WO2013123799A1 - 利用数字证书识别加密协议的识别方法及系统 - Google Patents

Abstract

本发明公开了一种利用数字证书识别加密协议的识别方法及系统，涉及互联网应用技术领域，所述方法包括：S1：对当前报文进行扫描，以获得协议关键字特征；S2：将协议关键字特征与预设的特征库进行匹配；S3：继续扫描后续报文，以获得服务器数字证书的关键字；S4：将所述服务器数字证书的关键字与预设的特征库进行匹配，若获得了匹配结果，则识别为与所述匹配结果对应的协议报文，否则将当前报文识别为HTTPS协议报文。本发明的方法与原有的粗粒度识别方法不同，从更深度的角度挖掘了HTTPS协议的特征，从数字证书中提取了具备唯一性的关键字，有效区分了共同使用HTTPS协议的不同的应用协议，提高了应用识别和应用控制的粒度。

Description

利用数字证书识别加密协议的识别方法及系统

技术领域

本发明涉及互联网应用技术领域，特别涉及一种利用数字证书识别加密协议的识别方法及系统。

背景技术

随着互联网的广泛普及，安全性问题越来越受到重视。安全超文本传送协议（Hypertext Transfer Protocol over Secure Socket Layer，HTTPS）是一种常见的加密协议，一般与安全套接层协议（Secure Socket Layer，SSL）/安全传输层协议（Transport Layer Security，TLS）组合使用，用以提供加密通讯及对网络服务器身份的鉴定，被广泛应用到对数据保密性要求很高的应用中，如网上银行、邮件、即时通讯、游戏账号登录等。在一般的协议识别方式中，HTTPS报文经过应用程序中的识别模块被直接识别为HTTPS报文，这种识别结果不能够满足精细化的应用识别和应用控制的粒度要求，例如：GMAIL邮件登陆和魔兽世界登录都被识别为HTTPS，但是控制系统需要禁止魔兽世界而允许GMAIL登录，这种识别结果显然无法满足需求。

发明内容

（一）要解决的技术问题

本发明要解决的技术问题是：如何提高应用识别和应用控制的粒度。

（二）技术方案

为解决上述技术问题，本发明提供了一种利用数字证书识别加密协议的识别方法，所述方法包括以下步骤：

S1：获取应用程序中的当前报文，对当前报文进行扫描，以获得所述当前报文中的协议关键字特征；

S2：将所述当前报文中的协议关键字特征与预设的特征库进行匹配，若所述当前报文为HTTPS协议报文，则执行步骤S3；

S3：继续扫描后续报文中的服务器数字证书，以获得所述当前报文中服务器数字证书的关键字；

S4：将所述服务器数字证书的关键字与预设的特征库进行匹配，若获得了匹配结果，则将所述当前报文识别为与所述匹配结果对应的协议报文，否则将所述当前报文识别为HTTPS协议报文。

优选地，所述预设的特征库通过以下步骤建立：

S01：获取应用程序中的若干样本报文，对所述样本报文进行扫描，以获得所述样本报文的协议关键字特征和服务器数字证书的关键字；

S02：将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。

优选地，所述应用程序为采用HTTPS协议传输数据的程序。

优选地，所述服务器数字证书的关键字为公司名称或应用名称。

本发明还公开了一种利用数字证书识别加密协议的识别系统，所述系统包括：

报文扫描模块，用于获取应用程序中的当前报文，对所述当前报文进行扫描，以获得当前报文中的协议关键字特征；

匹配模块，用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配，若所述当前报文为HTTPS协议报文，则执行继续扫描模块；

继续扫描模块，用于继续扫描后续报文中的服务器数字证书，以获得所述当前报文中服务器数字证书的关键字；

识别模块，用于将所述服务器数字证书的关键字与预设的特征库进行匹配，若获得了匹配结果，则将所述当前报文识别为与所述匹配结果对应的协议报文，否则将所述当前报文识别为HTTPS协议报文。

（三）有益效果

本发明的识别方法与原有的粗粒度识别方法不同，其从更深度的角度挖掘了HTTPS协议的特征，从数字证书中提取了具备唯一性的关键字，有效区分了共同使用HTTPS协议的不同的应用协议，提高了应用识别和应用控制的粒度。

附图说明

图1是按照本发明一种实施方式的利用数字证书识别加密协议的识别方法的流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1是按照本发明一种实施方式的利用数字证书识别加密协议的识别方法的流程图；参照图1，所述实施方式的方法包括以下步骤：

S1：获取应用程序中的当前报文，对当前报文进行扫描，以获得所述当前报文中的协议关键字特征；

S2：将所述当前报文中的协议关键字特征与预设的特征库进行匹配，若所述当前报文为HTTPS协议报文，则执行步骤S3；

S3：继续扫描后续报文中的服务器数字证书，以获得所述当前报文中服务器数字证书的关键字；

S4：将所述服务器数字证书的关键字与预设的特征库进行匹配，若获得了匹配结果，则将所述当前报文识别为与所述匹配结果对应的协议报文，否则将所述当前报文识别为HTTPS协议报文。

优选地，所述预设的特征库通过以下步骤建立：

S01：获取应用程序中的若干样本报文，对所述样本报文进行扫描，以获得所述样本报文的协议关键字特征和服务器数字证书的关键字；

S02：将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。

优选地，所述应用程序为采用HTTPS协议传输数据的程序，例如：网上银行、及时通讯登录、邮件、游戏账号登录等。

优选地，所述服务器数字证书的关键字为公司名称、应用名称等具备唯一性的关键字。

在协议识别时，识别的对象是报文，在识别结果确定以后，一般不再跟踪报文，在本发明中，对报文进行了二次识别，第一次识别为HTTPS协议，但不能确定是何种应用使用了HTTPS协议，第二次识别选取数字证书中最具唯一性的公司名称或应用名称，具备较高的可靠性。但是，如果直接选取数字证书中的公司名称或应用名称是不可取的，具有以下两个原因：

一、连接前面的报文被优先匹配，因此连接会识别成HTTPS；

二、误识别率被显著提高，其他协议（比如：HTTP）也会出现公司名称或应用名称。

综上所述，本发明提供的利用数字证书识别加密协议的识别方法，与原有的直接识别为HTTPS加密协议不同，其可以直接识别出被加密的真实的应用协议，从而可以提供更为精确的控制粒度。该发明可适用性强，针对所有利用HTTPS协议加密的应用协议都在适用范围之内，因为服务商的数字证书属于SSL/TLS协议规范的一部分，而SSL/TLS和HTTPS协议一般组合使用，包括网上银行、邮件、即时通讯和游戏登录等都可以根据本发明进行识别。

实施例1

下面结合附图说明，使用中国工商银行网上银行的实例来说明，但不用来限制发明的范围。所述方法包括：

步骤A：获取工商银行网上银行登录的当前报文，对当前报文进行扫描，以获得当前报文中的协议关键字特征；

步骤B：将当前报文中的协议关键字特征与预设的特征库进行匹配，发现当前报文为HTTPS协议报文，执行步骤C，本步骤中，只对识别为HTTPS协议报文进行相应处理，其他报文按照正常流程进行处理；

步骤C：继续扫描后续报文中的服务器数字证书，以获得当前报文中服务器数字证书的关键字（本实施例中，后续报文中服务器数字证书的关键字为工商银行数字证书名称“mybank.icbc.com.cn”）；

步骤D：将所述服务器数字证书的关键字与预设的特征库进行匹配，若一旦发现工商银行网银关键字特征被匹配，则将当前报文识别为工商银行网银，否则将当前报文识别为HTTPS协议报文。

本发明还公开了一种利用数字证书识别加密协议的识别系统，所述系统包括：

报文扫描模块，用于获取应用程序中的当前报文，对所述当前报文进行扫描，以获得当前报文中的协议关键字特征；

匹配模块，用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配，若所述当前报文为HTTPS协议报文，则执行继续扫描模块；

继续扫描模块，用于继续扫描后续报文中的服务器数字证书，以获得所述当前报文中服务器数字证书的关键字；

识别模块，用于将所述服务器数字证书的关键字与预设的特征库进行匹配，若获得了匹配结果，则将所述当前报文识别为与所述匹配结果对应的协议报文，否则将所述当前报文识别为HTTPS协议报文。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。

工业实用性

本发明的识别方法与原有的粗粒度识别方法不同，其从更深度的角度挖掘了HTTPS协议的特征，从数字证书中提取了具备唯一性的关键字，有效区分了共同使用HTTPS协议的不同的应用协议，提高了应用识别和应用控制的粒度。

Claims (1)

1. 权 利 要 求 书

   1、一种利用数字证书识别加密协议的识别方法，其特征在于，所述方法包括以下步骤：

   S1：获取应用程序中的当前报文，对当前报文进行扫描，以获得所述当前报文中的协议关键字特征；

   S2：将所述当前报文中的协议关键字特征与预设的特征库进行匹配，若所述当前报文为HTTPS协议报文，则执行步骤S3；

   S3：继续扫描后续报文中的服务器数字证书，以获得所述当前报文中服务器数字证书的关键字；

   S4：将所述服务器数字证书的关键字与预设的特征库进行匹配，若获得了匹配结果，则将所述当前报文识别为与所述匹配结果对应的协议报文，否则将所述当前报文识别为HTTPS协议报文。

   2、如权利要求1所述的方法，其特征在于，所述预设的特征库通过以下步骤建立：

   S01：获取应用程序中的若干样本报文，对所述样本报文进行扫描，以获得所述样本报文的协议关键字特征和服务器数字证书的关键字；

   S02：将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。

   3、如权利要求1所述的方法，其特征在于，所述应用程序为采用HTTPS协议传输数据的程序。

   4、如权利要求1所述的方法，其特征在于，所述服务器数字证书的关键字为公司名称或应用名称。

   5、一种利用数字证书识别加密协议的识别系统，其特征在于，所述系统包括：

   报文扫描模块，用于获取应用程序中的当前报文，对所述当前报文进行扫描，以获得当前报文中的协议关键字特征；

   匹配模块，用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配，若所述当前报文为HTTPS协议报文，则执行继续扫描模块；

   继续扫描模块，用于继续扫描后续报文中的服务器数字证书，以获得所述当前报文中服务器数字证书的关键字；

   识别模块，用于将所述服务器数字证书的关键字与预设的特征库进行匹配，若获得了匹配结果，则将所述当前报文识别为与所述匹配结果对应的协议报文，否则将所述当前报文识别为HTTPS协议报文。

Images