[发明专利]一种提取加密网络流量中TLS数据块的方法

权利要求书

1.一种提取加密网络流量中TLS数据块的方法，其特征在于，该方法包括如下步骤：

(1)获取目标应用的加密数据；

(2)从获取的加密数据中过滤出包含目标TLS数据块的TCP流数据；

(3)依次遍历每条已经记录的TCP流，生成与其对应的TCP流记录文件，接着读取每条流中的TLS报文的载荷，并写入TCP流记录文件；

(4)从每个TCP流记录文件中重组并记录TLS数据块；

步骤(2)中，从获取的加密数据中过滤出包含目标TLS数据块的TCP流数据的方法如下：

(2.1)确定目标TLS数据块的IP，并新建一个TCP流列表；

(2.2)服务器端使用443端口传输的TCP报文为TLS报文，据此定位至已获取加密数据包的第一个TLS报文，开始读取TLS报文；

(2.3)若读取的TLS报文的IP为目标IP，则进入(2.4)，否则进入(2.6)；

(2.4)若该TLS报文所属的TCP流是第一次出现，需要记录下该TCP流以及相关的数据至TCP流列表中，如客户端IP、客户端端口、服务端IP、服务端端口、TCP流所传输的数据长度，否则进入(2.5)；

(2.5)将该报文所属的TCP流的传输的数据长度加上该TLS报文所携带的负载的长度；

(2.6)若还有下一个TLS报文，则读取该TLS报文，进入(2.3)，否则进入(2.7)；

(2.7)输出记录的TCP流列表；

步骤(3)中，依次遍历每条已经记录的TCP流，生成与其对应的TCP流记录文件，接着读取每条流的TLS报文载荷，并写入TCP流记录文件中方法如下：

(3.1)读取TCP流列表，为每一个TCP流生成一个新的流记录文件；

(3.2)重新遍历获取的加密数据包，读取第一个TLS报文；

(3.3)若该TLS报文属于已经记录的TCP流列表中的某一条流，则进入(3.4)，否则进入(3.5)；

(3.4)计算该TLS报文所携带载荷的偏移量，按照偏移量将TLS报文写入相应位置，保证写入流记录文件的TLS报文的顺序是服务器响应的顺序；

(3.5)若存在下一个TLS报文，则读取下一个TLS报文，进入(3.3)，否则结束流程。

2.根据权利要求1所述的一种提取加密网络流量中TLS数据块的方法，其特征在于，步骤(4)中，从每个TCP流记录文件中重组并记录TLS数据块信息的方法如下：

(4.1)定位至TCP流列表中的第一条流；

(4.2)读取该流对应的TCP流记录文件；

(4.3)找到该流中第一个TLS数据块；

(4.4)读取TLS数据块的基本信息，获得起始位置和长度；

(4.5)根据TLS数据块起始标识和长度，判断若存在下一个TLS数据块，则进入(4.4)，否则进入(4.6)；

(4.6)若存在下一条TCP流，则进入(4.2)，否则进入(4.7)；

(4.7)输出TLS数据块信息。

3.一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1-2中任一项所述方法的步骤。

4.一种计算机可读存储介质，其特征在于，所述可读存储介质上存储有实现权利要求1-2中任一项所述方法步骤的计算机程序。