[发明专利]基于流的IPSec VPN协议深度检测方法

摘要

一种基于流的IPSec VPN协议深度检测方法，用于网络安全领域。本发明首先在智能代理或探针机器上打开网卡的混杂模式进行循环监听，并且设置BPF过滤器抓取IPSec VPN报文。对IPSec报文序列流存储并进行深度检测，识别和分析IPSec VPN报文是否为伪造，是否是非标准格式报文，并且能够根据IPSec VPN报文序列流的上下文解析出非标准格式报文和标准格式报文之间的区别。本发明提出的根据协议会话状态的深度检测方法有相当的智能性，可以分析未知格式的报文，而且实现简单，性能稳定，可以应用在监察代理、防火墙、IDS等领域。

主权项

1、 一种基于流的IPSec VPN协议深度检测方法，其特征在于，包括如下步骤：步骤一：在智能代理或者探针设备上把网卡设为混杂模式，并通过调用libpcap网络抓包库函数进行循环监听，设置BPF抓包过滤器来抓取所有UDP 500端口和4500端口的报文，也即IPSec VPN报文，设置回调函数callback为基于流的深度检测函数，每次抓到报文就会自动调用基于流的深度检测函数进行处理；所述回调函数callback是由系统接收到消息自动调用的函数，将基于流的深度检测的函数地址作为参数设置为回调函数，当Libpcap抓到符合过滤规则UDP 500和UDP 4500的报文，就会自动去调用基于流的深度检测函数；步骤二：在回调函数也就是基于流的深度检测函数中把抓取到的IPSec VPN报文序列都保持在数据结构中，对IPSec VPN报文序列的上下文进行分析和检测，首先按照标准的IPSec VPN报文序列格式去解析，定位SA协商请求报文和协商响应报文，并提取VPN关键信息；如果能正确解析，那么该IPSec VPN报文序列是标准的，如果不能解析，那么说明IPSec VPN报文序列是非标准的或者是伪造的，此时各个字段内容都被打乱，按标准协议格式无法得知哪些是SA协商请求分组，哪些是协商响应分组，这时根据上下文信息特征分析检测出哪个报文是协商响应报文，再对这些非标准的报文进行关键字段的提取，如果根据上下文特征还检测不出来，则认为是伪造的IPSec VPN报文，这时触发相关安全事件进行处理；步骤三：根据上个步骤上下文信息也即基于流的深度检测方法检测出来的协商响应报文，寻找协商响应报文中的NextPayLoadType，解析出标准或非标准的IPSec VPN报文中所采用算法，从而检测出其中不符合中国密码管理委员会政策规定的算法，或者是VPN生产厂家不按标准协议格式设计的非标准的IPSec VPN协议，或者是伪造的IPSec VPN报文，并按照设置安全规则进行报警、或者记录日志处理。