[发明专利]基于流量分析的SSL VPN协议检测方法

摘要

一种基于流量分析的SSL VPN协议检测方法，用于网络安全领域。本发明首先在智能代理或探针机器上打开网卡的混杂模式进行循环监听，并且设置BPF过滤器抓取HTTPS报文，其中包括了可能存在的SSL VPN报文，对抓取的报文进行SSL VPN检测方法，该方法根据SSL VPN通信流量的时域特征和VPN建立时候的一些握手协议特征，来检测是HTTPS应用的流量还是SSL VPN的流量。本发明使用了HASH表来代替数据库查询，速度很快而且简单稳定。

主权项

1、一种基于流量分析的SSL VPN协议检测方法，其特征在于，包括如下步骤：步骤一：在智能代理或者探针设备上把网卡设为混杂模式，并通过调用libpcap网络抓包库函数进行循环监听，设置BPF抓包过滤器来抓取所有TCP 443端口的报文，也即SSL报文，通过设置回调函数callback为基于流量分析的SSLVPN检测函数，每次抓到报文就会自动调用基于流量分析的SSL VPN检测函数进行处理；回调函数callback是由系统接收到消息自动调用的函数，把基于流量分析的SSL VPN检测方法的函数地址作为参数设置为回调函数，因此，当Libpcap抓到符合过滤规则的报文，就会自动去调用基于流量分析的SSL VPN检测函数；步骤二：在回调函数中也即基于流量分析的SSL VPN的检测方法函数中执行流量分析，对于抓到的每个SSL报文，根据IP和会话ID去数据库中查询其历史信息，从而判断抓到的SSL数据包是否属于SSL VPN连接，也就是SSL VPN的检测；步骤三：根据上一步骤检测出来的SSL VPN，在SSL协商响应报文中寻找的Cipher Suite，解析出SSL VPN报文中所采用加密算法，从而检测出SSL VPN的重要信息；步骤四：在循环调用回调函数之前设置定时器，定时执行清理工作；步骤五：退出该应用的时候，结束监听，使网卡退出混杂模式，释放程序所占用的内存资源。