一种基于流量分析的HTTPS协议分析方法技术

本发明专利技术公开了一种基于流量分析的HTTPS协议分析方法。为了克服现有技术设置代理服务器对HTTPS流量进行解密，不适用于镜像流量分析领域的问题；本发明专利技术包括以下步骤：S1：配置系统关键资源，从镜像端口采集流量，将采集到的流量分发到流量过滤线程；S2：对流量包依次进行底层协议解析、HTTPS过滤及解密获得明文信息，将明文信息发往协议解析线程；S3：对会话流进行汇聚，按照应用层协议进行解析，将解析结果发往导出线程；S4：读取流量解析结果，按照特定格式进行打包，发往数据库。采集旁路镜像流量，在不影响现有网络拓扑的情况下，实现对HTTPS协议的分析。根据配置信息，过滤目标HTTPS流量，进行精准解密操作，大大提高解析效率。大大提高解析效率。大大提高解析效率。

【技术实现步骤摘要】
一种基于流量分析的HTTPS协议分析方法


[0001]本专利技术涉及流量分析领域，尤其涉及一种基于流量分析的HTTPS协议分析方法。

技术介绍

[0002]HTTPS(全称：Hyper Text Transfer Protocol over Secure Socket Layer)是以安全为目标的HTTP(全称：Hyper Text Transfer Protocol)通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTP协议在TCP(全称：Transmission Control Protocol)传输层之上，而HTTPS在TCP传输层与HTTP应用层之间增加一层加密/身份验证层SSL(Secure Socket Layer，安全套接层)/TLS(全称：Transport Layer Security，安全传输层协议)。简单来说，HTTPS = SSL/TLS + HTTP。
[0003]目前，HTTPS在传输数据之前需要客户端和服务器之间进行一次握手，以确立双方加密传输数据的密钥(数字证书)，在握手过程中，客户端发送一个连接请求给服务器，服务器将自己的证书，以及同证书相关的信息发送给客户端，客户端检查服务器发送的证书是否为受信赖的CA(Certificate Authority，证书颁发机构)颁发的，若是，就继续执行握手过程；若否，则发出警告消息确认是否继续访问；客户端随机产生一个用于进行数据加密传输的“对称密钥”(采用对称加密的方式进行加密)，然后用服务器的公钥对其进行加密后发送给服务器，服务器使用自身的私钥解密后获得“对称密钥”。至此，客户端和服务器双方都获得“对称密钥”。客户端和服务器在握手之后进行数据的加密传输，客户端和服务器利用对称密钥对相互之间传输的加密数据进行解密，解密后获得相应的数据包。
[0004]随着各大企业、机构对数据安全的重视，HTTPS的应用越来越普及，已经在web通讯市场上占有一席之地。因此有必要对HTTPS协议进行分析，将其纳入数据安全监控范围内。但是，HTTPS在为数据通信带来安全的同时，也为网络流量的分析增加了难度。目前，在旁路镜像流量分析领域，并没有行之有效的解决方案。
[0005]现有方法是通过设置代理服务器，对HTTPS流量进行解密，进一步地，对HTTPS流量进行监管，例如，在中国专利文献上公开的“基于HTTPS协议密文数据管控方法、系统、代理服务器及存储介质”，公告号CN110768940B，为实现对HTTPS协议密文数据的管控，在内网客户端和目标网站所属真实服务器间架设HTTPS代理服务器，由HTTPS代理服务器对HTTPS协议密文进行审计和管控；“对HTTPS内容进行审计的方法及代理服务器”，公开号CN111147465A，也是通过设置代理服务器来获取HTTPS明文信息，从而实现对敏感信息的监管。
[0006]在实际使用中，由于旁路监控模式具有部署灵活方便，且不会影响现有网络的优点，网络监控主要采用旁路监控模式。而现有方法无法在旁路镜像流量分析领域进行应用。
[0007]对于目前的ssldump解密HTTPS报文，侧重点解析SSL/TLS协议获取对称密钥，将http应用层数据解密为明文，然后剔除TLS，重新封装包，将TCP端口号、Mac地址等字段都写成固定值，不利于后面会话流的重聚。ssldump三方库的使用方式是：以命令行形式运行，可配置参数监听pcap文件，或指定网卡、指定端口的流量。无法直接应用到旁路镜像流量分析
领域中。

技术实现思路

[0008]本专利技术主要解决现有技术设置代理服务器对HTTPS流量进行解密，不适用于镜像流量分析领域的问题；提供一种基于流量分析的HTTPS协议分析方法，对镜像流量中的HTTPS协议进行分析。
[0009]本专利技术的上述技术问题主要是通过下述技术方案得以解决的：一种基于流量分析的HTTPS协议分析方法，包括以下步骤：S1：配置系统关键资源，从镜像端口采集流量，将采集到的流量分发到流量过滤线程；S2：对流量包依次进行底层协议解析、HTTPS过滤及解密获得明文信息，将明文信息发往协议解析线程；S3：对会话流进行汇聚，按照应用层协议进行解析，将解析结果发往导出线程；S4：读取流量解析结果，按照特定格式进行打包，发往数据库。
[0010]本方案采集旁路镜像流量，在不影响现有网络拓扑的情况下，实现对HTTPS协议的分析。根据配置信息，过滤目标HTTPS流量，进行精准解密操作，大大提高解析效率。将监控范围内的HTTPS服务器信息全部配置到系统中，实现对HTTP/HTTPS的全流量分析。
[0011]作为优选，所述的系统关键资源包括HTTPS服务器的IP地址、端口和私钥信息。
[0012]作为优选，所述的步骤S2包括以下过程：S201：当读取到流量包后，按照数据链路层、网络层、传输层的层级进行底层协议解析，获取MAC地址、IP地址、协议类型和端口信息；S202：根据底层协议解析到的信息与HTTPS服务器的配置信息匹配，若匹配成功，则判断为HTTPS流量，进入步骤S203；若匹配失败，则判断为HTTP流量，直接发往协议解析线程处理；S203：利用私钥信息进行HTTPS解密获得明文流量；S204：将明文流量发往协议解析线程处理。
[0013]根据配置信息，过滤目标HTTPS流量，进行精准解密操作，大大提高解析效率。为提高系统的运行效率，将HTTPS的解密操作单独放到另一线程中处理，避免由于解密耗时带来系统的阻塞。
[0014]作为优选，导入ssldump开源模块进行SSL/TLS协议的解析。对源码进行修改，使之能够处理实时传入的流量包。通过ssldump工具和服务器私钥解密HTTPS流量。
[0015]作为优选，根据SSL/TLS协议特点，利用对应的私钥信息，获取对称密钥，从而对传输数据进行解密，获得明文流量。根据HTTPS的加密原理，利用服务器私钥信息，解密对称密钥。进一步地，对传输数据进行解密，获得明文流量。
[0016]作为优选，步骤S1中，配置多组HTTPS服务器的关键资源信息。如此，能够解析与多个服务器交互的HTTPS消息。
[0017]作为优选，利用流量包的五元组信息进行会话流的汇聚；五元组信息包括源IP地址、目的IP地址、协议类型、源端口和目的端口。多线程处理时，可按照流量的五元组哈希值进行分流处理，将具有相同五元组的流量包汇聚到下一个处理流程的相同线程中，利于会
话流的重组。
[0018]本专利技术的有益效果是：1. 采集旁路镜像流量，在不影响现有网络拓扑的情况下，实现对HTTPS协议的分析。
[0019]2.根据配置信息，过滤目标HTTPS流量，进行精准解密操作，大大提高解析效率。
[0020]3. 将监控范围内的HTTPS服务器信息全部配置到系统中，实现对HTTP/HTTPS的全流量分析。
附图说明
[0021]图1是本专利技术的协议分析方法的数据流转过程示意图。...

【技术保护点】

【技术特征摘要】
1.一种基于流量分析的HTTPS协议分析方法，其特征在于，包括以下步骤：S1：配置系统关键资源，从镜像端口采集流量，将采集到的流量分发到流量过滤线程；S2：对流量包依次进行底层协议解析、HTTPS过滤及解密获得明文信息，将明文信息发往协议解析线程；S3：对会话流进行汇聚，按照应用层协议进行解析，将解析结果发往导出线程；S4：读取流量解析结果，按照特定格式进行打包，发往数据库。2.根据权利要求1所述的一种基于流量分析的HTTPS协议分析方法，其特征在于，所述的系统关键资源包括HTTPS服务器的IP地址、端口和私钥信息。3.根据权利要求1或2所述的一种基于流量分析的HTTPS协议分析方法，其特征在于，所述的步骤S2包括以下过程：S201：当读取到流量包后，按照数据链路层、网络层、传输层的层级进行底层协议解析，获取MAC地址、IP地址、协议类型和端口信息；S202：根据底层协议解析到的信息与HTTPS服务器的配置信息匹配，若匹配成功，则判...

【专利技术属性】
技术研发人员：董平，王思，黎彬，彭畅，黄莹，董恩泽，巩勋，李德智，
申请(专利权)人：华信咨询设计研究院有限公司，
类型：发明
国别省市：