【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种代理取证方法及相关装置。
技术介绍
1、代理也称为网络代理,是一种特殊的网络服务。代理允许设备以非直接连接的方式访问另一设备,部分网关、路由器等都具备代理服务的功能。代理服务有利于保障隐私和安全,可以在一定程度上阻止网络攻击。
2、为了对代理过程的网络行为进行监控,可以对代理过程进行取证。但是,攻击者可以采用隐蔽伪装等方式擦除攻击痕迹,例如,攻击者可以采用文件加密等方式躲避终端检测与响应(endpoint detection and response,edr)的文件检测,这些伪装手段会导致edr无法有效识别到代理攻击,edr能够提供的取证信息有限。
技术实现思路
1、本申请提供了一种代理取证方法及相关装置,能够得到更为完整的取证信息。
2、第一方面,本申请提供了一种代理取证方法,该方法可以由安全防护设备来执行。该方法包括:
3、在检测到代理流量时,安全防护设备在代理流量的第一报文中添加标记信息,以得到第二报文;随后,安全防...
【技术保护点】
1.一种代理取证方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述标记信息包括所述代理流量对应的代理工具的类型的标识。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
4.根据权利要求3所述的方法,所述取证信息还包括所述至少一个设备中的每个设备的设备标识。
5.根据权利要求3或4所述的方法,其特征在于,所述至少一个设备包括接收第三报文的设备,所述第三报文携带所述标记信息,所述第三报文的二元组与所述第二报文的二元组不同,所述二元组包括源互联网协议IP地址和目的IP地址。
6.根据权...
【技术特征摘要】
1.一种代理取证方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述标记信息包括所述代理流量对应的代理工具的类型的标识。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
4.根据权利要求3所述的方法,所述取证信息还包括所述至少一个设备中的每个设备的设备标识。
5.根据权利要求3或4所述的方法,其特征在于,所述至少一个设备包括接收第三报文的设备,所述第三报文携带所述标记信息,所述第三报文的二元组与所述第二报文的二元组不同,所述二元组包括源互联网协议ip地址和目的ip地址。
6.根据权利要求5所述的方法,其特征在于,所述至少一个设备还包括接收所述第二报文的设备。
7.根据权利要求6所述的方法,其特征在于,所述至少一个设备还包括接收第四报文的设备,所述第四报文携带所述标记信息,所述第四报文的二元组与所述第二报文的二元组不同,所述第四报文的二元组与所述第三报文的二元组不同。
8.根据权利要求3至7任一所述的方法,其特征在于,任一第一信息还包括对应的设备的设备标识。
9.根据权利要求3至8任一所述的方法,其特征在于,还包括:
10.根据权利要求9所述的方法,其特征在于,所述取证信息还包括所述代理流量流经所述至少一个设备的顺序。
11.根据权利要求1至10任一所述的方法,其特征在于,所述标记信息还包括所述代理流量的标识,所述代理流量的标识是根据所述第一报文的负载生成的。
12.根据权利要求1至11任一所述的方法,其特征在于,还包括:
13.根据权利要求1或2所述的方法,其特征在于,还包括:
14.一种代理取证方法,其特征在于,包括:
15.根据权利要求14所述的方法,其特征在于,所述标记信息包括所述代理流量对应的代理工具的类型的标识。
16.根据权利要求14或15所述的方法,其特征在于,所述第一信息还包括所述报文对应的连接信息,所述连接信息包括所述报文的四元组,所述四元组包括源互联网协议ip地址、源端口、目的ip地址和目的端口。
17.根据权利要求14至16任一所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。