[發明專利]加密TCP流量采集方法與裝置在審
| 申請號: | 202110577572.6 | 申請日: | 2021-05-26 |
| 公開(公告)號: | CN113315678A | 公開(公告)日: | 2021-08-27 |
| 發明(設計)人: | 陳平;謝東峰;樊俊鋒;李志奇 | 申請(專利權)人: | 深圳市紐創信安科技開發有限公司 |
| 主分類號: | H04L12/26 | 分類號: | H04L12/26;H04L29/06 |
| 代理公司: | 深圳鼎合誠知識產權代理有限公司 44281 | 代理人: | 郭燕;彭家恩 |
| 地址: | 518057 廣東省深圳市南山區粵海街道高新區社*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 加密 tcp 流量 采集 方法 裝置 | ||
1.一種加密TCP流量采集方法,其特征在于,包括:
根據TCP的三次握手過程從獲取到的加密TCP流量中識別用于建立一次TCP會話的TCP會話建立數據包;
將所述TCP會話建立數據包之后屬于所述TCP會話的TCP數據包加入所述TCP會話的數據包集合,直至根據TCP的四次揮手過程從所述獲取到的加密TCP流量中識別出用于結束所述TCP會話的TCP會話結束數據包,或者,所述數據包集合中數據包的個數達到預設數量,以得到所述TCP會話的數據包集合;
對所述TCP會話的數據包集合進行統計分析,獲取所述TCP會話的特征信息。
2.如權利要求1所述的方法,其特征在于,所述特征信息包括:
源IP地址、源TCP端口、目的IP地址、目的TCP端口、會話數據包總數、源數據包總數、源數據包總大小、目的數據包總數、目的數據包總大小、TCP Flag七元數組、會話開始時間和會話結束時間。
3.如權利要求1所述的方法,其特征在于,所述方法還包括:
從所述TCP會話的數據包集合中獲取TCP會話建立之后,由源發出的第一個TCP數據包;
根據所述第一個TCP數據包確定所述TCP會話的加密協議;
根據所述TCP會話的加密協議和握手數據包確定所述TCP會話的指紋庫。
4.如權利要求3所述的方法,其特征在于,若所述TCP會話的加密協議為TLS協議,則所述根據所述TCP會話的加密協議和握手數據包確定所述TCP會話的指紋庫,包括:
從所述握手數據包中獲取ClientHello消息、ServerHello消息和Certificate消息;
采用第一指紋提取算法對所述ClientHello消息進行指紋提取,得到所述ClientHello消息的指紋;
采用第二指紋提取算法對所述ServerHello消息進行指紋提取,得到所述ServerHello消息的指紋;
根據X.509證書格式對所述Certificate消息進行解析并計算所述Certificate消息的SHA-1指紋;
將所述所述ClientHello消息及其對應的指紋、所述ServerHello消息及其對應的指紋和所述Certificate消息及其對應的指紋加入所述TCP會話的指紋庫。
5.如權利要求3所述的方法,其特征在于,若所述TCP會話的加密協議為SSH協議,則所述根據所述TCP會話的加密協議和握手數據包確定所述TCP會話的指紋庫,包括:
從所述握手數據包中獲取SSH客戶端密鑰交換消息和SSH服務器密鑰交換消息;
采用第三指紋提取算法對所述SSH客戶端密鑰交換消息進行指紋提取,得到所述SSH客戶端密鑰交換消息的指紋;
采用第四指紋提取算法對所述SSH服務器密鑰交換消息進行指紋提取,得到所述SSH服務器密鑰交換消息的指紋;
將所述SSH客戶端密鑰交換消息及其對應的指紋和所述SSH服務器密鑰交換消息及其對應的指紋加入所述TCP會話的指紋庫。
6.如權利要求3所述的方法,其特征在于,若所述TCP會話的加密協議為私有加密協議,則所述根據所述TCP會話的加密協議和握手數據包確定所述TCP會話的指紋庫,包括:
將所述TCP會話的源首次載荷和目的首次載荷加入所述TCP會話的指紋庫,所述源首次載荷為源發出的第一個TCP數據包載荷中預設位置處預設數量的字節,所述目的首次載荷為目的地發出的第一個TCP數據包載荷中預設位置處預設數量的字節。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深圳市紐創信安科技開發有限公司,未經深圳市紐創信安科技開發有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110577572.6/1.html,轉載請聲明來源鉆瓜專利網。
