[发明专利]一种基于SSL证书指纹的HTTPS业务流量识别的方法

说明书

本发明提供一种基于SSL证书指纹的HTTPS业务流量识别的方法，包括读取HTTPS会话的流量报文数据包并解析获得原始报文信息；对原始报文信息进行报文重组得到拼接报文信息；依照拼接报文信息采用session回填算法生成标记报文信息；组建证书指纹库；根据标记报文信息的证书序列号与证书指纹库进行匹配，对HTTPS会话进行业务识别，输出业务名称信息。本发明通过OpenSSL、爬虫、证书还原构建证书指纹库，然后解析未知HTTPS流量证书的有效信息，最后将流量证书中的有效信息与证书指纹库高效匹配，完成精准识别HTTPS业务。

技术领域

本发明涉及互联网通信技术领域，具体涉及一种基于SSL证书指纹的HTTPS业务流量识别的方法。

背景技术

近年来，随着 IT 技术的飞速发展，互联网应用数量剧增，网络用户的数量也逐渐增长，互联网已经成为人们生活中的重要组成部分。然而互联网的普及除了给广大用户带来便捷服务之余，也逐渐引发了一系列的网络安全问题。HTTPS协议在一定程度上保护了用户的隐私，但是一些不法分子也利用了HTTPS协议的特性，频频发起网络攻击，很大程度上威胁了社会的稳定性。因此对于HTTPS加密流量的业务识别对于网络安全、网络治理、网络运营意义重大，目前对HTTPS识别技术主要有以下几种：

（1）基于端口识别：这种方式是最原始和最早采用的流量识别方式，通过解析数据流量包的端口信息，再与端口业务映射关系对比输出识别业务信息；这种识别方式仅仅适用于端口相对固定的业务，目前很多主流业务经常用随机端口通讯，这就使这种基于端口的识别方式变得捉襟见肘；

（2）基于负载特征识别：这种方式首先分析已知业务的HTTPS流量特征串，然后将特征串与未知流量的数据包内容相比较，完成业务识别。这种识别方法较基于端口识别要精准很多，但是缺点在于它无法识别出先前未发现的流量，当一种新的流量出现时必须要重新提取特征串，尤其对于HTTPS加密流量来说提取特征串并校验其唯一性非常复杂，耗时巨大；

（3）基于SNI域名识别：这种方式比较直接，从HTTPS加密传输前的SSL握手阶段（明文）提取出server name，然后将已有累计的域名业务识别库对server name进行匹配，完成业务识别，但这种方式有两个缺点：一并不是每一次SSL握手都携带server name，二是这种方式需要自身累计域名业务识别库，如果域名业务库收录不全或者错误，就会造成漏识别或者误识别。

（4）中间人方式攻击截获HTTPS流量识别：中间人的方式有两种SSL劫持攻击和SSL剥离攻击，这种方式简单的说就是为了获取HTTPS传输明文数据，需要将自己接入到客户端和目标网站之间；在传输过程中伪造服务器证书等信息，这种方式为一种网络攻击的方式，对于客户来说是有网络质量感知的，也有可能透露用户隐私信息，带来严重的网络安全问题。

发明内容

有鉴于此，本发明要解决的问题是提供一种基于SSL证书指纹的HTTPS业务流量识别方法，首先通过OpenSSL、爬虫、证书还原等方式构建证书指纹库，然后解析未知HTTPS流量证书的有效信息，最后将流量证书中的有效信息与证书指纹库高效匹配，完成精准识别HTTPS业务。

为解决上述技术问题，本发明采用的技术方案是：一种基于SSL证书指纹的HTTPS业务流量识别的方法，包括以下步骤：

S1：读取HTTPS会话的流量报文数据包并解析获得原始报文信息；

S2：对所述原始报文信息进行报文重组得到拼接报文信息；

S3：依照所述拼接报文信息采用session回填算法生成标记报文信息；

S4：组建证书指纹库；

S5：根据所述标记报文信息的证书序列号与所述证书指纹库进行匹配，对HTTPS会话进行业务识别，输出业务名称信息。

在本发明中，优选地，所述S4的组建证书指纹库具体包括如下步骤：

S41：采集得到原始域名信息；