[发明专利]一种基于SSL证书指纹的HTTPS业务流量识别的方法

权利要求书

1.一种基于SSL证书指纹的HTTPS业务流量识别的方法，其特征在于，包括以下步骤：

S1：读取HTTPS会话的流量报文数据包并解析获得原始报文信息；

S2：对所述原始报文信息进行报文重组得到拼接报文信息；

S3：依照所述拼接报文信息采用session回填算法生成标记报文信息；

S4：组建证书指纹库；

S5：根据所述标记报文信息的证书序列号与所述证书指纹库进行匹配，对HTTPS会话进行业务识别，输出业务名称信息。

2.根据权利要求1所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法，其特征在于，所述S4的组建证书指纹库具体包括如下步骤：

S41：采集得到原始域名信息；

S42：将所述原始域名信息进行过滤预处理得到分类域名信息，将所述分类域名信息存储到PostgreSQL数据库；

S43：通过分布式OpenSSL方式对所述分类域名信息进行模拟请求访问，下载所述分类域名信息的证书；

S44：对所述分类域名信息的证书进行属性解析得到证书的属性信息，根据证书的Authority Key Identifier信息构建完整的证书链，Authority Key Identifier表示颁发机构密钥标识符扩展，颁发机构密钥标识符扩展提供了对用于证书签名的私钥对应的公钥进行鉴定的方法；

S45：在所述证书链打上业务标识，建立所述分类域名信息、业务标识和证书链的映射关系。

3.根据权利要求1所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法，其特征在于，所述S3的session回填算法具体包括如下步骤：

S31：从TCP协议数据包提取ServerName信息和证书链关键信息；

S32：通过解析所述原始报文信息获取session信息、首次SSL握手的证书信息以及ServerName信息；

S33：建立反映所述session信息与标记信息映射关系的映射表；

S34：将携带session信息的HTTPS会话在所述映射表中进行关联匹配，将证书的所述业务标记信息回填到当前HTTPS会话中。

4.根据权利要求1所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法，其特征在于，所述S2的报文重组具体包括如下步骤：

S21：根据所述原始报文信息获取TCP协议数据包；

S22：按四元组对所述原始报文信息进行汇聚；

S23：在ACK相同的情况下按SEQ排序，拼接所述TCP协议数据包以得到所述拼接报文信息。

5.根据权利要求4所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法，其特征在于，所述四元组设置为源IP、目的IP、源端口和目的端口。

6.根据权利要求3所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法，其特征在于，所述TCP协议数据包包括Client hello、Server hello、Certificate和New SessionTicket。

7.根据权利要求1所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法，其特征在于，所述S5具体包括如下步骤：

S51：将证书指纹库加载至Map集合，所述Map集合的key为证书序列号，所述Map集合的value为业务名称；

S52：通过标记报文信息的证书序列号与所述Map集合进行匹配；

S53：域名库资源匹配模块的输入信息为ServerName信息以及CommonName信息，所述ServerName信息表示请求的服务器名，所述CommonName信息表示证书的公用名，通过匹配host域名资源表，输出业务名称信息。