CN106209505A - 一种应用识别装置及方法、防火墙、服务器 - Google Patents

一种应用识别装置及方法、防火墙、服务器 Download PDF

Info

Publication number
CN106209505A
CN106209505A CN201610503199.9A CN201610503199A CN106209505A CN 106209505 A CN106209505 A CN 106209505A CN 201610503199 A CN201610503199 A CN 201610503199A CN 106209505 A CN106209505 A CN 106209505A
Authority
CN
China
Prior art keywords
application
cache set
application identification
identification
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610503199.9A
Other languages
English (en)
Inventor
牟洪章
陈鑫
乔石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING NETENTSEC Inc
Original Assignee
BEIJING NETENTSEC Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING NETENTSEC Inc filed Critical BEIJING NETENTSEC Inc
Priority to CN201610503199.9A priority Critical patent/CN106209505A/zh
Publication of CN106209505A publication Critical patent/CN106209505A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种应用识别方法,包括:接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括地址信息和应用识别结果的应用识别缓存;接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。本发明还同时公开了一种应用识别装置、防火墙、服务器。

Description

一种应用识别装置及方法、防火墙、服务器
技术领域
本发明涉及网络管理监控领域,尤其涉及一种应用识别装置及方法、防火墙、服务器。
背景技术
应用识别是网关、防火墙等设备的管控基础,提高应用识别的准确性、全面性,对提高网络管理监控的有效性十分重要。
现有技术中,防火墙、网关等网络边界设备的应用识别方法都是基于特征提取,具体实现方案包括:在单点实验室环境中,对应用产生的网络流量进行分析,提取出特殊关键信息作为特征,生成对应特征库;再部署在网关设备上进行特征匹配检测。而随着网络应用数量发展迅速,一种应用会产生多种网络行为,而依靠传统的特征提取方法无法识别所有的行为,且在单点实验室环境也无法识别、覆盖所有的应用网络行为特征。
现有的技术方案存在以下局限性:特征提取工作繁重、复杂;实验室环境单一,无法覆盖应用的所有网络行为;特征库提取、更新周期时间过长;特征匹配性能差。
发明内容
有鉴于此,本发明实施例期望提供一种应用识别装置及方法、防火墙、服务器,能解决实验室环境覆盖的应用网络行为少的问题,提高特征匹配性能和应用识别速度。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种应用识别方法,所述方法包括:
接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括地址信息和应用识别结果的应用识别缓存;
接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;
根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。
上述方案中,所述根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别,包括:
根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;
接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的所述地址信息查询所述数据结构,获得应用识别结果。
本发明实施例还提供了一种应用识别方法,所述方法包括:
接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合;
对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;
向各防火墙发送经删选后的应用识别缓存集合。
上述方案中,所述对去重后的应用识别缓存集合存在的矛盾信息进行删选,包括:
从应用识别缓存集合中获取各条矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息。
上述方案中,所述向各防火墙发送经删选后的应用识别缓存集合之前,所述方法还包括:确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。
本发明实施例还提供了一种防火墙,所述防火墙包括:特征识别模块和缓存模块;其中,
所述特征识别模块,用于接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括所述地址信息和应用识别结果的应用识别缓存;
所述缓存模块,用于接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。
上述方案中,所述防火墙还包括:第一通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合。
上述方案中,所述缓存模块,具体用于:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的地址信息查询所述数据结构,获得应用识别结果。
本发明实施例还提供了一种服务器,所述服务器包括:缓存集合模块和过滤模块;
所述缓存集合模块,用于接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合,向各防火墙发送经过删选的应用识别缓存集合;
所述过滤模块,用于对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。
上述方案中,所述过滤模块,具体用于:从应用识别缓存集合中获取各条矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。
上述方案中,所述服务器还包括:信息维护模块,用于确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。
上述方案中,所述服务器还包括:第二通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合。
本发明实施例还提供了一种应用识别装置,所述装置包括:特征识别模块、缓存模块、缓存集合模块和过滤模块;其中,
所述特征识别模块,用于接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括所述地址信息和应用识别结果的应用识别缓存;
所述缓存模块,用于接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别;
所述缓存集合模块,用于接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合,向各防火墙发送经过删选后的应用识别缓存集合;
所述过滤模块,用于对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;将经过删选后的应用识别缓存集合发送给缓存集合模块。
上述方案中,所述装置还包括:信息维护模块,用于确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。
上述方案中,所述缓存模块,具体用于:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的地址信息查询所述数据结构,获得应用识别结果;
所述过滤模块,具体用于:从应用识别缓存集合中获取各条矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。
上述方案中,所述装置还包括:第一通信模块和第二通信模块;其中,
所述第一通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合;
所述第二通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合。
与现有技术相比,本发明实施例提供的应用识别装置及方法、防火墙、服务器,防火墙接收数据报文,并对所述数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括地址信息和应用识别结果的应用识别缓存;接收服务器发送的应用识别缓存集合作为本地应用识别缓存集合,再根据本地应用识别缓存集合对新接收的数据报文进行应用识别。本发明实施例通过服务器将各防火墙的应用识别结果汇总、过滤,再同步下发到各防火墙中,如此,能实现各防火墙彼此交换应用识别缓存,从而提高了应用识别准确性和识别覆盖率,简化了特征提取的工作量,缩短了更新周期;并且,本发明实施例基于应用识别缓存的应用识别,只对IP地址或端口等地址信息进行匹配,提高了识别速度,增强了特征匹配性能。
附图说明
图1为本发明实施例一种防火墙的结构示意图;
图2为本发明实施例一种服务器的结构示意图;
图3为本发明实施例一种应用识别装置的结构示意图;
图4为本发明实施例一种用于防火墙的应用识别方法的流程示意图;
图5为本发明实施例一种用于服务器的应用识别方法的流程示意图;
图6为本发明实施例一种基于上述服务器和防火墙的应用识别方法的流程示意图。
具体实施方式
本发明实施例中,防火墙接收数据报文,并对所述数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括地址信息和应用识别结果的应用识别缓存;接收服务器发送的应用识别缓存集合作为本地应用识别缓存集合,再根据本地应用识别缓存集合对新接收的数据报文进行应用识别。
下面结合实施例对本发明再作进一步详细的说明。
本发明实施例提供的一种防火墙,用于应用识别,如图1所示,所述防火墙包括:特征识别模块103、缓存模块102;其中,
所述特征识别模块103,用于接收数据报文,对所述数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括所述地址信息和应用识别结果的应用识别缓存;
所述缓存模块102,用于接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。
进一步的,本发明实施例所述防火墙还可以包括:第一通信模块101,用于传输所述应用识别缓存和应用识别缓存集合。
具体的,所述第一通信模块101用于在防火墙和服务器之间,传输所述应用识别缓存和应用识别缓存集合。
具体来说,所述特征识别模块103包括特征库;所述特征库为:在单点实验室环境中对应用产生的网络流量进行分析,提取出特殊关键信息作为特征,生成的对应特征库;所述特征库部署在防火墙、网关的网络边界设备上。本发明实施例中,可以将特征库部署在防火墙的特征识别模块中。
所述获得应用识别结果具体包括:特征识别模块103接收到数据报文,结合特征库运用现有的传统特征识别检测方法,对数据报文进行特征识别检测,获得特征库中的特征识别的结果,即为所述应用识别结果。由于一般应用的网络行为的地址在一定时间内具有固定性、范围性,因此,防火墙对数据报文进行特征识别检测时还获得地址信息,所述地址信息可以是:IP地址、端口地址等等。
也就是说,所述特征识别模块103,具体用于:在防火墙接收到数据报文时,对所述数据报文进行特征识别检测,获得应用识别结果;并分析数据报文获得地址信息,该应用识别结果和地址信息作为应用识别缓存(cookie)输出;这里,所述输出是输出到服务器中。
其中,一条cookie可以包含以下内容:IP地址、端口(port)、时间(time)、应用程序(app);所述时间指应用程序发生事件的发生时间,所述应用程序可以指:游戏、聊天软件、工作系统等。
具体来说,缓存模块102接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存,包括:缓存模块102接收服务器发送的包括各防火墙的应用识别缓存的应用识别缓存集合,并将该应用识别缓存集合保存作为本地应用识别缓存集合。
需要说明的是,这里本地应用识别缓存集合是不断更新的,随着防火墙和服务器之间不断传输的应用识别缓存和应用识别缓存集合,本地识别缓存集合(记做应用识别缓存集合一)可以在再次接收到服务器发送的应用识别缓存集合(记做应用识别缓存集合二),与本地识别缓存集合即应用识别缓存集合一合并,生成应用识别缓存集合三作为新的本地应用识别缓存集合,此刻的本地应用识别缓存集合即应用识别缓存集合三,是更新后的本地应用识别缓存集合;如此类推。
缓存模块102具体用于:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构,接收新数据报文后,获得新接收的数据报文的地址信息,根据新接收的数据报文的地址信息查询所述数据结构,获得应用识别结果。
进一步的,所述缓存模块102,还用于:根据新接收的数据报文的地址信息在所述数据结构中未查询到结果时,将新接收的数据报文发送到特征识别模块103,再次运用传统的特征识别检测方法对新接收的数据报文进行特征识别检测,获得应用识别结果;并再次将新接收的数据报文的地址信息和应用识别结果作为应用识别缓存发送到服务器中。这里,所述地址信息可以包括IP地址、或端口。
需要说明的是,所述缓存模块102,可以获取防火墙发送到服务器的应用识别缓存,并与服务器发送的应用识别缓存集合合并,作为本地应用识别缓存集合,用于辅助进行应用识别;或者仅采用服务器发送的应用识别缓存集合作为本地应用识别缓存集合等。本发明实施例通过各防火墙将应用识别缓存发送到服务器,再由服务器将各防火墙的应用识别缓存合并获得应用识别缓存集合并发送到各防火墙,能提高防火墙的应用识别准确性和识别覆盖率,避免单点防火墙存在的流量信息不足的缺点。
举例来说,缓存模块102根据本地应用识别缓存集合构建的数据结构为hash结构,包括:根据数据报文和应用识别获得的应用对应的IP地址或者端口作为键值(key)构建hash结构,根据key查找获得对应的应用识别缓存。
当接收数据报文,获得接收的数据报文中包含的应用的IP地址或者端口,根据IP地址或者端口查询所述hash结构,在所述hash结构中查询到结果时,则获得应用识别结果;在所述hash结构中未查询到结果时,则根据所述数据报文发送到特征识别模块103中进行特征识别检测。
需要说明的是,特征识别模块103可以设定一定周期向服务器发送应用识别缓存,并不限定在获得应用识别缓存是就立即向服务器发送;其中,所述一定周期的时间长度,可在实际应用中结合应用识别结果的更新需求、服务器性能、防火墙性能等因素确定,例如1小时、2小时、1天等。
具体来说,第一通信模块101传输所述更新的应用识别缓存,包括:第一通信模块101接收特征识别模块103发送的应用识别缓存,并将应用识别缓存发送到服务器。
第一通信模块101传输应用识别缓存集合,包括:第一通信模块101接收服务器发送的应用识别缓存集合,并将所述应用识别缓存集合发送缓存模块102中。
本发明实施例提供的一种服务器,用于应用识别,如图2所示,所述服务器包括:缓存集合模块202和过滤模块203;其中,
所述缓存集合模块202,用于接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合,向各防火墙发送经删选后的应用识别缓存集合;
所述过滤模块203,用于对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。
进一步的,所述服务器,还可以包括:信息维护模块204,用于确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。
所述服务器,还可以包括:第二通信模块201,用于传输各防火墙发送的应用识别缓存和所述服务器向各防火墙发送的应用识别缓存集合。
具体来说,缓存集合模块202,具体用于接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合;所述应用识别缓存集合发送到过滤模块,再经过过滤模块进行删选,将删选后应用识别缓存集合发送到缓存集合模块,缓存集合模块向各防火墙发送经删选后的应用识别缓存集合。这里,将各防火墙的应用识别缓存合并,获得的应用识别缓存集合即包含了各防火墙的应用识别结果,该应用识别缓存发送到各防火墙中,使得每个防火墙都汇集有其他防火墙的应用识别缓存,从而增强了各防火墙的应用识别准确性和识别覆盖率,避免了单点防火墙存在的流量信息不足的缺点。
举例说明,两个防火墙进行的应用识别分别为:游戏和运用聊天软件通讯;其中,一个防火墙的应用识别结果包含关于游戏方面的居多,另一个防火墙的应用识别结果关于聊天软件的居多,而通过服务器将两者的应用识别缓存结合,再下发到两个防火墙中,两个防火墙均包含有游戏和聊天软件的应用识别结果,可对游戏和聊天软件进行应用识别,如此,提高了防火墙对应用识别的识别率。
需要说明的是,服务器可以设定一定周期向各防火墙发送应用识别缓存集合,并不限定在获得应用识别缓存集合就立即向防火墙发送;所述一定周期的时间长度,可在实际应用中结合应用识别结果的更新需求、服务器性能、防火墙性能等因素确定,例如1小时、2小时、1天等
具体来说,第二通信模块201传输各防火墙发送的应用识别缓存,包括:第二通讯模块201接收防火墙发送的应用识别缓存,将所述应用识别缓存发送到缓存集合模块202。
第二通信模块201传输服务器向防火墙发送的应用识别缓存集合,包括:第二通信模块201接收缓存集合模块发送的应用识别缓存集合,并将所述应用识别缓存集合经过防火墙的第一通信模块101发送到缓存模块102。
具体来说,所述过滤模块203,具体用于:从应用识别缓存集合中获取矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。
其中,影响要素可以包括:矛盾信息的IP地址或端口的使用次数、使用范围、使用时间长度、应用类型;结合每条矛盾信息的使用次数、使用范围、使用时间长度、应用类型的影响比例确定该矛盾信息的可信度,根据所述可信度删选所述矛盾信息,即选择可信度最高的一条信息,删除其它信息。具体可采用如下公式确定矛盾信息的可信度:
F ( I P ) = Σ n = 1 ∞ ( ϵ 0 f ( a 0 ) + ϵ 1 f ( a 1 ) + ϵ 2 f ( a 2 ) + ϵ 3 f ( a 3 ) )
其中,a0、a1、a2、a3分别表示IP地址或端口的使用次数、使用范围、使用时间长度、应用类型,ε0、ε1、ε2、ε3分别表示IP地址或端口的使用次数、使用范围、使用时间长度、应用类型所占的影响比例。
需要说明的是,上述描述并不限定删选方法只需考虑的使用次数、使用范围、使用时间长度;实际应用中,若需考虑其他要素,也可以加入上述公式进行计算,具体如下式:
F ( I P ) = Σ n = 1 ∞ ( ϵ 0 f ( a 0 ) + ϵ 1 f ( a 1 ) + ϵ 2 f ( a 2 ) + ϵ 3 f ( a 3 ) + ... + ϵ m f ( a m ) )
其中,a0、a1、a2、a3、am分别表示IP地址或端口的确定可信度的相关要素,ε0、ε1、ε2、ε3、εm分别表示对应的影响要素的影响比例;所述影响要素包括:使用次数、使用范围、使用时间长度、应用类型、最后上传时间等。
这里,所述使用次数为:该IP地址或端口被使用的次数,即:IP地址或端口分别为应用a、应用b……应用n的次数;
使用时间长度为:从最初开始使用到最后一次使用的时间长度;
使用范围为:在涉及到的使用设备(如电脑、手机终端等)的台数(例如100台、200台);
应用类型可以是:游戏类应用,下载应用,视频应用等,每种类型对应的优先级不同;
最后上传时间为:该信息最近一次上传时间。
具体来说,信息维护模块204,具体用于:确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。这里,服务器中应用识别缓存集合采用超时过期机制,即:设定有应用超时期限,确定应用识别缓存集合中的超过所述应用超时期限的应用识别信息,设定该应用识别消息失效,删除该消息,更新所述应用识别缓存集合。更新后的应用识别缓存集合发送到防火墙中,可以替换防火墙中保存的本地应用识别缓存集合。
需要说明的是:在一定时间到期后,缓存集合模块202中的缓存会自动超时失效,不同应用类别超时时间不同;信息维护模块204为保证应用识别缓存集合的有效性,在一定周期时间内更新应用识别缓存。
本发明实施例提供的一种应用识别装置,如图3所示,所述装置包括服务器群311和防火墙群,这里,服务器群包括多个服务器,防火墙群包括多个防火墙,即包括图中所示的防火墙301、防火墙302……防火墙30n;防火墙群和服务器群之间通过云服务通信。防火墙的结构如图1所示,服务器的结构如图2所示,各服务器之间相互可进行通信。
本发明实施例提供的一种应用识别装置,包括:特征识别模块、缓存模块、缓存集合模块和过滤模块;
所述特征识别模块,用于接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果;向服务器发送包括所述地址信息和应用识别结果的应用识别缓存
所述缓存模块,用于接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;即,根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。
所述缓存集合模块,用于接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合,向各防火墙发送经删选后的应用识别缓存集合;
所述过滤模块,用于对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。
进一步的,所述应用识别装置,还可以包括:信息维护模块,用于确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。
所述应用识别装置,还可以包括:第一通信模块、第二通信模块;其中,
第一通信模块和第二通信模块,用于传输应用识别缓存和应用识别缓存集合。
具体的,所述第一通信模块,用于传输所述特征识别模块发送的应用识别缓存;及,传输所述缓存集合模块发送的应用识别缓存集合;
所述第二通信模块,用于传输所述特征识别模块发送的应用识别缓存;及,传输所述缓存集合模块发送的应用识别缓存集合。
缓存模块102,具体用于:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构,接收新数据报文后,获得新接收的数据报文的地址信息,根据新接收的数据报文的地址信息查询所述数据结构,获得应用识别结果。
进一步的,所述缓存模块102,还用于根据新接收的数据报文的地址信息在所述数据结构中未查询到结果时,将新接收的数据报文发送到特征识别模块103,再次运用传统的特征识别检测方法对新接收的数据报文进行特征识别检测,获得应用识别结果;并再次将新接收的数据报文的地址信息和应用识别结果作为应用识别缓存发送到服务器中。这里,所述地址信息可以包括IP地址、或端口。
所述过滤模块203,具体用于:从应用识别缓存集合中获取矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。
这里,通过服务器群将各防火墙的应用识别结果合并再下发,使得各防火墙均能够其他防火墙的识别结果,提高防火墙的识别率。服务器群中各服务器相互之间可以进行通信,多个服务器进行应用识别缓存的合并、去重、更新、删选矛盾信息等,提高服务器群的处理效率。
本发明实施例提供一种应用识别方法,应用于防火墙中,如图4所示,所述方法包括:
步骤401:接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果;向服务器发送包括地址信息和应用识别结果的应用识别缓存;
步骤402:接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;
步骤403:根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。
具体来说,防火墙包括在单点实验室环境中对应用产生的网络流量进行分析,提取出特殊关键信息作为特征,生成的对应特征库。步骤401包括:防火墙接收数据报文,结合特征库运用现有的传统特征识别检测方法对数据报文进行识别,获得特征库中的特征识别结果,即获得所述应用识别结果。
当防火墙接收到数据报文时,在特征识别模块中进行应用识别获得应用识别结果,分析数据报文获得地址信息,该应用识别结果和地址信息作为应用识别缓存(cookie)输出。其中,一条cookie可以包含以下内容:IP地址、端口(port)、时间(time)、应用程序(app),应用程序可以是:游戏、聊天软件、工作系统等。
具体来说,步骤402中,防火墙接收的服务器发送的应用识别缓存集合包括各防火墙发送的应用识别缓存。
步骤403包括:防火墙根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据所述地址信息查询所述数据结构,获得应用识别结果。
所述步骤403,还可以包括,所述数据结构中未查询到结果时,再运用传统的特征识别检测方法对新接收的数据报文进行特征识别检测,获得包括新接收的数据报文的地址信息(IP地址或端口)和应用识别结果的应用识别缓存,再次将应用识别缓存发送到防火墙。
举例来说,步骤403根据所述本地应用识别缓存构建hash结构,新接收到数据报文,根据新接收的数据报文查询所述hash结构,所述hash结构中查询到结果时,则获得应用识别结果,所述hash结构中未查询到结果,则根据新数据报文运用传统特征识别检测方法进行应用识别。
相应的,本发明实施例提供一种应用识别方法,应用于服务器中,如图5所示,所述方法包括:
步骤501:接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合;
这里,服务器接收防火墙发送的应用识别缓存,根据各防火墙的应用识别缓存构建应用识别缓存集合,保存在服务器的缓存集合模块;
步骤502:对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;
这里,服务器的过滤模块对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选。
所述对去重后的应用识别缓存集合存在的矛盾信息进行删选,包括:
从应用识别缓存集合中获取各条矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息。
步骤503:服务器向各防火墙发送应用识别缓存集合。
进一步的,在步骤503之前,所述方法还包括:
确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。
这里,服务器的信息维护模块确定所述应用识别缓存集合中的失效信息,将所述失效信息删除,从而更新所述应用识别缓存集合;并将更新后的应用识别缓存集合发送到防火墙中。
需要说明的是,将所述失效信息删除是指将失效信息从应用识别缓存集合中删除,但可以将失效信息另外保存。
相应的,本发明实施例提供的一种应用识别方法,应用于应用识别装置,这里所述应用识别装置可以包括上述服务器和防火墙;如图6所示,所述方法包括:
步骤601:接收数据报文,各个防火墙利用传统应用特征识别方法对接收的数据报文进行应用识别,并将应用识别结果组成应用识别缓存(cookie);每条cookie可以包括:IP地址、端口(port)、时间(time)、应用(如app);
步骤602:各个防火墙一定周期将应用识别缓存上传到服务器;
步骤603:服务器接收各个防火墙的应用识别缓存,合并生成应用识别缓存集合(cookies),对所述应用识别缓存集合进行去重、过滤、汇总等处理,保证在服务器的应用识别缓存集合是一致、正确的;
步骤604:服务器采用超时过期、矛盾解决机制处理应用识别缓存集合,保证整体应用识别缓存集合的有效性;
超时过期机制为:设定有应用超时期限,确定应用识别缓存集合中的超过所述应用超时期限的应用识别信息,设定该应用识别消息失效,删除该消息,更新所述应用识别缓存集合。
矛盾解决机制为:根据众多防火墙上传的应用识别缓存组成的应用识别缓存集合中可能包含有矛盾的信息,针对这些矛盾的信息建立一种仲裁算法,用来对矛盾的信息进行判决。例如可以采用以下仲裁算法:
F ( I P ) = Σ n = 1 ∞ ( ϵ 0 f ( a 0 ) + ϵ 1 f ( a 1 ) + ϵ 2 f ( a 2 ) + ϵ 3 f ( a 3 ) + ... + ϵ m f ( a m ) )
其中,a0、a1、a2、a3、am分别表示IP地址或端口的确定IP地址或端口的可信度的相关要素,所述要素包括:使用次数、使用范围、使用时间长度、应用类型、最后上传时间等。
步骤605:服务器将处理后的应用识别缓存集合发送到各个防火墙。
步骤606:各个防火墙利用服务器发送的删选、更新后的应用识别缓存集合,作为每个防火墙的本地应用识别缓存集合,辅助进行应用识别。
具体的,各防火墙根据更新的应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据所述地址信息查询所述数据结构,获得应用识别结果。例如,构建hash结构,在接收到数据报文后,根据所述数据报文的IP地址或端口查询所述hash结构,所述hash结构中查询到结果时,则获得应用识别结果,所述hash结构中未查询到结果,则根据所述数据报文在特征识别库中进行应用识别。
这里,cookie的内容包含:IP地址、port等,通过IP地址或者port作为查询条件,实现快速识别,又因为整个应用识别缓存集合是多个单点收集到的信息集合,因此各防火墙的应用识别缓存具有全面、准确的特点。
通过以上本发明实施例提供的方法、服务器、防火墙、装置,提高各防火墙的应用识别准确性、识别覆盖率;且简化工作量、缩短特征更新周期。
在上述几个实施例中,应该理解到,所揭露的装置、服务器、防火墙和方法,可以通过其它的方式实现。以上所描述的终端实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个模块或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,在本发明各实施例中的各功能模块可以全部集成在一个处理模块中,也可以是各模块分别单独作为一个模块,也可以两个或两个以上模块集成在一个模块中;上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (16)

1.一种应用识别方法,其特征在于,所述方法包括:
接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括地址信息和应用识别结果的应用识别缓存;
接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;
根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。
2.根据权利要求1所述的方法,其特征在于,所述根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别,包括:
根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;
接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的所述地址信息查询所述数据结构,获得应用识别结果。
3.一种应用识别方法,其特征在于,所述方法包括:
接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合;
对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;
向各防火墙发送经删选后的应用识别缓存集合。
4.根据权利要求3所述的方法,其特征在于,所述对去重后的应用识别缓存集合存在的矛盾信息进行删选,包括:
从应用识别缓存集合中获取各条矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息。
5.根据权利要求3或4所述的方法,其特征在于,所述向各防火墙发送经删选后的应用识别缓存集合之前,所述方法还包括:确定所述应用识别缓 存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。
6.一种防火墙,其特征在于,所述防火墙包括:特征识别模块和缓存模块;其中,
所述特征识别模块,用于接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括所述地址信息和应用识别结果的应用识别缓存;
所述缓存模块,用于接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。
7.根据权利要求6所述的防火墙,其特征在于,所述防火墙还包括:第一通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合。
8.根据权利要求6或7所述的防火墙,其特征在于,所述缓存模块,具体用于:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的地址信息查询所述数据结构,获得应用识别结果。
9.一种服务器,其特征在于,所述服务器包括:缓存集合模块和过滤模块;
所述缓存集合模块,用于接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合,向各防火墙发送经过删选的应用识别缓存集合;
所述过滤模块,用于对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。
10.根据权利要求9所述的服务器,其特征在于:所述过滤模块,具体用于:从应用识别缓存集合中获取各条矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。
11.根据权利要求9或10所述的服务器,其特征在于,所述服务器还包括:信息维护模块,用于确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。
12.根据权利要求9或10所述的服务器,其特征在于,所述服务器还包括:第二通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合。
13.一种应用识别装置,其特征在于,所述装置包括:特征识别模块、缓存模块、缓存集合模块和过滤模块;其中,
所述特征识别模块,用于接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括所述地址信息和应用识别结果的应用识别缓存;
所述缓存模块,用于接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别;
所述缓存集合模块,用于接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合,向各防火墙发送经过删选后的应用识别缓存集合;
所述过滤模块,用于对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;将经过删选后的应用识别缓存集合发送给缓存集合模块。
14.根据权利要求13所述的装置,其特征在于:所述装置还包括:信息维护模块,用于确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。
15.根据权利要求13所述的装置,其特征在于:所述缓存模块,具体用于:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的地址信息查询所述数据结构,获得应用识别结果;
所述过滤模块,具体用于:从应用识别缓存集合中获取各条矛盾信息的可 信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。
16.根据权利要求13、14或15所述的装置,其特征在于:所述装置还包括:第一通信模块和第二通信模块;其中,
所述第一通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合;
所述第二通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合。
CN201610503199.9A 2016-06-29 2016-06-29 一种应用识别装置及方法、防火墙、服务器 Pending CN106209505A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610503199.9A CN106209505A (zh) 2016-06-29 2016-06-29 一种应用识别装置及方法、防火墙、服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610503199.9A CN106209505A (zh) 2016-06-29 2016-06-29 一种应用识别装置及方法、防火墙、服务器

Publications (1)

Publication Number Publication Date
CN106209505A true CN106209505A (zh) 2016-12-07

Family

ID=57463012

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610503199.9A Pending CN106209505A (zh) 2016-06-29 2016-06-29 一种应用识别装置及方法、防火墙、服务器

Country Status (1)

Country Link
CN (1) CN106209505A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108400879A (zh) * 2017-02-06 2018-08-14 北京上元信安技术有限公司 基于网关的信息资产的发现方法和系统
CN111182072A (zh) * 2019-12-31 2020-05-19 奇安信科技集团股份有限公司 会话请求的应用识别方法、装置和计算机设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102045363A (zh) * 2010-12-31 2011-05-04 成都市华为赛门铁克科技有限公司 网络流量特征识别规则的建立方法、识别控制方法及装置
CN103095604A (zh) * 2013-01-04 2013-05-08 海信集团有限公司 识别家庭网络具体应用的系统及方法
CN103905261A (zh) * 2012-12-26 2014-07-02 中国电信股份有限公司 协议特征库在线更新方法及系统
US20140365591A1 (en) * 2014-03-12 2014-12-11 Tencent Technology (Shenzhen) Company Limited Method and device for controlling peripheral devices via a social networking platform

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102045363A (zh) * 2010-12-31 2011-05-04 成都市华为赛门铁克科技有限公司 网络流量特征识别规则的建立方法、识别控制方法及装置
CN103905261A (zh) * 2012-12-26 2014-07-02 中国电信股份有限公司 协议特征库在线更新方法及系统
CN103095604A (zh) * 2013-01-04 2013-05-08 海信集团有限公司 识别家庭网络具体应用的系统及方法
US20140365591A1 (en) * 2014-03-12 2014-12-11 Tencent Technology (Shenzhen) Company Limited Method and device for controlling peripheral devices via a social networking platform

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108400879A (zh) * 2017-02-06 2018-08-14 北京上元信安技术有限公司 基于网关的信息资产的发现方法和系统
CN111182072A (zh) * 2019-12-31 2020-05-19 奇安信科技集团股份有限公司 会话请求的应用识别方法、装置和计算机设备

Similar Documents

Publication Publication Date Title
CN111510433B (zh) 一种基于雾计算平台的物联网恶意流量检测方法
CN114257386B (zh) 检测模型的训练方法、系统、设备及存储介质
JP2018513592A (ja) ネットワークセキュリティのための行動解析ベースのdnsトンネリング検出・分類フレームワーク
CN107683597A (zh) 用于异常检测的网络行为数据收集和分析
CN105791213B (zh) 一种策略优化装置及方法
CN102347876B (zh) 一种云计算网络多链路聚合控制装置
CN102685145A (zh) 一种基于dns数据包的僵尸网络域名发现方法
CN103414608B (zh) 快速的web流量采集统计系统和方法
JP2016519384A (ja) データを処理するための方法、有形機械可読記録可能記憶媒体および装置、ならびにデータ・レコードから抽出された特徴をクエリするための方法、有形機械可読記録可能記憶媒体および装置
CN103475586B (zh) 网络数据报文的转发方法、装置及系统
US20150188879A1 (en) Apparatus for grouping servers, a method for grouping servers and a recording medium
CN101599855A (zh) 基于攻击模式建模的复合攻击关联及攻击场景构建方法
CN114531273B (zh) 一种防御工业网络系统分布式拒绝服务攻击的方法
CN106101264A (zh) 内容分发网络日志推送方法、装置和系统
CN106209505A (zh) 一种应用识别装置及方法、防火墙、服务器
CN112434304A (zh) 防御网络攻击的方法、服务器及计算机可读存储介质
CN110519228B (zh) 一种黑产场景下恶意云机器人的识别方法及系统
Miyamoto et al. Malicious packet classification based on neural network using kitsune features
CN106874371A (zh) 一种数据处理方法及装置
Park et al. Performance improvement of payload signature-based traffic classification system using application traffic temporal locality
CN109981596A (zh) 一种主机外联检测方法及装置
KR102119636B1 (ko) 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법
CN114095521A (zh) 一种遥感数据的存储方法、装置、设备及存储介质
CN101783816B (zh) 一种下载流量控制方法和设备
Poltavtseva et al. High-performance NIDS architecture for enterprise networking

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20161207