用于linux系统的HTTPS报文检测方法及装置与流程

本公开涉及计算机信息处理领域，具体而言，涉及一种用于linux系统的https报文检测方法及装置。

背景技术：

1、http协议存在安全缺陷，由于其数据的明文传送和消息完整性检测的缺乏，https协议开始被广泛运用，https协议是由http协议加上tls/ssl协议构建的可进行加密传输、身份认证的网络协议，主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密，实现互联网传输安全保护。

2、https协议虽然保护了报文传输的安全，但是，并不能避免通过https协议传输恶意代码等数据，如果一个报文威胁检测设备无法获取https报文的秘钥，则无法对https报文传输的加密数据进行解密，从而也无法对其进行安全检测。当前第三方对https报文的威胁识别的设备，仍需获取https报文的密钥从而对其进行解密检测。但是这种方式，需要客户提供证书给第三方检测设备，这样的做法实际增大了密钥泄漏的风险。由于种种限制，而基于特征分析https报文这一安全检测技术停滞不前，传统检测方法对来自https报文攻击基本无计可施。

3、因此，需要一种新的用于linux系统的https报文检测方法及装置。

4、在所述背景技术部分公开的上述信息仅用于加强对本申请的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

1、有鉴于此，本申请提供一种用于linux系统的https报文检测方法及装置，能够绕过证书认证，对https解密后报文进行提取组装，形成可被常用ids/ips引擎检测的报文，提升报文检测效率和准确度。

2、本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

3、根据本申请的一方面，提出一种用于linux系统的https报文检测方法，该方法包括：linux系统捕获https报文；提取所述https报文的应用层明文数据和环境数据；提取所述https报文的skb结构体数据；基于所述环境数据将所述应用层数据和所述skb结构体数据进行匹配；在匹配成功后将所述应用层数据和所述skb结构体数据进行拼接生成明文报文；利用ids/ips入侵检测引擎对所述明文报文进行检测。

4、在本申请的一种示例性实施例中，提取所述https报文的应用层明文数据和环境数据，包括：在ssl共享库中使用uprobe技术提取所述https报文的应用层明文数据和环境数据。

5、在本申请的一种示例性实施例中，在ssl共享库中使用uprobe技术提取所述https报文的应用层明文数据和环境数据之前，还包括：获取linux系统的elf文件；解析所述elf文件获取ssl/tls加密/解密函数位移；通过uprobe勾住ssl/tls加密/解密函数的入口和出口；创建perf事件资源。

6、在本申请的一种示例性实施例中，在ssl共享库中使用uprobe技术提取所述https报文的应用层明文数据和环境数据，包括：基于ssl共享库创建链表依次轮训匹配；基于所述轮训匹配获取elf动态符号表；基于所述elf动态符号表轮询至获取指定函数及偏移；基于所述指定函数及偏移获取所述https报文的应用层明文数据和环境数据。

7、在本申请的一种示例性实施例中，在ssl共享库中使用uprobe技术提取所述https报文的应用层明文数据和环境数据之后，还包括：将所述应用层明文数据和所述环境数据通过perf事件发送给用户层应用。

8、在本申请的一种示例性实施例中，提取所述https报文的skb结构体数据，包括：在内核网络驱动中使用cls_bpf技术提取所述https报文的skb结构体数据。

9、在本申请的一种示例性实施例中，在内核网络驱动中使用cls_bpf技术提取所述https报文的skb结构体数据之前，还包括：通过流量控制器中的分类器勾住qos中的ingress函数和egress函数；创建perf事件资源。

10、在本申请的一种示例性实施例中，在内核网络驱动中使用cls_bpf技术提取所述https报文的skb结构体数据，包括：在内核网络驱动将cls_bpf代码插入至classifier函数中的ingress函数和egress函数；基于ingress函数和egress函数提取所述https报文的skb结构体数据。

11、在本申请的一种示例性实施例中，在内核网络驱动中使用cls_bpf技术提取所述https报文的skb结构体数据之后，还包括：将所述skb结构体数据通过perf事件发送给用户层应用。

12、在本申请的一种示例性实施例中，在匹配成功后将所述应用层明文数据和所述skb结构体数据进行拼接生成明文报文，包括：在匹配成功后基于所述skb结构体数据提取所述https报文中加密的应用层数据；将加密的实时应用层数据使用所述应用层明文数据替换，生成所述明文报文。

13、根据本申请的一方面，提出一种用于linux系统的https报文检测装置，该装置包括：捕获模块，用于linux系统捕获https报文；明文模块，用于提取所述https报文的应用层明文数据和环境数据；结构模块，用于提取所述https报文的skb结构体数据；匹配模块，用于基于所述环境数据将所述应用层数据和所述skb结构体数据进行匹配；拼接模块，用于在匹配成功后将所述应用层数据和所述skb结构体数据进行拼接生成明文报文；检测模块，用于利用ids/ips入侵检测引擎对所述明文报文进行检测。

14、根据本申请的一方面，提出一种电子设备，该电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如上文的方法。

15、根据本申请的一方面，提出一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现如上文中的方法。

16、根据本申请的用于linux系统的https报文检测方法及装置，通过linux系统捕获https报文；提取所述https报文的应用层明文数据和环境数据；提取所述https报文的skb结构体数据；基于所述环境数据将所述应用层数据和所述skb结构体数据进行匹配；在匹配成功后将所述应用层数据和所述skb结构体数据进行拼接生成明文报文；利用ids/ips入侵检测引擎对所述明文报文进行检测的方式，能够绕过证书认证，对https解密后报文进行提取组装，形成可被常用ids/ips引擎检测的报文，提升报文检测效率和准确度。

17、应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。

技术特征：

1.一种用于linux系统的https报文检测方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，提取所述https报文的应用层明文数据和环境数据，包括：

3.如权利要求2所述的方法，其特征在于，在ssl共享库中使用uprobe技术提取所述https报文的应用层明文数据和环境数据之前，还包括：

4.如权利要求2所述的方法，其特征在于，在ssl共享库中使用uprobe技术提取所述https报文的应用层明文数据和环境数据，包括：

5.如权利要求2所述的方法，其特征在于，在ssl共享库中使用uprobe技术提取所述https报文的应用层明文数据和环境数据之后，还包括：

6.如权利要求1所述的方法，其特征在于，提取所述https报文的skb结构体数据，包括：

7.如权利要求6所述的方法，其特征在于，在内核网络驱动中使用cls_bpf技术提取所述https报文的skb结构体数据之前，还包括：

8.如权利要求6所述的方法，其特征在于，在内核网络驱动中使用cls_bpf技术提取所述https报文的skb结构体数据，包括：

9.如权利要求6所述的方法，其特征在于，在内核网络驱动中使用cls_bpf技术提取所述https报文的skb结构体数据之后，还包括：

10.如权利要求1所述的方法，其特征在于，在匹配成功后将所述应用层明文数据和所述skb结构体数据进行拼接生成明文报文，包括：

11.一种用于linux系统的https报文检测装置，其特征在于，包括：

技术总结
本申请涉及一种用于linux系统的HTTPS报文检测方法及装置。该方法包括：linux系统捕获HTTPS报文；提取所述HTTPS报文的应用层明文数据和环境数据；提取所述HTTPS报文的skb结构体数据；基于所述环境数据将所述应用层数据和所述skb结构体数据进行匹配；在匹配成功后将所述应用层数据和所述skb结构体数据进行拼接生成明文报文；利用IDS/IPS入侵检测引擎对所述明文报文进行检测。本申请涉及的用于linux系统的HTTPS报文检测方法及装置，能够绕过证书认证，对HTTPS解密后报文进行提取组装，形成可被常用IDS/IPS引擎检测的报文，提升报文检测效率和准确度。

技术研发人员：王承天,邹初建,李小龙
受保护的技术使用者：杭州迪普科技股份有限公司
技术研发日：
技术公布日：2024/1/13