CN106411845A - 一种网络应用的智能识别方法 - Google Patents
一种网络应用的智能识别方法 Download PDFInfo
- Publication number
- CN106411845A CN106411845A CN201610738976.8A CN201610738976A CN106411845A CN 106411845 A CN106411845 A CN 106411845A CN 201610738976 A CN201610738976 A CN 201610738976A CN 106411845 A CN106411845 A CN 106411845A
- Authority
- CN
- China
- Prior art keywords
- application
- check
- network application
- coupling
- dictionary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明适用于网络安全的技术领域,公开了一种网络应用的智能识别方法,基于在终端设备上部署一个终端程序,通过终端程序对系统运行的进程逐一与预先定义的网络应用字典进行关键代码段MD5校验、通信协议校验、软件行为校验及基本信息校验,以达到准确精准的识别应用行为。本发明提供的一种网络应用的智能识别方法,扩展了传统的应用识别方法,不管关键代码段MD5校验、通信协议校验、应用行为校验及基本信息校验是否成功,对整个程序计算MD5校验码,并将匹配的结果记录在本地文件的应用检查缓存中,下次遇到同样的MD5校验码的应用进程时可以直接使用结果,不用重新匹配,加快检查速度,较传统的应用识别方法更全面,准确度更高。
Description
【技术领域】
本发明涉及网络安全的技术领域,特别涉及一种网络应用的智能识别方法。
【背景技术】
随着网络科技的快速发展,各类新的应用层出不穷,极大的增强了人们对内容需求的同时,势必会带来新的、更复杂的安全风险。这些风险隐藏在应用的内容之中,和应用本身密不可分,如果不结合应用来分析将无法抵御这些风险。如网络上的文件共享、Web服务、P2P下载等应用层出不穷,带来了不尽其数的安全漏洞和利用这些漏洞的攻击,因此对这些应用的深度识别会有助于人们更好的掌控网络的安全。对于一些非法的、未受控的应用必须识别并加以控制,防止给工作及生活带来不同程度的影响。
现阶段,基于端口进行应用协议的识别是最为通常的手段,但随着各种网络应用的逐步丰富,传统的应用识别方法暴露出其存在的不足,应用识别的准确率较低,为了弥补传统的识别方式的不足,以达到准确精准的识别应用行为,有必要提出一种网络应用的智能识别方法。
【发明内容】
本发明的目的在于克服上述现有技术的不足,提供一种网络应用的智能识别方法,其旨在解决现有技术中软件应用的识别准确率较低,易造成应用无法识别或识别错误的情况,给工作及生活带来不同程度的影响的技术问题。
为实现上述目的,本发明提出了一种网络应用的智能识别方法,基于在终端设备上部署一个终端程序,通过终端程序对系统运行的进程逐一与预先定义的网络应用字典进行关键代码段MD5校验、通信协议校验、软件行为校验及基本信息校验,以达到准确精准的识别应用行为,包括以下步骤:
A)、建立网络应用字典,模拟运行目标应用,提取程序相关信息形成该网络应用字典;
B)、终端程序枚举系统运行的进程,计算枚举到的应用进程的MD5校验值,并逐一与预先定义的网络应用字典进行匹配处理:
a)关键代码段MD5校验:当前应用进程的MD5校验值与该网络应用字典进行匹配,若匹配成功,则认定该应用,并将关键代码段MD5匹配的结果记录在本地文件的应用检查缓存中;若匹配不成功,则进入步骤b);
b)通信协议校验:当前应用进程的通信协议与该网络应用字典进行匹配,若匹配成功,则认定该应用,并将通信协议匹配的结果记录在本地文件的应用检查缓存中;若匹配不成功,则进入步骤c);
c)行为及信息校验:当前应用进程的行为与该网络应用字典进行匹配,若匹配成功,再继续基本信息与该网络应用字典进行匹配,同时将行为匹配的结果记录在本地文件的应用检查缓存中,如果基本信息匹配也成功,则认定该应用,并将基本信息匹配的结果记录在本地文件的应用检查缓存中,进入步骤d);若匹配不成功,则不认定该应用,进入步骤C);
d)匹配结果处理:根据本地文件的应用检查缓存中的匹配结果进行处理,将当前应用的匹配认定结果数据上报给服务器;
C)结束当前应用的识别。
作为优选,所述的步骤B)中,在计算枚举到的应用进程的MD5校验值之后,先与本地文件的应用检查缓存中的数据进行匹配,若匹配成功,则直接将应用的匹配认定结果数据上报给服务器;若匹配不成功,则逐一与预先定义的网络应用字典进行匹配处理。
作为优选,所述的第一步中的提取程序相关信息包括入口代码处字节生成MD5校验码,程序开放端口列表和模拟通信数据,程序读取、写入文件和注册表列表,程序的基本信息四方面的数据。
作为优选,所述的入口代码处为2048字节。
作为优选,所述的程序的基本信息包括程序的名称、版本、厂商。
作为优选,所述的步骤b)中的通信协议包括开放端口和数据探测。
作为优选,所述的步骤c)中的行为包括文件、注册表操作。
本发明的有益效果:与现有技术相比,本发明提供的一种网络应用的智能识别方法,扩展了传统的应用识别方法,通过在终端设备上部署一个终端程序,对系统运行的应用进程逐一与预先定义的网络应用字典进行比较,同时把匹配结果数据上报给服务器,不管关键代码段MD5校验、通信协议校验、应用行为校验及基本信息校验是否成功,对整个程序计算MD5校验码,并将匹配的结果记录在本地文件的应用检查缓存中,下次遇到同样的MD5校验码的应用进程时可以直接使用结果,不用重新匹配,加快检查速度,较传统的应用识别方法更全面,准确度更高。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明实施例一种网络应用的智能识别方法的流程图。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图中及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1,本发明实施例提供一种网络应用的智能识别方法,基于在终端设备上部署一个终端程序,通过终端程序对系统运行的进程逐一与预先定义的网络应用字典进行关键代码段MD5校验、通信协议校验、应用行为校验及基本信息校验,以达到准确精准的识别应用行为,包括以下步骤:
A)、建立网络应用字典,模拟运行目标应用,提取程序相关信息形成该网络应用字典。
其中,提取程序相关信息包括入口代码处字节生成MD5校验码,程序开放端口列表和模拟通信数据,程序读取、写入文件和注册表列表,程序的基本信息四方面的数据。
进一步地,入口代码处为2048字节,程序的基本信息包括程序的名称、版本、厂商。
B)、终端程序枚举系统运行的进程,计算枚举到的应用进程的MD5校验值,并逐一与预先定义的网络应用字典进行匹配处理:
a)关键代码段MD5校验:当前应用进程的MD5校验值与该网络应用字典进行匹配,若匹配成功,则认定该应用,并将关键代码段MD5匹配的结果记录在本地文件的应用检查缓存中;若匹配不成功,则进入步骤b)。
b)通信协议校验:当前应用进程的通信协议与该网络应用字典进行匹配,若匹配成功,则认定该应用,并将通信协议匹配的结果记录在本地文件的应用检查缓存中;若匹配不成功,则进入步骤c)。
其中,通信协议包括开放端口和数据探测。
c)行为及信息校验:当前应用进程的行为与该网络应用字典进行匹配,若匹配成功,再继续基本信息与该网络应用字典进行匹配,同时将行为匹配的结果记录在本地文件的应用检查缓存中,如果基本信息匹配也成功,则认定该应用,并将基本信息匹配的结果记录在本地文件的应用检查缓存中,进入步骤d);若匹配不成功,则不认定该应用,进入步骤C)。
其中,行为包括文件、注册表操作。
d)匹配结果处理:根据本地文件的应用检查缓存中的匹配结果进行处理,将当前应用的匹配认定结果数据上报给服务器。
其中,在计算枚举到的应用进程的MD5校验值之后,先与本地文件的应用检查缓存中的数据进行匹配,若匹配成功,则直接将应用的匹配认定结果数据上报给服务器;若匹配不成功,则逐一与预先定义的应用软件字典进行匹配处理。
C)结束当前应用的识别。
在本发明实施例中,采用MD5校验(为计算机安全领域广泛使用的一种散列函数),用以提供消息的完整性保护,也可以用来对数据内容进行对比校验。
PE文件:是微软Windows操作系统上的程序文件,表现为.exe、.dll、.ocx等形式扩展名的文件。这类文件由1个头数据+N个段数据组成,具体有几个数据段由头数据定义。其中有一个为代码段,用于存储编译后的代码。通常修改程序时是修改内部业务逻辑,不会对程序开头进行改动,所以可以通过MD5校验代码段开头部分代码(2048字节)确定软件,软件的版本变动不影响到校验的正确性。
通信协议分析,通常应用会开放端口或有网络数据流通,通过对端口的开放列表和数据的分析,可以构建一个数据探测模型来探测该应用,如魔兽争霸游戏开放6112端口,协议数据内容为:x7F+命令内容+数据长度+数据内容,通过构造这样数据包向目标设备发送判断其返回的数据则可确定该应用。
应用行为,应用在使用的过程中一般会对一些特殊文件(记录文件,使用日志)进行读写,对注册表进行操作,这些行为可以用于辅助应用的识别。
本发明一种网络应用的智能识别方法,扩展了传统的应用识别方法,通过在终端设备上部署一个终端程序,对系统运行的应用进程逐一与预先定义的网络应用字典进行比较,同时把匹配结果数据上报给服务器,不管关键代码段MD5校验、通信协议校验、应用行为校验及基本信息校验是否成功,对整个程序计算MD5校验码,并将匹配的结果记录在本地文件的应用检查缓存中,下次遇到同样的MD5校验码的应用进程时可以直接使用结果,不用重新匹配,加快检查速度,较传统的应用识别方法更全面,准确度更高。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种网络应用的智能识别方法,基于在终端设备上部署一个终端程序,通过终端程序对系统运行的进程逐一与预先定义的网络应用字典进行关键代码段MD5校验、通信协议校验、应用行为校验及基本信息校验,以达到准确精准的识别应用行为,其特征在于:包括以下步骤:
A)、建立网络应用字典,模拟运行目标应用,提取程序相关信息形成该网络应用字典;
B)、终端程序枚举系统运行的进程,计算枚举到的应用进程的MD5校验值,并逐一与预先定义的网络应用字典进行匹配处理:
a)关键代码段MD5校验:当前应用进程的MD5校验值与该网络应用字典进行匹配,若匹配成功,则认定该应用,并将关键代码段MD5匹配的结果记录在本地文件的应用检查缓存中;若匹配不成功,则进入步骤b);
b)通信协议校验:当前应用进程的通信协议与该网络应用字典进行匹配,若匹配成功,则认定该应用,并将通信协议匹配的结果记录在本地文件的应用检查缓存中;若匹配不成功,则进入步骤c);
c)行为及信息校验:当前应用进程的行为与该网络应用字典进行匹配,若匹配成功,再继续基本信息与该网络应用字典进行匹配,同时将行为匹配的结果记录在本地文件的应用检查缓存中,如果基本信息匹配也成功,则认定该应用,并将基本信息匹配的结果记录在本地文件的应用检查缓存中,进入步骤d);若匹配不成功,则不认定该应用,进入步骤C);
d)匹配结果处理:根据本地文件的应用检查缓存中的匹配结果进行处理,将当前应用的匹配认定结果数据上报给服务器;
C)结束当前应用的识别。
2.如权利要求1所述的一种网络应用的智能识别方法,其特征在于:所述的步骤B)中,在计算枚举到的应用进程的MD5校验值之后,先与本地文件的应用检查缓存中的数据进行匹配,若匹配成功,则直接将应用的匹配认定结果数据上报给服务器;若匹配不成功,则逐一与预先定义的网络应用字典进行匹配处理。
3.如权利要求1所述的一种网络应用的智能识别方法,其特征在于:所述的第一步中的提取程序相关信息包括入口代码处字节生成MD5校验码,程序开放端口列表和模拟通信数据,程序读取、写入文件和注册表列表,程序的基本信息四方面的数据。
4.如权利要求3所述的一种网络应用的智能识别方法,其特征在于:所述的入口代码处为2048字节。
5.如权利要求3所述的一种网络应用的智能识别方法,其特征在于:所述的程序的基本信息包括程序的名称、版本、厂商。
6.如权利要求1所述的一种网络应用的智能识别方法,其特征在于:所述的步骤b)中的通信协议包括开放端口和数据探测。
7.如权利要求1所述的一种网络应用的智能识别方法,其特征在于:所述的步骤c)中的行为包括文件、注册表操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610738976.8A CN106411845A (zh) | 2016-08-27 | 2016-08-27 | 一种网络应用的智能识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610738976.8A CN106411845A (zh) | 2016-08-27 | 2016-08-27 | 一种网络应用的智能识别方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106411845A true CN106411845A (zh) | 2017-02-15 |
Family
ID=58005300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610738976.8A Pending CN106411845A (zh) | 2016-08-27 | 2016-08-27 | 一种网络应用的智能识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106411845A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111182072A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 会话请求的应用识别方法、装置和计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854330A (zh) * | 2009-04-02 | 2010-10-06 | 上海互联网络交换中心 | 互联网的网络应用采集与分析方法及系统 |
| CN102968589A (zh) * | 2012-11-14 | 2013-03-13 | 北京奇虎科技有限公司 | 一种应用程序安全属性的识别方法和装置 |
| CN104618132A (zh) * | 2014-12-16 | 2015-05-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种应用程序识别规则生成方法和装置 |
-
2016
- 2016-08-27 CN CN201610738976.8A patent/CN106411845A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854330A (zh) * | 2009-04-02 | 2010-10-06 | 上海互联网络交换中心 | 互联网的网络应用采集与分析方法及系统 |
| CN102968589A (zh) * | 2012-11-14 | 2013-03-13 | 北京奇虎科技有限公司 | 一种应用程序安全属性的识别方法和装置 |
| CN104618132A (zh) * | 2014-12-16 | 2015-05-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种应用程序识别规则生成方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111182072A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 会话请求的应用识别方法、装置和计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104751048B (zh) | 一种预链接机制下的动态链接库完整性度量方法 | |
| CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
| CN108156131B (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| CN105631361B (zh) | 一种应用程序渠道来源标识方法及装置 | |
| CN105354496B (zh) | Android平台自动生成的恶意程序的检测方法及系统 | |
| CN104951675B (zh) | 一种识别盗版应用的方法及系统 | |
| CN106355092B (zh) | 用于优化反病毒测定的系统和方法 | |
| CN102592080A (zh) | flash恶意文件检测方法及装置 | |
| CN109614203B (zh) | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 | |
| CN109815697B (zh) | 误报行为处理方法及装置 | |
| CN106330915A (zh) | 语音验证处理方法及装置 | |
| CN107302586A (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| CN105631325B (zh) | 一种恶意应用程序检测方法和装置 | |
| CN105138464B (zh) | 一种程序代码处理方法和装置 | |
| CN108737328B (zh) | 一种浏览器用户代理识别方法、系统及装置 | |
| CN106874758A (zh) | 一种识别文档代码的方法和装置 | |
| CN106411845A (zh) | 一种网络应用的智能识别方法 | |
| CN104008336B (zh) | 一种ShellCode检测方法和装置 | |
| CN109600361A (zh) | 基于哈希算法的验证码防攻击方法及装置 | |
| CN113364766B (zh) | 一种apt攻击的检测方法及装置 | |
| CN103853980A (zh) | 安全提示方法及装置 | |
| CN114547614A (zh) | 一种恶意文件识别方法及系统 | |
| CN112966270A (zh) | 应用程序的安全检测方法、装置、电子设备和存储介质 | |
| CN113923012B (zh) | 一种客户端设备的指纹生成方法和防篡改方法 | |
| CN108062476A (zh) | 一种基于调用关系的恶意代码判定方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170215 |