一種入侵檢測方法、裝置及存儲介質制造方法及圖紙

技術編號：43906441 閱讀：9 留言：0更新日期：2025-01-03 13:16

一種入侵檢測方法、裝置及存儲介質，適用于網絡安全技術領域，用以提高網絡入侵檢測能力，解決對網絡攻擊缺乏防御能力的問題。該方法包括：終端設備獲取客戶端與服務器每次會話時，用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息，不同會話過程傳輸的加密會話文件對應的密鑰指示信息不同；所述終端設備將每次獲取到的密鑰指示信息發送給網關設備，以使所述網關設備基于接收到的所述密鑰指示信息生成解密密鑰，基于所述解密密鑰解密對應的加密會話文件，并將解密后的會話文件進行入侵檢測。

全部詳細技術資料下載

【技術實現步驟摘要】

本申請涉及網絡安全，尤其涉及一種入侵檢測方法、裝置及存儲介質。

技術介紹

1、隨著計算機軟件技術、網絡技術的發展，網絡安全問題也日益突出，為保障數據傳輸的安全性和隱私性，越來越多的網絡流量使用安全套接層協議(英文：secure?socketslayer，縮寫為ssl)和傳輸層安全協議(英文：transportlayer?security，縮寫為tls)對流量進行加密。然而，隨著加密協議的廣泛使用，也給網絡安全帶來了全新的挑戰，例如，經常存在攻擊者使用加密協議傳遞惡意軟件、隱藏攻擊活動和竊取機密數據等安全事件，若安全事件沒有及時發現并處理，將會造成嚴重的后果。

2、因此，針對這種加密流量，如何更好的提高入侵檢測能力，是亟需解決的技術問題。

技術實現思路

1、本申請實施例提供一種入侵檢測方法、裝置及存儲介質，用以解決現有技術對網絡攻擊缺乏防御能力的問題。

2、第一方面，本申請實施例提供一種入侵檢測方法，該方法包括：

3、終端設備獲取客戶端與服務器每次會話時，用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息，不同會話過程傳輸的加密會話文件對應的密鑰指示信息不同；所述終端設備將每次獲取到的密鑰指示信息發送給網關設備，以使所述網關設備基于接收到的所述密鑰指示信息生成解密密鑰，基于所述解密密鑰解密對應的加密會話文件，并將解密后的會話文件進行入侵檢測。

4、上述方法，本申請實施例客戶端與服務端每次進行會話時應用不同的加解密密鑰進行會話文件交

5、一些可選的實施方式中，所述終端設備獲取客戶端與服務器每次會話時，用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息，包括：

6、所述客戶端每次向所述服務器發起會話請求后，所述終端設備獲取所述客戶端與所述服務器基于每次會話請求進行握手時產生的客戶端隨機數；所述終端設備基于所述客戶端隨機數確定對應加密會話文件進行解密的密鑰指示信息。

7、上述方法，本申請實施例通過終端產品獲取客戶端與服務端每次進行會話時握手產生的隨機數，基于該隨機數，得到對本次握手后客戶端與服務器進行交互過程的會話文件進行加解密的密鑰指示信息，由于隨機數的不確定性，從而最大程度上確保了密文的安全性，并且全過程無需客戶端或服務器端交互配置，簡化了部署流程。

8、一些可選的實施方式中，所述終端設備基于所述客戶端隨機數確定對應加密會話文件進行解密的密鑰指示信息，包括：

9、所述終端設備基于預設的主密鑰，以及每次會話產生的客戶端隨機數，確定對應加密會話文件進行解密的密鑰指示信息；或，所述終端設備基于預設的主密鑰，每次會話產生的客戶端隨機數，以及拓展密鑰，確定對應加密會話文件進行解密的密鑰指示信息；或，所述終端設備基于每次會話產生的客戶端隨機數，以及拓展密鑰，確定對應加密會話文件進行解密的密鑰指示信息；

10、其中，所述主密鑰為固定密鑰，所述拓展密鑰是基于會話過程中攜帶的標識信息，以及標識信息與密鑰信息的對應關系，從預設密鑰池中包括的多個密鑰中確定的；或所述拓展密鑰是基于會話類型或會話業務與密鑰信息的對應關系確定的。

11、一些可選的實施方式中，所述終端設備獲取客戶端與服務器每次會話時，用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息，包括：

12、所述終端設備獲取所述客戶端與所述服務端每次會話時，進行會話的sslkeylog文件；其中，所述sslkeylog文件中包括用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息。

13、示例性的，本申請實施例所述sslkeylog文件可以為用于記錄ssl/tls會話中使用的密鑰文件。

14、第二方面，本申請實施例提供一種入侵檢測方法，該方法包括：

15、網關設備獲取終端設備發送的用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息，不同會話過程傳輸的加密會話文件對應的密鑰指示信息不同；所述網關設備基于接收到的所述密鑰指示信息生成解密密鑰；所述網關設備基于所述解密密鑰解密對應的加密會話文件，并將解密后的會話文件進行入侵檢測。

16、上述方法，本申請實施例客戶端與服務端每次進行會話時應用不同的加解密密鑰進行會話文件交互，終端產品獲取每次會話時的加解密密鑰的指示信息，并將該密鑰指示信息同步發送至網絡入侵檢測系統等網關產品，網絡入侵檢測系統收到終端發送到的該密鑰指示信息后對加密會話文件進行實時解密并進行深度包檢測，擴大了網關產品的檢測范圍，提升了告警準確率。其中，由于解密過程中獲取到的僅為當次客戶端與服務器進行握手交互的會話文件對應的加解密密鑰，即使該密鑰指示信息被竊聽，后續加密流量仍然處于保密狀態，也不影響后續加密流量的安全性，從而最大程度上確保了密文的安全性，并且全過程無需客戶端或服務器端交互配置，簡化了部署流程。

17、一些可選的實施方式中，所述網關設備獲取終端設備發送的用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息，包括：

18、所述網關設備獲取所述終端設備發送的所述客戶端與所述服務端每次會話時，進行會話的sslkeylog文件；其中，所述sslkeylog文件中包括所述所述客戶端與所述服務器基于對應會話請求進行握手時產生的客戶端隨機數。

19、一些可選的實施方式中，所述方法還包括：

20、所述網關設備根據獲取到的加密會話文件標識與密鑰指示信息標識的對應關系，確定每個加密流量文件對應的用于生成解密會話密鑰的密鑰指示信息。

21、一些可選的實施方式中，所述方法還包括：

22、每次會話過程中，所述網關設備接收到的密鑰指示信息用于解密下次會話時產生的加密會話文件；或，每次會話過程中，所述網關設備接收到的密鑰指示信息用于解密本次會話時產生的加密會話文件。

23、一些可選的實施方式中，所述方法還包括：

24、所述網關設備接收到的密鑰指示信息為所述終端設備進行加密后的密鑰指示信息，所述網關設備根據事先與所述終端設備協議的所述密鑰指示信息對應的解密密鑰解密所述密鑰指示信息。

25、第三方面，本申請實施例提供了一種入侵檢測裝置，該裝置包括：

26、獲取模塊，用于獲取客戶端與服務器每次會話時，用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息，不同會話過本文檔來自技高網...

【技術保護點】

1.一種入侵檢測方法，其特征在于，所述方法包括：

2.如權利要求1所述的方法，其特征在于，所述終端設備獲取客戶端與服務器每次會話時，用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息，包括：

3.如權利要求2所述的方法，其特征在于，所述終端設備基于所述客戶端隨機數確定對應加密會話文件進行解密的密鑰指示信息，包括：

4.如權利要求1～3中任一項所述的方法，其特征在于，所述終端設備獲取客戶端與服務器每次會話時，用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息，包括：

5.一種入侵檢測方法，其特征在于，所述方法包括：

6.如權利要求5所述的方法，其特征在于，所述網關設備獲取終端設備發送的用于對會話過程中傳輸的加密會話文件進行解密的密鑰指示信息，包括：

7.如權利要求6所述的方法，其特征在于，所述方法還包括：

8.如權利要求7所述的方法，其特征在于，所述方法還包括：

9.如權利要求5～8中任一項所述的方法，其特征在于，所述方法還包括：

10.一種入侵檢測裝置，其特征在于，所述裝置包括：

11.一種入侵檢測裝置，其特征在于，所述裝置包括：

12.一種電子設備，其特征在于，包括：至少一個處理器，以及與所述至少一個處理器通信連接的存儲器，其中：

13.一種計算機可讀介質，存儲有計算機可執行指令，其特征在于，所述計算機可執行指令用于執行如權利要求1-4任一所述的方法；或執行如權利要求5-9任一所述的方法。

...

【技術特征摘要】

1.一種入侵檢測方法，其特征在于，所述方法包括：

3.如權利要求2所述的方法，其特征在于，所述終端設備基于所述客戶端隨機數確定對應加密會話文件進行解密的密鑰指示信息，包括：

5.一種入侵檢測方法，其特征在于，所述方法包括：

6.如權利要求5所述的方法，其特征在于，所述網關設備獲取終端設備發送的用于對會話過程中傳輸的...

【專利技術屬性】
技術研發人員：李瑞科，金愷，彭艷亭，李文瑾，段明娟，高燕婷，
申請(專利權)人：綠盟科技集團股份有限公司，
類型：發明
國別省市：

全部詳細技術資料下載我是這個專利的主人

相關技術

網友詢問留言已有0條評論

還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。

發布您的意見

相關領域技術

一種入侵檢測方法、裝置及存儲介質制造方法及圖紙

一種入侵檢測方法、裝置及存儲介質制造方法及圖紙