CN102209032A - 一种用户自定义的应用识别方法及其设备 - Google Patents
一种用户自定义的应用识别方法及其设备 Download PDFInfo
- Publication number
- CN102209032A CN102209032A CN2011101350973A CN201110135097A CN102209032A CN 102209032 A CN102209032 A CN 102209032A CN 2011101350973 A CN2011101350973 A CN 2011101350973A CN 201110135097 A CN201110135097 A CN 201110135097A CN 102209032 A CN102209032 A CN 102209032A
- Authority
- CN
- China
- Prior art keywords
- signature
- application
- module
- packet
- compiling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用户自定义的应用识别方法及其设备,所述方法包括以下步骤:步骤A,对待分析应用进行抓包;步骤B,提取数据包中的应用签名特征;步骤C,对所述应用签名特征进行编译;步骤D,加载所述编译后的签名特征。所述设备包括抓包模块、签名提取模块、签名编译模块、签名加载模块和应用识别测试模块。其中抓包模块用于获取数据包,签名提取模块用于提取数据包负载里的签名,签名编译模块用于对签名特征进行编译,签名加载模块用于加载编译后的签名,应用识别测试模块,用于测试应用能否被识别。本发明识别范围广泛、准确率高、可扩展性好,可作为网络设备功能实现。
Description
技术领域
本发明涉及一种应用识别技术,尤其涉及一种用户自定义的应用识别方法及其设备。
背景技术
数据签名(Digital Signature)技术是不对称加密算法的典型应用,数字签名的过程是数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。
数字签名被用来鉴别应用和协议特征的唯一性的手段,当一个新的应用及协议被发明,同样会有相应的签名,这个签名会被识别和添加到签名数据库中。同样签名也是会不断变化的,比如一个应用每升级一新的版本,可能就会有新的签名,如果应用在升级,而应用层的网络流控设备签名特征库不被更新的话,应用及协议就不能被应用层网络流控设备准确识别。
随着互联网技术的快速发展,承载在互联网上的新增应用也随之层出不穷,针对互联网上的新增应用的应用协议类型识别缺乏一种快速的反馈机制,将导致新增应用不能得到快速有效的支持。然而,实际操作中应用层网络流控设备签名特征库需要专业人员对其进行周期性的更新,操作繁琐、处理效率低。
发明内容
本发明的目的是提供一种快捷有效、识别范围广泛、处理效率高、操作灵活的用户自定义的应用识别方法及其设备。
本发明一方面提供了一种用户自定义的应用识别方法,该方法包括以下步骤:步骤A,对待分析应用进行抓包;步骤B,提取数据包中的应用签名特征;步骤C,对所述应用签名特征进行编译;步骤D,加载所述编译后的签名特征。
本发明第二方面提供了一种用户自定义的应用识别设备。该设备包括抓包模块、签名提取模块、签名编译模块、签名加载模块和应用识别测试模块。其中签名抓包模块用于获取数据包;签名提取模块用于提取数据包负载里的签名;签名编译模块用于对签名特征进行编译;签名加载模块用于加载编译后的签名;应用识别测试模块用于测试应用能否被识别。
本发明通过应用签名自动提取直接应用于用户的环境,由用户来操作,实现签名自动提取,生效以达到及时处理未识别应用,本发明识别范围广泛、处理效率高、可实现性强,可作为网络流控设备功能实现,可用于策略中的网络应用控制、带宽管理,并可进行网络应用时监控。
附图说明
本发明的示例性实施例将从下文中给出的详细说明和本发明不同实施例的附图中被更完全地理解,然而这不应该被视为将本发明限制于具体的实施例,而应该只是为了解释和理解。
图1为本发明的原理示意图;
图2为本发明一实施例的用户自定义的识别方法流程图;
图3为本发明一实施例的用户自定义的识别网络流控设备结构图。
具体实施方式
本领域的普通技术人员将意识到,所述示例性实施例的下述详细说明仅仅是说明性的,并且不是意在以任何方式加以限制。
图1为本发明的原理示意图。
在图1中,主机1中运行的应用程序通过网络流控设备2与应用服务器2进行交互。网络流控设备2对主机1中运行的应用进行识别和监控。当包括应用程序信息的数据包流径网络流控设备2时,网络流控设备2将获取数据包中的应用签名特征与设备中的签名特征库进行配比,通过配比结果来判断应用是否被网络流控设备2所识别。
图2为本发明一实施例的用户自定义的识别方法流程图。
在步骤S201,流程开始。
在步骤S202,对待分析应用进行抓包,针对网络流控设备对来自主机端的无法识别的应用进行抓包,优选地,可以通过主机端进行抓包操作,然后将获取的数据包加载到网络流控设备所提供的接口中。
在一个例子中,当网络流控设备中的签名库特征记录的是MSN13.0版本的签名,如果用户将MSN13.0版本升级到了MSN14.0版本后,相应的签名也随之更新,而流控设备中的签名特征库记录的MSN签名特征未及时更新,当用户通过MSN14.0版本进行登入操作时,由于的签名没有记载在网络流控设备中的签名特征库中,导致MSN14.0版本未被流控设备准确识别。在MSN14.0版本不能被流控设备识别时,用户需要对该应用进行抓包,以提取该应用的签名,以达到及时处理未识别应用的目的。
在步骤S203,提取步骤S202所获取的数据包中的应用签名,对于数据包签名的提取可以采用GSM rule(通用签名匹配规则)、PDC content(内容解码器)、tuple(五元组信息)和PATTERN(应用包长模式匹配)的方法来实现。
在上一个例子中,在对应用进行多次抓包后,记录数据包的共性特征来获取该应用的签名,由于在数据传输过程中必定会出现且具有稳定的形态,优先选择会重复出现的特征字长串,例如针对MSN14.0版本进行抓包后所获取的数据包固定包长。
在另一个例子中,通过数据包TRACE方法提取PPLIVE应用层签名特征为例说明。当对PPLIVE应用进行多次抓包时,通过跟踪分析它的TCP建立连接后第一个报文只有4BYTE的数据,内容为**、0X00、0X00和0X00.其中**表示非0.而通过跟踪分析它的UDP连接的每个报文,其大量报文首部字节为0XE9、0X03、**、**、0X98和0XAB,其中**表示任意字节。因此提取PPLIVE的签名特征如下:
1、TCP数据传输的签名特征。TCP建立连接后第一个报文只有4BYTE的数据,内容为**、0X00、0X00和0X00.其中**表示非0.
2、UDP数据传输的签名特征。报文前6字节为0XE9、0X03、**、**、0X98和0XAB,其中**表示任意字节。
在步骤S204,对在步骤S203中提取的应用签名进行编译,配制签名相应的信息,如签名的的标识、描述等信息。
在步骤S205,将编译后的签名加载到网络流控设备签名特征库中。
在步骤S206,对待分析应用进行识别测试,如果待分析应用的签名特征的标识及描述等信息与编译后的签名标识、描述信息比对一致,则测试成功,进入步骤S207分析结束,否则返回到步骤S201中。
在步骤S207,流程结束。
图3为本发明一实施例的用户自定义的识别网络流控设备结构图。301表示抓包模块,302表示签名提取模块,303表示签名编译模块、304表示签名加载模块,305表示应用测试模块,以及306表示签名特征库。
抓包模块301用于在应用无法被网络流控设备所识别的情况下对其执行抓包操作。
签名提取模块302用于提取抓包模块301所获取的数据包中的应用签名。
签名编译模块303用于对签名提取模块302所获取的签名进行编译,编辑签名相应的基本信息,如签名的的标识、描述等信息。
签名加载模块304用于加载由签名编译模块303编译后的签名,将经过编译的签名加载到流控设备签名特征库306中。
应用识别测试模块305用于测试应用能否被识别,对待分析应用进行识别测试,如果待分析应用的签名特征的标识及描述等信息与编译后的签名标识、描述信息比对一致,则测试成功,否则返回到抓包模块301。
需要说明的是,该网络流控设备可以是一个独立的网络设备,也可以是以一个模块形式存储在于网关、上网行为管理等网络设备中。
尽管已经示出并描述了本发明的特殊实施例,然而在不背离本发明的示例性实施例及其更宽广方面的前提下,本领域技术人员显然可以基于此处的教学做出变化和修改。因此,所附的权利要求意在将所有这类不背离本发明的示例性实施例的真实精神和范围的变化和更改包含在其范围之内。
Claims (8)
1.一种用户自定义的应用识别方法,其特征在于,包括以下步骤:
步骤A,对来自主机端的待分析应用进行抓包;
步骤B,提取数据包中的应用签名特征;
步骤C,对所述应用签名特征进行编译;
步骤D,加载所述编译后的签名特征。
2.根据权利要求1所述的方法,其特征在于:所述对待分析应用进行抓包的步骤A包括在主机端对待分析应用进行抓包操作。
3.根据权利要求1所述的方法,其特征在于:所述步骤D加载所述编译后的签名特征还需要通过测试步骤判断是否被成功识别。
4.根据权利要求1所述的方法,其特征在于:所述步骤B提取数据包中的应用签名特征包括通过应用包长模式匹配方式提取签名特征。
5.根据权利要求1所述的方法,其特征在于:所述步骤B提取数据包中的应用签名特征包括记录数据包中的共性特征来提取签名。
6.根据权利要求1所述的方法,其特征在于:所述步骤C对所述应用签名特征进行编译包括对所述应用签名特征的标识和描述进行配制。
7.根据权利要求1所述的方法,其特征在于:所述步骤D加载所述编译后的签名特征包括对所述编译后的签名特征添加到签名特征库中。
8.一种用户自定义的应用识别设备,其特征在于:包括:
抓包模块,用于获取数据包;
签名提取模块,用于提取数据包负载里的签名;
签名编译模块,用于对签名特征进行编译;
签名加载模块,用于加载编译后的签名;
应用识别测试模块,用于测试应用能否被识别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101350973A CN102209032A (zh) | 2011-05-24 | 2011-05-24 | 一种用户自定义的应用识别方法及其设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101350973A CN102209032A (zh) | 2011-05-24 | 2011-05-24 | 一种用户自定义的应用识别方法及其设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102209032A true CN102209032A (zh) | 2011-10-05 |
Family
ID=44697701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011101350973A Pending CN102209032A (zh) | 2011-05-24 | 2011-05-24 | 一种用户自定义的应用识别方法及其设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102209032A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752275A (zh) * | 2011-12-31 | 2012-10-24 | 华为技术有限公司 | 签名库的匹配路径生成方法及相关装置 |
| CN102938765A (zh) * | 2012-11-09 | 2013-02-20 | 北京神州绿盟信息安全科技股份有限公司 | 应用识别验证方法及装置 |
| CN103166963A (zh) * | 2013-03-05 | 2013-06-19 | 汉柏科技有限公司 | 一种解除封装的协议识别方法及系统 |
| US20160191348A1 (en) * | 2013-08-12 | 2016-06-30 | Hewlett-Packard Development Company, L.P. | Application-aware network management |
| CN106549815A (zh) * | 2015-09-17 | 2017-03-29 | 武汉邮电科学研究院 | 用于网络中实时深度应用识别的设备和方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101184000A (zh) * | 2007-12-14 | 2008-05-21 | 北京交通大学 | 基于报文采样和应用签名的互联网应用流量识别方法 |
| CN101414939A (zh) * | 2008-11-28 | 2009-04-22 | 武汉虹旭信息技术有限责任公司 | 一种基于动态深度包检测的互联网应用识别方法 |
| US20090219813A1 (en) * | 2008-02-29 | 2009-09-03 | Alcatel Lucent | Application specific service ping packet |
| CN101741908A (zh) * | 2009-12-25 | 2010-06-16 | 青岛朗讯科技通讯设备有限公司 | 一种应用层协议特征的识别方法 |
| CN102045363A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
-
2011
- 2011-05-24 CN CN2011101350973A patent/CN102209032A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101184000A (zh) * | 2007-12-14 | 2008-05-21 | 北京交通大学 | 基于报文采样和应用签名的互联网应用流量识别方法 |
| US20090219813A1 (en) * | 2008-02-29 | 2009-09-03 | Alcatel Lucent | Application specific service ping packet |
| CN101414939A (zh) * | 2008-11-28 | 2009-04-22 | 武汉虹旭信息技术有限责任公司 | 一种基于动态深度包检测的互联网应用识别方法 |
| CN101741908A (zh) * | 2009-12-25 | 2010-06-16 | 青岛朗讯科技通讯设备有限公司 | 一种应用层协议特征的识别方法 |
| CN102045363A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752275A (zh) * | 2011-12-31 | 2012-10-24 | 华为技术有限公司 | 签名库的匹配路径生成方法及相关装置 |
| WO2013097600A1 (zh) * | 2011-12-31 | 2013-07-04 | 华为技术有限公司 | 签名库的匹配路径生成方法及相关装置 |
| CN102938765A (zh) * | 2012-11-09 | 2013-02-20 | 北京神州绿盟信息安全科技股份有限公司 | 应用识别验证方法及装置 |
| CN102938765B (zh) * | 2012-11-09 | 2015-07-15 | 北京神州绿盟信息安全科技股份有限公司 | 应用识别验证方法及装置 |
| CN103166963A (zh) * | 2013-03-05 | 2013-06-19 | 汉柏科技有限公司 | 一种解除封装的协议识别方法及系统 |
| US20160191348A1 (en) * | 2013-08-12 | 2016-06-30 | Hewlett-Packard Development Company, L.P. | Application-aware network management |
| US9954743B2 (en) * | 2013-08-12 | 2018-04-24 | Hewlett Packard Enterprise Development Lp | Application-aware network management |
| CN106549815A (zh) * | 2015-09-17 | 2017-03-29 | 武汉邮电科学研究院 | 用于网络中实时深度应用识别的设备和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104506484A (zh) | 一种私有协议分析与识别方法 | |
| US8761757B2 (en) | Identification of communication devices in telecommunication networks | |
| Luo et al. | Position-based automatic reverse engineering of network protocols | |
| Sija et al. | A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view | |
| CN102209032A (zh) | 一种用户自定义的应用识别方法及其设备 | |
| US20130014267A1 (en) | Computer protocol generation and obfuscation | |
| US10511505B2 (en) | Systems and methods to recreate real world application level test packets for network testing | |
| CN105138924A (zh) | 未登录状态下保存应用操作信息的方法和设备 | |
| WO2017000761A1 (zh) | 一种终端设备的特征信息的提取方法及装置 | |
| CN103297270A (zh) | 应用类型识别方法及网络设备 | |
| CN105302885B (zh) | 一种全文数据的提取方法和装置 | |
| CN103780610A (zh) | 基于协议特征的网络数据恢复方法 | |
| CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
| CN110868409A (zh) | 一种基于tcp/ip协议栈指纹的操作系统被动识别方法及系统 | |
| CN106484453A (zh) | 一种实现系统升级的方法及装置 | |
| CN106778229B (zh) | 一种基于vpn的恶意应用下载拦截方法及系统 | |
| JP2017016650A (ja) | コンピュータネットワーク上の資産を検出および識別するための方法およびシステム | |
| CN109889521B (zh) | 存储器、通信通道复用实现方法、装置和设备 | |
| US20170102989A1 (en) | Method and system for dynamically unblocking customers in critical workflows by pushing community contributed solutions just-in-time when an error is encountered | |
| US20170223147A1 (en) | Communication method and system based on assembled communication protocol stack | |
| CN104702564A (zh) | 一种网络共享用户识别方法及装置 | |
| CN108055166B (zh) | 一种嵌套的应用层协议的状态机提取系统及其提取方法 | |
| CN105099769A (zh) | 业务平台的异常操作处理方法、设备和系统 | |
| Cai et al. | Analyzing Network Protocols of Application Layer Using Hidden Semi‐Markov Model | |
| CN109005082A (zh) | 一种利用crc校验字段捕获以太网报文的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20111005 |