CN114679322A - 流量安全审计方法、系统、计算机设备 - Google Patents
流量安全审计方法、系统、计算机设备 Download PDFInfo
- Publication number
- CN114679322A CN114679322A CN202210319531.1A CN202210319531A CN114679322A CN 114679322 A CN114679322 A CN 114679322A CN 202210319531 A CN202210319531 A CN 202210319531A CN 114679322 A CN114679322 A CN 114679322A
- Authority
- CN
- China
- Prior art keywords
- traffic
- server
- client
- flow
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 230000004044 response Effects 0.000 claims abstract description 131
- 238000012545 processing Methods 0.000 claims abstract description 50
- 238000004891 communication Methods 0.000 claims abstract description 41
- 230000006399 behavior Effects 0.000 claims abstract description 24
- 238000012544 monitoring process Methods 0.000 claims abstract description 20
- 230000008569 process Effects 0.000 claims abstract description 19
- 238000012550 audit Methods 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 16
- 238000001514 detection method Methods 0.000 claims description 11
- 238000012800 visualization Methods 0.000 abstract description 4
- 230000003993 interaction Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000001914 filtration Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000013480 data collection Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种流量安全审计方法、系统、计算机设备。方法包括实时监测客户端与服务端之间的流量通信状态,当客户端向服务端发送加密请求流量时,建立虚拟服务端以接收与安全处理客户端发送的加密请求流量,建立虚拟客户端以接收经安全处理后的加密请求流量,并将经安全处理后的加密请求流量转发至所述服务端,当服务端向客户端发送加密响应流量时,建立虚拟客户端以接收与安全处理加密响应流量,建立虚拟服务端以接收经安全处理后的加密响应流量,并将经安全处理后的加密响应流量转发至客户端,以实现加密流量可视化,使得隐藏在加密流量中的恶意流量攻击行为、网络入侵行为以及用户的上网行为等都可追踪。
Description
技术领域
本申请涉及网络安全审计技术领域,特别是涉及一种流量安全审计方法、系统、计算机设备。
背景技术
现有社会中,网络通信技术越来越发达,网络通信已经成为了人们沟通交流的主要方式之一,随着网络通信技术在大众生活中的重要性越来越高,大众也越来越重视网络通信流量数据的保密性和安全性。安全传输层协议作为一种使用范围最广、适用性最强的通信技术之一,越来越受到大众的青睐;其工作原理为:应用于两个通信应用程序之间提供保密性、安全性和数据完整性。但是,安全传输层在带来通信安全的同时,也会受到非常多的非法网络的入侵和攻击。并且随着科技水平的不断提升,恶意流量攻击变得更加隐蔽,越来越多的网络攻击者利用安全传输层协议加密通道来实现恶意软件载荷和漏洞利用的投递和分发,但绝大多数的网络流量分析工具对携带恶意行为的加密流量是无法识别的,
因此,急需提出一种实现网络行为可追踪、可监管,网络流量可分析、可审计的流量安全审计方法、系统、计算机设备。
发明内容
基于此,有必要针对上述技术问题,提供一种能够实现对网络行为的监管和追踪,实现对网络流量的分析和审计的流量安全审计方法、系统、计算机设备。
一方面,提供一种流量安全审计方法,所述方法包括:
步骤A:实时监测客户端与服务端之间的流量通信状态;
步骤B:当所述客户端向所述服务端发送加密请求流量时,建立虚拟服务端以接收与安全处理所述客户端发送的加密请求流量,建立虚拟客户端以接收经安全处理后的所述加密请求流量,并将经安全处理后的所述加密请求流量转发至所述服务端;
步骤C:当所述服务端向所述客户端发送加密响应流量时,建立虚拟客户端以接收与安全处理所述加密响应流量,建立虚拟服务端以接收经安全处理后的加密响应流量,并将经安全处理后的所述加密响应流量转发至所述客户端。
在其中一个实施例中,所述客户端与所述服务端之间的流量通信状态包括:所述客户端发送加密请求流量至所述服务端;所述服务端发送加密响应流量至所述客户端。
在其中一个实施例中,当所述客户端向所述服务端发送加密请求流量时,方法还包括:所述虚拟服务端解密所述客户端发送的加密请求流量,生成第一解密请求流量;基于恶意流量拦截规则,对存在于所述第一解密请求流量中的恶意流量进行拦截,生成第二解密请求流量;建立虚拟客户端以接收、加密所述第二解密请求流量,并将经加密后的第二解密请求流量转发至所述服务端。
在其中一个实施例中,当所述服务端向所述客户端发送响应流量时,所述方法还包括:所述服务端对应经加密后的第二解密流量生成加密响应流量,建立虚拟客户端以解密所述加密响应流量,生成第一解密响应流量;基于恶意流量拦截规则,对存在于所述第一解密响应流量中的恶意流量进行拦截,生成第二解密响应流量;建立虚拟服务端以接收、加密所述第二解密响应流量,并将经加密后的第二解密响应流量转发至所述客户端。
在其中一个实施例中,在生成第二解密响应流量前,所述方法还包括:当所述客户端向所述服务端发送加密请求流量时,获取并存储所述服务端证书;当所述虚拟客户端发送第二解密响应流量至所述虚拟服务端时,对所述服务端证书进行重新签名;将重新签名的服务端证书发送至所述虚拟服务端。
在其中一个实施例中,所述客户端与所述服务端之间采用透明网桥模式;当所述服务端未响应所述客户端发送的加密请求流量,和/或,所述客户端未响应所述服务端发送的加密响应流量时,则将所述透明网桥模式切换为连通状态。
在其中一个实施例中,所述方法还包括:获取存在于所述第一解密请求流量和第一解密响应流量中的恶意流量,及与所述恶意流量对应的恶意流量拦截行为及恶意流量拦截结果;基于恶意流量类别,将恶意流量、恶意流量拦截行为及恶意流量拦截结果进行分析存储。
在其中一个实施例中,所述方法还包括:获取、分析所述客户端与所述服务端之间的流量,所述流量包括加密请求流量和加密响应流量;还原所述流量,并对应所述流量生成入侵检测日志和安全日志;获取基于所述恶意流量拦截规则对所述流量进行的恶意流量拦截操作记录;基于流量类别,对应存储所述安全入侵检测日志、安全日志、恶意流量拦截操作记录、还原前的流量和还原后的流量,以实现对流量的安全审计。
另一方面,提供了一种流量安全审计系统,所述系统连接于客户端与服务端之间;所述系统包括状态监测单元,虚拟服务端和虚拟客户端;所述状态监测单元以用于实时监测客户端与服务端之间的流量通信状态;
当所述客户端向所述服务端发送加密请求流量时,所述虚拟服务端,以用于接收与安全处理所述客户端发送的加密请求流量;所述虚拟客户端,以用于接收经安全处理后的所述加密请求流量,并将经安全处理后的所述加密请求流量转发至所述服务端;
当所述服务端向所述客户端发送加密响应流量时,所述虚拟服务端,以用于接收经安全处理后的加密响应流量,并将经安全处理后的所述加密响应流量转发至所述客户端;所述虚拟客户端,以用于接收与安全处理所述加密响应流量。
再一方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
步骤A:实时监测客户端与服务端之间的流量通信状态;
步骤B:当所述客户端向所述服务端发送加密请求流量时,建立虚拟服务端以接收与安全处理所述客户端发送的加密请求流量,建立虚拟客户端以接收经安全处理后的所述加密请求流量,并将经安全处理后的所述加密请求流量转发至所述服务端;
步骤C:当所述服务端向所述客户端发送加密响应流量时,建立虚拟客户端以接收与安全处理所述加密响应流量,建立虚拟服务端以接收经安全处理后的加密响应流量,并将经安全处理后的所述加密响应流量转发至所述客户端。
上述流量安全审计方法、系统、计算机设备,所述方法包括实时监测客户端与服务端之间的流量通信状态,即只要客户端与服务端之间发生流量通信,就相应地启动对客户端与服务端之间的通信流量进行监测;当所述客户端向所述服务端发送加密请求流量时,建立虚拟服务端以接收与安全处理所述客户端发送的加密请求流量,建立虚拟客户端以接收经安全处理后的所述加密请求流量,并将经安全处理后的所述加密请求流量转发至所述服务端;当所述服务端向所述客户端发送加密响应流量时,建立虚拟客户端以接收与安全处理所述加密响应流量,建立虚拟服务端以接收经安全处理后的加密响应流量,并将经安全处理后的所述加密响应流量转发至所述客户端。基于本申请所述的流量安全审计方法实现了加密流量可视化,使得隐藏在加密流量中的恶意流量攻击行为、网络入侵行为以及用户的上网行为等都可追踪。
附图说明
图1为一个实施例中流量安全审计方法的流程示意图;
图2为一个实施例中流量安全审计方法的流程示意图;
图3为一个实施例中流量安全审计方法的流程示意图;
图4为一个实施例中流量安全审计系统的结构框图;
图5为一个实施例中流量安全审计系统的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
实施例一
本申请提供的一种流量安全审计方法,如图1所示,所述方法包括以下步骤:
步骤A,实时监测客户端与服务端之间的流量通信状态;
步骤B,当所述客户端向所述服务端发送加密请求流量时,建立虚拟服务端以接收与安全处理所述客户端发送的加密请求流量,建立虚拟客户端以接收经安全处理后的所述加密请求流量,并将经安全处理后的所述加密请求流量转发至所述服务端;
步骤C,当所述服务端向所述客户端发送加密响应流量时,建立虚拟客户端以接收与安全处理所述加密响应流量,建立虚拟服务端以接收经安全处理后的加密响应流量,并将经安全处理后的所述加密响应流量转发至所述客户端。
其中,步骤A中所述的流量通信状态指的是所述客户端发送请求流量至服务端,和,所述服务端返回响应流量至客户端。并且需要理解的是,所述响应流量是基于请求流量生成的,即基于请求流量可以对应生成响应流量。具体地,实时监测客户端与服务端之间的流量通信状态即检测客户端与服务端是否存在通信流量交互,所述的通信流量交互可以包括:所述客户端发送请求流量至服务端;也可以包括:所述服务端发送响应流量至客户端。
需要理解地是,所述虚拟服务端与虚拟客户端可以是在监测到客户端与服务端之间存在通信流量交互后生成的,也可以是一直存在的。即在实际的应用场景中,虚拟客户端与虚拟服务端可以是在监测到客户端与服务端之间存在通信流量交互之后才生成的,所述虚拟客户端的功能、性能等参数信息可以是与客户端完全一致的,虚拟服务端的功能、性能等参数信息也可以是与服务端完全一致的。需要理解的是,在实际的应用场景中,虚拟客户端与虚拟服务端的作用在于对客户端发出的请求流量和服务端返回的响应流量进行预处理,以防止存在于请求流量,和/或,响应流量中的恶意流量对服务端和客户端造成损害。
具体地,当监测到客户端与服务端之间存在通信流量交互时,再建立生成虚拟客户端与虚拟服务端一方面可以保证虚拟客户端与虚拟服务端与实际的客户端与实际的服务端的等效性和高度适配性;也就是说,由于虚拟客户端与虚拟服务端不是一个固化的常态化端口,只是在监测到客户端与服务端之间存在通信流量交互后,才对应客户端与服务端生成建立的,那么当技术人员对服务端或客户端的性能参数进行变更时,无需再对虚拟客户端与虚拟服务端进行等效操作;另一方面,如果将虚拟客户端与虚拟服务端设置为常态化端口,会增加虚拟客户端与虚拟服务端的被攻击性;也就是说,如何虚拟客户端与虚拟服务端是一直存在的,那么不法分子可能会对虚拟客户端与虚拟服务端进行攻击,会大大减弱虚拟客户端与虚拟服务端的防护力。
上述流量安全审计方法中,基于客户端与服务端之间的通信流量交互,实现了通信流量的可视化,有效地剔除了夹带在通信流量中的恶意流量,提升了客户端与服务端之间的流量通信的安全性。
在一个实施例中,如图2所示,当所述客户端向所述服务端发送加密请求流量时,方法还包括:所述虚拟服务端解密所述客户端发送的加密请求流量,生成第一解密请求流量;基于恶意流量拦截规则,对存在于所述第一解密请求流量中的恶意流量进行拦截,生成第二解密请求流量;建立虚拟客户端以接收、加密所述第二解密请求流量,并将经加密后的第二解密请求流量转发至所述服务端。
在一个实施例中,如图3所示,当所述服务端向所述客户端发送响应流量时,所述方法还包括:
所述服务端对应经加密后的第二解密流量生成加密响应流量,建立虚拟客户端以解密所述加密响应流量,生成第一解密响应流量;基于恶意流量拦截规则,对存在于所述第一解密响应流量中的恶意流量进行拦截,生成第二解密响应流量;建立虚拟服务端以接收、加密所述第二解密响应流量,并将经加密后的第二解密响应流量转发至所述客户端。基于虚拟客户端与虚拟服务端对通信流量进行分析,实现了通信流量的可视化、可监管性,使得隐藏在加密流量中的恶意流量攻击行为、网络入侵行为以及用户的上网行为等都变得可追踪、可净化。
其中,恶意流量拦截规则可以包括:黑白过滤名单和敏感信息拦截;黑白过滤名单可以包括黑名单和白名单。需要理解的是,客户端发送的请求流量和服务端发送的响应流量中包含许多的流量信息,其中,黑名单即表示请求流量或响应流量中的某一些流量信息若存在于黑名单中,则直接将该部分信息直接过滤剔除,白名单即表示请求流量或响应流量中的某一些流量信息若存在于白名单中,则直接将该部分信息转送至虚拟客户端,不再对此部分信息进行处理。需要理解的是,请求流量或响应流量中极有可能存在一部分流量信息既不存在于白名单中,也不存在于黑名单中,那么就要对这部分进行重点分析处理。所谓重点分析处理可以包括敏感信息拦截,比如:在实际的应用场景中,本领域的技术人员将人民币及与其相关的符号作为敏感字眼,即若请求流量和响应流量中存在此类敏感字眼时,则对此类敏感字眼对应的流量信息,基于特定的敏感信息处理规则,对此类敏感字眼对应的流量信息进行处理。同样需要理解的是,敏感信息处理规则可以包括:将定义的敏感字眼对应的流量信息直接过滤剔除,也可以包括将定义的敏感字眼对应的流量信息发送至人工,由技术人员结合实际场景作进一步地判断。
在一个实施例中,在生成第二解密响应流量前,所述方法还包括:当所述客户端向所述服务端发送加密请求流量时,获取并存储所述服务端证书;当所述虚拟客户端发送第二解密响应流量至所述虚拟服务端时,对所述服务端证书进行重新签名;将重新签名的服务端证书发送至所述虚拟服务端。
在一个实施例中,客户端与所述服务端之间采用透明网桥模式,以保证客户端与服务端之间可以长期稳定地处于可通信状态,即保证客户端与服务端通信时,不需要修改接入网络的网络结构。其中,透明网桥模式可以包括一对BYPASS网卡,即客户端与服务端之间设置有一对BYPASS网卡。透明网桥模式可以包括两个链层,即透明网桥模式可以包括网络层和数据链路层,网络层可以包括NetFilter模块,数据链路层可以包括Bridge-NF模块。其中,NetFilter模块可以选择性对通信流量进行劫持,对用户关心的通信流量进行过滤,作为数据输入,进行通信流量监控和分析。
在一个实施例中,当所述服务端未响应所述客户端发送的加密请求流量,和/或,所述客户端未响应所述服务端发送的加密响应流量时,则将所述透明网桥模式切换为连通状态。即当由于系统故障或意外断电,导致客户端与服务端之间无法进行通信流量交互时,基于透明网桥模式以保证客户端与服务端之间的正常流量通信。
在一个实施例中,本实施例所述的流量安全审计方法还包括:获取存在于所述第一解密请求流量和第一解密响应流量中的恶意流量,及与所述恶意流量对应的恶意流量拦截行为及恶意流量拦截结果;基于恶意流量类别,将恶意流量、恶意流量拦截行为及恶意流量拦截结果进行分析存储。其中,所述恶意流量类别可以包括但是不限于:黑名单恶意流量,还可以包括本领域的技术人员定义的其它的恶意流量类别,比如:敏感字眼流量。将恶意流量、恶意流量拦截行为及恶意流量拦截结果基于恶意流量类别进行分类存储分析,一方面可以方便技术人员对拦截的恶意流量进行获取分析;另一方面,可以对比得到出现频次较高的恶意流量类别,有利于实现本领域技术人员对恶意流量拦截规则的更新,以实现整个流量安全审计方法的不断升级。
在一个实施例中,流量安全审计方法还包括:获取、分析所述客户端与所述服务端之间的流量,所述流量包括加密请求流量和加密响应流量;还原所述流量,并对应所述流量生成入侵检测日志和安全日志;获取基于所述恶意流量拦截规则对所述流量进行的恶意流量拦截操作记录;基于流量类别,对应存储所述安全入侵检测日志、安全日志、恶意流量拦截操作记录、还原前的流量和还原后的流量,以实现对流量的安全审计。
其中,还原前的流量即表示经过恶意流量拦截规则拦截、经过虚拟服务端和虚拟客户端处理之后的请求流量和响应流量;还原后的流量即表示未经过恶意流量拦截规则拦截、未经过虚拟服务端和虚拟客户端处理的请求流量和响应流量,也就是说,还原后的流量指的是客户端发出的请求流量和服务端发出的响应流量。
应该理解的是,本申请所述的响应流量包括加密响应流量和解密响应流量,所述的请求流量包括加密请求流量和解密请求流量。虽然图1-3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-3中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
实施例二
在一个实施例中,提供了一种流量安全审计方法,方法包括:
步骤A:实时监测客户端与服务端之间的流量通信状态;
步骤B:当所述客户端向所述服务端发送加密请求流量时,建立虚拟服务端以接收与安全处理所述客户端发送的加密请求流量,建立虚拟客户端以接收经安全处理后的所述加密请求流量,并将经安全处理后的所述加密请求流量转发至所述服务端;
步骤C:当所述服务端向所述客户端发送加密响应流量时,建立虚拟客户端以接收与安全处理所述加密响应流量,建立虚拟服务端以接收经安全处理后的加密响应流量,并将经安全处理后的所述加密响应流量转发至所述客户端。
在一个实施例中,所述客户端与所述服务端之间的流量通信状态包括:所述客户端发送加密请求流量至所述服务端;所述服务端发送加密响应流量至所述客户端。
在一个实施例中,当所述客户端向所述服务端发送加密请求流量时,方法还包括:所述虚拟服务端解密所述客户端发送的加密请求流量,生成第一解密请求流量;基于恶意流量拦截规则,对存在于所述第一解密请求流量中的恶意流量进行拦截,生成第二解密请求流量;建立虚拟客户端以接收、加密所述第二解密请求流量,并将经加密后的第二解密请求流量转发至所述服务端。
在一个实施例中,当所述服务端向所述客户端发送响应流量时,所述方法还包括:所述服务端对应经加密后的第二解密流量生成加密响应流量,建立虚拟客户端以解密所述加密响应流量,生成第一解密响应流量;基于恶意流量拦截规则,对存在于所述第一解密响应流量中的恶意流量进行拦截,生成第二解密响应流量;建立虚拟服务端以接收、加密所述第二解密响应流量,并将经加密后的第二解密响应流量转发至所述客户端。
在一个实施例中,在生成第二解密响应流量前,所述方法还包括:当所述客户端向所述服务端发送加密请求流量时,获取并存储所述服务端证书;当所述虚拟客户端发送第二解密响应流量至所述虚拟服务端时,对所述服务端证书进行重新签名;将重新签名的服务端证书发送至所述虚拟服务端。
在一个实施例中,所述客户端与所述服务端之间采用透明网桥模式;当所述服务端未响应所述客户端发送的加密请求流量,和/或,所述客户端未响应所述服务端发送的加密响应流量时,则将所述透明网桥模式切换为连通状态。
在一个实施例中,所述方法还包括:获取存在于所述第一解密请求流量和第一解密响应流量中的恶意流量,及与所述恶意流量对应的恶意流量拦截行为及恶意流量拦截结果;基于恶意流量类别,将恶意流量、恶意流量拦截行为及恶意流量拦截结果进行分析存储。
在一个实施例中,所述方法还包括:获取、分析所述客户端与所述服务端之间的流量,所述流量包括加密请求流量和加密响应流量;还原所述流量,并对应所述流量生成入侵检测日志和安全日志;获取基于所述恶意流量拦截规则对所述流量进行的恶意流量拦截操作记录;基于流量类别,对应存储所述安全入侵检测日志、安全日志、恶意流量拦截操作记录、还原前的流量和还原后的流量,以实现对流量的安全审计。
实施例三
在一个实施例中,提供了一种流量安全审计系统,如图4和图5所示,所述系统连接于客户端与服务端之间;所述系统包括状态监测单元,虚拟服务端和虚拟客户端;
其中,所述状态监测单元以用于实时监测客户端与服务端之间的流量通信状态;当所述客户端向所述服务端发送加密请求流量时,所述虚拟服务端,以用于接收与安全处理所述客户端发送的加密请求流量;所述虚拟客户端,以用于接收经安全处理后的所述加密请求流量,并将经安全处理后的所述加密请求流量转发至所述服务端;当所述服务端向所述客户端发送加密响应流量时,所述虚拟服务端,以用于接收经安全处理后的加密响应流量,并将经安全处理后的所述加密响应流量转发至所述客户端;所述虚拟客户端,以用于接收与安全处理所述加密响应流量。
在一个实施例中,所述系统还包括恶意流量拦截单元,所述恶意流量拦截单元连接于虚拟客户端与虚拟服务端之间,所述恶意流量拦截单元基于恶意流量拦截规则,以实现对存在于第一解密请求流量或第一解密响应流量中的恶意流量进行拦截。
在一个实施例中,所述恶意流量拦截单元可以包括黑白名单过滤模块、证书重签模块和规则过滤模块。
在一个实施例中,所述系统还包括存储单元,所述存储单元连接于恶意流量拦截单元,所述存储单元基于恶意流量类别,以实现将恶意流量、恶意流量拦截行为及恶意流量拦截结果进行分析存储。
在一个实施例中,所述系统还包括IDS单元,所述IDS单元连接于客户端与服务端之间,所述IDS单元基于流量类别,以用于对应存储所述安全入侵检测日志、安全日志、恶意流量拦截操作记录、还原前的流量和还原后的流量,以实现对流量的安全审计。
在一个实施例中,所述系统还包括数据收集引擎,所述数据收集引擎与IDS单元和存储单元连接,所述数据收集引擎基于存储于IDS单元和存储单元的流量信息,以实现对流量信息的监控和审计。除此之外,本领域的技术人员还可以通过对存储在IDS单元和存储单元的流量信息进行获取分析,以实现对恶意拦截规则的更新。
关于流量安全审计系统的具体限定可以参见上文中对于流量安全审计方法的限定,在此不再赘述。上述流量安全审计系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
实施例四
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储请求流量和响应流量数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种流量安全审计方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
步骤A:实时监测客户端与服务端之间的流量通信状态,所述客户端与所述服务端之间的流量通信状态包括:所述客户端发送加密请求流量至所述服务端;所述服务端发送加密响应流量至所述客户端;
步骤B:当所述客户端向所述服务端发送加密请求流量时,建立虚拟服务端以接收与安全处理所述客户端发送的加密请求流量,建立虚拟客户端以接收经安全处理后的所述加密请求流量,并将经安全处理后的所述加密请求流量转发至所述服务端;
步骤C:当所述服务端向所述客户端发送加密响应流量时,建立虚拟客户端以接收与安全处理所述加密响应流量,建立虚拟服务端以接收经安全处理后的加密响应流量,并将经安全处理后的所述加密响应流量转发至所述客户端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当所述客户端向所述服务端发送加密请求流量时,所述虚拟服务端解密所述客户端发送的加密请求流量,生成第一解密请求流量;基于恶意流量拦截规则,对存在于所述第一解密请求流量中的恶意流量进行拦截,生成第二解密请求流量;建立虚拟客户端以接收、加密所述第二解密请求流量,并将经加密后的第二解密请求流量转发至所述服务端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当所述服务端向所述客户端发送加密响应流量时,所述服务端对应经加密后的第二解密流量生成加密响应流量,建立虚拟客户端以解密所述加密响应流量,生成第一解密响应流量;基于恶意流量拦截规则,对存在于所述第一解密响应流量中的恶意流量进行拦截,生成第二解密响应流量;建立虚拟服务端以接收、加密所述第二解密响应流量,并将经加密后的第二解密响应流量转发至所述客户端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当所述客户端向所述服务端发送加密请求流量时,获取并存储所述服务端证书;当所述虚拟客户端发送第二解密响应流量至所述虚拟服务端时,对所述服务端证书进行重新签名;将重新签名的服务端证书发送至所述虚拟服务端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当所述服务端未响应所述客户端发送的加密请求流量,和/或,所述客户端未响应所述服务端发送的加密响应流量时,则将所述透明网桥模式切换为连通状态。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取存在于所述第一解密请求流量和第一解密响应流量中的恶意流量,及与所述恶意流量对应的恶意流量拦截行为及恶意流量拦截结果;基于恶意流量类别,将恶意流量、恶意流量拦截行为及恶意流量拦截结果进行分析存储。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取、分析所述客户端与所述服务端之间的流量,所述流量包括加密请求流量和加密响应流量;还原所述流量,并对应所述流量生成入侵检测日志和安全日志;获取基于所述恶意流量拦截规则对所述流量进行的恶意流量拦截操作记录;基于流量类别,对应存储所述安全入侵检测日志、安全日志、恶意流量拦截操作记录、还原前的流量和还原后的流量,以实现对流量的安全审计。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种流量安全审计方法,其特征在于,所述方法包括:
实时监测客户端与服务端之间的流量通信状态;
当所述客户端向所述服务端发送加密请求流量时,建立虚拟服务端以接收与安全处理所述客户端发送的加密请求流量,建立虚拟客户端以接收经安全处理后的所述加密请求流量,并将经安全处理后的所述加密请求流量转发至所述服务端;
当所述服务端向所述客户端发送加密响应流量时,建立虚拟客户端以接收与安全处理所述加密响应流量,建立虚拟服务端以接收经安全处理后的加密响应流量,并将经安全处理后的所述加密响应流量转发至所述客户端。
2.根据权利要求1所述的流量安全审计方法,其特征在于,所述客户端与所述服务端之间的流量通信状态包括:所述客户端发送加密请求流量至所述服务端;所述服务端发送加密响应流量至所述客户端。
3.根据权利要求2所述的流量安全审计方法,其特征在于,当所述客户端向所述服务端发送加密请求流量时,方法还包括:
所述虚拟服务端解密所述客户端发送的加密请求流量,生成第一解密请求流量;
基于恶意流量拦截规则,对存在于所述第一解密请求流量中的恶意流量进行拦截,生成第二解密请求流量;
建立虚拟客户端以接收、加密所述第二解密请求流量,并将经加密后的第二解密请求流量转发至所述服务端。
4.根据权利要求1或2所述的流量安全审计方法,其特征在于,当所述服务端向所述客户端发送加密响应流量时,所述方法还包括:
所述服务端对应经加密后的第二解密流量生成加密响应流量,建立虚拟客户端以解密所述加密响应流量,生成第一解密响应流量;
基于恶意流量拦截规则,对存在于所述第一解密响应流量中的恶意流量进行拦截,生成第二解密响应流量;
建立虚拟服务端以接收、加密所述第二解密响应流量,并将经加密后的第二解密响应流量转发至所述客户端。
5.根据权利要求4所述的流量安全审计方法,其特征在于,在生成第二解密响应流量前,所述方法还包括:
当所述客户端向所述服务端发送加密请求流量时,获取并存储所述服务端证书;
当所述虚拟客户端发送第二解密响应流量至所述虚拟服务端时,对所述服务端证书进行重新签名;
将重新签名的服务端证书发送至所述虚拟服务端。
6.根据权利要求1或5所述的流量安全审计方法,其特征在于,所述客户端与所述服务端之间采用透明网桥模式;
当所述服务端未响应所述客户端发送的加密请求流量,和/或,所述客户端未响应所述服务端发送的加密响应流量时,则将所述透明网桥模式切换为连通状态。
7.根据权利要求3或5所述的流量安全审计方法,其特征在于,所述方法还包括:
获取存在于所述第一解密请求流量和第一解密响应流量中的恶意流量,及与所述恶意流量对应的恶意流量拦截行为和恶意流量拦截结果;
基于恶意流量类别,将恶意流量、恶意流量拦截行为及恶意流量拦截结果进行分析存储。
8.根据权利要求3或5所述的流量安全审计方法,其特征在于,所述方法还包括:获取、分析所述客户端与所述服务端之间的流量,所述流量包括加密请求流量和加密响应流量;
还原所述流量,并对应所述流量生成入侵检测日志和安全日志;
获取基于所述恶意流量拦截规则对所述流量进行的恶意流量拦截操作记录;
基于流量类别,对应存储所述安全入侵检测日志、安全日志、恶意流量拦截操作记录、还原前的流量和还原后的流量,以实现对流量的安全审计。
9.一种加密流量安全审计系统,其特征在于,所述系统连接于客户端与服务端之间;所述系统包括状态监测单元,虚拟服务端和虚拟客户端;
所述状态监测单元以用于实时监测客户端与服务端之间的流量通信状态;
当所述客户端向所述服务端发送加密请求流量时,
所述虚拟服务端,以用于接收与安全处理所述客户端发送的加密请求流量;
所述虚拟客户端,以用于接收经安全处理后的所述加密请求流量,并将经安全处理后的所述加密请求流量转发至所述服务端;
当所述服务端向所述客户端发送加密响应流量时,
所述虚拟服务端,以用于接收经安全处理后的加密响应流量,并将经安全处理后的所述加密响应流量转发至所述客户端;
所述虚拟客户端,以用于接收与安全处理所述加密响应流量。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210319531.1A CN114679322A (zh) | 2022-03-29 | 2022-03-29 | 流量安全审计方法、系统、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210319531.1A CN114679322A (zh) | 2022-03-29 | 2022-03-29 | 流量安全审计方法、系统、计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114679322A true CN114679322A (zh) | 2022-06-28 |
Family
ID=82075288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210319531.1A Pending CN114679322A (zh) | 2022-03-29 | 2022-03-29 | 流量安全审计方法、系统、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114679322A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116633686A (zh) * | 2023-07-19 | 2023-08-22 | 杭州海康威视数字技术股份有限公司 | 一种安全网关自适应访问控制的方法、装置及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130254879A1 (en) * | 2012-03-21 | 2013-09-26 | Radware, Ltd. | Method and system for detecting and mitigating attacks performed using cryptographic protocols |
| CN106169990A (zh) * | 2016-06-22 | 2016-11-30 | 北京奇虎科技有限公司 | 一种加密流量数据监控的方法、装置及系统 |
| CN112866244A (zh) * | 2021-01-15 | 2021-05-28 | 中国电子科技集团公司第十五研究所 | 基于虚拟网络环境的网络流量沙箱检测方法 |
| CN114139192A (zh) * | 2022-02-07 | 2022-03-04 | 奇安信科技集团股份有限公司 | 加密流量处理方法、装置、电子设备、介质及程序 |
-
2022
- 2022-03-29 CN CN202210319531.1A patent/CN114679322A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130254879A1 (en) * | 2012-03-21 | 2013-09-26 | Radware, Ltd. | Method and system for detecting and mitigating attacks performed using cryptographic protocols |
| CN106169990A (zh) * | 2016-06-22 | 2016-11-30 | 北京奇虎科技有限公司 | 一种加密流量数据监控的方法、装置及系统 |
| CN112866244A (zh) * | 2021-01-15 | 2021-05-28 | 中国电子科技集团公司第十五研究所 | 基于虚拟网络环境的网络流量沙箱检测方法 |
| CN114139192A (zh) * | 2022-02-07 | 2022-03-04 | 奇安信科技集团股份有限公司 | 加密流量处理方法、装置、电子设备、介质及程序 |
Non-Patent Citations (1)
| Title |
|---|
| 郭建伟: "FirePower的AMP防护之道", 网络安全和信息化, no. 02, pages 134 - 138 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116633686A (zh) * | 2023-07-19 | 2023-08-22 | 杭州海康威视数字技术股份有限公司 | 一种安全网关自适应访问控制的方法、装置及电子设备 |
| CN116633686B (zh) * | 2023-07-19 | 2023-09-29 | 杭州海康威视数字技术股份有限公司 | 一种安全网关自适应访问控制的方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110602046B (zh) | 数据监控处理方法、装置、计算机设备和存储介质 | |
| Dahlmanns et al. | Easing the conscience with OPC UA: An internet-wide study on insecure deployments | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| EP3433749B1 (en) | Identifying and trapping wireless based attacks on networks using deceptive network emulation | |
| CN114826880B (zh) | 一种数据安全运行在线监测系统 | |
| CN116132989B (zh) | 一种工业互联网安全态势感知系统及方法 | |
| CN112787985B (zh) | 一种漏洞的处理方法、管理设备以及网关设备 | |
| US20220038478A1 (en) | Confidential method for processing logs of a computer system | |
| CN114679322A (zh) | 流量安全审计方法、系统、计算机设备 | |
| KR100607110B1 (ko) | 종합 보안 상황 관리 시스템 | |
| CN113596060A (zh) | 一种网络安全应急响应方法及系统 | |
| CN113923021A (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| Parmar | Data security, intrusion detection, database access control, policy creation and anomaly response systems-A review | |
| Gaharwar et al. | Android data leakage and anomaly based Intrusion detection System | |
| CN115102725B (zh) | 一种工业机器人的安全审计方法、装置及介质 | |
| Cunha | Cybersecurity Threats for a Web Development | |
| CN113660291B (zh) | 智慧大屏显示信息恶意篡改防护方法及装置 | |
| Pătraşcu et al. | Cyber security evaluation of critical infrastructures systems | |
| EP4365742A1 (en) | Computer-implemented system and method for recovering data in case of a computer network failure | |
| CN112995220A (zh) | 一种用于计算机网络安全数据保密系统 | |
| Kumar | The cram of Network Security with Its stabbing Attacks and likely Security Mechanisms | |
| Patel et al. | Analyzing Security Vulnerability and Forensic Investigation of ROS2: A Case Study | |
| CN113765859A (zh) | 网络安全过滤方法及装置 | |
| Tariq et al. | Evaluating the Effectiveness and Resilience of SSL/TLS, HTTPS, IPSec, SSH, and WPA/WPA2 in Safeguarding Data Transmission | |
| Das et al. | Risk assessment and mitigation techniques of cyber attacks in emerging technologies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230614 Address after: 518052 Room 201, building A, 1 front Bay Road, Shenzhen Qianhai cooperation zone, Shenzhen, Guangdong Applicant after: ZHONGAN INFORMATION TECHNOLOGY SERVICE Co.,Ltd. Address before: 201210 3rd floor, building 1, No.400, Fangchun Road, China (Shanghai) pilot Free Trade Zone, Pudong New Area, Shanghai Applicant before: Shanghai Zhongzhi Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right |