【技术实现步骤摘要】
本申请涉及计算机,具体而言,涉及一种数据处理方法、装置、电子设备及存储介质。
技术介绍
1、在入侵检测防御系统中,对网络流量的检测是一种很常用的手段,检测工具通常是在网络流的基础上进行检测的,检测工具将抓取的网络包聚合重组成一个个网络流,在此基础上将负载内容和已知恶意流量的特征进行比对判断。这种方法的前提是网络流是明文的,否则内容特征的比对将毫无意义。
2、随着网络安全意识的普遍增强,越来越多的业务在部署时都采用ssl(securitysocket layer,安全网络连接层)对网络流量进行加密,使得其需要进行检测的信息是加密的,而为了获取其中的明文信息,目前的做法是通过在ssl代理服务器上配置ssl证书,通过ssl证书来对网络流量进行解密后获取明文信息,但是如果不配置证书,则无法解密,所以该方式依赖于证书的配置以及通过复杂的过程实现解密,实现过程复杂,会给服务器带来较大的开销。
技术实现思路
1、本申请实施例的目的在于提供一种数据处理方法、装置、电子设备及存储介质,用以改善现有获取明文信息的方式造成服务器开销大的问题。
2、第一方面,本申请实施例提供了一种数据处理方法,应用于ebpf处理组件,所述ebpf处理组件与ssl服务端应用程序、内核通信,所述ssl服务端应用程序中部署有第一探测点,所述内核中部署有第二探测点,所述方法包括:
3、通过所述第一探测点获取ssl报文的明文信息;
4、通过所述第二探测点获取ssl报文的来源信息;p>
5、筛选出同一网络流的来源信息和明文信息形成所述ssl报文的报文信息。
6、在上述实现过程中,本方案不需要ssl代理服务器利用配置的ssl证书来解密ssl报文,通过相应的探测点即可获取到ssl报文的明文信息,也就是说本方案不依赖ssl证书即可获取明文信息和来源信息,实现简单,不会有太多额外的开销,从而可有效降低服务器的开销。且现有方案还需要部署代理服务器和证书,实现方案更复杂,本方案通过部署ebpf处理组件即可获取到ssl报文的明文信息,部署更加简单,更节约成本。
7、可选地,所述第一探测点包括读函数探测点和/或写函数探测点,所述通过所述第一探测点获取ssl报文的明文信息,包括:
8、通过所述读函数探测点获取ssl报文进行解密后的明文信息;
9、和/或,
10、通过所述写函数探测点获取ssl报文进行加密前的明文信息。
11、在上述实现过程中,通过读函数探测点和/或写函数探测点来获取明文信息,从而可在ssl服务端程序的加解密处直接获取到明文信息,不会产生太多的额外开销,实现开销较小。
12、可选地,所述通过所述第一探测点获取ssl报文的明文信息之前,所述方法还包括:
13、获取所述ssl服务端应用程序中部署的ssl库的读函数和/或写函数;
14、在所述ssl服务端应用程序中所述读函数的返回处部署所述读函数探测点和/或在所述ssl服务端应用程序中所述写函数的开始处部署所述写函数探测点。
15、在上述实现过程中,在读函数的返回处和写函数的开始处来部署探测点,从而可直接获取到明文信息,无需在采用其他方式进行解密。
16、可选地,所述第二探测点包括kprobe探测点和/或tracepoint探测点,所述通过所述第二探测点获取ssl报文的来源信息,包括:
17、通过在所述内核中部署的kprobe探测点和/或tracepoint探测点获取ssl报文的来源信息。从而可实现来源信息的直接获取,以便于筛选出同一网络流的报文。
18、可选地,通过在所述内核中部署的kprobe探测点获取ssl报文的来源信息,包括:
19、通过在所述内核中部署的kprobe探测点获取ssl报文的文件句柄和进程id,并根据所述文件句柄和进程id生成网络流id;
20、通过在所述内核中部署的kprobe探测点获取ssl报文的五元组信息;
21、根据所述网络流id和所述五元组信息生成所述ssl报文的来源信息。
22、在上述实现过程中,通过根据探测点来获取文件句柄和进程id,从而可便于生成网络流id,这样可将网络流id传递到后续的探测点获取的信息中,进而便于后续进行网络流的聚类。
23、可选地,所述ebpf处理组件包括ebpf代理程序以及所述第一探测点和所述第二探测点对应的ebpf内核程序,所述通过所述第一探测点获取ssl报文的明文信息之前,还包括:
24、将所述ebpf内核程序加载进内核以及将所述ebpf代理程序加载进用户态程序;
25、和/或,
26、所述方法还包括:
27、通过所述第一探测点对应的ebpf内核程序将所述ssl报文的明文信息发送给所述ebpf代理程序;
28、通过所述第二探测点对应的ebpf内核程序将所述ssl报文的来源信息发送给所述ebpf代理程序;
29、所述筛选出同一网络流的来源信息和明文信息形成所述ssl报文的报文信息,包括:
30、通过所述ebpf代理程序筛选出同一网络流的来源信息和明文信息形成所述ssl报文的报文信息。
31、在上述实现过程中,通过部署在用户态程序中的epbf代理程序来实现网络流的聚合,从而ebpf内核程序只需实现信息的获取,使得整个方案实现的开销更小。
32、可选地,所述筛选出同一网络流的来源信息和明文信息形成所述ssl报文的报文信息之后,还包括:
33、对所述ssl报文的报文信息进行攻击检测。从而可便捷地提取到明文信息后,进行攻击的快速检测,以确保网络安全。
34、第二方面,本申请实施例提供了一种数据处理装置,应用于ebpf处理组件,所述ebpf处理组件与ssl服务端应用程序、内核通信,所述ssl服务端应用程序中部署有第一探测点,所述内核中部署有第二探测点,所述装置包括:
35、明文信息获取模块,用于通过所述第一探测点获取ssl报文的明文信息;
36、来源信息获取模块,用于通过所述第二探测点获取ssl报文的来源信息;
37、信息处理模块,用于筛选出同一网络流的来源信息和明文信息形成所述ssl报文的报文信息。
38、第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
39、第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
40、本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、本文档来自技高网...
【技术保护点】
1.一种数据处理方法,其特征在于,应用于ebpf处理组件,所述ebpf处理组件与SSL服务端应用程序、内核通信,所述SSL服务端应用程序中部署有第一探测点,所述内核中部署有第二探测点,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一探测点包括读函数探测点和/或写函数探测点,所述通过所述第一探测点获取SSL报文的明文信息,包括:
3.根据权利要求2所述的方法,其特征在于,所述通过所述第一探测点获取SSL报文的明文信息之前,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述第二探测点包括kprobe探测点和/或tracepoint探测点,所述通过所述第二探测点获取SSL报文的来源信息,包括:
5.根据权利要求4所述的方法,其特征在于,通过在所述内核中部署的kprobe探测点获取SSL报文的来源信息,包括:
6.根据权利要求1所述的方法,其特征在于,所述ebpf处理组件包括ebpf代理程序以及所述第一探测点和所述第二探测点对应的ebpf内核程序,所述通过所述第一探测点获取SSL报文的明文信息之前
7.根据权利要求1-6任一所述的方法,其特征在于,所述筛选出同一网络流的来源信息和明文信息形成所述SSL报文的报文信息之后,还包括:
8.一种数据处理装置,其特征在于,应用于ebpf处理组件,所述ebpf处理组件与SSL服务端应用程序、内核通信,所述SSL服务端应用程序中部署有第一探测点,所述内核中部署有第二探测点,所述装置包括:
9.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-7任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-7任一所述的方法。
...【技术特征摘要】
1.一种数据处理方法,其特征在于,应用于ebpf处理组件,所述ebpf处理组件与ssl服务端应用程序、内核通信,所述ssl服务端应用程序中部署有第一探测点,所述内核中部署有第二探测点,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一探测点包括读函数探测点和/或写函数探测点,所述通过所述第一探测点获取ssl报文的明文信息,包括:
3.根据权利要求2所述的方法,其特征在于,所述通过所述第一探测点获取ssl报文的明文信息之前,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述第二探测点包括kprobe探测点和/或tracepoint探测点,所述通过所述第二探测点获取ssl报文的来源信息,包括:
5.根据权利要求4所述的方法,其特征在于,通过在所述内核中部署的kprobe探测点获取ssl报文的来源信息,包括:
6.根据权利要求1所述的方法,其特征在...
【专利技术属性】
技术研发人员:蒋凯,冯顾,刘浩,王翀,孙立鹏,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。