CN109756512A - 一种流量应用识别方法、装置、设备及存储介质 - Google Patents
一种流量应用识别方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109756512A CN109756512A CN201910114700.6A CN201910114700A CN109756512A CN 109756512 A CN109756512 A CN 109756512A CN 201910114700 A CN201910114700 A CN 201910114700A CN 109756512 A CN109756512 A CN 109756512A
- Authority
- CN
- China
- Prior art keywords
- target flow
- application
- flow
- recognition
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种流量应用识别方法,应用于在业务系统的任意一个业务服务器中部署的识别设备,该方法包括:接收对发起目标流量的应用的识别命令,目标流量为业务系统的防火墙未识别到应用的流量;根据目标流量的连接信息,截取目标流量对应的数据包,提取关键特征;获取目标流量对应的进程信息;根据提取的关键特征和获取的进程信息,对发起目标流量的应用进行识别,获得识别结果。应用本发明实施例所提供的技术方案,在防火墙无法识别到流量应用时,可以通过业务服务器中识别设备进行辅助识别,提高对流量应用识别的准确性,为进一步判别风险提供参考依据。本发明还公开了一种流量应用识别装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本发明涉及计算机应用技术领域,特别是涉及一种流量应用识别方法、装置、设备及存储介质。
背景技术
随着互联网技术的快速发展,互联网在各行各业的应用越来越广泛,互联网上各种各样的网络流量也越来越多,如视频、音频、文件、邮件、网页、FTP(File TransferProtocol,文件传输协议)、未知协议等的网络流量。
当前网络流量主要分为可识别流量和未知流量,可识别流量主要为HTTP(HyperText Transfer Protocol,超文本传输协议)、FTP、Mail等使用识别规则能够识别到的流量,未知流量为第三方软件或者用户自定义流量,例如发包工具、病毒木马外发流量等。
对流量应用进行识别,有助于及时判别风险。如何对流量应用进行有效识别,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种流量应用识别方法、装置、设备及存储介质,以有效识别流量应用。
为解决上述技术问题,本发明提供如下技术方案:
一种流量应用识别方法,应用于在业务系统的任意一个业务服务器中部署的识别设备,所述方法包括:
接收对发起目标流量的应用的识别命令,所述识别命令携带所述目标流量的连接信息,所述目标流量为所述业务系统的防火墙未识别到应用的流量;
根据所述目标流量的连接信息,截取所述目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征;
获取所述目标流量对应的进程信息;
根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果。
在本发明的一种具体实施方式中,所述获取所述目标流量对应的进程信息,包括:
将所述业务服务器的操作系统当前运行的进程镜像化;
根据所述目标流量的连接信息,定位所述目标流量对应的进程;
获取所述目标流量对应的进程信息。
在本发明的一种具体实施方式中,所述根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果,包括:
根据获取的进程信息的签名的信任程度,确定进程判定结果;
根据提取的关键特征与预设的敏感信息的匹配程度,确定数据包判定结果;
根据所述进程判定结果和所述数据包判定结果,获得发起所述目标流量的应用的识别结果。
在本发明的一种具体实施方式中,还包括:
将所述识别结果返回给所述业务系统的防火墙,以使所述业务系统的防火墙根据所述识别结果更新应用于所述业务系统的识别规则。
在本发明的一种具体实施方式中,还包括:
将所述识别结果上报给云端,以使所述云端根据所述识别结果更新总的识别规则,并将所述总的识别规则下发给各个防火墙,和/或根据所述识别结果确定发起所述目标流量的应用的风险等级。
一种流量应用识别装置,应用于在业务系统的任意一个业务服务器中部署的识别设备,所述装置包括:
识别命令接收单元,用于接收对发起目标流量的应用的识别命令,所述识别命令携带所述目标流量的连接信息,所述目标流量为所述业务系统的防火墙未识别到应用的流量;
关键特征提取单元,用于根据所述目标流量的连接信息,截取所述目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征;
进程信息获取单元,用于获取所述目标流量对应的进程信息;
识别结果获得单元,用于根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果。
在本发明的一种具体实施方式中,所述进程信息获取单元,具体用于:
将所述业务服务器的操作系统当前运行的进程镜像化;
根据所述目标流量的连接信息,定位所述目标流量对应的进程;
获取所述目标流量对应的进程信息。
在本发明的一种具体实施方式中,所述识别结果获得单元,具体用于:
根据获取的进程信息的签名的信任程度,确定进程判定结果;
根据提取的关键特征与预设的敏感信息的匹配程度,确定数据包判定结果;
根据所述进程判定结果和所述数据包判定结果,获得发起所述目标流量的应用的识别结果。
在本发明的一种具体实施方式中,还包括识别结果返回单元,用于:
将所述识别结果返回给所述业务系统的防火墙,以使所述业务系统的防火墙根据所述识别结果更新应用于所述业务系统的识别规则。
在本发明的一种具体实施方式中,还包括识别结果上报单元,用于:
将所述识别结果上报给云端,以使所述云端根据所述识别结果更新总的识别规则,并将所述总的识别规则下发给各个防火墙,和/或根据所述识别结果确定发起所述目标流量的应用的风险等级。
一种流量应用识别设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述流量应用识别方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述流量应用识别方法的步骤。
应用本发明实施例所提供的技术方案,在业务系统的每个业务服务器中均部署识别设备,通过互联网发往业务服务器的目标流量经过防火墙,如果防火墙未识别到目标流量的应用,则向业务服务器的识别设备下发识别命令。识别设备在接收到对发起目标流量的应用的识别命令后,可以根据目标流量的连接信息,截取目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征,并获取目标流量对应的进程信息,根据提取的关键特征和获取的进程信息,对发起目标流量的应用进行识别,获得识别结果。这样,在防火墙无法识别到流量应用时,可以通过业务服务器中识别设备进行辅助识别,提高对流量应用识别的准确性,为进一步判别风险提供参考依据。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种业务系统的结构示意图;
图2为本发明实施例中一种流量应用识别方法的实施流程图;
图3为本发明实施例中一种流量应用识别装置的结构示意图;
图4为本发明实施例中一种流量应用识别设备的结构示意图。
具体实施方式
本发明的核心是提供一种流量应用识别方法,该方法可以应用于业务系统的任意一个业务服务器中部署的识别设备,业务系统的业务服务器可以是服务器或者PC等终端设备。
在本发明实施例中,业务系统可以包括多个业务服务器和安全资源池,每个业务服务器用于具体的业务处理,每个业务服务器中均部署有识别设备,安全资源池(CloudSecurity Service Platform,CSSP)是以保护用户资产和业务为核心,所有组件,如资产管理、下一代防火墙、终端、审计等是提供安全防护的基础支撑,服务将持续在整个用户的资产和业务生命周期内,以保证用户得到真实可靠的安全防护能力和持续不断地提升用户资产和业务的安全防护能力。
如图1所示,业务系统包括业务服务器1、业务服务器2和安全资源池,安全资源池中包括防火墙1、防火墙2,其中,防火墙1为服务于业务系统的防火墙,通过互联网发往业务系统的业务服务器的流量会先经由路由器、交换机、安全资源池接口eth1、eth2等到达安全资源池,经过安全资源池进行流量清洗后再经由路由器、交换机等发给相应业务服务器。安全资源池中的防火墙会进行应用识别,如果未识别到则由相应业务服务器中部署的识别设备进行识别。因本发明实施例仅涉及到流量应用识别,所以安全资源池中包含的其他组件未在图1中列出。
防火墙(Firewall)一般作为内部网和外部网之间的屏障,用于防护外部网络对服务器的攻击,例如SQL(Structured Query Language,结构化查询语言)注入、XSS(CrossSite Scripting,跨站脚本攻击)攻击、DDOS(Distributed Denial of Service,分布式拒绝服务)攻击等。防火墙的最基础也是做重要的一个功能,就是流量应用识别功能。对应用层网络攻击防护的必要前提是先识别出流量的应用类型,例如WEB应用、FTP服务、数据库服务等,识别流量应用之后,才会将数据包传到防火墙的安全引擎中进行一系列的数据包内容分析,从而达到防护的作用。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图2所示,为本发明实施例所提供的一种流量应用识别方法的实施流程图,该方法可以包括以下步骤:
S210:接收对发起目标流量的应用的识别命令。
识别命令携带目标流量的连接信息,目标流量为业务系统的防火墙未识别到应用的流量。
在本发明实施例中,目标流量可以是某应用通过互联网与业务系统的业务服务器的业务交互产生的流量。通过互联网发往业务服务器的目标流量先会到达防火墙,经由网卡驱动层过滤之后进入网络内核模块层。
防火墙内核模块依次对目标流量的数据包进行协议识别、内容解密、规则校验等操作。如果识别到发起目标流量的应用,则结束整个识别过程。如果未识别到发起目标流量的应用,则可以缓存当前累计识别结果,继续对目标流量的第2个、第3个数据包进行协议识别、内容解密、规则校验等操作,如果基于目标流量的前M个,如前10个数据包仍无法识别到发起目标流量的应用,则判定为无法识别,可以交由业务服务器的识别设备辅助识别。
防火墙进行流量应用识别的方式有以下几种:
(1)端口识别方式
端口识别是指利用IP流量的端口号完成识别过程,前提是流量为TCP(Transmission Control Protocol,传输控制协议)和UDP(User Datagram Protocol,用户数据报协议)类型报文。TCP和UDP采用16位的端口号来区分不同应用进程,端口号范围为0~65535,其中1~1023端口号常用。比如:HTTP(Hyper Text Transfer Protocol,超文本传输协议)协议通常使用80端口,DNS(Domain Name System,域名系统)协议通常使用53号端口,SSH(Secure Shell,安全外壳协议)协议使用22号端口,Telnet(远程终端协议,TCP/IP协议族中的一员)协议使用23号端口,TFTP(Trivial File Transfer Protocol,简单文件传输协议)协议使用69号端口,SNMP(Simple Network Management Protocol,简单网络管理协议)协议使用161号端口等等,还有更多的端口号并不作为特定的协议使用,而是作为流量转发时相互之间交互使用。端口识别技术只检查数据包端口号,将不同的端口流量进行甄别,并列出,从而知晓流量中都有哪些协议在应用。当然,如果是一些未定义的端口号,则认为是普通数据传输应用。
(2)深度包检测(Deep Packet Inspection,DPI)识别方式
深度包检测是根据协议特征签名,对数据包的应用层数据进行深度分析,识别出相应协议,协议特征签名通常表现为数据包出现特定字符串或特定数字。在识别过程中,还可以同时结合数据包首部信息。可以做到精确识别,不仅仅分析数据包的浅层信息,并且DPI识别的协议类型更多,很多数据包头没有明显特征,也可以通过DPI技术识别出来。比如:一些视频语音文件,一些流量的局部微小特征如版本号或者负载大小等。不仅流量特征,深度包检测还可以作为应用层网关识别和行为模式识别,这类流量已经看不出任何协议特征之处,但通过流量行为或网关识别仍能找出规律。DPI多用于网络应用层,直接对应用进行识别。深度包检测可以识别四层到七层的流量特征,从应用层面进行识别,精度高。
(3)深度流检测(Deep Flow Inspection,DFI)识别方式
深度流检测是一种基于对网络流量行为检测的识别技术,利用流的统计特征进行识别。DFI不需要访问应用层信息,只需分析流的特征,如分析流的数据包长度规律、接入连接与连出连接的比值、上行流量与下行流量的比值等。例如:网上IP语音流量体现在流状态上的特征就非常明显,RTP(Real-time Transport Protocol,实时传输协议)流的包长相对固定,一般在130~220Byte,连接速率较低,为20~84kbit/s,同时会话持续时间也相对较长,基于P2P下载应用的流量模型的特点为平均包长都在450Byte以上,下载时间长,连接速率高。DFI基于这一系列流量的行为特征,建立流量特征模型,鉴别应用类型。
上述仅为防火墙进行流量应用识别方式的示例,在实际应用中,还可以根据实际情况设定相应的识别规则,以使防火墙根据设定好的识别规则进行流量应用的识别。
如果防火墙最终判定为无法识别到发起目标流量的应用,则可以将连接信息,如连接跟踪五元组发送给设备管理子系统,如图1所示,由设备管理子系统统一下发识别命令到对应业务服务器,由该业务服务器上部署的识别设备进行识别。识别命令中可以携带目标流量的连接信息。连接信息可以包括源IP、源端口、目的IP、目的端口和传输层协议等。设备管理子系统可以根据目的IP来确定目标流量对应的业务服务器。
业务服务器接收到对发起目标流量的应用的识别命令后,即可知目标流量为业务系统的防火墙未识别到应用的流量,可以继续执行步骤S220的操作。
S220:根据目标流量的连接信息,截取目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征。
对于业务系统的任意一个服务器而言,该服务器中部署的识别设备在启动后,可以将网络模块驱动挂载在该服务器操作系统网络层内核层。当识别设备接收到设备管理子系统下发的连接信息时,内核模块截取网络层对应连接的数据包。连接信息在一定时间内是唯一的,根据连接信息反查内核即可得到目标流量对应的数据包。在实际应用中,可以只截取目标流量对应的数据包,避免服务器流量过大,截取数据包过多,影响服务器性能。识别设备对截取的数据包进行分析,提取关键特征,当数据包不足以分析的时候,可以先对提取的关键特征进行缓存,直至提取到足够的关键特征。
S230:获取目标流量对应的进程信息。
识别设备接收到对发起目标流量的应用的识别命令后,可以获取目标流量对应的进程信息。
在本发明的一种具体实施方式中,步骤S230可以包括以下步骤:
步骤一:将业务服务器的操作系统当前运行的进程镜像化;
步骤二:根据目标流量的连接信息,定位目标流量对应的进程;
步骤三:获取目标流量对应的进程信息。
为便于描述,将上述三个步骤结合起来进行说明。
业务服务器在正常工作过程中,当前可能运行多个进程,不同时刻运行的进程可能不同。识别设备可以将业务服务器的操作系统当前运行的进程镜像化,根据目标流量的连接信息,定位目标流量对应的进程,获取目标流量对应的进程信息。目标流量的进程信息可以包括md5、签名、sha1、文件查杀信息(文件扫描结果)、进程读写文件记录、进程通信记录等相关信息。
S240:根据提取的关键特征和获取的进程信息,对发起目标流量的应用进行识别,获得识别结果。
对截取的目标流量对应的数据包进行分析提取关键特征,并获取到目标流量对应的进程信息后,可以对提取的关键特征和获取的进程信息进行分析,具体的,可以基于进程规则库和动作行为规则的记录进行分析,对发起目标流量的应用进行识别,获得识别结果。
在本发明的一种具体实施方式中,步骤S240可以包括以下步骤:
第一个步骤:根据获取的进程信息的签名的信任程度,确定进程判定结果;
第二个步骤:根据提取的关键特征与预设的敏感信息的匹配程度,确定数据包判定结果;
第三个步骤:根据进程判定结果和数据包判定结果,获取发起目标流量的应用的识别结果。
为便于描述,将上述三个步骤结合起来进行说明。
获取的进程信息包含多个相关信息,如签名等,可以根据预先设定的规则,确定获取的进程信息的签名的信任程度,进而根据获取的进程信息的签名的信任程度,确定进程判定结果。具体的,进程判定结果可以通过分值或者其他形式表现。根据提取的关键特征与预设的敏感信息的匹配程度,可以确定数据包判定结果。具体的,数据包判定结果可以通过分值或者其他形式表现。
根据进程判定结果和数据包判定结果,可以获得发起目标流量的应用的识别结果。具体的,可以对进程判定结果和数据包判定结果进行加权计算,基于计算结果确定发起目标流量的应用的识别结果。
为便于理解,举一个比较简单的例子。
通过连接跟踪反查出目标流量对应的进程为进程A和目标流量对应的数据包为packetB。通过查询获取到进程A的签名、md5、sha1、文件查杀信息等相关信息。如果签名是可信任的,则可以确定进程A的相关信息的信任程度较高,不需要再去做其他判断了,如果签名不可信任,则可以继续判断其他部分,如进程A无签名,则减分,进程A的文件查杀信息为高危,则减分,继续判断进程A的文件读写记录的信任程度,比如在反复读取服务的各种信息,如admin密码、web服务信息、数据库信息等,则减分。减分规则以及具体的判定规则,可以根据实际情况进行设定,这里只是举例说明,在实际应用中,还可以通过设定具体的设计文档进行判定,得到进程判定结果。再判断数据包中的关键特征,如果数据包中的关键特征与预设的敏感信息匹配,如可匹配上数据库常用账号密码等,则不减分,如果不匹配,则减分,从而得到数据包判定结果。通过上面的检测,把进程判定结果和数据包判定结果结合起来,获取目标流量的应用的识别结果。如识别出目标流量的应用为盗密型应用。
应用本发明实施例所提供的方法,在业务系统的每个业务服务器中均部署识别设备,通过互联网发往业务服务器的目标流量经过防火墙,如果防火墙未识别到目标流量的应用,则向业务服务器的识别设备下发识别命令。识别设备在接收到对发起目标流量的应用的识别命令后,可以根据目标流量的连接信息,截取目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征,并获取目标流量对应的进程信息,根据提取的关键特征和获取的进程信息,对发起目标流量的应用进行识别,获得识别结果。这样,在防火墙无法识别到流量应用时,可以通过业务服务器中识别设备进行辅助识别,提高对流量应用识别的准确性,为进一步判别风险提供参考依据。
在本发明的一个实施例中,该方法还可以包括以下步骤:
将识别结果返回给业务系统的防火墙,以使业务系统的防火墙根据识别结果更新应用于业务系统的识别规则。
业务服务器的识别设备获得识别结果后,可以将识别结果返回给业务系统的防火墙,具体的,可以通过设备管理子系统上报给业务系统的防火墙或者由业务系统的防火墙在设备管理子系统中查询得到,如图1所示。这样业务系统的防火墙可以根据识别结果更新应用于业务系统的识别规则,当再次接收到与目标流量具有相同特征的流量时,可以由防火墙进行提前快速识别,不需要再将识别命令下发给识别设备,可以提高识别效率。
在本发明的一个实施例中,该方法还可以包括以下步骤:
将识别结果上报给云端,以使云端根据识别结果更新总的识别规则,并将总的识别规则下发给各个防火墙,和/或根据识别结果确定发起目标流量的应用的风险等级。
在本发明实施例中,业务服务器的识别设备获得识别结果后,可以将识别结果上报给云端,具体的,可以通过设备管理子系统进行上报,如图1所示。云端根据识别结果可以更新总的识别规则,将总的识别规则下发给各个防火墙,以使各防火墙在接收到具有与目标流量相同特征的流量时,可以提前快速识别,不需要由识别设备辅助识别,提高识别效率。当然,识别设备可以同时分别向业务系统的防火墙和云端上报识别结果,业务系统的防火墙根据识别结果自动更新自身的识别规则,云端更新总的识别规则后,将更新后的总的识别规则下发给其他各个防火墙,如图1所示。
另外,云端可以根据识别结果确定发起目标流量的应用的风险等级。如云端根据识别结果,确定发起目标流量的应用的风险等级为安全级(如常用聊天应用)、中危级(资料盗密型应用)或高危级(勒索破坏型应用)等。
如果云端确定目标流量为危险流量,则可以告知用户对应的处理方法。用户可以根据实际情况配置策略,确定是否拦截。
相应于上面的方法实施例,本发明实施例还提供了一种流量应用识别装置,应用于在业务系统的任意一个业务服务器中部署的识别设备,下文描述的一种流量应用识别装置与上文描述的一种流量应用识别方法可相互对应参照。
参见图3所示,该装置可以包括以下单元:
识别命令接收单元310,用于接收对发起目标流量的应用的识别命令,识别命令携带目标流量的连接信息,目标流量为业务系统的防火墙未识别到应用的流量;
关键特征提取单元320,用于根据目标流量的连接信息,截取目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征;
进程信息获取单元330,用于获取目标流量对应的进程信息;
识别结果获得单元340,用于根据提取的关键特征和获取的进程信息,对发起目标流量的应用进行识别,获得识别结果。
应用本发明实施例所提供的装置,在业务系统的每个业务服务器中均部署识别设备,通过互联网发往业务服务器的目标流量经过防火墙,如果防火墙未识别到目标流量的应用,则向业务服务器的识别设备下发识别命令。识别设备在接收到对发起目标流量的应用的识别命令后,可以根据目标流量的连接信息,截取目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征,并获取目标流量对应的进程信息,根据提取的关键特征和获取的进程信息,对发起目标流量的应用进行识别,获得识别结果。这样,在防火墙无法识别到流量应用时,可以通过业务服务器中识别设备进行辅助识别,提高对流量应用识别的准确性,为进一步判别风险提供参考依据。
在本发明的一种具体实施方式中,进程信息获取单元330,具体用于:
将业务服务器的操作系统当前运行的进程镜像化;
根据目标流量的连接信息,定位目标流量对应的进程;
获取目标流量对应的进程信息。
在本发明的一种具体实施方式中,识别结果获得单元340,具体用于:
根据获取的进程信息的签名的信任程度,确定进程判定结果;
根据提取的关键特征与预设的敏感信息的匹配程度,确定数据包判定结果;
根据进程判定结果和数据包判定结果,获得发起目标流量的应用的识别结果。
在本发明的一种具体实施方式中,还包括识别结果返回单元,用于:
将识别结果返回给业务系统的防火墙,以使业务系统的防火墙根据识别结果更新应用于业务系统的识别规则。
在本发明的一种具体实施方式中,还包括识别结果上报单元,用于:
将识别结果上报给云端,以使云端根据识别结果更新总的识别规则,并将总的识别规则下发给各个防火墙,和/或根据识别结果确定发起目标流量的应用的风险等级。
相应于上面的方法实施例,本发明实施例还提供了一种流量应用识别设备,如图4所示,包括:
存储器410,用于存储计算机程序;
处理器420,用于执行计算机程序时实现上述流量应用识别方法的步骤。
相应于上面的方法实施例,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述流量应用识别方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (12)
1.一种流量应用识别方法,其特征在于,应用于在业务系统的任意一个业务服务器中部署的识别设备,所述方法包括:
接收对发起目标流量的应用的识别命令,所述识别命令携带所述目标流量的连接信息,所述目标流量为所述业务系统的防火墙未识别到应用的流量;
根据所述目标流量的连接信息,截取所述目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征;
获取所述目标流量对应的进程信息;
根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果。
2.根据权利要求1所述的方法,其特征在于,所述获取所述目标流量对应的进程信息,包括:
将所述业务服务器的操作系统当前运行的进程镜像化;
根据所述目标流量的连接信息,定位所述目标流量对应的进程;
获取所述目标流量对应的进程信息。
3.根据权利要求1所述的方法,其特征在于,所述根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果,包括:
根据获取的进程信息的签名的信任程度,确定进程判定结果;
根据提取的关键特征与预设的敏感信息的匹配程度,确定数据包判定结果;
根据所述进程判定结果和所述数据包判定结果,获得发起所述目标流量的应用的识别结果。
4.根据权利要求1至3之中任一项所述的方法,其特征在于,还包括:
将所述识别结果返回给所述业务系统的防火墙,以使所述业务系统的防火墙根据所述识别结果更新应用于所述业务系统的识别规则。
5.根据权利要求1至3之中任一项所述的方法,其特征在于,还包括:
将所述识别结果上报给云端,以使所述云端根据所述识别结果更新总的识别规则,并将所述总的识别规则下发给各个防火墙,和/或根据所述识别结果确定发起所述目标流量的应用的风险等级。
6.一种流量应用识别装置,其特征在于,应用于在业务系统的任意一个业务服务器中部署的识别设备,所述装置包括:
识别命令接收单元,用于接收对发起目标流量的应用的识别命令,所述识别命令携带所述目标流量的连接信息,所述目标流量为所述业务系统的防火墙未识别到应用的流量;
关键特征提取单元,用于根据所述目标流量的连接信息,截取所述目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征;
进程信息获取单元,用于获取所述目标流量对应的进程信息;
识别结果获得单元,用于根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果。
7.根据权利要求6所述的装置,其特征在于,所述进程信息获取单元,具体用于:
将所述业务服务器的操作系统当前运行的进程镜像化;
根据所述目标流量的连接信息,定位所述目标流量对应的进程;
获取所述目标流量对应的进程信息。
8.根据权利要求6所述的装置,其特征在于,所述识别结果获得单元,具体用于:
根据获取的进程信息的签名的信任程度,确定进程判定结果;
根据提取的关键特征与预设的敏感信息的匹配程度,确定数据包判定结果;
根据所述进程判定结果和所述数据包判定结果,获得发起所述目标流量的应用的识别结果。
9.根据权利要求6至8之中任一项所述的装置,其特征在于,还包括识别结果返回单元,用于:
将所述识别结果返回给所述业务系统的防火墙,以使所述业务系统的防火墙根据所述识别结果更新应用于所述业务系统的识别规则。
10.根据权利要求6至8之中任一项所述的装置,其特征在于,还包括识别结果上报单元,用于:
将所述识别结果上报给云端,以使所述云端根据所述识别结果更新总的识别规则,并将所述总的识别规则下发给各个防火墙,和/或根据所述识别结果确定发起所述目标流量的应用的风险等级。
11.一种流量应用识别设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述流量应用识别方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述流量应用识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910114700.6A CN109756512B (zh) | 2019-02-14 | 2019-02-14 | 一种流量应用识别方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910114700.6A CN109756512B (zh) | 2019-02-14 | 2019-02-14 | 一种流量应用识别方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109756512A true CN109756512A (zh) | 2019-05-14 |
| CN109756512B CN109756512B (zh) | 2021-08-13 |
Family
ID=66407518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910114700.6A Active CN109756512B (zh) | 2019-02-14 | 2019-02-14 | 一种流量应用识别方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109756512B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112165460A (zh) * | 2020-09-10 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 流量检测方法、装置、计算机设备和存储介质 |
| CN112839004A (zh) * | 2019-11-22 | 2021-05-25 | 中国电信股份有限公司 | 应用识别方法和装置 |
| CN112866289A (zh) * | 2021-03-02 | 2021-05-28 | 恒为科技(上海)股份有限公司 | 一种提取特征规则的方法及系统 |
| CN113242205A (zh) * | 2021-03-19 | 2021-08-10 | 武汉绿色网络信息服务有限责任公司 | 网络流量分类控制方法、装置、服务器及存储介质 |
| CN113726799A (zh) * | 2021-09-01 | 2021-11-30 | 百度在线网络技术(北京)有限公司 | 针对应用层攻击的处理方法、装置、系统和设备 |
| CN113923170A (zh) * | 2021-09-30 | 2022-01-11 | 深信服科技股份有限公司 | 一种应用识别管理方法及系统 |
| CN113923013A (zh) * | 2021-09-30 | 2022-01-11 | 深信服科技股份有限公司 | 一种应用识别管理方法及系统 |
| CN114070634A (zh) * | 2021-11-22 | 2022-02-18 | 安天科技集团股份有限公司 | 一种基于smtp协议的窃密行为检测方法、装置及电子设备 |
| CN114338087A (zh) * | 2021-12-03 | 2022-04-12 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及系统 |
| CN114362982A (zh) * | 2020-10-12 | 2022-04-15 | 中兴通讯股份有限公司 | 流量细分识别方法、系统、电子设备和存储介质 |
| CN114422619A (zh) * | 2020-10-12 | 2022-04-29 | 中国移动通信集团广东有限公司 | 业务识别方法、装置、设备及存储介质 |
| CN114944952A (zh) * | 2022-05-20 | 2022-08-26 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
| CN116033536A (zh) * | 2022-06-16 | 2023-04-28 | 荣耀终端有限公司 | 发射功率调整方法及无线路由器 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080162639A1 (en) * | 2006-12-28 | 2008-07-03 | Research And Industrial Cooperation Group | System and method for identifying peer-to-peer (P2P) application service |
| CN102045363A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
| CN102694817A (zh) * | 2012-06-08 | 2012-09-26 | 奇智软件(北京)有限公司 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
| CN103312565A (zh) * | 2013-06-28 | 2013-09-18 | 南京邮电大学 | 一种基于自主学习的对等网络流量识别方法 |
| CN103414600A (zh) * | 2013-07-19 | 2013-11-27 | 华为技术有限公司 | 近似匹配方法和相关设备及通信系统 |
| CN104113553A (zh) * | 2014-07-29 | 2014-10-22 | 网神信息技术(北京)股份有限公司 | 端口状态识别方法、装置和系统 |
| CN106330584A (zh) * | 2015-06-19 | 2017-01-11 | 中国移动通信集团广东有限公司 | 一种业务流的识别方法及识别装置 |
-
2019
- 2019-02-14 CN CN201910114700.6A patent/CN109756512B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080162639A1 (en) * | 2006-12-28 | 2008-07-03 | Research And Industrial Cooperation Group | System and method for identifying peer-to-peer (P2P) application service |
| CN102045363A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
| CN102694817A (zh) * | 2012-06-08 | 2012-09-26 | 奇智软件(北京)有限公司 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
| CN103312565A (zh) * | 2013-06-28 | 2013-09-18 | 南京邮电大学 | 一种基于自主学习的对等网络流量识别方法 |
| CN103414600A (zh) * | 2013-07-19 | 2013-11-27 | 华为技术有限公司 | 近似匹配方法和相关设备及通信系统 |
| CN104113553A (zh) * | 2014-07-29 | 2014-10-22 | 网神信息技术(北京)股份有限公司 | 端口状态识别方法、装置和系统 |
| CN106330584A (zh) * | 2015-06-19 | 2017-01-11 | 中国移动通信集团广东有限公司 | 一种业务流的识别方法及识别装置 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112839004A (zh) * | 2019-11-22 | 2021-05-25 | 中国电信股份有限公司 | 应用识别方法和装置 |
| CN112839004B (zh) * | 2019-11-22 | 2022-09-06 | 中国电信股份有限公司 | 应用识别方法和装置 |
| CN112165460A (zh) * | 2020-09-10 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 流量检测方法、装置、计算机设备和存储介质 |
| CN114362982A (zh) * | 2020-10-12 | 2022-04-15 | 中兴通讯股份有限公司 | 流量细分识别方法、系统、电子设备和存储介质 |
| CN114422619B (zh) * | 2020-10-12 | 2023-11-10 | 中国移动通信集团广东有限公司 | 业务识别方法、装置、设备及存储介质 |
| CN114422619A (zh) * | 2020-10-12 | 2022-04-29 | 中国移动通信集团广东有限公司 | 业务识别方法、装置、设备及存储介质 |
| CN112866289A (zh) * | 2021-03-02 | 2021-05-28 | 恒为科技(上海)股份有限公司 | 一种提取特征规则的方法及系统 |
| CN113242205A (zh) * | 2021-03-19 | 2021-08-10 | 武汉绿色网络信息服务有限责任公司 | 网络流量分类控制方法、装置、服务器及存储介质 |
| CN113726799A (zh) * | 2021-09-01 | 2021-11-30 | 百度在线网络技术(北京)有限公司 | 针对应用层攻击的处理方法、装置、系统和设备 |
| CN113923013A (zh) * | 2021-09-30 | 2022-01-11 | 深信服科技股份有限公司 | 一种应用识别管理方法及系统 |
| CN113923170A (zh) * | 2021-09-30 | 2022-01-11 | 深信服科技股份有限公司 | 一种应用识别管理方法及系统 |
| CN114070634A (zh) * | 2021-11-22 | 2022-02-18 | 安天科技集团股份有限公司 | 一种基于smtp协议的窃密行为检测方法、装置及电子设备 |
| CN114070634B (zh) * | 2021-11-22 | 2024-02-27 | 安天科技集团股份有限公司 | 一种基于smtp协议的窃密行为检测方法、装置及电子设备 |
| CN114338087A (zh) * | 2021-12-03 | 2022-04-12 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及系统 |
| CN114338087B (zh) * | 2021-12-03 | 2024-03-15 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及系统 |
| CN114944952A (zh) * | 2022-05-20 | 2022-08-26 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
| CN114944952B (zh) * | 2022-05-20 | 2023-11-07 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
| CN116033536A (zh) * | 2022-06-16 | 2023-04-28 | 荣耀终端有限公司 | 发射功率调整方法及无线路由器 |
| CN116033536B (zh) * | 2022-06-16 | 2023-11-24 | 荣耀终端有限公司 | 发射功率调整方法及无线路由器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109756512B (zh) | 2021-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109756512A (zh) | 一种流量应用识别方法、装置、设备及存储介质 | |
| US10673877B2 (en) | Method and apparatus for detecting port scans in a network | |
| Zhang et al. | Detecting backdoors | |
| Mirkovic et al. | A taxonomy of DDoS attack and DDoS defense mechanisms | |
| CN105262738B (zh) | 一种路由器及其防arp攻击的方法 | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| CN109951500A (zh) | 网络攻击检测方法及装置 | |
| CN109194680A (zh) | 一种网络攻击识别方法、装置及设备 | |
| CN110933111B (zh) | 一种基于DPI的DDoS攻击识别方法及装置 | |
| CN108521408A (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| CN110557405B (zh) | 一种高交互ssh蜜罐实现方法 | |
| CN103944788B (zh) | 基于网络通信行为的未知木马检测方法 | |
| CN105991628A (zh) | 网络攻击的识别方法和装置 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN112769623A (zh) | 边缘环境下的物联网设备识别方法 | |
| US20220141252A1 (en) | System and method for data filtering in machine learning model to detect impersonation attacks | |
| Deraison et al. | Passive vulnerability scanning: Introduction to NeVO | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| Bahashwan et al. | Flow-based approach to detect abnormal behavior in neighbor discovery protocol (NDP) | |
| CN108566384A (zh) | 一种流量攻击防护方法、装置、防护服务器及存储介质 | |
| u Nisa et al. | Detection of slow port scanning attacks | |
| KR101072981B1 (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| Aljuhani et al. | Mitigation of application layer DDoS flood attack against web servers | |
| BR102020003105A2 (pt) | Método para detecção de servidores dns falsificados usando técnicas de aprendizado de máquina |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |