CN114143116B - 加密流量分析方法、装置、电子设备、介质及程序 - Google Patents

加密流量分析方法、装置、电子设备、介质及程序 Download PDF

Info

Publication number
CN114143116B
CN114143116B CN202210111188.1A CN202210111188A CN114143116B CN 114143116 B CN114143116 B CN 114143116B CN 202210111188 A CN202210111188 A CN 202210111188A CN 114143116 B CN114143116 B CN 114143116B
Authority
CN
China
Prior art keywords
function
communication connection
target
memory
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210111188.1A
Other languages
English (en)
Other versions
CN114143116A (zh
Inventor
李博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Original Assignee
Qax Technology Group Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc filed Critical Qax Technology Group Inc
Priority to CN202210111188.1A priority Critical patent/CN114143116B/zh
Publication of CN114143116A publication Critical patent/CN114143116A/zh
Application granted granted Critical
Publication of CN114143116B publication Critical patent/CN114143116B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种加密流量分析方法、装置、电子设备、介质及程序。该方法包括:在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数;其中,所述目标进程是用于运行加密通讯连接且预先设置有所述内存获取函数的进程;通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥;其中,所述目标加密通讯连接为所述目标进程所运行的加密通讯连接。本发明通过在端点运行的目标进程内设置的内存获取函数,便捷地获取了目标进程的加密通讯连接对应的主会话密钥,用于加密数据(流量)分析,极大地节省了网关设备的计算资源,由于没有证书替换的过程,相应地也避免了证书告警。

Description

加密流量分析方法、装置、电子设备、介质及程序
技术领域
本发明涉及信息安全技术领域,尤其涉及一种加密流量分析方法、装置、电子设备、介质及程序。
背景技术
随着HTTPS的普及,大量攻击流量也使用加密流量进行发送接收,对终端和网关设备的流量分析带来困难。
现有的加密流量分析方案大多是在企业网络的网关设备中制造中间人,用中间人转发加密流量的方式做流量分析监控。这样,每个加密通讯连接的加密流量在网关设备都有解密再加密的过程,产生大量计算资源消耗,而且因为中间人存在证书替换,终端容易因为证书替换感知到中间人过程的存在,产生警告。
对于现有技术中利用中间人转发加密流量进行流量分析监控的技术方案存在的计算资源消耗较大,且终端容易产生证书告警的技术缺陷,现亟需一种解决上述缺陷的技术方案。
发明内容
本发明提供一种加密流量分析方法、装置、电子设备、介质及程序,用以解决现有技术中网关设备计算资源消耗较大,且终端容易产生证书告警的技术缺陷。
本发明提供一种加密流量分析方法,包括:
在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数;其中,所述目标进程是用于运行加密通讯连接且预先设置有所述内存获取函数的进程;
通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥;其中,所述目标加密通讯连接为所述目标进程所运行的加密通讯连接。
根据本发明提供的一种加密流量分析方法,在所述目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数之前,方法还包括:
从当前正在运行的进程中,选取用于运行加密通讯连接的进程作为候选进程;
在所述候选进程的内部具有安全传输基础库标识的情况下,为所述候选进程注入动态链接库,得到所述目标进程;其中,所述动态链接库中包含所述内存获取函数。
根据本发明提供的一种加密流量分析方法,所述为候选进程注入动态链接库,包括:
通过网络驱动程序、服务插件程序或独立的动态链接库注入程序为所述候选进程注入动态链接库。
根据本发明提供的一种加密流量分析方法,所述内存获取函数包括钩子函数,所述钩子函数,用于通过所述目标进程内的安全传输基础库的主读函数或主写函数,从所述目标进程的内存中获取对应加密通讯连接的主会话密钥。
根据本发明提供的一种加密流量分析方法,所述内存获取函数包括ReadProcessMemory函数,所述ReadProcessMemory函数,用于直接从所述目标进程的内存中获取所述主会话密钥。
根据本发明提供的一种加密流量分析方法,所述内存获取函数包括日志获取函数,所述日志获取函数,用于从所述目标进程的内存中获取所述目标进程加载的所述目标加密通讯连的日志信息,并根据所述日志信息获取所述主会话密钥。
根据本发明提供的一种加密流量分析方法,在所述通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥之后,方法还包括:
将所述主会话密钥传输至网关设备,以使得所述网关设备对所述目标加密通讯连接所传输的数据进行流量分析。
本发明还提供一种加密流量分析装置,包括:
触发模块,用于在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数;其中,所述目标进程是用于运行加密通讯连接且预先设置有所述内存获取函数的进程;
获取模块,用于通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥;其中,所述目标加密通讯连接为所述目标进程所运行的加密通讯连接。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述加密流量分析方法的全部或部分步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述加密流量分析方法的全部或部分步骤。
本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,所述指令在被执行时用于实现如上述任一种所述加密流量分析方法的全部或部分步骤。
本发明提供的一种加密流量分析方法、装置、电子设备、介质及程序,通过在端点运行的目标进程内设置的内存获取函数,便捷地获取了目标进程的加密通讯连接对应的主会话密钥,用于加密数据(流量)分析,极大地节省了网关设备的计算资源,由于没有证书替换的过程,相应地也避免了证书告警。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的加密流量分析方法的流程示意图;
图2是本发明提供的加密流量分析装置的结构示意图;
图3是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面对本发明的技术思路作简要的说明,企业网络中网络设备发出的加密流量可以经过网关设备发送到外部网络,网络设备也可以通过网关设备接收外部网络发送的加密流量。现有的加密流量分析方案大多是在企业网络的网关设备中制造中间人,用中间人转发加密流量的方式做流量分析监控。这样,每个加密通讯连接的加密流量在网关设备都有解密再加密(再次加密后的密文与解密前的密文不同)的过程,产生大量计算资源消耗,而且因为中间人存在证书替换,终端容易因为证书替换感知到中间人过程的存在,产生警告。
本发明的技术思路是在端点(用户终端,和/或,服务器)的目标进程内部署程序,在目标进程运行加密通讯连接时,通过部署的程序捕获该加密通讯连接的主会话密钥,进而可以利用主会话密钥在端点内做加密流量分析,也可以利用主会话密钥在网关处对加密流量做旁路分析。本发明不必在网关设备处对加密流量进行解密再加密,从而节省了网关设备的计算资源,因为没有证书替换的过程,相应地也不会产生证书告警,即使存在强双端证书验证的应用也不会受到任何干扰。
下面结合图1-图3描述本发明的一种加密流量分析方法、装置、电子设备、介质及程序。
图1是本发明提供的一种加密流量分析方法的流程示意图,如图1所示,该方法包括:
S11、在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数;其中,所述目标进程是用于运行加密通讯连接且预先设置有所述内存获取函数的进程;
具体地,安全传输基础库(例如Schannel、BoringSSL、NSS、OpenSSL等)中包含了构建加密通讯连接过程中所需遵循的协议,所需调用的函数、密钥交换算法、加密算法、解密算法等。在建立加密通讯连接的过程中,进程需要调用安全传输基础库中的主写函数(主write函数)来保存随机数、处理过程中的中间参数以及密钥等数据,调用主读函数(主read函数)来读取存储的随机数、处理过程中的中间参数以及密钥等数据,用于进行密钥计算以及数据加密、数据解密等过程。
目标进程是具有加密通讯连接需求的进程。对于目标进程,本发明预先在目标进程中设置有内存获取函数,在目标进程调用安全传输基础库的主读函数或主写函数时,会触发该内存获取函数,进而可以在目标进程的内存中获取加密通讯连接对应的主会话密钥。主会话密钥可以用于加密通讯连接中数据的加密和解密,因此,获取主会话密钥后,即可利用该主会话密钥对所述加密通讯连接进行加密流量分析。
由于内存获取函数设置在目标进程内部,因而具有访问操作系统为目标进程分配的内存空间的权限,不会因为操作系统的安全策略限制导致密钥获取失败。
S12、通过所述内存获取函数,从目标加密通讯连接所传输的数据中获取主会话密钥;其中,所述目标加密通讯连接为所述目标进程所运行的加密通讯连接。
具体地,内存获取函数是预先设置在目标进程中用于识别并获取主会话密钥的代码,内存获取函数触发后,即可从目标加密通讯连接所传输的数据中获取主会话密钥。需要说明的是,内存获取函数可以从已有连接中获取主会话密钥,还可以从目标进程的新创建的加密通讯连接中获取主会话密钥。例如,运行中的浏览器(对应上述目标进程)与多个网站服务器建立了加密通讯连接,内存获取函数触发后可以从浏览器已有的加密通讯连接中获取主会话密钥,也可以从浏览器后续新建的加密通讯连接中获取主会话密钥。
本实施例通过在端点运行的目标进程内设置的内存获取函数,便捷地获取了目标进程的加密通讯连接对应的主会话密钥,用于加密数据(流量)分析,极大地节省了网关设备的计算资源,由于没有证书替换的过程,相应地也避免了证书告警。
基于上述任一实施例,在一个实施例中,在所述目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数之前,方法还包括:
从当前正在运行的进程中,选取用于运行加密通讯连接的进程作为候选进程;
在所述候选进程的内部具有安全传输基础库标识的情况下,为所述候选进程注入动态链接库,得到所述目标进程;其中,所述动态链接库中包含所述内存获取函数。
可以理解的是,没有加密的通讯连接也无需解密,直接进行流量分析即可,本实施例从当前正在运行的进程中选取用于运行加密通讯连接的进程作为候选进程。然后,在候选进程的内部具有安全传输基础库标识的情况下,为候选进程注入动态链接库,得到所述目标进程。具体地,动态链接库是一种不可执行的二进制程序文件,注入动态链接库使得目标进程可以调用不属于该目标进程本身的函数。该动态链接库可以包含一个或多个已被编译、链接并与使用它们的进程分开存储的函数。动态链接库还有助于共享数据和资源,多个进程可同时访问内存中单个动态链接库副本的内容。
本实施例在候选进程的内部具有安全传输基础库标识的情况下,为候选进程注入动态链接库,对于unix操作系统,动态链接库可以是so文件,对于Windows操作系统,动态链接库可以是DLL文件,此处不作限制。动态链接库中包含内存获取函数,内存获取函数用于通过候选进程内的安全传输基础库的主读函数或主写函数,获取对应加密通讯连接的主会话密钥。
另外需要说明的是,安全传输基础库服务于加密通讯过程,但是安全基础库有多种类型(例如Schannel、BoringSSL、NSS、OpenSSL等),不同类型的安全传输基础库提供了不同的加密通讯方式,实现了多样化的加密通讯功能。因此,在注入动态链接库时,可以根据安全传输基础库标识为候选进程注入对应类型的动态链接库。
本实施例中在当前正在运行的进程中选取了运行加密通讯连接的进程作为候选进程,提高了加密流量分析效率,并在候选进程的内部具有安全传输标识的情况下,为候选进程注入动态链接库,为后续运行或新建加密通讯连接过程中获取加密通讯连接的主会话密钥,根据主会话密钥进行加密流量分析奠定了基础。
基于上述任一实施例,在一个实施例中,所述为候选进程注入动态链接库,包括:
通过网络驱动程序、服务插件程序或独立的动态链接库注入程序为所述候选进程注入动态链接库。
具体地,可以利用网络驱动程序为候选进程注入动态链接库。所有流量的发出都需要利用网络驱动程序通过网卡将数据包发出,基于此特性,可以通过网络驱动程序(技术人员自行编写的网络驱动程序)向候选进程注入动态链接库,实现便捷精准地注入动态链接库;还可以通过服务插件程序为候选进程注入动态链接库,例如nginx插件、apache插件等,服务插件程序作为服务平台的一部分,可以向服务平台提供的多种服务中注入动态链接库;还可以通过独立的动态链接库注入程序为候选进程注入动态链接库,可以理解的是,该独立的动态链接库注入程序并不是其他程序的一部分,仅用于实现动态链接库的注入,在进行动态链接库注入时需要单独启动并运行。
本实施例中通过网络驱动程序、服务插件程序或独立的动态链接库注入程序为所述候选进程自动注入动态链接库,满足了用户多种形态、多种效果的动态链接库注入需求,因为端点内动态链接库注入程序的部署形态多样,可以实现部署时无需重启端点也无需重启服务即可生效。
基于上述任一实施例,在一个实施例中,在所述从当前正在运行的进程中,选取用于运行加密通讯连接的进程作为候选进程之后,方法还包括:
对所述候选进程进行分析,确定所述候选进程的内部是否具有安全传输基础库标识;
将所述候选进程标记为已分析。
具体地,候选进程内部具有安全传输基础库标识时,说明可以利用内存获取函数获取候选进程的加密通讯连即的主会话密钥,可以为候选进程注入动态链接库;候选进程内部没有安全传输基础库标识时,说明无法利用内存获取函数获取候选进程的加密通讯连即的主会话密钥,因此可以放弃注入动态链接库。在对候选进程进行分析后,还可以将候选进程标记为已分析,避免后续重复对该进行分析。
本实施例中通过对候选进程进行分析,确定候选进程的内部是否具有安全传输基础库标识,并将候选进程标记为已分析,避免了对候选进程的重复分析/注入,提高了加密流量分析的效率。
基于上述任一实施例,在一个实施例中,所述内存获取函数包括钩子函数,所述钩子函数,用于通过所述目标进程内的安全传输基础库的主读函数或主写函数,从所述目标进程的内存中获取对应加密通讯连接的主会话密钥。
具体地,可以利用钩子函数(HOOK函数)获取加密通讯的主会话密钥:目标进程建立或运行加密通讯连接时需要调用安全传输基础库的主读函数或主写函数,基于此特性,将目标进程内的安全传输基础库的主读函数或主写函数作为钩子函数的HOOK点。当目标进程调用安全传输基础库的主读函数或主写函数时,则触发钩子函数,钩子函数劫持安全传输基础库的主读函数或主写函数以获取对应加密通讯连接的主会话密钥。
本实施例中通过钩子函数,便捷、准确地获取了加密通讯的主会话密钥。
基于上述任一实施例,在一个实施例中,所述内存获取函数包括ReadProcessMemory函数,所述ReadProcessMemory函数,用于直接从所述目标进程的内存中获取所述主会话密钥。
具体地,ReadProcessMemory函数是操作系统提供的内存访问函数,可以利用操作系统提供的ReadProcessMemory函数直接访问目标进程的内存,从内存中获取主会话密钥。
本实施例中通过ReadProcessMemory函数,便捷、准确地获取了加密通讯的主会话密钥。
基于上述任一实施例,在一个实施例中,所述内存获取函数包括日志获取函数,所述日志获取函数,用于从所述目标进程的内存中获取所述目标进程加载的所述目标加密通讯连接的日志信息,并根据所述日志信息获取所述主会话密钥。
具体地,目标进程的加密通讯连接参数(如数据收发地址等)、密钥等数据会记录到日志中,日志获取函数可以通过网络驱动程序将加密通讯连接的日志导入到目标进程的内存中,并在目标进程的内存中获取主会话密钥。
本实施例中通过日志获取函数,便捷、准确地获取了加密通讯的主会话密钥。
基于上述任一实施例,在一个实施例中,在所述通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥之后,方法还包括:
根据所述主会话密钥,对所述目标加密通讯连接所传输的数据进行解密,得到明文数据;
对所述明文数据进行流量分析。
具体地,可以在端点(用户终端,和/或,服务器)本地,根据得到的主会话密钥对目标加密通讯连接所传输的加密数据进行解密得到明文数据,然后在端点本地进行流量分析,节省了网关设备的计算资源。
本实施例中在端点本地根据主会话密钥对加密数据进行分析,节省了网关设备的计算资源。
基于上述任一实施例,在一个实施例中,在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数之后,方法还包括:通过所述内存获取函数在所述目标进程对所述目标加密通讯连接的明文数据加密之前获取所述目标加密通讯连接的明文数据。
具体地,本实施例中密钥获取函数不仅用于获取主会话密钥,还可以获取加密通讯的明文数据。内存获取函数在目标进程内部,因而可以利用密钥获取函数在直接在目标进程对明文数据加密之前获取所述明文数据,以便根据所述明文数据进行流量分析。
本实施例中通过内存获取函数直接在目标进程内获取目标加密通讯连接的明文数据,省去了数据解密的过程,进一步节省了端点内的计算资源,提升了加密流量分析效率。
基于上述任一实施例,在一个实施例中,在所述通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥之后,方法还包括:
将所述主会话密钥传输至网关设备,以使得所述网关设备对所述目标加密通讯连接所传输的数据进行流量分析。
具体地,将主会话密钥传输至网关设备,网关设备对主会话密钥对应的目标加密通讯连接所传输的加密数据进行流量分析,可以理解的是网关设备将目标加密通讯连接所传输的加密数据复制一份副本后进行旁路流量分析,无需对目标加密通讯连接所传输的加密数据进行解密再加密然后传输给对端,降低了对通讯线路的影响。
本实施例中目标进程中的内存获取函数除了获取目标加密通讯连接的主会话密钥之外,还获取创建目标加密通讯连接过程中的随机数,所述主会话密钥与所述随机数具有对应关系。网关设备中同一时间可能存在处理多个加密通讯连接的加密数据,此时网关设备根据目标加密数据中的随机数确定对应的主会话密钥,用于解密所述目标加密数据。
另外,网关设备在接收到加密数据后,可以先阻塞目标加密通讯连接所传输的加密数据,并利用主会话密钥解密目标加密通讯连接所传输的加密数据,在解密得到的明文数据分析正常后,才对目标加密通讯连接所传输的加密数据放行,从而提升安全性;还可以对原始的加密数据先放行,当流量分析结果异常时才进行告警,从而降低对通讯线路的影响。
本实施例中通过将主会话密钥传输至网关设备,以使得网关设备对目标加密通讯连接所传输的数据进行流量分析,节省了网关设备的计算资源,降低了网关设备流量分析通讯线路的影响。
下面对本发明提供的一种加密流量分析装置进行描述,下文描述的加密流量分析装置与上文描述的加密流量分析方法可相互对应参照。
图2是本发明提供的一种加密流量分析装置的结构示意图,如图1所示,该装置包括:触发模块21、获取模块22;
触发模块21,用于在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数;其中,所述目标进程是用于运行加密通讯连接且预先设置有所述内存获取函数的进程;
获取模块22,用于通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥;其中,所述目标加密通讯连接为所述目标进程所运行的加密通讯连接。
本实施例通过在端点运行的目标进程内设置的内存获取函数,便捷地获取了目标进程的加密通讯连接对应的主会话密钥,用于加密数据(流量)分析,极大地节省了网关设备的计算资源,由于没有证书替换的过程,相应地也避免了证书告警。
基于上述任一实施例,在一个实施例中,所述装置还包括:
选取模块,用于从当前正在运行的进程中,选取用于运行加密通讯连接的进程作为候选进程;
注入模块,用于在所述候选进程的内部具有安全传输基础库标识的情况下,为所述候选进程注入动态链接库,得到所述目标进程;其中,所述动态链接库中包含所述内存获取函数。
本实施例中在当前正在运行的进程中选取了运行加密通讯连接的进程作为候选进程,提高了加密流量分析效率,并在候选进程的内部具有安全传输标识的情况下,为候选进程注入动态链接库,为后续运行或新建加密通讯连接过程中获取加密通讯连接的主会话密钥,根据主会话密钥进行加密流量分析奠定了基础。
基于上述任一实施例,在一个实施例中,所述注入模块,包括:
第一注入单元,用于通过网络驱动程序、服务插件程序或独立的动态链接库注入程序为所述候选进程注入动态链接库。
本实施例中通过网络驱动程序、服务插件程序或独立的动态链接库注入程序为所述候选进程自动注入动态链接库,满足了用户多种形态、多种效果的动态链接库注入需求,因为端点内动态链接库注入程序的部署形态多样,可以实现部署时无需重启端点也无需重启服务即可生效。
基于上述任一实施例,在一个实施例中,所述装置还包括:
标识分析模块,用于对所述候选进程进行分析,确定所述候选进程的内部是否具有安全传输基础库标识;
标记模块,用于将所述候选进程标记为已分析。
本实施例中通过对候选进程进行分析,确定候选进程的内部是否具有安全传输基础库标识,并将候选进程标记为已分析,避免了对候选进程的重复分析/注入,提高了加密流量分析的效率。
基于上述任一实施例,在一个实施例中,所述内存获取函数包括钩子函数,所述钩子函数,用于通过所述目标进程内的安全传输基础库的主读函数或主写函数,从所述目标进程的内存中获取对应加密通讯连接的主会话密钥。
本实施例中通过钩子函数,便捷、准确地获取了加密通讯的主会话密钥。
基于上述任一实施例,在一个实施例中,所述内存获取函数包括ReadProcessMemory函数,所述ReadProcessMemory函数,用于直接从所述目标进程的内存中获取所述主会话密钥。
本实施例中通过ReadProcessMemory函数,便捷、准确地获取了加密通讯的主会话密钥。
基于上述任一实施例,在一个实施例中,所述内存获取函数包括日志获取函数,所述日志获取函数,用于从所述目标进程的内存中获取所述目标进程加载的所述目标加密通讯连接的日志信息,并根据所述日志信息获取所述主会话密钥。
本实施例中通过日志获取函数,便捷、准确地获取了加密通讯的主会话密钥。
基于上述任一实施例,在一个实施例中,所述装置还包括:
解密模块,用于根据所述主会话密钥,对所述目标加密通讯连接所传输的数据进行解密,得到明文数据;
流量分析模块,对所述明文数据进行流量分析。
本实施例中在端点本地根据主会话密钥对加密数据进行分析,节省了网关设备的计算资源。
基于上述任一实施例,在一个实施例中,装置还包括:
明文获取模块,用于通过所述内存获取函数在所述目标进程对所述目标加密通讯连接的明文数据加密之前获取所述目标加密通讯连接的明文数据。
本实施例中通过内存获取函数直接在目标进程内获取目标加密通讯连接的明文数据,省去了数据解密的过程,进一步节省了端点内的计算资源,提升了加密流量分析效率。
基于上述任一实施例,在一个实施例中,所述装置还包括:
传输模块,用于将所述主会话密钥传输至网关设备,以使得所述网关设备对所述目标加密通讯连接所传输的数据进行流量分析。
本实施例中通过将主会话密钥传输至网关设备,以使得网关设备对目标加密通讯连接所传输的数据进行流量分析,节省了网关设备的计算资源,降低了网关设备流量分析通讯线路的影响。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行上述各提供的加密流量分析方法的全部或部分步骤,该方法包括:在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数;其中,所述目标进程是用于运行加密通讯连接且预先设置有所述内存获取函数的进程;通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥;其中,所述目标加密通讯连接为所述目标进程所运行的加密通讯连接。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各提供的加密流量分析方法的全部或部分步骤,该方法包括:在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数;其中,所述目标进程是用于运行加密通讯连接且预先设置有所述内存获取函数的进程;通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥;其中,所述目标加密通讯连接为所述目标进程所运行的加密通讯连接。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的加密流量分析方法的全部或部分步骤,该方法包括:在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数;其中,所述目标进程是用于运行加密通讯连接且预先设置有所述内存获取函数的进程;通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥;其中,所述目标加密通讯连接为所述目标进程所运行的加密通讯连接。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (7)

1.一种加密流量分析方法,其特征在于,包括:
在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数;其中,所述目标进程是用于运行加密通讯连接且预先设置有所述内存获取函数的进程;
通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥;其中,所述目标加密通讯连接为所述目标进程所运行的加密通讯连接;
通过所述内存获取函数在所述目标进程对所述目标加密通讯连接的明文数据加密之前获取所述目标加密通讯连接的明文数据;
根据所述明文数据进行流量分析;
将所述主会话密钥传输至网关设备,以使得所述网关设备对所述目标加密通讯连接所传输的数据进行旁路流量分析;
在所述目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数之前,方法还包括:
从当前正在运行的进程中,选取用于运行加密通讯连接的进程作为候选进程;
对所述候选进程进行分析,确定所述候选进程的内部是否具有安全传输基础库标识;
在所述候选进程的内部具有安全传输基础库标识的情况下,根据所述安全传输基础库标识为所述候选进程注入对应类型的动态链接库,得到所述目标进程;其中,所述动态链接库中包含所述内存获取函数;
所述为候选进程注入动态链接库,包括:
通过网络驱动程序、服务插件程序或独立的动态链接库注入程序为所述候选进程注入动态链接库。
2.根据权利要求1所述的加密流量分析方法,其特征在于,所述内存获取函数包括钩子函数,所述钩子函数,用于通过所述目标进程内的安全传输基础库的主读函数或主写函数,从所述目标进程的内存中获取对应加密通讯连接的主会话密钥。
3.根据权利要求1所述的加密流量分析方法,其特征在于,所述内存获取函数包括ReadProcessMemory函数,所述ReadProcessMemory函数,用于直接从所述目标进程的内存中获取所述主会话密钥。
4.根据权利要求1所述的加密流量分析方法,其特征在于,所述内存获取函数包括日志获取函数,所述日志获取函数,用于从所述目标进程的内存中获取所述目标进程加载的所述目标加密通讯连接的日志信息,并根据所述日志信息获取所述主会话密钥。
5.一种加密流量分析装置,其特征在于,包括:
触发模块,用于在目标进程调用安全传输基础库的主读函数或主写函数的情况下,触发预先设置在所述目标进程中的内存获取函数;其中,所述目标进程是用于运行加密通讯连接且预先设置有所述内存获取函数的进程;
获取模块,用于通过所述内存获取函数,从目标加密通讯连接中获取主会话密钥;其中,所述目标加密通讯连接为所述目标进程所运行的加密通讯连接;
明文获取模块,用于通过所述内存获取函数在所述目标进程对所述目标加密通讯连接的明文数据加密之前获取所述目标加密通讯连接的明文数据;
流量分析模块,用于根据所述明文数据进行流量分析;
传输模块,用于将所述主会话密钥传输至网关设备,以使得所述网关设备对所述目标加密通讯连接所传输的数据进行旁路流量分析;
选取模块,用于从当前正在运行的进程中,选取用于运行加密通讯连接的进程作为候选进程;
标识分析模块,用于对所述候选进程进行分析,确定所述候选进程的内部是否具有安全传输基础库标识;
注入模块,用于在所述候选进程的内部具有安全传输基础库标识的情况下,根据所述安全传输基础库标识为所述候选进程注入对应类型的动态链接库,得到所述目标进程;其中,所述动态链接库中包含所述内存获取函数;
所述注入模块,包括:
第一注入单元,用于通过网络驱动程序、服务插件程序或独立的动态链接库注入程序为所述候选进程注入动态链接库。
6.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述加密流量分析方法的全部或部分步骤。
7.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述加密流量分析方法的全部或部分步骤。
CN202210111188.1A 2022-01-29 2022-01-29 加密流量分析方法、装置、电子设备、介质及程序 Active CN114143116B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210111188.1A CN114143116B (zh) 2022-01-29 2022-01-29 加密流量分析方法、装置、电子设备、介质及程序

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210111188.1A CN114143116B (zh) 2022-01-29 2022-01-29 加密流量分析方法、装置、电子设备、介质及程序

Publications (2)

Publication Number Publication Date
CN114143116A CN114143116A (zh) 2022-03-04
CN114143116B true CN114143116B (zh) 2022-07-26

Family

ID=80381823

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210111188.1A Active CN114143116B (zh) 2022-01-29 2022-01-29 加密流量分析方法、装置、电子设备、介质及程序

Country Status (1)

Country Link
CN (1) CN114143116B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104662551A (zh) * 2012-10-19 2015-05-27 英特尔公司 在网络环境中对加密的数据的检查
CN110995422A (zh) * 2019-11-29 2020-04-10 深信服科技股份有限公司 一种数据分析方法、系统、设备及计算机可读存储介质
CN111132138A (zh) * 2019-12-06 2020-05-08 中国电子科技集团公司电子科学研究院 一种移动应用程序透明通信保护方法与装置
CN111224995A (zh) * 2020-01-15 2020-06-02 成都安舟信息技术有限公司 基于内存分析的ssl/tls网络加密通信信息实时解密方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10375112B2 (en) * 2014-11-19 2019-08-06 At&T Intellectual Property I, L.P. Method and apparatus for decryption of encrypted SSL data from packet traces
US11805107B2 (en) * 2016-10-24 2023-10-31 Nubeva, Inc. Extracting encryption keys to enable monitoring services
US11494484B2 (en) * 2016-10-24 2022-11-08 Nubeva, Inc. Leveraging instrumentation capabilities to enable monitoring services
CN106570414A (zh) * 2016-11-02 2017-04-19 国家计算机网络与信息安全管理中心 一种自动化获取iOSAPP加密通讯数据的方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104662551A (zh) * 2012-10-19 2015-05-27 英特尔公司 在网络环境中对加密的数据的检查
CN110995422A (zh) * 2019-11-29 2020-04-10 深信服科技股份有限公司 一种数据分析方法、系统、设备及计算机可读存储介质
CN111132138A (zh) * 2019-12-06 2020-05-08 中国电子科技集团公司电子科学研究院 一种移动应用程序透明通信保护方法与装置
CN111224995A (zh) * 2020-01-15 2020-06-02 成都安舟信息技术有限公司 基于内存分析的ssl/tls网络加密通信信息实时解密方法

Also Published As

Publication number Publication date
CN114143116A (zh) 2022-03-04

Similar Documents

Publication Publication Date Title
CN106708489B (zh) 设备的调试方法及系统
JP6188785B2 (ja) デコイ暗号鍵を使用したネットワーク侵入検知
CN113179240B (zh) 密钥保护方法、装置、设备及存储介质
US9245118B2 (en) Methods for identifying key logging activities with a portable device and devices thereof
CN105516135A (zh) 用于账号登录的方法和装置
CN114938312B (zh) 一种数据传输方法和装置
CN110602130B (zh) 终端认证系统及方法、设备端、认证服务器
CN108418679B (zh) 一种多数据中心下处理密钥的方法、装置及电子设备
CN114172645A (zh) 通信旁路审计方法、装置、电子设备及存储介质
CN109905352B (zh) 一种基于加密协议审计数据的方法、装置和存储介质
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
CN114143116B (zh) 加密流量分析方法、装置、电子设备、介质及程序
CN113434474A (zh) 基于联邦学习的流量审计方法、设备、存储介质
CN117319046A (zh) 防御DDoS攻击的安全通信方法、系统、设备及介质
CN115567200A (zh) http接口防刷方法、系统及相关设备
CN114915503A (zh) 基于安全芯片的数据流拆分处理加密方法及安全芯片装置
CN113595962B (zh) 一种安全管控的方法、装置和安全管控设备
CN110933028B (zh) 报文传输方法、装置、网络设备及存储介质
EP4135279A1 (en) Information leakage detection method and apparatus, and computer-readable medium
CN113794729A (zh) 针对avp设备的通信处理方法、装置、电子设备与介质
CN113596823A (zh) 切片网络保护方法及装置
CN105120425A (zh) M2m识别方法及装置、物联网终端、m2m识别系统
CN117319088B (zh) 一种阻断违规外联设备的方法、装置、设备及介质
US8995271B2 (en) Communications flow analysis
CN113992363B (zh) 一种基于iec104规约通信的方法、装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant