【技术实现步骤摘要】
本专利技术涉及网络安全检测相关领域,特别涉及一种面向5g专网的网络安全探测检测方法及装置。
技术介绍
1、5g专网是行业企业的无线专网,对网络各方面性能有着更高要求,特别在网络质量、网络安全、稳定可靠等方面有着严苛要求。关于网络安全通信,目前ssl加密通信是最为普遍的一种安全传输机制,分为握手、加密通信传输两个过程。其中握手校验阶段,通常是由服务端下发证书,客户端对证书进行验证(单向验证)。目前客户端在以下两种情况导致原本安全传输可能被打破:第一种,由于域名dns解析与ssl连接是两个独立过程,造成目前很多app应用只对证书进行验证,而疏忽对证书域名验证,由此验证过程不完整不充分,导致整个验证过程存在漏洞;第二种,客户端误操作或被植入木马病毒,导致ca根证书受到污染和篡改,形成不合规的ca根认证,影响ca根证书的鉴别能力。由于以上种种,形成例如常见的中间人(mitm)、fiddler窃听和入侵攻击等安全隐患,给钓鱼网站等欺诈行为有机可乘。
2、目前关于网络安全检测的技术方案有如下:
3、cn202010511220公开了一种识别钓鱼网站的方法,所述方法包括:基于目标统一资源定位符url地址获得对应网站的图片标识;对所述图片标识进行识别,获得所述图片标识中的文字信息;基于所述文字信息查找到官方url地址集合,所述官方url地址集合为官方网站对应的url地址集合;判断所述官方url地址集合是否为空,若不为空,根据所述目标url地址获得目标ssl证书,根据所述官方url地址集合获得至少一个官方ssl证书;判断所
4、cn201510821598公开了一种基于dpi技术的网络数据安全性分析方法,其特征在于:采用一种基于dpi技术的网络数据安全性分析系统,包括设置在网关上的数据包采集模块,协议匹配模块,深度包检测模块和访问控制模块,其中,所述协议匹配模块用于将数据包采集模块抓取的申请访问电力系统内网的数据包进行解析,并将解析的协议特征与协议匹配模块中的协议特征库中的协议特征进行匹配,将匹配失败的数据包删除,将匹配成功的数据包传输至深度包检测模块;所述深度包检测模块采用深度包检测算法判断协议匹配模块传输来的数据包中的内容是否包含深度包检测模块的威胁特征库中的信息;并将检测结果和数据包发送给访问控制模块,在访问控制模块中将包含威胁信息的数据包删除,将不包含威胁信息的数据包传输至电力系统内网的服务端。
5、cn202210643006公开了基于域名的网络安全检测方法,包括以下步骤:步骤一:流量采集模块对应用数据库接收到的数据进行流量采集、流量过滤、流量存储、流量清洗和流量切分,流量分析模块解析流量采集模块获取的流量,获取安全分析所需的安全要素信息;步骤二:安全检测模块对用户设备进行域名检测并在用户设备存在网络安全风险时将安全风险信号发送至安全监测平台,安全监测平台接收到安全风险信号后将安全风险信号发送至态势评估模块;步骤三:态势评估模块接收到安全风险信号后对用户设备的整体安全态势进行监测分析并得到恶意比,通过恶意比的数值大小对用户设备的域名安全整体是否合格进行判定;步骤四:用户设备的域名安全整体不合格时,规律分析模块对监测时段内用户设备受到的恶意域名访问进行规律分析并在用户设备受到恶意域名访问存在规律时对监测时段进行深度分析。
6、通过dpi特征字的验证方式,覆盖面广,但需对每个流量报文进行单独识别判断处理,数据处理量大,处理效率较低。况且每次ssl通信使用临时密钥加密,对密文进行dpi检测的意义不大。
7、通过向外获取安全要素比对的验证方式,需要向外部系统发起要素获取请求,额外产生交互过程,增加了额外的网络交互,导致整体效率下降,同时增加网络的额外负担。
技术实现思路
1、针对现有技术中的上述不足,本专利技术提供了一种面向5g专网的网络安全探测检测方法及装置,其提高dpi检测效率,使通信安全检测更加充分。
2、为了达到上述专利技术目的,本专利技术采用的技术方案为:
3、一种面向5g专网的网络安全探测检测装置,包括:增加ssl网络加密通信,其ssl证书的内容包括以下模块:证书拥有者信息、证书的有效期、证书颁发机构、加密算法;
4、在客户端是否有对域名ip信息进行校验之外,为进一步确保网络安全,专网客户端经过5g专网与网站服务端做通信,引入5g专网探针模块,部署在5g专网n3口,实时对专网网络进行安全检测;
5、探针采用分光并接方式,接入在专网n3接口处(n3接口是基站与upf网元的业务接口),探针对分光过来的码流数据进行dns、ssl流量识别,利用经过合规审核的授信根证书,对ssl握手过程进行完整全面的检测,检测结果可作为专网网络安全评价指标,体现专网网络的安全状态;
6、5g专网探针模块包括流量采集分析模块、dns域名提取模块、ssl证书提取模块、ssl证书检验模块、异常连接处理模块模块。
7、本专利技术与现有技术相比的优点在于:
8、1、提出一种利用dns流量对ssl证书验证的方法(一种伪证书检测方法),提高dpi检测效率,使通信安全检测更加充分。
9、2、检测效率高。只对dns和ssl握手流量进行检测处理,使用dns的域名来检验ssl证书绑定域名来判断ssl证书是否有效,通信是否安全,不用对每个报文进行dpi检测,相比而言节省大量运算,提高检测效率。
10、3、网络侧实现ssl安全检测。技术方案部署在专网网络侧n3口,采用并接方式,无需对原网络架构改造,无需ue终端额外安装程序,不增加网络额外负担,实施部署方便容易。
11、4、技术方案引入第三方增强网络安全检验,杜绝由于网络ue终端单方检验漏洞导致的网络安全隐患。在网络侧使用探针进行网络安全检测,为网络安全增加双重保险,即使网络ue终端侧存在ssl检测漏洞,通过本方案的检测探针仍然能达到安全检测的目的。
12、作为改进,所述证书拥有者信息包括证书绑定的域名或者ip信息,以确保该证书只能用于对应的网站之中,用网络探针对此信息进行合法合规检验。
13、作为改进,所述流量采集分析模块:对5g专网n3口业务流量进行嗅探,识别并采集用户终端的dns码流、ssl码流;
14、所述dns域名提取模块:对dns域名翻译映射对应的ip地址关系,进行提取;
15、所述ssl证书提取模块:对安全通信握手阶段的ssl证书,进行提取;
16、所述ssl证书检验模块:利用合规的根证书对ssl证书进行校验,然后再利用dns对应ip关系对ssl证书进行检验,判定此次连接是否安全合规;
17、所述异常连接处理:对判断为非安全合规的连接,进行拦截终止处理,并生成处理记录。
18、作为改进,其检测方法包括本文档来自技高网...
【技术保护点】
1.一种面向5G专网的网络安全探测检测装置,其特征在于,包括:增加SSL网络加密通信,其SSL证书的内容包括以下模块:证书拥有者信息、证书的有效期、证书颁发机构、加密算法;
2.根据权利要求1所述的一种面向5G专网的网络安全探测检测装置,其特征在于:所述证书拥有者信息包括证书绑定的域名或者IP信息,以确保该证书只能用于对应的网站之中,用网络探针对此信息进行合法合规检验。
3.根据权利要求1所述的一种面向5G专网的网络安全探测检测装置,其特征在于:
4.根据权利要求1所述的一种面向5G专网的网络安全探测检测装置的检测方法,其特征在于:包括以下步骤:
5.根据权利要求4所述的一种面向5G专网的网络安全探测检测方法,其特征在于:专网用户UE终端设备,进行业务前,发起DNS域名解析请求得到域名与IP对应关系,然后使用该IP发起TCP连接和SSL握手,握手信息遭到钓鱼网站或中间人拦截,返回中间人SSL证书(携带域名为非目标域名);如在不干预情况下,UE终端误以为正在与合法服务进行通信,导致后续的不安全通信。
6.根据权利要求4所述
7.根据权利要求1所述的一种面向5G专网的网络安全探测检测装置,其特征在于:还包括并列设置并与5G园区与5G核心网之间传输链路光连接的至少两个分光器和与所述分光器连接的物理网卡,所述物理网卡另一端与所述收包模块连接,所述分光器获取5G园区与5G核心网之间传输的所述信令数据报文后通过所述物理网卡传输至所述收包模块;所述收包模块为DPDK开源套件;所述信令数据报文包括N1接口信令流量数据、N2接口信令流量数据和N4接口信令流量数据;所述解码模块根据3GPP规范进行信令协议解码;所述逻辑处理模块通过对规则库的调用配合进行信令的安全检测识别。
...【技术特征摘要】
1.一种面向5g专网的网络安全探测检测装置,其特征在于,包括:增加ssl网络加密通信,其ssl证书的内容包括以下模块:证书拥有者信息、证书的有效期、证书颁发机构、加密算法;
2.根据权利要求1所述的一种面向5g专网的网络安全探测检测装置,其特征在于:所述证书拥有者信息包括证书绑定的域名或者ip信息,以确保该证书只能用于对应的网站之中,用网络探针对此信息进行合法合规检验。
3.根据权利要求1所述的一种面向5g专网的网络安全探测检测装置,其特征在于:
4.根据权利要求1所述的一种面向5g专网的网络安全探测检测装置的检测方法,其特征在于:包括以下步骤:
5.根据权利要求4所述的一种面向5g专网的网络安全探测检测方法,其特征在于:专网用户ue终端设备,进行业务前,发起dns域名解析请求得到域名与ip对应关系,然后使用该ip发起tcp连接和ssl握手,握手信息遭到钓鱼网站或中间人拦截,返回中间人ssl证书(携带域名为非目标域名);如在不干预情况下,ue终端误以为正在与合...
【专利技术属性】
技术研发人员:刘启波,陈智亮,黄滔,梁天舫,王秋香,
申请(专利权)人:广东宜通衡睿科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。