1、?一種基于流的IPSec?VPN協議深度檢測方法，其特征在于，包括如下步驟：

步驟一：在智能代理或者探針設備上把網卡設為混雜模式，并通過調用libpcap網絡抓包庫函數進行循環監聽，設置BPF抓包過濾器來抓取所有UDP?500端口和4500端口的報文，也即IPSec?VPN報文，設置回調函數callback為基于流的深度檢測函數，每次抓到報文就會自動調用基于流的深度檢測函數進行處理；

所述回調函數callback是由系統接收到消息自動調用的函數，將基于流的深度檢測的函數地址作為參數設置為回調函數，當Libpcap抓到符合過濾規則UDP?500和UDP?4500的報文，就會自動去調用基于流的深度檢測函數；

步驟二：在回調函數也就是基于流的深度檢測函數中把抓取到的IPSec?VPN報文序列都保持在數據結構中，對IPSec?VPN報文序列的上下文進行分析和檢測，首先按照標準的IPSec?VPN報文序列格式去解析，定位SA協商請求報文和協商響應報文，并提取VPN關鍵信息；

如果能正確解析，那么該IPSec?VPN報文序列是標準的，如果不能解析，那么說明IPSec?VPN報文序列是非標準的或者是偽造的，此時各個字段內容都被打亂，按標準協議格式無法得知哪些是SA協商請求分組，哪些是協商響應分組，這時根據上下文信息特征分析檢測出哪個報文是協商響應報文，再對這些非標準的報文進行關鍵字段的提取，如果根據上下文特征還檢測不出來，則認為是偽造的IPSec?VPN報文，這時觸發相關安全事件進行處理；

步驟三：根據上個步驟上下文信息也即基于流的深度檢測方法檢測出來的協商響應報文，尋找協商響應報文中的NextPayLoadType，解析出標準或非標準的IPSec?VPN報文中所采用算法，從而檢測出其中不符合中國密碼管理委員會政策規定的算法，或者是VPN生產廠家不按標準協議格式設計的非標準的IPSec?VPN協議，或者是偽造的IPSec?VPN報文，并按照設置安全規則進行報警、或者記錄日志處理。

2、?根據權利要求1所述的基于流的IPSec?VPN協議深度檢測方法，其特征是，所述的進行循環監聽，并抓取IPSec?VPN報文，具體為以下幾個步驟：

1)指定網卡或查找網卡

通過調用libpcap網絡抓包庫函數pcap_lookupdev選擇監聽的網卡設備，libpcap是一個與實現無關的訪問操作系統所提供的分組捕獲機制的分組捕獲函數庫，用于訪問數據鏈路層；

2)打開設備監聽

調用libpcap庫函數pcap_open_live，把網卡設置使用混雜模式；

3)設定監聽規則

通過設置libpcap網絡抓包庫提供的抓包過濾器BPF來設置抓包條件，具體為UDP報文，端口500和4500；調用pcap_compile對抓包過濾條件進行編譯，變成匯編代碼，然后調用pcap_setfilter實施該規則；

4)處理特定分組

調用libpcap庫函數pcap_loop，將接收分組數設為-1，表示無限循環；

5)設定回調函數callback

設定基于流的IPSec?VPN深度檢測的方法為回調函數，指定了回調函數之后，當網卡上出現了符合過濾條件的報文，就會自動觸發中斷，由回調函數對這個中斷進行響應，每次抓到一個符合過濾條件的數據包就循環調用回調函數這里也既基于流的IPSec?VPN深度檢測方法進行分析和提取；

6)關閉監聽

調用libpcap庫函數pcap_close，結束監聽。

3、?根據權利要求1所述的基于流的IPSec?VPN協議深度檢測方法，其特征是，所述的對IPSec?VPN報文序列的上下文進行分析和檢測，具體為：利用SA協商請求在前，協商響應分組在后的上下文特征，在因為非標準格式從而序列中所有報文都無法解析的情況下，結合協商請求報文和協商響應分組自身的報文特征來分析和檢測，找到哪個是協商響應分組，并在協商響應分組中的SA?payload字段中提取其中關鍵VPN信息；如果要檢測IPSec?VPN所使用的加密算法、哈希算法、認證算法、組描述算法，在報文都是標準的情況下，只需要抓取協商響應分組，不需要利用上下文信息。