【技术实现步骤摘要】
一种网络风险检测方法、装置、电子设备及存储介质
[0001]本专利技术实施例涉及网络安全
,尤其涉及一种网络风险检测方法
、
装置
、
电子设备及存储介质
。
技术介绍
[0002]随着数据通信与计算机网络技术的快速发展,出于保护隐私
、
提高数据安全性
、
满足合规要求以及在公共无线网络上提供更高的安全性的考虑,加密协议和应用越来越普遍
。
近来,网络加密流量的占比已接近或超过了
90
%
。
为了提高网络管理和网络安全的水平,必须开展网络流量监测
。
网络流量监测是指通过对网络传输数据的实时监测和分析,以获得对网络的理解
、
检测潜在的安全威胁以及发现异常行为等
。
鉴于加密流量已经成为互联网流量中的主导流量,因此对加密流量的分析就变得尤为重要
。
[0003]目前,针对加密流量的监测和分析工作主要集中在加密流量的检测
、
加密流量中承载的业务类型的识别等工作
。
然而,在特定网络空间调查和治理系统中,为了宏观上了解加密协议的应用态势,除了需要通过
DPI(Deep Packet Inspection
,深度包检测技术
)
技术解析了解加密协议的应用情况外,还需要监测存在一定应用风险的加密协议
。
现有对网络风险的检测方法中,大多集中于基于>TLS(Transport Layer Security
,传输层安全性协议
)
握手信息
SNI(Server Name Indication
,服务器名称指示
)
的威胁情报以及
X.509
证书威胁情报的相关方法,但上述方法仅用于检测网络中存在的威胁,或用于安全基线检测和等保评估的
SSL(Secure Socket Layer
,安全套接层
)VPN(Virtual Private Network
,虚拟专用网络
)
合规性检测
。
也即,当前尚无相关的技术来系统化解决加密协议网络应用风险监测的问题
。
技术实现思路
[0004]本专利技术实施例提供一种网络风险检测方法
、
装置
、
电子设备及存储介质,能够提高网络风险检测的准确率,进而提升网络安全监测预警的能力
。
[0005]根据本专利技术的一方面,提供了一种网络风险检测方法,包括:
[0006]根据全量网络流量数据筛选目标加密流量数据;所述目标加密流量数据包括
TLS
加密流量数据和
/
或
SSL
加密流量数据;
[0007]解析所述目标加密流量数据,以获取所述目标加密流量数据的建联消息集;其中,所述目标加密流量数据的建联消息集包括以下至少一项数据:
ClientHello
消息
、ServerHello
消息
、
服务器证书
CA
消息和服务器
ChangeCipherSpec
消息;
[0008]对所述目标加密流量数据的建联消息集进行解析,得到建联消息解析结果;
[0009]根据所述建联消息解析结果确定所述目标加密流量数据的网络风险检测结果
。
[0010]根据本专利技术的另一方面,提供了一种网络风险检测装置,包括:
[0011]目标加密流量数据筛选模块,用于根据全量网络流量数据筛选目标加密流量数据;所述目标加密流量数据包括
TLS
加密流量数据和
/
或
SSL
加密流量数据;
[0012]建联消息集获取模块,用于解析所述目标加密流量数据,以获取所述目标加密流量数据的建联消息集;其中,所述目标加密流量数据的建联消息集包括以下至少一项数据:
ClientHello
消息
、ServerHello
消息
、
服务器证书
CA
消息和服务器
ChangeCipherSpec
消息;
[0013]建联消息解析结果获取模块,用于对所述目标加密流量数据的建联消息集进行解析,得到建联消息解析结果;
[0014]网络风险检测结果确定模块,用于根据所述建联消息解析结果确定所述目标加密流量数据的网络风险检测结果
。
[0015]根据本专利技术的另一方面,提供了一种电子设备,所述电子设备包括:
[0016]至少一个处理器;以及
[0017]与所述至少一个处理器通信连接的存储器;其中,
[0018]所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本专利技术任一实施例所述的网络风险检测方法
。
[0019]根据本专利技术的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本专利技术任一实施例所述的网络风险检测方法
。
[0020]本专利技术实施例通过根据全量网络流量数据筛选包括
TLS
加密流量数据和
/
或
SSL
加密流量数据的目标加密流量数据,并解析目标加密流量数据,以获取目标加密流量数据中至少包括
ClientHello
消息
、ServerHello
消息
、
服务器证书
CA
消息和服务器
ChangeCipherSpec
的消息建联消息集,从而对目标加密流量数据的建联消息集进行解析,得到建联消息解析结果,进而根据建联消息解析结果确定目标加密流量数据的网络风险检测结果,解决现有网络风险检测方法无法对基于加密协议生成的加密流量数据进行安全风险检测的问题,能够实现基于加密流量数据检测网络风险,提高了网络风险检测的准确率,进而提升网络安全监测预警的能力
。
[0021]应当理解,本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征,也不用于限制本专利技术的范围
。
本专利技术的其它特征将通过以下的说明书而变得容易理解
。
附图说明
[0022]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图
。
[0023]图1是本专利技术实施例一提供的一种网络风险检测方法的流程图;
[0024]图2是本本文档来自技高网...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.
一种网络风险检测方法,其特征在于,包括:根据全量网络流量数据筛选目标加密流量数据;所述目标加密流量数据包括传输层安全性协议
TLS
加密流量数据和
/
或安全套接字协议
SSL
加密流量数据;解析所述目标加密流量数据,以获取所述目标加密流量数据的建联消息集;其中,所述目标加密流量数据的建联消息集包括以下至少一项数据:
ClientHello
消息
、ServerHello
消息
、
服务器证书
CA
消息和服务器
ChangeCipherSpec
消息;对所述目标加密流量数据的建联消息集进行解析,得到建联消息解析结果;根据所述建联消息解析结果确定所述目标加密流量数据的网络风险检测结果
。2.
根据权利要求1所述的方法,其特征在于,若所述目标加密流量数据的建联消息集包括所述
ClientHello
消息和所述
ServerHello
消息,则所述对所述目标加密流量数据的建联消息集进行解析,得到建联消息解析结果,包括:根据所述目标加密流量数据的
ClientHello
消息构建
JA3
指纹,并根据所述目标加密流量数据的
ServerHello
消息构建
JA3S
指纹;将所述
JA3
指纹和所述
JA3S
指纹与预置指纹库进行匹配,在确定所述
JA3
指纹和
/
或所述
JA3S
指纹与所述预置指纹库匹配成功的情况下,确定所述目标加密流量数据的风险等级为第一风险评估等级,并确定所述第一风险评估等级的取值;根据所述第一风险评估等级和目标关联服务器的
IP
信息构建第一建联消息解析结果
。3.
根据权利要求1所述的方法,其特征在于,若所述目标加密流量数据的建联消息集包括所述
ServerHello
消息,则所述对所述目标加密流量数据的建联消息集进行解析,得到建联消息解析结果,包括:根据所述
ServerHello
消息设置所述目标加密流量数据的风险等级为第二风险评估等级;根据所述
ServerHello
消息识别
SSL
的版本号和
/
或
TLS
的版本号;根据所述
SSL
的版本号和
/
或所述
TLS
的版本号的具体版本类别,确定所述第二风险评估等级的取值;根据所述第二风险评估等级和目标关联服务器的
IP
信息构建第二建联消息解析结果
。4.
根据权利要求1所述的方法,其特征在于,若所述目标加密流量数据的建联消息集包括所述服务器证书
CA
消息,则所述对所述目标加密流量数据的建联消息集进行解析,得到建联消息解析结果,包括:根据所述服务器证书
CA
消息设置所述目标加密流量数据的风险等级为第三风险评估等级;根据所述服务器证书
CA
消息确定证书类型
、
证书验证通过结果以及证书有效期信息;根据所述服务器证书
CA
消息确定证书类型
、
技术研发人员:靳文京,卜哲,宋倩倩,卢泓宇,刘双喜,庄建滨,罗成,周成胜,周智超,崔枭飞,赵勋,
申请(专利权)人:中国信息通信研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。