CN110581836B - 一种数据处理方法、装置及设备 - Google Patents
一种数据处理方法、装置及设备 Download PDFInfo
- Publication number
- CN110581836B CN110581836B CN201810597552.3A CN201810597552A CN110581836B CN 110581836 B CN110581836 B CN 110581836B CN 201810597552 A CN201810597552 A CN 201810597552A CN 110581836 B CN110581836 B CN 110581836B
- Authority
- CN
- China
- Prior art keywords
- data
- server
- information
- host
- key information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title abstract description 7
- 238000000034 method Methods 0.000 claims abstract description 47
- 238000004891 communication Methods 0.000 claims abstract description 22
- 230000008569 process Effects 0.000 claims description 24
- 238000013507 mapping Methods 0.000 claims description 20
- 238000004458 analytical method Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 13
- 235000012907 honey Nutrition 0.000 claims description 12
- 238000001514 detection method Methods 0.000 abstract description 47
- 230000007123 defense Effects 0.000 abstract description 8
- 238000011897 real-time detection Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 13
- 230000032683 aging Effects 0.000 description 9
- 230000006399 behavior Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种数据处理方法、装置及设备,该方法包括:从蜜罐主机获取密钥信息;利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密;若解密后的数据是非法数据,则利用解密后的数据确定非法特征信息;利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截。通过本申请的技术方案,可以解决加密数据的检测和防御问题,实时检测和防御公有云上经过加密的数据,达到实时检测和防御的目的。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种数据处理方法、装置及设备。
背景技术
Botnet(僵尸网络)是指采用一种或者多种传播手段(如主动漏洞攻击、邮件病毒、恶意网站脚本、即时通信软件、特洛伊木马等),将大量主机感染上Bot程序(僵尸程序),从而在CC(Control Command,控制与命令)服务器(即攻击者)和傀儡主机(即被感染主机)之间形成一对多的控制网络。其中,Botnet是恶意因特网行为,能够对目标的网站进行DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,并发送大量垃圾邮件,因此需要防御僵尸网络的攻击。
为了防御僵尸网络的攻击,可以对数据的应用层内容进行分析,以确定数据是否为CC服务器与傀儡主机之间的数据,如果是,则阻断该数据,这样,可以避免CC服务器与傀儡主机之间的数据传输,继而防御僵尸网络的攻击。
若数据被SSL(Secure Sockets Layer,安全套接层)/TLS(Transport LayerSecurity,传输层安全协议)加密,则无法对数据的应用层内容进行分析,无法确定数据是否为CC服务器与傀儡主机之间数据,无法防御僵尸网络的攻击。
发明内容
本申请提供一种数据处理方法,所述方法包括:
从蜜罐主机获取密钥信息;
利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密;
若解密后的数据是非法数据,则利用解密后的数据确定非法特征信息;
利用非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截。
本申请提供一种数据处理装置,所述装置包括:
获取模块,用于从蜜罐主机获取密钥信息;
解密模块,用于利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密;
确定模块,用于当所述解密模块解密后的数据是非法数据时,则利用解密后的数据确定非法特征信息;
拦截模块,用于利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截。
本申请提供一种流量检测设备,包括:
处理器和机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述处理器执行所述计算机指令时进行如下处理:从蜜罐主机获取密钥信息;利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密;若解密后的数据是非法数据,则利用解密后的数据确定非法特征信息;利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截。
基于上述技术方案,本申请实施例中,通过从蜜罐主机获取密钥信息,利用密钥信息对蜜罐主机与服务器之间的数据进行解密,若解密后的数据是非法数据,利用解密后的数据确定非法特征信息,并利用非法特征信息对服务器与傀儡主机之间的数据通信进行拦截。上述方式可以解决加密数据的检测和防御问题,实时检测和防御公有云上经过加密的数据,达到实时检测和防御的目的。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其它的附图。
图1是本申请一种实施方式中的应用场景示意图;
图2是本申请一种实施方式中的数据处理方法的流程图;
图3是本申请一种实施方式中的数据处理装置的结构图。
具体实施方式
在本申请使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例提出一种数据检测方法,参见图1所示,为本申请实施例的应用场景示意图,该方法可以应用于包括主机、流量检测设备、服务器的系统。其中,主机可以为傀儡主机和蜜罐主机,服务器可以为CC服务器和正常服务器。
傀儡主机可以是VM(Virtual Machine,虚拟机)、PC(Personal Computer,个人计算机)、终端设备等,对此傀儡主机的类型不做限制。傀儡主机是普通用户使用的主机,通过主动漏洞攻击、邮件病毒、恶意网站脚本、即时通信软件、特洛伊木马等传播手段,能够将Bot程序加载到傀儡主机,从而在CC服务器和傀儡主机之间形成Botnet。也就是说,傀儡主机是已经被感染的主机。
为了实时检测和防御Botnet的攻击,可以在公有云网络部署蜜网,该蜜网可以包括一个或者多个蜜罐主机,且蜜罐主机可以是VM、PC、终端设备等,对此蜜罐主机的类型不做限制。蜜罐主机是作为诱饵的主机,其本质是一种对攻击者进行欺骗的主机,诱使攻击者对蜜罐主机进行攻击,从而可以对攻击行为进行捕获和分析,了解攻击者所使用的工具与方法,推测攻击意图和动机。
虽然蜜罐主机和傀儡主机都有可能被攻击者所攻击,但是,蜜罐主机和傀儡主机是有本质区别的,傀儡主机是没有任何防范措施的主机,而蜜罐主机是网络管理员经过周密布置设下的主机,其价值在于被探测、被攻击,从而对攻击行为进行捕获和分析。为了区分方便,在本文中,可以将没有任何防范措施的主机称为傀儡主机,将用于对攻击行为进行捕获和分析的主机称为蜜罐主机。
将与公有云网络中的傀儡主机/蜜罐主机进行通信的设备称为服务器,对此服务器的类型不做限制,本实施例中的服务器,可以包括CC服务器和正常服务器。其中,CC服务器是攻击者的设备,Botnet的目标是将大量傀儡主机感染Bot程序,从而在CC服务器和大量傀儡主机之间形成一对多的网络,这个网络就是Botnet。为了区分方便,可以将CC服务器之外的其它服务器作为正常服务器。
流量检测设备用于将CC服务器/正常服务器的数据发送给傀儡主机/蜜罐主机,将傀儡主机/蜜罐主机的数据发送给CC服务器/正常服务器,对此流量检测设备的类型不做限制,只要CC服务器/正常服务器与傀儡主机/蜜罐主机之间的数据经过流量检测设备即可,如流量检测设备可以是公有云网络的IDC(Internet Data Center,互联网数据中心)机房的入口设备,可以是公有云网络的网关设备,可以是公有云网络的IPS(IntrusionPrevention System,入侵防御系统)设备等。
在上述应用场景下,参见图2所示,为本申请实施例中提出的数据处理方法的流程图,该方法可以应用于流量检测设备,且该方法可以包括:
步骤201,从蜜罐主机获取密钥信息。
在一个例子中,针对“从蜜罐主机获取密钥信息”的过程,可以包括但不限于如下方式:接收蜜罐主机发送的密钥信息,该密钥信息是蜜罐主机与服务器协商的,且该密钥信息用于对蜜罐主机与服务器之间的数据进行解密。
其中,该密钥信息可以是针对SSL加密方式的对称密钥;或者,该密钥信息可以是针对TLS加密方式的对称密钥。当然,密钥信息并不局限于上述两种类型,对此密钥信息不做限制,后续以上述两种密钥信息为例进行说明。
例如,在蜜罐主机与服务器(如CC服务器/正常服务器)进行SSL/TLS协商时,蜜罐主机能够记录SSL/TLS协商过程中的密钥信息,并将该密钥信息发送给公有云网络的流量检测设备,由流量检测设备从蜜罐主机获取密钥信息。
以下结合具体应用场景,对上述密钥信息的传输过程进行详细说明。
本应用场景中,以SSL协议为例进行说明,TLS协议的处理过程类似,后续不再赘述。SSL协议是一种安全协议,位于TCP(Transmission Control Protocol,传输控制协议)/IP(Internet Protocol,网络互联协议)与各种应用层协议之间,用于为互联网通信提供安全及数据完整性保障。SSL协议可以分为SSL记录协议和SSL握手协议,SSL记录协议用于提供数据封装、压缩、加密等支持,SSL握手协议用于在实际的数据传输开始前,进行身份认证、协商加密算法、交换对称密钥等。也就是说,基于SSL协议,蜜罐主机与服务器(如CC服务器/正常服务器)可以进行对称密钥(也称为会谈密钥)的协商,这个对称密钥用于对数据进行加密,保证数据的保密性和可靠性,使通信不被攻击者窃听。
综上所述,蜜罐主机可以与服务器(如CC服务器/正常服务器)进行对称密钥的协商,并将协商的对称密钥发送给流量检测设备,这个对称密钥用于对蜜罐主机与服务器之间的数据进行解密,即,蜜罐主机在接收到服务器发送的经过加密的数据后,可以使用该对称密钥对该数据进行解密。例如,蜜罐主机可以部署定制的SSL加密库,该SSL加密库能够在进行SSL协商时,记录SSL协商产生的对称密钥,并将该对称密钥发送给公有云网络的流量检测设备。
其中,当蜜罐主机与服务器(如CC服务器/正常服务器等)之间传输HTTPS(Hypertext Transfer Protocol Secure,超文本传输安全协议)数据时,则HTTPS数据可以采用SSL协议进行加密,当然,其它类型的数据也可以采用SSL协议进行加密,对此不做限制。HTTPS也被称为HTTP over TLS(Hyper Text Transfer Protocol over Secure SocketLayer,基于安全套接层的超文本传送协议)。
步骤202,利用该密钥信息对蜜罐主机与服务器之间的数据进行解密。
在一个例子中,流量检测设备还可以生成一个映射表,该映射表用于记录蜜罐主机与服务器之间的数据的报文特征信息、以及蜜罐主机与服务器之间的数据的密钥信息的对应关系。基于此映射表,针对“利用该密钥信息对蜜罐主机与服务器之间的数据进行解密”的过程,可以包括但不限于如下方式:在接收到数据后,利用所述数据的报文特征信息查询映射表,得到与所述报文特征信息对应的密钥信息,并利用得到的密钥信息对所述数据进行解密。
在一个例子中,流量检测设备可以接收蜜罐主机发送的密钥信息和报文特征信息(例如,在从蜜罐主机获取密钥信息时,获取的是密钥信息和报文特征信息),并在映射表中记录该密钥信息与该报文特征信息的对应关系。
在一个例子中,上述报文特征信息还可以包括但不限于以下内容之一或者任意组合:源IP地址、目的IP地址、源端口、目的端口、协议类型等。
以下结合具体应用场景,对上述数据的解密过程进行详细说明。
蜜罐主机在与服务器(如CC服务器/正常服务器)进行对称密钥的协商时,可以获得对称密钥。而且,蜜罐主机可以从用于协商对称密钥的数据中获得报文特征信息(如数据的源IP地址、目的IP地址、源端口、目的端口、协议类型等)。因此,蜜罐主机可以将对称密钥和报文特征信息发送给流量检测设备。
流量检测设备在接收到蜜罐主机发送的密钥信息和报文特征信息后,可以在映射表中记录该密钥信息与该报文特征信息的对应关系,如表1所示,为映射表的示例。该报文特征信息可以包括源IP地址、目的IP地址、源端口、目的端口、协议类型;源IP地址和源端口可以是服务器(如CC服务器/正常服务器)的IP地址和端口,目的IP地址和目的端口可以是蜜罐主机的IP地址和端口。
表1
报文特征信息 | 密钥信息 |
报文特征信息1 | 密钥信息A |
报文特征信息2 | 密钥信息B |
报文特征信息3 | 密钥信息C |
报文特征信息4 | 密钥信息D |
… | … |
综上所述,流量检测设备在接收到数据之后,先获取该数据的报文特征信息(如源IP地址、目的IP地址、源端口、目的端口、协议类型),利用该数据的报文特征信息查询表1所示的映射表,得到与该报文特征信息对应的密钥信息,假设报文特征信息为报文特征信息1,则得到与报文特征信息1对应的密钥信息A。然后,流量检测设备可以利用得到的密钥信息A对该数据进行解密。
在一个例子中,流量检测设备在映射表中记录密钥信息与报文特征信息的对应关系后,还可以为该对应关系设置老化定时器,其中,该老化定时器的老化时间可以根据实际需要配置,如老化定时器的老化时间可以为100秒。
基于此,在老化定时器超时之前,若流量检测设备接收到与该对应关系匹配的数据,则可以更新该老化定时器的老化时间。在老化定时器超时时,则流量检测设备可以从映射表中删除该对应关系,从而可以节省映射表的资源。
步骤203,若解密后的数据是非法数据,则利用解密后的数据确定非法特征信息。其中,所述非法特征信息可以包括但不限于CC服务器的特征信息。
在一个例子中,流量检测设备在利用密钥信息对蜜罐主机与服务器之间的数据进行解密之后,还可以从解密后的数据中解析出应用层内容,并对所述应用层内容进行分析,并根据分析结果确定解密后的数据是非法数据,或者,不是非法数据。其中,若解密后的数据是非法数据(即CC服务器与蜜罐主机之间传输的僵尸网络数据),则说明上述服务器是CC服务器,若解密后的数据不是非法数据(即不是僵尸网络数据),则说明上述服务器是正常服务器。
其中,针对“流量检测设备从解密后的数据中解析出应用层内容”的过程,虽然数据可能被SSL/TLS等加密方式进行加密,但是经过上述流程,已经对数据进行解密,即已经是解密后的数据,因此,流量检测设备可以从解密后的数据中解析出应用层内容(即数据的应用层中的内容),对此解析过程不做限制。
其中,针对“流量检测设备对应用层内容进行分析,并根据分析结果确定解密后的数据是非法数据或者不是非法数据”的过程,可以包括但不限于:由于僵尸网络(Botnet)的攻击可能会发生在应用层,例如,通过产生大量用于消耗攻击目标的资源的URL(UniformResource Locator,统一资源定位符)访问请求,来达到瘫痪攻击目标的目的,基于此,流量检测设备可以对应用层内容进行分析,从而得出解密后的数据是非法数据或者不是非法数据的分析结果。
例如,流量检测设备可以分析应用层的HTTP会话特征,并根据分析结果确定解密后的数据是非法数据或者不是非法数据,对此HTTP会话特征的分析过程不再赘述。又例如,流量检测设备可以分析应用层的行为特征,并根据分析结果确定解密后的数据是非法数据或者不是非法数据,对此行为特征的分析过程不再赘述。又例如,流量检测设备可以通过深度包检测技术,分析应用层内容是否存在符合特殊特征的协议以及负载内容,并根据分析结果确定解密后的数据是非法数据或者不是非法数据,对此深度包检测的分析过程不再赘述。当然,HTTP会话特征、行为特征、深度包检测的分析只是几个示例,对流量检测设备的分析方式不做限制,所有对应用层内容进行分析的方式均可以适用。
在一个例子中,针对“利用解密后的数据确定非法特征信息”的过程,可以包括但不限于如下方式:从解密后的数据中解析出服务器的特征信息,并将服务器的特征信息确定为非法特征信息。其中,由于解密后的数据是非法数据时,上述服务器是CC服务器,因此,CC服务器的特征信息是非法特征信息。
在一个例子中,非法特征信息可以包括但不限于以下之一或任意组合:CC服务器的IP地址、CC服务器的端口、域名信息。例如,当解密后的数据是CC服务器发送给蜜罐主机时,则该数据的源IP地址为CC服务器的IP地址,源端口为CC服务器的端口;当解密后的数据是蜜罐主机发送给CC服务器时,则该数据的目的IP地址为CC服务器的IP地址,目的端口为CC服务器的端口。
此外,域名系统作为最大的分布式系统,是连接用户和互联网的桥梁,但僵尸网络可以发起针对域名的恶意攻击行为,因此,当僵尸网络发起针对域名的恶意攻击行为时,蜜罐主机发送给CC服务器的数据、CC服务器发送给蜜罐主机的数据中,还可以携带域名信息,而非法特征信息可以包括这个域名信息。
步骤204,利用非法特征信息对服务器与傀儡主机之间的数据通信进行拦截。在一个例子中,针对“利用非法特征信息对服务器与傀儡主机之间的数据通信进行拦截”的过程,包括但不限于如下方式:若接收到与该非法特征信息匹配的数据,则丢弃接收到的数据,从而阻断CC服务器与傀儡主机之间的通信。
流量检测设备可以利用非法特征信息对服务器与傀儡主机之间的数据通信进行拦截,流量检测设备还可以将非法特征信息发送给拦截设备,由拦截设备利用该非法特征信息对服务器与傀儡主机之间的数据通信进行拦截。
例如,当非法特征信息包括CC服务器的IP地址时,若流量检测设备/拦截设备接收到服务器发送给傀儡主机的数据,数据的源IP地址与CC服务器的IP地址相同,则说明这个数据是CC服务器发送的,因此丢弃收到的数据,而不是将数据发送给傀儡主机。若流量检测设备/拦截设备接收到傀儡主机发送给服务器的数据,且数据的目的IP地址与CC服务器的IP地址相同,则说明这个数据是发送给CC服务器的,因此丢弃收到的数据,而不是将数据发送给CC服务器。
又例如,当非法特征信息包括CC服务器的端口时,若流量检测设备/拦截设备接收到服务器发送给傀儡主机的数据,且该数据的源端口与CC服务器的端口相同,则说明这个数据是CC服务器发送的,因此丢弃接收到的数据,而不是将数据发送给傀儡主机。若流量检测设备/拦截设备接收到傀儡主机发送给服务器的数据,且该数据的目的端口与CC服务器的端口相同,则说明这个数据是发送给CC服务器的,因此丢弃接收到的数据,而不是将数据发送给CC服务器。
又例如,当非法特征信息包括域名信息时,若流量检测设备/拦截设备接收到服务器发送给傀儡主机的数据,且该数据携带该域名信息,则说明这个数据是CC服务器发送的,因此,可以丢弃接收到的数据,而不是将数据发送给傀儡主机。若流量检测设备/拦截设备接收到傀儡主机发送的数据,且该数据携带该域名信息,则说明这个数据是攻击数据,因此,可以丢弃接收到的数据。
在实际应用中,傀儡主机发送的携带域名信息的数据,通常是DNS(Domain NameSystem,域名系统)请求,流量检测设备/拦截设备可以采用DNS拦截方式或者DNS污染方式,阻断与非法特征信息中的域名信息匹配的数据。
基于上述技术方案,本申请实施例中,通过从蜜罐主机获取密钥信息,并利用密钥信息对蜜罐主机与服务器之间的数据进行解密,若解密后的数据是非法数据,利用解密后的数据确定非法特征信息,利用非法特征信息对服务器与傀儡主机之间的数据通信进行拦截。上述方式可解决加密数据的检测和防御问题,实时检测和防御公有云上经过加密的数据,达到实时检测和防御的目的。
进一步的,即使CC服务器不断改变自身的IP地址和端口,上述方式也可以达到实时检测和防御的目的。具体的,假设CC服务器当前的IP地址为IP1,则采用上述方式后,非法特征信息包括CC服务器的IP1,从而利用IP1对数据进行拦截。假设CC服务器将自身的IP地址修改为IP2,这个CC服务器仍然会与蜜罐主机进行通信,也就是说,蜜罐主机仍然会将协商的密钥信息发送给流量检测设备,流量检测设备可以利用该密钥信息对流量进行解密,并可以确定出非法特征信息是IP2,因此,可以利用IP2对数据进行拦截。显然,上述方式可以实时检测到CC服务器最新的特征信息(如IP地址和端口等),CC服务器的特征信息在每次变化时,流量检测设备都可以实时检测到变化后的特征信息,从而利用最新的特征信息对数据进行拦截,可以达到实时检测和防御的目的。
基于与上述方法同样的申请构思,本申请实施例中还提供了一种数据处理装置,所述数据处理装置可以应用于流量检测设备。如图3所示,为本申请实施例中提出的数据处理装置的结构图,所述数据处理装置包括:
获取模块301,用于从蜜罐主机获取密钥信息;
解密模块302,用于利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密;
确定模块303,用于当所述解密模块解密后的数据是非法数据时,则利用解密后的数据确定非法特征信息;
拦截模块304,用于利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截。
在一个例子中,所述获取模块301,具体用于在从蜜罐主机获取密钥信息的过程中,接收蜜罐主机发送的密钥信息,所述密钥信息是蜜罐主机与服务器协商的,且所述密钥信息用于对所述蜜罐主机与所述服务器之间的数据进行解密;
其中,所述密钥信息是针对安全套接层SSL加密方式的对称密钥;或者,所述密钥信息是针对传输层安全协议TLS加密方式的对称密钥。
所述解密模块302,具体用于在利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密的过程中,在接收到数据后,利用所述数据的报文特征信息查询映射表,得到与所述报文特征信息对应的密钥信息,利用得到的密钥信息对所述数据进行解密;其中,所述映射表用于记录蜜罐主机与服务器之间的数据的报文特征信息、蜜罐主机与服务器之间的数据的密钥信息的对应关系;
所述解密模块302,还用于接收蜜罐主机发送的密钥信息和报文特征信息,并在映射表中记录所述密钥信息与所述报文特征信息的对应关系。
所述确定模块303,还用于从解密后的数据中解析出应用层内容,并对所述应用层内容进行分析,并根据分析结果确定解密后的数据是非法数据,或者不是非法数据;所述确定模块303,具体用于在利用解密后的数据确定非法特征信息的过程中,从解密后的数据中解析出所述服务器的特征信息,并将所述服务器的特征信息确定为非法特征信息;其中,所述非法特征信息包括以下之一或者任意组合:所述服务器的IP地址、所述服务器的端口、域名信息。
在一个例子中,所述拦截模块304,具体用于在利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截的过程中,若接收到与所述非法特征信息匹配的数据,则丢弃接收到的数据,而不是转发该接收到的数据。
基于与上述方法同样的申请构思,本申请实施例中还提供一种流量检测设备,包括:处理器和机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述处理器执行所述计算机指令时进行如下处理:从蜜罐主机获取密钥信息;利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密;若解密后的数据是非法数据,则利用解密后的数据确定非法特征信息;利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质可以应用于流量检测设备,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被执行时进行如下处理:从蜜罐主机获取密钥信息;利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密;若解密后的数据是非法数据,则利用解密后的数据确定非法特征信息;利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (14)
1.一种数据处理方法,其特征在于,所述方法包括:
从蜜罐主机获取密钥信息;
利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密;
若解密后的数据是非法数据,则利用解密后的数据确定非法特征信息;其中,所述非法特征信息包括以下之一或者任意组合:所述服务器的IP地址、所述服务器的端口、域名信息;
利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截。
2.根据权利要求1所述的方法,其特征在于,
所述从蜜罐主机获取密钥信息的过程,具体包括:
接收蜜罐主机发送的密钥信息,所述密钥信息是蜜罐主机与服务器协商的,且所述密钥信息用于对所述蜜罐主机与所述服务器之间的数据进行解密。
3.根据权利要求2所述的方法,其特征在于,
所述密钥信息是针对安全套接层SSL加密方式的对称密钥;或者,
所述密钥信息是针对传输层安全协议TLS加密方式的对称密钥。
4.根据权利要求1所述的方法,其特征在于,所述利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密的过程,具体包括:
在接收到数据后,利用所述数据的报文特征信息查询映射表,得到与所述报文特征信息对应的密钥信息,并利用得到的密钥信息对所述数据进行解密;
其中,所述映射表用于记录蜜罐主机与服务器之间的数据的报文特征信息、以及蜜罐主机与服务器之间的数据的密钥信息的对应关系。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
接收蜜罐主机发送的密钥信息和报文特征信息;
在映射表中记录所述密钥信息与所述报文特征信息的对应关系。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从解密后的数据中解析出应用层内容,并对所述应用层内容进行分析,并根据分析结果确定解密后的数据是非法数据,或者不是非法数据。
7.根据权利要求1所述的方法,其特征在于,
所述利用解密后的数据确定非法特征信息的过程,具体包括:
从解密后的数据中解析出所述服务器的特征信息;
将所述服务器的特征信息确定为非法特征信息。
8.根据权利要求1所述的方法,其特征在于,所述利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截的过程,具体包括:
若接收到与所述非法特征信息匹配的数据,则丢弃接收到的数据。
9.一种数据处理装置,其特征在于,所述装置包括:
获取模块,用于从蜜罐主机获取密钥信息;
解密模块,用于利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密;
确定模块,用于当所述解密模块解密后的数据是非法数据时,则利用解密后的数据确定非法特征信息;其中,所述非法特征信息包括以下之一或者任意组合:所述服务器的IP地址、所述服务器的端口、域名信息;
拦截模块,用于利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截。
10.根据权利要求9所述的装置,其特征在于,
所述获取模块,具体用于在从蜜罐主机获取密钥信息的过程中,接收蜜罐主机发送的密钥信息,所述密钥信息是蜜罐主机与服务器协商的,且所述密钥信息用于对所述蜜罐主机与所述服务器之间的数据进行解密;
其中,所述密钥信息是针对安全套接层SSL加密方式的对称密钥;或者,所述密钥信息是针对传输层安全协议TLS加密方式的对称密钥。
11.根据权利要求9所述的装置,其特征在于,
所述解密模块,具体用于在利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密的过程中,在接收到数据后,利用所述数据的报文特征信息查询映射表,得到与所述报文特征信息对应的密钥信息,利用得到的密钥信息对所述数据进行解密;其中,所述映射表用于记录蜜罐主机与服务器之间的数据的报文特征信息、蜜罐主机与服务器之间的数据的密钥信息的对应关系;
所述解密模块,还用于接收蜜罐主机发送的密钥信息和报文特征信息,并在映射表中记录所述密钥信息与所述报文特征信息的对应关系。
12.根据权利要求9所述的装置,其特征在于,所述确定模块,还用于从解密后的数据中解析出应用层内容,并对所述应用层内容进行分析,并根据分析结果确定解密后的数据是非法数据,或者不是非法数据;
所述确定模块,具体用于在利用解密后的数据确定非法特征信息的过程中,从解密后的数据中解析出所述服务器的特征信息,并将所述服务器的特征信息确定为非法特征信息。
13.根据权利要求9所述的装置,其特征在于,所述拦截模块,具体用于在利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截的过程中,若接收到与所述非法特征信息匹配的数据,则丢弃接收到的数据。
14.一种流量检测设备,其特征在于,包括:
处理器和机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述处理器执行所述计算机指令时进行如下处理:从蜜罐主机获取密钥信息;利用所述密钥信息对所述蜜罐主机与服务器之间的数据进行解密;若解密后的数据是非法数据,则利用解密后的数据确定非法特征信息;利用所述非法特征信息对所述服务器与傀儡主机之间的数据通信进行拦截;
其中,所述非法特征信息包括以下之一或者任意组合:所述服务器的IP地址、所述服务器的端口、域名信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810597552.3A CN110581836B (zh) | 2018-06-11 | 2018-06-11 | 一种数据处理方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810597552.3A CN110581836B (zh) | 2018-06-11 | 2018-06-11 | 一种数据处理方法、装置及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110581836A CN110581836A (zh) | 2019-12-17 |
CN110581836B true CN110581836B (zh) | 2021-11-30 |
Family
ID=68809500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810597552.3A Active CN110581836B (zh) | 2018-06-11 | 2018-06-11 | 一种数据处理方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110581836B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111431887B (zh) * | 2020-03-19 | 2022-09-30 | 深信服科技股份有限公司 | 一种反向Shell的监测方法、装置、终端设备及介质 |
CN112689283B (zh) * | 2020-12-15 | 2021-11-23 | 青海大学 | 一种密钥保护和协商方法、系统和存储介质 |
CN114050935A (zh) * | 2021-11-16 | 2022-02-15 | 北京网深科技有限公司 | 加密流量实时监控分析的方法及装置 |
CN114726575B (zh) * | 2022-03-02 | 2023-12-29 | 三未信安科技股份有限公司 | 一种检测加密流量关键数据的方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101651579A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 识别僵尸网络的方法及网关设备 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN107241297A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 通信拦截方法及装置、服务器 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101753562B (zh) * | 2009-12-28 | 2012-11-07 | 华为数字技术(成都)有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
US10798125B2 (en) * | 2016-10-27 | 2020-10-06 | Reliance Jio Infocomm Limited | System and method for network entity assisted honeypot access point detection |
-
2018
- 2018-06-11 CN CN201810597552.3A patent/CN110581836B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101651579A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 识别僵尸网络的方法及网关设备 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN107241297A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 通信拦截方法及装置、服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN110581836A (zh) | 2019-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
US12003485B2 (en) | Outbound/inbound lateral traffic punting based on process risk | |
JP6106780B2 (ja) | マルウェア解析システム | |
US9843593B2 (en) | Detecting encrypted tunneling traffic | |
US10333956B2 (en) | Detection of invalid port accesses in port-scrambling-based networks | |
CN110581836B (zh) | 一种数据处理方法、装置及设备 | |
EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
Cheema et al. | [Retracted] Prevention Techniques against Distributed Denial of Service Attacks in Heterogeneous Networks: A Systematic Review | |
JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
Nasser et al. | Provably curb man-in-the-middle attack-based ARP spoofing in a local network | |
Musambo et al. | Identifying Botnets Intrusion & Prevention –A Review | |
Liubinskii | The Great Firewall’s active probing circumvention technique with port knocking and SDN | |
Mitakidis et al. | SnoopyBot: An Android spyware to bridge the mixes in Tor | |
Hussain et al. | Survey Understanding Man-in-the-Middle (MITM) Attacks: Techniques, Tools, and Prevention in the Digital Era | |
Hou et al. | Research on Off-Path Exploits of Network Protocols | |
Andrews | Evaluating the Proliferation and Pervasiveness of Leaking Sensitive Data in the Secure Shell Protocol and in Internet Protocol Camera Frameworks | |
Amin | Implementation of an application for detect and protection against MitM attack | |
Prasad et al. | Symptoms Based Detection and Removal of Bot Processes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40018704 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |