【技術實現(xiàn)步驟摘要】
本專利技術屬于信息安全,具體涉及一種企業(yè)隱私分析與異常發(fā)現(xiàn)方法、裝置、設備和存儲介質。
技術介紹
1、為了保證安全,企業(yè)數(shù)據(jù)的分發(fā)過程涉及到身份識別,這種企業(yè)間的穩(wěn)定通信通常依賴于證書認證。每個企業(yè)都有自己的證書頒發(fā)機構(ca),許多企業(yè)使用基于x.509標準的公鑰基礎設施(pki)實現(xiàn)ssl/tls協(xié)議和加密技術,許多典型的網絡系統(tǒng)都使用pki來保護數(shù)據(jù)。
2、兩個企業(yè)在建立安全通信之前,會先通過密鑰交換協(xié)議發(fā)現(xiàn)共享密鑰,然后使用對稱密碼進行加密傳輸。在此過程中,為了防止中間人攻擊,企業(yè)使用數(shù)字證書來保護公鑰,只有在相互信任的情況下才能在pki基礎設施中相互驗證。因此,企業(yè)間的安全通信依賴于對ca的信任。
3、在數(shù)據(jù)監(jiān)視與采集中,有一些現(xiàn)有的技術方法:1)使用抽樣方法對每個分支的前n個字節(jié)進行抽樣,以便管理大量的偵聽數(shù)據(jù)。由于x.509證書是在tls/ssl連接建立之初的握手消息中交換的,因此可以收集到足夠的偵聽數(shù)據(jù)。2)采用入侵檢測和協(xié)議解析系統(tǒng)bro作為tls/ssl處理工具進行監(jiān)控操作。bro是一個開源功能強大的流量分析工具,主要用于協(xié)議解析,異常檢測,行為分析等。3)使用bro的動態(tài)協(xié)議識別功能,端口能夠獨立地識別tls/ssl,進而獲取證書的信息。4)監(jiān)視運行過程:記錄每個觀察到的雙向流的啟動,并將采樣的所有包寫入磁盤,每個采樣一個文件。當前文件達到10gb時啟動一個新文件。完成轉儲文件后,將脫機提取tls/ssl連接。
4、在x.509證書中,企業(yè)的證書頒發(fā)機構(ca)驗證其他實
技術實現(xiàn)思路
1、為了解決現(xiàn)有技術中存在的上述問題,本專利技術提供了一種企業(yè)隱私分析與異常發(fā)現(xiàn)方法、裝置、設備和存儲介質。本專利技術要解決的技術問題通過以下技術方案實現(xiàn):
2、本專利技術實施例提供了一種企業(yè)隱私分析與異常發(fā)現(xiàn)方法,包括步驟:
3、收集目標網絡中的證書流量,并從所述證書流量中抓取握手數(shù)據(jù)包,將所述握手數(shù)據(jù)包作為目標文件;
4、在目標時間段內的目標文件中依次提取證書、會話雙方的ip地址和證書鏈,以及記錄握手會話id與證書的關系、握手會話id與ip地址的關系;
5、基于所述握手會話id與證書的關系、所述握手會話id與ip地址的關系對所述證書鏈中的證書數(shù)據(jù)進行分析;
6、根據(jù)分析出現(xiàn)異常的證書數(shù)據(jù)對相應流量段進行驗證,并根據(jù)驗證結果確認所述相應流量段是否出現(xiàn)異常。
7、在本專利技術的一個實施例中,收集目標網絡中的證書流量,并從所述證書流量中抓取握手數(shù)據(jù)包,將所述握手數(shù)據(jù)包作為目標文件,包括:
8、利用隔離收集器和flume工具收集所述目標網絡中的證書流量,使用bro工具從所述證書流量中抓取tls/ssl連接的握手數(shù)據(jù)包;
9、將所述tls/ssl連接的握手數(shù)據(jù)包發(fā)送給聚合服務器,其中所述聚合服務器將所述tls/ssl連接的握手數(shù)據(jù)包生成帶有kafka消息隊列的文件,并將所述帶有kafka消息隊列的文件作為pcap文件保存為所述目標文件;
10、將所述目標文件保存在所述大數(shù)據(jù)庫中。
11、在本專利技術的一個實施例中,在目標時間段內的目標文件中依次提取證書、會話雙方的ip地址和證書鏈,以及記錄握手會話id與證書的關系、握手會話id與ip地址的關系,包括:
12、從所述大數(shù)據(jù)庫的目錄中讀取所述目標時間段的pcap文件;
13、通過分析所述目標時間段的pcap文件中的會話以記錄加密傳輸?shù)拇螖?shù),并根據(jù)所述加密傳輸?shù)拇螖?shù)提取加密傳輸會話;
14、使用openssl的pkcs工具從所述加密傳輸會話中提取證書,并在所述大數(shù)據(jù)庫中記錄所述握手會話id與證書的關系;使用openssl的pkcs工具從所述加密傳輸會話中提取會話雙方的ip地址,并在所述大數(shù)據(jù)庫中記錄所述握手會話id與ip地址的關系;使用openssl的pkcs工具從所述加密傳輸會話中提取證書鏈。
15、在本專利技術的一個實施例中,基于所述握手會話id與證書的關系、所述握手會話id與ip地址的關系對所述證書鏈中的證書數(shù)據(jù)進行分析,包括:
16、基于所述握手會話id與證書的關系、所述握手會話id與ip地址的關系對所述證書鏈中多個主機之間證書的重復頻率、證書的有效性、主機名的正確性、公鑰屬性、證書的有效期、中間證書和認證鏈證書的正確性、有效證書中的序列號的正確性進行分析,判斷所述證書數(shù)據(jù)是否正確。
17、在本專利技術的一個實施例中,對所述證書鏈中多個主機之間證書的重復頻率、證書的有效性、主機名的正確性、公鑰屬性、證書的有效期、中間證書和認證鏈證書的正確性、有效證書中的序列號的正確性進行分析,判斷所述證書數(shù)據(jù)是否正確,包括:
18、判斷多個主機是否同時使用同一個證書;
19、判斷ca提供的認證過程是否正確,其中,所述ca提供的認證過程是否正確包括是否指向正確完整的存儲證書、證書是否處于有效期內和簽名是否正確;并驗證身份驗證鏈,判斷身份驗證鏈是否正確;
20、驗證證書實體中的cn與服務器的主機名是否相對應,確定證書實體選擇名稱與服務器的主機名是否匹配;
21、對證書的加密算法、密鑰長度、密鑰重復性進行分析;
22、判斷證書是否處于有效期內;
23、判斷高級ca證書、中間證書、低級證書的頒發(fā)機構是否正確;
24、分析服務器檢查有效證書中的序列號,并查找由同一機構頒發(fā)的重復序列號。
25、在本專利技術的一個實施例中,驗證身份驗證鏈,判斷身份驗證鏈是否正確,包括:
26、使用openssl庫中的verify工具驗證身份驗證鏈,判斷身份驗證鏈是否正確。
27、在本專利技術的一個實施例中,根據(jù)分析出現(xiàn)異常的證書數(shù)據(jù)對相應流量段進行驗證,并根據(jù)驗證結果確認所述相應流量段是否出現(xiàn)異常,包括:
28、當分析出現(xiàn)異常的證書數(shù)據(jù),根據(jù)所述異常的證書數(shù)據(jù)的故障原因返回錯誤代碼,并對發(fā)生異常的相應流量段進行驗證;
29、若驗證成功,則所述相應流量段未出現(xiàn)異常,設置所述握手會話id的認證碼為1,并記錄驗證記錄;
30、若驗證失敗,則所述相應流量段出現(xiàn)異常,保存所述握手會話id驗證本文檔來自技高網...
【技術保護點】
1.一種企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,包括步驟:
2.根據(jù)權利要求1所述的企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,收集目標網絡中的證書流量,并從所述證書流量中抓取握手數(shù)據(jù)包,將所述握手數(shù)據(jù)包作為目標文件,包括:
3.根據(jù)權利要求2所述的企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,在目標時間段內的目標文件中依次提取證書、會話雙方的IP地址和證書鏈,以及記錄握手會話id與證書的關系、握手會話id與IP地址的關系,包括:
4.根據(jù)權利要求1所述的企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,基于所述握手會話id與證書的關系、所述握手會話id與IP地址的關系對所述證書鏈中的證書數(shù)據(jù)進行分析,包括:
5.根據(jù)權利要求4所述的企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,對所述證書鏈中多個主機之間證書的重復頻率、證書的有效性、主機名的正確性、公鑰屬性、證書的有效期、中間證書和認證鏈證書的正確性、有效證書中的序列號的正確性進行分析,判斷所述證書數(shù)據(jù)是否正確,包括:
6.根據(jù)權利要求5所述的企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,驗證身份驗證
7.根據(jù)權利要求1所述的企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,根據(jù)分析出現(xiàn)異常的證書數(shù)據(jù)對相應流量段進行驗證,并根據(jù)驗證結果確認所述相應流量段是否出現(xiàn)異常,包括:
8.一種企業(yè)隱私分析與異常發(fā)現(xiàn)裝置,其特征在于,包括:
9.一種企業(yè)隱私分析與異常發(fā)現(xiàn)設備,所述設備包括采集器、存儲器和處理器,所述存儲器存儲有計算機程序,其特征在于,
10.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執(zhí)行時實現(xiàn)權利要求1至7中任一項所述的方法的步驟。
...【技術特征摘要】
1.一種企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,包括步驟:
2.根據(jù)權利要求1所述的企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,收集目標網絡中的證書流量,并從所述證書流量中抓取握手數(shù)據(jù)包,將所述握手數(shù)據(jù)包作為目標文件,包括:
3.根據(jù)權利要求2所述的企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,在目標時間段內的目標文件中依次提取證書、會話雙方的ip地址和證書鏈,以及記錄握手會話id與證書的關系、握手會話id與ip地址的關系,包括:
4.根據(jù)權利要求1所述的企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,基于所述握手會話id與證書的關系、所述握手會話id與ip地址的關系對所述證書鏈中的證書數(shù)據(jù)進行分析,包括:
5.根據(jù)權利要求4所述的企業(yè)隱私分析與異常發(fā)現(xiàn)方法,其特征在于,對所述證書鏈中多個主機之間證書的重復頻率、證書的有效性、主機名的正...
【專利技術屬性】
技術研發(fā)人員:尹亮,張宏杰,寧志言,王放,鄭鐵軍,李勃,賀建偉,張志軍,梁野,彭嘉寧,何紀成,馬驍,高英建,施佳鋒,多志林,王景,盧楷,王坤,王春艷,李航,王昊,趙興文,于浩洋,
申請(專利權)人:國網寧夏電力有限公司電力科學研究院,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。