(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210085326.3 (22)申请日 2022.01.25 (71)申请人 北京浩瀚深度信息技 术股份有限公 司 地址 100000 北京市海淀区北洼路45号14 号楼102 (72)发明人 刘少凯　赵蓓　刘婷　 (74)专利代理 机构 北京沁优知识产权代理有限 公司 11684 代理人 周庆路 (51)Int.Cl. H04L 9/32(2006.01) H04L 47/11(2022.01) (54)发明名称 一种基于SSL证书指纹的HTTPS业务流量识 别的方法 (57)摘要 本发明提供一种基于SSL证书指纹的HTTPS 业务流量识别的方法， 包括读取HTTPS会话的流 量报文数据包并解析获得原始报文信息； 对原始 报文信息进行报文重组得到拼接报文信息； 依照 拼接报文信息采用session回填算 法生成标记报 文信息； 组建证书指纹库； 根据标记报文信息的 证书序列号与证书指纹库进行匹配， 对HTTPS会 话进行业务识别， 输出业务名称信息。 本发明通 过OpenSSL、 爬虫、 证书还原构建证书指纹库， 然 后解析未知HTTPS流量证书的有效信息， 最后将 流量证书中的有效信息与证书指纹库高效匹配， 完成精准识别HT TPS业务。 权利要求书2页 说明书7页 附图10页 CN 114401097 A 2022.04.26 CN 114401097 A 1.一种基于S SL证书指纹的HT TPS业务流量识别的方法， 其特 征在于， 包括以下步骤： S1： 读取HT TPS会话的流 量报文数据包并解析获得原 始报文信息； S2： 对所述原 始报文信息进行报文重组得到拼接报文信息； S3： 依照所述 拼接报文信息采用ses sion回填算法生成标记报文信息； S4： 组建证书指纹库； S5： 根据所述标记报文信息的证书序列 号与所述证书指纹库进行匹配， 对HTTPS会话进 行业务识别， 输出业 务名称信息 。 2.根据权利要求1所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法， 其特征 在于， 所述S4的组建证书指纹库具体包括如下步骤： S41： 采集得到原 始域名信息； S42： 将所述原始域名信息进行过滤预处理得到分类域名信 息， 将所述分类域名信息存 储到PostgreSQ L数据库； S43： 通过分布式OpenSSL方式对所述分类域名 信息进行模拟请求访问， 下载所述分类 域名信息的证书； S44： 对所述分类域名信息的证书进行属性解析得到证书的属性信息， 根据证书的 Authority Key Identifier信息构建完整的证书链， Aut hority Key Identifier表示颁发 机构密钥标识符扩展， 颁 发机构密钥标识符扩展提供了对用于证书签名的私钥对应的公钥 进行鉴定的方法； S45： 在所述证书链打上业务标识， 建立所述分类域名信息、 业务标识和证书链的映射 关系。 3.根据权利要求1所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法， 其特征 在于， 所述S3的ses sion回填算法具体包括如下步骤： S31： 从TCP协议数据包提取ServerName信息和证书链关键信息； S32： 通过解析所述原始报文信息获取session信息、 首次SSL握手的证书信息以及 ServerName信息； S33： 建立反映所述ses sion信息与标记信息映射关系的映射表； S34： 将携带session信息的HTTPS会话在 所述映射表中进行关联匹配， 将证书的所述业 务标记信息回填到当前HT TPS会话中。 4.根据权利要求1所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法， 其特征 在于， 所述S2的报文重组具体包括如下步骤： S21： 根据所述原 始报文信息获取TCP协议数据包； S22： 按四元组对所述原 始报文信息进行汇聚； S23： 在ACK相同的情况下按SEQ排序， 拼接所述TCP协议数据包以得到所述拼接报文信 息。 5.根据权利要求4所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法， 其特征 在于， 所述四元组设置为源IP、 目的IP、 源端口和目的端口。 6.根据权利要求3所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法， 其特征 在于， 所述TCP协议数据包包括Client  hello、 Server  hello、 Certificate和New  Session  Ticket。权　利　要　求　书 1/2 页 2 CN 114401097 A 27.根据权利要求1所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法， 其特征 在于， 所述S5具体包括如下步骤： S51： 将证书指纹库加载至Map集合， 所述Map集合的key为证书序列号， 所述Map集合的 value为业务名称； S52： 通过 标记报文信息的证书序列号与所述Map集 合进行匹配； S53： 域名库资源匹配模块的输入信息为ServerName信息以及CommonName信息， 所述 ServerName信息表示请求的服务器名， 所述CommonName信息表示证书的公用名， 通过匹配 host域名资源表， 输出业 务名称信息 。 8.根据权利要求6所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法， 其特征 在于， 所述 session信息包 括clientSessionId、 serverSessionId、 clientSessionT icket和 serverSessionTicket， clientSessionId表示client  hello报文中携带的sessionID信息， serverSessionId表示server  hello报文中携 带的sessionID信息， clientSessionTicket 表示 client hello报文中携带的sessionticket信息， serverSessionTicket表示server   hello报文中携带的ses sionticket信息 。 9.根据权利要求3所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法， 其特征 在于， 所述S31的证书链关键信息根据Certificate的报文分布规则得出， 所述证书链关键 信息包括证书序列号和Com monName信息 。 10.根据权利 要求2所述的一种基于SSL证书指纹的HTTPS业务流量识别的方法， 其特征 在于， 所述原始域名信息通过DPI大流量域名统计、 应用商店APP域名提取、 爬虫门户网站域 名采集三种方式采集获得。权　利　要　求　书 2/2 页 3 CN 114401097 A 3