一種攻擊識(shí)別方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明實(shí)施例涉及通信技術(shù)領(lǐng)域,尤其是涉及一種攻擊識(shí)別方法和設(shè)備。
【背景技術(shù)】
[0002]SSLv3 (Secure Sess1n Layer v3,安全套接字層第3版本)模式下POODLE (Padding Oracle On Downgraded Legacy Encrypt1n,填充)攻擊是一種利用SSLv3的CBC (Cipher Block Chaining,分組加密)加密模式的加密過程和不檢查padding內(nèi)容兩個(gè)缺陷進(jìn)行用戶信息竊取的攻擊方式。
[0003]現(xiàn)有技術(shù)中的方式考慮到由于SSLv3模式下的POODLE攻擊是協(xié)議設(shè)計(jì)的問題,理論上使用SSLv3進(jìn)行通信都有可能被攻擊,且由于數(shù)據(jù)都是加密后的流量,無(wú)法提取特征進(jìn)行識(shí)別,因此只要確定通信雙方使用SSLv3進(jìn)行通信,就認(rèn)為出現(xiàn)了 POODLE攻擊,但根據(jù)這樣的識(shí)別方式誤報(bào)率極高,導(dǎo)致正常流量也被禁止。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實(shí)施例提供了一種攻擊識(shí)別方法,包括:
[0005]攻擊識(shí)別設(shè)備檢測(cè)客戶端與服務(wù)器在通信過程中使用的通信模式以及對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密所使用的加密套件;
[0006]攻擊識(shí)別設(shè)備確定檢測(cè)到通信模式為安全套接字層第3版本SSLv3模式且加密套件為分組加密CBC加密套件時(shí),利用加密報(bào)文的載荷中最后一個(gè)加密分組的密文掃描加密報(bào)文;
[0007]攻擊識(shí)別設(shè)備確定掃描結(jié)果為在加密報(bào)文中存在密文,且密文存在的位置為除最后一個(gè)加密分組以外的其他任意一個(gè)加密分組時(shí),確認(rèn)受到了填充POODLE攻擊。
[0008]優(yōu)選的,攻擊識(shí)別設(shè)備檢測(cè)通信過程中使用的通信模式以及對(duì)信息進(jìn)行加密所使用的加密套件,具體為:
[0009]攻擊識(shí)別設(shè)備通過監(jiān)測(cè)服務(wù)器發(fā)送給客戶端的協(xié)商報(bào)文確定客戶端與服務(wù)器在通信過程中使用的通信模式以及對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密所使用的加密套件。
[0010]優(yōu)選的,攻擊識(shí)別設(shè)備檢測(cè)到通信模式為SSLv3模式且加密套件為CBC加密套件時(shí),利用加密報(bào)文的載荷中最后一個(gè)加密分組的密文掃描加密報(bào)文,具體為:
[0011]攻擊識(shí)別設(shè)備檢測(cè)到通信模式為SSLv3模式且加密套件為CBC加密套件時(shí),確定CBC加密套件的加密分組的加密長(zhǎng)度;
[0012]攻擊識(shí)別設(shè)備獲取客戶端發(fā)送給服務(wù)器的加密報(bào)文,并利用加密分組的加密長(zhǎng)度對(duì)加密報(bào)文進(jìn)行劃分以確定加密報(bào)文的載荷中最后一個(gè)加密分組;
[0013]攻擊識(shí)別設(shè)備獲取最后一個(gè)加密分組的密文;
[0014]攻擊識(shí)別設(shè)備利用密文掃描加密報(bào)文以確定是否在加密報(bào)文中除最后一個(gè)加密分組以外的其他加密分組所在的區(qū)間存在密文。
[0015]優(yōu)選的,攻擊識(shí)別設(shè)備檢測(cè)到通信模式為SSLv3模式且加密套件為CBC加密套件時(shí),利用加密報(bào)文的載荷中最后一個(gè)加密分組的密文掃描加密報(bào)文,包括:
[0016]攻擊識(shí)別設(shè)備檢測(cè)到通信模式為SSLv3模式且加密套件為CBC加密套件時(shí),獲取加密報(bào)文;
[0017]攻擊識(shí)別設(shè)備確定加密報(bào)文中存在多個(gè)加密子報(bào)文時(shí),依次獲取各加密子報(bào)文的載荷中最后一個(gè)加密分組的密文;
[0018]針對(duì)每個(gè)加密子報(bào)文,攻擊識(shí)別設(shè)備利用加密子報(bào)文的載荷中最后一個(gè)加密分組的密文掃描加密子報(bào)文;
[0019]攻擊識(shí)別設(shè)備確定掃描結(jié)果為在任一加密子報(bào)文中存在該加密子報(bào)文載荷中最后一個(gè)加密分組的密文,且存在的位置為除最后一個(gè)加密分組以外的其他任意一個(gè)加密分組時(shí),確定在加密報(bào)文中存在密文,且密文存在的位置為除最后一個(gè)加密分組以外的其他任意一個(gè)加密分組。
[0020]優(yōu)選的,攻擊識(shí)別設(shè)備檢測(cè)到通信模式為SSLv3模式且加密套件為CBC加密套件時(shí),利用加密報(bào)文的載荷中最后一個(gè)加密分組的密文掃描加密報(bào)文,包括:
[0021]攻擊識(shí)別設(shè)備檢測(cè)到通信模式為SSLv3模式且加密套件為CBC加密套件時(shí),確定獲取的加密報(bào)文的報(bào)文長(zhǎng)度;
[0022]攻擊識(shí)別設(shè)備確定加密報(bào)文的報(bào)文長(zhǎng)度小于閾值時(shí),利用加密報(bào)文的載荷中最后一個(gè)加密分組的密文掃描加密報(bào)文
[0023]攻擊識(shí)別設(shè)備確定加密報(bào)文的報(bào)文長(zhǎng)度大于或等于閾值時(shí),放棄對(duì)加密報(bào)文進(jìn)行掃描。
[0024]本發(fā)明實(shí)施例還提供了一種攻擊識(shí)別設(shè)備,包括:
[0025]檢測(cè)模塊,用于檢測(cè)客戶端與服務(wù)器在通信過程中使用的通信模式以及對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密所使用的加密套件;
[0026]掃描模塊,用于當(dāng)檢測(cè)到通信模式為安全套接字層第3版本SSLv3模式且加密套件為分組加密CBC加密套件時(shí),利用加密報(bào)文的載荷中最后一個(gè)加密分組的密文掃描加密報(bào)文;
[0027]識(shí)別模塊,用于當(dāng)掃描結(jié)果為在加密報(bào)文中存在密文,且密文存在的位置為除最后一個(gè)加密分組以外的其他任意一個(gè)加密分組的區(qū)間時(shí),確認(rèn)受到了填充POODLE攻擊。
[0028]優(yōu)選的,檢測(cè)模塊,具體用于:
[0029]攻擊識(shí)別設(shè)備通過監(jiān)測(cè)服務(wù)器發(fā)送給客戶端的協(xié)商報(bào)文確定客戶端與服務(wù)器在通信過程中使用的通信模式以及對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密所使用的加密套件。
[0030]優(yōu)選的,掃描模塊,具體用于:
[0031]當(dāng)檢測(cè)到通信模式為SSLv3模式且加密套件為CBC加密套件時(shí),確定CBC加密套件的加密分組的加密長(zhǎng)度;
[0032]獲取客戶端發(fā)送給服務(wù)器的加密報(bào)文,并利用加密分組的加密長(zhǎng)度對(duì)加密報(bào)文進(jìn)行劃分以確定加密報(bào)文的載荷中最后一個(gè)加密分組;
[0033]獲取最后一個(gè)加密分組的密文;
[0034]利用密文掃描加密報(bào)文以確定是否在加密報(bào)文中除最后一個(gè)加密分組以外的其他加密分組所在的區(qū)間存在密文。
[0035]優(yōu)選的,掃描模塊,具體用于:
[0036]當(dāng)檢測(cè)到通信模式為SSLv3模式且加密套件為CBC加密套件時(shí),獲取加密報(bào)文;
[0037]若加密報(bào)文中存在多個(gè)加密子報(bào)文,則依次獲取各加密子報(bào)文的載荷中最后一個(gè)加密分組的密文;
[0038]針對(duì)每個(gè)加密子報(bào)文,利用加密子報(bào)文的載荷中最后一個(gè)加密分組的密文掃描加密子報(bào)文;
[0039]確定掃描結(jié)果為在任一加密子報(bào)文中存在該加密子報(bào)文載荷中最后一個(gè)加密分組的密文,且存在的位置為除最后一個(gè)加密分組以外的其他任意一個(gè)加密分組時(shí),確定在加密報(bào)文中存在密文,且密文存在的位置為除最后一個(gè)加密分組以外的其他任意一個(gè)加密分組。
[0040]優(yōu)選的,掃描模塊,具體用于:
[0041]當(dāng)檢測(cè)通信模式為SSLv3模式且加密套件為CBC加密套件時(shí),確定獲取的加密報(bào)文的報(bào)文長(zhǎng)度;
[0042]若加密報(bào)文的報(bào)文長(zhǎng)度小于閾值,則利用加密報(bào)文的載荷中最后一個(gè)加密分組的密文掃描加密報(bào)文
[0043]若加密報(bào)文的報(bào)文長(zhǎng)度大于或等于閾值,則放棄對(duì)加密報(bào)文進(jìn)行掃描。
[0044]與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)施例公開了一種攻擊識(shí)別方法和設(shè)備,通過在檢測(cè)通信模式為SSLv3模式且加密套件為CBC加密套件時(shí),利用加密報(bào)文的載荷中最后一個(gè)加密分組的密文掃描加密報(bào)文;并基于掃描結(jié)果來(lái)判斷是否受到POODLE攻擊,以此基于POODLE攻擊的特性以及加密報(bào)文的密文特征來(lái)對(duì)是否受到POODLE攻擊進(jìn)行判斷,在面對(duì)報(bào)文被加密,無(wú)法提取固定特征的情況下,使用報(bào)文本身的密文作為特征進(jìn)行攻擊識(shí)別標(biāo)識(shí),有效提高了識(shí)別準(zhǔn)確性,減少了誤報(bào)。
【附圖說(shuō)明】
[0045]圖1是本發(fā)明提出的一種攻擊識(shí)別方法的流程示意圖;
[0046]圖2是本發(fā)明提出的一種攻擊識(shí)別設(shè)備的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】