CN102594565A - 利用数字证书识别加密协议的识别方法及系统 - Google Patents
利用数字证书识别加密协议的识别方法及系统 Download PDFInfo
- Publication number
- CN102594565A CN102594565A CN2012100424423A CN201210042442A CN102594565A CN 102594565 A CN102594565 A CN 102594565A CN 2012100424423 A CN2012100424423 A CN 2012100424423A CN 201210042442 A CN201210042442 A CN 201210042442A CN 102594565 A CN102594565 A CN 102594565A
- Authority
- CN
- China
- Prior art keywords
- protocol
- keyword
- current message
- message
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种利用数字证书识别加密协议的识别方法及系统,涉及互联网应用技术领域,所述方法包括:S1:对当前报文进行扫描,以获得协议关键字特征;S2:将协议关键字特征与预设的特征库进行匹配;S3:继续扫描后续报文,以获得服务器数字证书的关键字;S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则识别为与所述匹配结果对应的协议报文,否则将当前报文识别为HTTPS协议报文。本发明的方法与原有的粗粒度识别方法不同,从更深度的角度挖掘了HTTPS协议的特征,从数字证书中提取了具备唯一性的关键字,有效区分了共同使用HTTPS协议的不同的应用协议,提高了应用识别和应用控制的粒度。
Description
技术领域
本发明涉及互联网应用技术领域,特别涉及一种利用数字证书识别加密协议的识别方法及系统。
背景技术
随着互联网的广泛普及,安全性问题越来越受到重视。安全超文本传送协议(Hypertext Transfer Protocol over Secure Socket Layer,HTTPS)是一种常见的加密协议,一般与安全套接层协议(SecureSocket Layer,SSL)/安全传输层协议(Transport Layer Security,TLS)组合使用,用以提供加密通讯及对网络服务器身份的鉴定,被广泛应用到对数据保密性要求很高的应用中,如网上银行、邮件、即时通讯、游戏账号登录等。在一般的协议识别方式中,HTTPS报文经过应用程序中的识别模块被直接识别为HTTPS报文,这种识别结果不能够满足精细化的应用识别和应用控制的粒度要求,例如:GMAIL邮件登陆和魔兽世界登录都被识别为HTTPS,但是控制系统需要禁止魔兽世界而允许GMAIL登录,这种识别结果显然无法满足需求。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提高应用识别和应用控制的粒度。
(二)技术方案
为解决上述技术问题,本发明提供了一种利用数字证书识别加密协议的识别方法,所述方法包括以下步骤:
S1:获取应用程序中的当前报文,对当前报文进行扫描,以获得所述当前报文中的协议关键字特征;
S2:将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行步骤S3;
S3:继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
优选地,所述预设的特征库通过以下步骤建立:
S01:获取应用程序中的若干样本报文,对所述样本报文进行扫描,以获得所述样本报文的协议关键字特征和服务器数字证书的关键字;
S02:将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。
优选地,所述应用程序为采用HTTPS协议传输数据的程序。
优选地,所述服务器数字证书的关键字为公司名称或应用名称。
本发明还公开了一种利用数字证书识别加密协议的识别系统,所述系统包括:
报文扫描模块,用于获取应用程序中的当前报文,对所述当前报文进行扫描,以获得当前报文中的协议关键字特征;
匹配模块,用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行继续扫描模块;
继续扫描模块,用于继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
识别模块,用于将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
(三)有益效果
本发明的识别方法与原有的粗粒度识别方法不同,其从更深度的角度挖掘了HTTPS协议的特征,从数字证书中提取了具备唯一性的关键字,有效区分了共同使用HTTPS协议的不同的应用协议,提高了应用识别和应用控制的粒度。
附图说明
图1是按照本发明一种实施方式的利用数字证书识别加密协议的识别方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的利用数字证书识别加密协议的识别方法的流程图;参照图1,所述实施方式的方法包括以下步骤:
S1:获取应用程序中的当前报文,对当前报文进行扫描,以获得所述当前报文中的协议关键字特征;
S2:将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行步骤S3;
S3:继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
优选地,所述预设的特征库通过以下步骤建立:
S01:获取应用程序中的若干样本报文,对所述样本报文进行扫描,以获得所述样本报文的协议关键字特征和服务器数字证书的关键字;
S02:将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。
优选地,所述应用程序为采用HTTPS协议传输数据的程序,例如:网上银行、及时通讯登录、邮件、游戏账号登录等。
优选地,所述服务器数字证书的关键字为公司名称、应用名称等具备唯一性的关键字。
在协议识别时,识别的对象是报文,在识别结果确定以后,一般不再跟踪报文,在本发明中,对报文进行了二次识别,第一次识别为HTTPS协议,但不能确定是何种应用使用了HTTPS协议,第二次识别选取数字证书中最具唯一性的公司名称或应用名称,具备较高的可靠性。但是,如果直接选取数字证书中的公司名称或应用名称是不可取的,具有以下两个原因:
一、连接前面的报文被优先匹配,因此连接会识别成HTTPS;
二、误识别率被显著提高,其他协议(比如:HTTP)也会出现公司名称或应用名称。
综上所述,本发明提供的利用数字证书识别加密协议的识别方法,与原有的直接识别为HTTPS加密协议不同,其可以直接识别出被加密的真实的应用协议,从而可以提供更为精确的控制粒度。该发明可适用性强,针对所有利用HTTPS协议加密的应用协议都在适用范围之内,因为服务商的数字证书属于SSL/TLS协议规范的一部分,而SSL/TLS和HTTPS协议一般组合使用,包括网上银行、邮件、即时通讯和游戏登录等都可以根据本发明进行识别。
实施例1
下面结合附图说明,使用中国工商银行网上银行的实例来说明,但不用来限制发明的范围。所述方法包括:
步骤A:获取工商银行网上银行登录的当前报文,对当前报文进行扫描,以获得当前报文中的协议关键字特征;
步骤B:将当前报文中的协议关键字特征与预设的特征库进行匹配,发现当前报文为HTTPS协议报文,执行步骤C,本步骤中,只对识别为HTTPS协议报文进行相应处理,其他报文按照正常流程进行处理;
步骤C:继续扫描后续报文中的服务器数字证书,以获得当前报文中服务器数字证书的关键字(本实施例中,后续报文中服务器数字证书的关键字为工商银行数字证书名称“mybank.icbc.com.cn”);
步骤D:将所述服务器数字证书的关键字与预设的特征库进行匹配,若一旦发现工商银行网银关键字特征被匹配,则将当前报文识别为工商银行网银,否则将当前报文识别为HTTPS协议报文。
本发明还公开了一种利用数字证书识别加密协议的识别系统,所述系统包括:
报文扫描模块,用于获取应用程序中的当前报文,对所述当前报文进行扫描,以获得当前报文中的协议关键字特征;
匹配模块,用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行继续扫描模块;
继续扫描模块,用于继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
识别模块,用于将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (5)
1.一种利用数字证书识别加密协议的识别方法,其特征在于,所述方法包括以下步骤:
S1:获取应用程序中的当前报文,对当前报文进行扫描,以获得所述当前报文中的协议关键字特征;
S2:将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行步骤S3;
S3:继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
2.如权利要求1所述的方法,其特征在于,所述预设的特征库通过以下步骤建立:
S01:获取应用程序中的若干样本报文,对所述样本报文进行扫描,以获得所述样本报文的协议关键字特征和服务器数字证书的关键字;
S02:将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。
3.如权利要求1所述的方法,其特征在于,所述应用程序为采用HTTPS协议传输数据的程序。
4.如权利要求1所述的方法,其特征在于,所述服务器数字证书的关键字为公司名称或应用名称。
5.一种利用数字证书识别加密协议的识别系统,其特征在于,所述系统包括:
报文扫描模块,用于获取应用程序中的当前报文,对所述当前报文进行扫描,以获得当前报文中的协议关键字特征;
匹配模块,用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行继续扫描模块;
继续扫描模块,用于继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
识别模块,用于将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210042442.3A CN102594565B (zh) | 2012-02-23 | 2012-02-23 | 利用数字证书识别加密协议的识别方法及系统 |
| PCT/CN2012/086444 WO2013123799A1 (zh) | 2012-02-23 | 2012-12-12 | 利用数字证书识别加密协议的识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210042442.3A CN102594565B (zh) | 2012-02-23 | 2012-02-23 | 利用数字证书识别加密协议的识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102594565A true CN102594565A (zh) | 2012-07-18 |
| CN102594565B CN102594565B (zh) | 2015-06-03 |
Family
ID=46482790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210042442.3A Expired - Fee Related CN102594565B (zh) | 2012-02-23 | 2012-02-23 | 利用数字证书识别加密协议的识别方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102594565B (zh) |
| WO (1) | WO2013123799A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013123799A1 (zh) * | 2012-02-23 | 2013-08-29 | 汉柏科技有限公司 | 利用数字证书识别加密协议的识别方法及系统 |
| CN107707508A (zh) * | 2016-08-09 | 2018-02-16 | 中兴通讯股份有限公司 | 应用业务识别方法和装置 |
| CN114039928A (zh) * | 2021-11-02 | 2022-02-11 | 恒安嘉新(北京)科技股份公司 | 网络流量的识别方法、装置、设备及存储介质 |
| CN114401097A (zh) * | 2022-01-25 | 2022-04-26 | 北京浩瀚深度信息技术股份有限公司 | 一种基于ssl证书指纹的https业务流量识别的方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104394164A (zh) * | 2014-12-06 | 2015-03-04 | 金琥 | 基于会话和协议识别https端口数据的方法 |
| CN107070812A (zh) * | 2017-05-02 | 2017-08-18 | 武汉绿色网络信息服务有限责任公司 | 一种https协议分析方法及其系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060031941A1 (en) * | 2004-08-06 | 2006-02-09 | Motorola, Inc. | Enhanced security using service provider authentication |
| CN101447985A (zh) * | 2008-12-26 | 2009-06-03 | 刘学明 | 基于公证信息的数字证书方法 |
| CN101977235A (zh) * | 2010-11-03 | 2011-02-16 | 北京北信源软件股份有限公司 | 一种针对https加密网站访问的网址过滤方法 |
| CN102098268A (zh) * | 2009-12-11 | 2011-06-15 | 厦门大菁洋网络科技有限公司 | 一种基于指纹识别的车辆租赁方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594565B (zh) * | 2012-02-23 | 2015-06-03 | 汉柏科技有限公司 | 利用数字证书识别加密协议的识别方法及系统 |
-
2012
- 2012-02-23 CN CN201210042442.3A patent/CN102594565B/zh not_active Expired - Fee Related
- 2012-12-12 WO PCT/CN2012/086444 patent/WO2013123799A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060031941A1 (en) * | 2004-08-06 | 2006-02-09 | Motorola, Inc. | Enhanced security using service provider authentication |
| CN101447985A (zh) * | 2008-12-26 | 2009-06-03 | 刘学明 | 基于公证信息的数字证书方法 |
| CN102098268A (zh) * | 2009-12-11 | 2011-06-15 | 厦门大菁洋网络科技有限公司 | 一种基于指纹识别的车辆租赁方法 |
| CN101977235A (zh) * | 2010-11-03 | 2011-02-16 | 北京北信源软件股份有限公司 | 一种针对https加密网站访问的网址过滤方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013123799A1 (zh) * | 2012-02-23 | 2013-08-29 | 汉柏科技有限公司 | 利用数字证书识别加密协议的识别方法及系统 |
| CN107707508A (zh) * | 2016-08-09 | 2018-02-16 | 中兴通讯股份有限公司 | 应用业务识别方法和装置 |
| CN114039928A (zh) * | 2021-11-02 | 2022-02-11 | 恒安嘉新(北京)科技股份公司 | 网络流量的识别方法、装置、设备及存储介质 |
| CN114401097A (zh) * | 2022-01-25 | 2022-04-26 | 北京浩瀚深度信息技术股份有限公司 | 一种基于ssl证书指纹的https业务流量识别的方法 |
| CN114401097B (zh) * | 2022-01-25 | 2023-10-20 | 北京浩瀚深度信息技术股份有限公司 | 一种基于ssl证书指纹的https业务流量识别的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102594565B (zh) | 2015-06-03 |
| WO2013123799A1 (zh) | 2013-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102594565B (zh) | 利用数字证书识别加密协议的识别方法及系统 | |
| EP3342119B1 (en) | Monitoring the life cycle of a computer network connection | |
| US9027128B1 (en) | Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks | |
| US20130103944A1 (en) | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices | |
| EP3146744A1 (en) | Method, apparatus, and system for providing a security check | |
| CN106341429A (zh) | 一种保护服务器数据安全的认证方法 | |
| CN105554001B (zh) | 一种基于加密的通信方法和系统 | |
| CN104735065A (zh) | 一种数据处理方法、电子设备及服务器 | |
| US20140304510A1 (en) | Secure authentication system with automatic cancellation of fraudulent operations | |
| CN105721154B (zh) | 一种基于Android平台通讯接口的加密保护方法 | |
| CN101924635B (zh) | 一种用户身份认证的方法及装置 | |
| Kim et al. | Geo-location based QR-Code authentication scheme to defeat active real-time phishing attack | |
| CN109740319B (zh) | 数字身份验证方法及服务器 | |
| JP2007011967A (ja) | メールフィルタリングシステム、メールフィルタ、およびプログラム | |
| CN102811203B (zh) | 互联网中用户身份识别方法、系统及用户终端 | |
| CA2793422C (en) | Hypertext link verification in encrypted e-mail for mobile devices | |
| Lee et al. | Analysis and response of SSH brute force attacks in multi-user computing environment | |
| JP6488613B2 (ja) | 取引システム及びプログラム | |
| KR20080020021A (ko) | 트러스티드 네트워크를 이용한 피싱 방지 방법 | |
| CN104541488A (zh) | 保护机密数据机密性的验证系统 | |
| US8800033B2 (en) | Rotation of web site content to prevent E-mail spam/phishing attacks | |
| CN102300176B (zh) | 基于安全tf卡的增强移动终端系统电子邮件安全性的方法及系统 | |
| Chaudhary | Development review on phishing: a computer security threat | |
| SG10201803964RA (en) | Systems and methods for authenticating network messages | |
| CN114503105A (zh) | 用于浏览器应用的密码服务 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20150603 |
|
| PP01 | Preservation of patent right | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20150603 |
|
| PD01 | Discharge of preservation of patent | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150603 Termination date: 20190223 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |