基于报文偏移量匹配的IPSec VPN协议深度检测方法

摘要

一种基于报文偏移量匹配的IPSec VPN协议深度检测方法，用于网络安全领域。本发明首先在智能代理或探针机器上打开网卡的混杂模式进行循环监听，并且设置BPF过滤器抓取IPSec VPN报文。对IPSec VPN报文进行深度检测。该算法能够识别和分析IPSec VPN报文是否为伪造，是否是非标准格式报文，本方法既能检测标准的ISAKMP数据包，对于添加了未知长度填充数据的非标准IPSec的ISAKMP数据包也能正确解析，实现了一种通用的IPSec信息的检测方法。相同的思想可以推广到其他的协议检测上。

主权项

一种基于报文偏移量匹配的IPSec VPN协议深度检测方法，其特征在于，包括如下步骤：步骤一：在智能代理或者探针设备上把网卡设为混杂模式，并通过调用libpcap网络抓包库函数进行循环监听，设置BPF抓包过滤器来抓取所有UDP 500端口和4500端口的报文，也即IPSec VPN报文，通过设置回调函数callback为基于报文偏移量匹配的深度检测函数，每次抓到报文就会自动调用基于报文偏移量匹配的深度检测函数进行处理；回调函数callback是由系统接收到消息自动调用的函数，把基于报文偏移量匹配的深度检测的函数地址作为参数设置为回调函数，因此，当Libpcap抓到符合过滤规则的报文，就会自动去调用基于报文偏移量匹配的深度检测函数；所述的基于报文偏移量模式匹配深度检测，具体为：利用报文自身的偏移量模式特征，不依赖于上下文信息，在因为报文格式非标准从而序列中所有报文都无法解析的情况下，根据SA协商响应报文和SA协商请求分组的偏移量特征，找到哪个是非标准的SA协商响应报文，并在非标准的SA协商响应报文中的SApayload字段中提取其中算法信息，如果要检测IPSec VPN所使用的算法参数，在报文都是标准的情况下，只需要抓取SA协商响应报文；步骤二：在基于报文偏移量匹配的深度检测函数中，首先按照标准的IPSecVPN报文格式去解析，定位SA协商响应报文，并在该报文中提取VPN关键信息，如果能正确解析，那么该IPSec VPN报文格式是标准的，如果不能解析，那么说明IPSec VPN报文是非标准的或者是伪造的，此时各个字段内容都被打乱，按标准协议格式无法得知确切的报文类型，这时根据报文内部的结构特征去变换和匹配检测出IPSec VPN非标准报文和标准报文之间的区别，然后找出SA协商响应报文，再对非标准的报文进行关键字段的提取，如果根据报文偏移量特征匹配的方式还检测不出来，认为是伪造的IPSec VPN报文，这时触发相关安全事件进行处理；步骤三：根据上个步骤根据上下文信息也即基于报文偏移量匹配的深度检测方法检测出来的SA协商响应报文，寻找SA协商响应报文中的NextPayLoadType，解析出标准或非标准的IPSec VPN报文中所采用算法，检测其中是否有不符合中国密码管理委员会政策规定的算法，或者是VPN生产厂家不按标准协议格式设计的非标准的IPSec VPN协议，或者是伪造的IPSec VPN报文，并按照设置安全规则进行报警或记录日志的处理。