(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111573657.3 (22)申请日 2021.12.21 (71)申请人 安天科技 集团股份有限公司 地址 150028 黑龙江省哈尔滨市高新 技术 产业开发区科技创新城创新创业广场 7号楼 （世坤路838号） (72)发明人 李模雪　刘佳男　 (74)专利代理 机构 北京锺维联合知识产权代理 有限公司 1 1579 代理人 王越 (51)Int.Cl. H04L 9/40(2022.01) H04L 1/16(2006.01) G06K 9/62(2022.01) H04L 61/4511(2022.01) (54)发明名称 流量检测方法及 装置、 电子设备和计算机可 读存储介质 (57)摘要 本发明提出了一种流量检测方法及装置、 电 子设备和计算机可读存储介质， 涉及网络安全技 术领域， 该方法包括： 基于PCAP流量文件， 还原所 述PCAP流量文件包括的原始页面； 若所述原始页 面的页面特征与邮件系统特征库中的预定特征 相匹配， 确定所述原始页面的域名是否为指定安 全域名； 在所述原始页面的域名非所述指定安全 域名时， 基于预定判断方式， 确定所述原始页面 是否为仿冒页面和仿冒对象； 当确定所述原始页 面为仿冒页面时， 基于APT组织特征库和所述原 始页面的属性信息， 确定所述仿冒页面的受攻击 类型。 通过本发明的技术方案， 提升了钓鱼网站 检测的准确性和全面 性， 有效维护了网络安全。 权利要求书2页 说明书8页 附图1页 CN 114285627 A 2022.04.05 CN 114285627 A 1.一种流 量检测方法， 其特 征在于， 包括： 基于PCAP流 量文件， 还原所述PCAP流 量文件包括的原 始页面； 若所述原始页面的页面特征与邮件系统特征库中的预定特征相匹配， 确定所述原始页 面的域名是否为指定安全域名； 在所述原始页面的域名非所述指定安全域名时， 基于预定判断方式， 确定所述原始页 面是否为仿冒页面和仿冒对象； 当确定所述原始页面为仿冒页面 时， 基于APT组织特征库和所述原始页面的属性信息， 确定所述仿冒页面的受攻击类型。 2.根据权利要求1所述的流量检测方法， 其特征在于， 所述基于PCAP流量文件， 还原所 述PCAP流 量文件包括的原 始页面的步骤， 包括： 在所述PCAP流 量文件中提取 具有相同确认字符的数据； 基于每组所述具有相同确认字符的数据， 生成对应的所述原 始页面。 3.根据权利要求1所述的流 量检测方法， 其特 征在于， 所述原始页面的页面特征包括： 域名关键字、 页面关键字、 引用资源URL和页面显示标 识中的一项或多 项。 4.根据权利要求1至3中任一项所述的流量检测方法， 其特征在于， 所述基于预定判断 方式， 确定所述原 始页面是否为仿冒页面和仿冒对象的步骤， 包括： 获取所述原始页面中指定标识符后的文本信息； 若所述文本信 息中示出的主域名与 所述原始页面的主域名不匹配， 确定所述原始页面 为仿冒页面； 若确定所述原始页面为仿冒页面， 则通过所述文本信 息中示出的主域名与 所述指定安 全域名的主域名进行匹配， 确定具体的仿冒对象。 5.根据权利要求1至3中任一项所述的流量检测方法， 其特征在于， 所述基于预定判断 方式， 确定所述原 始页面是否为仿冒页面和仿冒对象的步骤， 包括： 获取所述原始页面中指定标识符后的文本信息； 若所述文本信 息中示出的主域名与 所述指定安全域名的主域名不匹配， 且所述文本信 息与所述指定安全域名的主域名相似度大于或等于指 定阈值， 确定所述原始页面为仿冒页 面。 6.根据权利要求5所述的流 量检测方法， 其特 征在于， 还 包括： 基于所述文本信 息中示出的主域名的域名信 息， 以及所述指定安全域名的主域名的域 名信息， 计算所述主域名相似度， 其中， 所述域名信 息包括字符长度、 单个字符内容、 字符整体内容、 字符排列顺序和关联相似 字符。 7.根据权利要求1至3中任一项所述的流量检测方法， 其特征在于， 所述基于预定判断 方式， 确定所述原 始页面是否为仿冒页面和仿冒对象的步骤， 包括： 在所述原始页面的源码中具有下载标识的情况下， 检测所述下载标识是否包括原始域 名； 若所述原 始页面的整体域名与所述原 始域名不 一致， 确定所述原 始页面为仿冒页面。 8.根据权利要求1所述的流量检测方法， 其特征在于， 所述基于APT组织特征库和所述权　利　要　求　书 1/2 页 2 CN 114285627 A 2原始页面的属性信息， 确定所述仿冒页面的受攻击类型的步骤， 包括： 若所述原始页面的属性信息中具有与所述APT组织特征库相匹配的目标APT组织特征， 确定所述仿冒页面的受攻击类型为已知APT组织的已知钓鱼攻击； 否则， 获取人工判断信息， 并基于所述人工判断信息确定所述仿冒页面的受攻击类型 为已知APT组织的未知钓鱼攻击、 未知APT组织的未知钓鱼攻击以及非APT组织的钓鱼攻击 之一。 9.一种流 量检测装置， 其特 征在于， 包括： 页面还原单 元， 用于基于PCAP流 量文件， 还原所述PCAP流 量文件包括的原 始页面； 域名匹配单元， 用于若所述原始页面的页面特征与邮件系统特征库中的预定特征相匹 配， 确定所述原 始页面的域名是否为指定安全域名； 仿冒页面判断单元， 用于在所述原始页面的域名非所述指定安全域名时， 基于预定判 断方式， 确定所述原 始页面是否为仿冒页面和仿冒对象； 受攻击类型确定单元， 用于当确定所述原始页面为仿冒页面时， 基于APT组织特征库和 所述原始页面的属性信息， 确定所述仿冒页面的受攻击类型。 10.一种电子设备， 其特征在于， 包括： 至少一个处理器； 以及， 与所述至少一个处理器 通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被设置为用 于执行上述权利要求1至8中任一项所述的方法。 11.一种计算机可读存储介质， 其特征在于， 存储有计算机可执行指令， 所述计算机可 执行指令用于执 行如权利要求1至8中任一项所述的方法流 程。权　利　要　求　书 2/2 页 3 CN 114285627 A 3