CN105591973A - 应用识别方法及装置 - Google Patents
应用识别方法及装置 Download PDFInfo
- Publication number
- CN105591973A CN105591973A CN201511028801.XA CN201511028801A CN105591973A CN 105591973 A CN105591973 A CN 105591973A CN 201511028801 A CN201511028801 A CN 201511028801A CN 105591973 A CN105591973 A CN 105591973A
- Authority
- CN
- China
- Prior art keywords
- message
- application type
- application
- sample
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种应用识别方法及装置,所述方法包括:读取预设的数据样本库中的数据分析样本;所述数据分析样本包括报文的应用类型以及该报文的报文特征;针对读取到的预设数量的数据分析样本进行统计分析以得到应用识别规则;所述应用识别规则包括报文特征与应用类型之间的映射关系;基于所述应用识别规则识别目标报文的应用类型。本申请可以降低CPU的资源消耗,提供处理节点的吞吐量,提高报文的应用识别效率。
Description
技术领域
本申请涉及通信领域,尤其涉及一种应用识别方法及装置。
背景技术
在互联网上,政府部门或者各运营商基于运营和安全管控的目的,通常需要识别互联网上的报文所属的应用类型,并做出相应的管控。例如,互联网上存在大量私有协议应用,比如微博,微信等,这些应用是非标准化的,因此出于运营和安全管控的目的,通常需要识别用户使用这类应用发出的报文所属的应用类型,然后针对特定的应用的流量做限速、阻断、审计、分流(路由)等业务处理。
发明内容
本申请提出一种应用识别方法,该方法包括:
读取预设的数据样本库中的数据分析样本;所述数据分析样本包括报文的应用类型以及该报文的报文特征;
针对读取到的预设数量的数据分析样本进行统计分析以得到应用识别规则;所述应用识别规则包括报文特征与应用类型之间的映射关系;
基于所述应用识别规则识别目标报文的应用类型。
可选的,所述读取数据样本库中的数据分析样本之前,所述方法还包括:
基于报文内容识别接收到的报文的应用类型;
当识别出接收到的报文的应用类型后,将识别出的该报文的应用类型,以及该报文的报文特征作为数据分析样本保存至所述数据样本库。
可选的,所述针对读取到的预设数量的数据分析样本进行统计分析以得到应用识别规则包括:
将所述数据样本库中报文特征相同的数据分析样本进行分组;
统计分组后的每一个分组的会话数;
当任一分组对应唯一相同的应用类型,并且该分组的会话数达到第一预设阈值,则基于该分组中的报文特征和该分组中的应用类型建立所述映射关系,以得到所述应用识别规则。
可选的,其特征在于,所述方法还包括:
当任一分组对应多种应用类型时,分别计算该多种应用类型在该分组中的会话占比,以及该多种应用类型在该分组中对应的会话数;
提取该多种应用类型中对应的会话数达到所述第一预设阈值,并且会话占比达到第二预设阈值的应用类型;
基于该分组中的报文特征和提取出的所述应用类型建立所述映射关系。
可选的,所述基于所述应用识别规则识别目标报文的应用类型包括:
提取目标报文的报文特征;
将提取出的所述目标报文的报文特征在所述应用识别规则中进行匹配;
当在所述应用识别规则中匹配到所述目标报文的报文特征时,基于所述映射关系查询与所述目标报文的报文特征对应的应用类型。
可选的,所述方法还包括:
当查询到与所述目标报文的报文特征对应的应用类型后,从所述目标报文中提取校验样本;
基于查询到的所述应用类型对提取出的所述校验样本进行校验;
当校验成功后,基于查询到的所述应用类型对所述目标报文对应的会话进行标记。
可选的,所述方法还包括:
当校验失败后,基于所述目标报文的数据载荷识别所述目标报文的应用类型,并在识别出所述目标报文的应用类型后,将识别出的所述目标报文的应用类型、所述目标报文的报文特征以及所述目标报文的会话标识作为数据分析样本保存至所述数据样本库。
可选的,所述报文特征包括三元组报文特征;所述三元组包括目的IP、目的端口以及协议类型。
本申请还提出一种应用识别装置,其特征在于,该装置包括:
读取模块,用于读取预设的数据样本库中的数据分析样本;所述数据分析样本包括报文的应用类型以及该报文的报文特征;
分析模块,用于针对读取到的预设数量的数据分析样本进行统计分析,以得到应用识别规则;所述应用识别规则包括报文特征与应用类型之间的映射关系;
第一识别模块,用于基于所述应用识别规则识别目标报文的应用类型。
可选的,所述装置还包括:
第二识别模块,基于报文内容识别接收到的报文的应用类型;
保存模块,用于在识别出接收到的报文的应用类型后,将识别出的该报文的应用类型,以及该报文的报文特征作为数据分析样本保存至所述数据样本库。
可选的,所述分析模块具体用于:
将所述数据样本库中报文特征相同的数据分析样本进行分组;
统计分组后的每一个分组的会话数;
当任一分组对应唯一相同的应用类型,并且该分组的会话数达到第一预设阈值,则基于该分组中的报文特征和该分组中的应用类型建立所述映射关系,以得到所述应用识别规则。
可选的,所述分析模块进一步用于:
当任一分组对应多种应用类型时,分别计算该多种应用类型在该分组中的会话占比,以及该多种应用类型在该分组中对应的会话数;
提取该多种应用类型中对应的会话数达到所述第一预设阈值,并且会话占比达到第二预设阈值的应用类型;
基于该分组中的报文特征和提取出的所述应用类型建立所述映射关系。
可选的,所述第一识别模块具体用于:
提取目标报文的报文特征;
将提取出的所述目标报文的报文特征在所述应用识别规则中进行匹配;
当在所述应用识别规则中匹配到所述目标报文的报文特征时,基于所述映射关系查询与所述目标报文的报文特征对应的应用类型。
可选的,所述装置还包括:
提取模块,用于在查询到与所述目标报文的报文特征对应的应用类型后,从所述目标报文中提取校验样本;
校验模块,用于基于查询到的所述应用类型对提取出的所述校验样本进行校验;
标记模块,用于在校验成功后,基于查询到的所述应用类型对所述目标报文对应的会话进行标记。
可选的,当校验失败后,由所述第二识别模块基于所述目标报文的报文内容识别所述目标报文的应用类型,并在识别出所述目标报文的应用类型后,由所述保存模块将识别出的所述目标报文的应用类型、所述目标报文的报文特征以及所述目标报文的会话标识作为数据分析样本保存至所述数据样本库。
可选的,所述报文特征包括三元组报文特征;所述三元组包括目的IP、目的端口以及协议类型。
本申请中,通过对预设数量报文的报文特征以及对应的应用类型进行统计分析得到应用识别规则,所述应用识别规则包括报文特征与应用类型之间的映射关系,然后基于所述应用识别规则识别目标报文的应用类型。由于本申请中,可以不再通过对报文进行内容扫描来识别报文的应用类型,因此可以从整体上降低CPU的资源消耗,提供处理节点的吞吐量,并提高报文的应用识别效率。
附图说明
图1是本申请一实施例提供的一种应用识别方法的流程图;
图2是本申请一实施例提供的一种应用识别装置的逻辑框图;
图3是本申请一实施例提供的承载所述应用识别装置的防火墙设备的硬件结构图。
具体实施方式
相关技术中,在识别互联网上的报文所属的应用类型时,通常是基于端口识别或者内容识别来实现的。
例如,可以直接通过报文的目的端口来识别报文所属应用类型。比如80端口对应WEB应用,当接收到报文的目的端口为80端口时,可以直接识别出该报文所属的应用类型为WEB应用。又如,还可以在互联网骨干网上的防火墙等安全设备上,通过对报文的内容做模式匹配,来识别报文所属应用类型。
然而,一方面,在通过端口来识别报文所属应用类型时,仅仅能识别出互联网上一些常见的协议,比如TCP(TransmissionControlProtocol,传输控制协议)、UDP(UserDatagramProtocol,用户数据报协议)、FTP(FileTransferProtocol,文件传输协议)、WEB、TELNET(远程终端协议)等协议,并不能识别出互联网上的私有协议应用。而且,通过端口来识别报文所属应用类型时,还存在识别结果可信度不高的问题。比如,80端口通常对应WEB应用,然而如果80端口被其他协议冒用,则可能造成错误识别的问题。
另一方面,在基于内容来识别报文所属应用类型时,由于要对报文做大量扫描以及很复杂的模式运算,因此通常需要处理节点有一个强大的模式匹配引擎和持续更新的特征库,因此CPU和内存资源消耗巨大,很容易形成网络管道中的瓶颈点。
而且,在基于内容来识别报文所属应用类型时,由于待识别的应用特征通常携带在报文的数据载荷中,因此会话建立阶段的控制报文(比如,TCP握手报文)则无法进行识别。而如果无法识别会话建立阶段的控制报文,对于一些特殊的应用场景,则会存在一定的困难。例如,对于基于应用进行报文分流的应用场景,由于报文的分流具有实时性,如果无法识别会话建立阶段的控制报文所属的应用类型,则无法第一时间对报文进行分流,对实施造成困难。
有鉴于此,本申请提出一种应用识别方法,通过对预设数量报文的报文特征以及对应的应用类型进行统计分析得到应用识别规则,所述应用识别规则包括报文特征与应用类型之间的映射关系,然后基于所述应用识别规则识别目标报文的应用类型。由于本申请中,可以不再通过对报文进行内容扫描来识别报文的应用类型,因此可以从整体上降低CPU的资源消耗,提供处理节点的吞吐量,并提高报文的应用识别效率。
而且,由于在本申请中,不再依赖报文内容中携带的待识别的应用特征,而是依赖报文的固有特征进行应用识别,因此可以识别会话建立阶段的控制报文,从会话的第一个报文就开始识别报文所属的应用类型,从而可以适应更多的应用场景。
下面通过具体实施例并结合具体的应用场景对本申请进行描述。
请参考图1,图1是本申请一实施例提供的一种应用识别方法,该方法的执行主体可以防火墙设备,所述方法包括:
步骤101,读取预设的数据样本库中的数据分析样本;所述数据分析样本包括报文的应用类型以及该报文的报文特征;
步骤102,针对读取到的预设数量的数据分析样本进行统计分析以得到应用识别规则;所述应用识别规则包括报文特征与应用类型之间的映射关系;
步骤103,基于所述应用识别规则识别目标报文的应用类型。
上述防火墙设备可以包括互联网骨干网上搭载了防火墙的路由器、交换机、服务器、服务器集群或云平台等。
上述目标报文,即为防火墙设备接收到的待识别的报文。
上述映射规则,可以是防火墙设备基于一定数量报文的报文特征以及对应的应用类型作为数据分析样本,进行统计分析后得到。当然,在实现时,该统计分析过程也可以由服务端来执行,即防火墙设备可以将数据分析样本实时的同步到服务端,然后由服务端对接收到的数据分析样本进行统计分析以得到上述映射关系。
上述报文特征可以包括防火墙设备接收到的报文的固有特征;例如,互联网应用在一定时间内,其目的IP、目的端口、协议类型这三个元素相对固定,用户使用互联网应用发出的报文,其目的IP、目的端口、协议类型(比如TCP类型或者UDP类型)通常也相对固定。比如,以互联网应用“微信”为例,微信服务器的集群IP可能分布很多,但这些IP在一段时间内是固定的,并且提供微信服务的TCP端口也是相对固定的,因此用户使用微信发往微信服务器的报文,其目的IP、目的端口、协议类型通常也相对固定。因此,在示出的一种实施方式中,上述报文特征可以包括由报文的目的IP、目的端口以及协议类型组成的三元组报文特征。
以下以上述报文特征为报文的三元组特征为例进行描述。
在本例中,在初始状态下,防火墙设备在对接收到的报文进行应用类型识别时,仍然可以采用传统的识别方式,基于报文的数据载荷对接收到的报文进行应用类型的识别。
其中,防火墙设备在本地可以在本地维护一个会话列表,在该会话列表中可以包括若干会话ID,该会话列表中的每一个会话ID分别对应一个防火墙设备在本地维护的会话,防火墙设备可以通过报文的五元组特征,即源IP地址,源端口,目的IP地址,目的端口和协议类型来区分不同的会话。
当防火墙设备在接收到报文后,首先可以提取该报文的五元组特征,然后以该报文的五元组特征为索引,在会话列表中查找对应的会话。
如果并未在会话列表中查找到对应的会话,则表示该报文为发起的新的会话,防火墙设备可以为该报文分配一个会话ID,其中,分配的该会话ID与该报文的五元组特征互为映射,防火墙设备可以通过该报文的五元组特征查找到该会话ID。当防火墙设备为该报文分配了会话ID后,可以扫描该报文的数据载荷,基于该报文的数据载荷进行内容识别,来识别该报文所属的应用类型。
当然,如果在会话列表中查找到对应的会话,表示该报文为现有会话的后续报文,此时防火墙设备可以直接扫描该报文的数据载荷,基于该报文的数据载荷进行内容识别,来识别该报文所属的应用类型。
其中,基于报文的数据载荷识别报文所属的应用类型的详细过程,在本申请中不进行详细描述,本领域技术人员在将本申请的技术方案付诸实施时,可以参考相关技术中的记载。
在本例中,当防火墙设备基于报文的数据载荷,识别出接收到的报文的应用类型后,可以提取该报文的三元组特征,然后将识别出的该报文的应用类型以及该报文的三元组特征作为数据分析样本,保存至本地预设的数据样本库。
其中,数据样本库中保存的数据分析样本,可以基于报文所属的会话来建立表项。例如,可以将会话ID作为数据分析样本的一个属性添加到数据分析样本中,从而在针对数据样本库中的数据分析样本进行统计分析时,可以更加方便的统计对应的会话数。
当然,在实现时,也可以不在数据分析样本添加会话ID,在针对数据样本库中的数据分析样本进行统计分析时,可以通过在预先建立的会话列表中进行相应的查询来进行会话数的统计。
以下以在数据分析样本中添加对应的会话ID为例进行说明。
在本例中,防火墙设备在将识别出的报文的应用类型以及该报文的三元组特征作为数据分析样本保存至数据样本库时,可以将该报文所属会话的会话ID、该报文的应用类型以及该报文的三元组特征关联保存,并在数据样本库中生成对应的表项。对于生成的表项,则可以包括会话ID、应用类型以及三元组特征三个属性。
通过这种方式,防火墙设备在不断的对接收到的报文进行应用类型识别的过程中,可以不断的向数据样本库中动态添加数据分析样本。当然,在实现时,数据样本库中的数据分析样本也可以由防火墙设备的管理员手动添加。
当数据样本库中的数据分析样本达到一定的数量时(比如足够防火墙设备进行大数据分析的数量),此时防火墙设备可以针对数据样本库中的数据分析样本进行统计分析,以提炼出具有明显规律的三元组特征与应用类型之间映射关系(即相同的三元组特征对应固定的应用类型),然后基于该映射关系来创建应用识别规则。
在本例中,防火墙设备在针对数据样本库中的数据分析样本进行统计分析时,可以基于预设的数据分析算法来实现。
其中,该预设的数据分析算法可以由防火墙设备的管理员进行动态配置或者进行更新,例如针对不同的识别需求,或者针对不同的应用场景,管理员可以在防火墙设备上动态配置上述数据分析算法,以适应不同的识别需求或者不同的应用场景。
在示出的一种实施方式中,上述预设的数据分析算法中的数据分析逻辑具体可以包括:
将数据样本库中三元组特征相同的数据分析样本进行分组,并统计分组后的每一个分组的会话数。
当任一分组对应唯一相同的应用类型,并且该分组的会话数达到第一预设阈值,则基于该分组中的三元组特征和该分组中的应用类型建立所述映射关系。
当任一分组对应多种应用类型时,分别计算该多种应用类型在该分组中的会话占比,以及该多种应用类型在该分组中对应的会话数,提取该多种应用类型中对应的会话数达到所述第一预设阈值,并且会话占比达到第二预设阈值的应用类型,基于该分组中的三元组特征和提取出的该应用类型建立所述映射关系。
防火墙设备通过运行上述数据分析算法,执行上述数据分析逻辑时,首先可以将数据样本库中三元组特征相同的数据分析样本进行分组,分组完成后得到的每一个分组中,三元组特征均相同。
例如,假设数据样本库中包含的数据分析样本如表1所示:
表1
如表1所示,样本1和样本2三元组完全相同;样本3和样本4三元组完全相同;因此防火墙设备在对表1所示的数据样本库中三元组特征相同的数据分析样本进行分组时,一共可以分为三组;第一组包括样本1和样本2,第二组可以包括样本3和样本4;第三组可以包括样本5。分组后的每一个分组中数据分析样本的三元组特征均相同,不同的分组中数据分析样本的三元组特征均不同。
当防火墙设备将数据样本库中三元组特征相同的数据分析样本进行分组后,防火墙设备可以统计分组后的每一个分组会话数。
其中,由于会话ID相同的数据分析样本隶属于同一个会话,因此防火墙设备在统计每一个分组的会话数时,可以分别统计每一个分组中包含的会话ID的种类数。
例如,请继续参见表1,仍以表1所示的数据样本库为例,防火墙设备将表1所示的数据样本库分组为3组,第一组包括样本1和样本2,第二组可以包括样本3和样本4;第三组可以包括样本5。防火墙设备在统计第一组的会话数时,由于样本1和样本2的会话ID相同,隶属于同一个会话,因此第一组的会话数为1。防火墙设备在统计第二组的会话数时,样本3和样本4的会话ID不同,隶属于不同的会话,因此第二组的会话数为2。同样的,第三组的会话数为1。
当防火墙设备统计出每一个分组的会话数后,此时防火墙设备可以遍历所有的分组,将统计出的所有分组的会话数与第一预设阈值进行比较,以统计出所有分组中会话数达到该第一预设阈值的分组。
同时,由于不同的分组中,可能只对应唯一相同的应用类型(即分组中所有数据分析样本的应用类型均相同),也可能对应多种应用类型(即分组中数据分析样本的应用类型全不相同,或者仅部分相同),因此针对这两种情况,防火墙设备还可以统计出所有分组中对应唯一相同的应用类型,以及对应多种应用类型的分组。
对于只对应唯一相同的应用类型的分组,防火墙设备可以判断该分组统计出的会话数是否达到第一预设阈值,比如10条会话。如果达到该第一预设阈值,此时防火墙设备可以认为该分组中的三元组特征与该分组中的应用类型具有映射关系。在这种情况下,防火墙设备可以基于该分组中的报文特征和该分组中的应用类型建立上述映射关系。
例如,假设上述第一预设阈值为10条,当前分组中的三元组特征为“10.2.4.6(目的IP),6878(目的端口),TCP(协议类型)”;当前分组中所有的数据分析样本的应用类型均为APP1;当前分组的会话数为10条。由于该分组的会话数达到上述第一预设阈值,因此防火墙设备可以认为三元组特征为“10.2.4.6,6878,TCP”与应用类型APP1存在映射关系,即该三元组特征对应固定的应用APP1。
当然,对于对应多种应用类型的分组,防火墙设备可以分别计算该多种应用类型在该分组中的会话占比,以及该多种应用类型在该分组中对应的会话数;其中,该会话占比表示某一种应用类型在该分组中所对应的会话数,与该分组会话总数的比值,比如90%。
当防火墙设备分别计算出分别计算该多种应用类型在该分组中的会话占比,以及该多种应用类型在该分组中对应的会话数后,防火墙设备可以遍历这些分组,分别判断这些分组中多种应用类型所对应的会话数是否达到上述第一预设阈值,以及判断这些分组中该多种应用类型在该分组中的会话占比是否达到第二预设阈值。
当该多种应用类型中,任意一个应用类型在分组中对应的会话数达到上述第一预设阈值,并且会话占比达到上述第二预设阈值后,防火墙设备可以认为该分组中的三元组特征与该应用类型存在映射关系。在这种情况下,防火墙设备可以提取该应用类型,然后基于当前分组中的三元组特征与提取出的该应用类型建立上述映射关系。
例如,假设上述第一预设阈值为10条,上述第二预设阈值为90%,当前分组中的三元组特征为“10.2.4.6(目的IP),6878(目的端口),TCP(协议类型)”;当前分组中所有的数据分析样本的应用类型为APP1和APP2;其中当前分组的会话总数为20条,APP1对应的会话数为2条,APP2对应的会话数为18条。APP1的会话占比为10%,APP2的会话占比为20%。
在该分组中,由于APP1的会话占比未达到90%,而且APP1对应的会话数也未达到10条,因此防火墙设备可以认为三元组特征为“10.2.4.6,6878,TCP”与应用类型APP1不存在映射关系。而APP2的会话占比达到90%,而且APP2对应的会话数也达到10条,因此防火墙设备可以认为三元组特征为“10.2.4.6,6878,TCP”与应用类型APP2存在映射关系。
其中,值得说明的是,上述第一预设阈值和第二预设阈值,可以由防火墙设备的管理员基于不同的识别需求,和不同的应用场景来进行配置;例如,当管理员希望提高防火墙的应用类型识别精确度时,可以为第一预设阈值和第二预设阈值分别设置一个较高的值。相反,对于一些对精确度要求不高的场景,管理员可以为第一预设阈值和第二预设阈值分别设置一个较小的值。
在本例中,当防火墙设备通过对数据样本库中的数据分析样本进行大数据分析,提炼出具有明显规律的三元组特征与应用类型之间映射关系后,可以基于该映射关系来创建对应的应用识别规则。
其中,该应用识别规则,可以是防火墙设备中预先设定的保存了上述映射关系的数据表。
在示出的一种实现方式中,上述应用识别规则可以包括应用识别表和应用信息表。
其中,应用识别表用于保存基于大数据分析得出的具有明显规律的三元组特征,应用信息表用于保存应用识别表中的三元组特征与对应的应用类型之间的映射关系。
当防火墙设备通过统计分析,得到上述映射关系后,可以将该映射关系中的三元组特征作为匹配样本保存到上述应用识别表中,从而当防火墙设备接收到报文后,可以将该报文的三元组特征在应用识别表中进行匹配。
同时,防火墙设备还可以将上述映射关系保存到上述应用信息表中,从而当防火墙设备将接收到的报文的三元组特征在应用识别表中匹配到相同的三元组特征后,可以基于该三元组特征在上述应用信息表中查询对应的应用类型。
以上描述的是防火墙设备在本地创建数据样本库,向数据样本库中动态添加数据分析样本,并在本地对数据样本库中的数据分析样本进行统计分析,以得到上述映射关系的过程。
其中,需要指出的时,在实际应用中,上述统计分析过程也可以由服务端(比如云端的服务器)来完成。
在这种情况下,服务端可以在其本地预设一个数据样本库,在初始状态下,防火墙基于数据载荷识别出接收到的数据样本的应用类型后,可以将该报文的应用类型、会话表示以及三元组特征作为数据分析样本,实时同步至服务端,不断的向服务端本地的数据样本库中动态添加数据分析样本,从而当该数据样本库中的数据分析样本达到一定数量后,可以由服务端基于该数据样本库中的数据分析样本进行统计分析。
当服务端通过统计分析,得到上述映射关系后,可以将该映射关系中的三元组特征作为匹配样本同步至防火墙设备本地的应用识别表中,以及将上述映射关系同步至防火墙设备本地的上述应用信息表中。
其中,服务端向防火墙设备同步上述映射关系时,可以由服务端在数据分析结束后主动同步,也可以是由防火墙设备主动发起的同步,比如,防火墙设备可以周期性的发送一个查询消息,服务端收到该查询消息后,将上述映射关系同步至防火墙设备。
在本例中,当上述应用识别规则基于上述映射关系创建完成后,防火墙设备再次接收到报文后,将停止基于报文的内容来识别该报文的应用类型,而是提取该报文的三元组特征,然后将该报文的三元组特征在上述应用识别规则中进行匹配,来识别该报文的应用类型。
在本例中,该应用识别规则仍然可以由应用识别表和应用信息表组成。应用识别表用于保存基于统计分析得出的具有明显规律的三元组特征。应用信息表用于保存应用识别表中的三元组特征与对应的应用类型之间的映射关系。
当防火墙设备提取出接收到的报文的三元组特征后,首先可以将该报文的三元组特征在应用识别表中进行匹配;其中,将该报文的三元组特征在上述应用识别中进行匹配时,可以通过预设的ACL(AccessControlList,访问控制列表)匹配引擎来实现,即通过增加ACL规则来完成该报文的三元组特征的匹配。
由于在识别该报文的应用类型时,不再需要基于该报文的数据载荷对该报文进行内容识别,而是仅通过ACL匹配引擎在应用识别规则中来匹配该报文的三元组特征,由于基于ACL匹配引擎进行三元组特征匹配,CPU消耗远小于内容识别,因此通过这种方式,可以提高报文的处理效率。
当在应用识别表中匹配到该报文的三元组特征时,此时防火墙设备可以基于该三元组特征在应用信息表中查询与该三元组对应的应用类型。此时查询到的该应用类型即为该报文的应用识别结果。
在本例中,由于该应用信息表中保存的映射关系为基于统计分析后得出,通过该映射关系查询得到的应用类型可能与报文实际所属的应用类型存在一定的误差。因此,在实现时,还可以引入应用识别结果校验机制,对识别结果进行校验,来提升识别结果的准确度。
其中,防火墙设备在对该识别结果进行校验时,可以从该报文的数据载荷中提取校验样本,然后基于识别出的应用类型来对该校验样本进行校验,以确定识别出的该应用类型,是否与该报文实际所属的应用类型是否相同。
该校验样板本,可以是该报文的数据载荷中指定字段携带的信息片段,在基于识别出的应用类型来对该校验样本进行校验时,可以通过将该校验样本与识别出的该应用类型的报文中相同字段携带的信息片段进行匹配来实现。
例如,防火墙设备可以预先设定一个校验样本信息库,该校验样本信息库中可以保存所有识别出的应用类型,以及所有应用类型的报文中指定字段的信息片段之间的对应关系。当需要对校验样本进行校验时,可以从信息库中读取与识别出的应用类型对应的信息片段,然后与校验样本进行匹配,如果二者相匹配,此时校验成功,则可以确定识别出的该应用类型与该报文实际所属的应用类型是否相同,在这种情况下,表明识别结果为准确的结果。相反,如果二者不匹配,此时校验失败,则可以确定识别出的该应用类型与该报文实际所属的应用类型并不相同,在这种情况下,表明识别结果不准确。
在本例中,如果校验样本校验成功,此时该识别结果即为最终的识别结果,防火墙设备可以基于识别出的该应用类型,对该报文所属的会话进行标记,
例如,可以为该报文的会话ID增加一个对应的应用类型标记,其中,该标记具体可以是应用的名称或者可以唯一标识应用的其它标记。比如,假设通过以上方式识别出某报文所属的应用为“微信”,那么可以在该报文所属的会话中增加“微信”的标识,以表明该会话为用户使用“微信”发起的会话。
当标记完成后,防火墙设备可以根据该标记对该报文执行后续的业务。例如,在基于应用进行报文分流的应用场景中,假设某站点需要对互联网流量做基于应用的分流,需要识别出报文所属的应用类型,并根据视频类、web类和其他类分流到不同的路由节点上。
在这种场景下,当防火墙设备基于预设的应用识别规则识别出报文所属的应用类型,并为会话增加对应的应用类型标记后,防火墙设备可以根据该应用类型标记将不同应用类型的报文,分流至不同的路由节点。
而且,由于本申请中,对报文的应用类型的识别,不再依赖报文数据载荷中携带的待识别的应用特征,而是依赖报文固有的报文特征进行应用识别,因此对于会话建立阶段的控制报文,比如TCP握手报文,也仍然可以正常识别所属的应用类型。在这种情况下,对于会话建立阶段的控制报文,也可以正确进行分流,从而可以避免由于控制报文的数据载荷中未携带应用特征而无法进行识别,导致的对于控制报文无法进行分流的情况发生,因此可以适应更多的应用场景。
当然,在本例中,如果校验样本校验失败,此时该识别结果为不准确的结果,在这种情况下,防火墙设备仍然可以采用传统的基于报文的数据载荷进行内容识别,来识别该报文的应用类型。
当识别出该报文的应用类型后,防火墙设备可以采用相同的操作,将识别出的该报文的应用类型、报文特征以及会话标识作为数据分析样本保存至本地的数据样本库,对本地的数据样本库进行更新;或者同步至服务端的数据样本库,对服务端本地的数据样本库进行更新。
可见,通过这种方式,在基于应用识别规则无法识别出报文的应用类型时,可以结合传统的识别方式继续进行识别,以提升应用类型的识别准确度。同时,通过这种方式,还可以对数据样本库中的数据分析样本进行动态更新,从而即便互联网上的互联网应用的三元组特征发生变化,防火墙设备或者服务端也可以第一时间感知到这一变化,重新对数据样本库中的数据分析样本进行分析,以对现有的映射关系进行更新。
在以上实施例中,通过对预设数量报文的报文特征以及对应的应用类型进行统计分析得到应用识别规则,所述应用识别规则包括报文特征与应用类型之间的映射关系,然后基于所述应用识别规则识别目标报文的应用类型。由于本申请中,可以不再通过对报文进行内容扫描来识别报文的应用类型,因此可以从整体上降低CPU的资源消耗,提供处理节点的吞吐量,并提高报文的应用识别效率。
而且,由于在本申请中对报文进行应用类型识别时,不再依赖报文数据载荷中携带的待识别的应用特征,而是依赖报文的固有特征进行应用识别,因此可以识别会话建立阶段的控制报文,从会话的第一个报文就开始识别报文所属的应用类型,从而可以适应更多的应用场景。
与上述方法实施例相对应,本申请还提供了装置的实施例。
请参见图2,本申请提出一种应用识别装置20,应用于防火墙设备;其中,请参见图3,作为承载所述应用识别装置20的防火墙设备所涉及的硬件架构中,通常包括CPU、内存、非易失性存储器、网络接口以及内部总线等;以软件实现为例,所述应用识别装置20通常可以理解为加载在内存中的计算机程序,通过CPU运行之后形成的软硬件相结合的逻辑装置,所述装置20包括:
读取模块201,用于读取预设的数据样本库中的数据分析样本;所述数据分析样本包括报文的应用类型以及该报文的报文特征;
分析模块202,用于针对读取到的预设数量的数据分析样本进行统计分析,以得到应用识别规则;所述应用识别规则包括报文特征与应用类型之间的映射关系;
第一识别模块203,用于基于所述应用识别规则识别目标报文的应用类型。
在本例中,所述装置20还包括:
第二识别模块204,基于报文内容识别接收到的报文的应用类型;
保存模块205,用于在识别出接收到的报文的应用类型后,将识别出的该报文的应用类型,以及该报文的报文特征作为数据分析样本保存至所述数据样本库。
在本例中,所述分析模块203具体用于:
将所述数据样本库中报文特征相同的数据分析样本进行分组;
统计分组后的每一个分组的会话数;
当任一分组对应唯一相同的应用类型,并且该分组的会话数达到第一预设阈值,则基于该分组中的报文特征和该分组中的应用类型建立所述映射关系,以得到所述应用识别规则。
在本例中,所述分析模块203进一步用于:
当任一分组对应多种应用类型时,分别计算该多种应用类型在该分组中的会话占比,以及该多种应用类型在该分组中对应的会话数;
提取该多种应用类型中对应的会话数达到所述第一预设阈值,并且会话占比达到第二预设阈值的应用类型;
基于该分组中的报文特征和提取出的所述应用类型建立所述映射关系;
在本例中,所述第一识别模块203具体用于:
提取目标报文的报文特征;
将提取出的所述目标报文的报文特征在所述应用识别规则中进行匹配;
当在所述应用识别规则中匹配到所述目标报文的报文特征时,基于所述映射关系查询与所述目标报文的报文特征对应的应用类型。
在本例中,所述装置20还包括:
提取模块206,用于在查询到与所述目标报文的报文特征对应的应用类型后,从所述目标报文中提取校验样本;
校验模块207,用于基于查询到的所述应用类型对提取出的所述校验样本进行校验;
标记模块208,用于在校验成功后,基于查询到的所述应用类型对所述目标报文对应的会话进行标记。
在本例中,当校验失败后,由所述第二识别模块204基于所述目标报文的报文内容识别所述目标报文的应用类型,并在识别出所述目标报文的应用类型后,由所述保存模块205将识别出的所述目标报文的应用类型、所述目标报文的报文特征以及所述目标报文的会话标识作为数据分析样本保存至所述数据样本库。
在本例中,所述报文特征包括三元组报文特征;所述三元组包括目的IP、目的端口以及协议类型。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (16)
1.一种应用识别方法,其特征在于,该方法包括:
读取预设的数据样本库中的数据分析样本;所述数据分析样本包括报文的应用类型以及该报文的报文特征;
针对读取到的预设数量的数据分析样本进行统计分析以得到应用识别规则;所述应用识别规则包括报文特征与应用类型之间的映射关系;
基于所述应用识别规则识别目标报文的应用类型。
2.根据权利要求1所述的方法,其特征在于,所述读取数据样本库中的数据分析样本之前,所述方法还包括:
基于报文内容识别接收到的报文的应用类型;
当识别出接收到的报文的应用类型后,将识别出的该报文的应用类型,以及该报文的报文特征作为数据分析样本保存至所述数据样本库。
3.根据权利要求2所述的方法,其特征在于,所述针对读取到的预设数量的数据分析样本进行统计分析以得到应用识别规则包括:
将所述数据样本库中报文特征相同的数据分析样本进行分组;
统计分组后的每一个分组的会话数;
当任一分组对应唯一相同的应用类型,并且该分组的会话数达到第一预设阈值,则基于该分组中的报文特征和该分组中的应用类型建立所述映射关系,以得到所述应用识别规则。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当任一分组对应多种应用类型时,分别计算该多种应用类型在该分组中的会话占比,以及该多种应用类型在该分组中对应的会话数;
提取该多种应用类型中对应的会话数达到所述第一预设阈值,并且会话占比达到第二预设阈值的应用类型;
基于该分组中的报文特征和提取出的所述应用类型建立所述映射关系。
5.根据权利要求1所述的方法,其特征在于,所述基于所述应用识别规则识别目标报文的应用类型包括:
提取目标报文的报文特征;
将提取出的所述目标报文的报文特征在所述应用识别规则中进行匹配;
当在所述应用识别规则中匹配到所述目标报文的报文特征时,基于所述映射关系查询与所述目标报文的报文特征对应的应用类型。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
当查询到与所述目标报文的报文特征对应的应用类型后,从所述目标报文中提取校验样本;
基于查询到的所述应用类型对提取出的所述校验样本进行校验;
当校验成功后,基于查询到的所述应用类型对所述目标报文对应的会话进行标记。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
当校验失败后,基于所述目标报文的数据载荷识别所述目标报文的应用类型,并在识别出所述目标报文的应用类型后,将识别出的所述目标报文的应用类型、所述目标报文的报文特征以及所述目标报文的会话标识作为数据分析样本保存至所述数据样本库。
8.根据权利要求1~7中任一所述的方法,其特征在于,所述报文特征包括三元组报文特征;所述三元组包括目的IP、目的端口以及协议类型。
9.一种应用识别装置,其特征在于,该装置包括:
读取模块,用于读取预设的数据样本库中的数据分析样本;所述数据分析样本包括报文的应用类型以及该报文的报文特征;
分析模块,用于针对读取到的预设数量的数据分析样本进行统计分析,以得到应用识别规则;所述应用识别规则包括报文特征与应用类型之间的映射关系;
第一识别模块,用于基于所述应用识别规则识别目标报文的应用类型。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二识别模块,基于报文内容识别接收到的报文的应用类型;
保存模块,用于在识别出接收到的报文的应用类型后,将识别出的该报文的应用类型,以及该报文的报文特征作为数据分析样本保存至所述数据样本库。
11.根据权利要求10所述的装置,其特征在于,所述分析模块具体用于:
将所述数据样本库中报文特征相同的数据分析样本进行分组;
统计分组后的每一个分组的会话数;
当任一分组对应唯一相同的应用类型,并且该分组的会话数达到第一预设阈值,则基于该分组中的报文特征和该分组中的应用类型建立所述映射关系,以得到所述应用识别规则。
12.根据权利要求11所述的方法,其特征在于,所述分析模块进一步用于:
当任一分组对应多种应用类型时,分别计算该多种应用类型在该分组中的会话占比,以及该多种应用类型在该分组中对应的会话数;
提取该多种应用类型中对应的会话数达到所述第一预设阈值,并且会话占比达到第二预设阈值的应用类型;
基于该分组中的报文特征和提取出的所述应用类型建立所述映射关系。
13.根据权利要求9所述的装置,其特征在于,所述第一识别模块具体用于:
提取目标报文的报文特征;
将提取出的所述目标报文的报文特征在所述应用识别规则中进行匹配;
当在所述应用识别规则中匹配到所述目标报文的报文特征时,基于所述映射关系查询与所述目标报文的报文特征对应的应用类型。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
提取模块,用于在查询到与所述目标报文的报文特征对应的应用类型后,从所述目标报文中提取校验样本;
校验模块,用于基于查询到的所述应用类型对提取出的所述校验样本进行校验;
标记模块,用于在校验成功后,基于查询到的所述应用类型对所述目标报文对应的会话进行标记。
15.根据权利要求14所述的装置,其特征在于,当校验失败后,由所述第二识别模块基于所述目标报文的报文内容识别所述目标报文的应用类型,并在识别出所述目标报文的应用类型后,由所述保存模块将识别出的所述目标报文的应用类型、所述目标报文的报文特征以及所述目标报文的会话标识作为数据分析样本保存至所述数据样本库。
16.根据权利要求9~15中任一所述的装置,其特征在于,所述报文特征包括三元组报文特征;所述三元组包括目的IP、目的端口以及协议类型。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511028801.XA CN105591973B (zh) | 2015-12-31 | 2015-12-31 | 应用识别方法及装置 |
| CN201911071472.5A CN110855576B (zh) | 2015-12-31 | 2015-12-31 | 应用识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511028801.XA CN105591973B (zh) | 2015-12-31 | 2015-12-31 | 应用识别方法及装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911071472.5A Division CN110855576B (zh) | 2015-12-31 | 2015-12-31 | 应用识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105591973A true CN105591973A (zh) | 2016-05-18 |
| CN105591973B CN105591973B (zh) | 2019-12-20 |
Family
ID=55931205
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511028801.XA Active CN105591973B (zh) | 2015-12-31 | 2015-12-31 | 应用识别方法及装置 |
| CN201911071472.5A Active CN110855576B (zh) | 2015-12-31 | 2015-12-31 | 应用识别方法及装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911071472.5A Active CN110855576B (zh) | 2015-12-31 | 2015-12-31 | 应用识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN105591973B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939287A (zh) * | 2016-05-23 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
| CN106330768A (zh) * | 2016-08-31 | 2017-01-11 | 成都飞鱼星科技股份有限公司 | 一种基于云计算的应用识别方法 |
| CN106385402A (zh) * | 2016-08-31 | 2017-02-08 | 东软集团股份有限公司 | 应用识别方法及设备、发送应用会话表的方法及服务器 |
| CN107547564A (zh) * | 2017-09-28 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种报文处理的方法及装置 |
| CN107707549A (zh) * | 2017-09-30 | 2018-02-16 | 迈普通信技术股份有限公司 | 一种自动提取应用特征的装置及方法 |
| CN107798060A (zh) * | 2017-09-15 | 2018-03-13 | 南京安讯科技有限责任公司 | 一种实时流式数据处理应用软件特征识别方法 |
| CN108900430A (zh) * | 2018-06-15 | 2018-11-27 | 杭州迪普科技股份有限公司 | 一种网络流量阻断的方法及装置 |
| WO2019134239A1 (zh) * | 2018-01-05 | 2019-07-11 | 网宿科技股份有限公司 | 一种单包识别方法及流量引导方法 |
| CN110493144A (zh) * | 2019-07-31 | 2019-11-22 | 华为技术有限公司 | 一种数据处理方法及装置 |
| CN110580256A (zh) * | 2018-05-22 | 2019-12-17 | 华为技术有限公司 | 一种识别应用标识的方法、设备及系统 |
| CN112491651A (zh) * | 2020-11-17 | 2021-03-12 | 北京天融信网络安全技术有限公司 | 一种报文匹配方法及装置 |
| WO2022033115A1 (zh) * | 2020-08-12 | 2022-02-17 | 华为技术有限公司 | 一种通信方法和通信装置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112468373A (zh) * | 2020-12-08 | 2021-03-09 | 武汉蜘易科技有限公司 | 一种指纹设备网络流量精准定位分析系统和方法 |
| CN116094924B (zh) * | 2022-07-08 | 2023-11-21 | 荣耀终端有限公司 | 用于模型更新的方法及相关装置 |
| CN118158166A (zh) * | 2022-12-05 | 2024-06-07 | 华为技术有限公司 | 一种应用识别方法以及相关设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102325078A (zh) * | 2011-06-28 | 2012-01-18 | 北京星网锐捷网络技术有限公司 | 应用识别方法及设备 |
| CN103051725A (zh) * | 2012-12-31 | 2013-04-17 | 华为技术有限公司 | 应用识别方法、数据挖掘方法、装置及系统 |
| CN104796406A (zh) * | 2015-03-20 | 2015-07-22 | 杭州华三通信技术有限公司 | 一种应用识别方法及装置 |
| CN104901897A (zh) * | 2015-05-26 | 2015-09-09 | 杭州华三通信技术有限公司 | 一种应用类型的确定方法和装置 |
| KR20150144569A (ko) * | 2014-06-17 | 2015-12-28 | 한국전자통신연구원 | 개체의 식별자에 기반한 프로토콜 계층 구조 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100429617C (zh) * | 2006-05-16 | 2008-10-29 | 北京启明星辰信息技术有限公司 | 一种自动协议识别方法及系统 |
| CN101645806B (zh) * | 2009-09-04 | 2011-09-07 | 东南大学 | Dpi和dfi相结合的网络流量分类系统及分类方法 |
| CN102685016B (zh) * | 2012-06-06 | 2015-01-07 | 济南大学 | 互联网流量区分方法 |
-
2015
- 2015-12-31 CN CN201511028801.XA patent/CN105591973B/zh active Active
- 2015-12-31 CN CN201911071472.5A patent/CN110855576B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102325078A (zh) * | 2011-06-28 | 2012-01-18 | 北京星网锐捷网络技术有限公司 | 应用识别方法及设备 |
| CN103051725A (zh) * | 2012-12-31 | 2013-04-17 | 华为技术有限公司 | 应用识别方法、数据挖掘方法、装置及系统 |
| KR20150144569A (ko) * | 2014-06-17 | 2015-12-28 | 한국전자통신연구원 | 개체의 식별자에 기반한 프로토콜 계층 구조 |
| CN104796406A (zh) * | 2015-03-20 | 2015-07-22 | 杭州华三通信技术有限公司 | 一种应用识别方法及装置 |
| CN104901897A (zh) * | 2015-05-26 | 2015-09-09 | 杭州华三通信技术有限公司 | 一种应用类型的确定方法和装置 |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939287A (zh) * | 2016-05-23 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
| CN106330768A (zh) * | 2016-08-31 | 2017-01-11 | 成都飞鱼星科技股份有限公司 | 一种基于云计算的应用识别方法 |
| CN106385402A (zh) * | 2016-08-31 | 2017-02-08 | 东软集团股份有限公司 | 应用识别方法及设备、发送应用会话表的方法及服务器 |
| CN106330768B (zh) * | 2016-08-31 | 2019-04-12 | 成都飞鱼星科技股份有限公司 | 一种基于云计算的应用识别方法 |
| CN107798060A (zh) * | 2017-09-15 | 2018-03-13 | 南京安讯科技有限责任公司 | 一种实时流式数据处理应用软件特征识别方法 |
| CN107798060B (zh) * | 2017-09-15 | 2023-06-30 | 南京安讯科技有限责任公司 | 一种实时流式数据处理应用软件特征识别方法 |
| CN107547564A (zh) * | 2017-09-28 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种报文处理的方法及装置 |
| CN107707549A (zh) * | 2017-09-30 | 2018-02-16 | 迈普通信技术股份有限公司 | 一种自动提取应用特征的装置及方法 |
| CN107707549B (zh) * | 2017-09-30 | 2020-07-28 | 迈普通信技术股份有限公司 | 一种自动提取应用特征的装置及方法 |
| WO2019134239A1 (zh) * | 2018-01-05 | 2019-07-11 | 网宿科技股份有限公司 | 一种单包识别方法及流量引导方法 |
| CN110580256A (zh) * | 2018-05-22 | 2019-12-17 | 华为技术有限公司 | 一种识别应用标识的方法、设备及系统 |
| CN110580256B (zh) * | 2018-05-22 | 2022-06-10 | 华为技术有限公司 | 一种识别应用标识的方法、设备及系统 |
| US11438425B2 (en) | 2018-05-22 | 2022-09-06 | Huawei Technologies Co., Ltd. | Method, device and system for identifying application identifier |
| CN108900430B (zh) * | 2018-06-15 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种网络流量阻断的方法及装置 |
| CN108900430A (zh) * | 2018-06-15 | 2018-11-27 | 杭州迪普科技股份有限公司 | 一种网络流量阻断的方法及装置 |
| CN110493144A (zh) * | 2019-07-31 | 2019-11-22 | 华为技术有限公司 | 一种数据处理方法及装置 |
| WO2021018252A1 (zh) * | 2019-07-31 | 2021-02-04 | 华为技术有限公司 | 一种数据处理方法及装置 |
| CN110493144B (zh) * | 2019-07-31 | 2023-03-10 | 华为技术有限公司 | 一种数据处理方法及装置 |
| WO2022033115A1 (zh) * | 2020-08-12 | 2022-02-17 | 华为技术有限公司 | 一种通信方法和通信装置 |
| CN114079618A (zh) * | 2020-08-12 | 2022-02-22 | 华为技术有限公司 | 一种通信方法和通信装置 |
| US11855846B2 (en) | 2020-08-12 | 2023-12-26 | Huawei Technologies Co., Ltd. | Communication method and communication apparatus |
| CN112491651A (zh) * | 2020-11-17 | 2021-03-12 | 北京天融信网络安全技术有限公司 | 一种报文匹配方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110855576A (zh) | 2020-02-28 |
| CN110855576B (zh) | 2023-07-21 |
| CN105591973B (zh) | 2019-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105591973A (zh) | 应用识别方法及装置 | |
| US20180309784A1 (en) | Method, and devices for defending distributed denial of service attack | |
| US10084713B2 (en) | Protocol type identification method and apparatus | |
| US9397901B2 (en) | Methods, systems, and computer readable media for classifying application traffic received at a network traffic emulation device that emulates multiple application servers | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| CN103297270A (zh) | 应用类型识别方法及网络设备 | |
| US20190260837A1 (en) | Method and system of data packet transmission | |
| US10050892B2 (en) | Method and apparatus for packet classification | |
| CN111953552A (zh) | 数据流的分类方法和报文转发设备 | |
| Shim et al. | Application traffic classification using payload size sequence signature | |
| WO2023041039A1 (zh) | 基于dns解析的安全访问控制方法、系统、装置及设备 | |
| CN107483341B (zh) | 一种跨防火墙报文快速转发方法及装置 | |
| CN111404768A (zh) | 一种dpi识别的实现方法及设备 | |
| CN109672594B (zh) | IPoE报文处理方法、装置及宽带远程接入服务器 | |
| WO2020206849A1 (zh) | 一种处理带vlan tag的dhcp数据的方法及系统 | |
| CN109361618B (zh) | 数据流量标记方法、装置、计算机设备及存储介质 | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| CN111224891A (zh) | 一种基于动态学习三元组的流量应用识别系统及方法 | |
| CN107294989B (zh) | 一种防arp网关欺骗的方法及装置 | |
| CN113014664B (zh) | 网关适配方法、装置、电子设备和存储介质 | |
| CN105703930A (zh) | 基于应用的会话日志处理方法及装置 | |
| CN105991373B (zh) | 一种应用协议识别方法及装置 | |
| CN105871573A (zh) | 一种报文分析过滤方法及装置 | |
| CN111163184B (zh) | 一种报文特征的提取方法和装置 | |
| CN109905325B (zh) | 一种流量引导方法及流量识别设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |