【技术实现步骤摘要】
TLS加密流量的应用识别方法、装置和应用识别设备
[0001]本申请涉及网络通信
,尤其涉及一种TLS加密流量的应用识别方法、装置和应用识别设备。
技术介绍
[0002]随着网络安全法的逐步完善、用户信息安全隐私保护的加强,越来越多的网站、应用开始使用TLS协议(Transport Layer Security,安全传输层协议)对传输的网络流量进行加密,以保证数据的安全传输,这给流量识别工作带量了严峻的挑战。目前,如行为管理、路由器、防火墙等网络产品或系统一般都采用DPI技术(Deep Packet Inspection,深度包检测技术)对应用的流量进行识别。然而,当网络应用的流量使用TLS加密后,可以提取的特征字段将大大减少,无法准确有效的识别流量所属的应用。
[0003]当前还有一种解决方案是通过在网关设备(行为管理、路由器、防火墙等)中添加TLS解密模块,通过TLS中间人的解密方法获取解密后的流量,从而实现流量所属应用的识别。但该方案需要对全部的流量进行TLS解密,对设备的CPU性能损耗严重。
[0004]综上所述,如何有效识别TLS协议下流量所属应用已成为当前网络管理面临的挑战。
技术实现思路
[0005]有鉴于此,本申请实施例提供了一种TLS加密流量的应用识别方法、装置和应用识别设备,可在对CPU性能损耗不高的情形下,准确有效识别TLS协议下流量所属的应用。
[0006]本申请实施例的第一方面提供了一种TLS加密流量的应用识别方法,所述应用识别方法包括:>[0007]跟踪客户端采用TLS协议与目标服务器建立连接,并监测通过所述连接产生的TLS加密流量;
[0008]对建立所述连接的报文进行解析;
[0009]若解析确定所述报文为第一目标报文,则与所述目标服务器建立通信,并根据通信信息识别所述TLS加密流量所属的应用。
[0010]在第一方面的一种可能的实现方式中,所述通信信息包括所述目标服务器对应的目标IP和目标端口,所述与所述目标服务器建立通信,并根据通信信息识别所述TLS加密流量所属的应用,包括:
[0011]根据所述目标IP和所述目标端口,向所述目标服务器发起TCP连接请求,请求建立TCP连接;
[0012]基于所述TCP连接,发送TLS握手请求至所述目标服务器;
[0013]接收所述目标服务器基于所述TLS握手请求反馈的响应信息;
[0014]根据所述响应信息,确定所述TLS加密流量所属的应用。
[0015]在第一方面的一种可能的实现方式中,所述根据所述响应信息,确定所述TLS加密
流量所属的应用,包括:
[0016]从所述响应信息中提取TLS证书,并获取所述TLS证书中目标字段的信息;
[0017]将所述目标字段的信息与预设特征库中预存的字段信息进行匹配,根据匹配结果确定所述TLS加密流量所属的应用。
[0018]在第一方面的一种可能的实现方式中,所述TLS握手请求携带支持的TLS版本,所述从所述响应信息中提取TLS证书,包括:
[0019]若所述目标服务器协商的TLS版本为第一版本,则从所述响应信息中提取所述目标服务器以明文形式发送的TLS证书;
[0020]若所述目标服务器协商的TLS版本为第二版本,则从所述响应信息中获取所述目标服务器加密发送的TLS证书;
[0021]根据所述响应信息中所述目标服务器选择的加密算法及其对应密钥,解密所述TLS证书。
[0022]在第一方面的一种可能的实现方式中,所述应用识别方法还包括:
[0023]若解析确定所述报文为第二目标报文,则提取所述第二目标报文中指定字段的信息;
[0024]将所述指定字段的信息与预设特征库中预存的字段信息进行匹配,根据匹配结果确定所述TLS加密流量所属的应用。
[0025]在第一方面的一种可能的实现方式中,所述报文包括请求报文,所述对建立所述连接的报文进行解析,包括:
[0026]获取所述客户端发送至所述目标服务器的请求报文,所述请求报文用于所述客户端与所述目标服务器建立连接;
[0027]若所述请求报文中不包含SNI字段,则确定所述请求报文为第一目标报文;
[0028]若所述请求报文中包含SNI字段,则确定所述请求报文为第二目标报文。
[0029]在第一方面的一种可能的实现方式中,所述应用识别方法还包括:
[0030]缓存所述TLS加密流量所属应用的识别结果,以及所述目标服务器对应的目标IP和目标端口;
[0031]在预设时长内,若检测到第一目标报文,则根据缓存的内容,对跟踪的客户端的TLS加密流量所属的应用进行识别。
[0032]在第一方面的一种可能的实现方式中,所述应用识别方法还包括:
[0033]在预设名单中查找所述TLS加密流量所属的应用,所述预设名单包括黑名单和白名单;
[0034]若所述应用在所述黑名单中,限制所述客户端访问所述应用;
[0035]若所述应用在所述白名单中,允许所述客户端访问所述应用;
[0036]或者,统计预设时间段内所述客户端对应的TLS加密流量,获得所述客户端在所述预设时间段内使用所述TLS加密流量所属应用的已耗费流量;
[0037]根据所述已耗费流量,对所述客户端访问所述应用进行限制。
[0038]本申请实施例的第二方面提供了一种TLS加密流量的应用识别装置,所述应用识别装置包括:
[0039]识别监测单元,用于跟踪客户端采用TLS协议与目标服务器建立连接,并监测通过
所述连接产生的TLS加密流量;
[0040]报文解析单元,用于对建立所述连接的报文进行解析;
[0041]应用识别单元,用于若解析确定所述报文为第一目标报文,则与所述目标服务器建立通信,并根据通信信息识别所述TLS加密流量所属的应用。
[0042]本申请实施例的第三方面提供了一种应用识别设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如本申请实施例的第一方面提供的TLS加密流量的应用识别方法的步骤。
[0043]本申请实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如本申请实施例的第一方面提供的TLS加密流量的应用识别方法的步骤。
[0044]本申请实施例的第五方面提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行本申请实施例的第一方面所述的TLS加密流量的应用识别方法的步骤。
[0045]本申请实施例中,通过跟踪客户端采用TLS协议与目标服务器建立连接,并监测通过所述连接产生的TLS加密流量,对建立所述连接的报文进行解析,若解析确定所述报文为第一目标报文,则与所述目标服务器建立通信,并根据通信信息识别所述TLS加密流量所属的应用本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种TLS加密流量的应用识别方法,其特征在于,所述应用识别方法包括:跟踪客户端采用TLS协议与目标服务器建立连接,并监测通过所述连接产生的TLS加密流量;对建立所述连接的报文进行解析;若解析确定所述报文为第一目标报文,则与所述目标服务器建立通信,并根据通信信息识别所述TLS加密流量所属的应用。2.如权利要求1所述的应用识别方法,其特征在于,所述通信信息包括所述目标服务器对应的目标IP和目标端口,所述与所述目标服务器建立通信,并根据通信信息识别所述TLS加密流量所属的应用,包括:根据所述目标IP和所述目标端口,向所述目标服务器发起TCP连接请求,请求建立TCP连接;基于所述TCP连接,发送TLS握手请求至所述目标服务器;接收所述目标服务器基于所述TLS握手请求反馈的响应信息;根据所述响应信息,确定所述TLS加密流量所属的应用。3.如权利要求2所述的应用识别方法,其特征在于,所述根据所述响应信息,确定所述TLS加密流量所属的应用,包括:从所述响应信息中提取TLS证书,并获取所述TLS证书中目标字段的信息;将所述目标字段的信息与预设特征库中预存的字段信息进行匹配,根据匹配结果确定所述TLS加密流量所属的应用。4.如权利要求3所述的应用识别方法,其特征在于,所述TLS握手请求携带支持的TLS版本,所述从所述响应信息中提取TLS证书,包括:若所述目标服务器协商的TLS版本为第一版本,则从所述响应信息中提取所述目标服务器以明文形式发送的TLS证书;若所述目标服务器协商的TLS版本为第二版本,则从所述响应信息中获取所述目标服务器加密发送的TLS证书;根据所述响应信息中所述目标服务器选择的加密算法及其对应密钥,解密所述TLS证书。5.如权利要求1所述的应用识别方法,其特征在于,所述应用识别方法还包括:若解析确定所述报文为第二目标报文,则提取所述第二目标报文中指定字段的信息;将所述指定字段的信息与预设特征库中预存的字段信息进行匹配,根据匹配结果确定所述TLS加密流量所属的应用。6.如权利要求1所述的应用识别方法,其特征在于,所述报文包括请求报文,所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。