(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210993555.5 (22)申请日 2022.08.18 (71)申请人 合肥天源迪科信息技 术有限公司 地址 230000 安徽省合肥市合肥高新 技术 开发区云飞路6 6号 (72)发明人 陈力　王浩　邓少宝　王雪妮　 傅斌　 (74)专利代理 机构 合肥洪雷知识产权代理事务 所(普通合伙) 34164 专利代理师 孙小华 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 67/56(2022.01) H04L 67/2866(2022.01) (54)发明名称 一种https加密流 量的敏感信息识别方法 (57)摘要 本发明公开了一种https加密流量的敏感信 息识别方法， 涉及信息处理技术领域。 本发明包 括如下步骤： 应用主机潜在https外发流量， 即内 网主机恶意木马反向外连的流量； 中间人代理为 中间人攻击工具， 用来拦截、 修改、 保存HTTP/ HTTPS请求； 攻击者信息收集后， 反向外连的 https URL； 明文采集模块采集日志文件并采集 到kafka； 敏 感识别模 块使用正则表达式、 算法训 练模型和nlp三种方式识别敏感数据。 本发明通 过使用中间人的方式解密潜在https外发流量， 即内网主机恶意木马反向外连的流量， 大量内网 主机成常态， 为了避免影 响到内网间应用代理被 代理， 主机上配置网络代理模式后， 会排除内部 IP， 仅代理主机反向外连的网络流量， 提高效率 和准确率。 权利要求书1页 说明书4页 附图1页 CN 115412316 A 2022.11.29 CN 115412316 A 1.一种ht tps加密流 量的敏感信息识别方法， 其特 征在于， 包括如下步骤： 步骤S1： 应用主机潜在ht tps外发流 量， 即内网主机恶意木马反向外连的流 量； 步骤S2： 中间人代理为中间人攻击 工具， 用来 拦截、 修改、 保存HT TP/HTTPS请求； 步骤S3： 攻击者信息收集后， 反向外连的ht tps URL； 步骤S4： 明文采集模块采集日志文件并采集到kafka； 步骤S5： 敏感识别模块使用正则表达式、 算法训练模型和n lp三种方式识别敏感数据。 2.根据权利要求1所述的一种https加密流量的敏感信息识别方法， 其特征在于， 所述 步骤S1中， 应用主机上配置网络代理模式后， 排除内网IP； 所述网络代理通过环境变量 http_proxy和https_p roxy指定中间人代理IP和端口； 若排除IP， 则通过no_p roxy环境变量 指定。 3.根据权利要求1所述的一种https加密流量的敏感信息识别方法， 其特征在于， 所述 https应用的所有访问网络流 量均会首 先经过代理中间人。 4.根据权利要求1所述的一种https加密流量的敏感信息识别方法， 其特征在于， 所述 步骤S2中， 中间人攻击工具通过编程代码获取请求和响应结果， 为明文采集模块提供文本 流量用于采集分析。 5.根据权利要求1所述的一种https加密流量的敏感信息识别方法， 其特征在于， 所述 URL为已经被威胁情 报告为恶意的URL和IP或云计算主机IP。 6.根据权利要求1所述的一种https加密流量的敏感信息识别方法， 其特征在于， 所述 步骤S4中， 明文采集模块的采集 步骤如下： 步骤S41： 使用fi lebeat监控中间人代理输出的日志文件并采集到kafka； 步骤S42： 配置采集规则和http协议解析规则提取请求头、 请求baby、 响应头、 响应baby 操作方式。 7.根据权利要求1所述的一种https加密流量的敏感信息识别方法， 其特征在于， 所述 步骤S5中， 正则表达式用于对手机号码、 手机和邮件进行正则识别； 对地址使用nlp识别； 对 姓名、 学校、 单位， 使用特 征工程方法和卷积神经算法训练识别。 8.根据权利要求7所述的一种https加密流量的敏感信息识别方法， 其特征在于， 所述 卷积神经算法包括输入层、 三个1D卷积层、 池化层和全连接层； 所述输入层为特 征工程后的宽表数据； 三个所述1D卷积层的核长度为3， 则激活函数为relu； 所述池化层通过合并三个1D卷积层输出的局部特 征块， 降低采样， 过 滤掉多余信息； 所述全连接层使用dropout让部分节点临时失效。权　利　要　求　书 1/1 页 2 CN 115412316 A 2一种https加密流量的敏感信息识别方 法 技术领域 [0001]本发明属于信息处理技术领域， 特别是涉及一种https加密流量的敏感信息识别 方法， 使用中间人代理的方法首先拦截加密流量或获取明文， 从而根据明文识别出是否涉 及个人隐私数据。 背景技术 [0002]对企业数据安全保护对象和应用场景提出了更高合规要求， 满足监管方数据安全 合规要求， 如何识别数据涉敏、 以及识别网络流量中的敏感数据， 均需要一些相关技术监 控。 近几年， APT攻击、 供应链投毒等新型攻击方法频发， 它些新型方法， 基本上是采用利用 了https， 因为ht tps加密流 量特性能直接逃避传统安全设备的检测。 [0003]通过检索专利分析， 专利集中在对加密流量的恶意检测目标上， 首先使用特征工 程方法， 提炼加密流量的特征， 包括网络4元 组、 tls证书 特征、 tls协议各包 特征、 网络包 大 小等， 之后使用聚类、 集成学习、 卷积神经网络、 textcnn等算法训练输出模型； 最后采用模 型识别加密流量是否恶意、 恶意流量间接 说明存在敏感信息泄漏的可能性； 然而， 恶意流量 不一定是敏感信息， 如果攻击者加密流量的目的只是获取主机的一些环境信息， 以达到进 一步控制 本主机充当控制 僵尸主机。 恶意流量中不涉及到个人隐私相关的敏感信息。 恶意 流量的识别方法对个人隐私识别不具有普遍性。 [0004]本发明与它们的区别是解密加密流量为明文、 再根据从明文识别出个人隐私相关 的敏感信息， 通过中间代理的方式解密https， 还原为原始的流量， 再基于原始流量进行敏 感信息识别。 发明内容 [0005]本发明的目的在 于提供一种https加密流量的敏感信息识别方法， 通过在 https应 用所在的主机上配置中间人代理截Https请求流量， 再根据明文进行根据从明文识别出个 人隐私相关的敏感信息， 解决了现有的恶意流量的识别方法对个人隐私识别不具有普遍性 问题。 [0006]为解决上述 技术问题， 本发明是通过以下技 术方案实现的： [0007]本发明为 一种https加密流 量的敏感信息识别方法， 包括如下步骤： [0008]步骤S1： 应用主机潜在ht tps外发流 量， 即内网主机恶意木马反向外连的流 量； [0009]步骤S2： 中间人代理为中间人攻击 工具， 用来 拦截、 修改、 保存  HTTP/HTTPS请求； [0010]步骤S3： 攻击者信息收集后， 反向外连的ht tps URL； [0011]步骤S4： 明文采集模块采集日志文件并采集到kafka； [0012]步骤S5： 敏感识别模块使用正则表达式、 算法训练模型和nlp三种方式识别敏感数 据。 [0013]作为一种优选的技术方案， 所述步骤S1中， 应用主机上配置网络代理模式后， 排除 内网IP； 所述网络代理通过环境变量http_proxy和  https_proxy指定中间人代理IP和端说　明　书 1/4 页 3 CN 115412316 A 3