CN101296228A - 基于流量分析的ssl vpn协议检测方法 - Google Patents
基于流量分析的ssl vpn协议检测方法 Download PDFInfo
- Publication number
- CN101296228A CN101296228A CNA2008100391832A CN200810039183A CN101296228A CN 101296228 A CN101296228 A CN 101296228A CN A2008100391832 A CNA2008100391832 A CN A2008100391832A CN 200810039183 A CN200810039183 A CN 200810039183A CN 101296228 A CN101296228 A CN 101296228A
- Authority
- CN
- China
- Prior art keywords
- ssl
- ssl vpn
- flow analysis
- time
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于流量分析的SSL VPN协议检测方法,用于网络安全领域。本发明首先在智能代理或探针机器上打开网卡的混杂模式进行循环监听,并且设置BPF过滤器抓取HTTPS报文,其中包括了可能存在的SSL VPN报文,对抓取的报文进行SSL VPN检测方法,该方法根据SSL VPN通信流量的时域特征和VPN建立时候的一些握手协议特征,来检测是HTTPS应用的流量还是SSL VPN的流量。本发明使用了HASH表来代替数据库查询,速度很快而且简单稳定。
Description
技术领域
本发明涉及一种网络安全领域的协议检测方法,具体是一种基于流量分析的SSL VPN协议检测方法。
背景技术
安全套接层协议(SSL),用以保障在Internet上数据传输之安全,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
HTTPS安全超文本传输协议,是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS协议使用443端口,而不是象HTTP那样使用端口80来和TCP/IP进行通信。
SSL VPN工作在传输层和应用层之间,使用了浏览器自带的SSL协议,当集团的员工希望连接到总部网络时,可以尽情使用手头任何可接入Internet的设备。通过在浏览器中输入总部SSL VPN的网络地址,ActiveX控件会自动被下载并安装,利用管理员发布的帐号和密码,员工就可以随时接入到内网。
虽然SSL VPN使用的也是SSL协议,但是使用SSL的并不都是SSL VPN,比如说使用HTTPS登录网络邮箱如Hotmail、Gmail等。虽然也有一个安全的HTTP隧道,但是并不能满足SSL VPN的web服务以及端口和诸多应用的需要。
SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求,SSL在Web的易用性和安全性方面架起了一座桥梁:SSL VPN简单,容易配置,不需麻烦的安装和配置客户端软件,而且兼容性很好。在目前的企业应用中已经超越了IPSecVPN的使用数量。
和IPSec VPN不同的是,SSL VPN不像IPSec VPN一样工作在网络层,所以不会有接入地点的限制。同时,也不会收到NAT网络地址转换网关的影响,能够真正做到端到端的安全。
由于SSL VPN的迅猛发展,所带来的安全隐患也日益增加,因为一般组织的防火墙对HTTPS和SSL VPN所采用的TCP 443端口都采取放行的策略。对加密的内容,不会进行检查。虽然SSL VPN被攻击后的后果没有对IPSec VPN严重。作为一个良好的安全管理人员,对SSL VPN的管理和审查也应该非常小心。但是SSL VPN和HTTPS都采用的是TCP 443端口的SSL协议报文,如何进行区分是一个难题。
经查新,国内外没有这方面工作的报道,在目前的安全管理中,一般不区分SSL VPN和HTTPS的流量,很大的原因是两者使用了相同的协议,另外一个原因是管理还不够细致。
发明内容
本发明针对现有技术的不足,提供一种基于流量分析的SSL VPN协议检测方法,使其利用SSL VPN和HTTPS在流量特征上的不同,基于流量监控,提取SSLVPN的加密算法等信息,并且在有其它HTTPS报文混杂的情况下仍然适用。本发明使用HASH表来作为数据库,具有查询速度快、稳定的特点。
所述的SSL VPN和HTTPS在流量特征上的不同,是指:SSL VPN一般有一段比较长的持续时间,这段时间内会有大量相同IP并且有可能是相同会话ID的SSL数据包。相比之下HTTPS持续的时间一般比较短,通常只有一个短暂的认证过程。因此,本发明根据连接的持续时间这种流量特征,来在SSL报文流内检测SSL VPN连接的存在。
本发明是通过以下技术方案实现的,本发明包括如下步骤:
步骤一:在智能代理或者探针设备上把网卡设为混杂模式,并通过调用libpcap网络抓包库函数进行循环监听,设置BPF抓包过滤器来抓取所有TCP 443端口的报文,也即SSL报文,通过设置回调函数callback为基于流量分析的SSLVPN检测函数,每次抓到报文就会自动调用基于流量分析的SSL VPN检测函数进行处理;回调函数callback是由系统接收到消息自动调用的函数。
本发明把基于流量分析的SSL VPN检测方法的函数地址作为参数设置为回调函数。因此,当Libpcap抓到符合过滤规则(TCP 443端口)的报文,就会自动去调用基于流量分析的SSL VPN检测函数。
步骤二:在回调函数中也即基于流量分析的SSL VPN的检测方法函数中执行流量分析。该方法对于抓到的每个SSL报文,根据IP和会话ID去数据库中查询其历史信息,从而判断抓到的SSL数据包是否属于SSL VPN连接。也就是SSL VPN的检测。
步骤三:根据上一步骤检测出来的SSL VPN,在SSL协商响应报文中寻找的Cipher Suite,解析出SSL VPN报文中所采用的加密算法、哈希算法、认证算法、群组签名算法等,从而检测出SSL VPN的重要信息。
步骤四:在循环调用回调函数之前设置定时器,定时执行清理工作。
步骤五:退出该应用的时候,结束监听,使网卡退出混杂模式,释放程序所占用的内存资源。
步骤一中,进行循环监听并抓取SSL报文,具体为:
第一步.指定网卡或查找网卡
指定网卡或调用pcap_lookupdev,选择监听的网卡设备。
第二步.打开设备监听
调用pcap_open_live,设置使用混杂模式。
第三步.设定监听规则
调用pcap_compile对抓包过滤条件(BPF)进行编译,然后调用pcap_setfilter实施该规则。
第四步.处理特定分组
调用pcap_loop,将接收分组数设为-1,表示无限循环。设定SSL VPN的检测方法为回调函数。即每次抓到一个符合BPF的数据包就调用该方法进行分析和提取。
第五步.关闭监听
调用pcap_close,结束监听。
步骤二中,所述的基于流量分析的SSL VPN检测函数,具体方法为:
①建2个散列表作为数据库。第1个散列表的关键字为字符串,其值等于客户端IP+服务器IP,第2个散列表的关键字也为字符串,其值等于Session ID。两个散列表有共同的域为时间值first_time,last_time,和表示是否已经报告的值re。这一步骤仅在第一次进入该流量分析的SSL VPN检测方法时执行。
②以客户端IP+服务器IP为关键字查找散列表1:
③若没找到,则在表中添加一项,first_time和last_time置为当前时间,re置为false。
④若找到,则置last_time为当前时间,并比较first_time和当前时间:
⑤若两者相差比阀值大,则查看re:
⑥若re值为false,则报告该SSL VPN,并置re值为true。
⑦若是Client Hello或Server Hello数据包,则以Session ID为关键字查找散列表2:
⑧若没找到,则在表中添加一项,first_time和last_time置为当前时间,re置为false。
⑨若找到,则置last_time为当前时间,并比较first_time和当前时间:
⑩若两者相差比阀值大,则查看re:
所述的采用IP和SessionID来判断一个SSL连接是否属于SSL VPN,需要注意一点:根据客户使用的的浏览器不同会有不同的特征。Session ID是一个SSL会话的标识符。客户端可以请求重用以前的Session ID,服务器可以同意,也可以不同意而使用新的Session ID。Internet Explorer从版本5.0起,就强制每2分钟使用新的Session ID,但Firefox浏览器倾向于重用Session ID。
所述的Client Hello和Server Hello是SSL握手协议中的报文。
SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL握手协议是用来在客户端和服务器端传输应用数据之前建立安全通信机制。首次通信时,双方通过握手协议协商密钥加密算法、数据加密算法和文摘算法。然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户端和服务器各自根据这个秘密信息确定数据加密算法的参数(一般是密钥)。
所述的SSL握手协议具体过程描述如下:
1)Client发送Client Hello消息给Server,Server回应Server Hello。这个过程建立的安全参数包括协议版本、会话标识、加密算法、压缩方法。另外,还交换2个随机数:ClientHello.random和ServerHello.random,用以计算会话主密钥。
2)Hello消息发送完后,Server会发送它的证书或密钥交换信息,如果Server被认证,它会请求Client的证书,然后Server发送Hello-done消息以示握手协议完成。
3)Server请求Client证书时,Client要返回证书或“没有证书”的提示,然后Client发送密钥交换消息。
4)Server回答“握手完成”消息。
5)握手协议完成后,Client和Server就可以传输加密数据。
步骤三中,所述的在SSL协商响应报文中寻找的Cipher Suite,具体为:
一个SSL数据包是一个源或者目的端口为443的TCP包。TCP层之上是SSL层,SSL层中第一个字节标识是Content Type,0x16表示握手层协议。如果是握手层协议,第六个字节标识Handshake Type,0x01表示Client Hello,0x02表示Server Hello。如果数据包是Client Hello或者Server Hello,则SSL层中第44个字节标识Session ID Length,假定其值为sessionid_len,因此以后的字节偏移量都与该值有关,是变长的。接下去的连续sessionid_len个字节都标识了该SSL会话的Session ID。如果是Server Hello数据包中,再接下去的(即第45+sessionid_len个字节)两个字节标识Cipher Suite,即SSL VPN中很重要的加密算法、认证算法、哈希算法、组签名算法等信息。
所述的判断一个包是否为Client Hello或者Server Hello的条件具体为:
①整个包大小>以太网头大小+IP头大小+TCP头大小。
②Content Type(偏移0字节)值为0x16(Handshake)。
③Handshake Type(偏移5字节)值为0x01(Client Hello)或0x02(ServerHello)。
所述的步骤四,具体为:
①遍历2个散列表,对于表中的每一项,比较last_time和当前时间;
②若两者差值比阀值大,则删除该项。
本发明通过对SSL协议流量进行分析,可以区分HTTPS和SSL VPN的流量,并且能够从SSL VPN流量中提取VPN的关键信息,使用者双方的IP地址,还有使用的加密算法、哈希算法、认证算法等。可以为安全管理人员提供更加精确的管理信息。可以应用在防火墙、IDS和智能代理中。本发明实现简单,效率高,可以实现千兆线速的分析。
附图说明
图1本发明实施例应用架构图
图2本发明实施例总体流程图
图3本发明实施例SSL VPN的检测流程图
具体实施方式
下面结合附图对本发明的实施例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,SSL VPN监察系统分为中心端和代理端两部分,结合SSL VPN监察系统具体说明本实施例:
代理端分布配置在各单位边界网络中的交换机镜像端口,代理端有两个网络接口,一个用来抓包,一个用来和中心端通信。SSL VPN流量会流经边界网络的交换机,并被监察系统代理端所抓取到,其中包括SSL VPN的SSL协议报文。监察代理按照基于流量分析的SSL VPN检测方法进行分析,提取其中的关键信息,并把分析出的数据通过网络发送到中心端,而中心端主要负责将各个代理点汇报的数据进行汇总、分析和数据挖掘以及报警管理,并向前台管理员用户把抓到的各IPSec VPN关键信息以图形化方式展示。
代理端以2.6内核以上Linux系统为基础,并在Linux系统中安装了Libpcap的网络抓包库。Libpcap是一个C语言库,英文意思为Packet Capture library,其功能是通过网卡抓取以太网中的数据包,为不同平台提供了统一的编程接口。
代理端分为两个模块,主模块负责向中心端通报SSL VPN信息,接受来自中心端的配置更新等命令。子模块则负责在特定端口抓包,并进行分析和提取。子模块的具体过程如下,如图2所示:
步骤一:在智能代理或者探针设备上把网卡设为混杂模式,并通过调用libpcap网络抓包库函数进行循环监听,设置BPF抓包过滤器来抓取所有TCP 443端口的报文,也即SSL报文,通过设置回调函数callback为基于流量分析的SSLVPN检测函数,每次抓到报文就会自动调用基于流量分析的SSL VPN检测函数进行处理;回调函数callback是由系统接收到消息自动调用的函数。
本发明把基于流量分析的SSL VPN检测方法的函数地址作为参数设置为回调函数。因此,当Libpcap抓到符合过滤规则(TCP 443端口)的报文,就会自动去调用基于流量分析的SSL VPN检测函数。
步骤二:在回调函数中也即基于流量分析的SSL VPN的检测方法函数中执行流量分析。该方法对于抓到的每个SSL报文,根据IP和会话ID去数据库中查询其历史信息,从而判断抓到的SSL数据包是否属于SSL VPN连接。也就是SSL VPN的检测。具体有以下几个步骤,如图3所示:
①建2个散列表作为数据库。第1个散列表的关键字为字符串,其值等于客户端IP+服务器IP,第2个散列表的关键字也为字符串,其值等于Session ID。两个散列表有共同的域为时间值first_time,last_time,和表示是否已经报告的值re。这一步骤仅在第一次进入该流量分析的SSL VPN检测方法时执行。
②以客户端IP+服务器IP为关键字查找散列表1:
③若没找到,则在表中添加一项,first_time和last_time置为当前时间,re置为false。
④若找到,则置last_time为当前时间,并比较first_time和当前时间:
⑤若两者相差比阀值大,则查看re:
⑥若re值为false,则报告该SSL VPN,并置re值为true。
⑦若是Client Hello或Server Hello数据包,则以Session ID为关键字查找散列表2:
⑧若没找到,则在表中添加一项,first_time和last_time置为当前时间,re置为false。
⑨若找到,则置last_time为当前时间,并比较first_time和当前时间:
⑩若两者相差比阀值大,则查看re:
所述的采用IP和Session ID来判断一个SSL连接是否属于SSL VPN,需要注意一点:根据客户使用的的浏览器不同会有不同的特征。Session ID是一个SSL会话的标识符。客户端可以请求重用以前的Session ID,服务器可以同意,也可以不同意而使用新的Session ID。Internet Explorer从版本5.0起,就强制每2分钟使用新的Session ID,但Firefox浏览器倾向于重用Session ID。
步骤三:根据上一步骤检测出来的SSL VPN,在Server Hello报文中寻找Cipher Suite,解析出SSL VPN报文中所采用的加密算法、哈希算法、认证算法、群组签名算法等,从而检测出SSL VPN的重要信息。如果检测出的SSL VPN不符合安全管理的规则,那么就触发报警或者记录日志等操作。
步骤四:在循环调用回调函数之前设置定时器,定时执行清理算法。
步骤五:退出该应用的时候,结束监听,使网卡退出混杂模式,释放程序所占用的内存资源。
该SSL VPN监察系统能够从SSL报文中发现SSL VPN流量,区分HTTPS和SSL VPN。该监察系统使用的基于流量分析的SSL VPN协议检测方法简单,易于实现,并且检测速度很块。可以广泛应用到防火墙,入侵检测系统,以及各种智能代理或探针中。该系统使用了一款基于酷睿2平台的双千兆口工控主机,能够实现千兆线速的SSL VPN抓包速度。
该系统的准确性用误报率和漏检率两个指标来衡量。
误报率分析:
该深度检测方法能识别出SSL VPN和HTTPS流量之间的区别,只有当HTTPS的流量特征非常接近于SSL VPN的流量特征的话,会引起误报,这种情况通常比较少见。
漏检率分析:
漏检率在SSL VPN流量特征非常接近于HTTPS的情况下会发生,很可能是SSL VPN连接不成功,并没有真正连上就断开了。这种情况也比较少见。
Claims (7)
1、一种基于流量分析的SSL VPN协议检测方法,其特征在于,包括如下步骤:
步骤一:在智能代理或者探针设备上把网卡设为混杂模式,并通过调用libpcap网络抓包库函数进行循环监听,设置BPF抓包过滤器来抓取所有TCP 443端口的报文,也即SSL报文,通过设置回调函数callback为基于流量分析的SSLVPN检测函数,每次抓到报文就会自动调用基于流量分析的SSL VPN检测函数进行处理;
回调函数callback是由系统接收到消息自动调用的函数,把基于流量分析的SSL VPN检测方法的函数地址作为参数设置为回调函数,因此,当Libpcap抓到符合过滤规则的报文,就会自动去调用基于流量分析的SSL VPN检测函数;
步骤二:在回调函数中也即基于流量分析的SSL VPN的检测方法函数中执行流量分析,对于抓到的每个SSL报文,根据IP和会话ID去数据库中查询其历史信息,从而判断抓到的SSL数据包是否属于SSL VPN连接,也就是SSL VPN的检测;
步骤三:根据上一步骤检测出来的SSL VPN,在SSL协商响应报文中寻找的Cipher Suite,解析出SSL VPN报文中所采用加密算法,从而检测出SSL VPN的重要信息;
步骤四:在循环调用回调函数之前设置定时器,定时执行清理工作;
步骤五:退出该应用的时候,结束监听,使网卡退出混杂模式,释放程序所占用的内存资源。
2、根据权利要求1所述的基于流量分析的SSL VPN协议检测方法,其特征是,步骤一中,进行循环监听并抓取SSL报文,具体为:
第一步.指定网卡或查找网卡
指定网卡或调用pcap_lookupdev,选择监听的网卡设备;
第二步.打开设备监听
调用pcap_open_live,设置使用混杂模式;
第三步.设定监听规则
调用pcap_compile对抓包过滤条件进行编译,然后调用pcap_setfilter实施该规则;
第四步.处理特定分组
调用pcap_loop,将接收分组数设为-1,表示无限循环,设定SSL VPN的检测方法为回调函数,即每次抓到一个符合BPF的数据包就调用该方法进行分析和提取;
第五步.关闭监听
调用pcap_close,结束监听。
3、根据权利要求1所述的基于流量分析的SSL VPN协议检测方法,其特征是,步骤二中,锁住基于流量分析的SSL VPN检测函数,具体方法为:
①建2个散列表作为数据库,第1个散列表的关键字为字符串,其值等于客户端IP+服务器IP,第2个散列表的关键字也为字符串,其值等于Session ID,两个散列表有共同的域为时间值first_time,last_time,和表示是否已经报告的值re,这一步骤仅在第一次进入该流量分析的SSL VPN检测方法时执行;
②以客户端IP+服务器IP为关键字查找散列表1;
③若没找到,则在表中添加一项,first_time和last_time置为当前时间,re置为false;
④若找到,则置last_time为当前时间,并比较first_time和当前时间;
⑤若两者相差比阀值大,则查看re;
⑥若re值为false,则报告该SSL VPN,并置re值为true;
⑦若是Client Hello或Server Hello数据包,则以Session ID为关键字查找散列表2;
⑧若没找到,则在表中添加一项,first_time和last_time置为当前时间,re置为false;
⑨若找到,则置last_time为当前时间,并比较first_time和当前时间;
⑩若两者相差比阀值大,则查看re;
4、根据权利要求1所述的基于流量分析的SSL VPN协议检测方法,其特征是,步骤二中,所述的SSL VPN的检测,是采用IP和Session ID来判断一个SSL连接是否属于SSL VPN。
5、根据权利要求1所述的基于流量分析的SSL VPN协议检测方法,其特征是,步骤三中,所述的在SSL协商响应报文中寻找的Cipher Suite,具体为:
一个SSL数据包是一个源或者目的端口为443的TCP包,TCP层之上是SSL层,SSL层中第一个字节标识是Content Type,0x16表示握手层协议,如果是握手层协议,第六个字节标识Handshake Type,0x01表示Client Hello,0x02表示Server Hello,如果数据包是Client Hello或者Server Hello,则SSL层中第44个字节标识Session ID Length,假定其值为sessionid_len,因此以后的字节偏移量都与该值有关,是变长的,接下去的连续sessionid_len个字节都标识了该SSL会话的Session ID,如果是Server Hello数据包中,再接下去的两个字节标识Cipher Suite,即SSL VPN中很重要的算法信息。
6、根据权利要求5所述的基于流量分析的SSL VPN协议检测方法,其特征是,所述的判断一个包是否为Client Hello或者Server Hello,具体条件为:
①整个包大小>以太网头大小+IP头大小+TCP头大小;
②Content Type值为0x16,0x16代表Handshake,Content Type在SSL报文中偏移量为0字节;
③Handshake Type值为0x01或0x02,Handshake Type在SSL报文中的偏移量为5字节,0x01代表Client Hello,0x02代表Server Hello。
7、根据权利要求1所述的基于流量分析的SSL VPN协议检测方法,其特征是,步骤四中,所述的在循环调用回调函数之前设置定时器,定时执行清理工作,具体为:
①遍历2个散列表,对于表中的每一项,比较last_time和当前时间;
②若两者差值比阀值大,则删除该项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100391832A CN101296228B (zh) | 2008-06-19 | 2008-06-19 | 基于流量分析的ssl vpn协议检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100391832A CN101296228B (zh) | 2008-06-19 | 2008-06-19 | 基于流量分析的ssl vpn协议检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101296228A true CN101296228A (zh) | 2008-10-29 |
| CN101296228B CN101296228B (zh) | 2010-10-06 |
Family
ID=40066242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100391832A Active CN101296228B (zh) | 2008-06-19 | 2008-06-19 | 基于流量分析的ssl vpn协议检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101296228B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857393A (zh) * | 2012-09-11 | 2013-01-02 | 中国电力科学研究院 | 一种基于报文模拟的非公开密码算法ssl vpn设备性能测试方法 |
| CN102904730A (zh) * | 2012-10-26 | 2013-01-30 | 曙光信息产业(北京)有限公司 | 根据协议、端口和ip地过滤挑选流量的智能加速网卡 |
| CN104660592A (zh) * | 2015-02-04 | 2015-05-27 | 北京信安世纪科技有限公司 | 一种基于安全套接层协议特征的负载分发方法 |
| CN105530137A (zh) * | 2014-09-28 | 2016-04-27 | 中国银联股份有限公司 | 流量数据分析方法及流量数据分析系统 |
| CN108833541A (zh) * | 2018-06-15 | 2018-11-16 | 北京奇安信科技有限公司 | 一种识别终端信息的方法及装置 |
| CN108848078A (zh) * | 2018-06-01 | 2018-11-20 | 北京中海闻达信息技术有限公司 | 一种在线数据监测方法和装置 |
| CN109067746A (zh) * | 2018-08-10 | 2018-12-21 | 北京奇虎科技有限公司 | 客户端与服务器之间的通信方法及装置 |
| CN109889422A (zh) * | 2019-03-07 | 2019-06-14 | 江苏省人民医院 | 结合虚拟化桌面与ssl vpn实现远程放疗计划的方法 |
| CN110022204A (zh) * | 2019-03-20 | 2019-07-16 | 中国电子科技集团公司第三十研究所 | 基于内容真随机化分割增强文件保密通信安全性的方法 |
| CN110311870A (zh) * | 2019-06-10 | 2019-10-08 | 哈尔滨工业大学(威海) | 一种基于密度数据描述的ssl vpn流量识别方法 |
| CN110493081A (zh) * | 2019-08-20 | 2019-11-22 | 网易(杭州)网络有限公司 | 游戏客户端的网络流量确定方法、装置、设备及存储介质 |
| CN111107042A (zh) * | 2018-10-26 | 2020-05-05 | 广州汽车集团股份有限公司 | 报文解析方法、装置、计算机设备和存储介质 |
| CN112019500A (zh) * | 2020-07-15 | 2020-12-01 | 中国科学院信息工程研究所 | 一种基于深度学习的加密流量识别方法及电子装置 |
| US11706254B2 (en) | 2017-11-17 | 2023-07-18 | Huawei Technologies Co., Ltd. | Method and apparatus for identifying encrypted data stream |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101072108B (zh) * | 2007-07-17 | 2011-09-28 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
| CN101136834B (zh) * | 2007-10-19 | 2010-06-02 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的链接改写方法和设备 |
-
2008
- 2008-06-19 CN CN2008100391832A patent/CN101296228B/zh active Active
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857393B (zh) * | 2012-09-11 | 2015-06-03 | 中国电力科学研究院 | 一种基于报文模拟的非公开密码算法ssl vpn设备性能测试方法 |
| CN102857393A (zh) * | 2012-09-11 | 2013-01-02 | 中国电力科学研究院 | 一种基于报文模拟的非公开密码算法ssl vpn设备性能测试方法 |
| CN102904730A (zh) * | 2012-10-26 | 2013-01-30 | 曙光信息产业(北京)有限公司 | 根据协议、端口和ip地过滤挑选流量的智能加速网卡 |
| CN105530137B (zh) * | 2014-09-28 | 2019-05-10 | 中国银联股份有限公司 | 流量数据分析方法及流量数据分析系统 |
| CN105530137A (zh) * | 2014-09-28 | 2016-04-27 | 中国银联股份有限公司 | 流量数据分析方法及流量数据分析系统 |
| CN104660592B (zh) * | 2015-02-04 | 2018-02-02 | 北京信安世纪科技股份有限公司 | 一种基于安全套接层协议特征的负载分发方法 |
| CN104660592A (zh) * | 2015-02-04 | 2015-05-27 | 北京信安世纪科技有限公司 | 一种基于安全套接层协议特征的负载分发方法 |
| US11706254B2 (en) | 2017-11-17 | 2023-07-18 | Huawei Technologies Co., Ltd. | Method and apparatus for identifying encrypted data stream |
| CN108848078A (zh) * | 2018-06-01 | 2018-11-20 | 北京中海闻达信息技术有限公司 | 一种在线数据监测方法和装置 |
| CN108833541A (zh) * | 2018-06-15 | 2018-11-16 | 北京奇安信科技有限公司 | 一种识别终端信息的方法及装置 |
| CN109067746A (zh) * | 2018-08-10 | 2018-12-21 | 北京奇虎科技有限公司 | 客户端与服务器之间的通信方法及装置 |
| CN109067746B (zh) * | 2018-08-10 | 2021-06-29 | 北京奇虎科技有限公司 | 客户端与服务器之间的通信方法及装置 |
| CN111107042A (zh) * | 2018-10-26 | 2020-05-05 | 广州汽车集团股份有限公司 | 报文解析方法、装置、计算机设备和存储介质 |
| CN111107042B (zh) * | 2018-10-26 | 2021-03-09 | 广州汽车集团股份有限公司 | 报文解析方法、装置、计算机设备和存储介质 |
| CN109889422A (zh) * | 2019-03-07 | 2019-06-14 | 江苏省人民医院 | 结合虚拟化桌面与ssl vpn实现远程放疗计划的方法 |
| CN110022204B (zh) * | 2019-03-20 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | 基于内容真随机化分割增强文件保密通信安全性的方法 |
| CN110022204A (zh) * | 2019-03-20 | 2019-07-16 | 中国电子科技集团公司第三十研究所 | 基于内容真随机化分割增强文件保密通信安全性的方法 |
| CN110311870A (zh) * | 2019-06-10 | 2019-10-08 | 哈尔滨工业大学(威海) | 一种基于密度数据描述的ssl vpn流量识别方法 |
| CN110311870B (zh) * | 2019-06-10 | 2022-08-02 | 哈尔滨工业大学(威海) | 一种基于密度数据描述的ssl vpn流量识别方法 |
| CN110493081A (zh) * | 2019-08-20 | 2019-11-22 | 网易(杭州)网络有限公司 | 游戏客户端的网络流量确定方法、装置、设备及存储介质 |
| CN112019500A (zh) * | 2020-07-15 | 2020-12-01 | 中国科学院信息工程研究所 | 一种基于深度学习的加密流量识别方法及电子装置 |
| CN112019500B (zh) * | 2020-07-15 | 2021-11-23 | 中国科学院信息工程研究所 | 一种基于深度学习的加密流量识别方法及电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101296228B (zh) | 2010-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101296228B (zh) | 基于流量分析的ssl vpn协议检测方法 | |
| CN101286896B (zh) | 基于流的IPSec VPN协议深度检测方法 | |
| CN101296227B (zh) | 基于报文偏移量匹配的IPSec VPN协议深度检测方法 | |
| US8191114B2 (en) | Methods, systems, and computer program products for determining an originator of a network packet using biometric information | |
| CN105450442B (zh) | 一种网络拓扑排查方法及其系统 | |
| CN101197715B (zh) | 一种移动数据业务状态的安全集中采集方法 | |
| Ganame et al. | A global security architecture for intrusion detection on computer networks | |
| WO2010031288A1 (zh) | 一种僵尸网络的检测方法和系统 | |
| CN103491060B (zh) | 一种防御Web攻击的方法、装置、及系统 | |
| Yang et al. | Stateful intrusion detection for IEC 60870-5-104 SCADA security | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN101567884B (zh) | 网络窃密木马检测方法 | |
| CN106815511B (zh) | 信息处理装置和方法 | |
| CN101854275A (zh) | 一种通过分析网络行为检测木马程序的方法及装置 | |
| CN107222462A (zh) | 一种局域网内部攻击源的自动定位、隔离方法 | |
| CN113783880A (zh) | 网络安全检测系统及其网络安全检测方法 | |
| KR100758796B1 (ko) | 기업용 실시간 서비스 관리 시스템 및 그 방법 | |
| CN106572103A (zh) | 一种基于sdn网络架构的隐藏端口检测方法 | |
| Joglekar et al. | Protomon: Embedded monitors for cryptographic protocol intrusion detection and prevention | |
| CN109617918B (zh) | 一种安全运维网关及其运维方法 | |
| CN104104548A (zh) | 一种基于sflow和owamp的网络安全态势信息获取系统及方法 | |
| Matoušek et al. | Security monitoring of iot communication using flows | |
| CN201789524U (zh) | 一种通过分析网络行为检测木马程序的装置 | |
| Sharma | Honeypots in Network Security | |
| CN114117429A (zh) | 一种网络流量的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |