CN104796406A - 一种应用识别方法及装置 - Google Patents
一种应用识别方法及装置 Download PDFInfo
- Publication number
- CN104796406A CN104796406A CN201510125029.7A CN201510125029A CN104796406A CN 104796406 A CN104796406 A CN 104796406A CN 201510125029 A CN201510125029 A CN 201510125029A CN 104796406 A CN104796406 A CN 104796406A
- Authority
- CN
- China
- Prior art keywords
- application
- list item
- server
- identities
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种应用识别方法及装置,应用于网络安全设备,该方法包括:接收终端设备向应用服务器发送的应用请求,应用请求中携带应用服务器的服务器特征;判断第一应用表中是否存在服务器特征与应用服务器的服务器特征相同的第一应用表项,第一应用表中包括的表项为第一应用表项,第一应用表项中保存服务器特征与应用标识的对应关系;当第一应用表中存在服务器特征与应用服务器的服务器特征相同的第一应用表项时,确定该第一应用表项是否可用;当该第一应用表项可用时,根据该第一应用表项中的应用标识识别应用请求对应的应用。本申请可有效提高应用识别的效率。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种应用识别方法及装置。
背景技术
目前,基于应用的网络管理及控制越来越多,其中包括基于应用的防火墙技术。防火墙在基于应用进行入侵检测、防病毒检测、内容过滤以及流量监管等控制时首先要识别应用,因此,快速准确地识别应用至关重要。
现有的应用识别技术主要包括端口识别技术和基于报文内容的深度识别技术。其中,端口识别技术只能识别基本应用,无法实现对更深层应用的识别;而基于报文内容的深度识别技术耗费时间比较长,且在每次建立新连接时都需要对报文内容进行深度识别,识别效率低,无法满足对实时性要求高的应用场景。
发明内容
有鉴于此,本申请提供一种应用识别方法及装置。
具体地,本申请是通过如下技术方案实现的:
本申请提供一种应用识别方法,应用于网络安全设备,该方法包括:
接收终端设备向应用服务器发送的应用请求,所述应用请求中携带所述应用服务器的服务器特征;
判断第一应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项,所述第一应用表中包括的表项为第一应用表项,所述第一应用表项中保存服务器特征与应用标识的对应关系;
当所述第一应用表中存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项时,确定该第一应用表项是否可用;
当该第一应用表项可用时,根据该第一应用表项中的应用标识识别所述应用请求对应的应用。
本申请还提供一种应用识别装置,应用于网络安全设备,该装置包括:
接收单元,用于接收终端设备向应用服务器发送的应用请求,所述应用请求中携带所述应用服务器的服务器特征;
判断单元,用于判断第一应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项,所述第一应用表中包括的表项为第一应用表项,所述第一应用表项中保存服务器特征与应用标识的对应关系;
确定单元,用于当所述第一应用表中存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项时,确定该第一应用表项是否可用;
识别单元,用于当该第一应用表项可用时,根据该第一应用表项中的应用标识识别所述应用请求对应的应用。
由上述描述可以看出,本申请将终端设备发送的应用请求中的服务器特征与本地维护的第一应用表中的服务器特征进行匹配,获取匹配成功的第一应用表项,根据该第一应用表项中的应用标识识别应用,提高了应用识别效率。
附图说明
图1是本申请一示例性实施例示出的网络安全系统示意图;
图2是本申请一示例性实施例示出的一种应用识别方法流程图;
图3是本申请一示例性实施例示出的一种网路安全设备的硬件结构示意图;
图4是本申请一示例性实施例示出的一种应用识别装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1所示为网络安全系统示意图。其中,PC为用户主机;NSD为网络安全设备,例如,防火墙;Server1~ServerN为应用服务器,例如,QQ服务器、微信服务器等。用户对应用服务器的访问需经过网络安全设备进行基于应用的检测、过滤后,才可以与应用服务器进行通信,因此,要求网络安全设备具备快速准确的应用识别能力。
目前,应用识别技术主要包括:基于端口的识别和基于报文内容的识别。其中,基于报文内容的识别属于深度识别技术,可识别出具体应用,但每次新建连接时都进行深度识别,识别效率不高,无法满足实时性要求高的应用场景。
针对上述问题,本申请实施例提出一种应用识别方法,该方法通过从终端设备发送给应用服务器的应用请求中获取应用服务器的服务器特征,根据该应用服务器特征查询本地保存的应用表,当本地应用表中存在服务器特征与应用服务器的服务器特征相同的应用表项,且该应用表项可用时,根据该应用表项中的应用标识识别该应用请求对应的应用。
参见图2,为本申请应用识别方法的一个实施例流程图,该实施例对应用识别处理过程进行描述。
步骤201,接收终端设备向应用服务器发送的应用请求,所述应用请求中携带所述应用服务器的服务器特征。
应用服务器顾名思义是针对某一具体应用提供服务的网络设备,例如,QQ服务器专用于提供QQ相关服务,微信服务器专用于提供微信相关服务,因此,可通过获取应用服务器的相关信息识别具体应用。本申请实施例在接收到终端设备向应用服务器发送的应用请求后,获取该应用请求中携带的应用服务器的服务器特征,该服务器特征可以为应用服务器的三元组信息,包括传输协议、应用服务器的IP地址以及端口号,通常服务于某一应用的应用服务器的IP地址和端口号固定不变。
步骤202,判断第一应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项,所述第一应用表中包括的表项为第一应用表项,所述第一应用表项中保存服务器特征与应用标识的对应关系。
网络安全设备中动态维护第一应用表,该第一应用表中保存已经确定的服务器特征与应用标识的对应关系。网络安全设备获取到应用服务器的服务器特征后查询第一应用表,判断第一应用表中是否存在包含该服务器特征的第一应用表项,根据判断结果进行后续处理。
步骤203,当所述第一应用表中存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项时,确定该第一应用表项是否可用。
当第一应用表中存在服务器特征与应用服务器的服务器特征相同的第一应用表项时,说明已有其它终端设备与该应用服务器建立连接,且已识别出该应用服务器对应的具体应用并保存到了第一应用表中,因此,可根据查询到的第一应用表项中的应用标识识别应用。
但是,在根据第一应用表项中的应用标识识别应用之前,还需要确定该第一应用表项是否可用。这是因为,既使已有其它终端设备与该应用服务器建立连接并识别出具体应用,但仍然存在应用服务器发生变化的可能性,例如,应用服务器的应用类型变化,或者应用服务器的IP地址变化,或者应用服务器停用等,当存在上述情况时,第一应用表项中已建立的服务器特征与应用标识的对应关系已经失效,如果仍然按照该第一应用表项识别应用将无法识别出正确的应用,因此,在根据第一应用表项识别应用前,需确定第一应用表项是否可用,具体确定过程如下:
在一种实施方式中,以第一应用表项的使用时长作为确定第一应用表项是否可用的依据。具体为:判断使用第一应用表项进行应用识别的时长是否大于预设的时长阈值,若使用第一应用表项进行应用识别的时长大于预设的时长阈值,则确定该第一应用表项不可用;若使用第一应用表项进行应用识别的时长不大于预设的时长阈值,则确定该第一应用表项可用。本申请实施例通过预设时长阈值周期性更新第一应用表项中服务器特征与应用标识的对应关系,以应对应用服务器发生变化的情况,保证第一应用表项的有效性。例如,假设预设的时长阈值为1分钟,则在第一应用表项的使用时长大于1分钟时,确定该第一应用表项不可用,启动深度报文检测识别应用(后续描述中介绍),重新建立服务器特征与应用标识的对应关系。
在另一种实施方式中,以第一应用表项的使用次数作为确定第一应用表项是否可用的依据。具体为:判断使用第一应用表项进行应用识别的次数是否大于预设的次数阈值,若使用第一应用表项进行应用识别的次数大于预设的次数阈值,则确定该第一应用表项不可用;若使用第一应用表项进行应用识别的次数不大于预设的次数阈值,则确定该第一应用表项可用,并将该第一应用表项的使用次数加一。原理同上述根据时长判断第一应用表项是否可用相同,都是为了解决应用服务器发生变化的异常情况,保证第一应用表项的有效性,在此不再赘述。
当然,上述两种实施方式可以单独使用,也可以同时使用。例如,同时累积时长和统计次数,当其中任何一个先达到阈值时,确定第一应用表项不可用;或者,当两个都分别达到阈值时,确定第一应用表项不可用。
步骤204,当该第一应用表项可用时,根据该第一应用表项中的应用标识识别所述应用请求对应的应用。
本步骤中,根据步骤203对第一应用表项是否可用的确定结果,分以下两种情况进行处理:
当第一应用表项可用时,直接从第一应用表项中获取应用标识,根据该应用标识确定此次应用请求对应的应用。可见,本申请实施例通过与已建立应用表项匹配的方式,可以加快后续应用请求的识别效率。
当第一应用表项不可用时,删除该第一应用表项,启动对应用请求的深度报文检测,具体过程如下:从接收的应用请求中获取应用信息,根据应用信息确定该应用请求对应的应用。其中,应用信息是指从应用请求的报文内容中获取的与具体应用相关的信息。以微信上传视频的应用请求为例,该应用请求基于HTTP(Hyper Text Transfer Protocol,超文本传输协议)协议实现,例如,GET short.weixin.qq.com/cgi-bin/micromsg-bin/uploadvideoHTTP/1.1,对该应用请求进行深度报文检测,获取报文中的应用信息为short.weixin.qq.com,因此,可确定此次应用请求对应的应用为微信。
在通过深度报文检测识别应用后,可根据应用服务器的服务器特征和识别出的应用的应用标识建立第一应用表项,以便后续接收到向相同应用服务器发送的应用请求时,快速识别应用。本申请实施例为了提高应用识别的可信度,在建立第一应用表项之前采用多次深度报文检测以提高应用识别的可信度。
网络安全设备在本地除了维护第一应用表还维护一张第二应用表,该第二应用表中包含若干第二应用表项,第二应用表项中保存服务器特征与应用标识的对应关系。本申请实施例在对第二应用表项进行可信度处理之后,将第二应用表项添加到第一应用表中,以便作为第一应用表项识别应用。
其中,可信度处理的具体过程为:判断第二应用表中是否存在服务器特征与应用服务器的服务器特征相同的第二应用表项,根据判断结果分以下两种情况进行处理。
当第二应用表中不存在服务器特征与应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则根据应用服务器的服务器特征和本次确定的应用的应用标识建立第二应用表项。此过程为新建第二应用表项过程,当在第二应用表中没有找到服务器特征相同的第二应用表项,或者,对向同一应用服务器发送的应用请求的识别结果不同时,都需要新建第二应用表项。
当第二应用表中存在服务器特征与应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则更新该第二应用表项的信任等级,当第二应用表项的信任等级达到预设的信任等级阈值时,将该第二应用表项添加至第一应用表,并从第二应用表中删除该第二应用表项。此过程是对已匹配的第二应用表项进行信任等级更新的过程,当该第二应用表项多次被匹配成功时,说明该第二应用表项中服务器特征与应用标识的对应关系具有极高的可信度,可将该第二应用表项作为第一应用表项用于应用识别。
上述处理过程是在第一应用表中存在服务器特征与应用服务器的服务器特征相同的第一应用表项时的应用识别过程。当第一应用表中不存在服务器特征与应用服务器的服务器特征相同的第一应用表项时,进行如下处理:
从应用请求中获取应用信息,根据该应用信息确定应用请求对应的应用。判断第二应用表中是否存在服务器特征与应用服务器的服务器特征相同的第二应用表项。
当第二应用表中不存在服务器特征与应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则根据应用服务器的服务器特征和本次确定的应用的应用标识建立第二应用表项。
当第二应用表中存在服务器特征与应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则更新该第二应用表项的信任等级,当第二应用表项的信任等级达到预设的信任等级阈值时,将该第二应用表项添加至第一应用表,并从第二应用表中删除该第二应用表项。
从上述描述可以看出,第一应用表中不存在服务器特征与应用服务器的服务器特征相同的第一应用表项时的处理过程和前述第一应用表项不可用时的处理过程相同,都需要对接收的应用请求进行深度报文检测,并在经过多次检测后生成包含服务器特征与应用标识对应关系的第一应用表项,在此不再赘述。
此外,本申请实施例中对所有的应用表项都预设了老化时长,当第一应用表项在预设的老化时长内未被匹配,或第二应用表项在预设的老化时长内信任等级不变时,删除对应的应用表项,释放内存,避免不必要的资源浪费。
现仍以图1为例,详细介绍应用识别过程。
假设,Server1为微信服务器,IP地址为177.10.10.1,其它应用服务器不做具体说明。
当PC发送应用请求时,NSD拦截该应用请求,并对该应用请求进行应用识别。首先,NSD从该应用请求中获取应用服务器的三元组信息,假设该三元组信息为tcp 177.10.10.1:80,根据该三元组信息查询第一应用表,参见表1。
表1
可见上述三元组信息与第1条第一应用表项中的服务器特征匹配。此时,需进一步判断该第一应用表项是否可用,假设本申请实施例中以使用该第一应用表项进行应用识别的次数作为判断依据,且预设的次数阈值为10。
如果在本次接收应用请求之前根据第1条第一应用表项识别应用的次数不大于10次,则本次接收的应用请求仍然可以根据该第一应用表项识别应用,即从该第一应用表项中获取服务器特征对应的应用标识WX,根据该应用标识可确定此次PC发起的应用请求对应的应用为微信。
如果在本次接收应用请求之前根据第1条第一应用表项识别应用的次数已经大于10次,则删除表1中的第1条第一应用表项,此时,NSD中的第一应用表如表2所示。
表2
在删除第一应用表项后,对本次的应用请求进行深度报文检测。假设,在接收到本次应用请求之前,Server1已从微信服务器变更为优酷服务器,则对本次应用请求的报文内容进行深度报文检测,识别出此次应用请求对应的应用为优酷。同时,根据此次应用请求中应用服务器的三元组信息(tcp177.10.10.1:80)查询第二应用表,如表3所示。
表3
该第二应用表中没有服务器特征与tcp 177.10.10.1:80匹配的第二应用表项,因此,建立包含服务器特征(tcp 177.10.10.1:80)与识别出的应用的应用标识(应用标识YK表示优酷)对应关系的第二应用表项,如表4所示。
表4
表4中的第3条第二应用表项为新添加的表项,为该表项设置初始信任等级,假设初始信任等级为1。在后续接收到对同一应用服务器(tcp177.10.10.1:80)的应用请求时,继续对应用请求进行深度报文检测,如果识别出的结果仍为优酷,则更新第3条第二应用表项的信任等级。假设,当该第二应用表项的信任等级达到3时,即通过3次深度报文检测都识别出该应用服务器为优酷服务器时,则认为表4中的第3条第二应用表项中服务器特征与应用标识的对应关系是可信的,该第二应用表项添加到第一应用表中,并删除表4中的第3条第二应用表项,参见表5和表6。
表5
表6
因此,在后续对应用服务器(tcp 177.10.10.1:80)发送应用请求时,NSD根据表5中的第3条第一应用表项识别应用为优酷。可见,本申请在应用服务器发生变化的情况下,仍然可以保证正确识别应用。
由上述描述可以看出,本申请将终端设备发送的应用请求中的服务器特征与本地维护的第一应用表中的服务器特征进行匹配,获取匹配成功的第一应用表项,根据该第一应用表项中的应用标识识别应用,提高了应用识别效率。
与前述应用识别方法的实施例相对应,本申请还提供了应用识别装置的实施例。
本申请应用识别装置的实施例可以应用在网路安全设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器运行存储器中对应的计算机程序指令形成的。从硬件层面而言,如图3所示,为本申请应用识别装置所在设备的一种硬件结构图,除了图3所示的处理器、网络接口、以及存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图4,为本申请一个实施例中的应用识别装置的结构示意图。该应用识别装置包括接收单元401、判断单元402、确定单元403以及识别单元404,其中:
接收单元401,用于接收终端设备向应用服务器发送的应用请求,所述应用请求中携带所述应用服务器的服务器特征;
判断单元402,用于判断第一应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项,所述第一应用表中包括的表项为第一应用表项,所述第一应用表项中保存服务器特征与应用标识的对应关系;
确定单元403,用于当所述第一应用表中存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项时,确定该第一应用表项是否可用;
识别单元404,用于当该第一应用表项可用时,根据该第一应用表项中的应用标识识别所述应用请求对应的应用。
进一步地,所述应用识别装置还包括:
删除单元,用于当第一应用表项不可用时,删除该第一应用表项;
所述识别单元404,还用于从所述应用请求中获取应用信息,根据所述应用信息确定所述应用请求对应的应用;
维护单元,用于判断第二应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第二应用表项,所述第二应用表中包括的表项为第二应用表项,所述第二应用表项中保存服务器特征与应用标识的对应关系;当第二应用表中不存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则根据所述应用服务器的服务器特征和本次确定的应用的应用标识建立第二应用表项;当所述第二应用表中存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则更新该第二应用表项的信任等级,当第二应用表项的信任等级达到预设的信任等级阈值时,将该第二应用表项添加至第一应用表,并从第二应用表中删除该第二应用表项。
进一步地,
所述确定单元403,具体用于判断使用第一应用表项进行应用识别的时长是否大于预设的时长阈值;若使用第一应用表项进行应用识别的时长大于预设的时长阈值,则确定该第一应用表项不可用;若使用第一应用表项进行应用识别的时长不大于预设的时长阈值,则确定该第一应用表项可用。
进一步地,
所述确定单元403,具体用于判断使用第一应用表项进行应用识别的次数是否大于预设的次数阈值;若使用第一应用表项进行应用识别的次数大于预设的次数阈值,则确定该第一应用表项不可用;若使用第一应用表项进行应用识别的次数不大于预设的次数阈值,则确定该第一应用表项可用,并将该第一应用表项的使用次数加一。
进一步地,所述应用识别装置还包括:
所述识别单元404,还用于当所述第一应用表中不存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项时,从所述应用请求中获取应用信息;根据所述应用信息确定所述应用请求对应的应用;
维护单元,用于判断第二应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第二应用表项,所述第二应用表中包括的表项为第二应用表项,所述第二应用表项中保存服务器特征与应用标识的对应关系;当第二应用表中不存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则根据所述应用服务器的服务器特征和本次确定的应用的应用标识建立第二应用表项;当所述第二应用表中存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则更新该第二应用表项的信任等级,当第二应用表项的信任等级达到预设的信任等级阈值时,将该第二应用表项添加至第一应用表,并从第二应用表中删除该第二应用表项。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种应用识别方法,应用于网络安全设备,其特征在于,该方法包括:
接收终端设备向应用服务器发送的应用请求,所述应用请求中携带所述应用服务器的服务器特征;
判断第一应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项,所述第一应用表中包括的表项为第一应用表项,所述第一应用表项中保存服务器特征与应用标识的对应关系;
当所述第一应用表中存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项时,确定该第一应用表项是否可用;
当该第一应用表项可用时,根据该第一应用表项中的应用标识识别所述应用请求对应的应用。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当第一应用表项不可用时,删除该第一应用表项;
从所述应用请求中获取应用信息,根据所述应用信息确定所述应用请求对应的应用;
判断第二应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第二应用表项,所述第二应用表中包括的表项为第二应用表项,所述第二应用表项中保存服务器特征与应用标识的对应关系;
当第二应用表中不存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则根据所述应用服务器的服务器特征和本次确定的应用的应用标识建立第二应用表项;
当所述第二应用表中存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则更新该第二应用表项的信任等级,当第二应用表项的信任等级达到预设的信任等级阈值时,将该第二应用表项添加至第一应用表,并从第二应用表中删除该第二应用表项。
3.根据权利要求1或2所述的方法,其特征在于,所述确定该第一应用表项是否可用具体为:
判断使用第一应用表项进行应用识别的时长是否大于预设的时长阈值;
若使用第一应用表项进行应用识别的时长大于预设的时长阈值,则确定该第一应用表项不可用;
若使用第一应用表项进行应用识别的时长不大于预设的时长阈值,则确定该第一应用表项可用。
4.根据权利要求1或2所述的方法,其特征在于,所述确定该第一应用表项是否可用具体为:
判断使用第一应用表项进行应用识别的次数是否大于预设的次数阈值;
若使用第一应用表项进行应用识别的次数大于预设的次数阈值,则确定该第一应用表项不可用;
若使用第一应用表项进行应用识别的次数不大于预设的次数阈值,则确定该第一应用表项可用,并将该第一应用表项的使用次数加一。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一应用表中不存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项时,从所述应用请求中获取应用信息;
根据所述应用信息确定所述应用请求对应的应用;
判断第二应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第二应用表项,所述第二应用表中包括的表项为第二应用表项,所述第二应用表项中保存服务器特征与应用标识的对应关系;
当第二应用表中不存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则根据所述应用服务器的服务器特征和本次确定的应用的应用标识建立第二应用表项;
当所述第二应用表中存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则更新该第二应用表项的信任等级,当第二应用表项的信任等级达到预设的信任等级阈值时,将该第二应用表项添加至第一应用表,并从第二应用表中删除该第二应用表项。
6.一种应用识别装置,应用于网络安全设备,其特征在于,该装置包括:
接收单元,用于接收终端设备向应用服务器发送的应用请求,所述应用请求中携带所述应用服务器的服务器特征;
判断单元,用于判断第一应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项,所述第一应用表中包括的表项为第一应用表项,所述第一应用表项中保存服务器特征与应用标识的对应关系;
确定单元,用于当所述第一应用表中存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项时,确定该第一应用表项是否可用;
识别单元,用于当该第一应用表项可用时,根据该第一应用表项中的应用标识识别所述应用请求对应的应用。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
删除单元,用于当第一应用表项不可用时,删除该第一应用表项;
所述识别单元,还用于从所述应用请求中获取应用信息,根据所述应用信息确定所述应用请求对应的应用;
维护单元,用于判断第二应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第二应用表项,所述第二应用表中包括的表项为第二应用表项,所述第二应用表项中保存服务器特征与应用标识的对应关系;当第二应用表中不存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则根据所述应用服务器的服务器特征和本次确定的应用的应用标识建立第二应用表项;当所述第二应用表中存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则更新该第二应用表项的信任等级,当第二应用表项的信任等级达到预设的信任等级阈值时,将该第二应用表项添加至第一应用表,并从第二应用表中删除该第二应用表项。
8.根据权利要求6或7所述的装置,其特征在于:
所述确定单元,具体用于判断使用第一应用表项进行应用识别的时长是否大于预设的时长阈值;若使用第一应用表项进行应用识别的时长大于预设的时长阈值,则确定该第一应用表项不可用;若使用第一应用表项进行应用识别的时长不大于预设的时长阈值,则确定该第一应用表项可用。
9.根据权利要求6或7所述的装置,其特征在于:
所述确定单元,具体用于判断使用第一应用表项进行应用识别的次数是否大于预设的次数阈值;若使用第一应用表项进行应用识别的次数大于预设的次数阈值,则确定该第一应用表项不可用;若使用第一应用表项进行应用识别的次数不大于预设的次数阈值,则确定该第一应用表项可用,并将该第一应用表项的使用次数加一。
10.如权利要求6所述的装置,其特征在于,所述装置还包括:
所述识别单元,还用于当所述第一应用表中不存在服务器特征与所述应用服务器的服务器特征相同的第一应用表项时,从所述应用请求中获取应用信息;根据所述应用信息确定所述应用请求对应的应用;
维护单元,用于判断第二应用表中是否存在服务器特征与所述应用服务器的服务器特征相同的第二应用表项,所述第二应用表中包括的表项为第二应用表项,所述第二应用表项中保存服务器特征与应用标识的对应关系;当第二应用表中不存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则根据所述应用服务器的服务器特征和本次确定的应用的应用标识建立第二应用表项;当所述第二应用表中存在服务器特征与所述应用服务器的服务器特征、应用标识与本次根据应用信息确定的应用请求对应的应用的应用标识均相同的第二应用表项时,则更新该第二应用表项的信任等级,当第二应用表项的信任等级达到预设的信任等级阈值时,将该第二应用表项添加至第一应用表,并从第二应用表中删除该第二应用表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510125029.7A CN104796406B (zh) | 2015-03-20 | 2015-03-20 | 一种应用识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510125029.7A CN104796406B (zh) | 2015-03-20 | 2015-03-20 | 一种应用识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104796406A true CN104796406A (zh) | 2015-07-22 |
| CN104796406B CN104796406B (zh) | 2018-06-12 |
Family
ID=53560918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510125029.7A Active CN104796406B (zh) | 2015-03-20 | 2015-03-20 | 一种应用识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104796406B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591973A (zh) * | 2015-12-31 | 2016-05-18 | 杭州数梦工场科技有限公司 | 应用识别方法及装置 |
| CN106385402A (zh) * | 2016-08-31 | 2017-02-08 | 东软集团股份有限公司 | 应用识别方法及设备、发送应用会话表的方法及服务器 |
| CN107133240A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 页面监控方法、装置及系统 |
| CN107306255A (zh) * | 2016-04-21 | 2017-10-31 | 阿里巴巴集团控股有限公司 | 防御流量攻击方法、预设列表生成方法、装置及清洗设备 |
| CN107483411A (zh) * | 2017-07-25 | 2017-12-15 | 中国联合网络通信集团有限公司 | 业务识别方法及系统 |
| CN107787003A (zh) * | 2016-08-24 | 2018-03-09 | 中兴通讯股份有限公司 | 一种流量检测的方法和装置 |
| CN107864127A (zh) * | 2017-10-30 | 2018-03-30 | 北京神州绿盟信息安全科技股份有限公司 | 一种应用程序的识别方法及装置 |
| CN110768875A (zh) * | 2019-12-27 | 2020-02-07 | 北京安博通科技股份有限公司 | 一种基于dns学习的应用识别方法及系统 |
| CN111628984A (zh) * | 2020-05-21 | 2020-09-04 | 网神信息技术(北京)股份有限公司 | 信息处理方法、装置、设备、介质和程序产品 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025636A (zh) * | 2010-12-09 | 2011-04-20 | 北京星网锐捷网络技术有限公司 | 报文特征处理方法、装置及网络设备 |
| CN102325078A (zh) * | 2011-06-28 | 2012-01-18 | 北京星网锐捷网络技术有限公司 | 应用识别方法及设备 |
| CN103873356A (zh) * | 2012-12-11 | 2014-06-18 | 中国电信股份有限公司 | 基于家庭网关的应用识别方法、系统和家庭网关 |
-
2015
- 2015-03-20 CN CN201510125029.7A patent/CN104796406B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025636A (zh) * | 2010-12-09 | 2011-04-20 | 北京星网锐捷网络技术有限公司 | 报文特征处理方法、装置及网络设备 |
| CN102325078A (zh) * | 2011-06-28 | 2012-01-18 | 北京星网锐捷网络技术有限公司 | 应用识别方法及设备 |
| CN103873356A (zh) * | 2012-12-11 | 2014-06-18 | 中国电信股份有限公司 | 基于家庭网关的应用识别方法、系统和家庭网关 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591973A (zh) * | 2015-12-31 | 2016-05-18 | 杭州数梦工场科技有限公司 | 应用识别方法及装置 |
| CN105591973B (zh) * | 2015-12-31 | 2019-12-20 | 杭州数梦工场科技有限公司 | 应用识别方法及装置 |
| CN107133240A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 页面监控方法、装置及系统 |
| CN107306255A (zh) * | 2016-04-21 | 2017-10-31 | 阿里巴巴集团控股有限公司 | 防御流量攻击方法、预设列表生成方法、装置及清洗设备 |
| CN107787003A (zh) * | 2016-08-24 | 2018-03-09 | 中兴通讯股份有限公司 | 一种流量检测的方法和装置 |
| CN106385402A (zh) * | 2016-08-31 | 2017-02-08 | 东软集团股份有限公司 | 应用识别方法及设备、发送应用会话表的方法及服务器 |
| CN107483411B (zh) * | 2017-07-25 | 2020-01-31 | 中国联合网络通信集团有限公司 | 业务识别方法及系统 |
| CN107483411A (zh) * | 2017-07-25 | 2017-12-15 | 中国联合网络通信集团有限公司 | 业务识别方法及系统 |
| CN107864127A (zh) * | 2017-10-30 | 2018-03-30 | 北京神州绿盟信息安全科技股份有限公司 | 一种应用程序的识别方法及装置 |
| CN107864127B (zh) * | 2017-10-30 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种应用程序的识别方法及装置 |
| CN110768875A (zh) * | 2019-12-27 | 2020-02-07 | 北京安博通科技股份有限公司 | 一种基于dns学习的应用识别方法及系统 |
| CN111628984A (zh) * | 2020-05-21 | 2020-09-04 | 网神信息技术(北京)股份有限公司 | 信息处理方法、装置、设备、介质和程序产品 |
| CN111628984B (zh) * | 2020-05-21 | 2023-01-06 | 奇安信网神信息技术(北京)股份有限公司 | 信息处理方法、装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104796406B (zh) | 2018-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104796406A (zh) | 一种应用识别方法及装置 | |
| EP3297243B1 (en) | Trusted login method and device | |
| KR101901911B1 (ko) | 악성 프로그램을 탐지하는 방법 및 장치 | |
| CN106339309B (zh) | 应用程序的测试方法、客户端及系统 | |
| CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
| WO2014172956A1 (en) | Login method,apparatus, and system | |
| CN101674293A (zh) | 一种分布式应用中处理非正常请求的方法及系统 | |
| US9137245B2 (en) | Login method, apparatus, and system | |
| EP3396905B1 (en) | Method and device for securely sending a message | |
| CN111104675A (zh) | 系统安全漏洞的检测方法和装置 | |
| US20250141683A1 (en) | Cybersecurity guard for core network elements | |
| CN114793171B (zh) | 访问请求的拦截方法、装置、存储介质及电子装置 | |
| CN112261111A (zh) | 一种应用程序内浏览器跨域访问实现方法及系统 | |
| CN108965296A (zh) | 一种用于智能家居设备的漏洞检测方法及检测装置 | |
| US10623450B2 (en) | Access to data on a remote device | |
| CN108600145B (zh) | 一种确定DDoS攻击设备的方法及装置 | |
| CN105743746A (zh) | 一种智能家电的管理方法、管理设备及管理系统 | |
| CN108011779A (zh) | 在有限的资源条件下云服务器任务吞吐率的测试方法 | |
| CN107707569A (zh) | Dns请求处理方法及dns系统 | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| CN111427703A (zh) | 工业数据实时展示方法及系统 | |
| CN113596105B (zh) | 内容的获取方法、边缘节点及计算机可读存储介质 | |
| US11363020B2 (en) | Method, device and storage medium for forwarding messages | |
| CN106850701B (zh) | 一种移动终端分享隔离方法及系统 | |
| EP3971748B1 (en) | Network connection request method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |