CN117938447A - 一种基于https加密流量的检测的阻断方法及装置 - Google Patents
一种基于https加密流量的检测的阻断方法及装置 Download PDFInfo
- Publication number
- CN117938447A CN117938447A CN202311792285.2A CN202311792285A CN117938447A CN 117938447 A CN117938447 A CN 117938447A CN 202311792285 A CN202311792285 A CN 202311792285A CN 117938447 A CN117938447 A CN 117938447A
- Authority
- CN
- China
- Prior art keywords
- connection
- https
- data
- client
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 81
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000005540 biological transmission Effects 0.000 claims abstract description 76
- 238000001514 detection method Methods 0.000 claims abstract description 31
- 230000006399 behavior Effects 0.000 claims description 16
- 238000012546 transfer Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 10
- 238000005206 flow analysis Methods 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种基于https加密流量的检测的阻断方法及装置,包括:配置所述I P阻断装置的所代理的业务服务信息;根据客户端发送的请求和握手包判断客户端源i p和握手请求类型,建立连接,进行数据传输,获取传输数据的明文内容;对传输数据的明文内容进行威胁识别检测;对检测到的存在威胁行为的数据源的源i p或目标i p进行阻断。基于该方法的装置基于硬件部署在网络总出入口,对整个局域网内所有TLS/SSL流量进行检测和阻断。
Description
技术领域
本发明涉及流量阻断领域,尤其涉及一种基于https加密流量的检测的阻断方法及装置。
背景技术
随着互联网的普及和发展,越来越多的人利用互联网进行数据的存储和传输。在互联网安全问题日益复杂的情况下,经常发生非法攻击行为。此时需要对网络流量中的威胁行为进行识别和阻断,禁止非法用户或攻击源对网络数据的访问和使用。IP阻断是对特定IP地址进行封堵,使其丧失通信能力,实现IP封堵功能。
目前的IP阻断技术主要是根据内置或上游下发的IP阻断规则,对流量中的源IP和目的IP进行检测阻断。或基于内置的恶意流量特征规则对未加密的网络流量做检测阻断。然而对https加密流量无法进行有效威胁行为检测和阻断。
目前IP阻断设备有串接和并接两种方式,并接又称镜像接入。串接方式,基于流量威胁特征,可针对全协议以及IP地址进行封堵。并接方式由于网络的接入特点,只能对部分协议做分析检测以及IP地址的封堵,可封堵协议包括TCP、DNS等少数协议。上述方法对流量威胁特征的检测均只能检测明文数据,而无法对基于SSL/TLS加密传输的https协议进行检测。
发明内容
鉴于上述现有技术不足之处,本发明的目的在于提供一种可对基于https加密流量的检测阻断方法、装置。
根据本发明的一方面,提出了一种基于https加密流量的检测的阻断方法,由串接于网络总路口和核心交换机之中的IP阻断装置进行,包括:
S1,配置所述IP阻断装置的所代理的业务服务信息;
S2,根据客户端发送的请求和握手包判断客户端源ip和握手请求类型,建立连接,进行数据传输,获取传输数据的明文内容;
S3,对传输数据的明文内容进行威胁识别检测;
S4,对检测到的存在威胁行为的数据源的源ip或目标ip进行阻断。
优选的,所述步骤S1中配置所述IP阻断装置的所代理的业务服务信息,具体包括IP阻断装置的内部IP、端口。
优选的,所述步骤S2中根据客户端发送的请求和握手包判断客户端源ip和握手请求类型建立连接具体包括,IP阻断装置与所述客户端建立TCP连接,客户端发送握手包和TCP ACK请求,IP阻断装置根据内置阻断IP规则对客户端的源IP判断是否进行ip阻断,建立传输连接。
进一步优选的,根据所述握手包确定连接为非SSL/TLS握手请求或HTTPS握手请求。当所述客户端握手请求为非SSL/TLS握手请求时,与业务服务器建立直接连接,传输数据;当所述客户端握手请求为HTTPS请求时,建立中转连接,并向业务服务器发起SSL/TLS握手请求建立HTTPS连接,将中转连接和与业务服务器的HTTPS连接做转发绑定,进行数据传输。
优选的,所述步骤S2中获取传输数据的明文内容,具体包括通过所述直接连接、中转连接和与业务服务器的HTTPS连接获取所述传输数据的明文内容。
进一步优选的,获取所述传输数据的明文内容具体包括IP阻断装置生成公私钥非对称密钥对及自签证书,与所述传输连接和与业务服务器的HTTPS连接进行加解密数据交换,获取到连接数据交互的明文信息。
优选的,S4中对传输数据的明文内容进行威胁识别检测具体包括基于威胁特征规则检测所述传输数据的明文内容,对于明文内容中存在威胁行为的传输数据,阻断直接连接或中转连接所传输的数据的源IP或目的IP地址。
根据本发明的一方面,提出了一种基于https加密流量的检测的阻断装置,包括:
传输层透明代理模块M1:根据客户端发送的握手包判断客户端握手请求类型,与业务服务器建立直接连接,与应用层反向代理模块建立中转连接,进行数据传输,获取和转发传输数据的明文内容;
应用层反向代理模块M2:在客户端握手请求为HTTPS请求时,与业务服务器建立HTTPS连接,进行数据传输,获取和转发传输数据的明文内容;
流量分析模块M3:根据内置的威胁特征规则,对传输数据的明文内容进行威胁识别检测;
IP封堵模块M4:对发出TCP ACK请求的客户端的源IP进行判断,对于明文内容中存在威胁行为的传输数据,阻断直接连接或中转连接所传输的数据的源IP或目的IP地址。
优选的,所述传输层透明代理模块M1根据握手包确认为非SSL/TLS握手请求时,与所述客户端建立传输连接t1,与所述业务服务器建立直接连接t2,传输数据;
当所述传输层透明代理模块M1根据握手包握手请求为HTTPS请求时,建立与应用层反向代理模块M2的中转连接Q1,并向业务服务器发起SSL/TLS握手请求建立HTTPS连接Q2,将中转连接Q1和与内网业务服务的HTTPS连接Q2做转发绑定,进行数据传输。
所述传输层透明代理模块M1和应用层反向代理模块M2进行数据传输时,应用层反向代理模块M2生成公私钥非对称密钥对,以及自签证书,获取传输数据的明文内容进行解析,发送给流量分析模块M3。
流量分析模块M3根据内置的威胁特征规则,对传输数据的明文内容进行威胁识别检测,将t2或S1的源IP或目的IP地址发给IP封堵模块M4进行阻断。
根据本发明的一方面,提出了一种计算机可读介质,其上存储有计算机程序,所述计算机程序在被处理器执行时实施如第一方面所述的方法。
本发明提出了一种基于https加密流量的检测的阻断方法及装置,相对于现有技术,具有以下优点:
1.通过传输层的透明代理和应用层的反向代理,可实现对基于SSL/TLS加密算法传输的HTTPS协议的未知流量进行解密、威胁检测并实施封堵。在减少硬件成本的同时提升IP封堵设备的封堵能力。
2.针对整个局域网内的基于SSL/TLS加密传输的https协议进行检测和阻断,完成对攻击行为的拦截。
附图说明
包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。附图的元件不一定是相互按照比例的。同样的附图标记指代对应的类似部件。
图1示出了根据本发明的实施例一种基于https加密流量的检测的阻断方法的流程示意图;
图2示出了根据本发明一种基于https加密流量的检测的阻断装置的具体结构;
图3示出了根据本发明一种基于https加密流量的检测的阻断装置的应用场景;
图4示出了根据本发明一种基于https加密流量的检测的阻断装置工作流程图;
图5示出了适于用来实现本发明实施例的电子设备的计算机装置的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
在本发明的第一方面,提出了一种基于https加密流量的检测的阻断方法,如图一所示,该方法包括以下步骤:
S1,配置所述IP阻断装置的所代理的业务服务信息;
S2,根据客户端发送的请求和握手包判断客户端源ip和握手请求类型,建立连接,进行数据传输,获取传输数据的明文内容;
S3,对传输数据的明文内容进行威胁识别检测;
S4,对检测到的存在威胁行为的数据源的源ip或目标ip进行阻断。
具体的,所述步骤S1中配置所述IP阻断装置的所代理的业务服务信息,具体包括IP阻断装置的内部IP、端口。
优选的,所述步骤S2中根据客户端发送的请求和握手包判断客户端源ip和握手请求类型建立连接具体包括,IP阻断装置与所述客户端建立TCP连接,客户端发送握手包和TCP ACK请求,IP阻断装置根据内置阻断IP规则对客户端的源IP判断是否进行ip阻断,建立传输连接。
在一些可能实施例中,内置IP阻断规则包括指定源ip地址、目标ip地址、网络端口、域名;
进一步优选的,根据所述握手包确定连接为非SSL/TLS握手请求或HTTPS握手请求。当所述客户端握手请求为非SSL/TLS握手请求时,与业务服务器建立直接连接,传输数据;当所述客户端握手请求为HTTPS请求时,建立中转连接,并向业务服务器发起SSL/TLS握手请求建立HTTPS连接,将中转连接和与业务服务器的HTTPS连接做转发绑定,进行数据传输。
优选的,所述步骤S2中获取传输数据的明文内容,具体包括通过所述直接连接、中转连接和与业务服务器的HTTPS连接获取所述传输数据的明文内容。
进一步优选的,获取所述传输数据的明文内容具体包括IP阻断装置生成公私钥非对称密钥对及自签证书,与所述传输连接和与业务服务器的HTTPS连接进行加解密数据交换,获取到数据交互的明文信息。
优选的,S4中对传输数据的明文内容进行威胁识别检测具体包括基于威胁特征规则检测所述传输数据的明文内容,对于明文内容中存在威胁行为的传输数据,阻断直接连接或中转连接所传输的数据的源IP或目的IP地址。
在本发明的第二方面,提出了一种基于https加密流量的检测的阻断装置,如图2所示,该装置由以下模块组成:
传输层透明代理模块M1:根据客户端发送的握手包判断客户端握手请求类型,与业务服务器建立直接连接,与应用层反向代理模块建立中转连接,进行数据传输,获取和转发传输数据的明文内容;
应用层反向代理模块M2:在客户端握手请求为HTTPS请求时,与业务服务器建立HTTPS连接,进行数据传输,获取和转发传输数据的明文内容;
流量分析模块M3:根据内置的威胁特征规则,对传输数据的明文内容进行威胁识别检测;
IP封堵模块M4:对发出TCP ACK请求的客户端的源IP进行判断,对于明文内容中存在威胁行为的传输数据,阻断直接连接或中转连接所传输的数据的源IP或目的IP地址。
该装置的应用场景如图3所示,将该装置部署在网络总出入口,串接于互联网出口和核心交换机之间,基于流量威胁特征,对全协议以及IP地址,尤其是基于SSL/TLS加密传输的https协议进行检测。
在具体实施例中,该装置的运行流程具体如图4所示,具体如下:
IP阻断设备接受客户端发来的TCP连接请求,客户端尝试与传输层透明代理模块M1建立TCP连接,发送TCP ACK请求。
IP封堵模块M4对发出TCP ACK请求的客户端的源IP进行判断,根据IP阻断规则进行阻断或放行,当判断结果为放行时,建立传输连接t1。
传输层透明代理模块M1根据握手包确认为t1连接为非SSL/TLS握手请求时,与所述业务服务器建立直接连接t2。
传输层透明代理模块M1根据握手包握手请求为HTTPS请求时,建立与应用层反向代理模块M2的中转连接Q1,并向业务服务器发起SSL/TLS握手请求建立HTTPS连接Q2,将中转连接Q1和与内网业务服务的HTTPS连接Q2做转发绑定,经由中转连接Q1的请求包转发至HTTPS连接Q2,经由HTTPS连接Q2的响应包转发至中转连接Q1。
传输层透明代理模块M1和应用层反向代理模块M2进行数据传输时,当t1连接为HTTPS请求时,则应用层反向代理模块M2生成公私钥非对称密钥对以及自签证书,与t1连接进行解密数据交换,则可以获取t1连接数据交互的明文信息;应用层反向代理模块M2生成公私钥非对称密钥对以及自签证书,与Q2连接进行解密数据交换,则可以获得Q2连接数据交互的明文信息。应用层反向代理模块M2解析出明文信息后,将明文信息传输给流量分析模块M3进行分析。
流量分析模块M3根据内置的威胁特征规则,对传输数据的明文内容进行威胁识别检测。
若发现威胁行为,将t2或S1的源IP或目的IP地址发给IP封堵模块M4进行阻断。IP封堵模块M4接受到IP封堵命令后,对IP进行阻断。
若没有发现威胁行为,则通过连接Q2将数据依次传输给局域网内的业务服务器1、业务服务器2直至所有业务服务器。
在具体实施例中,应用层反向代理模块M2与t1连接或Q2连接交换自签证书,生成公私钥非对称密钥对,将公匙发给t1连接或Q2连接,留存私匙,t1连接或Q2连接也将公匙发给应用层反向代理模块M2,t1连接或Q2连接使用应用层反向代理模块M2的公匙对传输数据进行加密,将其发给应用层反向代理模块M2,应用层反向代理模块M2使用自己的私匙进行解密,从而获取传输数据的明文信息。
在具体的实施中,本专利提出了一种基于https加密流量的检测的阻断方法及装置,阻断方法基于部署在网络总出入口,串接于互联网出口和核心交换机之间的IP阻断装置执行,通过传输层的透明代理和应用层的反向代理有效地解决了现有IP阻断装置无法对未知https流量进行检测阻断的问题,通过公私钥非对称密钥对以及自签证书实现对传输数据的明文信息解密,针对整个局域网内的全协议攻击行为进行拦截,减少硬件成本的同时提升IP封堵设备的封堵能力。
下面参考图5,其示出了适于用来实现本申请实施例的电子设备的计算机系统500的结构示意图。图5示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,python,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:配置所述IP阻断装置的所代理的业务服务信息;根据客户端发送的请求和握手包判断客户端源ip和握手请求类型,建立连接,进行数据传输,获取传输数据的明文内容;对传输数据的明文内容进行威胁识别检测;对检测到的存在威胁行为的数据源的源ip或目标ip进行阻断。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种基于https加密流量的检测的阻断方法,其特征在于,由串接于网络总路口和核心交换机之中的IP阻断装置进行,包括以下步骤:
S1,配置所述IP阻断装置的所代理的业务服务信息;
S2,根据客户端发送的请求和握手包判断客户端源ip和握手请求类型,建立连接,进行数据传输,获取传输数据的明文内容;
S3,对传输数据的明文内容进行威胁识别检测;
S4,对检测到的存在威胁行为的数据源的源ip或目标ip进行阻断。
2.根据权利要求1所述的一种基于https加密流量的检测的阻断方法,其特征在于,与所述客户端建立TCP连接,所述客户端发送握手包和TCP ACK请求,根据内置阻断IP规则对客户端的源IP判断是否进行ip阻断,建立传输连接。
3.根据权利要求2所述的一种基于https加密流量的检测的阻断方法,其特征在于,根据所述握手包确定连接为非SSL/TLS握手请求或HTTPS握手请求,
当所述客户端握手请求为非SSL/TLS握手请求时,与业务服务器建立直接连接,传输数据;
当所述客户端握手请求为HTTPS请求时,建立中转连接,并向业务服务器发起SSL/TLS握手请求建立HTTPS连接,将中转连接和与业务服务器的HTTPS连接做转发绑定,进行数据传输。
4.根据权利要求3所述的一种基于https加密流量的检测的阻断方法,其特征在于,通过所述直接连接、中转连接和与业务服务器的HTTPS连接获取所述传输数据的明文内容。
5.根据权利要求4所述的一种基于https加密流量的检测的阻断方法,其特征在于,生成公私钥非对称密钥对,以及自签证书,与所述传输连接和与业务服务器的HTTPS连接进行加解密数据交换,获取到连接数据交互的明文信息。
6.根据权利要求5所述的一种基于https加密流量的检测的阻断方法,其特征在于,基于威胁特征规则检测所述传输数据的明文内容,对于明文内容中存在威胁行为的传输数据,阻断直接连接或中转连接所传输的数据的源IP或目的IP地址。
7.一种基于https加密流量的检测的阻断装置,其特征在于,包括:
传输层透明代理模块M1:根据客户端发送的握手包判断客户端握手请求类型,与客户端建立传输连接,与业务服务器建立直接连接,
与应用层反向代理模块建立中转连接,进行数据传输,获取和转发传输数据的明文内容;
应用层反向代理模块M2:在客户端握手请求为HTTPS请求时,与业务服务器建立HTTPS连接,进行数据传输,生成公私钥非对称密钥对,以及自签证书,获取和转发传输数据的明文内容;
流量分析模块M3:根据内置的威胁特征规则,对传输数据的明文内容进行威胁识别检测;
IP封堵模块M4:对发出TCP ACK请求的客户端的源IP进行判断,对于明文内容中存在威胁行为的传输数据,阻断直接连接或中转连接所传输的数据的源IP或目的IP地址。
8.根据权利要求7所述的一种基于https加密流量的检测的阻断装置,其特征在于,
所述传输层透明代理模块M1根据握手包确认为非SSL/TLS握手请求时,与所述客户端建立传输连接t1,与所述业务服务器建立直接连接t2,传输数据;
当所述传输层透明代理模块M1根据握手包握手请求为HTTPS请求时,建立与应用层反向代理模块M2的中转连接Q1,并向业务服务器发起SSL/TLS握手请求建立HTTPS连接Q2,将中转连接Q1和与内网业务服务的HTTPS连接Q2做转发绑定,进行数据传输。
9.根据权利要求8所述的一种基于https加密流量的检测的阻断装置,其特征在于,所述传输层透明代理模块M1和应用层反向代理模块M2进行数据传输时,应用层反向代理模块M2生成公私钥非对称密钥对,以及自签证书,获取传输数据的明文内容,发送给流量分析模块M3。
10.一种计算机可读介质,其上存储有计算机程序,所述计算机程序在被处理器执行时实施如权利要求1-6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311792285.2A CN117938447A (zh) | 2023-12-25 | 2023-12-25 | 一种基于https加密流量的检测的阻断方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311792285.2A CN117938447A (zh) | 2023-12-25 | 2023-12-25 | 一种基于https加密流量的检测的阻断方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117938447A true CN117938447A (zh) | 2024-04-26 |
Family
ID=90749797
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311792285.2A Pending CN117938447A (zh) | 2023-12-25 | 2023-12-25 | 一种基于https加密流量的检测的阻断方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117938447A (zh) |
-
2023
- 2023-12-25 CN CN202311792285.2A patent/CN117938447A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10554420B2 (en) | Wireless connections to a wireless access point | |
CN111034150B (zh) | 选择性地解密ssl/tls通信的方法和装置 | |
CN106713320B (zh) | 终端数据传输的方法和装置 | |
US9781082B2 (en) | Selectively performing man in the middle decryption | |
US20190334950A1 (en) | Private key operations | |
US9485228B2 (en) | Selectively performing man in the middle decryption | |
US9607162B2 (en) | Implementation of secure communications in a support system | |
EP2795556B1 (en) | Method and apparatus for mediating communications | |
US20160373414A1 (en) | Handshake offload | |
US10122689B2 (en) | Load balancing with handshake offload | |
US20180145837A1 (en) | Establishing a secure connection across secured environments | |
US20130340067A1 (en) | Multi-Wrapped Virtual Private Network | |
US20170111269A1 (en) | Secure, anonymous networking | |
US20180124025A1 (en) | Providing visibility into encrypted traffic without requiring access to the private key | |
US20190166160A1 (en) | Proactive transport layer security identity verification | |
US20170163633A1 (en) | Exchange of Control Information between Secure Socket Layer Gateways | |
US10158610B2 (en) | Secure application communication system | |
CN111049789B (zh) | 域名访问的方法和装置 | |
CN116633582A (zh) | 安全通信方法、装置、电子设备及存储介质 | |
CN117938447A (zh) | 一种基于https加密流量的检测的阻断方法及装置 | |
US10367848B2 (en) | Transmitting relay device identification information in response to broadcast request if device making request is authorized | |
CN110995730B (zh) | 数据传输方法、装置、代理服务器和代理服务器集群 | |
CN113992734A (zh) | 会话连接方法及装置、设备 | |
CN111355750B (zh) | 用于识别暴力破解密码行为的方法和装置 | |
CN113676482B (zh) | 数据传输系统和方法与基于双层ssl的数据传输系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |