一种基于https代理的威胁检测方法技术

本发明专利技术提供了一种基于https代理的威胁检测方法，包括：步骤1：构建自适应https证书适配机制；步骤2：在https交互过程中，基于自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控，获取攻击者的攻击行为；步骤3：解析攻击行为，并基于终端的诱饵文件，定位被攻陷终端；步骤4：修改被攻陷终端的身份信息。配合终端侧部署诱饵文件，通过在网关侧解密https加密流量，获取用户相关信息，解析并定位被攻陷内网主机，快速检测攻击威胁事件。快速检测攻击威胁事件。快速检测攻击威胁事件。

【技术实现步骤摘要】
一种基于https代理的威胁检测方法


[0001]本专利技术涉及网络流量分析
，特别涉及一种基于https代理的威胁检测方法。

技术介绍

[0002]在典型的攻防场景中，攻击者在成功渗透内网主机后，会尝试收集尽可能多的信息（例如信用卡号、社交账号详细信息和存储在未受保护的文本文件中的密码等敏感文件）。针对攻击者这种攻击行为，在端点上部署文件诱饵，检测威胁攻击是一种有效的手段。诱饵文件中通常包括域名、用户名和密码等信息，由于70%网站采用https加密通信，为了提供文件诱饵真实性，文件诱饵中域名通常采用https方式。攻击者通常会利用这些信息，登录系统，以便进一步渗透突破。
[0003]其所存在的问题是，采用https加密通信方式，常规内网网关无法解密加密流量，获取通信明文数据，因此在网关无法有效检测攻击威胁事件。
[0004]因此，本专利技术提出一种基于https代理的威胁检测方法。

技术实现思路

[0005]本专利技术提供一种基于https代理的威胁检测方法，用以配合终端侧部署诱饵文件，通过在网关侧解密https加密流量，获取用户相关信息，解析并定位被攻陷内网主机，快速检测攻击威胁事件。
[0006]本专利技术提供一种基于https代理的威胁检测方法，包括：步骤1：构建自适应https证书适配机制；步骤2：在https交互过程中，基于所述自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控，获取所述攻击者的攻击行为；步骤3：解析所述攻击行为，并基于终端的诱饵文件，定位被攻陷终端；步骤4：修改所述被攻陷终端的身份信息。
[0007]优选的，构建自适应https证书适配机制，包括：向不同网关部署匹配的网站域名签名证书；在终端中将网关自签名证书添加到受信任的证书颁发机构，并构建得到自适应https证书适配机制。
[0008]优选的，基于所述自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控的过程中，包括：攻击者在访问文件诱饵中https域名时，浏览器没有任何提示告警信息；当所述网关在与终端交互时，根据访问域名，自适应提供https证书，通过https代理模块解密https加密流量，并对攻击威胁进行检测报警；重新组装https数据包，发送到目标网站。
[0009]优选的，基于所述终端的诱饵文件，定位被攻陷终端之前，还包括：
调用诱饵生成模块，并根据终端ip地址、mac地址、目标网站域名集合生成诱饵文件；将所述诱饵文件部署到匹配的终端，其中，每个终端都存在唯一诱饵文件；其中，所述诱饵文件包括网站https域名、生成用户名NUa以及生成密码NPa。
[0010]优选的，解析所述攻击行为，并基于所述终端的诱饵文件，定位被攻陷终端的过程中，还包括：当检测到所述攻击者渗透到终端后，搜索所述终端的诱饵文件，并获取所述诱饵文件的域名登录信息，登录到https目标网站；当检测到https目标网站存在登录后，获取所述https目标网站的域名，并判断所述https目标网站是否为已知网站；若是已知网站，返回所述https目标网站的目标网站证书；若是未知网站，根据所述https目标网站的域名生成新的证书签名申请，并使用CA证书对应的密钥进行签名并返回域名证书，并作为中间客户端建立与终端和https目标网站的https连接。
[0011]优选的，修改所述被攻陷终端的身份信息，包括：对所指定监控终端的https加密流量进行解密，获取https明文数据；根据配置规则，实时检测所述https明文数据，在匹配到网站https域名、用户名NUa、密码NPa信息后，关联终端的ip地址、mac地址，并发送报警信息；同时，修改所述被攻陷终端的https域名、用户名NUa、密码NPa信息为https新域名、用户名Ua、密码Pa信息。
[0012]优选的，解析所述攻击行为，并基于所述终端的诱饵文件，定位被攻陷终端，包括：将所述攻击行为与预设攻击事件进行映射联系，确定基于所述映射联系的映射序列，其中，所述映射序列包括所述攻击行为中所包含的任意行为类型在不同攻击时刻点的攻击强度；基于所述映射序列，构建针对每个攻击时刻点的第一攻击数组，并构建针对同种行为类型的第二攻击数组；确定所述第一攻击数组的第一参考重要度；;其中，表示对应攻击时刻点的第一攻击数组中包含的总攻击类型；表示对应攻击时刻点的第一攻击数组中第个攻击类型下的攻击强度；表示对应攻击时刻点所对应的最大攻击强度；表示指数函数符号；表示对应攻击时刻点的第一攻击数组中第个攻击类型的攻击权重；确定所述第二攻击数组的第二参考重要度；;其中，表示对应第二攻击数组所包含的攻击时刻点；表示对应第二攻击数组中第j1个攻击时刻点下针对同种行为类型的攻击强
度；表示对应第二攻击数组中的最大攻击强度；表示对应第二攻击数组所对应同种行为类型的攻击权重；从所有第一参考重要度中提取第一最大参考度以及从所有第二参考度中提取第二最大参考度；当所述第一最大参考度小于第一预设度以及第二最大参考度小于第二预设度时，判定不存在攻陷的终端；否则，将大于第一预设度的第一参考重要度对应的重要时刻点、以及大于第二预设度的第二参考重要度对应的重要攻击类型部署在所述诱饵文件上，并锁定所部署的诱饵文件对应的终端为被攻陷终端。
[0013]优选的，修改所述被攻陷终端的身份信息的过程中，还包括：获取所述被攻陷终端所对应的诱饵文件上的攻击部署信息，并确定所述攻击部署信息中包含的重要时刻点的点分布，确定攻击时刻范围以及获取所述点分布中每个单一攻击类型的总攻击次数；按照所述攻击时刻范围以及总攻击次数，确定基于重要时刻点的重要攻击类型，同时，还确定所述攻击部署信息中的重要攻击类型；从基于重要时刻点的重要攻击类型以及基于所述攻击部署信息中的重要攻击类型中筛选重叠攻击类型以及非重叠攻击类型，并确定每个第一攻击类型的当下值；获取与所述用户的身份信息匹配的身份可能攻击段，并从所有当下值中提取与每个身份可能攻击段匹配的值集合，并得到针对每个身份可能攻击段的更改概率；当更改概率大于预设概率，判定需要对相应身份可能攻击段进行修改；当判定出需要进行修改的身份可能攻击段后，确定每个修改攻击段的单独防攻击能力以及所有修改攻击段的综合防攻击能力；当所述单独防攻击能力与综合防攻击能力都满足被攻击标准时，判定修改成功，否则，进行持续修改。
[0014]本专利技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
[0015]下面通过附图和实施例，对本专利技术的技术方案做进一步的详细描述。
附图说明
[0016]附图用来提供对本专利技术的进一步理解，并且构成说明书的一部分，与本专利技术的实施例一起用于解释本专利技术，并不构成对本专利技术的限制。在附图中：图1为本专利技术实施例中一种基于https代理的威胁检测方法的流程图；图2为本专利技术实施例中系统组成示意图；图3为本专利技术实施例中系本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于https代理的威胁检测方法，其特征在于，包括：步骤1：构建自适应https证书适配机制；步骤2：在https交互过程中，基于所述自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控，获取所述攻击者的攻击行为；步骤3：解析所述攻击行为，并基于终端的诱饵文件，定位被攻陷终端；步骤4：修改所述被攻陷终端的身份信息。2.如权利要求1所述的基于https代理的威胁检测方法，其特征在于，构建自适应https证书适配机制，包括：向不同网关部署匹配的网站域名签名证书；在终端中将网关自签名证书添加到受信任的证书颁发机构，并构建得到自适应https证书适配机制。3.如权利要求1所述的基于https代理的威胁检测方法，其特征在于，基于所述自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控的过程中，包括：攻击者在访问文件诱饵中https域名时，浏览器没有任何提示告警信息；当网关在与终端交互时，根据访问域名，自适应提供https证书，通过https代理模块解密https加密流量，并对攻击威胁进行检测报警；重新组装https数据包，发送到目标网站。4.如权利要求1所述的基于https代理的威胁检测方法，其特征在于，基于所述终端的诱饵文件，定位被攻陷终端之前，还包括：调用诱饵生成模块，并根据终端ip地址、mac地址、目标网站域名集合生成诱饵文件；将所述诱饵文件部署到匹配的终端，其中，每个终端都存在唯一诱饵文件；其中，所述诱饵文件包括网站https域名、生成用户名NUa以及生成密码NPa。5.如权利要求1所述的基于https代理的威胁检测方法，其特征在于，解析所述攻击行为，并基于所述终端的诱饵文件，定位被攻陷终端的过程中，还包括：当检测到所述攻击者渗透到终端后，搜索所述终端的诱饵文件，并获取所述诱饵文件的域名登录信息，登录到https目标网站；当检测到https目标网站存在登录后，获取所述https目标网站的域名，并判断所述https目标网站是否为已知网站；若是已知网站，返回所述https目标网站的目标网站证书；若是未知网站，根据所述https目标网站的域名生成新的证书签名申请，并使用CA证书对应的密钥进行签名并返回域名证书，并作为中间客户端建立与终端和https目标网站的https连接。6.如权利要求1所述的基于https代理的威胁检测方法，其特征在于，修改所述被攻陷终端的身份信息，包括：对所指定监控终端的https加密流量进行解密，获取https明文数据；根据配置规则，实时检测所述https明文数据，在匹配到网站https域名、用户名NUa、密码NPa信息后，关联终端的ip地址、mac地址，并发送报警信息；同时，修改所述被攻陷终端的https域名、用户名NU...

【专利技术属性】
技术研发人员：刘天亮，刘诗剑，
申请(专利权)人：北京启天安信科技有限公司，
类型：发明
国别省市：