CN114553730B - 一种应用识别方法、装置、电子设备及存储介质 - Google Patents
一种应用识别方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114553730B CN114553730B CN202210448706.9A CN202210448706A CN114553730B CN 114553730 B CN114553730 B CN 114553730B CN 202210448706 A CN202210448706 A CN 202210448706A CN 114553730 B CN114553730 B CN 114553730B
- Authority
- CN
- China
- Prior art keywords
- application identification
- equipment
- data flow
- application
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种应用识别方法、装置、电子设备及存储介质,由网路上的电子设备执行,接收访问的数据流量;根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;在当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;执行应用解析,生成应用识别通告报文并将其发送至第二设备,通过将应用识别能力集中在一台电子设备,并将应用识别结果发送至其他设备,减少了资源的消耗和业务报文的传输时延,也实现了在无需配置的情况下,自适应网络拓扑的变更,灵活扩展。
Description
技术领域
本发明涉及网络管控技术领域,尤其涉及一种应用识别方法、装置、电子设备及存储介质。
背景技术
面对层出不穷的应用,如何对应用流量进行精确管控是网络管理员面临的最大问题,而管控的前提是精确识别出网络中的各类应用。
传统应用识别技术通过协议和端口号来识别应用,随着应用程序越来越复杂,传统应用识别技术已经无法满足精细化的控制需求,针对流量动态识别的技术应运而生,应用识别技术是一种应用特征提取和匹配技术,通过提取报文中的某些特定字段或报文的行为特征,并与特征库进行匹配来识别应用,应用识别技术由于分为协议解码和特征匹配两部分,使得整个应用识别过程计算资源消耗大,而且在同一网络中,应用识别重复被各个设备实现,造成报文传输时延增大。
发明内容
本发明提供一种应用识别方法、装置、电子设备及存储介质,用以解决现有的应用识别技术计算资源消耗大,以及应用识别重复被各个设备实现所造成报文传输时延增大的问题,通过将应用识别能力集中在一台电子设备,并将应用识别结果发送至其他设备,减少了资源的消耗和业务报文的传输时延,也实现了在无需配置的情况下,自适应网络拓扑的变更,灵活扩展。
第一方面,本发明提供一种应用识别方法,由网路上的电子设备执行,该方法包括:
接收访问的数据流量;
根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;
在所述当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将所述应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;
执行应用解析,生成应用识别通告报文并将其发送至第二设备。
进一步,所述生成应用识别启动报文,具体包括:
对所述数据流量进行识别得到数据流量发送端信息、目的端信息;
根据所述发送端信息、目的端信息构建新的数据帧,生成应用识别启动报文。
进一步,所述应用识别启动报文还包括所述当前电子设备的设备标识信息。
进一步,所述生成应用识别通告报文,具体包括:
对所述数据流进行应用解析,获取应用识别信息;
将所述应用识别信息填入所构建的新的数据帧的数据段,生成应用识别通告报文。
进一步,所述当前电子设备是防火墙、入侵防护IPS A和入侵防护IPS B中的任意一个。
第二方面,本发明还提供了一种应用识别装置,包括接收模块,判断模块,发送模块以及解析模块,其中:
接收模块,用于接收访问的数据流量;
判断模块,用于根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;
发送模块,用于在所述当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将所述应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;
解析模块,用于执行应用解析,生成应用识别通告报文并将其发送至第二设备。
进一步,所述装置还包括:
识别模块,用于对所述数据流量进行识别得到数据流量发送端信息、目的端信息;
生成模块,用于根据所述发送端信息、目的端信息构建新的数据帧,生成应用识别启动报文。
第三方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述应用识别方法的步骤。
第四方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述应用识别方法的步骤。
第五方面,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述应用识别方法的步骤。
本发明提供的一种应用识别方法、装置、电子设备及存储介质,由网路上的电子设备执行,接收访问的数据流量;根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;在当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;执行应用解析,生成应用识别通告报文并将其发送至第二设备,通过将应用识别能力集中在一台电子设备,并将应用识别结果发送至其他设备,减少了资源的消耗和业务报文的传输时延,也实现了在无需配置的情况下,自适应网络拓扑的变更,灵活扩展。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的一种应用识别方法的流程示意图;
图2是本发明另一个实施例提供的一种应用识别方法的流程示意图;
图3是本发明又一个实施例提供的一种应用识别方法的流程示意图;
图4是本发明一个实施例提供的一种应用识别装置的结构框图;
图5是本发明另一个实施例提供的一种应用识别电子设备的结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本实施例提供的一种应用识别方法的流程示意图,参见图1,该方法包括:
步骤101:接收访问的数据流量;
其中,接收访问的数据流量的执行主体为网路上的电子设备,网路上的电子设备数量不唯一。
需要进一步说明的是,网路上的电子设备所接收的数据流量可以是外网设备访问内部服务时所产生的,也可以是内部网络访问外部服务所产生的。
具体地,网路上的电子设备接收访问的数据流量。
步骤102:根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;
其中,当前电子设备可以是防火墙,入侵防护IPS A,入侵防护IPS B、流量分析系统NTA等一切网路上的电子设备,在此不作具体限定。
需要进一步说明的是,不同的访问数据流量及数据流量方向所对应的接近数据流量发送端的设备是不同的。
举例来说,如图2所示,图2为本发明另一个实施例所提供的应用识别方法流程示意图,网路上存在防火墙,入侵防护系统1,入侵防护系统2、流量分析系统NTA这4个电子设备,其中,在外网设备访问内部服务时产生一条数据流量A,此数据流量A按照先后顺序流经防火墙、入侵防护系统2,但未流经入侵防护系统1以及流量分析系统NTA,此时,接近数据流量发送端的设备即为防火墙;在内部网络访问外网服务时产生一条数据流量B,此数据流量B按照先后顺序流经入侵防护系统1、防火墙,但未流经入侵防护系统2以及流量分析系统NTA,此时,接近数据流量发送端的设备即为入侵防护系统1。
步骤103:在所述当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将所述应用识别启动报文发送至第二设备;
其中,第二设备为与数据流量相关的当前电子设备以外的后续设备,第二设备的设备数量可以是一个或多个;应用识别启动报文由数据流量发送端信息、目的端信息组成。
需要进一步说明的是,在当前电子设备不为接近所述数据流量发送端的设备的情况下,也就是当前电子设备为第二设备的情况下,等待应用识别启动报文的到来。
在本实施例中,在当前电子设备为接近数据流发送端设备,但是无法生成应用识别启动报文的情况下,当前电子设备可能出现一定程度的损坏,由数据流量所流经的当前电子设备的后续设备生成应用识别启动报文,也就是由第二设备中的一个设备进行应用识别启动报文的生成,并将所述应用识别启动报文发送至除了所述第二设备中的一个设备以外的所有其他设备。
举例来说,在外网设备访问内部服务时产生一条数据流量A,此数据流量A按照先后顺序流经防火墙FW、入侵防护IPS B,在数据流量流经的当前电子设备为防火墙时,由于防火墙FW为接近数据流量A发送端的设备,则由防火墙FW生成应用识别启动报文,并将应用识别启动报文发送至入侵防护IPS B。
步骤104:执行应用解析,生成应用识别通告报文并将其发送至第二设备。
其中,应用识别通告报文为包含有接近数据流发送端设备进行应用解析后所得到的应用识别信息,也就是应用解析后所得到的应用识别结果,将带有应用识别结果的应用识别通告报文发送至第二设备后,第二设备即无需再进行应用解析。
可以理解的是,执行应用解析的主体为接近数据流发送端设备。
需要进一步说明的是,在接近数据流发送端设备将所述应用识别启动报文发送至第二设备到接近数据流发送端设备将应用识别通告报文发送至第二设备过程中,存在接近数据流发送端设备执行应用解析的时间差,在接近数据流发送端设备进行应用解析的过程中,后续设备等待接近数据流发送端设备发送应用识别通告报文。
举例来说,在外网设备访问内部服务时产生数据流量C,数据流量C按照先后顺序流经防火墙FW、流量分析系统NTA、入侵防护IPS A,在数据流量C流经的当前电子设备为防火墙FW时,由于防火墙FW为接近数据流量C发送端的设备,则由防火墙FW生成应用识别启动报文,并将应用识别启动报文发送至流量分析系统NTA以及入侵防护IPS A,在将应用识别启动报文发送至流量分析系统NTA以及入侵防护IPS A之后,防火墙FW开始执行应用解析,在进行应用解析过程中,流量分析系统NTA以及入侵防护IPS A处于等待防火墙解析出应用识别结果的状态,在防火墙FW应用解析完成后,生成带有应用识别结果的应用识别通告报文,并将应用识别通告报文发送给流量分析系统NTA以及入侵防护IPS A。
本实施例提供了一种应用识别方法,由网路上的电子设备执行,接收访问的数据流量;根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;在当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;执行应用解析,生成应用识别通告报文并将其发送至第二设备,通过将应用识别能力集中在一台电子设备,并将应用识别结果发送至其他设备,减少了资源的消耗和业务报文的传输时延,也实现了在无需配置的情况下,自适应网络拓扑的变更,灵活扩展。
基于上述实施例的内容,在本实施例中,所述步骤103生成应用识别启动报文,具体可通过如下方式实现:
对所述数据流量进行识别得到数据流量发送端信息、目的端信息;
根据所述发送端信息、目的端信息构建新的数据帧,生成应用识别启动报文。
其中,应用识别启动报文还包括所述当前电子设备的设备标识信息,以便在将所述应用识别启动报文发送至第二设备时,第二设备能知悉接近所述数据流量发送端的设备的身份信息,使得第二设备处于等待接近所述数据流量发送端的设备进行应用解析的状态,在此状态下,即使是数据流量通过第二设备,第二设备也无需再对数据流量进行应用识别。
可以理解的是,对所述数据流量进行识别所得到的发送端信息以及目的端信息可以是源IP、目的IP、源端口、目的端口、源MAC地址、目的MAC地址,vlan等一切能够代表数据流量发送端以及目的端的信息,在此不作具体限定,以保证数据流量能够从起点正常传递到终点。
举例来说,数据流量C按照先后顺序流经防火墙FW、流量分析系统NTA、入侵防护IPS A,在数据流量C流经的当前电子设备为防火墙FW时,由于防火墙FW为接近数据流量C发送端的设备,则由防火墙FW生成应用识别启动报文,防火墙FW对数据流量C进行识别得到数据流量的源端口以及目的端口,根据源端口以及目的端口构建新的数据帧,生成应用识别启动报文,防火墙FW再将生成的应用识别启动报文发送至数据流量C流经的其他设备流量分析系统NTA和入侵防护IPS A,以告知流量分析系统NTA和入侵防护IPS A数据流量C将由防火墙FW来进行应用解析,流量分析系统NTA和入侵防护IPS A只需等待应用解析完成后的应用识别结果即可。
本实施例提供了一种应用识别方法,对所述数据流量进行识别得到数据流量发送端信息、目的端信息;根据所述发送端信息、目的端信息构建新的数据帧,生成应用识别启动报文,其中,应用识别启动报文还包括所述当前电子设备的设备标识信息,在保证了数据流量能够从起点正常传递到终点的同时,也向后续设备宣告了由接近数据流量发送端的设备进行应用解析,通过将应用识别能力集中在一台电子设备,并将应用识别结果发送至后续设备,减少了资源的消耗和业务报文的传输时延,也实现了在无需配置的情况下,自适应网络拓扑的变更,灵活扩展。
基于上述实施例的内容,在本实施例中,所述步骤104生成应用识别通告报文,具体可通过如下方式实现:
对所述数据流量进行应用解析,获取应用识别信息;
将所述应用识别信息填入所构建的新的数据帧的数据段,生成应用识别通告报文。
其中,应用识别通告报文是由报文类型、方案水印字符串以及应用识别信息组成,报文类型可以是UDP协议报文、TCP报文、ACK报文等,在此不作具体限定,例如,报文类型为TCP,方案水印字符串为APPNOTIFY:952788889999 ,应用识别信息为应用识别ID。UDP每个报文有固定的协议格式,到达终点会因为识别异常被丢弃掉,不会影响正常业务;TCP和ACK报文,频率低,也不会影响正常业务;ICMP差错报告报文,由系统处理,不会影响正常业务。
举例来说,在防火墙FW将生成的应用识别启动报文发送至数据流量C流经的其他设备流量分析系统NTA和入侵防护IPS A之后,防火墙FW开始进行应用解析,在应用解析完成后,获取应用识别信息;将所述应用识别信息填入所构建的新的数据帧的数据段,生成应用识别通告报文,并将生成的应用识别通告报文发送给数据流量C流经的后续设备流量分析系统NTA和入侵防护IPS A,流量分析系统NTA和入侵防护IPS A只需接收应用识别通告报文即可,无需再对应用进行再次识别。
本实施例提供了一种应用识别方法,通过对所述数据流量进行应用解析,获取应用识别信息;将所述应用识别信息填入所构建的新的数据帧的数据段,生成应用识别通告报文,通过将应用识别能力集中在一台电子设备,并将带有应用识别结果的应用识别通告报文发送至后续设备,减少了资源的消耗和业务报文的传输时延,也实现了在无需配置的情况下,自适应网络拓扑的变更,灵活扩展。
基于上述实施例的内容,在本实施例中,所述当前电子设备是防火墙、入侵防护IPS A和入侵防护IPS B中的任意一个。
需要进一步说明的是,防火墙、入侵防护IPS A和入侵防护IPS B设备除了具备应用识别的能力之外,还具备及时发现并处理网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
举例来说,在防火墙FW应用解析完成,获取的应用识别信息为QQ通讯,生成应用识别通告报文,在将应用识别通告报文发送给数据流量C流经的后续设备流量分析系统NTA和入侵防护IPS A之前,由于防火墙FW本身存在安全管控策略,此策略将QQ通讯视为不安全应用,在此情况下,由防火墙FW所生成的关于QQ通讯的应用识别通告报文便不会发送给数据流量C流经的后续设备流量分析系统NTA和入侵防护IPS A。
本实施例提供了一种应用识别方法,通过将当前电子设备设置为防火墙、入侵防护IPS A和入侵防护IPS B中的任意一个,在能够实现对数据流量应用识别功能的同时,进一步保证了网络数据传输过程中的安全性。
图3是本申请又一个实施例提供的一种应用识别方法的流程示意图,参考图3。由网路中的电子设备接收发送端所发送的报文;判断该条流是否存在应用识别信息,若有则跳出识别流程;若该条流没有应用识别信息则判断是否该条流无人宣告近源设备(近源设备即为接近报文发送端的设备),若无人宣告近源设备则跳出识别流程,等待应用识别信息到来;若有宣告近源设备,则由网路上的这一电子设备开始进行应用识别,并通告除网路上这一电子设备之外的后续设备应用识别已启动,后续设备在接收到应用识别已启动这一指令后等待报文识别出协议,在网路上这一电子设备应用识别完成后,将应用识别结果通告至后续设备,后续设备无需再对该条流进行应用识别。
图4为本实施例提供的应用识别装置的结构框图,该装置包括接收模块401,判断模块402,发送模块403以及解析模块404,其中:
接收模块401,用于接收访问的数据流量;
其中,接收访问的数据流量的执行主体为网路上的电子设备,网路上的电子设备数量不唯一。
需要进一步说明的是,网路上的电子设备所接收的数据流量可以是外网设备访问内部服务时所产生的,也可以是内部网络访问外部服务所产生的。
具体地,网路上的电子设备接收访问的数据流量。
判断模块402,用于根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;
其中,当前电子设备可以是防火墙,入侵防护IPS A,入侵防护IPS B、流量分析系统NTA等一切网路上的电子设备,在此不作具体限定。
需要进一步说明的是,不同的访问数据流量及数据流量方向所对应的接近数据流量发送端的设备是不同的。
举例来说,网路上存在防火墙,入侵防护系统1,入侵防护系统2、流量分析系统NTA这4个电子设备,其中,在外网设备访问内部服务时产生一条数据流量A,此数据流量A按照先后顺序流经防火墙、入侵防护系统2,但未流经入侵防护系统1以及流量分析系统NTA,此时,接近数据流量发送端的设备即为防火墙;在内部网络访问外网服务时产生一条数据流量B,此数据流量B按照先后顺序流经入侵防护系统1、防火墙,但未流经入侵防护系统2以及流量分析系统NTA,此时,接近数据流量发送端的设备即为入侵防护系统1。
发送模块403,用于在所述当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将所述应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;
其中,第二设备为与数据流量相关的当前电子设备以外的后续设备,第二设备的设备数量可以是一个或多个;应用识别启动报文由数据流量发送端信息、目的端信息组成。
需要进一步说明的是,在当前电子设备不为接近所述数据流量发送端的设备的情况下,也就是当前电子设备为第二设备的情况下,等待应用识别启动报文的到来。
在本实施例中,在当前电子设备为接近数据流发送端设备,但是无法生成应用识别启动报文的情况下,当前电子设备可能出现一定程度的损坏,由数据流量所流经的当前电子设备的后续设备生成应用识别启动报文,也就是由第二设备中的一个设备进行应用识别启动报文的生成,并将所述应用识别启动报文发送至除了所述第二设备中的一个设备以外的所有其他设备。
举例来说,在外网设备访问内部服务时产生一条数据流量A,此数据流量A按照先后顺序流经防火墙FW、入侵防护IPS B,在数据流量流经的当前电子设备为防火墙时,由于防火墙FW为接近数据流量A发送端的设备,则由防火墙FW生成应用识别启动报文,并将应用识别启动报文发送至入侵防护IPS B。
解析模块404,用于执行应用解析,生成应用识别通告报文并将其发送至第二设备。
其中,应用识别通告报文为包含有接近数据流发送端设备进行应用解析后所得到的应用识别信息,也就是应用解析后所得到的应用识别结果,将带有应用识别结果的应用识别通告报文发送至第二设备后,第二设备即无需再进行应用解析。
可以理解的是,执行应用解析的主体为接近数据流发送端设备。
需要进一步说明的是,在接近数据流发送端设备将所述应用识别启动报文发送至第二设备到接近数据流发送端设备将应用识别通告报文发送至第二设备过程中,存在接近数据流发送端设备执行应用解析的时间差,在接近数据流发送端设备进行应用解析的过程中,后续设备等待接近数据流发送端设备发送应用识别通告报文。
举例来说,在外网设备访问内部服务时产生数据流量C,数据流量C按照先后顺序流经防火墙FW、流量分析系统NTA、入侵防护IPS A,在数据流量C流经的当前电子设备为防火墙FW时,由于防火墙FW为接近数据流量C发送端的设备,则由防火墙FW生成应用识别启动报文,并将应用识别启动报文发送至流量分析系统NTA以及入侵防护IPS A,在将应用识别启动报文发送至流量分析系统NTA以及入侵防护IPS A之后,防火墙FW开始执行应用解析,在进行应用解析过程中,流量分析系统NTA以及入侵防护IPS A处于等待防火墙解析出应用识别结果的状态,在防火墙FW应用解析完成后,生成带有应用识别结果的应用识别通告报文,并将应用识别通告报文发送给流量分析系统NTA以及入侵防护IPS A。
本实施例提供了一种应用识别装置,由网路上的电子设备执行,接收模块401,用于接收访问的数据流量;判断模块402,用于根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;发送模块403,用于在当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;解析模块404,用于执行应用解析,生成应用识别通告报文并将其发送至第二设备,通过将应用识别能力集中在一台电子设备,并将应用识别结果发送至其他设备,减少了资源的消耗和业务报文的传输时延,也实现了在无需配置的情况下,自适应网络拓扑的变更,灵活扩展。
可选的,所述装置,的发送模块403,还包括:
识别模块,用于对所述数据流量进行识别得到数据流量发送端信息、目的端信息;
生成模块,用于根据所述发送端信息、目的端信息构建新的数据帧,生成应用识别启动报文。
本实施例提供了一种应用识别装置,识别模块,用于对所述数据流量进行识别得到数据流量发送端信息、目的端信息;生成模块,用于根据所述发送端信息、目的端信息构建新的数据帧,生成应用识别启动报文,其中,应用识别启动报文还包括所述当前电子设备的设备标识信息,在保证了数据流量能够从起点正常传递到终点的同时,也向后续设备宣告了由接近数据流量发送端的设备进行应用解析,通过将应用识别能力集中在一台电子设备,并将应用识别结果发送至后续设备,减少了资源的消耗和业务报文的传输时延,也实现了在无需配置的情况下,自适应网络拓扑的变更,灵活扩展。
可选的,所述发送模块403中的应用识别启动报文还包括所述当前电子设备的设备标识信息。
可选的,所述装置的解析模块404,还包括:
用于对所述数据流量进行应用解析,获取应用识别信息;
将所述应用识别信息填入所构建的新的数据帧的数据段,生成应用识别通告报文。
本实施例提供了一种应用识别装置,通过对所述数据流量进行应用解析,获取应用识别信息;将所述应用识别信息填入所构建的新的数据帧的数据段,生成应用识别通告报文,通过将应用识别能力集中在一台电子设备,并将带有应用识别结果的应用识别通告报文发送至后续设备,减少了资源的消耗和业务报文的传输时延,也实现了在无需配置的情况下,自适应网络拓扑的变更,灵活扩展。
可选的,所述装置中的当前电子设备可以是防火墙、入侵防护IPS A和入侵防护IPS B中的任意一个。
本实施例提供了一种应用识别装置,通过将当前电子设备设置为防火墙、入侵防护IPS A和入侵防护IPS B中的任意一个,在能够实现对数据流量应用识别功能的同时,进一步保证了网络数据传输过程中的安全性。
图5为本发明实施例提供的一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和总线540,其中,处理器510,通信接口520,存储器530通过总线540完成相互间的通信。总线540可以用于电子设备与传感器之间的信息传输。处理器510可以调用存储器530中的逻辑指令,以执行如下方法:由网路上的电子设备执行,接收访问的数据流量;根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;在当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;执行应用解析,生成应用识别通告报文并将其发送至第二设备。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例提供一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储计算机指令,该计算机指令使计算机执行上述实施例所提供的一种应用识别方法,例如包括:由网路上的电子设备执行,接收访问的数据流量;根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;在当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;执行应用解析,生成应用识别通告报文并将其发送至第二设备。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
又一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的一种应用识别方法,该方法包括:由网路上的电子设备执行,接收访问的数据流量;根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;在当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;执行应用解析,生成应用识别通告报文并将其发送至第二设备。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (5)
1.一种应用识别方法,由网路上的电子设备执行,其特征在于,该方法包括:
接收访问的数据流量;
根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;
在所述当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将所述应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;
执行应用解析,生成应用识别通告报文并将其发送至第二设备;
其中,所述生成应用识别启动报文,具体包括:
对所述数据流量进行识别得到数据流量发送端信息、目的端信息;
根据所述发送端信息、目的端信息构建新的数据帧,生成应用识别启动报文;
其中,所述应用识别启动报文还包括所述当前电子设备的设备标识信息;
其中,所述生成应用识别通告报文,具体包括:
对所述数据流量进行应用解析,获取应用识别信息;
将所述应用识别信息填入所构建的新的数据帧的数据段,生成应用识别通告报文;
其中,执行应用解析的主体为接近所述数据流量发送端的设备,应用识别通告报文是由报文类型、方案水印字符串以及应用识别信息组成。
2.根据权利要求1所述的方法,其特征在于,所述当前电子设备是防火墙、入侵防护IPSA和入侵防护IPS B中的任意一个。
3.一种应用识别装置,其特征在于,包括接收模块,判断模块,发送模块以及解析模块,其中:
接收模块,用于接收访问的数据流量;
判断模块,用于根据访问的数据流量及数据流量方向判断当前电子设备是否为接近所述数据流量发送端的设备;
发送模块,用于在所述当前电子设备为接近所述数据流量发送端的设备的情况下,则生成应用识别启动报文,并将所述应用识别启动报文发送至第二设备,其中,第二设备为与数据流量相关的当前电子设备以外的后续设备;
解析模块,用于执行应用解析,生成应用识别通告报文并将其发送至第二设备;
其中,所述装置还包括:
识别模块,用于对所述数据流量进行识别得到数据流量发送端信息、目的端信息;
生成模块,用于根据所述发送端信息、目的端信息构建新的数据帧,生成应用识别启动报文;
其中,所述应用识别启动报文还包括所述当前电子设备的设备标识信息;
其中,所述生成应用识别通告报文,具体包括:
对所述数据流量进行应用解析,获取应用识别信息;
将所述应用识别信息填入所构建的新的数据帧的数据段,生成应用识别通告报文;
其中,执行应用解析的主体为接近所述数据流量发送端的设备,应用识别通告报文是由报文类型、方案水印字符串以及应用识别信息组成。
4.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至2任一项所述一种应用识别方法的步骤。
5.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至2任一项所述一种应用识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210448706.9A CN114553730B (zh) | 2022-04-27 | 2022-04-27 | 一种应用识别方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210448706.9A CN114553730B (zh) | 2022-04-27 | 2022-04-27 | 一种应用识别方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114553730A CN114553730A (zh) | 2022-05-27 |
| CN114553730B true CN114553730B (zh) | 2022-07-15 |
Family
ID=81666904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210448706.9A Active CN114553730B (zh) | 2022-04-27 | 2022-04-27 | 一种应用识别方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553730B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116192677B (zh) * | 2022-12-21 | 2024-04-30 | 北京安天网络安全技术有限公司 | 网络流量数据差异化存储方法及电子设备 |
| CN117938542B (zh) * | 2024-03-19 | 2024-05-17 | 北京微步在线科技有限公司 | 一种网络流量数据的方向确定方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004040918A2 (en) * | 2002-10-31 | 2004-05-13 | Nokia Corporation | Device detection and service discovery for mobile networks |
| CN102262768A (zh) * | 2010-05-31 | 2011-11-30 | 任天堂株式会社 | 信息处理系统及信息处理方法 |
| CN111740923A (zh) * | 2020-06-22 | 2020-10-02 | 北京神州泰岳智能数据技术有限公司 | 应用识别规则的生成方法、装置、电子设备和存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7827602B2 (en) * | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
| US9590935B2 (en) * | 2014-03-26 | 2017-03-07 | Verizon Patent And Licensing Inc. | Cross-carrier device identification and policy application |
| US11573626B2 (en) * | 2019-06-19 | 2023-02-07 | Kyndryl, Inc. | Identifying electrical power ports utilizing IoT information and augmented reality |
-
2022
- 2022-04-27 CN CN202210448706.9A patent/CN114553730B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004040918A2 (en) * | 2002-10-31 | 2004-05-13 | Nokia Corporation | Device detection and service discovery for mobile networks |
| CN102262768A (zh) * | 2010-05-31 | 2011-11-30 | 任天堂株式会社 | 信息处理系统及信息处理方法 |
| CN111740923A (zh) * | 2020-06-22 | 2020-10-02 | 北京神州泰岳智能数据技术有限公司 | 应用识别规则的生成方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114553730A (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114553730B (zh) | 一种应用识别方法、装置、电子设备及存储介质 | |
| US11425047B2 (en) | Traffic analysis method, common service traffic attribution method, and corresponding computer system | |
| US20150229669A1 (en) | Method and device for detecting distributed denial of service attack | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
| CN110830330B (zh) | 一种防火墙测试方法、装置及系统 | |
| US11115427B2 (en) | Monitoring device, monitoring method, and monitoring program | |
| CN111478888A (zh) | 一种旁路阻断方法、设备及存储介质 | |
| CN109474540B (zh) | 一种识别opc流量的方法及装置 | |
| CN114465710A (zh) | 一种基于流量的漏洞检测方法、装置、设备及存储介质 | |
| CN108460044B (zh) | 数据的处理方法和装置 | |
| CN105516200A (zh) | 云系统安全处理方法和装置 | |
| CN113630418A (zh) | 一种网络服务识别方法、装置、设备及介质 | |
| KR101927100B1 (ko) | 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치 | |
| CN115242551B (zh) | 慢速攻击的防御方法、装置、电子设备及存储介质 | |
| CN109995603B (zh) | 一种Tag模型下丢包测量的方法、装置及电子设备 | |
| CN114281547B (zh) | 一种数据报文处理方法、装置、电子设备及存储介质 | |
| CN115694998A (zh) | 一种安全检测方法、装置、电子设备及存储介质 | |
| CN106936718B (zh) | PPPoE报文传输方法和PPPoE服务器 | |
| CN115801927A (zh) | 报文解析方法及装置 | |
| CN106961393B (zh) | 网络会话中udp报文的检测方法及装置 | |
| US10257093B2 (en) | Information processing device, method, and medium | |
| WO2016202025A1 (zh) | 陷阱Trap报文处理方法及装置 | |
| CN113872980A (zh) | 一种工控设备信息的识别方法、装置、存储介质和设备 | |
| CN111083011A (zh) | 路由安全防火墙和管理平台的自动化测试方法及装置 | |
| CN111865884A (zh) | 一种报文处理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |