本發(fā)明公開(kāi)了一種基于SSL、TLS協(xié)議的用戶代理標(biāo)識(shí)及數(shù)量檢測(cè)方法，包括SSL/TLS流量獲取模塊、用戶代理標(biāo)識(shí)模塊和用戶代理數(shù)量檢測(cè)模塊，包括以下步驟：S1 SSL/TLS流量獲取：通過(guò)SSL/TLS流量獲取模塊獲取被監(jiān)測(cè)流量，識(shí)別SSL/TLS流量；S2用戶代理標(biāo)識(shí)：輸入為被動(dòng)流量，涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域。該基于SSL、TLS協(xié)議的用戶代理標(biāo)識(shí)及數(shù)量檢測(cè)方法通過(guò)從SSL/TLS流量中構(gòu)建用戶代理標(biāo)識(shí)的方法，相比從明文網(wǎng)絡(luò)流量中通過(guò)深度包檢測(cè)技術(shù)提取用戶代理標(biāo)識(shí)的方法，可以適用范圍更廣的用戶代理，所有采用SSL/TLS加密流量的用戶代理，且能處理SSL/TLS加密流量，通過(guò)同一個(gè)用戶代理標(biāo)識(shí)對(duì)應(yīng)的Session Ticket序列中同時(shí)生存的Session Ticket的數(shù)量來(lái)判斷存在的用戶代理數(shù)量。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，具體為一種基于SSL、TLS協(xié)議的用戶代理標(biāo)識(shí)及數(shù)量檢測(cè)方法。

背景技術(shù)

用戶代理：

用戶代理指的是代表用戶行為的程序，軟件代理程序。例如，網(wǎng)頁(yè)瀏覽器就是一個(gè)“幫助用戶獲取、渲染網(wǎng)頁(yè)內(nèi)容并與之交互”的用戶代理；電子郵件客戶端就是一個(gè)“幫助用戶編輯、收發(fā)郵件”的用戶代理，類似的，對(duì)于常用IM工具如微信來(lái)說(shuō)，它的Windows客戶端、Android客戶端、iOS客戶端、Web客戶端都可以視為用戶使用微信服務(wù)的用戶代理。

在HTTP、SIP以及SMTP/NNTP等應(yīng)用層協(xié)議中，用戶代理在向服務(wù)端發(fā)生請(qǐng)求時(shí)，都會(huì)附帶上名為“User Agent”的信息，用來(lái)標(biāo)識(shí)用戶代理的型號(hào)、版本等信息，也就是用戶代理標(biāo)識(shí)，但是對(duì)于大多數(shù)服務(wù)，比如FTP、Telnet、NFS，這些協(xié)議的用戶代理并不會(huì)附帶關(guān)于用戶代理的型號(hào)版本等信息，此外，出于網(wǎng)絡(luò)安全的考慮越來(lái)越多的用戶代理選擇使用SSL/TLS協(xié)議加密數(shù)據(jù)，因此，很多情況下，無(wú)法從明文網(wǎng)絡(luò)流量中通過(guò)深度包檢測(cè)技術(shù)獲得用戶代理的用戶代理標(biāo)識(shí)。

JA3指紋：

JA3指紋是Client Hello報(bào)文中加密套件、擴(kuò)展等字段的MD5 HASH值，不同的用戶代理使用SSL/TLS協(xié)議的方式是不同的，因?yàn)槌绦騿T可以根據(jù)OpenSSL等開(kāi)源庫(kù)自由地選擇使用何種加密套件、啟用那些擴(kuò)展，只要符合SSL/TLS協(xié)議的標(biāo)準(zhǔn)即可。

JA3指紋涉及的加密套件、擴(kuò)展字段等信息會(huì)包含在用戶代理發(fā)出來(lái)的ClientHello報(bào)文中，能構(gòu)成區(qū)分不同用戶代理的基礎(chǔ)，基于此，本發(fā)明提出了一種基于SSL/TLS被動(dòng)流量標(biāo)識(shí)用戶代理的方法，可以應(yīng)對(duì)網(wǎng)絡(luò)加密流量的場(chǎng)景。

SSL/TLS Session Ticket：

SSL/TLS Session Ticket是一種SSL/TLS會(huì)話復(fù)用機(jī)制，在SSL/TLS的握手階段，用戶代理可以在Client Hello報(bào)文中附帶Session Ticket,Session Ticket包含上一次SSL/TLS連接的會(huì)話密鑰等信息，被服務(wù)端的專用密鑰STEK加密過(guò)，由此嘗試恢復(fù)上一次的TLS連接，減少TLS連接需要的時(shí)間。

因?yàn)镾SL/TLS Session Ticket含有隨機(jī)數(shù)的成分，因此只要在SSL/TLS流量中出現(xiàn)了相同的Session Ticket值，就是發(fā)生了SSL/TLS的會(huì)話復(fù)用，根據(jù)相同Session Ticket在SSL/TLS流量中第一次出現(xiàn)和最后一次出現(xiàn)的時(shí)間差，可以推斷出一個(gè)SSL/TLS會(huì)話的生存期，基于SSL/TLS會(huì)話的生存期，本發(fā)明提出了一種檢測(cè)同種用戶代理存在的數(shù)量的方法。

發(fā)明內(nèi)容

(一)解決的技術(shù)問(wèn)題

針對(duì)現(xiàn)有技術(shù)的不足，本發(fā)明提供了一種基于SSL、TLS協(xié)議的用戶代理標(biāo)識(shí)及數(shù)量檢測(cè)方法，解決了難以為使用SSL/TLS協(xié)議加密流量的用戶代理生成合適的標(biāo)識(shí)的問(wèn)題。

(二)技術(shù)方案