【技術實現步驟摘要】
本專利技術涉及網絡安全,特別涉及一種網絡加密流量檢測方法、裝置、電子設備及存儲介質。
技術介紹
1、隨著加密技術的廣泛應用以及數據隱私安全要求的增加,加密流量呈現爆炸式增長。雖然加密技術保護了用戶的隱私,但技術的濫用也深刻地改變了網絡安全的格局,不僅使得網絡欺詐和非法在線交易變得更容易,同時黑客也更容易逃避對勒索軟件、網絡釣魚和數據泄露的檢測。在真實攻防場景中,攻擊者在目標信息獲取、權限獲取、訪問和控制維持等惡意活動中會產生各種不同類型的加密流量,主要集中在以下三種場景:
2、(1)惡意代碼為逃避安全產品和安全運維人員的檢測,通常使用加密通信進行偽裝或隱藏明文流量特征;
3、(2)加密通道中的惡意攻擊行為,主要是指攻擊者利用已創建好的加密通道進行惡意嗅探、暴力破解等攻擊行為;
4、(3)惡意或非法加密應用,主要是指使用加密通信的一些惡意、非法應用,如:非法vpn等。
5、網絡安全設備能夠保護網絡免受未經授權的訪問和攻擊,確保網絡數據的機密性、完整性和可用性。這些設備通過監控網絡流量、連接和會話,使用戶能夠及時掌握網絡狀態。常見的網絡安全設備包括web應用程序防火墻waf、入侵預防系統ips、入侵檢測系統ids等等。其中,web應用程序防火墻waf可以解密流量數據、過濾和阻止網絡流量,根據規則和策略確保站點可以抵抗惡意用戶和機器人攻擊阻止不良流量而讓良好流量通過。
6、然而,?ips、ids等旁路部署的網絡安全設備針對加密流量的檢測能力并不像waf設備那樣充足,這是網絡加
技術實現思路
1、鑒于現有技術中的上述缺陷或不足,本專利技術提供了一種網絡加密流量檢測方法、裝置、電子設備及存儲介質,在無需改變網絡拓撲和接入方式的情況下,將waf檢測階段解析的解密流量數據轉換為可檢測的流量傳送給其它網絡安全設備進行流量檢測,從而增強對加密流量的檢測。
2、本專利技術的一個方面,提供了一種網絡加密流量檢測方法,包括:
3、獲取waf設備的系統日志,從所述系統日志中解析出原始的http請求;
4、根據waf設備預先設置的發送給旁路部署安全設備的網絡流量配置信息,按照tcp四元組數據將http請求分發給多個不同的處理線程,根據虛擬cpu處理器的數量對所述處理線程的數量進行動態分配;
5、通過所述處理線程將接收到的tcp四元組數據存儲至與線程對應的tcp會話緩存中;對tcp會話緩存中的每個tcp四元組數據構建一個模擬tcp狀態機,設置模擬tcp狀態機的closing狀態的超時時間,使得上一個連接延遲的重復報文不會影響下一個相同四元組的連接;
6、將http請求轉換成osi模型的數據鏈路層網絡幀信息,之后發送給數據包發送器;
7、通過所述數據包發送器將osi模型的數據鏈路層網絡幀信息從waf設備的網口以鏡像流量的方式發送至旁路部署安全設備。
8、進一步的,還包括鏡像流量編輯步驟:
9、通過命令行工具編輯和重寫網絡數據包,將鏡像流量中的mac地址信息,更改為原始流量中的源mac地址和目的mac地址信息,以確保鏡像流量的源mac地址、目的mac地址與原始流量的源mac地址、目的mac地址保持一致。
10、進一步的,所述旁路部署安全設備包括ips入侵防御系統和ids入侵檢測系統。
11、進一步的,所述模擬tcp狀態機只具有三個狀態,分別為:close狀態、establish狀態和closing狀態。
12、本專利技術的另一方面,還提供了一種網絡加密流量檢測裝置,包括:
13、日志解析模塊,被配置為:獲取waf設備的系統日志,從所述系統日志中解析出原始的http請求;
14、流量分發模塊,被配置為:根據waf設備預先設置的發送給旁路部署安全設備的網絡流量配置信息,按照tcp四元組數據將http請求分發給多個不同的處理線程,根據虛擬cpu處理器的數量對所述處理線程的數量進行動態分配;
15、會話緩存模塊,被配置為:通過所述處理線程將接收到的tcp四元組數據存儲至與線程對應的tcp會話緩存中;對tcp會話緩存中的每個tcp四元組數據構建一個模擬tcp狀態機,設置模擬tcp狀態機的closing狀態的超時時間,使得上一個連接延遲的重復報文不會影響下一個相同四元組的連接;
16、數據轉換模塊,被配置為:將http請求轉換成osi模型的數據鏈路層網絡幀信息,之后發送給數據包發送器;
17、數據發送模塊,被配置為:通過所述數據包發送器將osi模型的數據鏈路層網絡幀信息從waf設備的網口以鏡像流量的方式發送至旁路部署安全設備。
18、進一步的,還包括鏡像流量編輯模塊,用于通過命令行工具編輯和重寫網絡數據包,將鏡像流量中的mac地址信息,更改為原始流量中的源mac地址和目的mac地址信息,以確保鏡像流量的源mac地址、目的mac地址與原始流量的源mac地址、目的mac地址保持一致。
19、進一步的,所述旁路部署安全設備包括ips入侵防御系統和ids入侵檢測系統。
20、進一步的,所述模擬tcp狀態機只具有三個狀態,分別為:close狀態、establish狀態和closing狀態。
21、本專利技術的另一方面,還提供了一種電子設備,包括:
22、一個或多個處理器;
23、存儲裝置,用于存儲一個或多個計算機程序;
24、當所述一個或多個計算機程序被所述一個或多個處理器執行時,使得所述一個或多個處理器實現上述一種網絡加密流量檢測方法。
25、本專利技術的另一方面,還提供了一種計算機可讀存儲介質,其上存儲有計算機程序,該計算機程序被處理器執行時實現上述一種網絡加密流量檢測方法。
26、本專利技術提供的網絡加密流量檢測方法、裝置、電子設備及存儲介質,一方面可令其它網絡安全設備直接對waf設備產生的加密流量的解密明文進行檢測,避免了直接對加密流量解密而重復卸載證書,進而造成安全隱患和業務延遲;另一方面,無需徹底改變網絡拓撲和網絡設備接入方式即可實現對大多數網絡加密流量的檢測覆蓋,降低了接入成本和實施難度,不會使網絡鏈路結構變得復雜,改善了網絡穩定性,使整體網絡延遲大大降低。
本文檔來自技高網...【技術保護點】
1.一種網絡加密流量檢測方法,其特征在于,包括:
2.根據權利要求1所述的一種網絡加密流量檢測方法,其特征在于,還包括鏡像流量編輯步驟:
3.根據權利要求1所述的一種網絡加密流量檢測方法,其特征在于,所述旁路部署安全設備包括IPS入侵防御系統和IDS入侵檢測系統。
4.根據權利要求1所述的一種網絡加密流量檢測方法,其特征在于,所述模擬TCP狀態機只具有三個狀態,分別為:CLOSE狀態、ESTABLISH?狀態和CLOSING狀態。
5.一種網絡加密流量檢測裝置,其特征在于,包括:
6.根據權利要求5所述的一種網絡加密流量檢測裝置,其特征在于,還包括鏡像流量編輯模塊,用于通過命令行工具編輯和重寫網絡數據包,將鏡像流量中的mac地址信息,更改為原始流量中的源mac地址和目的mac地址信息,以確保鏡像流量的源mac地址、目的mac地址與原始流量的源mac地址、目的mac地址保持一致。
7.根據權利要求5所述的一種網絡加密流量檢測裝置,其特征在于,所述旁路部署安全設備包括IPS入侵防御系統和IDS入侵檢測系統。>
8.根據權利要求5所述的一種網絡加密流量檢測裝置,其特征在于,所述模擬TCP狀態機只具有三個狀態,分別為:CLOSE狀態、ESTABLISH?狀態和CLOSING狀態。
9.一種電子設備,其特征在于,包括:
10.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,該計算機程序被處理器執行時實現如權利要求1-4任意一項所述的一種網絡加密流量檢測方法。
...【技術特征摘要】
1.一種網絡加密流量檢測方法,其特征在于,包括:
2.根據權利要求1所述的一種網絡加密流量檢測方法,其特征在于,還包括鏡像流量編輯步驟:
3.根據權利要求1所述的一種網絡加密流量檢測方法,其特征在于,所述旁路部署安全設備包括ips入侵防御系統和ids入侵檢測系統。
4.根據權利要求1所述的一種網絡加密流量檢測方法,其特征在于,所述模擬tcp狀態機只具有三個狀態,分別為:close狀態、establish?狀態和closing狀態。
5.一種網絡加密流量檢測裝置,其特征在于,包括:
6.根據權利要求5所述的一種網絡加密流量檢測裝置,其特征在于,還包括鏡像流量編輯模塊,用于通過命令行工具編輯和重寫網絡數據包,將鏡像流量中的mac...
【專利技術屬性】
技術研發人員:袁崇杰,朱文雷,姚戰偉,劉彥良,郭世超,崔勤,
申請(專利權)人:北京長亭科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。