本公开涉及加密流量的检测方法、装置及计算机可读存储介质,其中密流量的检测方法,包括:从原始流量中提取网络传输协议的流量;识别并提取客户端的加密信息;提取预判断为目标类型的流量;基于所述加密信息对所述目标类型的流量解密;根据解密结果得到加密流量。通过本公开的各实施例,能够准确识别客户端加密的通信流量。
【技术实现步骤摘要】
加密流量的检测方法、装置及计算机可读存储介质
本公开涉及数据处理
,具体涉及一种加密流量的检测方法、装置及计算机可读存储介质。
技术介绍
目前,传统的流量检测产品对加密流量的检测没有比较好的方案,只能通过一些模糊的特征,对其进行检测。随着而来的,存在大量误报漏报,给安全运维人员带来大量的困扰。
技术实现思路
本公开意图提供一种加密流量的检测方法、装置及计算机可读存储介质,能够准确识别客户端加密的通信流量。根据本公开的方案之一,提供一种加密流量的检测方法,包括:从原始流量中提取网络传输协议的流量;识别并提取客户端的加密信息;提取预判断为目标类型的流量;基于所述加密信息对所述目标类型的流量解密;根据解密结果得到加密流量。在一些实施例中,其中,所述从原始流量中提取网络传输协议的流量,包括:将提取出的网络传输协议的流量以轻量级数据交换格式记录。在一些实施例中,其中,所述识别并提取客户端的加密信息,包括:识别客户端的密钥交互过程;提取并存储密钥和访问信息。在一些实施例中,其中,所述基于所述加密信息对所述目标类型的流量解密,包括:基于存储的密钥进行所述解密。在一些实施例中,其中,所述提取预判断为目标类型的流量,包括:通过模糊特征预判断出目标类型的流量,所述模糊特征包括可绕过特征和不可绕过特征。在一些实施例中,其中,所述可绕过特征包含:特定字段、长连接;所述不可绕过特征包含:与加密相关的URL参数。在一些实施例中,其中,所述根据解密结果得到加密流量,包括:对解密出的明文分析,根据明文特征得到加密流量。根据本公开的方案之一,提供一种加密流量的检测装置,包括:网络传输协议流量解析模块,其配置为从原始流量中提取网络传输协议的流量;加密信息提取模块,其配置为识别并提取客户端的加密信息;预提取模块,其配置为提取预判断为目标类型的流量;解密模块,其配置为基于所述加密信息对所述目标类型的流量解密;攻击研判模块,其配置为根据解密结果得到加密流量。在一些实施例中,其中,所述加密信息提取模块还配置为:存储包括密钥在内的加密信息;所述解密模块还配置为:基于所述加密信息提取模块中存储的加密信息进行所述解密。根据本公开的方案之一,提供计算机可读存储介质,其上存储有计算机可执行指令,所述计算机可执行指令由处理器执行时,实现:根据上述的加密流量的检测方法。本公开的各种实施例的加密流量的检测方法、装置及计算机可读存储介质,至少从原始流量中提取网络传输协议的流量;识别并提取客户端的加密信息;提取预判断为目标类型的流量;基于所述加密信息对所述目标类型的流量解密;根据解密结果得到加密流量,实现从原始网络流量提取出客户端加密流量建立初始连接时,交换加密密钥,并对密钥进行存储,与当前通讯关联起来;从流量中提取出疑似加密流量,并对其流量进行解密;判断其是否是目标类型的流量,予以攻击研判。从而能够准确识别客户端加密的通信流量,避免流量检测产品的误报与漏报。应当理解,前面的大体描述以及后续的详细描述只是示例性的和说明性的,并非对所要求保护的本公开的限制。附图说明在未必按照比例绘制的附图中,不同视图中相似的附图标记可以表示相似的构件。具有字母后缀的相似附图标记或具有不同字母后缀的相似附图标记可以表示相似构件的不同实例。附图通常作为示例而非限制地图示各种实施例,并且与说明书和权利要求书一起用于解释所公开的实施例。图1示出了本公开的一种实施例的加密流量的检测方法的流程示意图;图2示出了本公开的一种实施例的加密流量的检测装置的架构示意图;图3示出了本公开的一种实施例的检测流程。具体实施方式为了使得本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例的附图,对本公开实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。基于所描述的本公开的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。除非另外定义,本公开使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。为了保持本公开实施例的以下说明清楚且简明,本公开省略了已知功能和已知部件的详细说明。本公开实施例的技术方案中涉及加密流量的检测方案,以冰蝎为例,冰蝎是目前非常广泛的WebShell客户端,它可以在HTTP明文协议中建立了加密隧道,以躲避安全设备的检测。其中,Webshell可以通过上传文件或者其他手段,获取服务器一定的操作的权限。在检测网络流量中网络镜像流量是指通过交换机或分光设备,将所有流经的原始网络流量全部复制一份发送到指定的设备端口。这样可以在不改动企业现有网络架构的基础上,通过分析镜像网络流量,识别攻击行为。目前,传统的流量检测产品对冰蝎的检测没有比较好的方案,存在大量误报漏报。冰蝎在HTTP明文协议中建立了加密隧道,目前,传统的流量检测产品对于加密的隧道的通讯行为没有很好的解决方案,只能通过一些模糊的特征,对其进行检测。随着而来的,便是大量的误报与漏报,给安全运维人员带来大量的困扰。基于此,本公开将以检测冰蝎流量为例,对本公开各实施例的技术方案进行详细说明。作为方案之一,如图1结合图3所示,本公开的实施例提供了一种密流量的检测方法,包括:S101:从原始流量中提取网络传输协议的流量;S102:识别并提取客户端的加密信息;S103:提取预判断为目标类型的流量;S104:基于所述加密信息对所述目标类型的流量解密;S105:根据解密结果得到加密流量。以网络传输协议的流量为HTTP流量为例,本公开实施例具体可以为:S101:从原始流量中提取网络传输协议的流量,供后续加密信息的提取,以及加密流量的提取进行使用。其中,本实施例可以从原始网络流量中提取出HTTP协议的流量。进一步的,可以为:所述从原始流量中提取网络传输协议的流量,包括:将提取出的网络传输协议的流量以轻量级数据交换格式记录。例如,可以将提取出的HTTP协议流量记录为json数据。JSON(JavaScriptObjectNotation,JS对象简谱)是一种轻量级的数据交换格式。它基于ECMAScript(欧洲计算机协会制定的js规范)的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得JSON成为理想的数据交换语言。易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。以具体代码为例,以下详细说明执行过程,相关本文档来自技高网...
【技术保护点】
1.加密流量的检测方法,包括:/n从原始流量中提取网络传输协议的流量;/n识别并提取客户端的加密信息;/n提取预判断为目标类型的流量;/n基于所述加密信息对所述目标类型的流量解密;/n根据解密结果得到加密流量。/n
【技术特征摘要】
1.加密流量的检测方法,包括:
从原始流量中提取网络传输协议的流量;
识别并提取客户端的加密信息;
提取预判断为目标类型的流量;
基于所述加密信息对所述目标类型的流量解密;
根据解密结果得到加密流量。
2.根据权利要求1所述的方法,其中,所述从原始流量中提取网络传输协议的流量,包括:
将提取出的网络传输协议的流量以轻量级数据交换格式记录。
3.根据权利要求1所述的方法,其中,所述识别并提取客户端的加密信息,包括:
识别客户端的密钥交互过程;
提取并存储密钥和访问信息。
4.根据权利要求3所述的方法,其中,所述基于所述加密信息对所述目标类型的流量解密,包括:
基于存储的密钥进行所述解密。
5.根据权利要求1所述的方法,其中,所述提取预判断为目标类型的流量,包括:
通过模糊特征预判断出目标类型的流量,所述模糊特征包括可绕过特征和不可绕过特征。
6.根据权利要求5所述的方法,其中,
所述可绕过特征包含:特...
【专利技术属性】
技术研发人员:陈志明,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。