本申请涉及用于证书过滤的方法和系统。SSL/TLS证书过滤设备(112、114、116、118)、系统和过程可以基于与每个分组相关联的风险来过滤分组。可以基于相关联的威胁和风险针对每个分组确定风险评分。可以基于与每个分组相关联的证书、证书认证机构和/或最终用户来确定风险评分。可以按威胁和风险对证书进行评分和/或分类。或分类。或分类。
【技术实现步骤摘要】
用于证书过滤的方法和系统
[0001]本申请是申请日为2020年1月28日,申请号为2020800339033,专利技术名称为“用于证书过滤的方法和系统”的申请的分案申请。
[0002]相关申请的交叉引用
[0003]本申请要求于2019年3月5日提交的美国正式专利申请序列第16/293,087号的优先权,其全部内容通过引用明确地并入本文。
[0004]本文描述的方面总体涉及计算机硬件和软件以及网络安全性。特别地,本公开的一个或更多个方面总体涉及用于基于证书、证书认证机构和与分组相关联的最终用户过滤通信的计算机硬件和软件。
技术介绍
[0005]随着信息时代的不断发展,网络安全变得越来越重要。连接可以通过加密数据来保护,以防止数据暴露给第三方。在传输控制协议/互联网协议(TCP/IP)网络中,可以通过使用传输层安全性(TLS)协议或通过使用TLS的前身安全套接字层(SSL)协议来保护端点之间的传输中通信。TLS提供了隐私、身份验证和通信的完整性。TLS通过使用X.509证书来保护通信。这些X.509证书通常由证书认证机构(CA)组织颁发。通常,TLS用于保护客户端
‑
服务器通信,其中服务器提供可用于安全地建立会话密钥的证书。客户端和服务器使用会话密钥来加密和解密通过TLS隧道发送的数据。例如,通常用于保护Web通信的超文本传输协议安全(HTTPS)协议由通过TLS或SSL加密的超文本传输协议(HTTP)通信组成。还有其他使用X.509证书来保护通信的协议,诸如数据报传输层安全性(DTLS)、快速UDP互联网连接(QUIC)和超文本传输协议版本3(HTTP/3)草案,并且这些协议可以由各种应用使用,包括网络浏览器和服务器、虚拟专用网络(VPN)软件以及软件打包和交付系统。
[0006]关于SSL/TLS协议本身的安全风险,由于已知的安全漏洞,标准组织(例如,IETF)已弃用旧版本的协议,诸如SSL v2、SSL v3和TLS 1.0。TLS的较新版本的已知安全漏洞较少。但是仍然存在许多与SSL/TLS使用相关的安全风险,可能被恶意主体利用。许多这些风险源于对人类正确管理SSL/TLS使用和相关证书的依赖。例如,网站管理员可能无法跟上保护证书的版本更新和安全补丁;CA组织可能会失陷,因此他们颁发的证书可能会泄露;HTTPS端点和相关应用(例如,网络浏览器)可能未完全采用与证书相关的安全风险降低措施;人类最终用户可能会从事风险行为,诸如无视与证书相关的安全风险警告;等等。如下所述,本公开提供了减轻这些与证书相关的安全风险以提高SSL/TLS通信的安全性的方法。
[0007]目前,可以通过网络浏览器或端点托管的其他应用程序来分析证书和证书认证机构(CA)的某些安全风险,从而可以采取措施降低风险;然而,通常不会分析与最终用户行为相关的风险。最终用户可以指操作使用SSL/TLS通信的端点托管应用程序(例如,网络浏览器)的实体,并且可以通过端点地址、统一资源名称(URN)、目录名称等(例如,经由轻量级目录访问协议(LDAP))进行识别。最终用户还可以通过与该用户或端点相关联的用户或端点
证书来识别。
[0008]浏览器通常使用简单的二元量表来衡量证书风险。即,证书被认为是无风险的或无效的。无风险与颁发CA相关联。准确地说,默认情况下,浏览器认为大多数CA是值得信赖的/无风险的。此外,当浏览器无法验证证书时,它们可能会警告人类用户存在安全问题,但随后仍会为人类用户提供继续进行通信的选项。尽管向用户表明了风险,但用户经常选择继续会话。这个过程实际上抵消了安全分析的任何有益效果。这些类型的最终用户的行为风险通常不会被浏览器或代理识别和收集,因此未被应用于进一步保护网络。
[0009]更糟糕的是,网络浏览器,尤其是移动浏览器,通常不执行一些基本的安全操作,诸如检查证书的撤销或过期状态,和/或不强制实施安全策略。这些有风险的浏览器和人类行为对于对抗性实体来说是众所周知的,并且很容易被利用。因此,与许多其他类型的网络攻击一样,社交工程是一种有效的攻击媒介。网络犯罪分子通常会迅速采取行动来利用这些安全漏洞。
技术实现思路
[0010]以下给出了简要概述,以便提供对本公开的一些方面的基本理解。其既不旨在确认本公开的关键或重要要素,也不旨在勾画本公开的范围。以下概述仅以简化形式给出本公开的一些构思,作为以下描述的序言。
[0011]鉴于上述问题,将一些证书和用户相关的网络安全功能从端点浏览器转移到安全网络边界的分组过滤设备,可以提高网络安全的有效性、质量和价值。正确配置的分组过滤设备可以将某些与证书相关的情报应用于组成可能受证书保护的通信的分组。进一步地,这些与证书相关的网络安全功能与其他威胁情报应用和服务的集成可以进一步提高分组过滤所提供的网络安全性。
[0012]本公开的方面涉及过滤网络数据传输。在一些变体中,可以接收多个分组。可以确定一部分分组具有与分组过滤规则相对应的关联值。响应于这样的确定,由分组过滤规则指定的功能可以应用于分组中具有对应于分组过滤规则的值的部分。分组过滤设备可以应用基于用于建立和保护SSL/TLS隧道的证书和相关信息的规则。
[0013]SSL/TLS证书过滤过程可以使用三种新型威胁指标中的至少一种。证书本身可以根据威胁风险进行评分和/或分类。颁发证书的证书认证机构(CA)可以根据信任风险进行评分和/或分类。此外,可以操作受证书保护的会话(例如,与网站的HTTPS会话)的包括人类和机器/机器人系统在内的最终用户,可以根据行为风险进行评分和/或分类。具有非零风险评分的证书、CA和最终用户可以被转换为适用于分组过滤的威胁指标。例如,与证书相关联的威胁指标可以是证书的证书认证机构/颁发者名称和序列号的特定配对,其可以由正确配置的分组过滤设备进行观测。这些指标可以与其他指标结合使用,这些指标的组合可以通过信任风险进行评分和/或分类。
[0014]分组过滤设备可以获得或确定可以与多种类型的指标中的至少一种相关联的分级(scaled)风险评分。分级评分可以与多个指标相关联,包括互联网协议(IP)地址、5元组、域名或完全限定域名(FQDN)、统一资源标识符(URI)、证书、证书认证机构(CA)和最终用户(例如由端点地址或身份进行识别)。5元组是指包含TCP/IP连接的五个不同值的集合,可以包括源IP地址、源端口号、目的IP地址、目的端口号和使用的协议。5元组指标可以基于五个
不同值的子集(例如2元组、3元组或N元组)来识别威胁的端点。每个指标可以与风险值相关联。每个风险值都可以分级。另选地,某些指标可能与二元信任量表相关联。
[0015]在发生SSL/TLS安全通信时,确定或估计与其相关的实际分级风险可能很困难或不切实际。目前,在评估与证书相关的通信的风险时,通常使用二元风险值(例如,指示无风险或全风险)。相应地,通常允许进行无风险通信,并且通常阻止全风险通信。在合法(商业)通信被无意中阻止时的假阳性情况下,或者在攻击通信被允本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:通过证书数据收集器,从一个或更多个威胁情报提供者接收与多个主机相关联的威胁情报数据,其中所述威胁情报数据包括被所述一个或更多个威胁情报提供者识别为潜在威胁的第一主机;通过所述证书数据收集器,从识别与主机相关联的证书和证书认证机构的一个或更多个外部系统,接收与和所述第一主机相关联的一个或更多个证书认证机构相关联的信息;确定与所述一个或更多个证书认证机构中的每个证书认证机构相关联的风险评分,其中与特定证书认证机构相关联的风险评分是基于以下项来确定的:所述威胁情报数据,其指示所述第一主机已经被所述一个或更多个威胁情报提供者识别为潜在威胁;以及与所述一个或更多个证书认证机构相关联的、指示所述特定证书认证机构向所述第一主机颁发证书的信息;以及向客户端设备发送与所述一个或更多个证书认证机构中的每个证书认证机构相关联的所述确定的风险评分。2.根据权利要求1所述的方法,其中,所述客户端设备被配置为,基于与每个证书认证机构相关联的风险评分,来生成一个或更多个分组过滤规则。3.根据权利要求1或2所述的方法,还包括:基于与每个证书认证机构相关联的风险评分,来生成一个或更多个分组过滤规则;以及向分组过滤设备发送所述一个或更多个分组过滤规则。4.根据权利要求1至3中任一项所述的方法,其中,所述威胁情报数据包括以下项中的至少一项:与所述第一主机相关联的域名;或与所述第一主机相关联的互联网协议(IP)地址。5.根据权利要求1至4中任一项所述的方法,其中,一个或更多个证书形成信任链。6.根据权利要求1至5中任一项所述的方法,还包括:基于将第一证书认证机构识别为与网络威胁组织相关联,而确定与所述第一证书认证机构相关联的第一风险评分。7.根据权利要...
【专利技术属性】
技术研发人员:肖恩,
申请(专利权)人:向心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。