技術領域

本發明涉及一種網絡安全領域的協議檢測方法，具體是一種基于流量分析的SSL?VPN協議檢測方法。

背景技術

安全套接層協議(SSL)，用以保障在Internet上數據傳輸之安全，利用數據加密技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。SSL協議位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。

HTTPS安全超文本傳輸協議，是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS協議使用443端口，而不是象HTTP那樣使用端口80來和TCP/IP進行通信。

SSL?VPN工作在傳輸層和應用層之間，使用了瀏覽器自帶的SSL協議，當集團的員工希望連接到總部網絡時，可以盡情使用手頭任何可接入Internet的設備。通過在瀏覽器中輸入總部SSL?VPN的網絡地址，ActiveX控件會自動被下載并安裝，利用管理員發布的帳號和密碼，員工就可以隨時接入到內網。

雖然SSL?VPN使用的也是SSL協議，但是使用SSL的并不都是SSL?VPN，比如說使用HTTPS登錄網絡郵箱如Hotmail、Gmail等。雖然也有一個安全的HTTP隧道，但是并不能滿足SSL?VPN的web服務以及端口和諸多應用的需要。

SSL?VPN避開了部署及管理必要客戶軟件的復雜性和人力需求，SSL在Web的易用性和安全性方面架起了一座橋梁：SSL?VPN簡單，容易配置，不需麻煩的安裝和配置客戶端軟件，而且兼容性很好。在目前的企業應用中已經超越了IPSecVPN的使用數量。

和IPSec?VPN不同的是，SSL?VPN不像IPSec?VPN一樣工作在網絡層，所以不會有接入地點的限制。同時，也不會收到NAT網絡地址轉換網關的影響，能夠真正做到端到端的安全。

由于SSL?VPN的迅猛發展，所帶來的安全隱患也日益增加，因為一般組織的防火墻對HTTPS和SSL?VPN所采用的TCP?443端口都采取放行的策略。對加密的內容，不會進行檢查。雖然SSL?VPN被攻擊后的后果沒有對IPSec?VPN嚴重。作為一個良好的安全管理人員，對SSL?VPN的管理和審查也應該非常小心。但是SSL?VPN和HTTPS都采用的是TCP?443端口的SSL協議報文，如何進行區分是一個難題。

經查新，國內外沒有這方面工作的報道，在目前的安全管理中，一般不區分SSL?VPN和HTTPS的流量，很大的原因是兩者使用了相同的協議，另外一個原因是管理還不夠細致。

發明內容

本發明針對現有技術的不足，提供一種基于流量分析的SSL?VPN協議檢測方法，使其利用SSL?VPN和HTTPS在流量特征上的不同，基于流量監控，提取SSLVPN的加密算法等信息，并且在有其它HTTPS報文混雜的情況下仍然適用。本發明使用HASH表來作為數據庫，具有查詢速度快、穩定的特點。

所述的SSL?VPN和HTTPS在流量特征上的不同，是指：SSL?VPN一般有一段比較長的持續時間，這段時間內會有大量相同IP并且有可能是相同會話ID的SSL數據包。相比之下HTTPS持續的時間一般比較短，通常只有一個短暫的認證過程。因此，本發明根據連接的持續時間這種流量特征，來在SSL報文流內檢測SSL?VPN連接的存在。

本發明是通過以下技術方案實現的，本發明包括如下步驟：

步驟一：在智能代理或者探針設備上把網卡設為混雜模式，并通過調用libpcap網絡抓包庫函數進行循環監聽，設置BPF抓包過濾器來抓取所有TCP?443端口的報文，也即SSL報文，通過設置回調函數callback為基于流量分析的SSLVPN檢測函數，每次抓到報文就會自動調用基于流量分析的SSL?VPN檢測函數進行處理；回調函數callback是由系統接收到消息自動調用的函數。

本發明把基于流量分析的SSL?VPN檢測方法的函數地址作為參數設置為回調函數。因此，當Libpcap抓到符合過濾規則(TCP?443端口)的報文，就會自動去調用基于流量分析的SSL?VPN檢測函數。

步驟二：在回調函數中也即基于流量分析的SSL?VPN的檢測方法函數中執行流量分析。該方法對于抓到的每個SSL報文，根據IP和會話ID去數據庫中查詢其歷史信息，從而判斷抓到的SSL數據包是否屬于SSL?VPN連接。也就是SSL?VPN的檢測。