CN110808921A - 应用识别方法、系统及网络设备 - Google Patents
应用识别方法、系统及网络设备 Download PDFInfo
- Publication number
- CN110808921A CN110808921A CN201911069945.8A CN201911069945A CN110808921A CN 110808921 A CN110808921 A CN 110808921A CN 201911069945 A CN201911069945 A CN 201911069945A CN 110808921 A CN110808921 A CN 110808921A
- Authority
- CN
- China
- Prior art keywords
- application
- address
- network
- address field
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种应用识别方法、系统及网络设备,方法包括:设置IPv6中的任意地址段给应用,所述地址段用于标注应用属性;当任一应用请求入网时,将所述地址段和IP地址生成传输地址,并通过所述传输地址进行数据传输;网络设备收到报文后,通过所述报文中的IP部分识别出当前应用属性。实施本发明实施例所提供的技术方案,具有以下有益效果:(1)快速:软件(应用)的身份直接打印在IP中,识别快速;(2)灵活:可以通过读取不同的IP地址段过滤应用信息;(3)策略成熟且多:目前针对IP的策略已经很成熟,这些都可以直接应用到应用流量上;(4)易于推广:网络管理员无需学习新的内容,靠目前的IP知识就足够了。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种应用识别方法、系统及网络设备。
背景技术
网络安全是指网络系统的硬件、软件及其系统中的数据收到保护,不因偶然的或者恶意的原因遭受到破坏更改和泄露,系统可连续可靠地正常运行,网络服务不中断。目前,网络中各种流量混杂,网络设备对网络流量的识别麻烦,攻击防不胜防,难以保障网络安全。
发明内容
本发明实施例的目的在于提供一种应用识别方法、系统及网络设备,可快速识别流量所属的应用。
为实现上述目的,第一方面,本发明实施例提供了一种应用识别方法,包括:
设置IPv6中的任意地址段给应用,所述地址段用于标注应用属性;
当任一应用请求入网时,将所述地址段和IP地址生成传输地址,并通过所述传输地址进行数据传输;
网络设备收到报文后,通过所述报文中的IP部分识别出当前应用属性。
进一步地,所述方法还包括:
网络设备根据识别结果在应用层设置相应策略,所述相应策略包括隔离或许可入网或临时许可入网。
第二方面,本发明实施例提供了一种应用识别系统,包括外部设备和网络设备。其中,所述外部设备用于:
设置IPv6中的任意地址段给应用,所述地址段用于标注应用属性;
当任一应用请求入网时,将所述地址段和IP地址生成传输地址,并通过所述传输地址将数据传输至所述网络设备;
所述网络设备用于收到报文后,通过所述报文中的IP部分识别出当前应用属性。
进一步地,所述网络设备还用于:
根据识别结果在应用层设置相应策略,所述相应策略包括隔离或许可入网或临时许可入网。
第三方面,本发明实施例还提供了另一种应用识别方法,包括:
接收外部设备通过传输地址传送的报文,所述报文包括IP部分,所述传输地址由任一应用请求入网时、将地址段加入IP地址所生成,所述地址段用于标注应用属性,且所述地址段为IPv6地址的一部分;
根据所述IP部分识别出当前应用属性。
进一步地,所述方法还包括:
根据识别结果在应用层设置相应策略,所述相应策略包括隔离或许可入网或临时许可入网。
第四方面,本发明实施例还提供了一种网络设备,包括:
接收模块,用于接收外部设备通过传输地址传送的报文,所述报文包括IP部分,所述传输地址由任一应用请求入网时、将应用地址段加入IP地址所生成,所述应用地址段用于标注应用属性,且所述应用地址段为IPv6地址的一部分;
识别模块,用于根据所述IP部分识别出当前应用属性。
进一步地,所述网络设备还包括:
处理模块,用于根据识别结果在应用层设置相应策略,所述相应策略包括隔离或许可入网或临时许可入网。
第五方面,本发明实施例还提供了另一种网络设备,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行上述第三方面所述的方法。
实施本发明实施例所提供的技术方案,具有以下有益效果:
(1)快速:软件(应用)的身份直接打印在IP中,识别快速;
(2)灵活:可以通过读取不同的IP地址段过滤应用信息;
(3)策略成熟且多:目前针对IP的策略已经很成熟,这些都可以直接应用到应用流量上;
(4)易于推广:网络管理员无需学习新的内容,靠目前的IP知识就足够了。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。
图1是本发明一实施例提供的应用识别方法的示意流程图;
图2是本发明实施例提供的应用识别系统的结构框图;
图3是本发明另一实施例提供的应用识别方法的示意流程图;
图4是本发明实施例提供的网络设备的一种结构框图;
图5是本发明实施例提供的网络设备的另一种结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
为更好地理解本发明实施例,现对其发明构思进行如下描述:
从万物互联得来的灵感,从IPV6中划取一部分地址,在软件请求入网时,根据策略(可自定义,或公约,比如腾讯的软件IP永远以::1000::XXX为开头)在IP中注入应用地址段,此地址段在传输时不以寻址为目的,而是为了标注应用属性,例如:厂商,软件类型,版本等。网络设备在收到一个报文后,无需打开报文内容,在IP部分即可读取相当的应用属性,根据现有的IP技术,对应用层直接做策略。
请参考图1,是本发明第一实施例提供的应用识别方法的流程示意图。如图所示,该应用识别方法主要包括以下步骤:
S101,设置IPv6中的任意地址段给应用,所述地址段用于标注应用属性;
S102,当任一应用请求入网时,将所述地址段和IP地址生成传输地址,并通过所述传输地址进行数据传输;
S103,网络设备收到报文后,通过所述报文中的IP部分识别出当前应用属性。
S104,网络设备根据识别结果在应用层设置相应策略。
其中,所述相应策略包括但不仅限于隔离、许可入网、临时许可入网、QoS、策略路由或VPN等,其余依靠IP的访问控制列表实现的策略也属于本发明实施例所保护的范围之内,在此不做穷举。
基于上述方法,具体举例如下:A公司有一款视频软件,A公司IP网段为0db8,视频类软件IP网段为:3c4d,这款软件的IP地址就是0db8:3c4d,软件需要入网时,还需要加上物理主机的IP地址:1a2f:1a2b,这样此应用在传输时被看到的IP地址大概就是这样:0db8:3c4d::1a2f:1a2b,网络设备读取前半部分识别应用,后半部分识别主机地址。管理员可以配置网络设备在处理应用IP时,只读取厂商信息,配置策略:放行A公司软件即0db8,其他都禁止。
基于相同的发明构思,本发明实施例还提供一种应用识别系统。如图2所示,该系统包括外部设备100和网络设备200。其中,外部设备100用于:
设置IPv6中的任意地址段给应用,所述地址段用于标注应用属性;
当任一应用请求入网时,将所述地址段和IP地址生成传输地址,并通过所述传输地址将数据传输至所述网络设备200;
网络设备200用于:
收到报文后,通过所述报文中的IP部分识别出当前应用属性;
根据识别结果在应用层设置相应策略,所述相应策略包括隔离或许可入网或临时许可入网。
需要说明的是,该应用识别系统的具体工作流程可参考前述方法实施例部分,在此不再赘述。
进一步地,如图3所示,本发明实施例还提供了另一种应用识别方法。需要说明的是,图1所示的方法,其执行主体包括外部设备和网络设备,而图3所示的方法,其执行主体仅有网络设备这一端。
请参考图3,该应用识别方法主要包括:
S301,接收外部设备通过传输地址传送的报文。
其中,所述报文包括IP部分,所述传输地址由任一应用请求入网时、将地址段加入IP地址所生成,所述地址段用于标注应用属性,且所述地址段为IPv6地址的一部分;
S302,根据所述IP部分识别出当前应用属性。
S303,根据识别结果在应用层设置相应策略。
其中,所述相应策略包括隔离或许可入网或临时许可入网。
进一步地,对应于图3所示的应用识别方法,本发明实施例提供了一种网络设备。如图4所示,该网络设备包括:
接收模块10,用于接收外部设备通过传输地址传送的报文,所述报文包括IP部分,所述传输地址由任一应用请求入网时、将应用地址段加入IP地址所生成,所述应用地址段用于标注应用属性,且所述应用地址段为IPv6地址的一部分;
识别模块11,用于根据所述IP部分识别出当前应用属性;
处理模块12,用于根据识别结果在应用层设置相应策略,所述相应策略包括隔离或许可入网或临时许可入网。
作为本发明实施例的一种可选实施方式,如图5所示,网络设备可以包括:一个或多个处理器101、一个或多个输入设备102、一个或多个输出设备103和存储器104,上述处理器101、输入设备102、输出设备103和存储器104通过总线105相互连接。存储器104用于存储计算机程序,所述计算机程序包括程序指令,所述处理器101被配置用于调用所述程序指令执行如图3所示方法实施例部分的方法。
应当理解,在本发明实施例中,所称处理器101可以是中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
输入设备102可以包括键盘等,输出设备103可以包括显示器(LCD等)、扬声器等。
该存储器104可以包括只读存储器和随机存取存储器,并向处理器101提供指令和数据。存储器104的一部分还可以包括非易失性随机存取存储器。例如,存储器104还可以存储设备类型的信息。
具体实现中,本发明实施例中所描述的处理器101、输入设备102、输出设备103可执行本发明实施例提供的应用识别方法的实施例中所描述的实现方式,在此不再赘述。
综上,实施本发明实施例中的方法、系统和网络设备,具有以下有益效果:
(1)快速:软件(应用)的身份直接打印在IP中,识别快速;
(2)灵活:可以通过读取不同的IP地址段过滤应用信息;
(3)策略成熟且多:目前针对IP的策略已经很成熟,这些都可以直接应用到应用流量上;
(4)易于推广:网络管理员无需学习新的内容,靠目前的IP知识就足够了。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种应用识别方法,其特征在于,包括:
设置IPv6中的任意地址段给应用,所述地址段用于标注应用属性;
当任一应用请求入网时,将所述地址段和IP地址生成传输地址,并通过所述传输地址进行数据传输;
网络设备收到报文后,通过所述报文中的IP部分识别出当前应用属性。
2.如权利要求1所述的应用识别方法,其特征在于,所述方法还包括:
网络设备根据识别结果在应用层设置相应策略,所述相应策略包括隔离或许可入网或临时许可入网。
3.一种应用识别系统,包括外部设备和网络设备,其特征在于,所述外部设备用于:
设置IPv6中的任意地址段给应用,所述地址段用于标注应用属性;
当任一应用请求入网时,将所述地址段和IP地址生成传输地址,并通过所述传输地址将数据传输至所述网络设备;
所述网络设备用于收到报文后,通过所述报文中的IP部分识别出当前应用属性。
4.如权利要求3所述的应用识别系统,其特征在于,所述网络设备还用于:
根据识别结果在应用层设置相应策略,所述相应策略包括隔离或许可入网或临时许可入网。
5.一种应用识别方法,其特征在于,包括:
接收外部设备通过传输地址传送的报文,所述报文包括IP部分,所述传输地址由任一应用请求入网时、将地址段加入IP地址所生成,所述地址段用于标注应用属性,且所述地址段为IPv6地址的一部分;
根据所述IP部分识别出当前应用属性。
6.如权利要求5所述的应用识别方法,其特征在于,所述方法还包括:
根据识别结果在应用层设置相应策略,所述相应策略包括隔离或许可入网或临时许可入网。
7.一种网络设备,其特征在于,包括:
接收模块,用于接收外部设备通过传输地址传送的报文,所述报文包括IP部分,所述传输地址由任一应用请求入网时、将应用地址段加入IP地址所生成,所述应用地址段用于标注应用属性,且所述应用地址段为IPv6地址的一部分;
识别模块,用于根据所述IP部分识别出当前应用属性。
8.如权利要求7所述的网络设备,其特征在于,所述网络设备还包括:
处理模块,用于根据识别结果在应用层设置相应策略,所述相应策略包括隔离或许可入网或临时许可入网。
9.一种网络设备,其特征在于,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求5或6所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911069945.8A CN110808921B (zh) | 2019-11-05 | 2019-11-05 | 应用识别方法、系统及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911069945.8A CN110808921B (zh) | 2019-11-05 | 2019-11-05 | 应用识别方法、系统及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110808921A true CN110808921A (zh) | 2020-02-18 |
| CN110808921B CN110808921B (zh) | 2023-01-03 |
Family
ID=69501078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911069945.8A Active CN110808921B (zh) | 2019-11-05 | 2019-11-05 | 应用识别方法、系统及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110808921B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102547609A (zh) * | 2010-12-29 | 2012-07-04 | 中国移动通信集团公司 | 向业务平台传送用户信息的方法及装置 |
| CN103297270A (zh) * | 2013-05-24 | 2013-09-11 | 华为技术有限公司 | 应用类型识别方法及网络设备 |
| CN103685601A (zh) * | 2013-12-10 | 2014-03-26 | 华为技术有限公司 | 应用识别方法及装置 |
| CN103841024A (zh) * | 2012-11-27 | 2014-06-04 | 中国电信股份有限公司 | 一种家庭网关实现数据分流的方法和家庭网关 |
| CN103856414A (zh) * | 2012-11-29 | 2014-06-11 | 中国电信股份有限公司 | IPv6 数据包服务质量处理方法及设备 |
| CN103873356A (zh) * | 2012-12-11 | 2014-06-18 | 中国电信股份有限公司 | 基于家庭网关的应用识别方法、系统和家庭网关 |
| CN103986659A (zh) * | 2014-05-22 | 2014-08-13 | 苏州太游信息科技有限公司 | 针对应用的智能路由方法 |
| CN105589749A (zh) * | 2014-12-30 | 2016-05-18 | 中国银联股份有限公司 | 云计算环境下的网络ip资源分配方法及装置 |
| CN107547437A (zh) * | 2017-05-11 | 2018-01-05 | 新华三信息安全技术有限公司 | 应用识别方法及装置 |
| CN108243192A (zh) * | 2018-01-11 | 2018-07-03 | 世纪龙信息网络有限责任公司 | 应用访问网络的识别方法和系统 |
| CN109905325A (zh) * | 2019-03-13 | 2019-06-18 | 厦门网宿有限公司 | 一种流量引导方法及流量识别设备 |
-
2019
- 2019-11-05 CN CN201911069945.8A patent/CN110808921B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102547609A (zh) * | 2010-12-29 | 2012-07-04 | 中国移动通信集团公司 | 向业务平台传送用户信息的方法及装置 |
| CN103841024A (zh) * | 2012-11-27 | 2014-06-04 | 中国电信股份有限公司 | 一种家庭网关实现数据分流的方法和家庭网关 |
| CN103856414A (zh) * | 2012-11-29 | 2014-06-11 | 中国电信股份有限公司 | IPv6 数据包服务质量处理方法及设备 |
| CN103873356A (zh) * | 2012-12-11 | 2014-06-18 | 中国电信股份有限公司 | 基于家庭网关的应用识别方法、系统和家庭网关 |
| CN103297270A (zh) * | 2013-05-24 | 2013-09-11 | 华为技术有限公司 | 应用类型识别方法及网络设备 |
| CN103685601A (zh) * | 2013-12-10 | 2014-03-26 | 华为技术有限公司 | 应用识别方法及装置 |
| CN103986659A (zh) * | 2014-05-22 | 2014-08-13 | 苏州太游信息科技有限公司 | 针对应用的智能路由方法 |
| CN105589749A (zh) * | 2014-12-30 | 2016-05-18 | 中国银联股份有限公司 | 云计算环境下的网络ip资源分配方法及装置 |
| CN107547437A (zh) * | 2017-05-11 | 2018-01-05 | 新华三信息安全技术有限公司 | 应用识别方法及装置 |
| CN108243192A (zh) * | 2018-01-11 | 2018-07-03 | 世纪龙信息网络有限责任公司 | 应用访问网络的识别方法和系统 |
| CN109905325A (zh) * | 2019-03-13 | 2019-06-18 | 厦门网宿有限公司 | 一种流量引导方法及流量识别设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110808921B (zh) | 2023-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2011350978B2 (en) | Method and device for controlling access to a computer system | |
| US9363285B2 (en) | Communication system, network for qualification screening/setting, communication device, and network connection method | |
| CN103069771B (zh) | 用于可管理性、安全路由和端点访问的方法、装置和系统 | |
| US7657932B2 (en) | Extendible security token management architecture and secure message handling methods | |
| DE102004062203B4 (de) | Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung | |
| CN109600441B (zh) | 联盟链信息发布控制方法及终端设备 | |
| US20090006847A1 (en) | Filtering kernel-mode network communications | |
| CN105610839A (zh) | 一种终端接入网络的控制方法及装置 | |
| CN111147425A (zh) | 数据访问处理方法、装置、设备以及存储介质 | |
| CN117195231A (zh) | 可信dcs控制器实时操作系统的安全防护方法、系统及介质 | |
| CN106664535A (zh) | 一种信息发送方法、装置、终端设备以及系统 | |
| EP2232402B1 (en) | Method for moving rights object and method for managing rights of issuing rights object and system thereof | |
| CN108702618A (zh) | 无线外围管理 | |
| US20120304290A1 (en) | Cyber isolation, defense, and management of a inter-/intra- enterprise network | |
| CN106302519A (zh) | 一种网络安全性管理的方法及终端 | |
| CN110808921B (zh) | 应用识别方法、系统及网络设备 | |
| CN116881987A (zh) | Pcie设备直通虚拟机的方法、装置及相关设备 | |
| CN110245527A (zh) | 一种usb端口权限管理方法和装置以及设备 | |
| CN112417402B (zh) | 权限控制方法、权限控制装置、权限控制设备及存储介质 | |
| US11704412B2 (en) | Methods and systems for distribution and integration of threat indicators for information handling systems | |
| CN104753924B (zh) | 一种基于动态透明隔离防护的企业数据资产保护方法 | |
| US20160378982A1 (en) | Local environment protection method and protection system of terminal responding to malicious code in link information | |
| TWI802804B (zh) | 多資安軟體之資訊安全管理系統 | |
| EP2710780B1 (en) | Network access control system and method | |
| JP5835022B2 (ja) | 配信装置、配信処理方法及びプログラム、並びに情報処理装置、情報処理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |