基于报文偏移量匹配的ＩＰＳｅｃ　ＶＰＮ协议深度检测方法技术

一种基于报文偏移量匹配的ＩＰＳｅｃ　　ＶＰＮ协议深度检测方法，用于网络安全领域。本发明专利技术首先在智能代理或探针机器上打开网卡的混杂模式进行循环监听，并且设置ＢＰＦ过滤器抓取ＩＰＳｅｃ　　ＶＰＮ报文。对ＩＰＳｅｃ　　ＶＰＮ报文进行深度检测。该算法能够识别和分析ＩＰＳｅｃ　　ＶＰＮ报文是否为伪造，是否是非标准格式报文，本方法既能检测标准的ＩＳＡＫＭＰ数据包，对于添加了未知长度填充数据的非标准ＩＰＳｅｃ的ＩＳＡＫＭＰ数据包也能正确解析，实现了一种通用的ＩＰＳｅｃ信息的检测方法。相同的思想可以推广到其他的协议检测上。

【技术实现步骤摘要】

【技术保护点】
一种基于报文偏移量匹配的ＩＰＳｅｃＶＰＮ协议深度检测方法，其特征在于，包括如下步骤：步骤一：在智能代理或者探针设备上把网卡设为混杂模式，并通过调用ｌｉｂｐｃａｐ网络抓包库函数进行循环监听，设置ＢＰＦ抓包过滤器来抓取所有ＵＤＰ５００端口和４５００端口的报文，也即ＩＰＳｅｃＶＰＮ报文，通过设置回调函数ｃａｌｌｂａｃｋ为基于报文偏移量匹配的深度检测函数，每次抓到报文就会自动调用基于报文偏移量匹配的深度检测函数进行处理；回调函数ｃａｌｌｂａｃｋ是由系统接收到消息自动调用的函数，把基于报文偏移量匹配的深度检测的函数地址作为参数设置为回调函数，因此，当Ｌｉｂｐｃａｐ抓到符合过滤规则的报文，就会自动去调用基于报文偏移量匹配的深度检测函数；所述的基于报文偏移量模式匹配深度检测，具体为：利用报文自身的偏移量模式特征，不依赖于上下文信息，在因为报文格式非标准从而序列中所有报文都无法解析的情况下，根据协商响应分组和协商请求分组的偏移量特征，找到哪个是非标准的协商响应分组，并在非标准的协商响应分组中的ＳＡｐａｙｌｏａｄ字段中提取其中算法信息，如果要检测ＩＰＳｅｃＶＰＮ所使用的算法参数，在报文都是标准的情况下，只需要抓取协商响应分组；步骤二：在基于报文偏移量匹配的深度检测函数中，首先按照标准的ＩＰＳｅｃＶＰＮ报文格式去解析，定位ＳＡ协商响应报文，并在该报文中提取ＶＰＮ关键信息，如果能正确解析，那么该ＩＰＳｅｃＶＰＮ报文格式是标准的，如果不能解析，那么说明ＩＰＳｅｃＶＰＮ报文是非标准的或者是伪造的，此时各个字段内容都被打乱，按标准协议格式无法得知确切的报文类型，这时根据报文内部的结构特征去变换和匹配检测出ＩＰＳｅｃＶＰＮ非标准报文和标准报文之间的区别，然后找出协商响应报文，再对非标准的报文进行关键字段的提取，如果根据报文偏移量特征匹配的方式还检测不出来，认为是伪造的ＩＰＳｅｃＶＰＮ报文，这时触发相关安全事件进行处理；步骤三：根据上个步骤根据上下文信息也即基于报文偏移量匹配的深度检测方法检测出来的协商响应报文，寻找协商响应报文中的ＮｅｘｔＰａｙＬｏａｄＴｙｐｅ，解析出标准或非标准的ＩＰＳｅｃＶＰＮ报文中所采用算法，检测其中是否有不符合中国密码管理委员会政策规定的算法，或者是ＶＰＮ生产厂家不按标准协议格式设计的非标准的ＩＰＳｅｃＶＰＮ协议，或者是伪造的ＩＰＳｅｃＶＰＮ报文，并按照设置安全规则进行报警或记录日志的处理。...

【技术特征摘要】

【专利技术属性】
技术研发人员：蒋兴浩，周志洪，张月国，蔡伟，黄鹏，
申请(专利权)人：上海交通大学，
类型：发明
国别省市：31[中国|上海]