【技术实现步骤摘要】
一种基于https代理的威胁检测方法
[0001]本专利技术涉及网络流量分析
,特别涉及一种基于https代理的威胁检测方法。
技术介绍
[0002]在典型的攻防场景中,攻击者在成功渗透内网主机后,会尝试收集尽可能多的信息(例如信用卡号、社交账号详细信息和存储在未受保护的文本文件中的密码等敏感文件)。针对攻击者这种攻击行为,在端点上部署文件诱饵,检测威胁攻击是一种有效的手段。诱饵文件中通常包括域名、用户名和密码等信息,由于70%网站采用https加密通信,为了提供文件诱饵真实性,文件诱饵中域名通常采用https方式。攻击者通常会利用这些信息,登录系统,以便进一步渗透突破。
[0003]其所存在的问题是,采用https加密通信方式,常规内网网关无法解密加密流量,获取通信明文数据,因此在网关无法有效检测攻击威胁事件。
[0004]因此,本专利技术提出一种基于https代理的威胁检测方法。
技术实现思路
[0005]本专利技术提供一种基于https代理的威胁检测方法,用以配合终端侧部署诱饵文件...
【技术保护点】
【技术特征摘要】
1.一种基于https代理的威胁检测方法,其特征在于,包括:步骤1:构建自适应https证书适配机制;步骤2:在https交互过程中,基于所述自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控,获取所述攻击者的攻击行为;步骤3:解析所述攻击行为,并基于终端的诱饵文件,定位被攻陷终端;步骤4:修改所述被攻陷终端的身份信息。2.如权利要求1所述的基于https代理的威胁检测方法,其特征在于,构建自适应https证书适配机制,包括:向不同网关部署匹配的网站域名签名证书;在终端中将网关自签名证书添加到受信任的证书颁发机构,并构建得到自适应https证书适配机制。3.如权利要求1所述的基于https代理的威胁检测方法,其特征在于,基于所述自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控的过程中,包括:攻击者在访问文件诱饵中https域名时,浏览器没有任何提示告警信息;当网关在与终端交互时,根据访问域名,自适应提供https证书,通过https代理模块解密https加密流量,并对攻击威胁进行检测报警;重新组装https数据包,发送到目标网站。4.如权利要求1所述的基于https代理的威胁检测方法,其特征在于,基于所述终端的诱饵文件,定位被攻陷终端之前,还包括:调用诱饵生成模块,并根据终端ip地址、mac地址、目标网站域名集合生成诱饵文件;将所述诱饵文件部署到匹配的终端,其中,每个终端都存在唯一诱饵文件;其中,所述诱饵文件包括网站https域名、生成用户名NUa以及生成密码NPa。5.如权利要求1所述的基于https代理的威胁检测方法,其特征在于,解析所述攻击行为,并基于所述终端的诱饵文件,定位被攻陷终端的过程中,还包括:当检测到所述攻击者渗透到终端后,搜索所述终端的诱饵文件,并获取所述诱饵文件的域名登录信息,登录到https目标网站;当检测到https目标网站存在登录后,获取所述https目标网站的域名,并判断所述https目标网站是否为已知网站;若是已知网站,返回所述https目标网站的目标网站证书;若是未知网站,根据所述https目标网站的域名生成新的证书签名申请,并使用CA证书对应的密钥进行签名并返回域名证书,并作为中间客户端建立与终端和https目标网站的https连接。6.如权利要求1所述的基于https代理的威胁检测方法,其特征在于,修改所述被攻陷终端的身份信息,包括:对所指定监控终端的https加密流量进行解密,获取https明文数据;根据配置规则,实时检测所述https明文数据,在匹配到网站https域名、用户名NUa、密码NPa信息后,关联终端的ip地址、mac地址,并发送报警信息;同时,修改所述被攻陷终端的https域名、用户名NU...
【专利技术属性】
技术研发人员:刘天亮,刘诗剑,
申请(专利权)人:北京启天安信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。