本发明专利技术提供了一种数据验证方法、装置和电子设备,其中,该方法包括:获取待检测的目标加密流量;当能够从目标加密流量中解析出X.509证书时,从X.509证书中提取出证书版本号、证书相关标识、以及证书扩展项标识;利用提取出的证书版本号、证书相关标识、以及证书扩展项标识生成X.509证书的验证信息;当能够从证书指纹数据库中查询出与验证信息相同的恶意加密流量证书指纹时,将目标加密流量确定为恶意加密流量。通过本发明专利技术实施例提供的数据验证方法、装置和电子设备,提高了对现实网络环境中识别出恶意证书或可疑通信流量的准确率。识别出恶意证书或可疑通信流量的准确率。识别出恶意证书或可疑通信流量的准确率。
【技术实现步骤摘要】
一种数据验证方法、装置和电子设备
[0001]本专利技术涉及计算机
,具体而言,涉及一种数据验证方法、装置和电子设备。
技术介绍
[0002]目前,随着加密业务的普及和安全意识的提高,互联网中使用加密业务进行通信的情况越来越多,各种加密网络协议如安全传输层(Transport Layer Security,TLS)协议等为网络通信带来更好的安全性。但是越来越多的恶意加密流量也同样使用这类加密协议进行通信。
技术实现思路
[0003]为解决上述问题,本专利技术实施例的目的在于提供一种数据验证方法、装置和电子设备。
[0004]第一方面,本专利技术实施例提供了一种数据验证方法,包括:
[0005]获取待检测的目标加密流量;
[0006]当能够从所述目标加密流量中解析出X.509证书时,从所述X.509证书中提取出证书版本号、证书相关标识、以及证书扩展项标识;
[0007]利用提取出的证书版本号、证书相关标识、以及证书扩展项标识生成所述X.509证书的验证信息;
[0008]当能够从证书指纹数据库中查询出与所述验证信息相同的恶意加密流量证书指纹时,将所述目标加密流量确定为恶意加密流量。
[0009]第二方面,本专利技术实施例还提供了一种数据验证装置,包括:
[0010]获取模块,用于获取待检测的目标加密流量;
[0011]提取模块,用于当能够从所述目标加密流量中解析出X.509证书时,从所述X.509证书中提取出证书版本号、证书相关标识、以及证书扩展项标识;
[0012]生成模块,用于利用提取出的证书版本号、证书相关标识、以及证书扩展项标识生成所述X.509证书的验证信息;
[0013]验证模块,用于当能够从证书指纹数据库中查询出与所述验证信息相同的恶意加密流量证书指纹时,将所述目标加密流量确定为恶意加密流量。
[0014]第三方面,本专利技术实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述第一方面所述的方法的步骤。
[0015]第四方面,本专利技术实施例还提供了一种电子设备,所述电子设备包括有存储器,处理器以及一个或者一个以上的程序,其中所述一个或者一个以上程序存储于所述存储器中,且经配置以由所述处理器执行上述第一方面所述的方法的步骤。
[0016]本专利技术实施例上述第一方面至第四方面提供的方案中,当在待检测的目标加密流
量中解析出X.509证书时,从所述X.509证书中提取出证书版本号、证书相关标识、以及证书扩展项标识,然后利用提取出的证书版本号、证书相关标识、以及证书扩展项标识生成所述X.509证书的验证信息,当能够从证书指纹数据库中查询出与所述验证信息相同的恶意加密流量证书指纹时,将所述目标加密流量确定为恶意加密流量,利用从待检测的目标加密流量的X.509证书中提取出的证书版本号、证书相关标识、以及证书扩展项标识得到X.509证书的验证信息,对目标加密流量是否为恶意加密流量进行验证,提高了对现实网络环境中识别出恶意证书或可疑通信流量的准确率。
[0017]为使本专利技术的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
[0018]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019]图1示出了本专利技术实施例1所提供的一种数据验证方法的流程图;
[0020]图2示出了本专利技术实施例所2所提供的一种数据验证装置的结构示意图;
[0021]图3示出了本专利技术实施例3所提供的一种电子设备的结构示意图。
具体实施方式
[0022]在本专利技术的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本专利技术和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本专利技术的限制。
[0023]此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本专利技术的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
[0024]在本专利技术中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本专利技术中的具体含义。
[0025]目前,随着加密业务的普及和安全意识的提高,互联网中使用加密业务进行通信的情况越来越多,各种加密网络协议如TLS协议等为网络通信带来更好的安全性。但是越来越多的恶意加密流量也同样使用这类加密协议进行通信。证书检测是加密流量检测中的重要组成部分,当前针对证书检测的主要手段是根据证书SHA1指纹进行匹配。
[0026]相关技术中,证书检测使用证书指纹进行匹配,该指纹实际上是对证书的起止有
效期、颁发者/使用者内容、序列号等内容进行SHA1运算得到哈希值。但是在网络数据的传输过程中存在如下情况:
[0027](1)某些恶意软件,每次TLS会话过程中会重新填写证书起止有效期、颁发者/使用者内容、序列号等内容,产生不同的证书,以规避检测。
[0028](2)恶意软件被检出后,恶意软件作者倾向于更换证书,更换的内容包括修改颁发者/使用者内容、序列号、起止有效期等,以规避检测。
[0029]上述两种情况下,证书指纹(即:证书的验证信息)均会发生变化,造成无法有效检出的情况。
[0030]基于此,本申请各实施例提出一种数据验证方法、装置和电子设备,当在待检测的目标加密流量中解析出X.509证书时,从所述X.509证书中提取出证书版本号、证书相关标识、以及证书扩展项标识,然后利用提取出的证书版本号、证书相关标识、以及证书扩展项标识生成所述X.509证书的验证信息,当能够从证书指纹数据库中查询出与所述验证信息相同的恶意加密流量证书指纹时,将所述目标加密流量确定为恶意加密流量,利用从待检测的目标加密流量的X.509证书中提取出的证书版本号、证书相关标识、以及证书扩展项标识得到X.509证书的验证信息,对目标加密流量是否为恶意加密流量进行验证,提高了对现实网络环境本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据验证方法,其特征在于,包括:获取待检测的目标加密流量;当能够从所述目标加密流量中解析出X.509证书时,从所述X.509证书中提取出证书版本号、证书相关标识、以及证书扩展项标识;利用提取出的证书版本号、证书相关标识、以及证书扩展项标识生成所述X.509证书的验证信息;当能够从证书指纹数据库中查询出与所述验证信息相同的恶意加密流量证书指纹时,将所述目标加密流量确定为恶意加密流量。2.根据权利要求1所述的方法,其特征在于,利用提取出的证书版本号、证书相关标识、以及证书扩展项标识生成所述X.509证书的验证信息,包括:将提取出的证书版本号、证书相关标识、以及证书扩展项标识依次拼接起来,得到证书验证字符串;对得到的证书验证字符串进行哈希计算,将哈希计算的结果作为所述X.509证书的验证信息。3.根据权利要求1所述的方法,其特征在于,还包括:获取安全传输层TLS恶意加密流量;从所述TLS恶意加密流量中解析出X.509证书,并从所述TLS恶意加密流量的X.509证书中提取出证书版本号、证书相关标识、以及证书扩展项标识;将从所述TLS恶意加密流量的X.509证书中提取出的证书版本号、证书相关标识、以及证书扩展项标识依次拼接起来,得到作为恶意加密流量证书指纹的恶意加密流量证书字符串;将得到的所述恶意加密流量证书指纹存储到所述证书指纹数据库中。4.一种数据验证装置,其特征在于,包括:获取模块,用于获取待检测的目标加密流量;提取模块,用于当能够从所述目标加密流量中解析出X.509证书时,从所述X.509证书中提取出证书版本号、证书相关标识、以及证书扩展项标识;生成模块,用于利用提取...
【专利技术属性】
技术研发人员:李春燕,刘军,
申请(专利权)人:北京观成科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。