[发明专利]一种加密流量的应用识别方法、系统和设备

说明书

本发明公开了一种加密流量的应用识别方法、系统和设备，包括以下步骤：提取待检测加密流量中的握手特征和证书特征；将所述握手特征、证书特征均与预设的应用特征对比库相匹配；匹配成功，识别所述待检测加密流量的应用信息，得到待检测加密流量的应用类别。本发明所提供的一种加密流量的应用识别方法、系统和设备，通过将加密流量的握手特征、证书特征均与预设的流量特征对比库进行匹配来识别待检测加密流量的应用类别，其中，握手特征具有较强的软件关联性，但存在碰撞的可能，证书特征具有较强的目的关联性与可验证合法性，但仅凭证书不能确认流量来源，所以结合二者，可以准确高效地识别出加密流量所对应的应用类别。

技术领域

本发明涉及信息安全中的加密流量分析领域，特别是涉及一种加密流量的应用识别方法、系统和设备。

背景技术

随着网络技术的飞速发展，互联网上的加密流量的种类和规模日益扩增，互联网的安全问题也日益严峻。许多应用程序会使用加密流量的方式来保护其数据内容，安全套接层(Secure Sockets Layer，简称SSL)协议是目前应用最为广泛的网络数据安全传输协议，例如：从谷歌服务器向外发送信息时，都会采用SSL协议加密的数据流量。

在一些应用场景，如数据审计中，需要对加密流量中的所属的应用类别进行识别。传统的做法是根据加密流量中加密流的域名特征来识别。但是，在加密流量中经常出现大量域名特征相同、但业务不同的加密流，现有的识别方法针对域名特征相同的加密流无法识别其所属的应用。

加密流量的应用识别是网络安全检测的一个难题和瓶颈，而实现加密流量的应用识别能极大的提高加密流量分析与恶意流量识别的效率与准确性。

发明内容

本发明的目的是提供一种能准确识别应用类别的加密流量的应用识别方法、系统和设备，以解决加密流量的应用来源识别问题。

为解决上述技术问题，本发明提供一种加密流量的应用识别方法，包括以下步骤：

提取待检测加密流量中的握手特征和证书特征，所述提取待检测加密流量中的握手特征，包括：

从待检测加密流量的握手信息中提取出握手特征集，将握手特征集提取摘要，由摘要计算出哈希值得到握手特征；

将所述握手特征、证书特征均与预设的应用特征对比库相匹配；

匹配成功，识别所述待检测加密流量的应用信息，得到待检测加密流量的应用类别；

其中，所述应用特征对比库是预先对多个现有应用软件进行提取，所建立的应用信息、握手特征、证书特征之间对应关系的应用特征对比库；

所述从待检测加密流量的握手信息中提取出握手特征集，将握手特征集提取摘要，由摘要计算出哈希值得到握手特征，包括：

从待检测加密流量的握手信息中提取出握手特征集，所述握手特征集包括客户端握手和服务端握手，所述特征内容包括客户端握手和服务端握手的协议版本、加密套件类型、加密套件顺序、加密套件数量、扩展项类型和扩展项顺序；

将握手特征集提取摘要，计算出哈希值得到握手特征。

可选地，所述将所述握手特征、证书特征均与预设的应用特征对比库相匹配，包括：

将所述握手特征和证书特征作为握手证书对，与预设的握手证书对比库相匹配；

握手证书对匹配上握手证书对比库，匹配成功；

握手证书对未匹配上握手证书对比库，则匹配失败。

可选地，所述握手证书对未匹配上握手证书对比库，则匹配失败，后包括：

将所述握手特征与预设的握手特征对比库相匹配，将所述证书特征与预设的证书特征对比库相匹配；