CN103905425A - 一种恶意代码网络行为加密数据捕获方法及系统 - Google Patents
一种恶意代码网络行为加密数据捕获方法及系统 Download PDFInfo
- Publication number
- CN103905425A CN103905425A CN201310734313.5A CN201310734313A CN103905425A CN 103905425 A CN103905425 A CN 103905425A CN 201310734313 A CN201310734313 A CN 201310734313A CN 103905425 A CN103905425 A CN 103905425A
- Authority
- CN
- China
- Prior art keywords
- server
- http
- client
- certificate
- pseudo
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种恶意代码网络行为加密数据捕获方法及系统,利用中间人技术,通过利用指定HTTP(S)代理服务器成两个证书,其中一个为用于与客户端交互的伪服务器证书,另一个为用于与服务器端交互的伪客户端证书;并对流量重定向到上述指定HTTP(S)代理服务器,当服务器与客户端有流量交互时,所有流量都经过指定HTTP(S)代理服务器,虽然所有流量均被加密,但指定HTTP(S)代理服务器可以使用生成的证书完成解密操作,并记录原始数据。通过本发明的方法,提供另一种截获并解密加密网络连接的数据方法。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种恶意代码网络行为加密数据捕获方法及系统。
背景技术
当前研究恶意代码方法,普遍采用静态分析结合动态分析的技术,尤其是动态分析的方法最为真实、有效,甚至一些产品已经集成进了恶意代码动态分析沙箱技术,其网络行为的捕获可采用出口网关截获,底层抓包方式,或API层过滤。但对于采用HTTPS加密协议方式传输恶意代码情况,大多数实现仅捕获到了加密后的数据,但原始数据无法还原。对于针对HTTPS协议的还原技术,一般采用Hook到有关加密的库调用API上,将原始数据截获下来;Hook到有关加密的库调用,即把加密之前的数据截获下来,这种做法有效,但也存在一些问题,第一,其接口不能通用,在不同版本的Windows甚至Linux下的Hook方式有很大差别;第二,由于其做法干预到了程序的执行,可能被恶意代码反侦查到导致截获失败。
发明内容
本发明提供了一种恶意代码网络行为加密数据捕获方法及系统,解决了对捕获到的采用HTTPS加密协议方式传输的数据无法解密的问题,提供了一种截获并解密加密网络连接数据的方法。
一种恶意代码网络行为加密数据捕获方法,包括:
使用指定HTTP(S)代理服务器生成两个证书,其中一个用于与客户端交互的伪服务器证书,另一个用于与服务器端交互的伪客户端证书;
将HTTP(S)请求流量定向到指定HTTP(S)代理服务器;
指定HTTP(S)代理服务器获得客户端或服务器端的数据,通过伪客户端证书或伪服务器证书,获取并记录客户端或服务器端加密的数据,再通过伪客户端证书或伪服务器证书将所述数据转发给真实服务器或客户端。
客户端所请求的域名,指定HTTP(S)代理服务器可以通过http头的host值获得。
所述的方法中,将HTTP(S)请求流量定向到指定HTTP(S)代理服务器具体为:设置DNS服务器,将域名解析到指定HTTP(S)代理服务器;在出口网关处采用DNAT方式,将流量的目的IP定向到指定HTTP(S)代理服务器。
一种恶意代码网络行为加密数据捕获系统,包括:
指定HTTP(S)代理服务器,使用指定HTTP(S)代理服务器生成两个证书,其中一个为与客户端交互的伪服务器证书,另一个为向服务器端交互的伪客户端证书;
流量重定向模块,将HTTP(S)请求流量定向到指定HTTP(S)代理服务器;
指定HTTP(S)代理服务器获得客户端或服务器端的数据,通过伪客户端证书或伪服务器证书,获取并记录客户端或服务器端加密的数据,再通过伪客户端证书或伪服务器证书将所述数据转发给真实服务器或客户端。
所述的系统中,将HTTP(S)请求流量定向到指定HTTP(S)代理服务器具体为:设置DNS服务器,将域名解析到指定HTTP(S)代理服务器;在出口网关处采用DNAT方式,将流量的目的IP定向到指定HTTP(S)代理服务器。
本发明利用了“中间人”概念,并对其加以改进,引入到对恶意代码的网络分析技术中,解决了网络流量重定向及HTTP(S)代理服务器对客户端及服务端流量解密的问题。使得服务器端和客户端的HTTPS证书替换成HTTP(S)代理服务器伪装的证书,这样,虽然服务器端和客户端的所有流量均被加密,但HTTP(S)代理服务器可以使用证书完成解密操作。
本发明提供了一种恶意代码网络行为加密数据捕获方法及系统,利用中间人技术,通过利用指定HTTP(S)代理服务器成两个证书,其中一个为用于与客户端交互的伪服务器证书,另一个为用于与服务器端交互的伪客户端证书;并对流量重定向到上述指定HTTP(S)代理服务器,当服务器与客户端有流量交互时,所有流量都经过指定HTTP(S)代理服务器,虽然所有流量均被加密,但指定HTTP(S)代理服务器可以使用生成的证书完成解密操作,并记录原始数据。通过本发明的方法,提供另一种截获并解密加密网络连接的数据方法。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明恶意代码网络行为加密数据捕获方法流程图;
图2为本发明恶意代码网络行为加密数据捕获系统网络结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种恶意代码网络行为加密数据捕获方法及系统,解决了对捕获到的采用HTTPS加密协议方式传输的数据无法解密的问题,提供了一种截获并解密加密网络连接数据的方法。
一种恶意代码网络行为加密数据捕获方法,如图1所示,包括:
S101:使用指定HTTP(S)代理服务器生成两个证书,其中一个用于与客户端交互的伪服务器证书,另一个用于与服务器端交互的伪客户端证书;
S102:将HTTP(S)请求流量定向到指定HTTP(S)代理服务器;
S103:指定HTTP(S)代理服务器获得客户端或服务器端的数据,通过伪客户端证书或伪服务器证书,获取并记录客户端或服务器端加密的数据,再通过伪客户端证书或伪服务器证书将所述数据转发给真实服务器或客户端。
客户端所请求的域名,指定HTTP(S)代理服务器可以通过http头的host值获得。
所述的方法中,将HTTP(S)请求流量定向到指定HTTP(S)代理服务器具体为:设置DNS服务器,将域名解析到指定HTTP(S)代理服务器;在出口网关处采用DNAT方式,将流量的目的IP定向到指定HTTP(S)代理服务器。
一种恶意代码网络行为加密数据捕获系统,如图2所示,包括:
指定HTTP(S)代理服务器201,使用指定HTTP(S)代理服务器生成两个证书,其中一个为与客户端202交互的伪服务器证书,另一个为向服务器端203交互的伪客户端证书;
流量重定向模块204,将HTTP(S)请求流量定向到指定HTTP(S)代理服务器;
指定HTTP(S)代理服务器获得客户端或服务器端的数据,通过伪客户端证书或伪服务器证书,获取并记录客户端或服务器端加密的数据,再通过伪客户端证书或伪服务器证书将所述数据转发给真实服务器或客户端。
所述的系统中,将HTTP(S)请求流量定向到指定HTTP(S)代理服务器具体为:设置DNS服务器,将域名解析到指定HTTP(S)代理服务器;在出口网关处采用DNAT方式,将流量的目的IP定向到指定HTTP(S)代理服务器。
本发明利用了“中间人”概念,并对其加以改进,引入到对恶意代码的网络分析技术中,解决了网络流量重定向及HTTP(S)代理服务器对客户端及服务端流量解密的问题。使得服务器端和客户端的HTTPS证书替换成HTTP(S)代理服务器伪装的证书,这样,虽然服务器端和客户端的所有流量均被加密,但HTTP(S)代理服务器可以使用证书完成解密操作。
本发明提供了一种恶意代码网络行为加密数据捕获方法及系统,利用中间人技术,通过利用指定HTTP(S)代理服务器成两个证书,其中一个为用于与客户端交互的伪服务器证书,另一个为用于与服务器端交互的伪客户端证书;并对流量重定向到上述指定HTTP(S)代理服务器,当服务器与客户端有流量交互时,所有流量都经过指定HTTP(S)代理服务器,虽然所有流量均被加密,但指定HTTP(S)代理服务器可以使用生成的证书完成解密操作,并记录原始数据。通过本发明的方法,提供另一种截获并解密加密网络连接的数据方法。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (4)
1.一种恶意代码网络行为加密数据捕获方法,其特征在于,包括:
使用指定HTTP(S)代理服务器生成两个证书,其中一个用于与客户端交互的伪服务器证书,另一个用于与服务器端交互的伪客户端证书;
将HTTP(S)请求流量定向到指定HTTP(S)代理服务器;
指定HTTP(S)代理服务器获得客户端或服务器端的数据,通过伪客户端证书或伪服务器证书,获取并记录客户端或服务器端加密的数据,再通过伪客户端证书或伪服务器证书将所述数据转发给真实服务器或客户端。
2.如权利要求1所述的方法,其特征在于,将HTTP(S)请求流量定向到指定HTTP(S)代理服务器具体为:设置DNS服务器,将域名解析到指定HTTP(S)代理服务器;在出口网关处采用DNAT方式,将流量的目的IP定向到指定HTTP(S)代理服务器。
3.一种恶意代码网络行为加密数据捕获系统,其特征在于,包括:
指定HTTP(S)代理服务器,使用指定HTTP(S)代理服务器生成两个证书,其中一个为与客户端交互的伪服务器证书,另一个为向服务器端交互的伪客户端证书;
流量重定向模块,将HTTP(S)请求流量定向到指定HTTP(S)代理服务器;
指定HTTP(S)代理服务器获得客户端或服务器端的数据,通过伪客户端证书或伪服务器证书,获取并记录客户端或服务器端加密的数据,再通过伪客户端证书或伪服务器证书将所述数据转发给真实服务器或客户端。
4.如权利要求3所述的系统,其特征在于,将HTTP(S)请求流量定向到指定HTTP(S)代理服务器具体为:设置DNS服务器,将域名解析到指定HTTP(S)代理服务器;在出口网关处采用DNAT方式,将流量的目的IP定向到指定HTTP(S)代理服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310734313.5A CN103905425A (zh) | 2013-12-27 | 2013-12-27 | 一种恶意代码网络行为加密数据捕获方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310734313.5A CN103905425A (zh) | 2013-12-27 | 2013-12-27 | 一种恶意代码网络行为加密数据捕获方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103905425A true CN103905425A (zh) | 2014-07-02 |
Family
ID=50996579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310734313.5A Pending CN103905425A (zh) | 2013-12-27 | 2013-12-27 | 一种恶意代码网络行为加密数据捕获方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103905425A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483609A (zh) * | 2017-08-31 | 2017-12-15 | 深圳市迅雷网文化有限公司 | 一种网络访问方法、相关设备和系统 |
| CN110995538A (zh) * | 2019-12-03 | 2020-04-10 | 北京博睿宏远数据科技股份有限公司 | 网络数据采集方法、装置、系统、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| CN101325519A (zh) * | 2008-06-05 | 2008-12-17 | 华为技术有限公司 | 基于安全协议的内容审计方法、系统和内容审计设备 |
| CN102609649A (zh) * | 2012-02-06 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种自动采集恶意软件的方法和装置 |
| CN102663284A (zh) * | 2012-03-21 | 2012-09-12 | 南京邮电大学 | 一种基于云计算的恶意代码识别方法 |
| CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
| US8578477B1 (en) * | 2007-03-28 | 2013-11-05 | Trend Micro Incorporated | Secure computer system integrity check |
-
2013
- 2013-12-27 CN CN201310734313.5A patent/CN103905425A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| US8578477B1 (en) * | 2007-03-28 | 2013-11-05 | Trend Micro Incorporated | Secure computer system integrity check |
| CN101325519A (zh) * | 2008-06-05 | 2008-12-17 | 华为技术有限公司 | 基于安全协议的内容审计方法、系统和内容审计设备 |
| CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
| CN102609649A (zh) * | 2012-02-06 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种自动采集恶意软件的方法和装置 |
| CN102663284A (zh) * | 2012-03-21 | 2012-09-12 | 南京邮电大学 | 一种基于云计算的恶意代码识别方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483609A (zh) * | 2017-08-31 | 2017-12-15 | 深圳市迅雷网文化有限公司 | 一种网络访问方法、相关设备和系统 |
| CN110995538A (zh) * | 2019-12-03 | 2020-04-10 | 北京博睿宏远数据科技股份有限公司 | 网络数据采集方法、装置、系统、设备及存储介质 |
| CN110995538B (zh) * | 2019-12-03 | 2022-01-07 | 北京博睿宏远数据科技股份有限公司 | 网络数据采集方法、装置、系统、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10003616B2 (en) | Destination domain extraction for secure protocols | |
| US9961103B2 (en) | Intercepting, decrypting and inspecting traffic over an encrypted channel | |
| CN106713320B (zh) | 终端数据传输的方法和装置 | |
| CN111034150B (zh) | 选择性地解密ssl/tls通信的方法和装置 | |
| CN109067803A (zh) | 一种ssl/tls加解密通信方法、装置及设备 | |
| US11700239B2 (en) | Split tunneling based on content type to exclude certain network traffic from a tunnel | |
| US11838271B2 (en) | Providing users secure access to business-to-business (B2B) applications | |
| EP3329651B1 (en) | Efficient use of ipsec tunnels in a multi-path environment | |
| US20160134659A1 (en) | Inspection of data channels and recording of media streams | |
| US20160352790A1 (en) | Collaborative business communication information system | |
| CN109413060A (zh) | 报文处理方法、装置、设备及存储介质 | |
| CN103428221A (zh) | 对移动应用的安全登录方法、系统和装置 | |
| US10785196B2 (en) | Encryption key management of client devices and endpoints within a protected network | |
| US20170111269A1 (en) | Secure, anonymous networking | |
| KR101504330B1 (ko) | 개인정보 모니터링 시스템 및 그 방법 | |
| CN101860549A (zh) | 一种Web Service下访问会话数据处理方法及装置 | |
| US11240202B2 (en) | Message processing method, electronic device, and readable storage medium | |
| CN109729099A (zh) | 一种基于Android VPNService的物联网通信流量分析方法 | |
| EP3242444A1 (en) | Service processing method and device | |
| Schulz et al. | Tetherway: a framework for tethering camouflage | |
| US20220303283A1 (en) | Method and System for Managing Secure IoT Device Applications | |
| CN103905425A (zh) | 一种恶意代码网络行为加密数据捕获方法及系统 | |
| CN110995730B (zh) | 数据传输方法、装置、代理服务器和代理服务器集群 | |
| CN108809888B (zh) | 一种基于安全模块的安全网络构建方法和系统 | |
| JP5804480B2 (ja) | 自律型ネットワークを介するセキュアデータのストリームの転送の最適化手法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160411 Address after: 518000, B726, building 7, building B, famous industrial products purchasing center, Shenzhen Road, Xixiang, Baoan District, Guangdong, China Applicant after: Shenzhen one day Information Technology Co., Ltd. Address before: 150090 Nangang Province, Harbin Development Zone, red flag street, room, room 162, No. 506 Applicant before: Harbin Antiy Technology Co., Ltd. |
|
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140702 |