CN113923170A - 一种应用识别管理方法及系统 - Google Patents

一种应用识别管理方法及系统 Download PDF

Info

Publication number
CN113923170A
CN113923170A CN202111163624.1A CN202111163624A CN113923170A CN 113923170 A CN113923170 A CN 113923170A CN 202111163624 A CN202111163624 A CN 202111163624A CN 113923170 A CN113923170 A CN 113923170A
Authority
CN
China
Prior art keywords
application
management
identification
strategy
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111163624.1A
Other languages
English (en)
Inventor
杨战红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202111163624.1A priority Critical patent/CN113923170A/zh
Publication of CN113923170A publication Critical patent/CN113923170A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Stored Programmes (AREA)

Abstract

本申请公开了一种应用识别管理方法,应用于终端设备,包括接收管理平台服务端下发的应用识别规则与应用管理策略;利用所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控;该应用识别管理方法可以提高应用识别结果的准确性,进一步实现了对应用软件的有效管理。本申请还公开了其他多种应用识别管理方法、应用识别管理系统、计算机设备以及计算机可读存储介质,也具有上述有益效果。

Description

一种应用识别管理方法及系统
技术领域
本申请涉及计算机技术领域,特别涉及一种应用识别管理方法,还涉及他多种应用识别管理方法、应用识别管理系统、计算机设备以及计算机可读存储介质。
背景技术
当企业需要实行封堵某款应用时,需要快速识别出该应用并及时封堵,例如,目前很多企业需要监管员工运行了哪些应用软件,并对相应的应用软件进行管控。相关技术中,都是通过网络侧对应用进行识别和管控,但是,由于网络的复杂性,存在误判和被绕过的风险,严重降低了应用识别结果的准确性,无法对应用软件进行有效管理。
因此,如何提高应用识别结果的准确性,进而实现应用软件的有效管理是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种应用识别管理方法,该应用识别管理方法可以提高应用识别结果的准确性,进一步实现了对应用软件的有效管理;本申请的另一目的是提供其他多种应用识别管理方法、应用识别管理系统、计算机设备以及计算机可读存储介质,也具有上述有益效果。
第一方面,本申请提供了一种应用识别管理方法,应用于终端设备,包括:
接收管理平台服务端下发的应用识别规则与应用管理策略;
利用所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
优选的,所述利用所述应用识别规则对应用进程中运行的应用进行识别,包括:
获取所述应用进程对应的第一标识信息;
将所述第一标识信息与所述应用识别规则进行匹配,根据匹配结果确定所述应用进程运行的应用。
优选的,所述获取所述应用进程对应的第一标识信息,包括:
利用驱动层程序获取所述第一标识信息。
优选的,所述利用驱动层程序获取所述第一标识信息,包括:
在通过所述驱动层程序监控到应用进程创建的情况下,通过所述驱动层程序对创建的应用进程进行挂起;
在挂起所述应用进程期间,获取所述应用进程对应的第一标识信息。
优选的,所述第一标识信息包括所述应用进程对应的安装文件信息、文件静态特征信息和/或文件动态特征信息。
优选的,所述利用所述应用管理策略对识别到的应用进行管控,包括:
确定所述应用管理策略中与所述识别到的应用对应的管控操作;
利用所述管控操作对所述应用进行管控。
第二方面,本申请提供了另一种应用识别管理方法,应用于终端设备,所述终端设备存储有预设标识和第一应用管理策略之间的对应关系,包括:
获取应用进程对应的第二标识信息;
利用所述第二标识信息查找所述对应关系,在查找到所述第二标识信息对应的第一应用管理策略的情况下,利用所述第一应用管理策略对所述第二标识信息对应的应用进程中运行的应用进行管控。
优选的,所述终端设备还存储有应用和第二应用管理策略之间的对应关系,还包括:
在未查找到所述第二标识信息对应的第一应用管理策略的情况下,获取所述应用进程对应的第三标识信息;
根据所述第三标识信息与获取的应用识别规则对所述应用进程中运行的应用进行识别,利用第二应用管理策略对识别到的应用进行管控。
优选的,所述利用第二应用管理策略对识别到的应用进行管控之后,还包括:
将所述应用对应的第二标识信息和所述应用对应的第二应用管理策略添加到所述预设标识和第一应用管理策略之间的对应关系中。
第三方面,本申请提供了又一种应用识别管理方法,应用于管理平台服务端,包括:
接收应用识别规则与应用管理策略;
将所述应用识别规则与所述应用管理策略下发至各终端设备,以使各所述终端设备利用所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
优选的,所述应用识别管理方法还包括:
接收更新后应用管理策略;
将所述更新后应用管理策略与当前应用管理策略进行对比,确定变更应用管理策略;
将所述更应用管理策略下发至各所述终端设备。
优选的,所述应用识别管理方法还包括:
将预设配置文件下发至各所述终端设备,以获取各所述终端设备按照所述预设配置文件中的信息上报规则反馈的应用识别管理结果。
优选的,所述应用识别管理方法还包括:
采用增量存储方式将各所述应用识别管理结果存储至服务端存储区域。
第四方面,本申请提供了再一种应用识别管理方法,应用于网络安全设备,包括:
将应用识别规则与应用管理策略下发至管理平台,以通过管理平台服务端发送至各终端设备,以使各所述终端设备利用所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
优选的,所述应用识别管理方法还包括:
通过所述管理平台服务端获取所述应用管理策略在所述终端设备上的生效信息。
优选的,所述应用识别管理方法还包括:
通过所述管理平台服务端获取所述终端设备上的应用识别管理结果。
优选的,所述应用识别规则由云端构建并下发至所述网络安全设备;所述应用管理策略由所述网络安全设备构建。
第五方面,本申请提供了还一种应用识别管理方法,应用于云平台,包括:
将应用识别规则与应用管理策略下发至管理平台,以通过管理平台服务端发送至各终端设备,以使各所述终端设备利用所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
第六方面,本申请提供了一种应用识别管理系统,包括:
网络安全设备,用于下发应用识别规则和应用管理策略至管理平台服务端;
所述管理平台服务端,用于将所述应用识别规则和所述应用管理策略下发至各终端设备;
各所述终端设备,用于所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
第七方面,本申请提供了另一种应用识别管理系统,包括:
云平台,用于下发应用识别规则和应用管理策略至管理平台服务端;
所述管理平台服务端,用于将所述应用识别规则和所述应用管理策略下发至各终端设备;
各所述终端设备,用于所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
第八方面,本申请提供了一种计算机设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的任意一种应用识别管理方法的步骤。
第九方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任意一种应用识别管理方法的步骤。
本申请所提供的一种应用识别管理方法,应用于终端设备,包括接收管理平台服务端下发的应用识别规则与应用管理策略;利用所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
可见,本申请所提供的应用识别管理方法,由管理平台服务端向各终端设备下发应用识别规则和应用管理策略,其中,应用识别规则用于实现应用识别,应用管理策略用于实现应用管控,由此,实现了通过终端侧信息识别和管控应用进程中所运行的应用的方案,相较于通过网络侧识别和管控应用的实现方法,该技术方案可以有效减少误判和被绕过的风险,提高了应用识别结果的准确性,进一步实现了对应用软件的有效管理。
本申请所提供的其他多种应用识别管理方法、应用识别管理系统、计算机设备以及计算机可读存储介质,也都具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为本申请所提供的第一种应用识别管理方法的流程示意图;
图2为本申请所提供的第二种应用识别管理方法的流程示意图;
图3为本申请所提供的第三种应用识别管理方法的流程示意图;
图4为本申请所提供的第四种应用识别管理方法的流程示意图;
图5为本申请所提供的第五种应用识别管理方法的流程示意图;
图6为本申请所提供的一种应用识别管理系统的结构示意图;
图7为本申请所提供的一种应用识别管理方法的时序图;
图8为本申请所提供的一种数据信息上传与下发方法的时序图。
具体实施方式
本申请的核心是提供一种应用识别管理方法,该应用识别管理方法可以提高应用识别结果的准确性,进一步实现了对应用软件的有效管理;本申请的另一核心是提供其他多种应用识别管理方法、应用识别管理系统、计算机设备以及计算机可读存储介质,也具有上述有益效果。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供的第一种应用识别管理方法。
请参考图1,图1为本申请所提供的第一种应用识别管理方法的流程示意图,该应用识别管理方法应用于终端设备,可包括:
S101:接收管理平台服务端下发的应用识别规则与应用管理策略;
本步骤旨在由管理平台服务端将应用识别规则与应用管理策略下发至各终端设备,以便于各终端设备可以利用应用识别规则与应用管理策略对自身应用进程中所运行的应用进行识别管理。其中,应用识别规则用于对应用进程中运行的应用进行识别,应用管理策略则用于对应用进程中运行的应用进行管控。
在具体实现过程中,可以通过云平台或网络安全设备(如AF-防火墙、AC-上网行为管理、态势感知平台等)构建各应用识别规则与各应用管理策略,然后将二者共同下发至管理平台服务端,再由管理平台服务端转发至当前管理平台下的各终端设备,以便于基于终端侧实现应用进程中运行应用的识别与管理。
可以理解的是,管理平台一般包括一个管理平台服务端与多台终端设备,且各终端设备均与管理平台服务端相连接(无线连接或有线连接),以便于管理平台服务端对管理平台下的所有终端设备进行管理。
S102:利用应用识别规则对应用进程中运行的应用进行识别,利用应用管理策略对识别到的应用进行管控。
本步骤旨在基于终端设备实现应用进程中运行应用的识别与管理,对于各终端设备而言,当接收到应用识别规则与应用管理策略之后,即可利用应用识别规则对应用进程中所运行的应用进行识别,以确定应用类别;利用应用管理策略对识别到的应用进行管控,如放行或阻断应用进程等。
可以理解的是,应用识别规则与应用管理策略的数量一般为多个,不同的应用识别规则可用于实现不同类别的应用识别,不同的应用管理策略可用于实现不同形式的应用管理。因此,在S101中应用识别规则与应用管理策略的下发过程中,可以以规则库和策略库的形式进行下发。
作为一种优选实施例,上述利用应用识别规则对应用进程中运行的应用进行识别,可以包括:获取应用进程对应的第一标识信息;将第一标识信息与应用识别规则进行匹配,根据匹配结果确定应用进程运行的应用。
本优选实施例所提供的应用识别管理方法,可以通过应用进程的标识信息(上述第一标识信息)实现应用进程中运行应用的识别。具体而言,可以先采集应用进程对应的第一标识信息,进而将其与各应用识别规则进行匹配,当第一标识信息与某一应用识别规则匹配成功时,该匹配成功的应用识别规则对应的应用类别即为当前应用进程中所运行的应用的类别,由此,实现应用识别。其中,第一标识信息用于实现应用识别规则匹配,以确定应用类别,其具体类型并不影响本技术方案的实施,例如,可以为应用进程的各类特征信息等。
作为一种优选实施例,上述获取应用进程对应的第一标识信息,可以包括:利用驱动层程序获取第一标识信息。
本优选实施例提供了一种获取第一标识信息的实现方法,即基于驱动层程序实现,当驱动层程序监控到系统内有应用程序进行创建时,即可采集获得该应用进程的第一标识信息。可以理解的是,当监控应用进程启动的功能模块位于驱动层时,可以尽可能快地获取到应用进程启动的信息,从而实现更快速的应用管控。
作为一种优选实施例,上述利用驱动层程序获取第一标识信息,可以包括:在通过驱动层程序监控到应用进程创建的情况下,通过驱动层程序对创建的应用进程进行挂起;在挂起应用进程期间,获取应用进程对应的第一标识信息。
本优选实施例提供了一种基于驱动层程序获取第一标识信息的实现方法。具体而言,当驱动层程序监控到应用进程创建时,可首先将其挂起,暂时停止该应用进程的运行,并在应用进程挂起期间获取其第一标识信息以进入后续应用识别规则匹配流程,从而可以有效避免当对应的应用管理策略为阻止策略时,而应用进程已经运行的情况发生。
作为一种优选实施例,上述第一标识信息可以包括应用进程对应的安装文件信息、文件静态特征信息和/或文件动态特征信息。
本优选实施例提供了几种具体类型的第一标识信息,分别为应用进程对应的安装文件信息、文件静态特征信息以及文件动态特征信息。
其中,应用进程对应的安装文件信息具体可以包括该安装文件的安装路径和该安装文件的最后修改时间。具体而言,由于现有的恶意应用程序可能会通过修改进程名来规避检测,因此,基于进程名进行应用进程检测的准确率较低;基于此,采用应用程序对应的安装文件的相关信息进行应用进程检测,可以在很大程度上避免恶意应用程序的规避检测,进一步提高恶意应用程序的检出率。
其中,文件静态特征信息可以包括窗口标题(wndTitle)、进程名(processName)、签名信息(signature)、文件说明(description)、产品名称(productName)、原始文件名(oriFileName)、文件特征值(如sha256)、窗口类(wndClass)以及服务名(serviceName)至少之一。可以理解的是,由于窗口标题是在代码开发阶段直接将其写入代码中的,因此,窗口标题具有不易被篡改的特性,并且,有很多文件可能没有原始文件名等静态信息,但一定包含有窗口标题,因此,将窗口标题作为应用特征信息进而实现应用进程识别,能够在一定程度上提高识别准确率和降低误报率。
其中,文件动态属性信息可以包括更改系统代理开关、更改DNS(Domain NameSystem,域名系统)配置或网络配置、访问异常域名或网址的多种行为中至少之一。这里所举例的动态属性信息为一些代理上网软件的行为信息,通过这些行为可以检测代理软件。
显然,文件静态特征信息和文件动态属性信息的种类和数量越多,越可以提高应用识别结果的准确性。并且,将静态属性和动态属性相结合,可以实现利用多个维度的应用特征信息对应用进程进行识别,进一步提高了应用识别结果的准确性。
作为一种优选实施例,上述利用应用管理策略对识别到的应用进行管控,可以包括:确定应用管理策略中与识别到的应用对应的管控操作;利用管控操作对应用进行管控。
本优选实施例提供了一种基于应用管理策略进行应用管控的实现方法。具体而言,当基于应用识别规则实现应用识别,确定应用类别后,即可在应用管理策略中确定该类别应用对应的管控操作,进而利用该管控操作对应用进行管控。其中,管控操作可以包括但不限于放行应用进程、阻止应用进程或进行告警等。
可见,本申请实施例所提供的应用识别管理方法,由管理平台服务端向各终端设备下发应用识别规则和应用管理策略,其中,应用识别规则用于实现应用识别,应用管理策略用于实现应用管控,由此,实现了通过终端侧信息识别和管控应用进程中所运行的应用的方案,相较于通过网络侧识别和管控应用的实现方法,该技术方案可以有效减少误判和被绕过的风险,提高了应用识别结果的准确性,进一步实现了对应用软件的有效管理。
本申请实施例提供的第二种应用识别管理方法。
请参考图2,图2为本申请所提供的第二种应用识别管理方法的流程示意图,该应用识别管理方法应用于终端设备,且终端设备存储有预设标识和第一应用管理策略之间的对应关系,方法可包括:
S201:获取应用进程对应的第二标识信息;
S202:利用第二标识信息查找对应关系,在查找到第二标识信息对应的第一应用管理策略的情况下,利用第一应用管理策略对第二标识信息对应的应用进程中运行的应用进行管控。
具体而言,可预先在终端设备中设置预设标识与第一应用管理策略之间的对应关系,其中,预设标识即为已知应用类别的应用进程对应的第二标识信息,第一应用策略则用于对已知应用类别的应用进程中所运行的应用进行管控。换而言之,也就是将各已知应用类别的应用进程对应的第二标识信息与其对应的第一应用管理策略进行相互对应,生成对应关系。
可以想到的是,由于对应关系中的各预设标识对应的应用进程均为已知应用类别的应用进程,因此,在获得第二标识信息后,如若该第二标识信息命中该对应关系,则无需再进行应用识别,直接利用命中的第一管理策略进行应用管控即可,极大地提高了应用识别管理效率。
在具体实现过程中,当监控到应用进程的创建时,可以先采集获取该应用进程的第二标识信息,进一步,如若在上述对应关系中查询获得该第二标识信息对应的第一应用管理策略,则可以直接利用该第一管理策略对该应用进程中所运行的应用进行管控。
其中,第二标识信息类似于上一实施例中的第一标识信息,二者具体内容可相同,也可以不同,可实现第一应用管理策略匹配查询即可,本申请对此不做限定。需要说明的是,本申请所提到的诸如“第一”、“第二”、“第三”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
作为一种优选实施例,上述终端设备还存储有应用和第二应用管理策略之间的对应关系,该方法还可包括:在未查找到第二标识信息对应的第一应用管理策略的情况下,获取应用进程对应的第三标识信息;根据第三标识信息与获取的应用识别规则对应用进程中运行的应用进行识别,利用第二应用管理策略对识别到的应用进行管控。
如上所述,在上述预设标识和第一应用管理策略之间的对应关系中,各预设标识对应的应用进程均为已知应用类别的应用进程,因此,在获得第二标识信息后,如若该第二标识信息命中该对应关系,则无需进行应用识别,直接利用命中的第一管理策略进行应用管控即可。但是,如若应用进程对应的第二标识信息未命中预设标识和第一应用管理策略之间的对应关系,则将无法实现应用识别管理。
因此,为解决上述问题,可同时在终端设备中设置应用和第二应用管理策略之间的对应关系,由此,如若当前应用进程对应的第二标识信息未命中上述预设标识和第一应用管理策略之间的对应关系,则可以采集获取该应用进程对应的第三标识信息,并将其与获取的各应用识别规则进行匹配,当第三标识信息与某一应用识别规则匹配成功时,该匹配成功的应用识别规则对应的应用类别即为当前应用进程中所运行的应用的类别,由此,实现应用识别;进一步,在实现应用识别确定应用类别后,即可在应用和第二应用管理策略之间的对应关系中查询获得该类别应用对应的第二应用管理策略,从而基于该第二应用管理策略实现应用管控。
作为一种优选实施例,上述利用第二应用管理策略对识别到的应用进行管控之后,还可以包括:将应用对应的第二标识信息和应用对应的第二应用管理策略添加到预设标识和第一应用管理策略之间的对应关系中。
本优选实施例所提供的应用识别管理方法可用于实现上述预设标识和第一应用管理策略之间的对应关系的更新。具体而言,在利用第二应用管理策略完成应用管控之后,即可将该应用进程对应的第二标识信息与该第二应用管理策略添加至上述预设标识和第一应用管理策略之间的对应关系中,从而实现预设标识和第一应用管理策略之间的对应关系的更新。由此,当再次监控到该类别的应用进程创建时,则可以直接命中该预设标识和第一应用管理策略之间的对应关系,无需再基于应用识别规则进行应用识别,有效地提高了应用识别效率以及管理效率。
需要说明的是,本申请实施例中用于实现应用识别管理方法的终端设备,同样可以实现上一实施例中终端设备所实现的各类功能,本申请实施例在此不再赘述。
可见,本申请实施例所提供的应用识别管理方法,预先在终端设备设置已知类别的应用进程的第二标识信息与第一应用管理策略之间的对应关系,以便于在新建应用进程命中该对应关系时,可直接利用命中的第一应用管理策略进行应用管控,无需再进行应用识别,极大地提高了应用识别管理效率。
本申请实施例提供的第三种应用识别管理方法。
请参考图3,图3为本申请所提供的第三种应用识别管理方法的流程示意图,该应用识别管理方法应用于管理平台服务端,可包括:
S301:接收应用识别规则与应用管理策略;
S302:将应用识别规则与应用管理策略下发至各终端设备,以使各终端设备利用应用识别规则对应用进程中运行的应用进行识别,利用应用管理策略对识别到的应用进行管控。
本申请实施例从管理平台服务端角度对应用识别管理方法进行介绍。具体而言,当管理平台服务端接收到应用识别规则与应用管理策略之后,即可将二者共同下发至当前管理平台下的各终端设备,以便于各终端设备可以利用应用识别规则与应用管理策略对自身应用进程中所运行的应用进行识别管理。其中,应用识别规则与应用管理策略可以由云平台或者网络安全设备进行构建和下发。此外,各终端设备利用应用识别规则与应用管理策略对自身应用进程中所运行的应用进行识别管理的具体过程参照前述实施例即可,本申请在此不再赘述。
作为一种优选实施例,该应用识别管理方法还可以包括:接收更新后应用管理策略;将更新后应用管理策略与当前应用管理策略进行对比,确定变更应用管理策略;将更应用管理策略下发至各终端设备。
本优选实施例所提供的应用识别管理方法可实现应用管理策略的快速更新,其中,应用管理策略的更新具体可以包括策略的增加、删除、修改等。可以理解的是,在应用管理策略的更新过程中,不一定是更新所有的应用管理策略,也就是说,可能仅对部分应用管理策略进行更新,在此情况下,管理平台服务端可以仅对发生变更的部分应用管理策略进行下发,而无需下发所有的应用管理策略,从而可以有效提高应用管理策略的更新效率。
在具体实现过程中,当管理平台服务端接收到初始的应用管理策略后,可将其保存至相应的服务端存储区域;进一步,当管理平台服务端再次接收到更新后的应用管理策略时,即可将该将更新后应用管理策略与服务端存储区域中原始存储的应用管理策略进行对比分析,从而确定变更应用管理策略,也就是确定服务端存储区域中仅发生变更的部分应用管理策略,此时,只需将变更应用管理策略下发至各终端设备,而无需下发所有的应用管理策略,有效地提高了策略更新效率。
其中,服务端存储区域的具体类型同样不影响本技术方案的实施,可以为容器、数据库、内存等,本申请对此不做限定。
可以理解的是,上述应用管理策略的更新方法同样适用于应用识别规则的更新,同样可以有效提高终端设备中应用识别规则的更新效率。当然,应用识别规则与应用管理策略在管理平台服务端可以存储于同一区域,也可以存储于不同区域,本申请对此不做限定。
作为一种优选实施例,该应用识别管理方法还可以包括:将预设配置文件下发至各终端设备,以获取各终端设备按照预设配置文件中的信息上报规则反馈的应用识别管理结果。
具体而言,为便于管理平台服务端可以及时有效地获知各应用进程的应用识别管理结果,可预先设置配置文件(即上述预设配置文件)并将其与应用识别规则和应用管理策略一同下发至各终端设备中,其中,该预设配置文件中配置有终端设备上报各类信息的各类规则(即上述信息上报规则),由此,各终端设备即可通过解析该预设配置文件获得信息上报规则,并按照该信息上报规则将各应用进程对应的应用识别管理结果上传至管理平台服务端。当然,类似于上述应用识别规则和应用管理策略,该预设配置文件同样可以是由云平台或网络安全设备进行构建并下发至管理平台服务端中的。
需要说明的是,预设配置文件中的具体内容由技术人员根据实际需求进行设定即可,本申请对此不做限定,例如,可以包括上传内容设定、上传方式设定等。其中,上传内容即为上述应用识别管理结果,可以包括但不限于各应用进程的识别结果、管控结果、进程创建时间、进程管控时间等;上传方式可包括定时上传、及时上传以及不上传,具体可以为某些设定信息需要立即上传、某些设定信息可以定时上传、某些设定信息可以不上传等。
作为一种优选实施例,该应用识别管理方法还可以包括:采用增量存储方式将各应用识别管理结果存储至服务端存储区域。
本优选实施例提供了一种应用识别管理结果的存储方法,即基于增量存储方式将各终端设备上传的各应用识别管理结果存储至服务端存储区域。其中,增量存储即为增量备份,增量备份是备份的一个类型,是指在一次全备份或上一次增量备份后,以后每次的备份只需备份与前一次相比增加或者被修改的文件。也就是说,对于一个终端设备中同一个应用进程,只会保存一条应用识别管理结果,以有效节省存储空间。因此,对于管理平台服务端而言,其所存储的只是最近一段时间内的应用识别管理结果。
需要说明的是,本申请实施例中用于进行应用识别管理的终端设备,同样可以实现上述各实施例中终端设备所实现的各类功能,本申请实施例在此不再赘述。
可见,本申请所提供的应用识别管理方法,由管理平台服务端向各终端设备下发应用识别规则和应用管理策略,其中,应用识别规则用于实现应用识别,应用管理策略用于实现应用管控,由此,实现了通过终端侧信息识别和管控应用进程中所运行的应用的方案,相较于通过网络侧识别和管控应用的实现方法,该技术方案可以有效减少误判和被绕过的风险,提高了应用识别结果的准确性,进一步实现了对应用软件的有效管理。
本申请实施例提供的第四种应用识别管理方法。
请参考图4,图4为本申请所提供的第四种应用识别管理方法的流程示意图,该应用识别管理方法应用于网络安全设备,可包括:
S401:将应用识别规则与应用管理策略下发至管理平台,以通过管理平台服务端发送至各终端设备,以使各终端设备利用应用识别规则对应用进程中运行的应用进行识别,利用应用管理策略对识别到的应用进行管控。
本申请实施例从网络安全设备角度对应用识别管理方法进行介绍。具体而言,可以由网络安全设备下发应用识别规则与应用管理策略至管理平台,从而通过管理平台服务端将二者转发至当前管理平台下的各终端设备,以便于各终端设备可以利用应用识别规则与应用管理策略对自身应用进程中所运行的应用进行识别管理。由此,即便是在管理平台无法连网的情况下,同样可实现应用识别规则与应用管理策略的下发,进而实现应用识别管理。
其中,应用识别规则与应用管理策略可以由网络安全设备进行构建,也可以由云端进行构建并下发至网络安全设备中,本申请对此不做限定。
同样的,各终端设备利用应用识别规则与应用管理策略对自身应用进程中所运行的应用进行识别管理的具体过程参照前述实施例即可,本申请在此不再赘述。
作为一种优选实施例,该应用识别管理方法还可以包括:通过管理平台服务端获取应用管理策略在终端设备上的生效信息。
为确保各应用管理策略下发至终端设备后可以正常生效,进而保证终端设备的正常运行,各终端设备在接收到应用管理策略后,可将其保存至相应的终端存储区域。进一步,在完成策略存储后,即可返回生效信息至管理平台服务端,以告知管理平台服务端当前获取的应用管理策略已经生效,正在处于正常运行状态。其中,管理平台服务端设置有服务接口,用于与网络安全设备进行信息通信,因此,对于网络安全设备而言,则可以通过该服务接口获取应用管理策略的生效信息,确定其生效状态。
同样的,上述关于应用管理策略在终端设备上的生效判定同样适用于应用识别规则,即网络安全设备同样可以通过管理平台服务端获取应用识别规则在终端设备上的生效信息。并且,应用识别规则与应用管理策略在终端设备上可以存储于同一区域,也可以存储于不同区域,本申请对此不做限定。
作为一种优选实施例,该应用识别管理方法还可以包括:通过管理平台服务端获取终端设备上的应用识别管理结果。
具体而言,为便于及时有效地获知应用识别管理结果,网络安全设备同样可以通过管理平台服务端的服务接口获取终端设备上传至管理平台服务端的应用识别管理结果。
作为一种优选实施例,应用识别规则可以由云端构建并下发至网络安全设备;应用管理策略可以由网络安全设备构建。
本优选实施例提供了一种应用识别规则和应用管理策略的构建方法,其中,应用识别规则可以由云端构建,并下发至网络安全设备中,其中,云端可以定时对应用识别规则进行更新;应用管理策略可以直接在网络安全设备中构建。由此,网络安全设备在获取到云端下发的应用识别规则后,即可将其与应用管理策略共同下发至管理平台服务端。可以理解的是,在初次下发应用识别规则和应用管理策略时,可以将二者同时进行下发,但是,当应用识别规则和应用管理策略中的任意一个发生更新时,只需下发更新的应用识别规则或只需下发更新的应用管理策略即可。
需要说明的是,本申请实施例中用于进行应用识别管理的终端设备和管理平台服务端,同样可以实现上述各实施例中终端设备和管理平台服务端所实现的各类功能,本申请实施例在此不再赘述。
可见,本申请所提供的应用识别管理方法,由网络安全设备下发应用识别规则与应用管理策略至管理平台,进而通过管理平台服务端将二者转发至各终端设备中,其中,应用识别规则用于实现应用识别,应用管理策略用于实现应用管控,由此,实现了通过终端侧信息识别和管控应用进程中所运行的应用的方案,相较于通过网络侧识别和管控应用的实现方法,该技术方案可以有效减少误判和被绕过的风险,提高了应用识别结果的准确性,进一步实现了对应用软件的有效管理。
本申请实施例提供的第五种应用识别管理方法。
请参考图5,图5为本申请所提供的第五种应用识别管理方法的流程示意图,该应用识别管理方法应用于云平台,可包括:
S501:将应用识别规则与应用管理策略下发至管理平台,以通过管理平台服务端发送至各终端设备,以使各终端设备利用应用识别规则对应用进程中运行的应用进行识别,利用应用管理策略对识别到的应用进行管控。
本申请实施例从云平台角度对应用识别管理方法进行介绍。具体而言,可以由云平台构建应用识别规则与应用管理策略,并将二者共同下发至管理平台,从而通过管理平台服务端将二者转发至当前管理平台下的各终端设备,以便于各终端设备可以利用应用识别规则与应用管理策略对自身应用进程中所运行的应用进行识别管理。
需要说明的是,本申请实施例中用于进行应用识别管理的终端设备和管理平台服务端,同样可以实现上述各实施例中终端设备和管理平台服务端所实现的各类功能;并且,本申请实施例中的云平台,也同样可以实现前一实施例中网络安全设备所实现的各类功能,本申请实施例在此不再赘述。
可见,本申请所提供的应用识别管理方法,由云平台下发应用识别规则与应用管理策略至管理平台,进而通过管理平台服务端将二者转发至各终端设备中,其中,应用识别规则用于实现应用识别,应用管理策略用于实现应用管控,由此,实现了通过终端侧信息识别和管控应用进程中所运行的应用的方案,相较于通过网络侧识别和管控应用的实现方法,该技术方案可以有效减少误判和被绕过的风险,提高了应用识别结果的准确性,进一步实现了对应用软件的有效管理。
基于以上各实施例,本申请实施例提供了另一种应用识别管理方法。
首先,请参考图6,图6为本申请所提供的一种应用识别管理系统的结构示意图,该应用识别管理系统可包括:AF(防火墙)和EDR(终端检测响应平台,即上述管理平台),EDR包括MGR(EDR服务端)和Agent(EDR客户端,数量不唯一)。其中:AF用于创建以及更新(可定时更新)规则库和策略库,规则库中包含多种应用识别规则(应用特征信息与应用类型相对应),策略库中包含多种应用管理策略(规则ID与策略相对应),然后将二者下发至MGR;MGR用于对二者进行解析并下发至各Agent;Agent用于按照规则识别对应的应用进程,按照策略对该应用进程进行管控,并按需上报各数据信息(如应用进程的各类信息、各数据库的生效状态等)至MGR;AF则可以按需向MGR进行信息查询。此外,在Agent中,sfprocmonitor.dll是插件服务Agent进程加载的插件,主要作用是监听应用进程的创建、处置相关操作、与MGR之间数据的交互、本地数据的存储以及应用进程的识别;sfavwnd.dll是托盘进程sfavtray加载的插件,主要负责应用特征信息(本申请采用窗口信息),以实现规则库匹配。在MGR中,通信模块anti_proxy负责下发规则库与策略库至Agent,并接收Agent上报的各类数据信息进行上报,以及存入数据库。
进一步,请参考图7,图7为本申请所提供的一种应用识别管理方法的时序图,其实现流程主要包括(图7所示数据库是指规则库与策略库):
(1)AF下发全量策略至MGR,MGR收到数据后进行PHP解析,然后通知anti_proxy进程下发策略。其中,MGR在首次接收到策略时直接存储,之后会同时保存上一次策略文件和新的策略文件。
(2)anti_proxy比较新旧策略,若检测新旧策略发生变化,则下发新的策略到Agent。特别地,首次下发策略到Agent时,会将其与规则库一起下发,之后只需要下发策略即可,当然,首次下发后再次下发,若规则库未发生变化,可以不传rule(规则)字段,新的策略可以使用上一次下发的规则库;若规则库发生了变化,则需要在下发新策略时,下发新的rule字段。
(3)Agent接收到策略与规则后,本地保存后回复结果给MGR,MGR收到回复后更新DB(服务端数据库)中策略与规则对应的状态为下发成功。
(4)Agent接收到策略与规则后,检测当前运行进程,并监听进程的创建,把进程信息写入DB(终端数据库)。
(5)MGR监听Agent上线和ip变化事件,若策略和规则发生改变,则下发新的策略和规则。
(6)AF可以通过接口查询策略和规则是否生效,当然,AF只能查询下发的整体生效状态。
(7)Agent定时或实时上报数据(由MGR配置定时间隔时间),并实时或定时上报阻断和放行数据。
(8)AF可以通过接口查询最近某个时间段内的应用进程信息。
进一步,请参考图8,图8为本申请所提供的一种数据信息上传与下发方法的时序图,其实现流程主要包括:
(1)MGR给某个Agent终端首次下发策略与规则时会将配置信息一起下发给该Agent,下发给终端的配置信息可以包括:定时上报起点时间、定时上报间隔时间、是否采集系统进程信息、实时上报间隔时间。
(2)下发给Agent的配置信息中的定时起点上报时间可以根据Agent数量计算得到,其它字段则可以直接从配置文件anti_proxy.ini中读取。
(3)Agent上报数据分为实时上报和定时上报,定时上报是按照MGR下发的定时间隔时间定时上报数据,可以只上报未被命中的数据;实时上报分为实时立即上报和实时间隔上报,可以在进程第一次命中阻断/放行策略时进行立即上报,之后若再次命中,则按照配置信息中的实时间隔时间上报;
(4)对于Agent上报的数据信息,MGR可以采用增量存储的方式,也就是说,每个Agent对应的同个应用进程只会存储一条数据,因此,AF查询进程信息时,获取的是最近一段时间内的进程信息。
最后,Agent终端通过策略和规则进行应用识别管理的实现流程主要包括:
(1)当监听到应用进程创建时,首先从驱动层将该应用进程挂起,进一步,获取该应用进程的标识信息(具体可以为应用进程对应的安装文件的文件路径和文件修改时间),根据文件路径和文件修改时间判断应用进程是否命中缓存容器vCacheInfos,若是,则利用文件路径和文件修改时间组建字符串并计算sha256,根据该sha256从黑白容器vBwMatchInfos(对应于策略库)中获取相应的管理策略,并利用该管理策略对应用进程进行管控处理;若应用进程未命中黑白容器,则可以将应用进程添加至未处置队列中,等待处理。
其中,可以预先为各个容器设置存储上限,如设定其最大元素数量为200,数据存储上限为50K。其中,黑白容器中的管理策略可包括阻止、放通以及未管控,可以优先选择清理未管控数据。
(2)若应用进程未命中缓存容器,则采集该应用进程的应用特征信息,并将其与规则库中的各应用识别规则进行匹配,当命中应用识别规则时,即可利用该应用识别规则的ID信息从黑白容器中获取对应的管理策略,并利用该管理策略对该应用进程进行管控处理;同时,可以将文件路径、文件修改时间对应存储至缓存容器中,将sha256以及对应的管理策略对应存储至黑白容器中。
此外,本申请的方案具备再次过白处理功能,如上所述,黑白容器存储有各sha256与管理策略之间的对应关系,sha256即为已知类型的应用进程对应的安装文件的文件特征值,根据安装文件的安装路径和最后修改时间计算得到,那么,当某一应用进程对应的安装文件的安装路径或最后修改时间发生改变时,则可以重新计算sha256,并将其与原始sha256对应的管理策略相对应,共同存储至黑白容器中,由此,实现黑白容器的更新。并且,由于缓存容器中存储有各已知类型的应用进程对应的安装文件的安装路径和最后修改时间,因此,当某一应用进程对应的安装文件的安装路径或最后修改时间发生改变时,也可以将该应用进程对应的更改后安装路径或更改后最后修改时间存储至缓存容器中,由此,实现缓存容器的更新。在此基础上,当监测到同一类型的应用进程创建时,则可以直接命中缓存容器,并可以直接在黑白容器中查询获得相应的管理策略,进而实现应用管控。
可见,本申请实施例所提供的应用识别管理方法,由网络安全设备下发应用识别规则与应用管理策略至管理平台,进而通过管理平台服务端将二者转发至各终端设备中,其中,应用识别规则用于实现应用识别,应用管理策略用于实现应用管控,由此,实现了通过终端侧信息识别和管控应用进程中所运行的应用的方案,相较于通过网络侧识别和管控应用的实现方法,该技术方案可以有效减少误判和被绕过的风险,提高了应用识别结果的准确性,进一步实现了对应用软件的有效管理。
本申请还提供了一种应用识别管理系统,该应用识别管理系统可包括:
网络安全设备,用于下发应用识别规则和应用管理策略至管理平台服务端;
管理平台服务端,用于将应用识别规则和应用管理策略下发至各终端设备;
各终端设备,用于应用识别规则对应用进程中运行的应用进行识别,利用应用管理策略对识别到的应用进行管控。
对于本申请提供的系统的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了另一种应用识别管理系统,该应用识别管理系统可包括:
云平台,用于下发应用识别规则和应用管理策略至管理平台服务端;
管理平台服务端,用于将应用识别规则和应用管理策略下发至各终端设备;
各终端设备,用于应用识别规则对应用进程中运行的应用进行识别,利用应用管理策略对识别到的应用进行管控。
对于本申请提供的系统的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了一种计算机设备,该计算机设备可包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时可实现如上述任意一种应用识别管理方法的步骤。
对于本申请提供的设备的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如上述任意一种应用识别管理方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。

Claims (22)

1.一种应用识别管理方法,其特征在于,应用于终端设备,包括:
接收管理平台服务端下发的应用识别规则与应用管理策略;
利用所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
2.根据权利要求1所述的应用识别管理方法,其特征在于,所述利用所述应用识别规则对应用进程中运行的应用进行识别,包括:
获取所述应用进程对应的第一标识信息;
将所述第一标识信息与所述应用识别规则进行匹配,根据匹配结果确定所述应用进程运行的应用。
3.根据权利要求2所述的应用识别管理方法,其特征在于,所述获取所述应用进程对应的第一标识信息,包括:
利用驱动层程序获取所述第一标识信息。
4.根据权利要求3所述的应用识别管理方法,其特征在于,所述利用驱动层程序获取所述第一标识信息,包括:
在通过所述驱动层程序监控到应用进程创建的情况下,通过所述驱动层程序对创建的应用进程进行挂起;
在挂起所述应用进程期间,获取所述应用进程对应的第一标识信息。
5.根据权利要求2所述的应用识别管理方法,其特征在于,所述第一标识信息包括所述应用进程对应的安装文件信息、文件静态特征信息和/或文件动态特征信息。
6.根据权利要求2至5任意一项所述的应用识别管理方法,其特征在于,所述利用所述应用管理策略对识别到的应用进行管控,包括:
确定所述应用管理策略中与所述识别到的应用对应的管控操作;
利用所述管控操作对所述应用进行管控。
7.一种应用识别管理方法,其特征在于,应用于终端设备,所述终端设备存储有预设标识和第一应用管理策略之间的对应关系,包括:
获取应用进程对应的第二标识信息;
利用所述第二标识信息查找所述对应关系,在查找到所述第二标识信息对应的第一应用管理策略的情况下,利用所述第一应用管理策略对所述第二标识信息对应的应用进程中运行的应用进行管控。
8.根据权利要求7所述的应用识别管理方法,其特征在于,所述终端设备还存储有应用和第二应用管理策略之间的对应关系,还包括:
在未查找到所述第二标识信息对应的第一应用管理策略的情况下,获取所述应用进程对应的第三标识信息;
根据所述第三标识信息与获取的应用识别规则对所述应用进程中运行的应用进行识别,利用第二应用管理策略对识别到的应用进行管控。
9.根据权利要求8所述的应用识别管理方法,其特征在于,所述利用第二应用管理策略对识别到的应用进行管控之后,还包括:
将所述应用对应的第二标识信息和所述应用对应的第二应用管理策略添加到所述预设标识和第一应用管理策略之间的对应关系中。
10.一种应用识别管理方法,其特征在于,应用于管理平台服务端,包括:
接收应用识别规则与应用管理策略;
将所述应用识别规则与所述应用管理策略下发至各终端设备,以使各所述终端设备利用所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
11.根据权利要求10所述的应用识别管理方法,其特征在于,还包括:
接收更新后应用管理策略;
将所述更新后应用管理策略与当前应用管理策略进行对比,确定变更应用管理策略;
将所述更应用管理策略下发至各所述终端设备。
12.根据权利要求10所述的应用识别管理方法,其特征在于,还包括:
将预设配置文件下发至各所述终端设备,以获取各所述终端设备按照所述预设配置文件中的信息上报规则反馈的应用识别管理结果。
13.根据权利要求12所述的应用识别管理方法,其特征在于,还包括:
采用增量存储方式将各所述应用识别管理结果存储至服务端存储区域。
14.一种应用识别管理方法,其特征在于,应用于网络安全设备,包括:
将应用识别规则与应用管理策略下发至管理平台,以通过管理平台服务端发送至各终端设备,以使各所述终端设备利用所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
15.根据权利要求14所述的应用识别管理方法,其特征在于,还包括:
通过所述管理平台服务端获取所述应用管理策略在所述终端设备上的生效信息。
16.根据权利要求14所述的应用识别管理方法,其特征在于,还包括:
通过所述管理平台服务端获取所述终端设备上的应用识别管理结果。
17.根据权利要求14所述的应用识别管理方法,其特征在于,所述应用识别规则由云端构建并下发至所述网络安全设备;所述应用管理策略由所述网络安全设备构建。
18.一种应用识别管理方法,其特征在于,应用于云平台,包括:
将应用识别规则与应用管理策略下发至管理平台,以通过管理平台服务端发送至各终端设备,以使各所述终端设备利用所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
19.一种应用识别管理系统,其特征在于,包括:
网络安全设备,用于下发应用识别规则和应用管理策略至管理平台服务端;
所述管理平台服务端,用于将所述应用识别规则和所述应用管理策略下发至各终端设备;
各所述终端设备,用于所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
20.一种应用识别管理系统,其特征在于,包括:
云平台,用于下发应用识别规则和应用管理策略至管理平台服务端;
所述管理平台服务端,用于将所述应用识别规则和所述应用管理策略下发至各终端设备;
各所述终端设备,用于所述应用识别规则对应用进程中运行的应用进行识别,利用所述应用管理策略对识别到的应用进行管控。
21.一种计算机设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至18任一项所述的应用识别管理方法的步骤。
22.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至18任一项所述的应用识别管理方法的步骤。
CN202111163624.1A 2021-09-30 2021-09-30 一种应用识别管理方法及系统 Pending CN113923170A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111163624.1A CN113923170A (zh) 2021-09-30 2021-09-30 一种应用识别管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111163624.1A CN113923170A (zh) 2021-09-30 2021-09-30 一种应用识别管理方法及系统

Publications (1)

Publication Number Publication Date
CN113923170A true CN113923170A (zh) 2022-01-11

Family

ID=79237693

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111163624.1A Pending CN113923170A (zh) 2021-09-30 2021-09-30 一种应用识别管理方法及系统

Country Status (1)

Country Link
CN (1) CN113923170A (zh)

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015184891A1 (zh) * 2014-11-20 2015-12-10 中兴通讯股份有限公司 Android系统的安全管控方法、装置及其系统
CN106961677A (zh) * 2016-01-11 2017-07-18 中国移动通信集团公司 一种管理方法及服务器、终端
CN107241298A (zh) * 2016-03-29 2017-10-10 阿里巴巴集团控股有限公司 一种应用管控方法、终端及系统
CN109756512A (zh) * 2019-02-14 2019-05-14 深信服科技股份有限公司 一种流量应用识别方法、装置、设备及存储介质
WO2020019437A1 (zh) * 2018-07-25 2020-01-30 平安科技(深圳)有限公司 终端运行数据的监控方法、装置、终端设备及介质
WO2020034762A1 (zh) * 2018-08-17 2020-02-20 中兴通讯股份有限公司 终端管理方法、装置、终端及计算机存储介质
CN111176710A (zh) * 2019-12-30 2020-05-19 宁波视睿迪光电有限公司 一种终端软件管理系统的运行方法及终端软件管理系统
WO2020103654A1 (zh) * 2018-11-23 2020-05-28 腾讯科技(深圳)有限公司 路由选择策略的获取方法、路由选择策略规则的执行方法、装置、设备及计算机可读存储介质
CN111259462A (zh) * 2020-01-13 2020-06-09 奇安信科技集团股份有限公司 终端的外设管控处理方法、装置、电子设备及存储介质
CN111600948A (zh) * 2020-05-14 2020-08-28 北京安御道合科技有限公司 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序
WO2020181599A1 (zh) * 2019-03-08 2020-09-17 网宿科技股份有限公司 一种模型应用方法、管理方法、系统及服务器
CN112329014A (zh) * 2020-11-27 2021-02-05 杭州安恒信息技术股份有限公司 一种病毒识别防御方法、装置、存储介质及设备
CN112632553A (zh) * 2019-10-09 2021-04-09 Oppo(重庆)智能科技有限公司 漏洞处理方法及相关产品
CN113079023A (zh) * 2021-03-31 2021-07-06 深信服科技股份有限公司 一种文件分发管理方法、装置以及相关设备

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015184891A1 (zh) * 2014-11-20 2015-12-10 中兴通讯股份有限公司 Android系统的安全管控方法、装置及其系统
CN106961677A (zh) * 2016-01-11 2017-07-18 中国移动通信集团公司 一种管理方法及服务器、终端
CN107241298A (zh) * 2016-03-29 2017-10-10 阿里巴巴集团控股有限公司 一种应用管控方法、终端及系统
WO2020019437A1 (zh) * 2018-07-25 2020-01-30 平安科技(深圳)有限公司 终端运行数据的监控方法、装置、终端设备及介质
WO2020034762A1 (zh) * 2018-08-17 2020-02-20 中兴通讯股份有限公司 终端管理方法、装置、终端及计算机存储介质
WO2020103654A1 (zh) * 2018-11-23 2020-05-28 腾讯科技(深圳)有限公司 路由选择策略的获取方法、路由选择策略规则的执行方法、装置、设备及计算机可读存储介质
CN109756512A (zh) * 2019-02-14 2019-05-14 深信服科技股份有限公司 一种流量应用识别方法、装置、设备及存储介质
WO2020181599A1 (zh) * 2019-03-08 2020-09-17 网宿科技股份有限公司 一种模型应用方法、管理方法、系统及服务器
CN112632553A (zh) * 2019-10-09 2021-04-09 Oppo(重庆)智能科技有限公司 漏洞处理方法及相关产品
CN111176710A (zh) * 2019-12-30 2020-05-19 宁波视睿迪光电有限公司 一种终端软件管理系统的运行方法及终端软件管理系统
CN111259462A (zh) * 2020-01-13 2020-06-09 奇安信科技集团股份有限公司 终端的外设管控处理方法、装置、电子设备及存储介质
CN111600948A (zh) * 2020-05-14 2020-08-28 北京安御道合科技有限公司 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序
CN112329014A (zh) * 2020-11-27 2021-02-05 杭州安恒信息技术股份有限公司 一种病毒识别防御方法、装置、存储介质及设备
CN113079023A (zh) * 2021-03-31 2021-07-06 深信服科技股份有限公司 一种文件分发管理方法、装置以及相关设备

Similar Documents

Publication Publication Date Title
US10860406B2 (en) Information processing device and monitoring method
US8392995B2 (en) Network management
CN109922062B (zh) 源代码泄露监控方法及相关设备
CN110620768A (zh) 一种用于物联网智能终端的基线安全检测方法及装置
CN111625841B (zh) 一种病毒处理方法、装置及设备
CN105404581A (zh) 一种数据库的评测方法和装置
CN106339629A (zh) 一种应用程序管理方法及装置
US20180349616A1 (en) System and Method for Tracing Data Access and Detecting Abnormality in the Same
CN113595981B (zh) 上传文件威胁检测方法及装置、计算机可读存储介质
CN116305155A (zh) 一种程序安全检测防护方法、装置、介质及电子设备
CN111400720A (zh) 一种终端信息处理方法、系统及装置和一种可读存储介质
CN110049004B (zh) 工控环境流量白名单基线的生成方法
US7480651B1 (en) System and method for notification of group membership changes in a directory service
CN114253579A (zh) 一种基于白名单机制的软件更新方法、装置及介质
CN112650180B (zh) 安全告警方法、装置、终端设备及存储介质
CN112699369A (zh) 一种通过栈回溯检测异常登录的方法及装置
CN113923170A (zh) 一种应用识别管理方法及系统
CN110555308B (zh) 一种终端应用行为跟踪和威胁风险评估方法及系统
CN112398695B (zh) 一种大规模终端设备管控方法、系统、设备及存储介质
CN108304699B (zh) 一种对安全软件进行保护的方法及装置
CN112948020B (zh) 一种配置文件的处理方法和装置
CN114039778A (zh) 一种请求处理方法、装置、设备及可读存储介质
CN113923039A (zh) 攻击设备识别方法、装置、电子设备及可读存储介质
CN112417459A (zh) 一种大规模终端设备安全评估方法、系统及计算机设备
CN113923013A (zh) 一种应用识别管理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220111