【技术实现步骤摘要】
加密TCP流量采集方法与装置
本专利技术涉及通信
,具体涉及一种加密TCP流量采集方法与装置。
技术介绍
传输控制协议(TransmissionControlProtocol,TCP)是一种面向连接的、可靠的、基于字节流的传输层通信协议,是互联网中最基础的通信协议之一,日常网络应用如微信、QQ、浏览网页、收发电子邮件等都离不开它,通过采集TCP流量可以进行网络监控和威胁识别。在网络安全和隐私保护需求的驱动下,网络通信加密化已经成为趋势,目前网络数据流量中的大部分都是加密的了。加密流量的增长无疑提升了网络的安全性,但同时也对网络流量采集和分析提出了严峻挑战。传统基于应用层协议的内容字段进行全流量抓取和解析,如对基于超文本传输协议(HyperTextTransferProtocol,HTTP)的网页内容进行采集和分析,但该方法只能针对未加密的网络流量,不适用于加密流量,因为流量加密后的应用层协议内容无法解密,对加密流量进行全流量采集意义不大。Netflow技术可以记录传输控制协议/网际协议(Transmission...
【技术保护点】
1.一种加密TCP流量采集方法,其特征在于,包括:/n根据TCP的三次握手过程从获取到的加密TCP流量中识别用于建立一次TCP会话的TCP会话建立数据包;/n将所述TCP会话建立数据包之后属于所述TCP会话的TCP数据包加入所述TCP会话的数据包集合,直至根据TCP的四次挥手过程从所述获取到的加密TCP流量中识别出用于结束所述TCP会话的TCP会话结束数据包,或者,所述数据包集合中数据包的个数达到预设数量,以得到所述TCP会话的数据包集合;/n对所述TCP会话的数据包集合进行统计分析,获取所述TCP会话的特征信息。/n
【技术特征摘要】
1.一种加密TCP流量采集方法,其特征在于,包括:
根据TCP的三次握手过程从获取到的加密TCP流量中识别用于建立一次TCP会话的TCP会话建立数据包;
将所述TCP会话建立数据包之后属于所述TCP会话的TCP数据包加入所述TCP会话的数据包集合,直至根据TCP的四次挥手过程从所述获取到的加密TCP流量中识别出用于结束所述TCP会话的TCP会话结束数据包,或者,所述数据包集合中数据包的个数达到预设数量,以得到所述TCP会话的数据包集合;
对所述TCP会话的数据包集合进行统计分析,获取所述TCP会话的特征信息。
2.如权利要求1所述的方法,其特征在于,所述特征信息包括:
源IP地址、源TCP端口、目的IP地址、目的TCP端口、会话数据包总数、源数据包总数、源数据包总大小、目的数据包总数、目的数据包总大小、TCPFlag七元数组、会话开始时间和会话结束时间。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
从所述TCP会话的数据包集合中获取TCP会话建立之后,由源发出的第一个TCP数据包;
根据所述第一个TCP数据包确定所述TCP会话的加密协议;
根据所述TCP会话的加密协议和握手数据包确定所述TCP会话的指纹库。
4.如权利要求3所述的方法,其特征在于,若所述TCP会话的加密协议为TLS协议,则所述根据所述TCP会话的加密协议和握手数据包确定所述TCP会话的指纹库,包括:
从所述握手数据包中获取ClientHello消息、ServerHello消息和Certificate消息;
采用第一指纹提取算法对所述ClientHello消息进行指纹提取,得到所述ClientHello消息的指纹;
采用第二指纹提取算法对所述ServerHello消息进行指纹提取,得到所述ServerHello消息的指纹;
根据X.509证书格式对所述Certificate消息进行解析并计算所述Certificate消息的SHA-1指纹;
将所述所述ClientHello消息及其对应的指纹、所述ServerHello消息及其对应的指纹和所述Certificate消息及其对应的指纹加入所述TCP会话的指纹库。
5.如权利要求3所述的方法,其特征在于,若所述TCP会话的加密协议为SSH协议,则所述根据所述TCP会话的加密协议和握手数据包确定所述TCP会话的指纹库,包括:
从所述握手数据包中获取SSH客户端密钥交换消息和S...
【专利技术属性】
技术研发人员:陈平,谢东峰,樊俊锋,李志奇,
申请(专利权)人:深圳市纽创信安科技开发有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。