列匹配失败，即当前子序列中不存在该目标行为特征，此时，可以从第二报文序列中的第二个报文开始，继续提取出1分钟时间窗对应的连续的新的当前子序列，重复执行上述比对过程。

步骤十，如果第二报文序列对应的每个子序列中都不同时存在与每个数据对中的密报长度相同的目标报文，确定从加密信道中未识别出目标行为名称对应的行为。

如果通过循环执行上述过程，确认第二报文序列中的每个子序列，没有同时存在每个数据对中的密报长度相同的目标报文的子序列，可以确认该加密信道中未识别出目标行为名称对应的行为。

在“登录内部A网站”例中，通常实际发生的数据交互行为对应为TCP握手、TLS（Transport Layer Security，安全传输层协议）握手、浏览器请求页面数据、浏览器提交登录数据等过程，通常该行为发生在1分钟之内，所以本实施例可以以1分钟作为时间窗口。

继续以上述“登录内部A网站”行为为例，按照如下算法伪代码，即输入为S，以及1分钟时间窗内的密报序列，匹配成功情况下，输出time0，作为该行为“登录内部A网站”发生的时间。匹配不成功，输出0，此行为“登录内部A网站”此时未识别出。

算法伪代码如下：

输入1，某一行为特征T={<1,密报长1>，<2,密报长2>，…}；

输入2，从某个起点开始的1分钟时间窗口内的某单向加密通道的密报序列S，序列长度L。

起始位置N=0；

起始时间time0=0；

For i从1到K，递增1：

Forj 从 N 到L，递增1：

如果密报长i 匹配密报序列中密报长j，则i计数加1，N=j+1；

如果i是第一个特征元素，time0设为当前密报j对应的报文时间。

如果(L-N)<(K-i) , 匹配失败，输出为0；

如果i 等于 K，匹配成功，输出起始时间time0作为该行为的时间；

否则，匹配失败，输出0。

该算法如果匹配所有行为特征失败，则以该单向密码信道中当前报文的下一个报文作为新的起点，从单向加密数据流序列中补充新的1分钟时间窗口内数据进入队列作为新的输入2，循环执行该算法。

该算法如果匹配任一行为特征成功，则以该行为序列最后对应报文的下一个报文作为新的起点，重新构建1分钟时间窗的数据队列，以再次进行行为识别。

具体的，本实施例还可以记录操控行为，具体的，以每个单向信道的地址、协议和端口构建一个记录数据库，记录上述成功匹配的每个操控行为的类型和发生时间。

为进一步理解上述实施例，下面提供如图4所示的一种加密信道中的行为识别系统的结构示意图，主要模块包括数据分流模块、单向采集模块、识别记录模块。其中，数据分流模块，可以是普通的支持数据分流的交换机、网络分路器、光纤分光器等。单向采集模块为支持高速流量采集的网络数据采集卡或者普通高速单向网卡。识别记录模块为对采集的流量进行密文数据提取，通过密文识别设备操控行为，记录行为类型和发生的时间，根据异常设置阈值进行异常告警。如某项行为合理的时间阈值为工作时间，当非工作时间记录到该行为时，则产生告警。

再比如，Cisco R340小企业路由器，其中包含了VPN（Virtual Private Network，虚拟专用网络）功能，使用该功能时，可以看作构建了加密信道。假定Cisco R340路由器后面直接部署了一台HTTPS服务器用于远程用户下载文件。实施时，第一步是将Cisco R340向外连接进行数据传输的网线断开，接入数据镜像交换机。第二步，将外部数据连接接入数据镜像交换机，将数据镜像交换机的输出接入到单向采集模块。第三步，按照本方案中方法提取用户远程VPN访问到内部HTTPS时的明文-密文对应数据，包括了从TCP三次握手、TLS协商、到TLS记录包传输的过程，截至到登录页面出现时为之。以此部分密文数据构建出<序号，密报长度>的序列，形成行为特征。第四步，按照本方案中识别算法，监测密文识别对HTTPS服务器的远程登录行为（作为操控行为的一种情况）。

上述方案中，数据分流模块、单向采集模块、识别记录模块的划分不是唯一的，实际系统中可能单向采集与识别记录模块共存于同一个设备上。

本方案中，识别记录模块可能在远端，通过专用网络将单向采集模块采集的数据传输到远端进行识别记录处理。识别记录模块还可能在本地，记录功能在远端，通过本地向远端上报识别结果并进行记录和后续异常告警。

本方案提供了一种基于旁路采集的流量进行加密数据中设备操控行为记录识别记录的方法。该方法基于单向采集模块采集流量，对于整个网络中运行的任何其它设备不产生干扰，无双向交互网络通信。而当前网络攻击涉及的通信，都需要一定程度的交互；因此，网络中的攻击者无法感知到这种识别记录手段，更无法删除这种识别方法记录的信息。该方法实现了安全上的只增不减效果，不带来新的安全风险。能够有效避免识别记录系统内容被破坏，有效提升了系统安全性。

作为一种旁路的加密流量内容识别记录方法，本发明中方法不需要对网络中设备进行任何更改，可以直接部署在网络密码设备的外部，采集对外部网络的输入输出流量，在未增加内部系统复杂性的情况下，多增加了一种独立于密码设备的运行安全监测手段。

综合来说，该方法利用在中心或者区域网络的外部部署的单向数据流量采集设备，分析加密信道中网络设备远程操控行为，并进行识别和记录。通过单向采集，避免了交互控制，攻击者无法渗透控制该系统，避免了记录内容被删除，同时也避免了该系统被攻击者控制，具有安全上只增不减的效果，不带来新的安全问题。由于该方法针对的是密文流量，所以也不需要在内部网络设备上部署类似探针等新模块，适用于对经加密信道实施管理的各型网络设备。

另外，本方案不需要解密加密数据，通过加密数据表现出的时序和报长特征进行设备操控行为识别，完全是外部观察视角，不涉及内部任何隐私信息，实现了一种不解密加密流量情况下的加密信道中行为记录方法。实现了不解密条件下的深入分析。通过深入分析，丰富了对网络加密信道中网络设备的识别记录手段，且这种手段能够实现通常日志记录中部分功能，在不解密情况下，实现对该行为的识别记录。

目前对网络设备的安全状态识别记录中，基本都是采用对明文的分析以实现安全状态识别，对密文未进行分析利用。本发明中对密文进行分析利用，以实现一种通用的安全状态识别记录方法，具有很大的创新性。目前对密文的分析中，普遍考虑都是要分析随机性或者解密密文以实现分析，本方案提出不解密密文情况下，构建<序号、密报长度>序列作为加密信道中行为特征的方法，实现了一种对密文深度分析利用的有效方法，具有很大创新性。

本方案提出的基于数据分流和单向采集获得加密流量，分析加密信道中时序、报长进而识别并记录行为信息的方法，由于不带来新的安全风险，且记录无法被网络中的攻击者删除，实现了对加密信道中行为信息的识别记录，是当前安全领域应用的较大创新，具有较大的市场前景。

本发明实施例提供了一种加密信道中的行为识别装置，装置设置于电子设备，第一密码设备通过电子设备与第二密码设备通信连接；如图5所示，装置包括：

镜像采集模块50，用于镜像采集从第一密码设备向第二密码设备发送的第一报文序列；基于第一报文序列，确定第二报文序列；

提取模块51，用于从预设行为特征库中提取目标行为特征；其中，目标行为特征包括：目标行为名称，以及目标行为名称对应的多个数据对；每个数据对由序号和密报长度组成；

识别模块52，用于基于每个数据对的序号和密报长度，按预设比对方式将每个数据对与第二报文序列进行比对处理，得到比对结果；根据比对结果识别加密信道中是否存在目标行为名称对应的行为。

上述加密信道中的行为识别装置，镜像采集从第一密码设备向第二密码设备发送的第一报文序列；基于第一报文序列，确定第二报文序列；从预设行为特征库中提取目标行为特征；其中，目标行为特征包括：目标行为名称，以及目标行为名称对应的多个数据对；每个数据对由序号和密报长度组成；基于每个数据对的序号和密报长度，按预设比对方式将每个数据对与第二报文序列进行比对处理，得到比对结果；根据比对结果识别加密信道中是否存在目标行为名称对应的行为。该方式将目标行为特征与第二报文序列进行比对，由于目标行为特征由序号和密报长度组成，因而可以在不解密第二报文序列的情况下，实现对第二报文序列的深度分析，进而得到相应的第一报文序列的分析结果，实现对加密信道中的行为的识别和客观记录，实现了在不解密情况下进行加密信道中发生事件的识别记录。

进一步的，识别模块52还用于：将第二报文序列中的第一个报文作为当前报文，从当前报文开始，提取满足预设时间窗口的当前子序列；将第一个数据对作为当前数据对，将当前数据对与当前子序列进行比对，查找当前子序列中是否存在与当前数据对中的密报长度相同的目标报文；如果当前子序列中存在目标报文，将下一个数据对作为新的当前数据对，从目标报文的下一个报文开始，重复执行将当前数据对与当前子序列进行比对的步骤，直至完成每个数据对与当前子序列的比对；如果当前子序列中存在与每个数据对中的密报长度相同的目标报文，确定从加密信道中识别出目标行为名称对应的行为。

进一步的，识别模块52还用于：如果当前子序列中缺少至少一个数据对中的密报长度相同的目标报文，将当前报文的下一个报文作为新的当前报文，重复执行从当前报文开始，提取满足预设时间窗口的当前子序列的步骤，直至完成每个数据对与当前子序列的比对；如果第二报文序列对应的每个子序列中都不同时存在与每个数据对中的密报长度相同的目标报文，确定从加密信道中未识别出目标行为名称对应的行为。

进一步的，该装置还用于：在采集第一报文序列中的每个报文时，记录对应的采集时间，将采集时间作为对应报文的报文时间。

进一步的，每个密报长度由密文数据的长度、报头数据长度和报尾数据长度组成；镜像采集模块50还用于：按照预设的提取指示信息，从第一报文序列中提取出第二报文序列；其中，第一报文序列中的每个报文包括报头数据和报尾数据。

进一步的，每个密报长度为密文数据的长度；镜像采集模块50还用于：按照预设的提取指示信息，从第一报文序列中提取出指定报文序列；根据加密信道的密文特征，从指定报文序列的每个报文中，识别出每个报文对应的密文数据；其中，密文特征包括以下至少一种：通信地址、通信协议、端口号和密文报头协议；基于每个报文对应的密文数据确定第二报文序列。

进一步的，行为特征库中包括多个行为特征，该装置还包括行为特征确定模块，每个行为特征预先通过该行为特征确定模块确定：对于每个行为特征对应的每个操控行为，获取对第一设备执行该操控行为的明文，以及将明文通过加密设备加密后输出的密文；其中，第一设备与加密设备通信连接；根据时序和报长，建立每个明文报文与每个密文报文的对应关系；从操控行为发生时的第一个明文报文开始，按顺序依次提取每个明文报文对应的密文报文的密报长度；基于顺序序号和每个密报长度，确定该操控行为对应的行为特征。

本发明实施例所提供的加密信道中的行为识别装置，其实现原理及产生的技术效果和前述加密信道中的行为识别方法实施例相同，为简要描述，加密信道中的行为识别装置实施例部分未提及之处，可参考前述加密信道中的行为识别方法实施例中相应内容。

本发明实施例还提供了一种电子设备，参见图6所示，该电子设备包括处理器130和存储器131，该存储器131存储有能够被处理器130执行的机器可执行指令，该处理器130执行机器可执行指令以实现上述加密信道中的行为识别方法。

进一步地，图6所示的电子设备还包括总线132和通信接口133，处理器130、通信接口133和存储器131通过总线132连接。

其中，存储器131可能包含高速随机存取存储器（RAM，Random Access Memory），也可能还包括非不稳定的存储器（non-volatile memory），例如至少一个磁盘存储器。通过至少一个通信接口133（可以是有线或者无线）实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。总线132可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

处理器130可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器130中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器130可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(DigitalSignal Processor，简称DSP)、专用集成电路(Application Specific IntegratedCircuit，简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器131，处理器130读取存储器131中的信息，结合其硬件完成前述实施例的方法的步骤。

本发明实施例还提供了一种机器可读存储介质，该机器可读存储介质存储有机器可执行指令，该机器可执行指令在被处理器调用和执行时，该机器可执行指令促使处理器实现上述加密信道中的行为识别方法，具体实现可参见方法实施例，在此不再赘述。

本发明实施例所提供的加密信道中的行为识别方法、装置及电子设备的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。