本申请提供一种加密流量的内容检测方法及装置、电子设备、存储介质,方法包括:获取目标网络设备镜像处理得到的待测报文;从所述待测报文中,提取出HTTPS的交互数据;从所述交互数据中解析出会话参数,并基于所述会话参数判断所述交互数据对应会话为新建会话或复用会话;根据判断结果,确定所述交互数据对应会话的工作密钥;基于所述工作密钥,解密得到所述交互数据对应报文明文数据,并对所述报文明文数据进行内容检测。本申请方案,在不与客户端或服务端交互的情况下,完成了对客户端与服务端之间加密流量的内容检测。端之间加密流量的内容检测。端之间加密流量的内容检测。
【技术实现步骤摘要】
加密流量的内容检测方法及装置、电子设备、存储介质
[0001]本申请涉及通信
,特别涉及一种加密流量的内容检测方法及装置、电子设备、计算机可读存储介质。
技术介绍
[0002]为了保障数据传输的安全性,绝大多数互联网商业服务已弃用明文传输的HTTP(Hyper Text Transfer Protocol,超文本传输协议)协议,转而使用加密传输的HTTPS(Hypertext Transfer Protocol Secure,超文本传输安全协议)协议。HTTPS协议是在HTTP协议的基础上增加一对密钥组,通信的客户端和服务端分别拥有密钥组中的数字证书和私钥,在连接建立之处按照SSL(Secure Sockets Layer,安全套接字协议)协议标准交互流程及你想握手交互,加密协商出密钥参数,然后两端计算出同一主密钥,再分别同主密钥对HTTP报文进行加解密,经过加密后的HTTP报文在网络链路上进行传输。
[0003]服务端与客户端通信的流量可能为攻击流量,或者,服务端与客户端通信的流量中包含不该进行交互的内容(比如:企业内部机密数据)。然而,由于HTTPS报文为加密报文,网络安全设备无法解析出报文内容而对其进行检测。相关技术中,在客户端上预设置密钥插件,网络安全设备与密钥插件进行通信,从而获得密钥插件从客户端采集的工作密钥,进而借助工作密钥对HTTPS流量进行解密并检测。
[0004]然而,相关技术依赖客户端上的密钥插件传递工作密钥,这增加了客户端交互逻辑的复杂度。在一些场景中,客户端可能无法与网络安全设备通信,或者,客户端可能无法预配置密钥插件,则导致相关方案无法正常执行。
技术实现思路
[0005]本申请实施例的目的在于提供一种加密流量的内容检测方法及装置、电子设备、计算机可读存储介质,用于在不与客户端或服务端交互的情况下,完成对客户端与服务端之间加密流量的内容检测。
[0006]一方面,本申请提供了一种加密流量的内容检测方法,应用于旁路部署的网络安全设备,包括:
[0007]获取目标网络设备镜像处理得到的待测报文;
[0008]从所述待测报文中,提取出HTTPS的交互数据;
[0009]从所述交互数据中解析出会话参数,并基于所述会话参数判断所述交互数据对应会话为新建会话或复用会话;
[0010]根据判断结果,确定所述交互数据对应会话的工作密钥;
[0011]基于所述工作密钥,解密得到所述交互数据对应报文明文数据,并对所述报文明文数据进行内容检测。
[0012]通过上述措施,部署在旁路的网络安全设备,可以在无需与HTTPS通信双方进行交互的情况下,获得工作密钥,从而对加密流量解析出报文明文数据后进行内容检测。
[0013]在一实施例中,所述从所述待测报文中,提取出HTTPS的交互数据,包括:
[0014]检查所述待测报文的报文属性,如果所述报文属性为TCP数据包,提取所述待测报文的数据载荷;
[0015]将属于同一TCP连接的待测报文的数据载荷进行排序,得到排序后数据载荷;
[0016]针对任一TCP连接,判断所述TCP连接对应的排序后数据载荷是否为HTTPS数据;
[0017]若是,从所述排序后数据载荷中确定HTTPS的交互数据。
[0018]通过上述措施,可以从目标网络设备镜像出的多个待测报文中,提取出HTTPS流量的交互数据。
[0019]在一实施例中,所述方法还包括:
[0020]如果所述报文属性为TCP握手包,根据所述待测报文建立新的TCP连接。
[0021]通过上述措施,可以识别出新的TCP连接。
[0022]在一实施例中,所述根据判断结果,确定所述交互数据对应会话的工作密钥,包括:
[0023]如果所述交互数据对应会话为复用会话,根据所述会话参数中的会话标识查找预设工作密钥表,确定与所述会话标识对应的工作密钥。
[0024]通过上述措施,对于复用会话,可以根据会话标识快速查到对应的工作密钥。
[0025]在一实施例中,所述根据判断结果,确定所述交互数据对应会话的工作密钥,包括:
[0026]如果所述交互数据对应会话为新建会话,根据所述会话参数中的服务端域名,查找预设密钥组列表,确定与所述服务端域名对应的私钥;
[0027]根据所述会话参数中的算法套件,查找预设算法组列表,确定与所述算法套件对应的加密算法;
[0028]根据所述加密算法对所述私钥和所述会话参数中的协商参数进行处理,得到所述交互数据对应会话的工作密钥。
[0029]通过上述措施,可以在交互数据对应会话为新建会话时,确定该会话对应的工作密钥。
[0030]在一实施例中,所述方法还包括:
[0031]对于新建会话,将所述工作密钥和所述会话参数中会话标识关联存储至预设工作密钥表中。
[0032]通过上述措施,便于后续针对复用会话直接确定工作密钥。
[0033]在一实施例中,所述方法还包括:
[0034]如果无法查到与所述服务端域名对应的私钥,或者,如果无法查到与所述算法套件对应的加密算法,停止处理所述交互数据对应会话。
[0035]通过上述措施,可以及时放弃无法处理的加密流量。
[0036]另一方面,本申请提供了一种加密流量的内容检测装置,应用于旁路部署的网络安全设备,包括:
[0037]获取模块,用于获取目标网络设备镜像处理得到的待测报文;
[0038]提取模块,用于从所述待测报文中,提取出HTTPS的交互数据;
[0039]判断模块,用于从所述交互数据中解析出会话参数,并基于所述会话参数判断所
述交互数据对应会话为新建会话或复用会话;
[0040]确定模块,用于根据判断结果,确定所述交互数据对应会话的工作密钥;
[0041]检测模块,用于基于所述工作密钥,解密得到所述交互数据对应报文明文数据,并对所述报文明文数据进行内容检测。
[0042]进一步的,本申请提供了一种电子设备,所述电子设备包括:
[0043]处理器;
[0044]用于存储处理器可执行指令的存储器;
[0045]其中,所述处理器被配置为执行上述加密流量的内容检测方法。
[0046]此外,一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成上述加密流量的内容检测方法。
附图说明
[0047]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍。
[0048]图1为本申请一实施例提供的加密流量的内容检测方法的应用场景示意图;
[0049]图2为本申请一实施例提供的电子设备的结构示意图;
[0050]图3为本申请一实施例提供的加密流量的内容检测方法的流程示意图;
[0051]图4为本申请一实施例提供的图3中步骤320的细节流程示本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种加密流量的内容检测方法,应用于旁路部署的网络安全设备,其特征在于,包括:获取目标网络设备镜像处理得到的待测报文;从所述待测报文中,提取出HTTPS的交互数据;从所述交互数据中解析出会话参数,并基于所述会话参数判断所述交互数据对应会话为新建会话或复用会话;根据判断结果,确定所述交互数据对应会话的工作密钥;基于所述工作密钥,解密得到所述交互数据对应报文明文数据,并对所述报文明文数据进行内容检测。2.根据权利要求1所述的方法,其特征在于,所述从所述待测报文中,提取出HTTPS的交互数据,包括:检查所述待测报文的报文属性,如果所述报文属性为TCP数据包,提取所述待测报文的数据载荷;将属于同一TCP连接的待测报文的数据载荷进行排序,得到排序后数据载荷;针对任一TCP连接,判断所述TCP连接对应的排序后数据载荷是否为HTTPS数据;若是,从所述排序后数据载荷中确定HTTPS的交互数据。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:如果所述报文属性为TCP握手包,根据所述待测报文建立新的TCP连接。4.根据权利要求1所述的方法,其特征在于,所述根据判断结果,确定所述交互数据对应会话的工作密钥,包括:如果所述交互数据对应会话为复用会话,根据所述会话参数中的会话标识查找预设工作密钥表,确定与所述会话标识对应的工作密钥。5.根据权利要求1所述的方法,其特征在于,所述根据判断结果,确定所述交互数据对应会话的工作密钥,包括:如果所述交互数据对应会话为新建会话,根据所述会话参数中的服务端域名,查找预设密钥组列表,确定与所述服务端域名对应的私钥;根据所述会...
【专利技术属性】
技术研发人员:范菁,黄兵华,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。