一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法及系統(tǒng),利用中間人技術�,通過利用指定HTTP(S)代理服務器成兩個證書,其中一個為用于與客戶端交互的偽服務器證書����,另一個為用于與服務器端交互的偽客戶端證書��;并對流量重定向到上述指定HTTP(S)代理服務器����,當服務器與客戶端有流量交互時��,所有流量都經(jīng)過指定HTTP(S)代理服務器����,雖然所有流量均被加密,但指定HTTP(S)代理服務器可以使用生成的證書完成解密操作���,并記錄原始數(shù)據(jù)�。通過本發(fā)明的方法����,提供另一種截獲并解密加密網(wǎng)絡連接的數(shù)據(jù)方法。
【專利說明】一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法及系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及計算機網(wǎng)絡安全【技術領域】����,特別涉及一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法及系統(tǒng)。
【背景技術】
[0002]當前研究惡意代碼方法���,普遍采用靜態(tài)分析結合動態(tài)分析的技術�����,尤其是動態(tài)分析的方法最為真實�����、有效�,甚至一些產(chǎn)品已經(jīng)集成進了惡意代碼動態(tài)分析沙箱技術���,其網(wǎng)絡行為的捕獲可采用出口網(wǎng)關截獲���,底層抓包方式,或API層過濾����。但對于采用HTTPS加密協(xié)議方式傳輸惡意代碼情況,大多數(shù)實現(xiàn)僅捕獲到了加密后的數(shù)據(jù)����,但原始數(shù)據(jù)無法還原。對于針對HTTPS協(xié)議的還原技術�,一般采用Hook到有關加密的庫調(diào)用API上,將原始數(shù)據(jù)截獲下來��;Hook到有關加密的庫調(diào)用,即把加密之前的數(shù)據(jù)截獲下來����,這種做法有效,但也存在一些問題�,第一,其接口不能通用���,在不同版本的Windows甚至Linux下的Hook方式有很大差別;第二�,由于其做法干預到了程序的執(zhí)行��,可能被惡意代碼反偵查到導致截獲失敗����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供了一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法及系統(tǒng),解決了對捕獲到的采用HTTPS加密協(xié)議方式傳輸?shù)臄?shù)據(jù)無法解密的問題�,提供了一種截獲并解密加密網(wǎng)絡連接數(shù)據(jù)的方法。
[0004]一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法�,包括:
使用指定HTTP(S)代理服務器生成兩個證書,其中一個用于與客戶端交互的偽服務器證書��,另一個用于與服務器端交互的偽客戶端證書���;
將HTTP (S)請求流量定向到指定HTTP (S)代理服務器�����;
指定HTTP(S)代理服務器獲得客戶端或服務器端的數(shù)據(jù)�����,通過偽客戶端證書或偽服務器證書��,獲取并記錄客戶端或服務器端加密的數(shù)據(jù)�����,再通過偽客戶端證書或偽服務器證書將所述數(shù)據(jù)轉(zhuǎn)發(fā)給真實服務器或客戶端����。
[0005]客戶端所請求的域名��,指定HTTP (S)代理服務器可以通過http頭的host值獲得���。
[0006]所述的方法中��,將HTTP (S)請求流量定向到指定HTTP (S)代理服務器具體為:設置DNS服務器�����,將域名解析到指定HTTP (S)代理服務器�;在出口網(wǎng)關處采用DNAT方式,將流量的目的IP定向到指定HTTP (S)代理服務器���。
[0007]—種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲系統(tǒng)�,包括:
指定HTTP(S)代理服務器����,使用指定HTTP(S)代理服務器生成兩個證書,其中一個為與客戶端交互的偽服務器證書����,另一個為向服務器端交互的偽客戶端證書;
流量重定向模塊����,將HTTP(S)請求流量定向到指定HTTP(S)代理服務器;
指定HTTP(S)代理服務器獲得客戶端或服務器端的數(shù)據(jù)����,通過偽客戶端證書或偽服務器證書,獲取并記錄客戶端或服務器端加密的數(shù)據(jù)���,再通過偽客戶端證書或偽服務器證書將所述數(shù)據(jù)轉(zhuǎn)發(fā)給真實服務器或客戶端���。[0008]所述的系統(tǒng)中��,將HTTP (S)請求流量定向到指定HTTP (S)代理服務器具體為:設置DNS服務器��,將域名解析到指定HTTP (S)代理服務器�����;在出口網(wǎng)關處采用DNAT方式��,將流量的目的IP定向到指定HTTP (S)代理服務器。
[0009]本發(fā)明利用了 “中間人”概念�,并對其加以改進,引入到對惡意代碼的網(wǎng)絡分析技術中�,解決了網(wǎng)絡流量重定向及HTTP(S)代理服務器對客戶端及服務端流量解密的問題。使得服務器端和客戶端的HTTPS證書替換成HTTP(S)代理服務器偽裝的證書��,這樣�����,雖然服務器端和客戶端的所有流量均被加密���,但HTTP (S)代理服務器可以使用證書完成解密操作�。
[0010]本發(fā)明提供了一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法及系統(tǒng),利用中間人技術�����,通過利用指定HTTP (S)代理服務器成兩個證書�,其中一個為用于與客戶端交互的偽服務器證書,另一個為用于與服務器端交互的偽客戶端證書�;并對流量重定向到上述指定HTTP(S)代理服務器,當服務器與客戶端有流量交互時����,所有流量都經(jīng)過指定HTTP(S)代理服務器,雖然所有流量均被加密���,但指定HTTP(S)代理服務器可以使用生成的證書完成解密操作�����,并記錄原始數(shù)據(jù)��。通過本發(fā)明的方法����,提供另一種截獲并解密加密網(wǎng)絡連接的數(shù)據(jù)方法。
【專利附圖】
【附圖說明】
[0011]為了更清楚地說明本發(fā)明或現(xiàn)有技術中的技術方案���,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例,對于本領域普通技術人員來講��,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖�����。
[0012]圖1為本發(fā)明惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法流程圖����;
圖2為本發(fā)明惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲系統(tǒng)網(wǎng)絡結構示意圖��。
【具體實施方式】
[0013]為了使本【技術領域】的人員更好地理解本發(fā)明實施例中的技術方案,并使本發(fā)明的上述目的��、特征和優(yōu)點能夠更加明顯易懂����,下面結合附圖對本發(fā)明中技術方案作進一步詳細的說明。
[0014]本發(fā)明提供了一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法及系統(tǒng)����,解決了對捕獲到的采用HTTPS加密協(xié)議方式傳輸?shù)臄?shù)據(jù)無法解密的問題,提供了一種截獲并解密加密網(wǎng)絡連接數(shù)據(jù)的方法���。
[0015]一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法�,如圖1所示����,包括:
5101:使用指定HTTP(S)代理服務器生成兩個證書,其中一個用于與客戶端交互的偽服務器證書��,另一個用于與服務器端交互的偽客戶端證書���;
5102:將HTTP(S)請求流量定向到指定HTTP(S)代理服務器�;
5103JgSHTTP(S)代理服務器獲得客戶端或服務器端的數(shù)據(jù)�,通過偽客戶端證書或偽服務器證書���,獲取并記錄客戶端或服務器端加密的數(shù)據(jù),再通過偽客戶端證書或偽服務器證書將所述數(shù)據(jù)轉(zhuǎn)發(fā)給真實服務器或客戶端����。
[0016]客戶端所請求的域名,指定HTTP (S)代理服務器可以通過http頭的host值獲得�。[0017]所述的方法中,將HTTP (S)請求流量定向到指定HTTP (S)代理服務器具體為:設置DNS服務器�,將域名解析到指定HTTP (S)代理服務器;在出口網(wǎng)關處采用DNAT方式����,將流量的目的IP定向到指定HTTP (S)代理服務器。
[0018]一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲系統(tǒng)�����,如圖2所示��,包括:
指定HTTP(S)代理服務器201���,使用指定HTTP(S)代理服務器生成兩個證書,其中一個為與客戶端202交互的偽服務器證書���,另一個為向服務器端203交互的偽客戶端證書�;
流量重定向模塊204 JfHTTP(S)請求流量定向到指定HTTP (S)代理服務器;
指定HTTP(S)代理服務器獲得客戶端或服務器端的數(shù)據(jù)�����,通過偽客戶端證書或偽服務器證書�����,獲取并記錄客戶端或服務器端加密的數(shù)據(jù)��,再通過偽客戶端證書或偽服務器證書將所述數(shù)據(jù)轉(zhuǎn)發(fā)給真實服務器或客戶端����。
[0019]所述的系統(tǒng)中,將HTTP (S)請求流量定向到指定HTTP (S)代理服務器具體為:設置DNS服務器��,將域名解析到指定HTTP (S)代理服務器����;在出口網(wǎng)關處采用DNAT方式,將流量的目的IP定向到指定HTTP (S)代理服務器����。
[0020]本發(fā)明利用了 “中間人”概念�����,并對其加以改進���,引入到對惡意代碼的網(wǎng)絡分析技術中,解決了網(wǎng)絡流量重定向及HTTP(S)代理服務器對客戶端及服務端流量解密的問題��。使得服務器端和客戶端的HTTPS證書替換成HTTP(S)代理服務器偽裝的證書�����,這樣���,雖然服務器端和客戶端的所有流量均被加密���,但HTTP (S)代理服務器可以使用證書完成解密操作。
[0021]本發(fā)明提供了一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法及系統(tǒng)�,利用中間人技術,通過利用指定HTTP (S)代理服務器成兩個證書��,其中一個為用于與客戶端交互的偽服務器證書����,另一個為用于與服務器端交互的偽客戶端證書;并對流量重定向到上述指定HTTP(S)代理服務器���,當服務器與客戶端有流量交互時��,所有流量都經(jīng)過指定HTTP (S)代理服務器�����,雖然所有流量均被加密��,但指定HTTP(S)代理服務器可以使用生成的證書完成解密操作����,并記錄原始數(shù)據(jù)��。通過本發(fā)明的方法�,提供另一種截獲并解密加密網(wǎng)絡連接的數(shù)據(jù)方法。
[0022]雖然通過實施例描繪了本發(fā)明�����,本領域普通技術人員知道�,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權利要求包括這些變形和變化而不脫離本發(fā)明的精神。
【權利要求】
1.一種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲方法���,其特征在于�����,包括: 使用指定HTTP(S)代理服務器生成兩個證書���,其中一個用于與客戶端交互的偽服務器證書,另一個用于與服務器端交互的偽客戶端證書����; 將HTTP (S)請求流量定向到指定HTTP (S)代理服務器; 指定HTTP(S)代理服務器獲得客戶端或服務器端的數(shù)據(jù)��,通過偽客戶端證書或偽服務器證書����,獲取并記錄客戶端或服務器端加密的數(shù)據(jù),再通過偽客戶端證書或偽服務器證書將所述數(shù)據(jù)轉(zhuǎn)發(fā)給真實服務器或客戶端����。
2.如權利要求1所述的方法,其特征在于�,將HTTP(S)請求流量定向到指定HTTP (S)代理服務器具體為:設置DNS服務器�,將域名解析到指定HTTP (S)代理服務器�����;在出口網(wǎng)關處采用DNAT方式�,將流量的目的IP定向到指定HTTP(S)代理服務器�。
3.—種惡意代碼網(wǎng)絡行為加密數(shù)據(jù)捕獲系統(tǒng),其特征在于�,包括: 指定HTTP(S)代理服務器,使用指定HTTP(S)代理服務器生成兩個證書����,其中一個為與客戶端交互的偽服務器證書,另一個為向服務器端交互的偽客戶端證書��; 流量重定向模塊�,將HTTP(S)請求流量定向到指定HTTP(S)代理服務器; 指定HTTP(S)代理服務器獲得客戶端或服務器端的數(shù)據(jù)����,通過偽客戶端證書或偽服務器證書,獲取并記錄客戶端或服務器端加密的數(shù)據(jù)���,再通過偽客戶端證書或偽服務器證書將所述數(shù)據(jù)轉(zhuǎn)發(fā)給真 實服務器或客戶端�。
4.如權利要求3所述的系統(tǒng),其特征在于���,將HTTP(S)請求流量定向到指定HTTP (S)代理服務器具體為:設置DNS服務器���,將域名解析到指定HTTP(S)代理服務器;在出口網(wǎng)關處采用DNAT方式�����,將流量的目的IP定向到指定HTTP (S)代理服務器�。
【文檔編號】H04L29/06GK103905425SQ201310734313
【公開日】2014年7月2日 申請日期:2013年12月27日 優(yōu)先權日:2013年12月27日
【發(fā)明者】王維, 張栗偉 申請人:哈爾濱安天科技股份有限公司