基于证书吊销体系的违规外联行为检测方法、设备及介质与流程

1.本发明涉及计算机网络技术领域，尤其涉及基于证书吊销体系的违规外联行为检测方法、设备及介质。


背景技术：

2.传统上，违规外联行为检测技术主要依赖客户端/取证服务器架构，通过在被监控网络内的主机上安装客户端，并且在互联网上部署违规外联检测服务器，通过客户端主动外联探测并在取证服务器上记录实现功能。
3.目前也出现了一些不依赖客户端的方案，以javascript脚本注入方式为主。当被监控网络内的主机访问特定http网络时，往往会发出下载javascript脚本的请求，此时通过网络注入手段将检测用的javascript脚本注入到主机浏览器之内。此脚本会从终端主机访问外网取证服务器；当外网取证服务器收到来自javascript脚本的访问数据，就立刻进行违规外联报警，同时将访问数据中的出口ip地址回传给javascript脚本；脚本收到后将终端主机的出口ip地址和内网ip地址一起发送到内网监测服务器；内网监测服务器收到脚本发来的数据时，就立刻进行违规外联报警。通过此方案即可实现对取证服务器的主动连接探测，一定程度上解决了客户端难以安装的问题。
4.对于安装客户端的方案，在实际的网络环境中，终端类型较为多样化，有些终端因终端类型原因无法安装，或因安全原因不允许安装。此时就会出现监管漏洞，导致该类违规外联现象发生却无法被感知。对于注入javascript脚本的无客户端方案，由于近年来网络安全的升级改造，即便是内网的web服务，也已经升级成了基于https的安全协议，此时由于协议完全加密，注入javascript代码难以再实现。这样又出现了监管漏洞。另外，一些网络请求是各类应用程序发起的，未必是浏览器，这些应用程序可能不具备运行javascript脚本的能力，导致注入后没有效果。
5.基于此，需要能够扩充违规外联发现的场景，最大化进行违规外联检测的方案，以弥补监管漏洞。


技术实现要素：

6.本说明书一个或多个实施例提供基于证书吊销体系的违规外联行为检测方法、设备及介质。用以解决如下技术问题：违规外联检测覆盖范围有限，存在监管漏洞的问题。
7.为解决上述技术问题，本说明书一个或多个实施例是这样实现的：
8.第一方面，本说明书一个或多个实施例提供基于证书吊销体系的违规外联行为检测方法，包括：
9.通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，并将所述证书的吊销情况查询地址设置为包括互联网取证服务器地址的url；
10.通过所述违规外联检测服务器将所述证书发送给所述请求方，并通过所述请求方经由所述互联网取证服务器地址向所述互联网取证服务器发送证书吊销查询请求连接；
11.根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求中包括的相关信息，并根据所述相关信息向管理员发出告警。
12.通过证书吊销检查机制，实现即时违规外联检测，针对由各类应用程序等非浏览器发起的网络请求依然有效，配合传统方案，实现了更全面的违规外联检测效果，弥补了监管漏洞。
13.可选地，在所述通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，并将所述证书的吊销情况查询地址设置为互联网取证服务器地址之前，所述方法还包括：
14.调整内部网络的网络拓扑结构，使所述请求方的所述访问请求经过所述违规外联检测服务器。
15.可选地，所述通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，并将所述证书的吊销情况查询地址设置为互联网取证服务器地址，具体包括；
16.将证书中的吊销情况查询地址设置成包括所述互联网取证服务器地址和监听端口、使用单位代号、所述请求方的内部网络地址以及自定义校验码的url。
17.可选地，所述通过所述请求方经由所述互联网取证服务器地址向所述互联网取证服务器发送证书吊销查询请求连接，具体包括：
18.在所述请求方获得所述证书后，根据所述证书吊销情况查询地址指示的所述url发起下载证书吊销列表的所述请求连接；
19.根据所述url中包括的所述互联网取证服务器地址，经由互联网网关，将所述请求连接发送给所述互联网取证服务器。
20.可选地，所述根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求信息中包括的相关信息，并根据所述相关信息向管理员发出告警，具体包括：
21.通过所述互联网取证服务器根据所述自定义校验码验证所述url是否为所述违规外联检测服务器生成；
22.若不是，忽略所述请求连接；
23.若是，返回空白的证书吊销列表文件，标记所述证书未被包含在证书吊销列表之内，所述请求方的所述访问请求正常进行。
24.可选地，通过所述互联网取证服务器将所述单位代号，所述内部网络地址、互联网出口地址、发生时间记入日志，并统计外联发生频次；
25.根据所述单位代号查询对应的管理员信息，根据所述管理员信息向管理员发出告警。
26.第二方面，本说明书一个或多个实施例提供基于证书吊销体系的违规外联行为检测设备，包括：
27.至少一个处理器；以及，
28.与所述至少一个处理器通信连接的存储器；其中，
29.所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行：
30.通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，
并将所述证书的吊销情况查询地址设置为包括互联网取证服务器地址的url；
31.通过所述违规外联检测服务器将所述证书发送给所述请求方，并通过所述请求方经由所述互联网取证服务器地址向所述互联网取证服务器发送证书吊销查询请求连接；
32.根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求中包括的相关信息，并根据所述相关信息向管理员发出告警。
33.第三方面，本说明书一个或多个实施例提供一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，并将所述证书的吊销情况查询地址设置为包括互联网取证服务器地址的url；
34.通过所述违规外联检测服务器将所述证书发送给所述请求方，并通过所述请求方经由所述互联网取证服务器地址向所述互联网取证服务器发送证书吊销查询请求连接；
35.根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求中包括的相关信息，并根据所述相关信息向管理员发出告警。
36.本说明书一个或多个实施例提供基于证书吊销体系的违规外联行为检测方法、设备及介质，通过该方案，解决了传统客户端方案覆盖范围有限、一般javascript脚本注入方案针对https协议的web服务无法生效的问题，本发明针对各类应用程序等非浏览器发起的网络请求依然有效，使无客户端违规外联检测技术覆盖了https加密协议场景。配合传统方案，实现了更全面的违规外联检测效果，弥补了监管漏洞。
附图说明
37.为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
38.图1为本说明书一个或多个实施例提供的基于证书吊销体系的违规外联行为检测方法流程示意图；
39.图2为本说明书一个或多个实施例提供的基于证书吊销体系的违规外联行为检测设备结构示意图。
具体实施方式
40.本说明书实施例提供基于证书吊销体系的违规外联行为检测方法、设备及介质。
41.为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本说明书实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
42.本技术方案主要用于检测内部网络设备是否违规外联，并在检测出内部网络设备违规外联后，向管理员告警，其中违规外联也称“两网互联”、“两网互通”，是指内部网络环境里计算机、服务器等终端设备在连接内部网络的同时，通过多网卡、wifi热点等方式连接
互联网或者非内部业务网络的行为。
43.本技术方案将结合访问https站点时会下载证书，并通过验证证书是否吊销的特性，通过更改查询证书是否吊销的url方式，达到访问https场景下的违规外联检测。
44.以下结合附图，详细说明本说明书各实施例提供的技术方案。
45.图1为本说明书一个或多个实施例提供的基于证书吊销体系的违规外联行为检测方法流程示意图。
46.s101：通过违规外联检测服务器获取请求方的访问请求，根据访问请求生成证书，并将证书的吊销情况查询地址设置为包括互联网取证服务器地址的url。
47.在本说明书一个或多个实施例中，外联检测服务器获取请求方的访问请求之前，调整内部网络的网络拓扑结构，使请求方的访问请求经过违规外联检测服务器。
48.其中，内部网络是一个局域网，在这个网络中，组织成员可以分享信息、数据和资源，安全性较高；请求方是指内部网络的各种设备，如计算机、移动设备、物联网设备等；访问请求是指内部网络设备发起的https请求流量，也可以称为https握手信息。
49.在本说明书的一个或多个实施例中，将证书中的吊销情况查询地址设置成包括互联网取证服务器地址和监听端口、使用单位代号、请求方的内部网络地址以及自定义校验码的url。
50.在调整内部网络的网络拓扑结构后，内部网络设备发起的https握手信息会流经违规外联检测服务器，此时，违规外联检测服务器会提取https握手信息，并根据握手信息头部中的server_name扩展生成一个证书，将证书中的证书吊销列表（certificate revocation list，crl）分发点，也就是证书吊销情况查询地址字段设置为一个特殊的url，例如http://《internet_address》:《port》/《enterprise_code》/《client_address》/《sign》.crl。其中internet_address和port是互联网取证服务器的地址和监听端口，enterprise_code是使用单位代号，client_address是请求方的内部网络地址，sign是自定义的校验码。
51.s102：通过违规外联检测服务器将证书发送给请求方，并通过请求方经由互联网取证服务器地址向互联网取证服务器发送证书吊销查询请求连接。
52.违规外联检测服务器将证书发送给请求方后，同请求方建立握手，在计算机科学中，握手是指通过交换信息来建立连接或认证双方身份的过程。违规外联检测服务器与请求方的每次握手都会产生新的证书。
53.在本说明书的一个或多个实施例中，请求方获得证书后，根据证书吊销情况查询地址指示的url发起下载证书吊销列表的请求连接；根据url中包括的互联网取证服务器地址，经由互联网网关，将请求连接发送给互联网取证服务器。
54.请求方获得证书后会自动核实该证书的吊销情况，像互联网取证服务器发送下载证书吊销列表的请求连接，若此时，请求方并未发生违规外联，也就是说此时请求方访问的是内部网路，此请求会被路由到内部网络网关，因无法经由互联网网关到达互联网取证服务器，继而请求失败，内部网络设备发起的https请求正常继续。若此时请求方违规接入了互联网，此请求会经由互联网网关到达互联网取证服务器。
55.s103：根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求中包括的相关信息，并根据所述相关信息向管理员发出告警。
56.在本说明书的一个或多个实施例中，通过互联网取证服务器根据自定义校验码验证所述url是否为违规外联检测服务器生成；若不是，忽略请求连接；若是，返回空白的证书吊销列表文件，标记证书未被包含在证书吊销列表之内，请求方的访问请求正常进行。
57.互联网取证服务器开启指定的web端口等待下载证书吊销列表的请求连接，在收到下载证书吊销列表的请求连接后，按照自定义校验码规则验证url中包含的自定义校验码是否是违规外联检测服务器产生的，若不是，则认为该请求连接是伪造的，抛弃该请求连接。若是，向请求方返回一个空白的证书吊销列表文件，标记该证书未被包含在证书吊销列表之内，请求方的https请求可照常进行。
58.在本说明书的一个或多个实施例中，通过互联网取证服务器将单位代号，内部网络地址、互联网出口地址、发生时间记入日志，并统计外联发生频次；根据所述单位代号查询对应的管理员信息，根据管理员信息向管理员发出告警。
59.由于互联网取证服务器收到了此次请求连接，因此意味着请求方已经访问了外网，违规外联事件已经发生，此时互联网取证服务器将url中包含的单位代号、内部网络地址、互联网出口地址、发生时间等信息记入日志，其中互联网出口地址是指请求方访问的外网地址。
60.互联网取证服务器会记录外联发生次数，并根据单位代号查询对应的管理员信息，其中管理员信息包括管理员联系方式，例如邮箱、电话号等，通过邮件、短信等方式向管理员发出告警，以便管理员对违规外联的内部网络设备实行管控，以保证内部网络的安全。
61.本说明书一个或多个实施例提供基于证书吊销体系的违规外联行为检测方法、设备及介质，针对https加密协议，避免了“解密”这一不切实际的思路，直接针对其握手阶段的证书交换注入额外信息，实现即时违规外联检测。通过该方案，解决了传统客户端方案覆盖范围有限、一般javascript脚本注入方案针对https协议的web服务无法生效的问题，本发明针对各类应用程序等非浏览器发起的网络请求依然有效，使无客户端违规外联检测技术覆盖了https加密协议场景。配合传统方案，扩充了违规外联发现的场景，实现了更全面的违规外联检测效果，弥补了监管漏洞。
62.图2为本说明书一个或多个实施例提供的基于证书吊销体系的违规外联行为检测设备结构示意图，所述设备包括：
63.至少一个处理器；以及，
64.与所述至少一个处理器通信连接的存储器；其中，
65.所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行：
66.通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，并将所述证书的吊销情况查询地址设置为包括互联网取证服务器地址的url；
67.通过所述违规外联检测服务器将所述证书发送给所述请求方，并通过所述请求方经由所述互联网取证服务器地址向所述互联网取证服务器发送证书吊销查询请求连接；
68.根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求中包括的相关信息，并根据所述相关信息向管理员发出告警。
69.本说明书一个或多个实施例还提供了一种非易失性计算机存储介质，存储有可执行指令，计算机指令设置为通过违规外联检测服务器获取请求方的访问请求，根据所述访
问请求生成证书，并将所述证书的吊销情况查询地址设置为包括互联网取证服务器地址的url；
70.通过所述违规外联检测服务器将所述证书发送给所述请求方，并通过所述请求方经由所述互联网取证服务器地址向所述互联网取证服务器发送证书吊销查询请求连接；
71.根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求中包括的相关信息，并根据所述相关信息向管理员发出告警。
72.本技术实施例提供的设备和介质与方法是一一对应的，因此，设备和介质也具有与其对应的方法类似的有益技术效果，由于上面已经对方法的有益技术效果进行了详细说明，因此，这里不再赘述设备和介质的有益技术效果。
73.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
74.以上所述仅为本说明书的一个或多个实施例而已，并不用于限制本说明书。对于本领域技术人员来说，本说明书的一个或多个实施例可以有各种更改和变化。凡在本说明书的一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书的权利要求范围之内。

技术特征：
1.基于证书吊销体系的违规外联行为检测方法，其特征在于，包括：通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，并将所述证书的吊销情况查询地址设置为包括互联网取证服务器地址的url；通过所述违规外联检测服务器将所述证书发送给所述请求方，并通过所述请求方经由所述互联网取证服务器地址向所述互联网取证服务器发送证书吊销查询请求连接；根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求中包括的相关信息，并根据所述相关信息向管理员发出告警。2.根据权利要求1所述的基于证书吊销体系的违规外联行为检测方法，其特征在于，在所述通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，并将所述证书的吊销情况查询地址设置为互联网取证服务器地址之前，所述方法还包括：调整内部网络的网络拓扑结构，使所述请求方的所述访问请求经过所述违规外联检测服务器。3.根据权利要求1所述的基于证书吊销体系的违规外联行为检测方法，其特征在于，所述通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，并将所述证书的吊销情况查询地址设置为包括互联网取证服务器地址的url，具体包括；将证书中的吊销情况查询地址设置成包括所述互联网取证服务器地址和监听端口、使用单位代号、所述请求方的内部网络地址以及自定义校验码的url。4.根据权利要求1所述的基于证书吊销体系的违规外联行为检测方法，其特征在于，所述通过所述请求方经由所述互联网取证服务器地址向所述互联网取证服务器发送证书吊销查询请求连接，具体包括：在所述请求方获得所述证书后，根据所述证书吊销情况查询地址指示的所述url发起下载证书吊销列表的所述请求连接；根据所述url中包括的所述互联网取证服务器地址，经由互联网网关，将所述请求连接发送给所述互联网取证服务器。5.根据权利要求1或3所述的基于证书吊销体系的违规外联行为检测方法，其特征在于，所述根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求信息中包括的相关信息，并根据所述相关信息向管理员发出告警，具体包括：通过所述互联网取证服务器根据所述自定义校验码验证所述url是否为所述违规外联检测服务器生成；若不是，忽略所述请求连接；若是，返回空白的证书吊销列表文件，标记所述证书未被包含在证书吊销列表之内，所述请求方的所述访问请求正常进行。6.根据权利要求5所述的基于证书吊销体系的违规外联行为检测方法，其特征在于，所述方法还包括：通过所述互联网取证服务器将所述单位代号，所述内部网络地址、互联网出口地址、发生时间记入日志，并统计外联发生频次；根据所述单位代号查询对应的管理员信息，根据所述管理员信息向管理员发出告警。7.基于证书吊销体系的违规外联行为检测设备，其特征在于，包括：
至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行：通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，并将所述证书的吊销情况查询地址设置为包括互联网取证服务器地址的url；通过所述违规外联检测服务器将所述证书发送给所述请求方，并通过所述请求方经由所述互联网取证服务器地址向所述互联网取证服务器发送证书吊销查询请求连接；根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求中包括的相关信息，并根据所述相关信息向管理员发出告警。8.一种非易失性计算机存储介质，存储有计算机可执行指令，其特征在于，所述计算机可执行指令设置为：如权利要求1-6任一项所述的基于证书吊销体系的违规外联行为检测方法。

技术总结
本说明书实施例公开了基于证书吊销体系的违规外联行为检测方法、设备及介质。用以解决违规外联检测覆盖范围有限，存在监管漏洞的问题。该方案包括：通过违规外联检测服务器获取请求方的访问请求，根据所述访问请求生成证书，并将所述证书的吊销情况查询地址设置为包括互联网取证服务器地址的url；通过所述违规外联检测服务器将所述证书发送给所述请求方，并通过所述请求方经由所述互联网取证服务器地址向所述互联网取证服务器发送证书吊销查询请求连接；根据所述请求连接，通过所述互联网取证服务器验证所述证书是否吊销，若未吊销，提取所述访问请求中包括的相关信息，并根据所述相关信息向管理员发出告警。据所述相关信息向管理员发出告警。据所述相关信息向管理员发出告警。


技术研发人员：赵珊 陆艳良 徐盎然 张乾 杜孝楠
受保护的技术使用者：山东固信软件有限公司
技术研发日：2023.07.13
技术公布日：2023/9/9