本發(fā)明提供一種加密TCP流量采集方法與裝置。該方法包括：根據TCP的三次握手過程從獲取到的加密TCP流量中識別用于建立一次TCP會話的TCP會話建立數據包；將TCP會話建立數據包之后屬于TCP會話的TCP數據包加入TCP會話的數據包集合，直至根據TCP的四次揮手過程從獲取到的加密TCP流量中識別出用于結束TCP會話的TCP會話結束數據包，或者，數據包集合中數據包的個數達到預設數量，以得到TCP會話的數據包集合；對TCP會話的數據包集合進行統計分析，獲取TCP會話的特征信息。通過對TCP會話進行解析，采集雙向的TCP會話流量，豐富了加密TCP流量采集的內容字段，便于后續(xù)的流量監(jiān)控和分析。

技術領域

本發(fā)明涉及通信技術領域，具體涉及一種加密TCP流量采集方法與裝置。

背景技術

傳輸控制協議(Transmission Control Protocol，TCP)是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協議，是互聯網中最基礎的通信協議之一，日常網絡應用如微信、QQ、瀏覽網頁、收發(fā)電子郵件等都離不開它，通過采集TCP流量可以進行網絡監(jiān)控和威脅識別。在網絡安全和隱私保護需求的驅動下，網絡通信加密化已經成為趨勢，目前網絡數據流量中的大部分都是加密的了。加密流量的增長無疑提升了網絡的安全性，但同時也對網絡流量采集和分析提出了嚴峻挑戰(zhàn)。

傳統基于應用層協議的內容字段進行全流量抓取和解析，如對基于超文本傳輸協議(Hyper Text Transfer Protocol，HTTP)的網頁內容進行采集和分析，但該方法只能針對未加密的網絡流量，不適用于加密流量，因為流量加密后的應用層協議內容無法解密，對加密流量進行全流量采集意義不大。Netflow技術可以記錄傳輸控制協議/網際協議(Transmission Control Protocol/Internet Protocol，TCP/IP)層的流信息，一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸的單向數據包流，所有數據包具有共同的傳輸層源和目的端口號。Netflow技術雖然可以對加密TCP流量進行采集，但是其聚焦于IP網絡層的流量行為，顆粒度太粗，無法滿足后續(xù)流量分析的需求。

發(fā)明內容

本發(fā)明實施例提供一種加密TCP流量采集方法與裝置，用以解決現有流量采集方法顆粒度太粗，采集信息有限，無法滿足后續(xù)流量分析需求的問題。

第一方面，本發(fā)明實施例提供一種加密TCP流量采集方法，包括：

根據TCP的三次握手過程從獲取到的加密TCP流量中識別用于建立一次TCP會話的TCP會話建立數據包；

將TCP會話建立數據包之后屬于TCP會話的TCP數據包加入TCP會話的數據包集合，直至根據TCP的四次揮手過程從獲取到的加密TCP流量中識別出用于結束TCP會話的TCP會話結束數據包，或者，數據包集合中數據包的個數達到預設數量，以得到TCP會話的數據包集合；

對TCP會話的數據包集合進行統計分析，獲取TCP會話的特征信息。

一種實施例中，所述特征信息包括：

源IP地址、源TCP端口、目的IP地址、目的TCP端口、會話數據包總數、源數據包總數、源數據包總大小、目的數據包總數、目的數據包總大小、TCP Flag七元數組、會話開始時間和會話結束時間。

一種實施例中，所述方法還包括：

從TCP會話的數據包集合中獲取TCP會話建立之后，由源發(fā)出的第一個TCP數據包；

根據第一個TCP數據包確定TCP會話的加密協議；

根據TCP會話的加密協議和握手數據包確定TCP會話的指紋庫。

一種實施例中，若TCP會話的加密協議為TLS協議，則根據TCP會話的加密協議和握手數據包確定TCP會話的指紋庫，包括：