本技術(shù)涉及網(wǎng)絡(luò)安全，尤其涉及一種入侵檢測方法、裝置及存儲介質(zhì)。

背景技術(shù)：

1、隨著計算機軟件技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問題也日益突出，為保障數(shù)據(jù)傳輸?shù)陌踩院碗[私性，越來越多的網(wǎng)絡(luò)流量使用安全套接層協(xié)議(英文：secure?socketslayer，縮寫為ssl)和傳輸層安全協(xié)議(英文：transportlayer?security，縮寫為tls)對流量進行加密。然而，隨著加密協(xié)議的廣泛使用，也給網(wǎng)絡(luò)安全帶來了全新的挑戰(zhàn)，例如，經(jīng)常存在攻擊者使用加密協(xié)議傳遞惡意軟件、隱藏攻擊活動和竊取機密數(shù)據(jù)等安全事件，若安全事件沒有及時發(fā)現(xiàn)并處理，將會造成嚴重的后果。

2、因此，針對這種加密流量，如何更好的提高入侵檢測能力，是亟需解決的技術(shù)問題。

技術(shù)實現(xiàn)思路

1、本技術(shù)實施例提供一種入侵檢測方法、裝置及存儲介質(zhì)，用以解決現(xiàn)有技術(shù)對網(wǎng)絡(luò)攻擊缺乏防御能力的問題。

2、第一方面，本技術(shù)實施例提供一種入侵檢測方法，該方法包括：

3、終端設(shè)備獲取客戶端與服務(wù)器每次會話時，用于對會話過程中傳輸?shù)募用軙捨募M行解密的密鑰指示信息，不同會話過程傳輸?shù)募用軙捨募?yīng)的密鑰指示信息不同；所述終端設(shè)備將每次獲取到的密鑰指示信息發(fā)送給網(wǎng)關(guān)設(shè)備，以使所述網(wǎng)關(guān)設(shè)備基于接收到的所述密鑰指示信息生成解密密鑰，基于所述解密密鑰解密對應(yīng)的加密會話文件，并將解密后的會話文件進行入侵檢測。

4、上述方法，本技術(shù)實施例客戶端與服務(wù)端每次進行會話時應(yīng)用不同的加解密密鑰進行會話文件交互，終端產(chǎn)品獲取每次會話時的加解密密鑰的指示信息，并將該密鑰指示信息同步發(fā)送至網(wǎng)絡(luò)入侵檢測系統(tǒng)等網(wǎng)關(guān)產(chǎn)品，網(wǎng)絡(luò)入侵檢測系統(tǒng)收到終端發(fā)送到的該密鑰指示信息后對加密會話文件進行實時解密并進行深度包檢測，擴大了網(wǎng)關(guān)產(chǎn)品的檢測范圍，提升了告警準確率。其中，由于解密過程中獲取到的僅為當次客戶端與服務(wù)器進行握手交互的會話文件對應(yīng)的加解密密鑰，即使該密鑰指示信息被竊聽，后續(xù)加密流量仍然處于保密狀態(tài)，也不影響后續(xù)加密流量的安全性，從而最大程度上確保了密文的安全性，并且全過程無需客戶端或服務(wù)器端交互配置，簡化了部署流程。

5、一些可選的實施方式中，所述終端設(shè)備獲取客戶端與服務(wù)器每次會話時，用于對會話過程中傳輸?shù)募用軙捨募M行解密的密鑰指示信息，包括：

6、所述客戶端每次向所述服務(wù)器發(fā)起會話請求后，所述終端設(shè)備獲取所述客戶端與所述服務(wù)器基于每次會話請求進行握手時產(chǎn)生的客戶端隨機數(shù)；所述終端設(shè)備基于所述客戶端隨機數(shù)確定對應(yīng)加密會話文件進行解密的密鑰指示信息。

7、上述方法，本技術(shù)實施例通過終端產(chǎn)品獲取客戶端與服務(wù)端每次進行會話時握手產(chǎn)生的隨機數(shù)，基于該隨機數(shù)，得到對本次握手后客戶端與服務(wù)器進行交互過程的會話文件進行加解密的密鑰指示信息，由于隨機數(shù)的不確定性，從而最大程度上確保了密文的安全性，并且全過程無需客戶端或服務(wù)器端交互配置，簡化了部署流程。

8、一些可選的實施方式中，所述終端設(shè)備基于所述客戶端隨機數(shù)確定對應(yīng)加密會話文件進行解密的密鑰指示信息，包括：

9、所述終端設(shè)備基于預設(shè)的主密鑰，以及每次會話產(chǎn)生的客戶端隨機數(shù)，確定對應(yīng)加密會話文件進行解密的密鑰指示信息；或，所述終端設(shè)備基于預設(shè)的主密鑰，每次會話產(chǎn)生的客戶端隨機數(shù)，以及拓展密鑰，確定對應(yīng)加密會話文件進行解密的密鑰指示信息；或，所述終端設(shè)備基于每次會話產(chǎn)生的客戶端隨機數(shù)，以及拓展密鑰，確定對應(yīng)加密會話文件進行解密的密鑰指示信息；

10、其中，所述主密鑰為固定密鑰，所述拓展密鑰是基于會話過程中攜帶的標識信息，以及標識信息與密鑰信息的對應(yīng)關(guān)系，從預設(shè)密鑰池中包括的多個密鑰中確定的；或所述拓展密鑰是基于會話類型或會話業(yè)務(wù)與密鑰信息的對應(yīng)關(guān)系確定的。

11、一些可選的實施方式中，所述終端設(shè)備獲取客戶端與服務(wù)器每次會話時，用于對會話過程中傳輸?shù)募用軙捨募M行解密的密鑰指示信息，包括：

12、所述終端設(shè)備獲取所述客戶端與所述服務(wù)端每次會話時，進行會話的sslkeylog文件；其中，所述sslkeylog文件中包括用于對會話過程中傳輸?shù)募用軙捨募M行解密的密鑰指示信息。

13、示例性的，本技術(shù)實施例所述sslkeylog文件可以為用于記錄ssl/tls會話中使用的密鑰文件。

14、第二方面，本技術(shù)實施例提供一種入侵檢測方法，該方法包括：

15、網(wǎng)關(guān)設(shè)備獲取終端設(shè)備發(fā)送的用于對會話過程中傳輸?shù)募用軙捨募M行解密的密鑰指示信息，不同會話過程傳輸?shù)募用軙捨募?yīng)的密鑰指示信息不同；所述網(wǎng)關(guān)設(shè)備基于接收到的所述密鑰指示信息生成解密密鑰；所述網(wǎng)關(guān)設(shè)備基于所述解密密鑰解密對應(yīng)的加密會話文件，并將解密后的會話文件進行入侵檢測。

16、上述方法，本技術(shù)實施例客戶端與服務(wù)端每次進行會話時應(yīng)用不同的加解密密鑰進行會話文件交互，終端產(chǎn)品獲取每次會話時的加解密密鑰的指示信息，并將該密鑰指示信息同步發(fā)送至網(wǎng)絡(luò)入侵檢測系統(tǒng)等網(wǎng)關(guān)產(chǎn)品，網(wǎng)絡(luò)入侵檢測系統(tǒng)收到終端發(fā)送到的該密鑰指示信息后對加密會話文件進行實時解密并進行深度包檢測，擴大了網(wǎng)關(guān)產(chǎn)品的檢測范圍，提升了告警準確率。其中，由于解密過程中獲取到的僅為當次客戶端與服務(wù)器進行握手交互的會話文件對應(yīng)的加解密密鑰，即使該密鑰指示信息被竊聽，后續(xù)加密流量仍然處于保密狀態(tài)，也不影響后續(xù)加密流量的安全性，從而最大程度上確保了密文的安全性，并且全過程無需客戶端或服務(wù)器端交互配置，簡化了部署流程。

17、一些可選的實施方式中，所述網(wǎng)關(guān)設(shè)備獲取終端設(shè)備發(fā)送的用于對會話過程中傳輸?shù)募用軙捨募M行解密的密鑰指示信息，包括：

18、所述網(wǎng)關(guān)設(shè)備獲取所述終端設(shè)備發(fā)送的所述客戶端與所述服務(wù)端每次會話時，進行會話的sslkeylog文件；其中，所述sslkeylog文件中包括所述所述客戶端與所述服務(wù)器基于對應(yīng)會話請求進行握手時產(chǎn)生的客戶端隨機數(shù)。

19、一些可選的實施方式中，所述方法還包括：

20、所述網(wǎng)關(guān)設(shè)備根據(jù)獲取到的加密會話文件標識與密鑰指示信息標識的對應(yīng)關(guān)系，確定每個加密流量文件對應(yīng)的用于生成解密會話密鑰的密鑰指示信息。

21、一些可選的實施方式中，所述方法還包括：

22、每次會話過程中，所述網(wǎng)關(guān)設(shè)備接收到的密鑰指示信息用于解密下次會話時產(chǎn)生的加密會話文件；或，每次會話過程中，所述網(wǎng)關(guān)設(shè)備接收到的密鑰指示信息用于解密本次會話時產(chǎn)生的加密會話文件。

23、一些可選的實施方式中，所述方法還包括：

24、所述網(wǎng)關(guān)設(shè)備接收到的密鑰指示信息為所述終端設(shè)備進行加密后的密鑰指示信息，所述網(wǎng)關(guān)設(shè)備根據(jù)事先與所述終端設(shè)備協(xié)議的所述密鑰指示信息對應(yīng)的解密密鑰解密所述密鑰指示信息。

25、第三方面，本技術(shù)實施例提供了一種入侵檢測裝置，該裝置包括：

26、獲取模塊，用于獲取客戶端與服務(wù)器每次會話時，用于對會話過程中傳輸?shù)募用軙捨募M行解密的密鑰指示信息，不同會話過程傳輸?shù)募用軙捨募?yīng)的密鑰指示信息不同；

27、處理模塊，用于將每次獲取到的密鑰指示信息發(fā)送給網(wǎng)關(guān)設(shè)備，以使所述網(wǎng)關(guān)設(shè)備基于接收到的所述密鑰指示信息生成解密密鑰，基于所述解密密鑰解密對應(yīng)的加密會話文件，并將解密后的會話文件進行入侵檢測。

28、一些可選的實施方式中，所述處理模塊具體用于：

29、所述客戶端每次向所述服務(wù)器發(fā)起會話請求后，獲取所述客戶端與所述服務(wù)器基于每次會話請求進行握手時產(chǎn)生的客戶端隨機數(shù)；基于所述客戶端隨機數(shù)確定對應(yīng)加密會話文件進行解密的密鑰指示信息。

30、一些可選的實施方式中，所述處理模塊具體用于：

31、基于預設(shè)的主密鑰，以及每次會話產(chǎn)生的客戶端隨機數(shù)，確定對應(yīng)加密會話文件進行解密的密鑰指示信息；或，基于預設(shè)的主密鑰，每次會話產(chǎn)生的客戶端隨機數(shù)，以及拓展密鑰，確定對應(yīng)加密會話文件進行解密的密鑰指示信息；或，基于每次會話產(chǎn)生的客戶端隨機數(shù)，以及拓展密鑰，確定對應(yīng)加密會話文件進行解密的密鑰指示信息；

32、其中，所述主密鑰為固定密鑰，所述拓展密鑰是基于會話過程中攜帶的標識信息，以及標識信息與密鑰信息的對應(yīng)關(guān)系，從預設(shè)密鑰池中包括的多個密鑰中確定的；或所述拓展密鑰是基于會話類型或會話業(yè)務(wù)與密鑰信息的對應(yīng)關(guān)系確定的。

33、一些可選的實施方式中，所述獲取模塊具體用于：

34、獲取所述客戶端與所述服務(wù)端每次會話時，進行會話的sslkeylog文件；其中，所述sslkeylog文件中包括用于對會話過程中傳輸?shù)募用軙捨募M行解密的密鑰指示信息。

35、第四方面，本技術(shù)實施例提供一種入侵檢測裝置，該裝置包括：

36、獲取模塊，用于獲取終端設(shè)備發(fā)送的用于對會話過程中傳輸?shù)募用軙捨募M行解密的密鑰指示信息，不同會話過程傳輸?shù)募用軙捨募?yīng)的密鑰指示信息不同；

37、處理模塊，用于基于接收到的所述密鑰指示信息生成解密密鑰；基于所述解密密鑰解密對應(yīng)的加密會話文件，并將解密后的會話文件進行入侵檢測。

38、一些可選的實施方式中，所述獲取模塊具體用于：

39、獲取所述終端設(shè)備發(fā)送的所述客戶端與所述服務(wù)端每次會話時，進行會話的sslkeylog文件；其中，所述sslkeylog文件中包括所述所述客戶端與所述服務(wù)器基于對應(yīng)會話請求進行握手時產(chǎn)生的客戶端隨機數(shù)。

40、一些可選的實施方式中，所述處理模塊具體用于：

41、根據(jù)獲取到的加密會話文件標識與密鑰指示信息標識的對應(yīng)關(guān)系，確定每個加密流量文件對應(yīng)的用于生成解密會話密鑰的密鑰指示信息。

42、一些可選的實施方式中，所述處理模塊還用于：

43、每次會話過程中，接收到的密鑰指示信息用于解密下次會話時產(chǎn)生的加密會話文件；或，每次會話過程中，接收到的密鑰指示信息用于解密本次會話時產(chǎn)生的加密會話文件。

44、一些可選的實施方式中，所述處理模塊還用于：

45、接收到的密鑰指示信息為所述終端設(shè)備進行加密后的密鑰指示信息，根據(jù)事先與所述終端設(shè)備協(xié)議的所述密鑰指示信息對應(yīng)的解密密鑰解密所述密鑰指示信息。

46、第五方面，本技術(shù)實施例提供一種電子設(shè)備，所述電子設(shè)備包括至少一個處理器以及至少一個存儲器，其中，所述存儲器存儲有計算機程序，當所述程序被所述處理器執(zhí)行時，使得所述處理器執(zhí)行上述第一方面任一所述的入侵檢測方法；或，使得所述處理器執(zhí)行上述第二方面任一所述的入侵檢測方法。

47、第六方面，本技術(shù)實施例提供一種芯片系統(tǒng)，所述芯片系統(tǒng)包括：處理器和接口，所述處理器用于從所述接口調(diào)用并執(zhí)行計算機程序，當所述處理器執(zhí)行所述計算機程序時，可以實現(xiàn)上述第一方面或者第一方面的任一種可能的設(shè)計中所述的方法；或?qū)崿F(xiàn)上述第二方面或者第二方面的任一種可能的設(shè)計中所述的方法。

48、第七方面，本技術(shù)實施例提供一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)具有用于執(zhí)行上述第一方面或者第一方面的任一種可能的設(shè)計中所述的方法的計算機程序；或執(zhí)行上述第二方面或者第二方面的任一種可能的設(shè)計中所述的方法的計算機程序。

49、第八方面，本技術(shù)實施例還提供一種計算機程序產(chǎn)品，包括計算機程序，當所述計算機程序被執(zhí)行時，可以實現(xiàn)上述第一方面或者第一方面的任一種可能的設(shè)計中所述的方法；或可以實現(xiàn)上述第二方面或者第二方面的任一種可能的設(shè)計中所述的方法。

50、上述第三方面至第八方面中任一方面所產(chǎn)生的有益效果與第一方面和第二方面相同，具體可以參見上述第一方面和第二方面的詳細介紹，在此不進行贅述。