[发明专利]加密TCP流量采集方法与装置

权利要求书

1.一种加密TCP流量采集方法，其特征在于，包括：

根据TCP的三次握手过程从获取到的加密TCP流量中识别用于建立一次TCP会话的TCP会话建立数据包；

将所述TCP会话建立数据包之后属于所述TCP会话的TCP数据包加入所述TCP会话的数据包集合，直至根据TCP的四次挥手过程从所述获取到的加密TCP流量中识别出用于结束所述TCP会话的TCP会话结束数据包，或者，所述数据包集合中数据包的个数达到预设数量，以得到所述TCP会话的数据包集合；

对所述TCP会话的数据包集合进行统计分析，获取所述TCP会话的特征信息。

2.如权利要求1所述的方法，其特征在于，所述特征信息包括：

源IP地址、源TCP端口、目的IP地址、目的TCP端口、会话数据包总数、源数据包总数、源数据包总大小、目的数据包总数、目的数据包总大小、TCP Flag七元数组、会话开始时间和会话结束时间。

3.如权利要求1所述的方法，其特征在于，所述方法还包括：

从所述TCP会话的数据包集合中获取TCP会话建立之后，由源发出的第一个TCP数据包；

根据所述第一个TCP数据包确定所述TCP会话的加密协议；

根据所述TCP会话的加密协议和握手数据包确定所述TCP会话的指纹库。

4.如权利要求3所述的方法，其特征在于，若所述TCP会话的加密协议为TLS协议，则所述根据所述TCP会话的加密协议和握手数据包确定所述TCP会话的指纹库，包括：

从所述握手数据包中获取ClientHello消息、ServerHello消息和Certificate消息；

采用第一指纹提取算法对所述ClientHello消息进行指纹提取，得到所述ClientHello消息的指纹；

采用第二指纹提取算法对所述ServerHello消息进行指纹提取，得到所述ServerHello消息的指纹；

根据X.509证书格式对所述Certificate消息进行解析并计算所述Certificate消息的SHA-1指纹；

将所述所述ClientHello消息及其对应的指纹、所述ServerHello消息及其对应的指纹和所述Certificate消息及其对应的指纹加入所述TCP会话的指纹库。

5.如权利要求3所述的方法，其特征在于，若所述TCP会话的加密协议为SSH协议，则所述根据所述TCP会话的加密协议和握手数据包确定所述TCP会话的指纹库，包括：

从所述握手数据包中获取SSH客户端密钥交换消息和SSH服务器密钥交换消息；

采用第三指纹提取算法对所述SSH客户端密钥交换消息进行指纹提取，得到所述SSH客户端密钥交换消息的指纹；

采用第四指纹提取算法对所述SSH服务器密钥交换消息进行指纹提取，得到所述SSH服务器密钥交换消息的指纹；

将所述SSH客户端密钥交换消息及其对应的指纹和所述SSH服务器密钥交换消息及其对应的指纹加入所述TCP会话的指纹库。

6.如权利要求3所述的方法，其特征在于，若所述TCP会话的加密协议为私有加密协议，则所述根据所述TCP会话的加密协议和握手数据包确定所述TCP会话的指纹库，包括：

将所述TCP会话的源首次载荷和目的首次载荷加入所述TCP会话的指纹库，所述源首次载荷为源发出的第一个TCP数据包载荷中预设位置处预设数量的字节，所述目的首次载荷为目的地发出的第一个TCP数据包载荷中预设位置处预设数量的字节。