[发明专利]一种识别加密数据流的方法及装置

权利要求书

1.一种识别加密数据流的方法，其特征在于，所述方法包括：

根据一加密数据流对应的安全加密传输协议，解析所述加密数据流的多个握手报文，以获得所述多个握手报文包含的多个字段，所述多个字段为除了服务器名称指示SNI字段和通用名称字段之外的字段；

根据所述多个字段，从多个规则集合中确定出所述多个握手报文所匹配的规则集合，其中，所述多个规则集合中的每个规则集合由多条规则组成，所述每个规则集合包括字段规则和顺序规则中的至少一种规则，所述字段规则用于指示一个字段的特征，所述顺序规则用于指示一个握手报文中携带的多个字段的类型的顺序，所述多个握手报文中的字段满足所述匹配的规则集合中的全部规则；

根据所述匹配的规则集合与应用的映射关系，确定所述加密数据流对应的应用。

2.根据权利要求1所述的方法，对一条字段规则，所指示的字段的特征为字段的长度，或者字段的类型，或者字段的长度和类型，或者字段的类型和值，或者字段的长度、类型和值。

3.根据权利要求1或2任一所述的方法，其特征在于，所述多个字段包括多个分组，所述多个分组中的每个分组对应一个握手报文，所述根据所述多个字段，从多个规则集合中确定所述多个握手报文所匹配的规则集合，包括：

按照所述多个握手报文的接收顺序，将所述多个分组与所述多个规则集合中的规则匹配，以从所述多个规则集合中得到所述多个握手报文所匹配的规则集合。

4.根据权利要求1或2所述的方法，其特征在于，所述多个规则集合中包括字段规则和顺序规则，所述根据所述多个字段，从多个规则集合中确定出所述多个握手报文所匹配的规则集合包括：

将所述多个字段与多个规则集合中的字段规则和顺序规则分别进行匹配，以从多个规则集合中确定出所述多个握手报文所匹配的规则集合。

5.根据权利要求1或2所述的方法，其特征在于，所述匹配的规则集合包括多个子集，所述多个子集中的每个子集对应至少一个应用，所述根据所述匹配的规则集合与应用的映射关系，确定所述加密数据流对应的应用，包括：

根据所述多个子集中每个子集与应用的映射关系，得到所述多个子集对应的多个应用集合；

求所述多个应用集合的交集，以得到所述规则集合对应的唯一的应用，所述应用为所述加密数据流对应的应用。

6.根据权利要求1或2所述的方法，其特征在于，所述多个规则集合中包括以链表形式保存的多条规则，其中，所述链表中的每一个节点保存对应一个握手报文的名称的规则。

7.根据权利要求1或2所述的方法，其特征在于，所述解析一加密数据流的多个握手报文，包括：

对所述加密数据流的多个握手报文中的每一个握手报文，执行以下操作:

解析所述每一个握手报文的名称；

根据所述每一个握手报文的名称，从所述多个规则集合中，确定出对应于所述每一个握手报文的名称的至少一条规则；

解析所述每一个握手报文中，所述至少一条规则所指示的字段。

8.根据权利要求1或2所述的方法，所述多个握手报文为安全套接字层SSL握手报文、传输层安全TLS握手报文或者数据报传输层安全DTLS握手报文。

9.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

通过机器学习算法训练多条加密数据流的多个样本，以得到目标应用对应的至少一个规则集合，其中，所述多个样本已知是否为所述目标应用对应的加密数据流的握手报文，所述多个样本中包括所述目标应用对应的加密数据流的握手报文。