[发明专利]基于报文偏移量匹配的IPSec VPN协议深度检测方法

权利要求书

1.一种基于报文偏移量匹配的IPSec VPN协议深度检测方法，其特征在于，包括如下步骤：

步骤一：在智能代理或者探针设备上把网卡设为混杂模式，并通过调用libpcap网络抓包库函数进行循环监听，设置BPF抓包过滤器来抓取所有UDP 500端口和4500端口的报文，也即IPSec VPN报文，通过设置回调函数callback为基于报文偏移量匹配的深度检测函数，每次抓到报文就会自动调用基于报文偏移量匹配的深度检测函数进行处理；

回调函数callback是由系统接收到消息自动调用的函数，把基于报文偏移量匹配的深度检测的函数地址作为参数设置为回调函数，因此，当Libpcap抓到符合过滤规则的报文，就会自动去调用基于报文偏移量匹配的深度检测函数；

所述的基于报文偏移量模式匹配深度检测，具体为：利用报文自身的偏移量模式特征，不依赖于上下文信息，在因为报文格式非标准从而序列中所有报文都无法解析的情况下，根据SA协商响应报文和SA协商请求分组的偏移量特征，找到哪个是非标准的SA协商响应报文，并在非标准的SA协商响应报文中的SApayload字段中提取其中算法信息，如果要检测IPSec VPN所使用的算法参数，在报文都是标准的情况下，只需要抓取SA协商响应报文；

步骤二：在基于报文偏移量匹配的深度检测函数中，首先按照标准的IPSecVPN报文格式去解析，定位SA协商响应报文，并在该报文中提取VPN关键信息，如果能正确解析，那么该IPSec VPN报文格式是标准的，如果不能解析，那么说明IPSec VPN报文是非标准的或者是伪造的，此时各个字段内容都被打乱，按标准协议格式无法得知确切的报文类型，这时根据报文内部的结构特征去变换和匹配检测出IPSec VPN非标准报文和标准报文之间的区别，然后找出SA协商响应报文，再对非标准的报文进行关键字段的提取，如果根据报文偏移量特征匹配的方式还检测不出来，认为是伪造的IPSec VPN报文，这时触发相关安全事件进行处理；

步骤三：根据上个步骤根据上下文信息也即基于报文偏移量匹配的深度检测方法检测出来的SA协商响应报文，寻找SA协商响应报文中的NextPayLoadType，解析出标准或非标准的IPSec VPN报文中所采用算法，检测其中是否有不符合中国密码管理委员会政策规定的算法，或者是VPN生产厂家不按标准协议格式设计的非标准的IPSec VPN协议，或者是伪造的IPSec VPN报文，并按照设置安全规则进行报警或记录日志的处理。

2.根据权利要求1所述的基于报文偏移量匹配的IPSec VPN协议深度检测方法，其特征是，所述的进行循环监听，并抓取IPSec VPN报文，步骤如下：

1)指定网卡或查找网卡

通过调用libpcap网络抓包库函数pcap_lookupdev选择监听的网卡设备，libpcap是一个与实现无关的访问操作系统所提供的分组捕获机制的分组捕获函数库，用于访问数据链路层；

2)打开设备监听

调用libpcap库函数pcap_open_live，把网卡设置使用混杂模式；

3)设定监听规则

通过设置libpcap网络抓包库提供的抓包过滤器BPF来设置抓包条件，具体为UDP报文，端口500和4500；调用pcap_compile对抓包过滤条件进行编译，变成汇编代码，然后调用pcap_setfilter实施该规则；

4)处理特定分组

调用libpcap库函数pcap_loop，将接收分组数设为-1，表示无限循环；

5)设定回调函数(callback)

设定基于报文偏移量匹配的IPSec VPN深度检测的方法为回调函数，指定了回调函数之后，当网卡上出现了符合过滤条件的报文，就会自动触发中断，由回调函数对这个中断进行响应，每次抓到一个符合过滤条件的数据包就循环调用回调函数这里也既基于报文偏移量匹配的IPSec VPN深度检测方法进行分析和提取；

6)关闭监听

调用libpcap库函数pcap_close，结束监听。