一种基于https代理的威胁检测方法

技术领域

本发明涉及网络流量分析技术领域，特别涉及一种基于https代理的威胁检测方法。

背景技术

在典型的攻防场景中，攻击者在成功渗透内网主机后，会尝试收集尽可能多的信息（例如信用卡号、社交账号详细信息和存储在未受保护的文本文件中的密码等敏感文件）。针对攻击者这种攻击行为，在端点上部署文件诱饵，检测威胁攻击是一种有效的手段。诱饵文件中通常包括域名、用户名和密码等信息，由于70%网站采用https加密通信，为了提供文件诱饵真实性，文件诱饵中域名通常采用https方式。攻击者通常会利用这些信息，登录系统，以便进一步渗透突破。

其所存在的问题是，采用https加密通信方式，常规内网网关无法解密加密流量，获取通信明文数据，因此在网关无法有效检测攻击威胁事件。

因此，本发明提出一种基于https代理的威胁检测方法。

发明内容

本发明提供一种基于https代理的威胁检测方法，用以配合终端侧部署诱饵文件，通过在网关侧解密https加密流量，获取用户相关信息，解析并定位被攻陷内网主机，快速检测攻击威胁事件。

本发明提供一种基于https代理的威胁检测方法，包括：

步骤1：构建自适应https证书适配机制；

步骤2：在https交互过程中，基于所述自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控，获取所述攻击者的攻击行为；

步骤3：解析所述攻击行为，并基于终端的诱饵文件，定位被攻陷终端；

步骤4：修改所述被攻陷终端的身份信息。

优选的，构建自适应https证书适配机制，包括：

向不同网关部署匹配的网站域名签名证书；

在终端中将网关自签名证书添加到受信任的证书颁发机构，并构建得到自适应https证书适配机制。

优选的，基于所述自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控的过程中，包括：

攻击者在访问文件诱饵中https域名时，浏览器没有任何提示告警信息；

当所述网关在与终端交互时，根据访问域名，自适应提供https证书，通过https代理模块解密https加密流量，并对攻击威胁进行检测报警；

重新组装https数据包，发送到目标网站。

优选的，基于所述终端的诱饵文件，定位被攻陷终端之前，还包括：

调用诱饵生成模块，并根据终端ip地址、mac地址、目标网站域名集合生成诱饵文件；

将所述诱饵文件部署到匹配的终端，其中，每个终端都存在唯一诱饵文件；

其中，所述诱饵文件包括网站https域名、生成用户名NUa以及生成密码NPa。

优选的，解析所述攻击行为，并基于所述终端的诱饵文件，定位被攻陷终端的过程中，还包括：

当检测到所述攻击者渗透到终端后，搜索所述终端的诱饵文件，并获取所述诱饵文件的域名登录信息，登录到https目标网站；

当检测到https目标网站存在登录后，获取所述https目标网站的域名，并判断所述https目标网站是否为已知网站；

若是已知网站，返回所述https目标网站的目标网站证书；

若是未知网站，根据所述https目标网站的域名生成新的证书签名申请，并使用CA证书对应的密钥进行签名并返回域名证书，并作为中间客户端建立与终端和https目标网站的https连接。

优选的，修改所述被攻陷终端的身份信息，包括：

对所指定监控终端的https加密流量进行解密，获取https明文数据；

根据配置规则，实时检测所述https明文数据，在匹配到网站https域名、用户名NUa、密码NPa信息后，关联终端的ip地址、mac地址，并发送报警信息；

同时，修改所述被攻陷终端的https域名、用户名NUa、密码NPa信息为https新域名、用户名Ua、密码Pa信息。

优选的，解析所述攻击行为，并基于所述终端的诱饵文件，定位被攻陷终端，包括：

将所述攻击行为与预设攻击事件进行映射联系，确定基于所述映射联系的映射序列，其中，所述映射序列包括所述攻击行为中所包含的任意行为类型在不同攻击时刻点的攻击强度；

基于所述映射序列，构建针对每个攻击时刻点的第一攻击数组，并构建针对同种行为类型的第二攻击数组；

确定所述第一攻击数组的第一参考重要度；

;

其中，

确定所述第二攻击数组的第二参考重要度；

;其中，/>

从所有第一参考重要度中提取第一最大参考度以及从所有第二参考度中提取第二最大参考度；

当所述第一最大参考度小于第一预设度以及第二最大参考度小于第二预设度时，判定不存在攻陷的终端；

否则，将大于第一预设度的第一参考重要度对应的重要时刻点、以及大于第二预设度的第二参考重要度对应的重要攻击类型部署在所述诱饵文件上，并锁定所部署的诱饵文件对应的终端为被攻陷终端。

优选的，修改所述被攻陷终端的身份信息的过程中，还包括：

获取所述被攻陷终端所对应的诱饵文件上的攻击部署信息，并确定所述攻击部署信息中包含的重要时刻点的点分布，确定攻击时刻范围以及获取所述点分布中每个单一攻击类型的总攻击次数；

按照所述攻击时刻范围以及总攻击次数，确定基于重要时刻点的重要攻击类型，同时，还确定所述攻击部署信息中的重要攻击类型；

从基于重要时刻点的重要攻击类型以及基于所述攻击部署信息中的重要攻击类型中筛选重叠攻击类型以及非重叠攻击类型，并确定每个第一攻击类型的当下值；

获取与所述用户的身份信息匹配的身份可能攻击段，并从所有当下值中提取与每个身份可能攻击段匹配的值集合，并得到针对每个身份可能攻击段的更改概率；

当更改概率大于预设概率，判定需要对相应身份可能攻击段进行修改；

当判定出需要进行修改的身份可能攻击段后，确定每个修改攻击段的单独防攻击能力以及所有修改攻击段的综合防攻击能力；

当所述单独防攻击能力与综合防攻击能力都满足被攻击标准时，判定修改成功，否则，进行持续修改。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明实施例中一种基于https代理的威胁检测方法的流程图；

图2为本发明实施例中系统组成示意图；

图3为本发明实施例中系统连接示意图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明提供一种基于https代理的威胁检测方法，如图1所示，包括：

步骤1：构建自适应https证书适配机制；

步骤2：在https交互过程中，基于所述自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控，获取所述攻击者的攻击行为；

步骤3：解析所述攻击行为，并基于终端的诱饵文件，定位被攻陷终端；

步骤4：修改所述被攻陷终端的身份信息。

该实施例中，构建自适应https证书适配机制是通过以下两种方式实现的：

1）在网关部署网站域名签名证书2）在终端中将网关自签名CA证书添加到受信任的证书颁发机构。

其中，攻击者在访问文件诱饵中https域名时，浏览器没有任何提示告警信息。网关作为中间人在于终端交互时，根据访问域名，自适应提供https证书，通过https代理模块，解密https流量，并对威胁进行检测报警，最后重新组装https数据包，发送到目标网。

该实施例中，自适应https证书适配机制是为了有效的将不同的终端与证书进行匹配，因为终端不同对应的证书可能是不一样的，因为，需要提前来构建与所需要监控的所有终端一致的证书，方便后续进行自适应配置，采用自适应 https 证书适配机制，确保有效监控终端加密流量。

该实施例中，在https交互过程中，由于网关采用证书适配机制，确保https证书能够通过浏览器签名验证，没有任何提示告警信息，因此监控行为无法被攻击者察觉，其中，https交互指的是攻击者登录系统，采集https加密通信方式以及解密通信方式，来获取用户信息。

该实施例中，由于网关作为https解密和加密中间环节，网关可以获取https交互过程所有明文数据包，通过记录和分析明文数据包，可以快速取证攻击者攻击行为。

该实施例中，每个终端生成诱饵文件都是不同的，都与终端唯一绑定，例如诱饵文件中用户名和密码都与终端ip地址、mac地址相关联，因此网关在解密获取https流量后，通过解析用户名和密码等信息，就可以与内网终端唯一关联，从而快速定位被攻陷终端。

该实施例中，通过https明文数据修改转发，实现将诱饵文件中密码和口令转换成预置用户名和口令。攻击者使用诱饵文件中信息，在其他网络无法登录目标网站，防止信息泄露。

上述技术方案的有益效果是：用以配合终端侧部署诱饵文件，通过在网关侧解密https加密流量，获取用户相关信息，解析并定位被攻陷内网主机，快速检测攻击威胁事件。

本发明提供一种基于https代理的威胁检测方法，构建自适应https证书适配机制，包括：

向不同网关部署匹配的网站域名签名证书；

在终端中将网关自签名证书添加到受信任的证书颁发机构，并构建得到自适应https证书适配机制。

上述技术方案的有益效果是：通过构建自适应https证书适配机制，便于有效监控终端加密流量。

本发明提供一种基于https代理的威胁检测方法，基于所述自适应https证书适配机制对攻击者的攻击行为进行隐蔽监控的过程中，包括：

攻击者在访问文件诱饵中https域名时，浏览器没有任何提示告警信息；

当所述网关在与终端交互时，根据访问域名，自适应提供https证书，通过https代理模块解密https加密流量，并对攻击威胁进行检测报警；

重新组装https数据包，发送到目标网站。

该实施例中，访问文件诱饵时就会进行隐蔽式监控，以此，在不会向被攻击者传递已监控信息的基础下，确定会存在的攻击行为。

该实施例中，重新组装https数据包的目的是因为存在攻击威胁的情况，重新组装后，可以有效的阻拦存在的攻击行为。

上述技术方案的有益效果是：通过隐蔽式监控，便于对攻击威胁进行有效的检测报警，且方便后续对攻击行为的有效消除。

本发明提供一种基于https代理的威胁检测方法，基于所述终端的诱饵文件，定位被攻陷终端之前，还包括：

调用诱饵生成模块，并根据终端ip地址、mac地址、目标网站域名集合生成诱饵文件；

将所述诱饵文件部署到匹配的终端，其中，每个终端都存在唯一诱饵文件；

其中，所述诱饵文件包括网站https域名、生成用户名NUa以及生成密码NPa。

上述技术方案的有益效果是：通过生成诱饵文件并向终端部署，来保证监控的隐蔽有效性。

本发明提供一种基于https代理的威胁检测方法，解析所述攻击行为，并基于所述终端的诱饵文件，定位被攻陷终端的过程中，还包括：

当检测到所述攻击者渗透到终端后，搜索所述终端的诱饵文件，并获取所述诱饵文件的域名登录信息，登录到https目标网站；

当检测到https目标网站存在登录后，获取所述https目标网站的域名，并判断所述https目标网站是否为已知网站；

若是已知网站，返回所述https目标网站的目标网站证书；

若是未知网站，根据所述https目标网站的域名生成新的证书签名申请，并使用CA证书对应的密钥进行签名并返回域名证书，并作为中间客户端建立与终端和https目标网站的https连接。

上述技术方案的有益效果是：通过建立连接，是为了方便后续解密域名流量数据包，方便对威胁的实时检测。

本发明提供一种基于https代理的威胁检测方法，修改所述被攻陷终端的身份信息，包括：

对所指定监控终端的https加密流量进行解密，获取https明文数据；

根据配置规则，实时检测所述https明文数据，在匹配到网站https域名、用户名NUa、密码NPa信息后，关联终端的ip地址、mac地址，并发送报警信息；

同时，修改所述被攻陷终端的https域名、用户名NUa、密码NPa信息为https新域名、用户名Ua、密码Pa信息。

该实施例中，在修改信息之后，将其发送到目标网站，预置用户名和密码登录目标网站。

上述技术方案的有益效果是：通过解密获取明文数据，并进行报警发送，且通过修改，有效避免被攻击的可能性。

本发明提供一种基于https代理的威胁检测方法，解析所述攻击行为，并基于所述终端的诱饵文件，定位被攻陷终端，包括：

将所述攻击行为与预设攻击事件进行映射联系，确定基于所述映射联系的映射序列，其中，所述映射序列包括所述攻击行为中所包含的任意行为类型在不同攻击时刻点的攻击强度；

基于所述映射序列，构建针对每个攻击时刻点的第一攻击数组，并构建针对同种行为类型的第二攻击数组；

确定所述第一攻击数组的第一参考重要度；

;

其中，

确定所述第二攻击数组的第二参考重要度；

;其中，/>

从所有第一参考重要度中提取第一最大参考度以及从所有第二参考度中提取第二最大参考度；

当所述第一最大参考度小于第一预设度以及第二最大参考度小于第二预设度时，判定不存在攻陷的终端；

否则，将大于第一预设度的第一参考重要度对应的重要时刻点、以及大于第二预设度的第二参考重要度对应的重要攻击类型部署在所述诱饵文件上，并锁定所部署的诱饵文件对应的终端为被攻陷终端。

该实施例中，预设攻击事件是事先设定好的，由历史所存在的攻击事件为基础来组合得到的，且每个攻击事件都与对应的攻击行为存在联系，比如，攻击行为为：攻击防火墙以及所采用的攻击方式（病毒植入方式等），攻击事件为：攻击防火墙盗取信用卡信息以及攻击方式对应的攻击强度等。

该实施例中，任意行为类型是可以是攻击终端的不同防护系统，又或者是采用不同的攻击方式攻击同个防护系统，因此，就会存在不同攻击时刻点可能匹配多个行为类型，因此，可以构建得到第一攻击数组[时刻点1：行为类型1以及攻击强度行为类型2以及攻击强度 行为类型3以及攻击强度...]。

该实施例中，第二攻击数组：[攻击类型1：时刻点1的攻击强度 时刻点2的攻击强度...]。

该实施例中，在确定攻击数组的重要度的过程中，是根据不同的计算公式计算得到的，所以，可以得到第一参考重要度以及第二参考重要度。

该实施例中，

该实施例中，第一预设度以及第二预设度都是预先设置好的。

上述技术方案的有益效果是：通过将行为与事件建立映射联系，得到映射序列，且通过该序列构建不同时刻点的攻击数组以及不同行为类型的攻击数组，来分别确定对应的参考重要度，为确定被攻陷终端提供基础，其中，通过将存在的重要时刻点以及重要攻击类型进行部署，来间接锁定被攻陷终端。

本发明提供一种基于https代理的威胁检测方法，修改所述被攻陷终端的身份信息的过程中，还包括：

获取所述被攻陷终端所对应的诱饵文件上的攻击部署信息，并确定所述攻击部署信息中包含的重要时刻点的点分布，确定攻击时刻范围以及获取所述点分布中每个单一攻击类型的总攻击次数；

从基于重要时刻点的重要攻击类型以及基于所述攻击部署信息中的重要攻击类型中筛选重叠攻击类型以及非重叠攻击类型，并确定每个第一攻击类型的当下值；

获取与所述用户的身份信息匹配的身份可能攻击段，并从所有当下值中提取与每个身份可能攻击段匹配的值集合，并得到针对每个身份可能攻击段的更改概率；

当更改概率大于预设概率，判定需要对相应身份可能攻击段进行修改；

当判定出需要进行修改的身份可能攻击段后，确定每个修改攻击段的单独防攻击能力以及所有修改攻击段的综合防攻击能力；

当所述单独防攻击能力与综合防攻击能力都满足被攻击标准时，判定修改成功，否则，进行持续修改。

该实施例中，攻击行为对应的攻击文件，攻击文件的敏感程度。

该实施例中，如果部署的诱饵文件所锁定的终端为终端1，则终端1则为被攻陷终端。

该实施例中，攻击部署信息即为部署的重要时刻点以及重要时刻点下对应的攻击信息、重要攻击类型以及重要攻击类型的攻击强度信息等。

该实施例中，点分布指的是重要时刻点基于时间轴的分布位置，比如，重要时刻点基于时间轴的分布位置为：位置01、位置03、位置04、位置08，此时，位置01、位置03、位置04对应的时间段即为攻击时刻范围，且单一攻击类型指的是获取点分布中所存在的针对同个攻击类型的总攻击次数，也即是将点分布中每个时间点所存在的针对同个攻击类型的攻击次数进行累计和。

该实施例中，对总攻击次数进行排序，可以初步筛选得到攻击类型，且通过攻击时刻范围的锁定，来进一步得到攻击类型；

比如，攻击时刻范围内：时刻点01：攻击类型1、2，时刻点03：攻击类型1、2、3，时刻点04：攻击类型1、3、4，针对点分布所确定的攻击类型1的总攻击次数为：4，攻击类型2的总攻击次数为3，攻击类型3的总攻击次数为2，攻击类型4的总攻击类型为2，此时，得到的重要时刻点的重要攻击类型为：类型1以及类型2。

按照所述攻击时刻范围以及总攻击次数，确定基于重要时刻点的重要攻击类型，同时，还确定所述攻击部署信息中的重要攻击类型；

该实施例中，基于攻击部署信息中的重要攻击类型比如为类型1、4，此时，重叠攻击类型为类型1，非重叠攻击类型为类型2、4。

该实施例中，第一攻击类型即为重叠攻击类型以及非重叠攻击类型中的每个类型，且当下值即为对应第一类型对应的攻击强度。

因为身份信息中存在多个隐私信息，所以会存在多个身份可能攻击段，因此，通过确定与身份可能攻击段匹配的攻击类型，来从当下值中提取匹配的值集合，比如，对身份可能攻击段1的攻击类型为a1与a2，此时，就需要从当下值中提取与攻击类型为a1与a2匹配的值，来组合成值集合，确定更改概率。

该实施例中，

单独防攻击能力=（原先防御能力+修改后提升的防御能力）

综合防攻击能力=所有单独防攻击能力的累加和

该实施例中，攻击标准是预先设定好的，可以是一个防攻击阈值，以此来确定是否修改成功。

该实施例中，身份可能攻击段的修改可以是对段中原先所加密的信息进行再次固定加密，或者是预先不存在加密的信息进行加密，亦或者对原先的本身数据进行字符改变等。

上述技术方案的有益效果是：通过分析攻击部署信息，来获取与身份可能攻击段所匹配的值集合，进而得到更改概率，且通过进行判断、修改以及修改后的能力的再次确定，来确定修改是否成功，保证防攻击的可靠性。

本发明提供一重基于https代理的威胁检测系统，如图2所示，系统是依托已有网关设备，以模块形式在网关设备进行部署和实施的。系统由用户管理模块、https 代理模块、证书管理模块、威胁告警模块、诱饵生成模 块组成。用户管模块负责用户登录，提供网关设备访问接口，实现用户交互、策略管理和文件管理等功能。https 代理模块作为 https中间人，与终端和 https 网站的两端分别建立 https 连接，并交换其所收到的数据。证书管理模块依据策略和域名，提供相应的域名证书，用于 https 安全性验证，其中生成网关的CA 证书，需要导入到终端浏览器受信任的证书颁发机构。威胁告警模块接收 https 代理提供解密流量，解析 https 数据，判断数据是否是诱饵模块中预设用户名和 密码，如果一致，关联终端设备并报警。诱饵生成模块根据终端 ip 地址、mac 地址、目标网站域名范围，生成诱饵文件。

如图3所示，为系统的连接示意图，具体执行内容包括：

1、登录用户管理模块，依次添加目标网站1-网站n域名、预置用户名Ua和密码Pa，并导入目标网站签名证书和私钥；依次添加终端1-终端m的IP地址和MAC地址；初始化证书管理模块，生成网关CA证书和私钥。

2、调用诱饵生成模块，根据终端ip地址、mac地址、目标网站域名集合生成诱饵文件，诱饵文件内容包括网站https域名、生成用户名NUa、生成密码NPa。

3、将终端诱饵文件部署到终端，将网关CA证书导入到浏览器受信任的证书颁发机构。

4、攻击者渗透到终端后，搜索到诱饵文件，获取诱饵文件的域名登录信息，登录https目标网站。

5、https代理模块检测到https网站登录，发送域名到证书管理模块，证书管理模块检测域名，如果是已知目标网站，返回该目标网站证书；如果是未知网站，则根据域名生成新的证书签名申请，并使用CA证书对应的私钥进行签名并返回域名证书。https代理模块随后以https客户端角色与之前域名建立https连接。至此https代理模块作为https中间人，实现与终端和https网站的两端分别建立https连接。

6、https代理模块将解密域名流量数据包，实时转发到威胁告警模块。

7、威胁告警模块解析https明文数据，根据配置规则，实时检测明文数据；在匹配到网站https域名、用户名NUa、密码NPa信息后，关联终端设备ip地址、mac地址，并发送报警信息；同时修改https域名、用户名NUa、密码NPa信息，设置为https域名、用户名Ua、密码Pa信息，发送到https代理模块。

8、https代理模块转发数据到目标网站，以预置用户名和密码登录目标网站。

上述有益效果如下：自适应证书匹配机制采用自适应证书匹配机制，https证书能够通过浏览器签名验证，没有任何提示告警信息，因此监控行为无法被攻击者察觉，确保隐蔽监控https流量；快速定位被攻陷终端由于诱饵文件是与终端信息一一绑定，所以在解密https流量后，能够快速匹配被攻陷终端；防止由于诱饵文件，泄露用户信息诱饵文件中密码和口令信息已进行转化，所以攻击者使用诱饵文件中信息，在其他网络无法登录目标网站，防止信息泄露。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。