(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111682240.0 (22)申请日 2021.12.2 9 (71)申请人 北京美亚柏科网络安全科技有限公 司 地址 100085 北京市海淀区羊坊东路5号 院， 美亚柏科 (72)发明人 金辉　黄潇　吴建平　 (74)专利代理 机构 北京市炜衡律师事务所 11375 专利代理师 王加莹 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) H04L 67/02(2022.01) (54)发明名称 一种恶意 流量检测方法和装置 (57)摘要 本申请公开了一种恶意流量检测方法， 包括 以下步骤： 建立域名数据库， 包含禁止访问的服 务器名单； 在来自客户端的加密流量中， 获得客 户端发出的Client  Hello包， 提取Hello包中的 SNI信息； 将SNI中的第一服务器名称和所述域名 数据库比较； 响应于所述第一服务器名称与所述 域名数据库中任一域名相同， 阻断所述客户端和 所述第一服务器的链接。 本申请还包含实现所述 方法的装置。 本申请解决传统发送RST包阻断连 接方式阻断率低的问题。 权利要求书2页 说明书6页 附图3页 CN 114531271 A 2022.05.24 CN 114531271 A 1.一种恶意 流量检测方法， 其特 征在于， 包括以下步骤： 建立域名数据库， 包 含禁止访问的服 务器名单； 在来自客户端的加密流量中， 获得客户端发出的Client  Hello包， 提取Hello包中的 SNI信息； 将SNI中的第一 服务器名称和所述 域名数据库比较； 响应于所述第 一服务器名称与所述域名数据库中任一域名相同， 阻断所述客户端和所 述第一服务器的链接 。 2.如权利要求1所述恶意 流量检测方法， 其特 征在于， 响应于所述服务器名称与所述域名数据库中任一域名相同， 将所述客户 端发出的与 Client Hello包关联的数据重 定向至第二 服务器。 3.如权利要求1所述恶意 流量检测方法， 其特 征在于， 获得客户端发出的Cl ient Hello包的步骤， 进一 步包括： 根据第一标识确定数据包的IP层协议 为TCP协议； 根据第二标识确定TCP处于未断开连接状态； 根据第三标识确定TLS内存类型为握 手包； 根据第四标识确定TLS握 手包为Cl ient Hello包。 4.如权利要求1所述恶意 流量检测方法， 其特 征在于， 提取Hello包中的SN I信息的步骤， 进一 步包括： 取得Session  id length的值为x， Cipher  length的值为y， Server  Name length的值 为L； 则Server Name的值 起始于第x+y+1 13字节， 终止 于第x+y+1 12+L字节。 5.如权利要求1所述恶意 流量检测方法， 其特 征在于， 用LINUX内核的IP  tables命令阻断所述 客户端和所述 服务器之间的通信。 6.如权利要求1所述恶意 流量检测方法， 其特 征在于， 响应于来自客户端的数据 流包含HTTP  Flood攻击， 与所述客户端关联的服务器名称被 存储在所述 域名数据库。 7.如权利要求2所述恶意 流量检测方法， 其特 征在于， 将所述SN I中的第一 服务器名称修改为第三 服务器名称。 8.一种恶意流量检测装置， 用于实现权利要求1～7任意一项所述方法， 其特征在于， 包 括： 所述数据采集模块， 用于分析 出站的网络流 量包， 获得客户端发出的Cl ient Hello包； 所述SNI生成模块， 用于提取Hello包中的SNI信息， 将SNI中的第一服务器名称和所述 域名数据库比较； 所述阻断模块， 用于响应于所述第一服务器名称与所述域名数据库中任一域名相同， 阻断所述 客户端和所述第一 服务器的链接 。 9.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器执 行时实现如权利要求1～7中任一所述的方法。 10.一种电子设备， 包括存储器， 处理器及存储在存储器上并可在处理器运行的计算机 程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求1～7中任一所述的权　利　要　求　书 1/2 页 2 CN 114531271 A 2方法。权　利　要　求　书 2/2 页 3 CN 114531271 A 3