[发明专利]一种基于SSL、TLS协议的用户代理标识及数量检测方法

权利要求书

1.一种基于SSL、TLS协议的用户代理标识及数量检测方法，包括SSL/TLS流量获取模块、用户代理标识模块和用户代理数量检测模块，其特征在于：包括以下步骤：

S1 SSL/TLS流量获取：通过SSL/TLS流量获取模块获取被监测流量，识别SSL/TLS流量；

S2用户代理标识：输入为被动流量，从被动流量的TLS Client Hello报文中提取用户代理标识，即三元组JA3指纹，服务端域名，服务端IP；

S3用户代理数量检测：首先，从TLS Client Hello报文中提取用户代理标识和SessionTicket扩展字段中的Session Ticket值，并且记录每个Client Hello报文到达解析模块的时间戳，为每一个用户代理标识构建带时间戳的Session Ticket序列；

然后，分析每一个用户代理的对应的Session Ticket序列，找到每个Session Ticket的生存期，即同一Session Ticket第一次出现的时间到最后一次出现的时间；

对于Session Ticket序列中的每个时间点，计算生存期包含这个时间点的SessionTicket的数量，此数值就是这个时间点上这种用户代理存在的数量。

2.根据权利要求1所述的一种基于SSL、TLS协议的用户代理标识及数量检测方法，其特征在于：所述步骤S1中获取的SSL/TLS流量作为用户代理标识、用户代理数量检测模块要处理的输入流量。

3.根据权利要求1所述的一种基于SSL、TLS协议的用户代理标识及数量检测方法，其特征在于：所述步骤S2中的被动流量为所述步骤S1中的识别SSL/TLS流量。

4.根据权利要求1所述的一种基于SSL、TLS协议的用户代理标识及数量检测方法，其特征在于：所述步骤S2中JA3指纹是SSL/TLS Client Hello 报文中的SSL/TLS协议版本号、各个Cipher Suite、各个Extension类型编号、Support Groups扩展字段中各个SupportGroup、EC Point Formats扩展字段中各个EC Point Format的十进制字符串拼接结果的MD5 Hash值。

5.根据权利要求1所述的一种基于SSL、TLS协议的用户代理标识及数量检测方法，其特征在于：所述步骤S2中服务端域名是Client Hello报文中的Server Name Indication扩展字段的内容。

6.根据权利要求1所述的一种基于SSL、TLS协议的用户代理标识及数量检测方法，其特征在于：所述步骤S2中的用户代理标识能够适用所有采用SSL/TLS加密流量的用户代理，并且能处理SSL/TLS加密流量。

7.根据权利要求1所述的一种基于SSL、TLS协议的用户代理标识及数量检测方法，其特征在于：所述步骤S3中用户代理会使用同一TLS Session多次发起TLS连接请求，也就是发出Client Hello报文，那么这些Client Hello报文内都会带有Session Ticket，并且这些Session Ticket值都是相同的；这样这个用户代理的网络行为就可以构成一个SessionTicket的序列。

8.根据权利要求1所述的一种基于SSL、TLS协议的用户代理标识及数量检测方法，其特征在于：所述步骤S3中的Session Ticket生存期，就是对一个Session Ticket在第一次和最后一次在Session Ticket序列中出现的时间段就是这个Session Ticket的生存期。