[发明专利]一种识别加密数据流的方法及装置

说明书

本申请描述了一种识别加密数据流的方法，该方法包括：根据一加密数据流对应的安全加密传输协议，解析所述加密数据流的多个握手报文，以获得所述多个握手报文包含的多个字段；根据所述多个字段，从多个规则集合中确定出所述多个握手报文所匹配的规则集合，以及根据所述匹配的规则集合与应用的映射关系，确定所述加密数据流对应的应用，该方法能够更准确地识别出网络中的加密流量，即能够更多更准地识别出加密数据流。

技术领域

本发明涉及计算机领域，尤其涉及一种识别加密数据流的方法和装置。

背景技术

因特网(Internet)凭借其开放性、共享性等特点迅速普及并发展壮大，越来越多的新型网络应用应运而生，Internet的开放性特点也意味着任何符合其技术标准的设备或软件都可以不受限制地接入互联网。为了对网络进行有效监督和管理，增强网络的可控性，例如有效利用带宽，并提供更好的服务质量(quality of service，QoS)，或者提高网络的安全性，减少网络犯罪等行为的发生等，其中要解决的一个关键问题是对网络中的流量进行识别，例如从数据流的角度将流量分类，更具体的可以是确定网络中的数据流属于哪个应用，即一数据流携带的是哪个应用的数据。

常见的应用层之下的安全加密传输协议有安全套接字层(Secure Socket Layer，SSL)协议、传输层安全(Transport Layer Security，TLS)协议以及数据报传输层安全(Datagram Transport Layer Security，DTLS)协议等，其中，TLS协议可以视为是SSL协议的升级版本，DTLS协议基于TLS协议，用于保护UDP连接上数据的传输安全，网络中通过安全加密传输协议传输的数据流称为加密数据流(简称加密流)，加密流的流量也被称为加密流量。加密流较难在除数据流的发端和收端被解析，因此识别网络中传输的加密流量所属的应用是目前业界主要的技术难题。

以TLS协议为例，识别加密流量可以通过解析握手报文中的SNI(Server NameIndication)字段进行识别，该SNI字段是握手报文ClientHello中的字段，该字段用于指明握手报文ClientHello所在的加密流对应的域名(Host Name)。或者，还可以通过解析握手报文中Common Name字段进行识别，该Common Name字段是握手报文Certificate(证书)的subject域中的字段，该字段中包括指示握手报文Certificate所在的加密流对应的域名的信息。

但是很多场景下，上述字段可以被设置为携带错误的信息或者模糊的信息(如通配符等)，上述字段也可能在TLS报文中不存在，使用单一的SNI字段或者Common Name字段识别，使得对加密流量都不能正确识别出其对应的应用。

发明内容

本申请实施例提供一种识别加密数据流的方法及装置，能够更准确地识别出网络中的加密流量，即能够更多更准地识别出加密数据流，其中，识别是指识别出加密的数据流所对应的应用。

第一方面，本申请记载一种识别加密数据流的方法，该方法包括：根据一加密数据流对应的安全加密传输协议，解析所述加密数据流的多个握手报文，以获得所述多个握手报文包含的多个字段；根据所述多个字段，从多个规则集合中确定出所述多个握手报文所匹配的规则集合，其中，所述多个规则集合中的每个规则集合包括字段规则和顺序规则中的至少一种规则，所述字段规则用于指示一个字段的特征，所述顺序规则用于指示一个握手报文中多个字段的顺序，所述多个握手报文中的字段满足所述匹配的规则集合中的规则；根据所述匹配的规则集合与应用的映射关系，确定所述加密数据流对应的应用。

通过解析加密数据流中的多个握手报文中的字段，以及匹配这些字段与多个规则集合，找到该多个数据包对应的规则集合，再通过规则集合确定与之映射的应用，可以不再依赖握手报文中容易被篡改或者不准确的域名信息，能更多地识别出加密数据流对应于哪个应用，也能提高识别加密数据流的准确性。

应理解，该多个字段来自该多个握手报文。