CN105141575A - 加密应用识别和加密网页内容分类方法及装置 - Google Patents

加密应用识别和加密网页内容分类方法及装置 Download PDF

Info

Publication number
CN105141575A
CN105141575A CN201510359302.2A CN201510359302A CN105141575A CN 105141575 A CN105141575 A CN 105141575A CN 201510359302 A CN201510359302 A CN 201510359302A CN 105141575 A CN105141575 A CN 105141575A
Authority
CN
China
Prior art keywords
application
address
server
matching table
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510359302.2A
Other languages
English (en)
Inventor
马勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING NETENTSEC Inc
Original Assignee
BEIJING NETENTSEC Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING NETENTSEC Inc filed Critical BEIJING NETENTSEC Inc
Priority to CN201510359302.2A priority Critical patent/CN105141575A/zh
Publication of CN105141575A publication Critical patent/CN105141575A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种加密应用识别方法,包括:获取网络中的连接数据,确定连接数据为域名系统(DNS)连接数据;从DNS连接数据中获取DNS反馈包,DNS反馈包包括加密应用域名和服务器网络协议(IP)地址;查询应用自动匹配表中是否包括服务器IP地址;当应用自动匹配表中不包括服务器IP地址时,查询应用规则库中是否包括加密应用域名对应的应用标识,当应用规则库中包括加密应用域名对应的应用标识时,将服务器IP地址和对应的应用标识加入应用自动匹配表。本发明还同时公开了一种加密网页内容分类方法、加密应用识别装置、加密网页内容分类装置和加密应用识别和加密网页内容分类装置。

Description

加密应用识别和加密网页内容分类方法及装置
技术领域
本发明涉及网络应用安全技术,尤其涉及一种加密应用识别和加密网页内容分类方法及装置。
背景技术
随着网络安全需求的增加,针对网络数据的加密技术应用越来越广泛,数据加密技术目前已经广泛应用于网络数据加密传输,以便对用户的私密数据进行保护。
以目前使用最广泛的安全套接层(SSL,SecureSocketsLayer)为例,所述SSL使用数据加密技术,可确保数据在网络传输过程中不会被截取及窃听,从而保障互联网上的数据传输安全。SSL协议位于传输控制协议/因特网互联(TCP/IP,TransmissionControlProtocol/InternetProtocol)协议与各种应用层协议之间,为数据通讯提供安全支持。需要说明的是,目前主流的网络服务器均提供对SSL加密技术的支持。
除了可以使用SSL加密技术进行网页浏览,目前越来越多的应用程序客户端还可以通过其它加密协议与服务器之间进行通信,例如,在金融支付、办公等领域的应用大部分采用了加密技术以保证用户网络数据的安全。
在现有技术中,针对加密应用的识别方案主要有以下三种:
方案一:通过对证书中的明文信息进行识别。
方案二:通过中间人攻击方法对SSL秘钥进行劫持,解析SSL流量并采用传统识别方法对解析后的流量进行识别。
方案三:通过统计学方法对加密流量数据进行线下分析,并提取深度/动态流检测(DFI,Deep/DynamicFlowInspection)特征。
传统加密应用识别方法基本是针对连接数据载荷内容的深度包检测(DPI,DeepPacketInspection)技术以及匹配数据流特征的DFI技术,但是,所述两种技术在识别加密流量方面不够完善,具体原因如下:
1)传输的内容经过加密后,连接数据的载荷内容均为密文,不包含能够匹配的特征。
2)传输的数据随机,数据流没有明显的包长序列特征。
基于以上两种原因,针对加密应用的三种识别方案具有以下问题:
1)方案一过渡依赖证书中的明文信息,如果不存在特征性明文则不能识别加密应用。
2)方案二依赖客户端对伪造证书的信任;依赖服务端不要求对客户端进行认证;需要较大的计算量,效率较低;以及有法律风险。
3)方案三并不能克服传输数据随机,无流量特征的情况。
另外,在现有技术中,针对加密场景下的网页内容分类技术主要使用所述方案二,且在解密后进行。具体地,传统的网页内容分类技术是通过超文本传输协议(HTTP,HyperTextTransferProtocol)访问请求中的主机(Host)及统一资源标识符(URI,UniformResourceIdentifier)与分类库中的记录进行匹配,并返回分类结果。而当HTTP访问通过SSL加密后生成超文本加密传输协议(HTTPS,HyperTextTransferProtocoloverSecureSocketLayer)后,请求的URL及Host都是以密文的方式进行传输,因此,传统的网页内容分类技术不能完成分类库的匹配,从而无法对所述网页内容进行分类。
发明内容
有鉴于此,本发明实施例期望提供一种加密应用识别和加密网页内容分类方法及装置,不仅能够准确有效地识别网络加密应用以及对加密网页内容进行分类,而且避免了解密及分析加密流量本身的数据特征,从而降低引擎负载,减少安全风险。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种加密应用识别方法,包括:
获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
查询应用自动匹配表中是否包括所述服务器IP地址;
当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的所述应用标识加入所述应用自动匹配表。
上述方案中,所述查询应用自动匹配表中是否包括所述服务器IP地址之后,还包括:
当所述应用自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述应用标识。
本发明实施例提供了一种加密网页内容分类方法,包括:
获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
确定加密应用为超文本加密传输协议HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址;
当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的分类标识加入所述分类自动匹配表。
上述方案中,所述查询分类自动匹配表中是否包括所述服务器IP地址之后,还包括:
当所述分类自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述分类标识。
本发明实施例提供了一种加密应用识别装置,包括:
连接数据获取单元,用于获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
DNS反馈包获取单元,用于从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
第一查询单元,用于查询应用自动匹配表中是否包括所述服务器IP地址;
第一服务器IP地址加入单元,用于当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的应用标识加入所述应用自动匹配表。
上述方案中,还包括:
第一输出单元,用于查询所述应用自动匹配表中是否包括所述服务器IP地址之后,当所述应用自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述应用标识。
本发明实施例提供了一种加密网页内容分类装置,包括:
连接数据获取单元,用于获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
DNS反馈包获取单元,用于从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
第二查询单元,用于确定加密应用为超文本加密传输协议HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址;
第二服务器IP地址加入单元,用于当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的分类标识加入所述分类自动匹配表。
上述方案中,还包括:
第二输出单元,用于查询所述分类自动匹配表中是否包括所述服务器IP地址之后,当所述分类自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述分类标识。
本发明实施例提供了一种加密应用识别和加密网页内容分类装置,包括:
连接数据获取单元,用于获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
DNS反馈包获取单元,用于从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
第一查询单元,用于查询应用自动匹配表中是否包括所述服务器IP地址;
第二查询单元,用于确定加密应用为超文本加密传输协议HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址;
第一服务器IP地址加入单元,用于当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的应用标识加入所述应用自动匹配表;
第二服务器IP地址加入单元,用于当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的分类标识加入所述分类自动匹配表。
上述方案中,还包括:
第一输出单元,用于查询所述应用自动匹配表中是否包括所述服务器IP地址之后,当所述应用自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述应用标识;
第二输出单元,用于查询所述分类自动匹配表中是否包括所述服务器IP地址之后,当所述分类自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述分类标识。
本发明实施例所提供的加密应用识别和加密网页内容分类方法及装置,所述装置获取网络中的连接数据,确定所述连接数据为域名系统(DNS,DomainNameSystem)连接数据;从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议(IP,InternetProtocol)地址;当需要进行所述加密应用识别时,查询应用自动匹配表中是否包括所述服务器IP地址;当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的所述应用标识加入所述应用自动匹配表;当需要进行所述加密网页内容分类时,确定加密应用为超文本加密传输协议HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址;当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的所述分类标识加入所述分类自动匹配表。
本发明实施例提供的所述加密应用识别方法及装置,通过从所述DNS连接数据中获取DNS反馈包,并查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的所述应用标识加入所述应用自动匹配表,从而避免了对所述连接数据的解密,因此,可以不需要进行解密而达到高效识别所述加密应用的目的。
本发明实施例提供的所述加密网页内容分类方法及装置,可以在无需解密所述加密网页的IP地址的情况下,准确识别所述加密网页的IP地址。由于所述IP地址的准确性,保证了根据所述IP地址对所述加密网页进行分类的准确性。
附图说明
图1为本发明实施例提供的网络关系的结构示意图;
图2为本发明实施例1提供的加密应用识别方法的实现流程示意图;
图3为本发明实施例1提供的加密应用识别方法的实现流程示意图;
图4为本发明实施例3提供的加密网页内容分类方法的实现流程示意图;
图5为本发明实施例3提供的加密网页内容分类方法的实现流程示意图;
图6为本发明实施例4提供的加密应用识别装置的组成结构示意图;
图7为本发明实施例5提供的加密网页内容分类装置的组成结构示意图;
图8为本发明实施例6提供的加密应用识别和加密网页内容分类装置的组成结构示意图。
具体实施方式
本发明实施例中,所述装置获取网络中的连接数据,确定所述连接数据为DNS连接数据;从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器IP地址;当需要进行所述加密应用识别时,查询应用自动匹配表中是否包括所述服务器IP地址;当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的所述应用标识加入所述应用自动匹配表;当需要进行所述加密网页内容分类时,确定加密应用为超文本加密传输协议HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址;当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的所述分类标识加入所述分类自动匹配表。
图1为本发明实施例提供的网络关系的结构示意图,如图1所示,客户端设备运行网络应用程序,生成所述连接数据并通过互联网发送至应用服务器;所述应用服务器通过互联网返回新生成的连接数据至所述客户端设备;加密应用识别和加密网页内容分类装置通过获取所述连接数据对加密应用进行识别,并对加密网页内容进行分类。
下面结合附图及具体实施例对本发明再做进一步详细的说明。
实施例1
图2和图3为本发明实施例1提供的加密应用识别方法的实现流程示意图,如图3所示,所述加密应用识别方法包括:
步骤110:获取网络中的连接数据,确定连接数据为DNS连接数据。
在步骤110中,所述加密应用识别装置,或者所述加密应用识别和加密网页内容分类装置在网络中获取并分析所述连接数据中的信息。所述连接数据为网络中任一连接数据,可以包括DNS连接数据等。
具体地,所述加密应用识别装置,或者所述加密应用识别和加密网页内容分类装置监听所述网络并获取所述连接数据。
这里,所述加密应用识别装置,或者所述加密应用识别和加密网页内容分类装置使用DPI技术确定连接数据为DNS连接数据。
步骤120:从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址。
所述DNS连接数据包括DNS反馈包。需要说明的是,所述DNS反馈包为当所述客户端设备向DNS应用服务器请求具有加密应用域名的其它应用服务器的IP地址时,所述DNS应用服务器返回给所述客户端设备的连接数据。尤其地,所述DNS连接数据是不加密的连接数据。这里,所述DNS反馈包包括五元组数据,所述五元组数据包括DNS查询源主机的IP地址、加密应用域名和服务器IP地址。
步骤130:查询应用自动匹配表中是否包括所述服务器IP地址。
这里,所述应用自动匹配表由所述加密应用识别装置,或者所述加密应用识别和加密网页内容分类装置预先配置,包括应用标识(Mark)和与所述应用标识对应的网络应用的服务器IP地址。需要说明的是,由于所述网络应用的服务器IP地址是动态变化的,所以所述应用自动匹配表也是动态变化的。
在步骤130中,当所述加密应用识别装置或所述加密应用识别和加密网页内容分类装置查询到所述应用自动匹配表中包括所述服务器IP地址,说明所述网络应用的服务器IP地址已经被识别并记录至所述应用自动匹配表,因此不需要更新所述应用自动匹配表中的所述网络应用的服务器IP地址,如图3所示,只需要执行步骤150中的输出所述服务器IP地址对应的所述应用标识。
在步骤130中,当所述加密应用识别装置或所述加密应用识别和加密网页内容分类装置查询到所述应用自动匹配表中不包括所述服务器IP地址,执行步骤140。
步骤140:当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的所述应用标识加入所述应用自动匹配表。
在步骤140中,当所述加密应用识别装置或所述加密应用识别和加密网页内容分类装置没有查询到所述应用自动匹配表中包括所述服务器IP地址,说明所述应用自动匹配表并没有包括所述网络应用的服务器IP地址。
步骤141:查询应用规则库中是否包括所述加密应用域名对应的应用标识.
这里,所述应用规则库由所述加密应用识别装置或所述加密应用识别和加密网页内容分类装置预先配置,包括所述应用标识和与所述应用标识对应的网络应用的域名。需要说明的是,由于所述网络应用的域名是静态不改变的,所以所述应用规则库也是静态的。
步骤142:当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP和对应的所述应用标识地址加入所述应用自动匹配表。
在步骤142中,所述应用自动匹配表中的服务器IP地址动态地得到了自动更新。
如图3所示,在步骤142后,执行步骤130,当应用自动匹配表中包括所述服务器IP地址之时,所述方法还包括:
步骤150:当所述应用自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述应用标识。
至此,加密应用识别的过程就完成了。
本发明实施例期望提供的加密应用识别方法不仅能够准确及有效地识别网络加密应用,而且避免了解密及分析加密流量本身的数据特征,从而降低引擎负载,减少了安全风险。
实施例2
实施例2为HTTPS识别方法。当所述加密应用为HTTPS时,所述HTTPS识别方法包括:
获取网络中的连接数据,确定所述连接数据为DNS连接数据;
从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括HTTPS域名和HTTPS服务器IP地址;
查询应用自动匹配表中是否包括所述HTTPS服务器IP地址;
当所述应用自动匹配表中不包括所述HTTPS服务器IP地址时,查询应用规则库中是否包括所述HTTPS域名对应的应用标识,当所述应用规则库中包括所述HTTPS域名对应的应用标识时,将所述HTTPS服务器IP地址和对应的所述应用标识加入所述应用自动匹配表。
进一步地,所述HTTPS识别方法还包括:输出所述HTTPS服务器IP地址对应的所述应用标识。
至此,HTTPS识别的过程就完成了。
实施例3
图4和图5为本发明实施例3提供的加密网页内容分类方法的实现流程示意图。需要说明的是,所述加密网页内容分类方法中的所述应用类型为HTTPS。如图5所示,所述加密网页内容分类方法包括:
步骤210:获取网络中的连接数据,确定连接数据为DNS连接数据。
步骤220:从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址。
步骤230:确定加密应用为HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址。
这里,所述分类自动匹配表由加密网页内容分类装置或所述加密应用识别和加密网页内容分类装置预先配置,包括分类标识和与所述分类标识对应的网络应用的服务器IP地址。需要说明的是,由于所述网络应用的服务器IP地址是动态变化的,所以所述分类自动匹配表也是动态变化的。
在步骤230中,当所述加密应用识别装置或所述加密应用识别和加密网页内容分类装置查询到所述分类自动匹配表中包括所述服务器IP地址,说明所述网络应用的服务器IP地址已经被识别并记录至所述分类自动匹配表,因此不需要更新所述分类自动匹配表中的所述网络应用的服务器IP地址,如图5所示,只需要执行步骤250中的输出所述服务器IP地址对应的所述分类标识。
在步骤230中,当所述加密应用识别装置或所述加密应用识别和加密网页内容分类装置查询到所述分类自动匹配表中不包括所述服务器IP地址,执行步骤240。
步骤240:当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的所述分类标识加入所述分类自动匹配表。
在步骤240中,当所述加密应用识别装置或所述加密应用识别和加密网页内容分类装置没有查询到所述分类自动匹配表中包括所述服务器IP地址,说明所述分类自动匹配表并没有包括所述网络应用的服务器IP地址。
步骤241:查询分类规则库中是否包括所述加密应用域名对应的应用标识。
这里,所述分类规则库由加密网页内容分类装置或所述加密应用识别和加密网页内容分类装置预先配置,包括所述分类标识和与所述分类标识对应的HTTPS域名。需要说明的是,由于所述HTTPS域名是静态不改变的,所以所述分类规则库也是静态的。
步骤242:当所述分类规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的所述分类标识加入所述分类自动匹配表。
在步骤242中,所述分类自动匹配表中的服务器IP地址动态地得到了自动更新。
如图5所示,在步骤242后,当分类自动匹配表中包括所述服务器IP地址之后,所述方法还包括:
步骤250:当所述分类自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述分类标识。
至此,加密网页内容分类的过程就完成了。
实施例4
图6为本发明实施例4提供的一种加密应用识别装置的组成结构示意图,如图6所示,所述加密应用识别装置包括:
连接数据获取单元310,用于获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
DNS反馈包获取单元320,用于从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
第一查询单元330,用于查询应用自动匹配表中是否包括所述服务器IP地址;
第一服务器IP地址加入单元340,用于当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的所述应用标识加入所述应用自动匹配表。
所述装置还包括:
第一输出单元350,用于查询所述应用自动匹配表中是否包括所述服务器IP地址之后,当所述应用自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述应用标识。
实施例5
图7为本发明实施例5提供的一种加密网页内容分类装置的组成结构示意图,如图7所示,所述加密网页内容分类装置包括:
连接数据获取单元410,用于获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
DNS反馈包获取单元420,用于从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
第二查询单元430,用于确定加密应用为超文本加密传输协议HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址;
第二服务器IP地址加入单元440,用于当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的所述分类标识加入所述分类自动匹配表。
所述装置还包括:
第二输出单元450,用于查询所述分类自动匹配表中是否包括所述服务器IP地址之后,当所述分类自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述分类标识。
实施例6
图8为本发明实施例6提供的一种加密应用识别和加密网页内容分类装置的组成结构示意图,如图8所示,所述加密应用识别和加密网页内容分类装置包括:
连接数据获取单元510,用于获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
DNS反馈包获取单元520,用于从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
第一查询单元530,用于查询应用自动匹配表中是否包括所述服务器IP地址;
第二查询单元540,用于确定加密应用为超文本加密传输协议HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址。
第一服务器IP地址加入单元550,用于当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的所述应用标识加入所述应用自动匹配表;
第二服务器IP地址加入单元560,用于当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的所述分类标识加入所述分类自动匹配表。
所述装置还包括:
第一输出单元570,用于查询所述应用自动匹配表中是否包括所述服务器IP地址之后,当所述应用自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述应用标识;
第二输出单元580,用于查询所述分类自动匹配表中是否包括所述服务器IP地址之后,当所述分类自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述分类标识。
在实际应用中,所述连接数据获取单元310、DNS反馈包获取单元320、第一查询单元330、第一服务器IP地址加入单元340、第一输出单元350、连接数据获取单元410、DNS反馈包获取单元420、第二查询单元430、第二服务器IP地址加入单元440、第二输出单元450、连接数据获取单元510、DNS反馈包获取单元520、第一查询单元530、第二查询单元540、第一服务器IP地址加入单元550、第二服务器IP地址加入单元560、第一输出单元570和第二输出单元580均可由位于任意计算机设备中的中央处理器(CPU,CentralProcessingUnit)、数字信号处理器(DSP,DigitalSignalProcessor)、微处理器(MPU,MicroprocessorUnit)、或可编程逻辑阵列(FPGA,FieldProgrammableGateArray)实现。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (10)

1.一种加密应用识别方法,其特征在于,所述方法包括:
获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
查询应用自动匹配表中是否包括所述服务器IP地址;
当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的所述应用标识加入所述应用自动匹配表。
2.根据权利要求1所述的方法,其特征在于,所述查询应用自动匹配表中是否包括所述服务器IP地址之后,所述方法还包括:
当所述应用自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述应用标识。
3.一种加密网页内容分类方法,其特征在于,所述方法包括:
获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
确定加密应用为超文本加密传输协议HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址;
当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的分类标识加入所述分类自动匹配表。
4.根据权利要求3所述的方法,其特征在于,所述查询分类自动匹配表中是否包括所述服务器IP地址之后,所述方法还包括:
当所述分类自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述分类标识。
5.一种加密应用识别装置,其特征在于,所述装置包括:
连接数据获取单元,用于获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
DNS反馈包获取单元,用于从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
第一查询单元,用于查询应用自动匹配表中是否包括所述服务器IP地址;
第一服务器IP地址加入单元,用于当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的应用标识加入所述应用自动匹配表。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第一输出单元,用于查询所述应用自动匹配表中是否包括所述服务器IP地址之后,当所述应用自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述应用标识。
7.一种加密网页内容分类装置,其特征在于,所述装置包括:
连接数据获取单元,用于获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
DNS反馈包获取单元,用于从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
第二查询单元,用于确定加密应用为超文本加密传输协议HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址;
第二服务器IP地址加入单元,用于当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的分类标识加入所述分类自动匹配表。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二输出单元,用于查询所述分类自动匹配表中是否包括所述服务器IP地址之后,当所述分类自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述分类标识。
9.一种加密应用识别和加密网页内容分类装置,其特征在于,所述装置包括:
连接数据获取单元,用于获取网络中的连接数据,确定所述连接数据为域名系统DNS连接数据;
DNS反馈包获取单元,用于从所述DNS连接数据中获取DNS反馈包,所述DNS反馈包包括加密应用域名和服务器网络协议IP地址;
第一查询单元,用于查询应用自动匹配表中是否包括所述服务器IP地址;
第二查询单元,用于确定加密应用为超文本加密传输协议HTTPS时,查询分类自动匹配表中是否包括所述服务器IP地址;
第一服务器IP地址加入单元,用于当所述应用自动匹配表中不包括所述服务器IP地址时,查询应用规则库中是否包括所述加密应用域名对应的应用标识,当所述应用规则库中包括所述加密应用域名对应的应用标识时,将所述服务器IP地址和对应的应用标识加入所述应用自动匹配表;
第二服务器IP地址加入单元,用于当所述分类自动匹配表中不包括所述服务器IP地址时,查询分类规则库中是否包括所述加密应用域名对应的分类标识,当所述分类规则库中包括所述加密应用域名对应的分类标识时,将所述服务器IP地址和对应的分类标识加入所述分类自动匹配表。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第一输出单元,用于查询所述应用自动匹配表中是否包括所述服务器IP地址之后,当所述应用自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述应用标识;
第二输出单元,用于查询所述分类自动匹配表中是否包括所述服务器IP地址之后,当所述分类自动匹配表中包括所述服务器IP地址时,输出所述服务器IP地址对应的所述分类标识。
CN201510359302.2A 2015-06-25 2015-06-25 加密应用识别和加密网页内容分类方法及装置 Pending CN105141575A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510359302.2A CN105141575A (zh) 2015-06-25 2015-06-25 加密应用识别和加密网页内容分类方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510359302.2A CN105141575A (zh) 2015-06-25 2015-06-25 加密应用识别和加密网页内容分类方法及装置

Publications (1)

Publication Number Publication Date
CN105141575A true CN105141575A (zh) 2015-12-09

Family

ID=54726784

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510359302.2A Pending CN105141575A (zh) 2015-06-25 2015-06-25 加密应用识别和加密网页内容分类方法及装置

Country Status (1)

Country Link
CN (1) CN105141575A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070812A (zh) * 2017-05-02 2017-08-18 武汉绿色网络信息服务有限责任公司 一种https协议分析方法及其系统
CN108156271A (zh) * 2017-12-04 2018-06-12 北京小米移动软件有限公司 通信方法、装置及电子设备
CN109672650A (zh) * 2017-10-17 2019-04-23 阿里巴巴集团控股有限公司 网站分类系统、方法及数据处理方法
CN110266832A (zh) * 2019-07-08 2019-09-20 新华三信息安全技术有限公司 一种域名解析方法及装置
CN112788159A (zh) * 2020-12-31 2021-05-11 山西三友和智慧信息技术股份有限公司 一种基于dns流量和knn算法的网页指纹追踪方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070812A (zh) * 2017-05-02 2017-08-18 武汉绿色网络信息服务有限责任公司 一种https协议分析方法及其系统
CN109672650A (zh) * 2017-10-17 2019-04-23 阿里巴巴集团控股有限公司 网站分类系统、方法及数据处理方法
CN108156271A (zh) * 2017-12-04 2018-06-12 北京小米移动软件有限公司 通信方法、装置及电子设备
CN108156271B (zh) * 2017-12-04 2021-03-16 北京小米移动软件有限公司 通信方法、装置及电子设备
CN110266832A (zh) * 2019-07-08 2019-09-20 新华三信息安全技术有限公司 一种域名解析方法及装置
CN112788159A (zh) * 2020-12-31 2021-05-11 山西三友和智慧信息技术股份有限公司 一种基于dns流量和knn算法的网页指纹追踪方法
CN112788159B (zh) * 2020-12-31 2022-07-08 山西三友和智慧信息技术股份有限公司 一种基于dns流量和knn算法的网页指纹追踪方法

Similar Documents

Publication Publication Date Title
US10003616B2 (en) Destination domain extraction for secure protocols
CN109983752B (zh) 带有编码dns级信息的网络地址
US11632356B2 (en) Proxy auto-configuration for directing client traffic to a cloud proxy with cloud-based unique identifier assignment
EP2850770B1 (en) Transport layer security traffic control using service name identification
US11799908B2 (en) Bot detection in an edge network using transport layer security (TLS) fingerprint
US9680869B2 (en) System and method for innovative management of transport layer security session tickets in a network environment
CN105141575A (zh) 加密应用识别和加密网页内容分类方法及装置
CN115348060A (zh) 选择性地解密ssl/tls通信的方法和装置
Ling et al. Novel packet size-based covert channel attacks against anonymizer
US20170317836A1 (en) Service Processing Method and Apparatus
CN106506552B (zh) 一种http请求传输方法及装置
US20150350375A1 (en) Information Processing Method, Trusted Server, and Cloud Server
CN114449064A (zh) Tls加密流量的应用识别方法、装置和应用识别设备
CN113315678A (zh) 加密tcp流量采集方法与装置
US9419990B2 (en) Apparatus and method for characterizing the risk of a user contracting malicious software
CN116723238A (zh) 一种基于中间人代理的api加密流量采集与标注方法
CN112995120A (zh) 一种数据监测方法及装置
CN112995119A (zh) 一种数据监测方法及装置
KR101919762B1 (ko) 암호화 트래픽의 복호화를 위한 암호화 트래픽 관리장치 및 그 방법
Bagaria et al. Detecting malignant tls servers using machine learning techniques
Yoon et al. Encrypted network traffic analysis method via secure socket layer handshake control
CN106464684B (zh) 业务处理方法及装置
US8041948B2 (en) Application level gateway for request verification
Nainar et al. Capturing Secured Application Traffic for Analysis
Lu et al. OpenStack vulnerability detection and analysis

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20151209

RJ01 Rejection of invention patent application after publication