CN117879932A - 加密流量检测方法及装置、存储介质、终端 - Google Patents
加密流量检测方法及装置、存储介质、终端 Download PDFInfo
- Publication number
- CN117879932A CN117879932A CN202410027717.9A CN202410027717A CN117879932A CN 117879932 A CN117879932 A CN 117879932A CN 202410027717 A CN202410027717 A CN 202410027717A CN 117879932 A CN117879932 A CN 117879932A
- Authority
- CN
- China
- Prior art keywords
- traffic
- encrypted
- self
- encrypted traffic
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 65
- 238000004458 analytical method Methods 0.000 claims abstract description 41
- 238000000034 method Methods 0.000 claims abstract description 37
- 238000012795 verification Methods 0.000 claims abstract description 22
- 230000006854 communication Effects 0.000 claims description 28
- 238000004891 communication Methods 0.000 claims description 24
- 238000013507 mapping Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 4
- 230000007123 defense Effects 0.000 abstract description 8
- 238000005553 drilling Methods 0.000 abstract 1
- 238000005206 flow analysis Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 13
- 238000012545 processing Methods 0.000 description 12
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种加密流量检测方法及装置、存储介质、终端,涉及网络安全技术领域,主要目的在于解决加密流量检测效率较低的问题。主要包括提取目标客户端访问请求流量中的第一加密流量;对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测,所述自签操作基于从目标客户端下载的根证书完成;对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手;将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测。主要用于检测攻防演练场景下的加密流量。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种加密流量检测方法及装置、存储介质、终端。
背景技术
在对抗日益激烈、加密手段逐渐成为主流的今天,攻防演练场景中的加密流量也已逐渐成为主流,在演练过程中往往需要对进出口流量进行检测,以满足对攻击回溯等方面的需求,因此,对加密流量检测的技术变得愈发重要。
目前,现有针对攻防演练场景的加密流量检测,主要是将服务器与客户端之间通信产生的加密流量数据进行监听,并将监听到的加密流量数据直接发送给流量分析端,由流量分析端自行解密后再进行检测。但这种方式较容易发生流量分析端对加密流量数据解密失败,无法对加密流量数据的内容进行具体检测的情况,造成加密流量数据检测效率较低的问题。
发明内容
有鉴于此,本发明提供一种加密流量检测方法及装置、存储介质、终端,主要目的在于解决现有加密流量数据检测效率较低的问题。
依据本发明一个方面,提供了一种加密流量检测方法,包括:
提取目标客户端发出的访问请求流量中的第一加密流量;
对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测;
对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手;
将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测。
进一步地,所述对证书校验不通过的所述第一加密流量的域名进行自签操作,包括:
解析所述第一加密流量所述携带的域名信息;
在所述域名信息与证书池中任一证书的域名未匹配的情况下,获取所述目标客户端的根证书;
基于所述根证书对所述域名进行任一域名级别的自签操作,得到自签证书。
进一步地,所述利用所述自签证书与目标访问服务器进行握手,包括:基于所述自签证书对所述解密处理后的第一加密流量进行加密,得到自签加密流量;
将所述自签加密流量发送至所述目标访问服务器,以使得所述目标访问服务器根据所述自签加密流量进行信息调取。
进一步地,所述将所述自签加密流量发送至所述目标访问服务器,以使得所述目标访问服务器根据所述自签加密流量进行信息调取,包括:
为所述自签加密流量配置识别标识,并将标记有识别标识的自签加密流量传输至分发组件;
所述分发组件将所述标记有识别标识的自签加密流量发送至所述目标访问服务器,所述分发组件还用于将所述解密处理后的第一加密流量镜像转发至流量分析端。
进一步地,所述提取目标客户端发出的访问请求流量中的第一加密流量,包括:
获取所述目标客户端的访问请求流量,所述访问请求流量包括第一加密流量和非加密流量;
将包含ClientHello消息的流量确定为第一加密流量,并将未包含所述ClientHello消息的流量确定为非加密流量;或,
依据预先配置的流表控制协议及所述访问请求流量的报头对所述访问请求流量进行分类识别,得到第一加密流量和非加密流量,所述流表控制协议包括不同流量类型与不同流量报头之间的映射关系。
进一步地,所述证书池以后缀树结构构建,所述对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,所述方法还包括:
依据域名级别将所述自签证书存储至所述后缀树结构的对应层级中。
进一步地,所述方法还包括:
利用所述自签证书对所述解密处理后的第二加密流量进行加密处理;
将加密处理后的第二加密流量发送至所述目标客户端。
依据本发明另一个方面,提供了一种加密流量检测装置,包括:
提取模块,用于提取目标客户端发出的访问请求流量中的第一加密流量;
第一解密模块,用于对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测;
自签模块,用于对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手;
第二解密模块,用于将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测。
进一步地,所述自签模块,包括:
解析单元,用于解析所述第一加密流量所述携带的域名信息;
第一获取单元,用于在所述域名信息与证书池中任一证书的域名未匹配的情况下,获取所述目标客户端的根证书;
自签单元,用于基于所述根证书对所述域名进行任一域名级别的自签操作,得到自签证书。
进一步地,所述自签模块,还包括:
加密单元,用于基于所述自签证书对所述解密处理后的第一加密流量进行加密,得到自签加密流量;
发送单元,用于将所述自签加密流量发送至所述目标访问服务器,以使得所述目标访问服务器根据所述自签加密流量进行信息调取。
进一步地,在具体应用场景中,所述发送单元,具体用于为所述自签加密流量配置识别标识,并将标记有识别标识的自签加密流量传输至分发组件;
所述分发组件将所述标记有识别标识的自签加密流量发送至所述目标访问服务器,所述分发组件还用于将所述解密处理后的第一加密流量镜像转发至流量分析端。
进一步地,所述提取模块,包括:
第二获取单元,用于获取所述目标客户端的访问请求流量,所述访问请求流量包括第一加密流量和非加密流量;
第一确定单元,用于将包含ClientHello消息的流量确定为第一加密流量,并将未包含所述ClientHello消息的流量确定为非加密流量;或,
第二确定单元,用于依据预先配置的流表控制协议及所述访问请求流量的报头对所述访问请求流量进行分类识别,得到第一加密流量和非加密流量,所述流表控制协议包括不同流量类型与不同流量报头之间的映射关系。
进一步地,所述装置还包括:
存储模块,用于依据域名级别将所述自签证书存储至所述后缀树结构的对应层级中。
进一步地,所述装置还包括:
加密处理模块,用于利用所述自签证书对所述解密处理后的第二加密流量进行加密处理;
发送模块,用于将加密处理后的第二加密流量发送至所述目标客户端。
根据本发明的又一方面,提供了一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述加密流量检测方法对应的操作。
根据本发明的再一方面,提供了一种终端,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述加密流量检测方法对应的操作。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明提供了一种加密流量检测方法及装置、存储介质、终端,本发明实施例通过提取目标客户端发出的访问请求流量中的第一加密流量;对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测;对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手;将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测,避免了流量分析端对加密流量进行解密,大大减少了流量检测过程中加密流量解密识别的可能,降低了流量检测识别的概率,同时,又确保,加密流量解密处理的准确性,以及通信过程中发生域名预警的问题,从而大大提高加密流量检测的效率。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种加密流量检测方法流程图;
图2示出了本发明实施例提供的另一种加密流量检测方法流程图;
图3示出了本发明实施例提供的一种加密流量在流转路径示意图;
图4示出了本发明实施例提供的一种加密流量检测装置组成框图;
图5示出了本发明实施例提供的一种终端的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
针对现有针对攻防演练场景的加密流量检测,主要是将服务器与客户端之间通信产生的加密流量数据进行监听,并将监听到的加密流量数据直接发送给流量分析端,由流量分析端自行解密后再进行检测。但这种方式较容易发生流量分析端对加密流量数据解密失败,无法对加密流量数据的内容进行具体检测的情况,造成加密流量数据检测效率较低的问题。本发明实施例提供了一种加密流量检测方法,如图1所示,该方法包括:
101、提取目标客户端发出的访问请求流量中的第一加密流量。
本发明实施例中,执行主体为网关设备,此网关设备中配置有用于对流量分类、证书自签的透明代理,以及用于流量分发的虚拟交换机(接口)。目标客户端为通过网关设备实现网络访问的客户端,即目标客户端与其他网络服务器之间的进出流量均需通过网关设备。访问请求流量中包括加密形式流量(如HTTPS)及非加密形式流量(如HTTP)。由于非加密形式流量的内容解析过程无需证书或密钥,可以直接对内容进行检测,因此,当确定为非加密形式流量时,可以将非加密形式流量发送给流量分析端进行检测。而加密流量,由于需要解密后才能够进行检测,因此,需要从访问请求流量中提取出来进行处理后再发送至流量分析端进行检测。
其中,(Hypertext Transfer Protocol Secure,HTTPS),是以安全为目标的超文本传输协议(Hyper Text Transfer Protocol,HTTP)通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS在HTTP的基础下加入安全套接层(SecureSockets Layer,SSL),HTTPS的安全基础是SSL,因此,加密的详细内容就需要SSL。HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。SSL及其继任者传输层安全(TransportLayer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS:安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。
102、对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测。
本发明实施例中,透明代理作为第一加密流量的接收端,可以根据第一加密流量所携带的原始证书对第一加密流量进行解密处理,得到明文流量,并将明文流量发送至流量分析端,流量分析端可以配置在当前的网关设备中,也可以配置在当前的网关设备之外,本发明实施例不做具体限定。通过透明代理对第一加密流量进行解密处理,使得流量分析端接收到的输出流量均为明文流量,节省了流量分析端对加密流量的解密过程,避免流量分析端对加密流量解密失败的情况,从而有效提高流量分析端对流量的检测的成功率。此外,通过透明代理对加密流量进行解密,也降低了流量分析端的资源消耗。
需要说明的是,明文流量是基于透明代理直接发送至流量分析端,而不通过分发组件进行转发,进一步避免了将加密流量发送至流量分析端的可能。
103、对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手。
本发明实施例中,第一加密流量所携带的证书可能是受信任的,也可能是非受信任的,当证书不受信任时,将产生安全警告,而在攻防演练的场景下,不需要对访问地址的安全性做要求,安全警告只会给攻防演练过程带来不必要的干扰。因此,通过对域名证书进行预先的校验,若校验不通过,则对加密流量进行自签操作,通过自签证书的方式,避免产生由于域名不受信,而导致的安全警告。其中,域名为访问请求流量预期需要访问的服务器(目标访问服务器)的域名,可以通过加密流量ClientHello信息中的域名字段“ServerName”进行确认。自签操作基于预先导入的根证书完成,即用户需要预先导入根证书,而后面的自签过程,用户是无感知的。
利用自签证书对解密处理后的第一加密流量进行加密,并将携带有自签证书的第一加密流量发送至目标访问服务器,与目标访问服务器建立通信连接,以使得目标访问服务器能够基于自签证书对第一加密流量进行解密,并根据解密结果进行信息的查询和调取。
需要说明的是,基于预先导入的根证书进行自签的过程,是透明代理与客户端进行握手的过程,而将携带有自签证书的第一加密流量发送至目标访问服务器的过程,是透明代理与目标访问服务器进行握手的过程,通过基于透明代理服务器的双向握手,既满足了对输出的加密流量进行拦截、解密、及检测的需求,同时,基于根证书的自签操作,实现了针对不同的网站生成不同的证书文件,确保不会发生红签的情况。
104、将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测。
本发明实施例中,为了实现对输入流量的检测,在接收到目标访问服务器返回的访问结果流量之后,将其中的非加密流量直接转发至流量分析端,将其中的加密流量(第二加密流量)进行解密处理,并将解密处理后的第二加密流量,即明文流量镜像转发至流量分析端,以使得流量分析端能够进行检测。
需要说明的是,通过在网关中配置透明代理,在用于预先导入根证书的情况下,能够实现对目标客户端进出加密流量的明文流量的获取,以避免直接将加密流量发送至流量分析端,出现由于解密失败而导致检测无法进行的情况,确保加密流量检测的成功率,同时,确保了目标客户端与目标访问服务器之间的通信安全性,从而在不影响正常通信的同时,有效提高加密流量检测的效率。
在一个本发明实施例中,为了进一步说明及限定,如图2所示,步骤对证书校验不通过的所述第一加密流量的域名进行自签操作,包括:
201、解析所述第一加密流量所述携带的域名信息。
202、在所述域名信息与证书池中任一证书的域名未匹配的情况下,获取所述目标客户端的根证书。
203、基于所述根证书对所述域名进行任一域名级别的自签操作,得到自签证书。
本发明实施例中,网关设备中配置有证书池,证书池中存储有不同受信任的网站域名的证书文件。为了避免出现红签的状况,影响攻防演练的正常进行,在与目标访问服务器进行握手之前,对即将访问的域名进行证书校验。若当前访问的域名在证书池中存在对应的证书,表明当前需要访问的网站为受信任的,则无需进行自签,可以解密获取明文流量,并基于对应证书文件进行加密即可。若当前访问的域名在证书池中不存在对应的证书,表明当前需要访问的网站为目前不受信任的,则为需要利用根证书生成当前域名的自签证书。其中,自签证书所对应域名级别可以为任一域名级别的,例如,一级域名、二级域名、三级域名等。
在一个本发明实施例中,为了进一步说明及限定,步骤对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手,包括:
基于所述自签证书对所述解密处理后的第一加密流量进行加密,得到自签加密流量;
将所述自签加密流量发送至所述目标访问服务器,以使得所述目标访问服务器根据所述自签加密流量进行信息调取。
本发明实施例中,在透明代理对第一加密流量进行解密处理,并基于自签证书重新加密后,将自签加密流量发送至分发组件(虚拟交换机),通过虚拟交换机将自签加密流量发送至所述目标访问服务器。在上述过程中,透明代理作为目标客户端与目标访问服务端之间的中介,通过将目标客户端的第一加密流量进行解密,并基于自签证书进行重新加密,既得到了需要转发至流量分析端的明文流量,又确保了通信的加密性。
在一个本发明实施例中,为了进一步说明及限定,步骤将所述自签加密流量发送至所述目标访问服务器,以使得所述目标访问服务器根据所述自签加密流量进行信息调取,包括:
为所述自签加密流量配置识别标识,并将标记有识别标识的自签加密流量传输至分发组件;
所述分发组件将所述标记有识别标识的自签加密流量发送至所述目标访问服务器。
本发明实施例中,分发组件还用于将所述解密处理后的第一加密流量镜像转发至流量分析端。由于分发组件承担着向不同端转发流量的工作,为了避免将加密流量转发至流量分析端,导致无法解密检测,以及将未重新自签加密的第一加密流量发送至目标访问服务器导致红签,需要在对流量进行加密后,为自签加密流量配置识别标识,如SSL标签,以使得分发组件能够准确识别出转发的目的终端。此外,通过为自签加密流量配置识别标识,以使得在虚拟交互机配置流量镜像时,对加密流量进行筛选,过滤掉原数据包(第一加密流量),从而避免产生垃圾流量。其中,分发组件可以为OpenFlow交换机,本发明实施例不做具体限定。
在一个本发明实施例中,为了进一步说明及限定,步骤提取目标客户端发出的访问请求流量中的第一加密流量,包括:
获取所述目标客户端的访问请求流量;
将包含ClientHello消息的流量确定为第一加密流量,并将未包含所述ClientHello消息的流量确定为非加密流量;或,
依据预先配置的流表控制协议及所述访问请求流量的报头对所述访问请求流量进行分类识别,得到第一加密流量和非加密流量。
本发明实施例中,访问请求流量包括第一加密流量和非加密流量。对访问请求流量中加密流量与非加密流量的识别方法,可以是在每个链接开始时,通过查找流量中是否携带有ClientHello消息这一加密流量的特性,来识别加密流量和非加密流量;也可以通过预先配置的流表控制(openflow协议)对访问请求流量的报头进行筛选识别。其中,流表控制协议包括不同流量类型与不同流量报头之间的映射关系,基于加密流量与非加密流量的报头差异对加密流量进行分流。此上述两种方法均可以实现对加密流量的分流,优选地,使用ClientHello消息的方法,基于此方法可以避免了对端口筛选HTTPS流量的依赖,从而使得加密流量筛选具备更好的适用性。
在一个本发明实施例中,为了进一步说明及限定,步骤对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,所述方法还包括:
依据域名级别将所述自签证书存储至所述后缀树结构的对应层级中。
本发明实施例中,为了避免针对同一域名发生重复自签,在对域名进行自签之后,将自签证书更新至证书池中。其中,证书池以后缀树结构构建。针对证书的多级别分布特征,还可以采用二叉树、红黑树等结构进行存储,使用后缀树结构,是由于后缀树结构更能够满足域名的多层级后缀特征,从而提高证书的查询效率。
在一个本发明实施例中,为了进一步说明及限定,步骤所述方法还包括:
利用所述自签证书对所述解密处理后的第二加密流量进行加密处理;
将加密处理后的第二加密流量发送至所述目标客户端。
本发明实施例中,在完成输入流量的解密处理,并将解密处理后的第二加密流量发送给目标客户端之后,为了确保流量检测不影响正常的通信,利用自签证书对解密处理后的第二加密流量,并将加密处理后的第二加密流量发送至所述目标客户端,以完成目标客户端与目标访问服务器的完整通信过程。此外,基于自签证书进行加密,也避免在目标客户端出现红签预警的状况,确保了攻防演练的效率。
在一个应用实例中,如图3所示,流量从客户端通过网关接口进入网关,网关中的代理基于流表控制对非加密流量和加密流量进行分流,并将分流后的加密流量及非加密流量发送至筛选器。筛选器将非加密流量转发至虚拟交换机,将加密流量转发至透明代理。透明代理对加密流量进行解密,并将解密后的明文流量不通过虚拟交换机,直接发送至流量分析端。同时,透明代理还对加密流量的域名进行证书验证,利用用户预先导入的根证书对证书验证不通过的域名进行自签,并利用自签证书对明文流量进行加密及标记标签,进而将标记后的加密流量发送至虚拟交换机。虚拟交换机将受到的非加密流量镜像至流量分析端,将未带标记的加密流量进行过滤,并将带标签的加密流量转发至服务器以实现访问。
本发明提供了一种加密流量检测方法,本发明实施例通过提取目标客户端发出的访问请求流量中的第一加密流量;对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测;对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手;将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测,避免了流量分析端对加密流量进行解密,大大减少了流量检测过程中加密流量解密识别的可能,降低了流量检测识别的概率,同时,又确保,加密流量解密处理的准确性,以及通信过程中发生域名预警的问题,从而大大提高加密流量检测的效率。
进一步的,作为对上述图1所示方法的实现,本发明实施例提供了一种加密流量检测装置,如图4所示,该装置包括:
提取模块31,用于提取目标客户端访问请求流量中的第一加密流量;
第一解密模块32,用于对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测,所述自签操作基于从目标客户端下载的根证书完成;
自签模块33,用于对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手;
第二解密模块34,用于将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测。
进一步地,所述自签模块33,包括:
解析单元,用于解析所述第一加密流量所述携带的域名信息;
第一获取单元,用于在所述域名信息与证书池中任一证书的域名未匹配的情况下,获取所述目标客户端的根证书;
自签单元,用于基于所述根证书对所述域名进行任一域名级别的自签操作,得到自签证书。
进一步地,所述自签模块33,还包括:
加密单元,用于基于所述自签证书对所述解密处理后的第一加密流量进行加密,得到自签加密流量;
发送单元,用于将所述自签加密流量发送至所述目标访问服务器,以使得所述目标访问服务器根据所述自签加密流量进行信息调取。
进一步地,在具体应用场景中,所述发送单元,具体用于为所述自签加密流量配置识别标识,并将标记有识别标识的自签加密流量传输至分发组件;
所述分发组件将所述标记有识别标识的自签加密流量发送至所述目标访问服务器,所述分发组件还用于将所述解密处理后的第一加密流量镜像转发至流量分析端。
进一步地,所述提取模块31,包括:
第二获取单元,用于获取所述目标客户端的访问请求流量,所述访问请求流量包括第一加密流量和非加密流量;
第一确定单元,用于将包含ClientHello消息的流量确定为第一加密流量,并将未包含所述ClientHello消息的流量确定为非加密流量;或,
第二确定单元,用于依据预先配置的流表控制协议及所述访问请求流量的报头对所述访问请求流量进行分类识别,得到第一加密流量和非加密流量,所述流表控制协议包括不同流量类型与不同流量报头之间的映射关系。
进一步地,所述装置还包括:
存储模块,用于依据域名级别将所述自签证书存储至所述后缀树结构的对应层级中。
进一步地,所述装置还包括:
加密处理模块,用于利用所述自签证书对所述解密处理后的第二加密流量进行加密处理;
发送模块,用于将加密处理后的第二加密流量发送至所述目标客户端。
本发明提供了一种加密流量检测装置,本发明实施例通过提取目标客户端发出的访问请求流量中的第一加密流量;对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测;对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手;将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测,避免了流量分析端对加密流量进行解密,大大减少了流量检测过程中加密流量解密识别的可能,降低了流量检测识别的概率,同时,又确保,加密流量解密处理的准确性,以及通信过程中发生域名预警的问题,从而大大提高加密流量检测的效率。
根据本发明一个实施例提供了一种存储介质,所述存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的加密流量检测方法。
图5示出了根据本发明一个实施例提供的一种终端的结构示意图,本发明具体实施例并不对终端的具体实现做限定。
如图5所示,该终端可以包括:处理器(processor)402、通信接口(CommunicationsInterface)404、存储器(memory)406、以及通信总线408。
其中:处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。
通信接口404,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器402,用于执行程序410,具体可以执行上述加密流量检测方法实施例中的相关步骤。
具体地,程序410可以包括程序代码,该程序代码包括计算机操作指令。
处理器402可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。终端包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器406,用于存放程序410。存储器406可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序410具体可以用于使得处理器402执行以下操作:
提取目标客户端发出的访问请求流量中的第一加密流量;
对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测;
对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手;
将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (10)
1.一种加密流量检测方法,其特征在于,包括:
提取目标客户端发出的访问请求流量中的第一加密流量;
对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测;
对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手;
将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测。
2.根据权利要求1所述的方法,其特征在于,所述对证书校验不通过的所述第一加密流量的域名进行自签操作,包括:
解析所述第一加密流量所述携带的域名信息;
在所述域名信息与证书池中任一证书的域名未匹配的情况下,获取所述目标客户端的根证书;
基于所述根证书对所述域名进行任一域名级别的自签操作,得到自签证书。
3.根据权利要求1所述的方法,其特征在于,所述利用所述自签证书与目标访问服务器进行握手,包括:
基于所述自签证书对所述解密处理后的第一加密流量进行加密,得到自签加密流量;
将所述自签加密流量发送至所述目标访问服务器,以使得所述目标访问服务器根据所述自签加密流量进行信息调取。
4.根据权利要求3所述的方法,其特征在于,所述将所述自签加密流量发送至所述目标访问服务器,以使得所述目标访问服务器根据所述自签加密流量进行信息调取,包括:
为所述自签加密流量配置识别标识,并将标记有识别标识的自签加密流量传输至分发组件;
所述分发组件将所述标记有识别标识的自签加密流量发送至所述目标访问服务器,所述分发组件还用于将所述解密处理后的第一加密流量镜像转发至流量分析端。
5.根据权利要求1所述的方法,其特征在于,所述提取目标客户端发出的访问请求流量中的第一加密流量,包括:
获取所述目标客户端的访问请求流量,所述访问请求流量包括第一加密流量和非加密流量;
将包含ClientHello消息的流量确定为第一加密流量,并将未包含所述ClientHello消息的流量确定为非加密流量;或,
依据预先配置的流表控制协议及所述访问请求流量的报头对所述访问请求流量进行分类识别,得到第一加密流量和非加密流量,所述流表控制协议包括不同流量类型与不同流量报头之间的映射关系。
6.根据权利要求1所述的方法,其特征在于,所述证书池以后缀树结构构建,所述对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,所述方法还包括:
依据域名级别将所述自签证书存储至所述后缀树结构的对应层级中。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述方法还包括:
利用所述自签证书对所述解密处理后的第二加密流量进行加密处理;
将加密处理后的第二加密流量发送至所述目标客户端。
8.一种加密流量检测装置,其特征在于,包括:
提取模块,用于提取目标客户端发出的访问请求流量中的第一加密流量;
第一解密模块,用于对所述第一加密流量进行解密处理,并将解密处理后的第一加密流量镜像转发至流量分析端进行检测;
自签模块,用于对证书校验不通过的所述第一加密流量的域名进行自签操作,得到自签证书,并利用所述自签证书与目标访问服务器进行握手;
第二解密模块,用于将所述目标访问服务器返回的访问结果流量中的第二加密流量进行解密处理,并将解密处理后的第二加密流量镜像转发至流量分析端进行检测。
9.一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-7中任一项所述的加密流量检测方法对应的操作。
10.一种终端,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-7中任一项所述的加密流量检测方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410027717.9A CN117879932A (zh) | 2024-01-08 | 2024-01-08 | 加密流量检测方法及装置、存储介质、终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410027717.9A CN117879932A (zh) | 2024-01-08 | 2024-01-08 | 加密流量检测方法及装置、存储介质、终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117879932A true CN117879932A (zh) | 2024-04-12 |
Family
ID=90578797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410027717.9A Pending CN117879932A (zh) | 2024-01-08 | 2024-01-08 | 加密流量检测方法及装置、存储介质、终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117879932A (zh) |
-
2024
- 2024-01-08 CN CN202410027717.9A patent/CN117879932A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111034150B (zh) | 选择性地解密ssl/tls通信的方法和装置 | |
| US9961103B2 (en) | Intercepting, decrypting and inspecting traffic over an encrypted channel | |
| EP3691217B1 (en) | Web traffic logging system and method for detecting web hacking in real time | |
| US20240089301A1 (en) | Method and system for capture of visited links from encrypted and non-encrypted network traffic | |
| Ling et al. | Novel packet size-based covert channel attacks against anonymizer | |
| CN112235266B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| Merget et al. | Scalable scanning and automatic classification of {TLS} padding oracle vulnerabilities | |
| CN111447232A (zh) | 一种网络流量检测方法及装置 | |
| US11233777B2 (en) | Efficient SSL/TLS proxy | |
| CN114449064B (zh) | Tls加密流量的应用识别方法、装置和应用识别设备 | |
| EP3242444A1 (en) | Service processing method and device | |
| KR102147917B1 (ko) | Ssl/tls 서비스 패킷 분류 방법 및 장치 | |
| US20170237716A1 (en) | System and method for interlocking intrusion information | |
| KR101996044B1 (ko) | 암호화 트래픽의 네트워크 포렌식 서비스 제공을 위한 icap 프로토콜 확장 방법과 이를 지원하는 네트워크 포렌식 장치 및 웹 프락시 | |
| KR20120043364A (ko) | 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비 및 고성능 네트워크 데이터 처리방법 | |
| CN117879932A (zh) | 加密流量检测方法及装置、存储介质、终端 | |
| KR101788019B1 (ko) | 정보유출방지 장치 및 방법 | |
| KR101919762B1 (ko) | 암호화 트래픽의 복호화를 위한 암호화 트래픽 관리장치 및 그 방법 | |
| Simoiu et al. | An Empirical Analysis of HTTPS Configuration Security | |
| Granerud | Identifying TLS abnormalities in Tor | |
| US11997130B2 (en) | Inline detection of encrypted malicious network sessions | |
| CN116723238A (zh) | 一种基于中间人代理的api加密流量采集与标注方法 | |
| CN114401112B (zh) | 旁路部署针对tls加密的恶意流量实时深度包检测方法 | |
| Jawi et al. | Rules and results for SSL/TLS nonintrusive proxy based on JSON data | |
| Ussath et al. | Insights into Encrypted Network Connections: Analyzing Remote Desktop Protocol Traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |