本發(fā)明涉及HTTPS審計技術(shù)領(lǐng)域，特別涉及一種面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法和系統(tǒng)。

背景技術(shù)：

安全套接字層超文本傳輸協(xié)議(Hyper Text Transfer Protocol over Secure Socket Layer，簡稱“HTTPS”)是通過利用安全套接子層(Secure Socket Layer，簡稱“SSL”)來進行加密傳輸?shù)膫鬏攨f(xié)議，相當(dāng)于在傳統(tǒng)的超文本傳輸協(xié)議(Hyper Text Transfer Protocol，簡稱“HTTP”)中加入SSL層，由于其安全性而被廣泛用于客戶端與網(wǎng)站之間的敏感信息傳輸。

當(dāng)前對HTTPS數(shù)據(jù)流審計的通用方法，為采用中間人技術(shù)對客戶端發(fā)往服務(wù)器端的數(shù)據(jù)流進行代理轉(zhuǎn)發(fā)，例如：SSLstrip技術(shù)是一種不要求客戶端安裝審計設(shè)備證書的中間人技術(shù)，其基本原理是在客戶端與服務(wù)器建立連接時，在審計設(shè)備與服務(wù)器之間形成HTTPS連接，而在客戶端與審計設(shè)備之間形成HTTP連接，即將SSL層從原HTTPS連接中“剝離”。這樣既能對客戶端發(fā)送的報文進行審計，又能實現(xiàn)客戶端與服務(wù)器之間的加密傳輸。

但是，上述方法主要是用于網(wǎng)絡(luò)流量較小的網(wǎng)絡(luò)環(huán)境下(例如：網(wǎng)絡(luò)流量低于1Gbps)，如果是對骨干網(wǎng)絡(luò)中的數(shù)據(jù)進行審計的話，由于其網(wǎng)絡(luò)流量較大，一旦在骨干網(wǎng)絡(luò)鏈接中插入審計設(shè)備，則會嚴(yán)重影響到骨干網(wǎng)絡(luò)的數(shù)據(jù)傳輸速度，甚至?xí)l(fā)骨干網(wǎng)絡(luò)鏈路中段的情況，至使大面積的網(wǎng)路用戶受到影響。

技術(shù)實現(xiàn)要素：

為了解決現(xiàn)有技術(shù)的問題，本發(fā)明實施例提供了一種面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法和系統(tǒng)。所述技術(shù)方案如下：

一方面，本發(fā)明實施例提供了一種面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法，包括：

采用旁路分光的方式，獲取運營商骨干網(wǎng)中客戶端發(fā)送的攜帶有目標(biāo)域名的DNS請求；

根據(jù)獲取到的NDS請求和預(yù)設(shè)的域名與欺騙IP之間的對應(yīng)關(guān)系，獲取相應(yīng)地欺騙IP，并向客戶端發(fā)送攜帶相應(yīng)欺騙IP的響應(yīng)信息；

解析客戶端根據(jù)欺騙IP發(fā)送的訪問數(shù)據(jù)報文，并判斷訪問數(shù)據(jù)報文是否為明文；

當(dāng)訪問數(shù)據(jù)報文為明文時，通過SSLstrip審計服務(wù)器審計訪問數(shù)據(jù)報文，并根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，獲取相應(yīng)的真實IP；

根據(jù)獲取到的真實IP，采用IP代理方式，將訪問數(shù)據(jù)報文發(fā)送至真實IP對應(yīng)的目標(biāo)網(wǎng)站；

判斷目標(biāo)網(wǎng)站發(fā)送的反饋信息中是否包含HTTPS訪問方式請求，所述HTTPS訪問方式請求用于請求客戶端以HTTPS的訪問方式訪問目標(biāo)網(wǎng)站；

如果反饋信息中包含HTTPS訪問方式請求，則通過SSLstrip審計服務(wù)器將其轉(zhuǎn)化為相應(yīng)的HTTP訪問方式請求，并發(fā)送至客戶端。

在本發(fā)明實施例上述的面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法中，所述當(dāng)訪問數(shù)據(jù)報文為明文時，通過SSLstrip審計服務(wù)器審計并加密訪問數(shù)據(jù)報文，包括：

當(dāng)訪問數(shù)據(jù)報文為明文時，采用負(fù)載均衡的方式，通過多個SSLstrip審計服務(wù)器來審計訪問數(shù)據(jù)報文。

在本發(fā)明實施例上述的面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法中，當(dāng)訪問數(shù)據(jù)報文為明文時，訪問數(shù)據(jù)報文為客戶端訪問目標(biāo)網(wǎng)站服務(wù)器端口80時發(fā)送出的報文。

在本發(fā)明實施例上述的面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法中，所述方法還包括：

當(dāng)訪問數(shù)據(jù)報文為加密報文時，根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，將訪問數(shù)據(jù)報文中的欺騙IP修正為對應(yīng)的真實IP，并將修正后的訪問數(shù)據(jù)報文發(fā)送至運營商骨干網(wǎng)中。

在本發(fā)明實施例上述的面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法中，當(dāng)訪問數(shù)據(jù)報文為加密報文時，訪問數(shù)據(jù)報文為客戶端訪問目標(biāo)網(wǎng)站服務(wù)器端口443時發(fā)送出的報文。

另一方面，本發(fā)明實施例提供了一種面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計系統(tǒng)，包括：

DNS欺騙服務(wù)器，與接入運營商骨干網(wǎng)的客戶端連接，用于采用旁路分光的方式，獲取運營商骨干網(wǎng)中客戶端發(fā)送的攜帶有目標(biāo)域名的DNS請求；

所述DNS欺騙服務(wù)器，還用于根據(jù)獲取到的NDS請求和預(yù)設(shè)的域名與欺騙IP之間的對應(yīng)關(guān)系，獲取相應(yīng)地欺騙IP，并向客戶端發(fā)送攜帶相應(yīng)欺騙IP的響應(yīng)信息；

前置解析設(shè)備，與接入運營商骨干網(wǎng)的客戶端連接，用于解析客戶端根據(jù)欺騙IP發(fā)送的訪問數(shù)據(jù)報文，并判斷訪問數(shù)據(jù)報文是否為明文；

SSLstrip審計服務(wù)器，與所述前置解析設(shè)備連接，用于當(dāng)訪問數(shù)據(jù)報文為明文時，審計訪問數(shù)據(jù)報文，并根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，獲取相應(yīng)的真實IP；

IP代理服務(wù)器，用于根據(jù)獲取到的真實IP，采用IP代理方式，將訪問數(shù)據(jù)報文發(fā)送至真實IP對應(yīng)的目標(biāo)網(wǎng)站；

SSLstrip審計服務(wù)器，還用于判斷目標(biāo)網(wǎng)站發(fā)送的反饋信息中是否包含HTTPS訪問方式請求，所述HTTPS訪問方式請求用于請求客戶端以HTTPS的訪問方式訪問目標(biāo)網(wǎng)站；

SSLstrip審計服務(wù)器，還用于當(dāng)反饋信息中包含HTTPS訪問方式請求時，將其轉(zhuǎn)化為相應(yīng)的HTTP訪問方式請求，并發(fā)送至客戶端。

在本發(fā)明實施例上述的面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計系統(tǒng)中，包括：多個SSLstrip審計服務(wù)器，

前置解析設(shè)備，還用于當(dāng)訪問數(shù)據(jù)報文為明文時，通過負(fù)載均衡的方式，為多個SSLstrip審計服務(wù)器分配訪問數(shù)據(jù)報文。

在本發(fā)明實施例上述的面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計系統(tǒng)中，訪問數(shù)據(jù)報文為明文時，訪問數(shù)據(jù)報文為客戶端訪問目標(biāo)網(wǎng)站服務(wù)器端口80時發(fā)送出的報文。

在本發(fā)明實施例上述的面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計系統(tǒng)中，所述前置解析設(shè)備，還用于當(dāng)訪問數(shù)據(jù)報文為加密報文時，根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，將訪問數(shù)據(jù)報文中的欺騙IP修正為對應(yīng)的真實IP，并將修正后的訪問數(shù)據(jù)報文發(fā)送至運營商骨干網(wǎng)中。

在本發(fā)明實施例上述的面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計系統(tǒng)中，當(dāng)訪問數(shù)據(jù)報文為加密報文時，訪問數(shù)據(jù)報文為客戶端訪問目標(biāo)網(wǎng)站服務(wù)器端口443時發(fā)送出的報文。

本發(fā)明實施例提供的技術(shù)方案帶來的有益效果是：

通過采用旁路分光的方式，獲取運營商骨干網(wǎng)中客戶端發(fā)送的攜帶有目標(biāo)域名的DNS請求；然后，根據(jù)獲取到的NDS請求和預(yù)設(shè)的域名與欺騙IP之間的對應(yīng)關(guān)系，獲取相應(yīng)地欺騙IP，并向客戶端發(fā)送攜帶相應(yīng)欺騙IP的響應(yīng)信息；然后，解析客戶端根據(jù)欺騙IP發(fā)送的訪問數(shù)據(jù)報文，并判斷訪問數(shù)據(jù)報文是否為明文；并且，當(dāng)訪問數(shù)據(jù)報文為明文時，通過SSLstrip審計服務(wù)器審計訪問數(shù)據(jù)報文，并根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，獲取相應(yīng)的真實IP；然后，根據(jù)獲取到的真實IP，采用IP代理方式，將訪問數(shù)據(jù)報文發(fā)送至真實IP對應(yīng)的目標(biāo)網(wǎng)站；最后，判斷目標(biāo)網(wǎng)站發(fā)送的反饋信息中是否包含HTTPS訪問方式請求，并當(dāng)反饋信息中包含HTTPS訪問方式請求時，通過SSLstrip審計服務(wù)器將其轉(zhuǎn)化為相應(yīng)的HTTP訪問方式請求，并發(fā)送至客戶端。該面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法，采用旁路分光的方式來獲取運營商骨干網(wǎng)中客戶端發(fā)送DNS請求，避免了向骨干網(wǎng)中插入審計設(shè)備的問題，能有效避免因?qū)徲嬓枨螅档凸歉删W(wǎng)傳輸速度的問題；而且，該方法在對客戶端發(fā)送的明文形式的訪問數(shù)據(jù)報文進行審計的同時，還會將目標(biāo)網(wǎng)站服務(wù)器反饋的HTTPS訪問方式請求修改為相應(yīng)的HTTP訪問方式請求，使得客戶端在后續(xù)訪問時，以SSLstrip審計服務(wù)器能夠進行審計的明文形式發(fā)送訪問數(shù)據(jù)報文，保障了審計工作的順利進行。此外，該方法針對無法審計的加密訪問數(shù)據(jù)，會引導(dǎo)回骨干網(wǎng)絡(luò)中，保障了用戶的正常加密訪問。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明實施例一提供的一種面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法流程圖；

圖2是本發(fā)明實施例一提供的一種域名、欺騙IP、以及真實IP之間對應(yīng)關(guān)系的示例圖；

圖3是本發(fā)明實施例一提供的一種面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法流程圖；

圖4是本發(fā)明實施例二提供的一種面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計系統(tǒng)的結(jié)構(gòu)示意圖。

具體實施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明實施方式作進一步地詳細(xì)描述。

實施例一

本發(fā)明實施例提供了一種面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法，適用于對運營商大流量骨干網(wǎng)絡(luò)(網(wǎng)絡(luò)流量在1Gbps以上)的HTTPS數(shù)據(jù)流審計，參見圖1，該方法可以包括：

步驟S11，采用旁路分光的方式，獲取運營商骨干網(wǎng)中客戶端發(fā)送的攜帶有目標(biāo)域名的DNS請求。

在本實施例中，骨干網(wǎng)是用來連接多個區(qū)域或地區(qū)的高速網(wǎng)絡(luò)，運營商的骨干網(wǎng)絡(luò)的流量一般較大，針對這類網(wǎng)絡(luò)進行網(wǎng)絡(luò)安全審計時，如果在骨干網(wǎng)絡(luò)中間串入審計設(shè)備，會嚴(yán)重影響骨干網(wǎng)的傳輸速度，甚至?xí)l(fā)骨干網(wǎng)鏈路中斷。因此，為了避免在骨干網(wǎng)中串入審計設(shè)備，采用旁路分光的方式，從骨干網(wǎng)中，獲取客戶端發(fā)送的DNS請求，并解析出DNS請求中攜帶的目標(biāo)網(wǎng)站的域名，能有效避免上述問題。

步驟S12，根據(jù)獲取到的NDS請求和預(yù)設(shè)的域名與欺騙IP之間的對應(yīng)關(guān)系，獲取相應(yīng)地欺騙IP，并向客戶端發(fā)送攜帶相應(yīng)欺騙IP的響應(yīng)信息。

在本實施例中，為了能對客戶端與目標(biāo)網(wǎng)址之間傳輸?shù)臄?shù)據(jù)進行安全審計，將客戶端發(fā)送的DNS請求發(fā)出響應(yīng)信息，并在該響應(yīng)信息中攜帶欺騙IP，以使客戶端將其訪問數(shù)據(jù)請求按照欺騙IP，發(fā)送到所需的審計服務(wù)器中。其中，參見圖2，域名與欺騙IP之間的對應(yīng)關(guān)系可以形成相應(yīng)的對照表，并且，欺騙IP與真實IP之間也同時存在相應(yīng)的對應(yīng)關(guān)系，這樣，就可以還原域名與真實IP之間的對應(yīng)關(guān)系。例如：當(dāng)用戶想要訪問www.website1.com時，客戶端接收到的響應(yīng)信息中會攜帶欺騙IP(192.168.100.3)，而非其對應(yīng)的真實IP(202.13.0.1)。

步驟S13，解析客戶端根據(jù)欺騙IP發(fā)送的訪問數(shù)據(jù)報文，并判斷訪問數(shù)據(jù)報文是否為明文。

在本實施例中，客戶端發(fā)送的訪問數(shù)據(jù)報文可以是明文發(fā)送的(例如采用HTTP形式)，也可以是采用加密報文形式發(fā)送的(例如采用HTTPS形式)，該面向運營商骨干網(wǎng)的HTTPS審計方式，主要是針對明文形式的訪問數(shù)據(jù)報文進行審計的。因此，當(dāng)訪問數(shù)據(jù)報文為明文時，執(zhí)行步驟S14；相應(yīng)地，參見圖3，當(dāng)訪問數(shù)據(jù)報文為加密報文時(即為非明文時)，執(zhí)行步驟S18。

具體地，當(dāng)訪問數(shù)據(jù)報文為明文時，該訪問數(shù)據(jù)報文可以為客戶端訪問服務(wù)器端口80時發(fā)送出的報文；當(dāng)訪問數(shù)據(jù)報文為加密報文時，該訪問數(shù)據(jù)報文可以為客戶端訪問服務(wù)器端口443時發(fā)送出的報文。

步驟S14，通過SSLstrip審計服務(wù)器審計訪問數(shù)據(jù)報文，并根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，獲取相應(yīng)的真實IP。

在本實施例中，對于明文形式的訪問數(shù)據(jù)報文，可以通過SSLstrip審計服務(wù)器對其進行安全審計，并將審計后的訪問數(shù)據(jù)報文轉(zhuǎn)發(fā)至真實IP所對應(yīng)的目標(biāo)網(wǎng)站。

在本實時中，上述步驟S14還可以通過如下方式實現(xiàn)：

當(dāng)訪問數(shù)據(jù)報文為明文時，采用負(fù)載均衡的方式，通過多個SSLstrip審計服務(wù)器來審計訪問數(shù)據(jù)報文。

在本實施例中，通過負(fù)責(zé)均衡的方式，將客戶端發(fā)送的多項明文形式的訪問數(shù)據(jù)報文，分別配置到多個SSLstrip審計服務(wù)器中，這樣可以加快審計和轉(zhuǎn)發(fā)速度，保障了用戶的正常訪問速度。

步驟S15，根據(jù)獲取到的真實IP，采用IP代理方式，將訪問數(shù)據(jù)報文發(fā)送至真實IP對應(yīng)的目標(biāo)網(wǎng)站。

在本實施例中，對于客戶端發(fā)送的明文形式的訪問數(shù)據(jù)報文，將直接以原來的訪問形式(HTTP訪問形式)轉(zhuǎn)發(fā)至目標(biāo)網(wǎng)站服務(wù)器中，并等待目標(biāo)網(wǎng)站服務(wù)器對訪問數(shù)據(jù)報文回復(fù)反饋信息。

需要說明的是，目標(biāo)網(wǎng)站服務(wù)器回復(fù)的反饋信息中，可以包含有HTTPS訪問方式請求(HTTPS訪問方式請求用于請求客戶端以HTTPS的訪問方式訪問目標(biāo)網(wǎng)站)，也可以包含有HTTP反問方式請求(HTTP訪問方式請求用于請求客戶端以HTTP的訪問方式訪問目標(biāo)網(wǎng)站)，因此，針對目標(biāo)網(wǎng)站服務(wù)器的反饋信息，有如下步驟進行處理。

步驟S16，判斷目標(biāo)網(wǎng)站發(fā)送的反饋信息中是否包含HTTPS訪問方式請求，該HTTPS訪問方式請求用于請求客戶端以HTTPS的訪問方式訪問目標(biāo)網(wǎng)站。當(dāng)反饋信息中包含有HTTPS訪問方式請求時，執(zhí)行步驟S17，當(dāng)反饋信息中包含有HTTP訪問方式請求時，直接將反饋信息發(fā)送至客戶端。

步驟S17，通過SSLstrip審計服務(wù)器將反饋信息中包含的HTTPS訪問方式請求轉(zhuǎn)化為相應(yīng)的HTTP訪問方式請求，并發(fā)送至客戶端。

在本實施例中，通過SSLstrip審計服務(wù)器將反饋信息中包含的HTTPS訪問方式請求轉(zhuǎn)化為相應(yīng)的HTTP訪問方式請求，并發(fā)送至客戶端，這樣可以使得客戶端在之后的訪問目標(biāo)網(wǎng)站時，以HTTP的訪問方式進行訪問，進而使得SSLstrip審計服務(wù)器能對客戶端的訪問數(shù)據(jù)報文進行審計，保障了審計工作的順利進行。此外，需要說明的是，目標(biāo)網(wǎng)站服務(wù)器在反饋信息時，可以以HTTPS的方式進行信息反饋，SSLstrip審計服務(wù)器不會對HTTPS方式發(fā)送的反饋信息進行修改，并以同樣的方式將其轉(zhuǎn)發(fā)給客戶端，這樣保障了目標(biāo)網(wǎng)站對客戶端的HTTPS方式的信息反饋。

步驟S18，根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，將訪問數(shù)據(jù)報文中的欺騙IP修正為對應(yīng)的真實IP，并將修正后的訪問數(shù)據(jù)報文發(fā)送至運營商骨干網(wǎng)中。

在本實施例中，對于SSLstrip審計服務(wù)器無法進行審計的加密形式的訪問數(shù)據(jù)報文，通過修正IP的方式，將客戶端發(fā)送的訪問數(shù)據(jù)報文，引導(dǎo)會骨干網(wǎng)中，以便客戶端以HTTPS的訪問方式訪問目標(biāo)網(wǎng)站，這樣在對客戶端與目標(biāo)網(wǎng)站之間進行安全審計時，又不會影響到客戶端與目標(biāo)網(wǎng)站之間的加密數(shù)據(jù)流的傳輸，保障了用戶的正常加密訪問。

本發(fā)明實施例通過采用旁路分光的方式，獲取運營商骨干網(wǎng)中客戶端發(fā)送的攜帶有目標(biāo)域名的DNS請求；然后，根據(jù)獲取到的NDS請求和預(yù)設(shè)的域名與欺騙IP之間的對應(yīng)關(guān)系，獲取相應(yīng)地欺騙IP，并向客戶端發(fā)送攜帶相應(yīng)欺騙IP的響應(yīng)信息；然后，解析客戶端根據(jù)欺騙IP發(fā)送的訪問數(shù)據(jù)報文，并判斷訪問數(shù)據(jù)報文是否為明文；并且，當(dāng)訪問數(shù)據(jù)報文為明文時，通過SSLstrip審計服務(wù)器審計訪問數(shù)據(jù)報文，并根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，獲取相應(yīng)的真實IP；然后，根據(jù)獲取到的真實IP，采用IP代理方式，將訪問數(shù)據(jù)報文發(fā)送至真實IP對應(yīng)的目標(biāo)網(wǎng)站；最后，判斷目標(biāo)網(wǎng)站發(fā)送的反饋信息中是否包含HTTPS訪問方式請求，并當(dāng)反饋信息中包含HTTPS訪問方式請求時，通過SSLstrip審計服務(wù)器將其轉(zhuǎn)化為相應(yīng)的HTTP訪問方式請求，并發(fā)送至客戶端。該面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計方法，采用旁路分光的方式來獲取運營商骨干網(wǎng)中客戶端發(fā)送DNS請求，避免了向骨干網(wǎng)中插入審計設(shè)備的問題，能有效避免因?qū)徲嬓枨?，而降低骨干網(wǎng)傳輸速度的問題；而且，該方法在對客戶端發(fā)送的明文形式的訪問數(shù)據(jù)報文進行審計的同時，還會將目標(biāo)網(wǎng)站服務(wù)器反饋的HTTPS訪問方式請求修改為相應(yīng)的HTTP訪問方式請求，使得客戶端在后續(xù)訪問時，以SSLstrip審計服務(wù)器能夠進行審計的明文形式發(fā)送訪問數(shù)據(jù)報文，保障了審計工作的順利進行。此外，該方法針對無法審計的加密訪問數(shù)據(jù)，會引導(dǎo)回骨干網(wǎng)絡(luò)中，保障了用戶的正常加密訪問。

實施例二

本發(fā)明實施例提供了一種面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計系統(tǒng)，采用了實施例一所述的方法，參見圖4，該系統(tǒng)可以包括：

DNS欺騙服務(wù)器100，與接入運營商骨干網(wǎng)的客戶端連接，用于采用旁路分光的方式，獲取運營商骨干網(wǎng)中客戶端發(fā)送的攜帶有目標(biāo)域名的DNS請求。

在本實施例中，骨干網(wǎng)是用來連接多個區(qū)域或地區(qū)的高速網(wǎng)絡(luò)(例如在圖4中，是由兩個不同的路由器之間的連接鏈路)，運營商的骨干網(wǎng)絡(luò)的流量一般較大，針對這類網(wǎng)絡(luò)進行網(wǎng)絡(luò)安全審計時，如果在骨干網(wǎng)絡(luò)中間串入審計設(shè)備，會嚴(yán)重影響骨干網(wǎng)的傳輸速度，甚至?xí)l(fā)骨干網(wǎng)鏈路中斷。因此，為了避免在骨干網(wǎng)中串入審計設(shè)備，采用旁路分光的方式，從骨干網(wǎng)中，獲取客戶端發(fā)送的DNS請求，并解析出DNS請求中攜帶的目標(biāo)網(wǎng)站的域名，能有效避免上述問題。

DNS欺騙服務(wù)器100，還用于根據(jù)獲取到的NDS請求和預(yù)設(shè)的域名與欺騙IP之間的對應(yīng)關(guān)系，獲取相應(yīng)地欺騙IP，并向客戶端發(fā)送攜帶相應(yīng)欺騙IP的響應(yīng)信息。

在本實施例中，為了能對客戶端與目標(biāo)網(wǎng)址之間傳輸?shù)臄?shù)據(jù)進行安全審計，將客戶端發(fā)送的DNS請求發(fā)出響應(yīng)信息，并在該響應(yīng)信息中攜帶欺騙IP，以使客戶端將其訪問數(shù)據(jù)請求按照欺騙IP，發(fā)送到所需的審計服務(wù)器中。

前置解析設(shè)備200，與接入運營商骨干網(wǎng)的客戶端連接，用于解析客戶端根據(jù)欺騙IP發(fā)送的訪問數(shù)據(jù)報文，并判斷訪問數(shù)據(jù)報文是否為明文。

在本實施例中，客戶端發(fā)送的訪問數(shù)據(jù)報文可以是明文發(fā)送的(例如采用HTTP形式)，也可以是采用加密報文形式發(fā)送的(例如采用HTTPS形式)，該面向運營商骨干網(wǎng)的HTTPS審計方式，主要是針對明文形式的訪問數(shù)據(jù)報文進行審計的。

具體地，當(dāng)訪問數(shù)據(jù)報文為明文時，該訪問數(shù)據(jù)報文可以為客戶端訪問服務(wù)器端口80時發(fā)送出的報文；當(dāng)訪問數(shù)據(jù)報文為加密報文時，該訪問數(shù)據(jù)報文可以為客戶端訪問服務(wù)器端口443時發(fā)送出的報文。

SSLstrip審計服務(wù)器300，與所述前置解析設(shè)備200連接，用于當(dāng)訪問數(shù)據(jù)報文為明文時，審計訪問數(shù)據(jù)報文，并根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，獲取相應(yīng)的真實IP。

在本實施例中，對于明文形式的訪問數(shù)據(jù)報文，可以通過SSLstrip審計服務(wù)器300對其進行安全審計，并將審計后的訪問數(shù)據(jù)報文轉(zhuǎn)發(fā)至真實IP所對應(yīng)的目標(biāo)網(wǎng)站。

具體地，該系統(tǒng)可以包含多個SSLstrip審計服務(wù)器300，在此基礎(chǔ)上，前置解析設(shè)備200，還用于當(dāng)訪問數(shù)據(jù)報文為明文時，通過負(fù)載均衡的方式，為多個SSLstrip審計服務(wù)器300分配訪問數(shù)據(jù)報文。

在本實施例中，通過負(fù)責(zé)均衡的方式，將客戶端發(fā)送的多項明文形式的訪問數(shù)據(jù)報文，分別配置到多個SSLstrip審計服務(wù)器300中，這樣可以加快審計和轉(zhuǎn)發(fā)速度，保障了用戶的正常訪問速度。

IP代理服務(wù)器400，用于根據(jù)獲取到的真實IP，采用IP代理方式，將訪問數(shù)據(jù)報文發(fā)送至真實IP對應(yīng)的目標(biāo)網(wǎng)站。

在本實施例中，對于客戶端發(fā)送的明文形式的訪問數(shù)據(jù)報文，將直接以原來的訪問形式(HTTP訪問形式)轉(zhuǎn)發(fā)至目標(biāo)網(wǎng)站服務(wù)器中，并等待目標(biāo)網(wǎng)站服務(wù)器對訪問數(shù)據(jù)報文回復(fù)反饋信息。

需要說明的是，目標(biāo)網(wǎng)站服務(wù)器回復(fù)的反饋信息中，可以包含有HTTPS訪問方式請求(HTTPS訪問方式請求用于請求客戶端以HTTPS的訪問方式訪問目標(biāo)網(wǎng)站)，也可以包含有HTTP反問方式請求(HTTP訪問方式請求用于請求客戶端以HTTP的訪問方式訪問目標(biāo)網(wǎng)站)。

SSLstrip審計服務(wù)器300，還用于判斷目標(biāo)網(wǎng)站發(fā)送的反饋信息中是否包含HTTPS訪問方式請求，HTTPS訪問方式請求用于請求客戶端以HTTPS的訪問方式訪問目標(biāo)網(wǎng)站。

SSLstrip審計服務(wù)器300，還用于當(dāng)反饋信息中包含HTTPS訪問方式請求時，將其轉(zhuǎn)化為相應(yīng)的HTTP訪問方式請求，并發(fā)送至客戶端。

在本實施例中，當(dāng)反饋信息中包含有HTTP訪問方式請求時，SSLstrip審計服務(wù)器300會直接將反饋信息發(fā)送至客戶端。

在本實施例中，SSLstrip審計服務(wù)器300會將反饋信息中包含的HTTPS訪問方式請求轉(zhuǎn)化為相應(yīng)的HTTP訪問方式請求，并發(fā)送至客戶端，這樣可以使得客戶端在之后的訪問目標(biāo)網(wǎng)站時，以HTTP的訪問方式進行訪問，進而使得SSLstrip審計服務(wù)器300能對客戶端的訪問數(shù)據(jù)報文進行審計，保障了審計工作的順利進行。此外，需要說明的是，目標(biāo)網(wǎng)站服務(wù)器在反饋信息時，可以以HTTPS的方式進行信息反饋，SSLstrip審計服務(wù)器300不會對HTTPS方式發(fā)送的反饋信息進行修改，并以同樣的方式將其轉(zhuǎn)發(fā)給客戶端，這樣保障了目標(biāo)網(wǎng)站對客戶端的HTTPS方式的信息反饋。

進一步地，前置解析設(shè)備200，還用于當(dāng)訪問數(shù)據(jù)報文為加密報文時，根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，將訪問數(shù)據(jù)報文中的欺騙IP修正為對應(yīng)的真實IP，并將修正后的訪問數(shù)據(jù)報文發(fā)送至運營商骨干網(wǎng)中。

在本實施例中，對于SSLstrip審計服務(wù)器無法進行審計的加密形式的訪問數(shù)據(jù)報文，通過修正IP的方式，將客戶端發(fā)送的訪問數(shù)據(jù)報文，引導(dǎo)會骨干網(wǎng)中，以便客戶端以HTTPS的訪問方式訪問目標(biāo)網(wǎng)站，這樣在對客戶端與目標(biāo)網(wǎng)站之間進行安全審計時，又不會影響到客戶端與目標(biāo)網(wǎng)站之間的加密數(shù)據(jù)流，保障了用戶的正常加密訪問。

本發(fā)明實施例通過采用旁路分光的方式，獲取運營商骨干網(wǎng)中客戶端發(fā)送的攜帶有目標(biāo)域名的DNS請求；然后，根據(jù)獲取到的NDS請求和預(yù)設(shè)的域名與欺騙IP之間的對應(yīng)關(guān)系，獲取相應(yīng)地欺騙IP，并向客戶端發(fā)送攜帶相應(yīng)欺騙IP的響應(yīng)信息；然后，解析客戶端根據(jù)欺騙IP發(fā)送的訪問數(shù)據(jù)報文，并判斷訪問數(shù)據(jù)報文是否為明文；并且，當(dāng)訪問數(shù)據(jù)報文為明文時，通過SSLstrip審計服務(wù)器審計訪問數(shù)據(jù)報文，并根據(jù)預(yù)設(shè)的欺騙IP與真實IP之間的對應(yīng)關(guān)系，獲取相應(yīng)的真實IP；然后，根據(jù)獲取到的真實IP，采用IP代理方式，將訪問數(shù)據(jù)報文發(fā)送至真實IP對應(yīng)的目標(biāo)網(wǎng)站；最后，判斷目標(biāo)網(wǎng)站發(fā)送的反饋信息中是否包含HTTPS訪問方式請求，并當(dāng)反饋信息中包含HTTPS訪問方式請求時，通過SSLstrip審計服務(wù)器將其轉(zhuǎn)化為相應(yīng)的HTTP訪問方式請求，并發(fā)送至客戶端。該面向運營商骨干網(wǎng)的HTTPS數(shù)據(jù)流審計系統(tǒng)，采用旁路分光的方式來獲取運營商骨干網(wǎng)中客戶端發(fā)送DNS請求，避免了向骨干網(wǎng)中插入審計設(shè)備的問題，能有效避免因?qū)徲嬓枨?，而降低骨干網(wǎng)傳輸速度的問題；而且，該系統(tǒng)在對客戶端發(fā)送的明文形式的訪問數(shù)據(jù)報文進行審計的同時，還會將目標(biāo)網(wǎng)站服務(wù)器反饋的HTTPS訪問方式請求修改為相應(yīng)的HTTP訪問方式請求，使得客戶端在后續(xù)訪問時，以SSLstrip審計服務(wù)器能夠進行審計的明文形式發(fā)送訪問數(shù)據(jù)報文，保障了審計工作的順利進行。此外，該系統(tǒng)針對無法審計的加密訪問數(shù)據(jù)，會引導(dǎo)回骨干網(wǎng)絡(luò)中，保障了用戶的正常加密訪問。

上述本發(fā)明實施例序號僅僅為了描述，不代表實施例的優(yōu)劣。

本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例的全部或部分步驟可以通過硬件來完成，也可以通過程序來指令相關(guān)的硬件完成，所述的程序可以存儲于一種計算機可讀存儲介質(zhì)中，上述提到的存儲介質(zhì)可以是只讀存儲器，磁盤或光盤等。

以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。