一种基于https加密流量的检测的阻断方法及装置与流程

本发明涉及流量阻断领域，尤其涉及一种基于https加密流量的检测的阻断方法及装置。

背景技术：

1、随着互联网的普及和发展，越来越多的人利用互联网进行数据的存储和传输。在互联网安全问题日益复杂的情况下，经常发生非法攻击行为。此时需要对网络流量中的威胁行为进行识别和阻断，禁止非法用户或攻击源对网络数据的访问和使用。ip阻断是对特定ip地址进行封堵，使其丧失通信能力，实现ip封堵功能。

2、目前的ip阻断技术主要是根据内置或上游下发的ip阻断规则，对流量中的源ip和目的ip进行检测阻断。或基于内置的恶意流量特征规则对未加密的网络流量做检测阻断。然而对https加密流量无法进行有效威胁行为检测和阻断。

3、目前ip阻断设备有串接和并接两种方式，并接又称镜像接入。串接方式，基于流量威胁特征，可针对全协议以及ip地址进行封堵。并接方式由于网络的接入特点，只能对部分协议做分析检测以及ip地址的封堵，可封堵协议包括tcp、dns等少数协议。上述方法对流量威胁特征的检测均只能检测明文数据，而无法对基于ssl/tls加密传输的https协议进行检测。

技术实现思路

1、鉴于上述现有技术不足之处，本发明的目的在于提供一种可对基于https加密流量的检测阻断方法、装置。

2、根据本发明的一方面，提出了一种基于https加密流量的检测的阻断方法，由串接于网络总路口和核心交换机之中的ip阻断装置进行，包括：

3、s1，配置所述ip阻断装置的所代理的业务服务信息；

4、s2,根据客户端发送的请求和握手包判断客户端源ip和握手请求类型，建立连接，进行数据传输，获取传输数据的明文内容；

5、s3,对传输数据的明文内容进行威胁识别检测；

6、s4,对检测到的存在威胁行为的数据源的源ip或目标ip进行阻断。

7、优选的，所述步骤s1中配置所述ip阻断装置的所代理的业务服务信息，具体包括ip阻断装置的内部ip、端口。

8、优选的，所述步骤s2中根据客户端发送的请求和握手包判断客户端源ip和握手请求类型建立连接具体包括，ip阻断装置与所述客户端建立tcp连接，客户端发送握手包和tcp ack请求，ip阻断装置根据内置阻断ip规则对客户端的源ip判断是否进行ip阻断，建立传输连接。

9、进一步优选的，根据所述握手包确定连接为非ssl/tls握手请求或https握手请求。当所述客户端握手请求为非ssl/tls握手请求时，与业务服务器建立直接连接，传输数据；当所述客户端握手请求为https请求时，建立中转连接，并向业务服务器发起ssl/tls握手请求建立https连接，将中转连接和与业务服务器的https连接做转发绑定，进行数据传输。

10、优选的，所述步骤s2中获取传输数据的明文内容，具体包括通过所述直接连接、中转连接和与业务服务器的https连接获取所述传输数据的明文内容。

11、进一步优选的，获取所述传输数据的明文内容具体包括ip阻断装置生成公私钥非对称密钥对及自签证书，与所述传输连接和与业务服务器的https连接进行加解密数据交换，获取到连接数据交互的明文信息。

12、优选的，s4中对传输数据的明文内容进行威胁识别检测具体包括基于威胁特征规则检测所述传输数据的明文内容，对于明文内容中存在威胁行为的传输数据，阻断直接连接或中转连接所传输的数据的源ip或目的ip地址。

13、根据本发明的一方面，提出了一种基于https加密流量的检测的阻断装置，包括：

14、传输层透明代理模块m1：根据客户端发送的握手包判断客户端握手请求类型，与业务服务器建立直接连接，与应用层反向代理模块建立中转连接，进行数据传输，获取和转发传输数据的明文内容；

15、应用层反向代理模块m2：在客户端握手请求为https请求时，与业务服务器建立https连接，进行数据传输，获取和转发传输数据的明文内容；

16、流量分析模块m3:根据内置的威胁特征规则，对传输数据的明文内容进行威胁识别检测；

17、ip封堵模块m4:对发出tcp ack请求的客户端的源ip进行判断，对于明文内容中存在威胁行为的传输数据，阻断直接连接或中转连接所传输的数据的源ip或目的ip地址。

18、优选的，所述传输层透明代理模块m1根据握手包确认为非ssl/tls握手请求时，与所述客户端建立传输连接t1,与所述业务服务器建立直接连接t2,传输数据；

19、当所述传输层透明代理模块m1根据握手包握手请求为https请求时，建立与应用层反向代理模块m2的中转连接q1，并向业务服务器发起ssl/tls握手请求建立https连接q2，将中转连接q1和与内网业务服务的https连接q2做转发绑定，进行数据传输。

20、所述传输层透明代理模块m1和应用层反向代理模块m2进行数据传输时，应用层反向代理模块m2生成公私钥非对称密钥对，以及自签证书,获取传输数据的明文内容进行解析，发送给流量分析模块m3。

21、流量分析模块m3根据内置的威胁特征规则，对传输数据的明文内容进行威胁识别检测，将t2或s1的源ip或目的ip地址发给ip封堵模块m4进行阻断。

22、根据本发明的一方面，提出了一种计算机可读介质，其上存储有计算机程序，所述计算机程序在被处理器执行时实施如第一方面所述的方法。

23、本发明提出了一种基于https加密流量的检测的阻断方法及装置，相对于现有技术，具有以下优点：

24、1.通过传输层的透明代理和应用层的反向代理，可实现对基于ssl/tls加密算法传输的https协议的未知流量进行解密、威胁检测并实施封堵。在减少硬件成本的同时提升ip封堵设备的封堵能力。

25、2.针对整个局域网内的基于ssl/tls加密传输的https协议进行检测和阻断，完成对攻击行为的拦截。

技术特征：

1.一种基于https加密流量的检测的阻断方法，其特征在于，由串接于网络总路口和核心交换机之中的ip阻断装置进行，包括以下步骤：

2.根据权利要求1所述的一种基于https加密流量的检测的阻断方法，其特征在于，与所述客户端建立tcp连接，所述客户端发送握手包和tcp ack请求，根据内置阻断ip规则对客户端的源ip判断是否进行ip阻断，建立传输连接。

3.根据权利要求2所述的一种基于https加密流量的检测的阻断方法，其特征在于，根据所述握手包确定连接为非ssl/tls握手请求或https握手请求，

4.根据权利要求3所述的一种基于https加密流量的检测的阻断方法，其特征在于，通过所述直接连接、中转连接和与业务服务器的https连接获取所述传输数据的明文内容。

5.根据权利要求4所述的一种基于https加密流量的检测的阻断方法，其特征在于，生成公私钥非对称密钥对，以及自签证书，与所述传输连接和与业务服务器的https连接进行加解密数据交换，获取到连接数据交互的明文信息。

6.根据权利要求5所述的一种基于https加密流量的检测的阻断方法，其特征在于，基于威胁特征规则检测所述传输数据的明文内容，对于明文内容中存在威胁行为的传输数据，阻断直接连接或中转连接所传输的数据的源ip或目的ip地址。

7.一种基于https加密流量的检测的阻断装置，其特征在于，包括：

8.根据权利要求7所述的一种基于https加密流量的检测的阻断装置，其特征在于，

9.根据权利要求8所述的一种基于https加密流量的检测的阻断装置，其特征在于，所述传输层透明代理模块m1和应用层反向代理模块m2进行数据传输时，应用层反向代理模块m2生成公私钥非对称密钥对，以及自签证书,获取传输数据的明文内容，发送给流量分析模块m3。

10.一种计算机可读介质，其上存储有计算机程序，所述计算机程序在被处理器执行时实施如权利要求1-6中任一项所述的方法。

技术总结
公开了一种基于https加密流量的检测的阻断方法及装置，包括：配置所述I P阻断装置的所代理的业务服务信息；根据客户端发送的请求和握手包判断客户端源i p和握手请求类型，建立连接，进行数据传输，获取传输数据的明文内容；对传输数据的明文内容进行威胁识别检测；对检测到的存在威胁行为的数据源的源i p或目标i p进行阻断。基于该方法的装置基于硬件部署在网络总出入口，对整个局域网内所有TLS/SSL流量进行检测和阻断。

技术研发人员：郑汉军,孟方方,常虹,刘星,庄秋榆
受保护的技术使用者：厦门安胜网络科技有限公司
技术研发日：
技术公布日：2024/4/29