企业隐私分析与异常发现方法、装置、设备和存储介质与流程

本发明属于信息安全，具体涉及一种企业隐私分析与异常发现方法、装置、设备和存储介质。

背景技术：

1、为了保证安全，企业数据的分发过程涉及到身份识别，这种企业间的稳定通信通常依赖于证书认证。每个企业都有自己的证书颁发机构(ca)，许多企业使用基于x.509标准的公钥基础设施(pki)实现ssl/tls协议和加密技术，许多典型的网络系统都使用pki来保护数据。

2、两个企业在建立安全通信之前，会先通过密钥交换协议发现共享密钥，然后使用对称密码进行加密传输。在此过程中，为了防止中间人攻击，企业使用数字证书来保护公钥，只有在相互信任的情况下才能在pki基础设施中相互验证。因此，企业间的安全通信依赖于对ca的信任。

3、在数据监视与采集中，有一些现有的技术方法：1)使用抽样方法对每个分支的前n个字节进行抽样，以便管理大量的侦听数据。由于x.509证书是在tls/ssl连接建立之初的握手消息中交换的，因此可以收集到足够的侦听数据。2)采用入侵检测和协议解析系统bro作为tls/ssl处理工具进行监控操作。bro是一个开源功能强大的流量分析工具，主要用于协议解析，异常检测，行为分析等。3)使用bro的动态协议识别功能，端口能够独立地识别tls/ssl，进而获取证书的信息。4)监视运行过程:记录每个观察到的双向流的启动，并将采样的所有包写入磁盘，每个采样一个文件。当前文件达到10gb时启动一个新文件。完成转储文件后，将脱机提取tls/ssl连接。

4、在x.509证书中，企业的证书颁发机构(ca)验证其他实体的身份和公钥。在颁发证书之前，ca必须进行有限的身份检查。然而，这些内部ca操作很难从外部进行评估，因此用户必须对ca的功能有信心。由于中间诸多过程需要人员操作，因此诸如粗心大意和恶意意图等变量可能会引发安全问题。企业之间的通信将会产生大量的证书流量数据，而由于ca内部出现的问题很难被人们发现，这些证书一旦正式颁发可能会出现异常情况和非法行为。另外，在使用常规证书的过程中，还有可能泄露企业的敏感信息。例如，智能电网中的证书数据流量可能暴露某电网相关网络的重要节点和当前安全管理水平，从而导致企业隐私的泄露。因此，在现有的电网相关网络中，缺少一个对可能出现的隐私泄露以及异常数据问题的检测方案。

技术实现思路

1、为了解决现有技术中存在的上述问题，本发明提供了一种企业隐私分析与异常发现方法、装置、设备和存储介质。本发明要解决的技术问题通过以下技术方案实现：

2、本发明实施例提供了一种企业隐私分析与异常发现方法，包括步骤：

3、收集目标网络中的证书流量，并从所述证书流量中抓取握手数据包，将所述握手数据包作为目标文件；

4、在目标时间段内的目标文件中依次提取证书、会话双方的ip地址和证书链，以及记录握手会话id与证书的关系、握手会话id与ip地址的关系；

5、基于所述握手会话id与证书的关系、所述握手会话id与ip地址的关系对所述证书链中的证书数据进行分析；

6、根据分析出现异常的证书数据对相应流量段进行验证，并根据验证结果确认所述相应流量段是否出现异常。

7、在本发明的一个实施例中，收集目标网络中的证书流量，并从所述证书流量中抓取握手数据包，将所述握手数据包作为目标文件，包括：

8、利用隔离收集器和flume工具收集所述目标网络中的证书流量，使用bro工具从所述证书流量中抓取tls/ssl连接的握手数据包；

9、将所述tls/ssl连接的握手数据包发送给聚合服务器，其中所述聚合服务器将所述tls/ssl连接的握手数据包生成带有kafka消息队列的文件，并将所述带有kafka消息队列的文件作为pcap文件保存为所述目标文件；

10、将所述目标文件保存在所述大数据库中。

11、在本发明的一个实施例中，在目标时间段内的目标文件中依次提取证书、会话双方的ip地址和证书链，以及记录握手会话id与证书的关系、握手会话id与ip地址的关系，包括：

12、从所述大数据库的目录中读取所述目标时间段的pcap文件；

13、通过分析所述目标时间段的pcap文件中的会话以记录加密传输的次数，并根据所述加密传输的次数提取加密传输会话；

14、使用openssl的pkcs工具从所述加密传输会话中提取证书，并在所述大数据库中记录所述握手会话id与证书的关系；使用openssl的pkcs工具从所述加密传输会话中提取会话双方的ip地址，并在所述大数据库中记录所述握手会话id与ip地址的关系；使用openssl的pkcs工具从所述加密传输会话中提取证书链。

15、在本发明的一个实施例中，基于所述握手会话id与证书的关系、所述握手会话id与ip地址的关系对所述证书链中的证书数据进行分析，包括：

16、基于所述握手会话id与证书的关系、所述握手会话id与ip地址的关系对所述证书链中多个主机之间证书的重复频率、证书的有效性、主机名的正确性、公钥属性、证书的有效期、中间证书和认证链证书的正确性、有效证书中的序列号的正确性进行分析，判断所述证书数据是否正确。

17、在本发明的一个实施例中，对所述证书链中多个主机之间证书的重复频率、证书的有效性、主机名的正确性、公钥属性、证书的有效期、中间证书和认证链证书的正确性、有效证书中的序列号的正确性进行分析，判断所述证书数据是否正确，包括：

18、判断多个主机是否同时使用同一个证书；

19、判断ca提供的认证过程是否正确，其中，所述ca提供的认证过程是否正确包括是否指向正确完整的存储证书、证书是否处于有效期内和签名是否正确；并验证身份验证链，判断身份验证链是否正确；

20、验证证书实体中的cn与服务器的主机名是否相对应，确定证书实体选择名称与服务器的主机名是否匹配；

21、对证书的加密算法、密钥长度、密钥重复性进行分析；

22、判断证书是否处于有效期内；

23、判断高级ca证书、中间证书、低级证书的颁发机构是否正确；

24、分析服务器检查有效证书中的序列号，并查找由同一机构颁发的重复序列号。

25、在本发明的一个实施例中，验证身份验证链，判断身份验证链是否正确，包括：

26、使用openssl库中的verify工具验证身份验证链，判断身份验证链是否正确。

27、在本发明的一个实施例中，根据分析出现异常的证书数据对相应流量段进行验证，并根据验证结果确认所述相应流量段是否出现异常，包括：

28、当分析出现异常的证书数据，根据所述异常的证书数据的故障原因返回错误代码，并对发生异常的相应流量段进行验证；

29、若验证成功，则所述相应流量段未出现异常，设置所述握手会话id的认证码为1，并记录验证记录；

30、若验证失败，则所述相应流量段出现异常，保存所述握手会话id验证和所述错误代码。

31、本发明的另一个实施例提供了一种业隐私分析与异常发现装置，包括：

32、收集模块，用于收集目标网络中的证书流量，并从所述证书流量中抓取握手数据包，将所述握手数据包作为目标文件；

33、提取模块，用于在目标时间段内的目标文件中依次提取证书、会话双方的ip地址和证书链，以及记录握手会话id与证书的关系、握手会话id与ip地址的关系；

34、分析模块，用于基于所述握手会话id与证书的关系、所述握手会话id与ip地址的关系对所述证书链中的证书数据进行分析；

35、验证模块，用于根据分析出现异常的证书数据对相应流量段进行验证，并根据验证结果确认所述相应流量段是否出现异常。

36、本发明的又一个实施例提供了一种企业隐私分析与异常发现设备，所述设备包括采集器、存储器和处理器，所述存储器存储有计算机程序，其特征在于，

37、所述采集器执行所述计算机程序时实现如下步骤：收集目标网络中的证书流量，并从所述证书流量中抓取握手数据包，将所述握手数据包作为目标文件；

38、所述处理器执行所述计算机程序时实现如下步骤：在目标时间段内的目标文件中依次提取证书、会话双方的ip地址和证书链，以及记录握手会话id与证书的关系、握手会话id与ip地址的关系；基于所述握手会话id与证书的关系、所述握手会话id与ip地址的关系对所述证书链中的证书数据进行分析；根据分析出现异常的证书数据对相应流量段进行验证，并根据验证结果确认所述相应流量段是否出现异常。

39、本发明的再一个实施例提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述方法实施例中任一项所述的方法的步骤。

40、与现有技术相比，本发明的有益效果：

41、本发明的方法通过从目标时间段内的握手数据包中提取证书、ip地址和证书链，并对证书链中的数据进行分析，判断证书链中的数据是否正确，然后根据异常的证书数据对相应流量段进行进一步验证，根据验证结果确认是否出现异常，通过对企业之间的流量数据进行采集和监视的方法获取证书信息，及时检测潜在危险的异常证书行为，企业在总结了一段时间内的有害异常情况后，可以根据这些数据修改企业证书认证结构，并增加对特定时间段或异常高发点流量的监控，有效地识别证书认证链中的非光滑节点，并逐级优化证书认证结构和调整整体证书级别，确保企业安全、不间断地运行，从而保证企业的数据和通信安全。