CN102984243B - 一种ssl协议中应用的自动识别方法和装置 - Google Patents
一种ssl协议中应用的自动识别方法和装置 Download PDFInfo
- Publication number
- CN102984243B CN102984243B CN201210477357.XA CN201210477357A CN102984243B CN 102984243 B CN102984243 B CN 102984243B CN 201210477357 A CN201210477357 A CN 201210477357A CN 102984243 B CN102984243 B CN 102984243B
- Authority
- CN
- China
- Prior art keywords
- ssl
- apply names
- extract
- group information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种SSL协议中应用的自动识别方法和装置,属于网络通信技术领域。所述方法包括:获取客户端与服务器之间的SSL交互信息;从所述SSL交互信息中提取应用名称、应用特征和四元组信息,所述四元组信息包括源IP地址、目的IP地址、目的端口和传输层协议号;获取客户端与服务器之间的后续SSL会话流,将所述SSL会话流与所述四元组信息进行匹配,若匹配成功,则识别后续SSL会话流为所述应用名称对应的应用。根据本发明,能够简单方便的识别出SSL协议中的具体应用。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种SSL协议中应用的自动识别方法和装置。
背景技术
为了提高网络数据传输的安全性,越来越多的应用、网站开始使用安全套接层(SecureSocketsLayer,SSL)协议,广泛应用的有电子商务、网上银行等领域。SSL协议是一个安全协议,为基于TCP的应用层协议提供安全连接,如SSL协议可以为HTTP协议提供安全连接。
对于审计及流控设备来说,并不需要知道SSL协议解密后的具体内容,只要能快速识别为具体是哪个应用产生即可。而SSL协议是加密的,有时候并没有明文信息,那么如何在不解密的情况下高效识别应用层协议就成为亟待解决的问题。对于流控,有些需求需要对同个采用SSL协议的应用的不同功能进行控制,那么就需要去考虑如何满足这些需求。
为了识别SSL协议,现有的技术方案通常采用基于固定端口的识别技术,通过TCP协议及443端口来识别SSL协议,简单易行,识别效率高。
但是,采用上述方法识别SSL协议,只能识别为SSL协议,不能识别为具体的应用,这种提取特征的方式过于宽泛,适用性不高。
发明内容
有鉴于此,本发明的目的是提供一种SSL协议中应用的自动识别方法和装置,能够简单方便的识别出SSL协议中的具体应用。
为实现上述目的,本发明提供技术方案如下:
一种SSL协议中应用的自动识别方法,应用于网络设备上,所述方法包括:
获取客户端与服务器之间的SSL交互信息;
从所述SSL交互信息中提取应用名称、应用特征和四元组信息,所述四元组信息包括源IP地址、目的IP地址、目的端口和传输层协议号;
获取客户端与服务器之间的后续SSL会话流,将所述SSL会话流与所述四元组信息进行匹配,若匹配成功,则识别后续SSL会话流为所述应用名称对应的应用。
一种SSL协议中应用的自动识别装置,应用于网络设备上,所述装置包括:
消息获取模块,用于获取客户端与服务器之间的SSL交互信息;
消息解析模块,用于从所述SSL交互信息中提取应用名称、应用特征和四元组信息,所述四元组信息包括源IP地址、目的IP地址、目的端口和传输层协议号;
消息匹配模块,用于获取客户端与服务器之间的后续SSL会话流,将所述SSL会话流与所述四元组信息进行匹配,若匹配成功,则识别后续SSL会话流为所述应用名称对应的应用。
根据上述技术方案,可以自动提取SSL协议中的应用名称,并且自动提取应用特征,并通过前后数据流的关联提高SSL协议中应用特征的识别率,从而能够简单方便的识别出SSL协议中的具体应用。
附图说明
图1是本发明实施例的SSL协议中应用的自动识别方法流程图;
图2是本发明实施例的SSL协议中应用的自动识别装置结构图。
具体实施方式
以下结合附图对本发明进行详细描述。
针对现有技术中存在的不容易从SSL协议中识别出具体的应用的问题,本发明实施例提供一种SSL协议中应用的自动识别方法和装置,可以自动提取SSL协议中的应用名称,并且自动提取应用特征,并通过前后数据流的关联提高SSL协议中应用特征的识别率。
图1是本发明实施例的SSL协议中应用的自动识别方法流程图,所述方法应用与网络设备中,所述网络设备位于客户端与服务器之间,能够获取客户端与服务器之间的交互报文,所述网络设备可以为审计设备、流控设备及防火墙等。
参照图1,所述方法可以包括如下步骤:
步骤101,获取客户端与服务器之间的SSL交互信息;
可以通过在线抓包,获取客户端与服务器之间的SSL交互信息,并根据固定端口443端口将SSL协议过滤出来。另外也可通过输入现有报文,来源一是通过wireshark或tcpdump抓取的应用程序报文进行回放,二是通过网络设备比如交换机等的端口镜像引过来的报文。
步骤102,从所述SSL交互信息中提取应用名称、应用特征和四元组信息;
可以对步骤101中获取到的消息内容进行解析,从中提取应用名称、应用特征和四元组信息,其中,四元组是指源IP地址、目的IP地址、目的端口、传输层协议号。
步骤102可以包括:
S1,从所述SSL交互信息中提取应用名称,根据应用模板库判断该应用名称是否已经被识别;
具体地,可以从SSL交互信息中获取域名作为当前会话以及后续会话的应用名称。所述当前会话是指包括域名的SSL会话,所述后续会话指当前会话结束后的预定时长(例如1分钟)内的SSL会话。
网络设备中建立和维护有应用库模块,所述应用模块库中存储有应用名称与应用特征之间的对应关系。通过将该应用名称与应用模板库中的应用名称进行比对,如果该应用名称存在于应用模板库中,则确定该应用名称已经被识别,否则,确定该应用名称未被识别。
当该应用名称已经被识别时,则提取四元组信息;当应用名称未被识别时,则提取应用特征和四元组信息,并将应用名称与应用特征的对应关系添加到所述应用模板库中。
其中,所述提取应用特征可以是,提取客户端和服务器之间的SSL协议的握手过程中的证书链,将所述证书链作为所述应用特征。
步骤103,获取客户端与服务器之间的后续SSL会话流,将所述SSL会话流与所述四元组信息进行匹配,若匹配成功,则识别后续SSL会话流为所述应用名称对应的应用。
所述后续SSL会话流是指所述后续会话对应的报文流。由于很多SSL会话流并没有证书链,因此通过已识别的四元组信息去判断接下来的会话流是否来自同一个应用。如果四元组相同,则认为它们是同个应用产生的,反之则认为它们不同。
另外,当有无法识别的SSL会话流时,对未识别的SSL会话流的四元组信息进行统计保存,保存的时间阈值预定为M(可以根据需要进行设置),当后续有新识别的应用名称及四元组信息时再去进行匹配。
进一步,所述方法还可以包括如下步骤(图未示):
对多次提取到的所述应用特征采用鲁姆过滤器(Bloomfilter)算法进行删除合并,将删除合并结果作为存储到应用模板库中的应用特征。
由于本发明可以对每一个有证书链的会话流都提取特征,因此会产生重复特征,于是,可以采用Bloomfilter算法对重复的特征进行删除合并。比如有两个特征abcdef和abcde,则保留abcde。
对应于上述方法,本发明实施例还提供一种SSL协议中应用的自动识别装置,应用于网络设备上,所述网络设备位于客户端与服务器之间,能够获取客户端与服务器之间的交互报文,所述网络设备可以为审计设备、流控设备及防火墙等。
参照图2,所述装置可以包括:
消息获取模块,用于获取客户端与服务器之间的SSL交互信息;
消息解析模块,用于从所述SSL交互信息中提取应用名称、应用特征和四元组信息,所述四元组信息包括源IP地址、目的IP地址、目的端口和传输层协议号;
消息匹配模块,用于获取客户端与服务器之间的后续SSL会话流,将所述SSL会话流与所述四元组信息进行匹配,若匹配成功,则识别后续SSL会话流为所述应用名称对应的应用。
其中,所述消息解析模块进一步用于:
从所述SSL交互信息中提取应用名称,根据应用模板库判断该应用名称是否已经被识别;
若该应用名称已经被识别,则提取四元组信息;
若该应用名称未被识别,则提取应用特征和四元组信息,并将应用名称与应用特征的对应关系添加到所述应用模板库中。
具体地,所述消息解析模块可以按照如下方式从SSL交互信息中提取应用名称:从所述从SSL交互信息中提取请求的域名信息作为所述应用名称;所述消息解析模块可以按照如下方式提取应用特征:提取客户端和服务器之间的SSL协议的握手过程中的证书链,将所述证书链作为所述应用特征。
进一步,所述自动识别装置还可以包括:特征优化模块,用于对多次提取到的所述应用特征采用Bloomfilter算法进行删除合并,将删除合并结果作为存储到应用模板库中的应用特征。
综上所述,本发明可以自动在线抓包,自动提取应用名称,自动提取SSL协议中的应用特征,省去了人工文本比对的繁琐,大大提高了应用特征提取的效率。本发明采用了自动提取SSL协议中应用特征、前后报文关联技术、自动重复特征检测优化等多项组合技术,大大提高了SSL协议中应用的识别率和精确性,可适应各类采用SSL协议的网络应用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种SSL协议中应用的自动识别方法,应用于网络设备上,其特征在于,所述方法包括:
获取客户端与服务器之间的SSL交互信息;
从所述SSL交互信息中提取应用名称、应用特征和四元组信息,所述应用特征为客户端和服务器之间的SSL协议握手过程中的证书链,所述四元组信息包括源IP地址、目的IP地址、目的端口和传输层协议号;
获取客户端与服务器之间的后续SSL会话流,将所述SSL会话流与所述四元组信息进行匹配,若匹配成功,则识别后续SSL会话流为所述应用名称对应的应用,若匹配不成功,保存所述后续SSL会话流的四元组信息,在预设的保存时间阈值内与后续新提取的四元组信息进行匹配以识别应用。
2.如权利要求1所述的自动识别方法,其特征在于,所述从所述SSL交互信息中提取应用名称、应用特征和四元组信息,包括:
从所述SSL交互信息中提取应用名称,根据应用模板库判断该应用名称是否已经被识别;
若该应用名称已经被识别,则提取四元组信息;
若该应用名称未被识别,则提取应用特征和四元组信息,并将应用名称与应用特征的对应关系添加到所述应用模板库中。
3.如权利要求2所述的自动识别方法,其特征在于,所述从SSL交互信息中提取应用名称,包括:
从所述从SSL交互信息中提取请求的域名信息作为所述应用名称。
4.如权利要求1所述的自动识别方法,其特征在于,还包括:
对多次提取到的所述应用特征采用Bloomfilter算法进行删除合并,将删除合并结果作为存储到应用模板库中的应用特征。
5.一种SSL协议中应用的自动识别装置,应用于网络设备上,其特征在于,所述装置包括:
消息获取模块,用于获取客户端与服务器之间的SSL交互信息;
消息解析模块,用于从所述SSL交互信息中提取应用名称、应用特征和四元组信息,所述应用特征为客户端和服务器之间的SSL协议握手过程中的证书链,所述四元组信息包括源IP地址、目的IP地址、目的端口和传输层协议号;
消息匹配模块,用于获取客户端与服务器之间的后续SSL会话流,将所述SSL会话流与所述四元组信息进行匹配,若匹配成功,则识别后续SSL会话流为所述应用名称对应的应用,若匹配不成功,保存所述后续SSL会话流的四元组信息,在预设的保存时间阈值内与后续新提取的四元组信息进行匹配以识别应用。
6.如权利要求5所述的自动识别装置,其特征在于,所述消息解析模块进一步用于:
从所述SSL交互信息中提取应用名称,根据应用模板库判断该应用名称是否已经被识别;
若该应用名称已经被识别,则提取四元组信息;
若该应用名称未被识别,则提取应用特征和四元组信息,并将应用名称与应用特征的对应关系添加到所述应用模板库中。
7.如权利要求6所述的自动识别装置,其特征在于,所述消息解析模块按照如下方式从SSL交互信息中提取应用名称:
从所述从SSL交互信息中提取请求的域名信息作为所述应用名称。
8.如权利要求5所述的自动识别装置,其特征在于,还包括:
特征优化模块,用于对多次提取到的所述应用特征采用Bloomfilter算法进行删除合并,将删除合并结果作为存储到应用模板库中的应用特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210477357.XA CN102984243B (zh) | 2012-11-20 | 2012-11-20 | 一种ssl协议中应用的自动识别方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210477357.XA CN102984243B (zh) | 2012-11-20 | 2012-11-20 | 一种ssl协议中应用的自动识别方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102984243A CN102984243A (zh) | 2013-03-20 |
| CN102984243B true CN102984243B (zh) | 2016-05-11 |
Family
ID=47857977
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210477357.XA Active CN102984243B (zh) | 2012-11-20 | 2012-11-20 | 一种ssl协议中应用的自动识别方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102984243B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105279230A (zh) * | 2015-09-16 | 2016-01-27 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 通过主动学习方法构建互联网应用特征识别数据库的方法及系统 |
| CN107124385B (zh) * | 2016-02-24 | 2020-02-04 | 中国科学院声学研究所 | 一种基于镜像流的ssl/tls协议明文数据采集方法 |
| CN106209775B (zh) * | 2016-06-24 | 2019-05-24 | 深圳信息职业技术学院 | 一种ssl加密网络流的应用类型识别方法与装置 |
| CN114884738A (zh) | 2017-11-17 | 2022-08-09 | 华为技术有限公司 | 一种识别加密数据流的方法及装置 |
| CN112564991A (zh) | 2019-09-10 | 2021-03-26 | 华为技术有限公司 | 应用识别方法、装置及存储介质 |
| CN111371700A (zh) * | 2020-03-11 | 2020-07-03 | 武汉思普崚技术有限公司 | 一种应用于正向代理环境中的流量识别方法及装置 |
| CN113259313A (zh) * | 2021-03-30 | 2021-08-13 | 浙江工业大学 | 一种基于在线训练算法的恶意https流量智能分析方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719899A (zh) * | 2008-10-09 | 2010-06-02 | 丛林网络公司 | 用于网络安全装置的具有端口限制的动态访问控制策略 |
-
2012
- 2012-11-20 CN CN201210477357.XA patent/CN102984243B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719899A (zh) * | 2008-10-09 | 2010-06-02 | 丛林网络公司 | 用于网络安全装置的具有端口限制的动态访问控制策略 |
Non-Patent Citations (2)
| Title |
|---|
| "基于分类与特征匹配的应用层协议识别方法";刘秋菊等;《计算机工程与设计》;20120731;第1492-1495页 * |
| "基于特征匹配的网络应用识别技术研究";张波;《中国优秀硕士论文期刊网》;20110331;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102984243A (zh) | 2013-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102984243B (zh) | 一种ssl协议中应用的自动识别方法和装置 | |
| CN102420701B (zh) | 一种互联网业务流特征的提取方法 | |
| CN109167798B (zh) | 一种基于机器学习的家用物联网设备DDoS检测方法 | |
| CN101741644B (zh) | 流量检测方法及装置 | |
| CN103780610A (zh) | 基于协议特征的网络数据恢复方法 | |
| CN104506484A (zh) | 一种私有协议分析与识别方法 | |
| CN101714952A (zh) | 一种接入网的流量识别方法和装置 | |
| CN103139315A (zh) | 一种适用于家庭网关的应用层协议解析方法 | |
| CN102739457A (zh) | 一种基于dpi和svm技术的网络流量识别系统及方法 | |
| CN101753622A (zh) | 一种应用层协议特征的提取方法 | |
| CN106815511A (zh) | 信息处理装置和方法 | |
| CN107707549B (zh) | 一种自动提取应用特征的装置及方法 | |
| CN103763108B (zh) | 一种识别移动设备硬件唯一序列号的远程系统及方法 | |
| CN104184723A (zh) | 一种应用程序识别方法、装置和网络设备 | |
| CN102984242A (zh) | 一种应用协议的自动识别方法和装置 | |
| CN103856370A (zh) | 一种应用流量识别方法及其系统 | |
| WO2016201876A1 (zh) | 一种加密流量的业务识别方法、装置和计算机存储介质 | |
| CN102904940A (zh) | 一种Web服务器识别的方法及装置 | |
| CN111224891B (zh) | 一种基于动态学习三元组的流量应用识别系统及方法 | |
| CN111200543A (zh) | 一种基于主动服务探测引擎技术的加密协议识别方法 | |
| CN105049437A (zh) | 一种网络应用层数据过滤方法 | |
| CN101296224A (zh) | 一种p2p流量识别系统和方法 | |
| CN104283703A (zh) | 一种用户登录提醒方法及系统 | |
| CN102624547A (zh) | 一种即时通信上网行为管理的方法、装置与系统 | |
| CN105391720A (zh) | 用户终端登录方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Patentee after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Patentee before: Hangzhou Dipu Technology Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181029 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Depp Information Technology Co., Ltd. Address before: 310051, 6 floor, Chung Cai mansion, 68 Tong he road, Binjiang District, Hangzhou, Zhejiang. Patentee before: Hangzhou Dipu Polytron Technologies Inc |
|
| TR01 | Transfer of patent right |