[发明专利]加密TCP流量采集方法与装置

说明书

本发明提供一种加密TCP流量采集方法与装置。该方法包括：根据TCP的三次握手过程从获取到的加密TCP流量中识别用于建立一次TCP会话的TCP会话建立数据包；将TCP会话建立数据包之后属于TCP会话的TCP数据包加入TCP会话的数据包集合，直至根据TCP的四次挥手过程从获取到的加密TCP流量中识别出用于结束TCP会话的TCP会话结束数据包，或者，数据包集合中数据包的个数达到预设数量，以得到TCP会话的数据包集合；对TCP会话的数据包集合进行统计分析，获取TCP会话的特征信息。通过对TCP会话进行解析，采集双向的TCP会话流量，丰富了加密TCP流量采集的内容字段，便于后续的流量监控和分析。

技术领域

本发明涉及通信技术领域，具体涉及一种加密TCP流量采集方法与装置。

背景技术

传输控制协议(Transmission Control Protocol，TCP)是一种面向连接的、可靠的、基于字节流的传输层通信协议，是互联网中最基础的通信协议之一，日常网络应用如微信、QQ、浏览网页、收发电子邮件等都离不开它，通过采集TCP流量可以进行网络监控和威胁识别。在网络安全和隐私保护需求的驱动下，网络通信加密化已经成为趋势，目前网络数据流量中的大部分都是加密的了。加密流量的增长无疑提升了网络的安全性，但同时也对网络流量采集和分析提出了严峻挑战。

传统基于应用层协议的内容字段进行全流量抓取和解析，如对基于超文本传输协议(Hyper Text Transfer Protocol，HTTP)的网页内容进行采集和分析，但该方法只能针对未加密的网络流量，不适用于加密流量，因为流量加密后的应用层协议内容无法解密，对加密流量进行全流量采集意义不大。Netflow技术可以记录传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol，TCP/IP)层的流信息，一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，所有数据包具有共同的传输层源和目的端口号。Netflow技术虽然可以对加密TCP流量进行采集，但是其聚焦于IP网络层的流量行为，颗粒度太粗，无法满足后续流量分析的需求。

发明内容

本发明实施例提供一种加密TCP流量采集方法与装置，用以解决现有流量采集方法颗粒度太粗，采集信息有限，无法满足后续流量分析需求的问题。

第一方面，本发明实施例提供一种加密TCP流量采集方法，包括：

根据TCP的三次握手过程从获取到的加密TCP流量中识别用于建立一次TCP会话的TCP会话建立数据包；

将TCP会话建立数据包之后属于TCP会话的TCP数据包加入TCP会话的数据包集合，直至根据TCP的四次挥手过程从获取到的加密TCP流量中识别出用于结束TCP会话的TCP会话结束数据包，或者，数据包集合中数据包的个数达到预设数量，以得到TCP会话的数据包集合；

对TCP会话的数据包集合进行统计分析，获取TCP会话的特征信息。

一种实施例中，所述特征信息包括：

源IP地址、源TCP端口、目的IP地址、目的TCP端口、会话数据包总数、源数据包总数、源数据包总大小、目的数据包总数、目的数据包总大小、TCP Flag七元数组、会话开始时间和会话结束时间。

一种实施例中，所述方法还包括：

从TCP会话的数据包集合中获取TCP会话建立之后，由源发出的第一个TCP数据包；

根据第一个TCP数据包确定TCP会话的加密协议；

根据TCP会话的加密协议和握手数据包确定TCP会话的指纹库。

一种实施例中，若TCP会话的加密协议为TLS协议，则根据TCP会话的加密协议和握手数据包确定TCP会话的指纹库，包括：