【摘要】 一种基于流量分析的SSL VPN协议检测方法,用于网络安全领域。本发明首先在智能代理或探针机器上打开网卡的混杂模式进行循环监听,并且设置BPF过滤器抓取HTTPS报文,其中包括了可能存在的SSL VPN报文,对抓取的报文进行SSL VPN检测方法,该方法根据SSL VPN通信流量的时域特征和VPN建立时候的一些握手协议特征,来检测是HTTPS应用的流量还是SSL VPN的流量。本发明使用了HASH表来代替数据库查询,速度很快而且简单稳定。。 【专利类型】发明授权 【申请人】上海交通大学 【申请人类型】学校 【申请人地址】200240 上海市闵行区东川路800号 【申请人地区】中国 【申请人城市】上海市 【申请人区县】闵行区 【申请号】CN200810039183.2 【申请日】2008-06-19 【申请年份】2008 【公开公告号】CN101296228B 【公开公告日】2010-10-06 【公开公告年份】2010 【授权公告号】CN101296228B 【授权公告日】2010-10-06 【授权公告年份】2010.0 【IPC分类号】H04L29/06; H04L12/24 【发明人】蒋兴浩; 周志洪; 李建华; 张月国; 蔡伟 【主权项内容】一种基于流量分析的SSL VPN协议检测方法,其特征在于,包括如下步骤:步骤一:在智能代理或者探针设备上把网卡设为混杂模式,并通过调用libpcap网络抓包库函数进行循环监听,设置BPF抓包过滤器来抓取所有TCP 443端口的报文,也即SSL报文,通过设置回调函数callback为基于流量分析的SSLVPN检测函数,每次抓到报文就会自动调用基于流量分析的SSL VPN检测函数进行处理;回调函数callback是由系统接收到消息自动调用的函数,把基于流量分析的SSL VPN检测方法的函数地址作为参数设置为回调函数,因此,当Libpcap抓到符合过滤规则的报文,就会自动去调用基于流量分析的SSL VPN检测函数;步骤二:在回调函数中也即基于流量分析的SSL VPN的检测方法函数中执行流量分析,对于抓到的每个SSL报文,根据IP和会话ID去数据库中查询其历史信息,从而判断抓到的SSL数据包是否属于SSL VPN连接,也就是SSL VPN的检测;步骤三:根据上一步骤检测出来的SSL VPN,在SSL协商响应报文中寻找的Cipher Suite,即SSL VPN中的加密算法、认证算法、哈希算法、组签名算法信息,解析出SSL VPN报文中所采用加密算法,从而检测出SSL VPN的重要信息;步骤四:在循环调用回调函数之前设置定时器,定时执行清理工作;步骤五:退出该应用的时候,结束监听,使网卡退出混杂模式,释放程序所占用的内存资源。 【当前权利人】上海交通大学 【当前专利权人地址】上海市闵行区东川路800号 【统一社会信用代码】1210000042500615X0 【引证次数】3.0 【被引证次数】1 【他引次数】3.0 【被他引次数】1.0 【家族引证次数】3.0 【家族被引证次数】22
