一种应用识别装置及方法、防火墙、服务器制造方法及图纸

技术编号:14171863 阅读:66 留言:0更新日期:2016-12-12 23:38
本发明专利技术公开了一种应用识别方法,包括:接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括地址信息和应用识别结果的应用识别缓存;接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。本发明专利技术还同时公开了一种应用识别装置、防火墙、服务器。

Application identification device and method, firewall, server

The invention discloses a recognition method comprises: receiving data packets, and character recognition to detect the received data message, obtain the address information and the application of the identification result, application identification cache includes address information and application results are sent to the server; receiving the recognition application cache server sends the collection as a local application identification according to the local cache; cache set of application identification data packets are received by the identification of new. The invention also discloses an application identification device, a firewall and a server.

一种应用识别装置及方法、防火墙、服务器

【技术实现步骤摘要】

本专利技术涉及网络管理监控领域,尤其涉及一种应用识别装置及方法、防火墙、服务器
技术介绍
应用识别是网关、防火墙等设备的管控基础,提高应用识别的准确性、全面性,对提高网络管理监控的有效性十分重要。现有技术中,防火墙、网关等网络边界设备的应用识别方法都是基于特征提取,具体实现方案包括:在单点实验室环境中,对应用产生的网络流量进行分析,提取出特殊关键信息作为特征,生成对应特征库;再部署在网关设备上进行特征匹配检测。而随着网络应用数量发展迅速,一种应用会产生多种网络行为,而依靠传统的特征提取方法无法识别所有的行为,且在单点实验室环境也无法识别、覆盖所有的应用网络行为特征。现有的技术方案存在以下局限性:特征提取工作繁重、复杂;实验室环境单一,无法覆盖应用的所有网络行为;特征库提取、更新周期时间过长;特征匹配性能差。
技术实现思路
有鉴于此,本专利技术实施例期望提供一种应用识别装置及方法、防火墙、服务器,能解决实验室环境覆盖的应用网络行为少的问题,提高特征匹配性能和应用识别速度。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术实施例提供了一种应用识别方法,所述方法包括:接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括地址信息和应用识别结果的应用识别缓存;接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。上述方案中,所述根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别,包括:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的所述地址信息查询所述数据结构,获得应用识别结果。本专利技术实施例还提供了一种应用识别方法,所述方法包括:接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合;对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;向各防火墙发送经删选后的应用识别缓存集合。上述方案中,所述对去重后的应用识别缓存集合存在的矛盾信息进行删选,包括:从应用识别缓存集合中获取各条矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息。上述方案中,所述向各防火墙发送经删选后的应用识别缓存集合之前,所述方法还包括:确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。本专利技术实施例还提供了一种防火墙,所述防火墙包括:特征识别模块和缓存模块;其中,所述特征识别模块,用于接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括所述地址信息和应用识别结果的应用识别缓存;所述缓存模块,用于接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。上述方案中,所述防火墙还包括:第一通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合。上述方案中,所述缓存模块,具体用于:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的地址信息查询所述数据结构,获得应用识别结果。本专利技术实施例还提供了一种服务器,所述服务器包括:缓存集合模块和过滤模块;所述缓存集合模块,用于接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合,向各防火墙发送经过删选的应用识别缓存集合;所述过滤模块,用于对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。上述方案中,所述过滤模块,具体用于:从应用识别缓存集合中获取各条矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。上述方案中,所述服务器还包括:信息维护模块,用于确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。上述方案中,所述服务器还包括:第二通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合。本专利技术实施例还提供了一种应用识别装置,所述装置包括:特征识别模块、缓存模块、缓存集合模块和过滤模块;其中,所述特征识别模块,用于接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括所述地址信息和应用识别结果的应用识别缓存;所述缓存模块,用于接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别;所述缓存集合模块,用于接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合,向各防火墙发送经过删选后的应用识别缓存集合;所述过滤模块,用于对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;将经过删选后的应用识别缓存集合发送给缓存集合模块。上述方案中,所述装置还包括:信息维护模块,用于确定所述应用识别缓存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。上述方案中,所述缓存模块,具体用于:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的地址信息查询所述数据结构,获得应用识别结果;所述过滤模块,具体用于:从应用识别缓存集合中获取各条矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息;将经过删选后的应用识别缓存集合发送给所述缓存集合模块。上述方案中,所述装置还包括:第一通信模块和第二通信模块;其中,所述第一通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合;所述第二通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合。与现有技术相比,本专利技术实施例提供的应用识别装置及方法、防火墙、服务器,防火墙接收数据报文,并对所述数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括地址信息和应用识别结果的应用识别缓存;接收服务器发送的应用识别缓存集合作为本地应用识别缓存集合,再根据本地应用识别缓存集合对新接收的数据报文进行应用识别。本专利技术实施例通过服务器将各防火墙的应用识别结果汇总、过滤,再同步下发到各防火墙中,如此,能实现各防火墙彼此交换应用识别缓存,从而提高了应用识别准确性和识别覆盖率,简化了特征提取的工作量,缩短了更新周期;并且,本专利技术实施例基于应用识别缓存的应用识别,只对IP地址或端口等地址信息进行匹配,提高了识别速度,增强了特征匹配性能。附图说明图1为本专利技术实施例一种防火墙的结构示意图;图2为本专利技术实施例一种服务器的结构示意图;图3为本专利技术实施例一种应用识别装置的结构示意图;图4为本专利技术实施例一种用于防火墙的应用识别方法的流程本文档来自技高网...
一种应用识别装置及方法、防火墙、服务器

【技术保护点】
一种应用识别方法,其特征在于,所述方法包括:接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括地址信息和应用识别结果的应用识别缓存;接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。

【技术特征摘要】
1.一种应用识别方法,其特征在于,所述方法包括:接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括地址信息和应用识别结果的应用识别缓存;接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。2.根据权利要求1所述的方法,其特征在于,所述根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别,包括:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的所述地址信息查询所述数据结构,获得应用识别结果。3.一种应用识别方法,其特征在于,所述方法包括:接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合;对所述应用识别缓存集合进行去重,并对去重后的应用识别缓存集合存在的矛盾信息进行删选;向各防火墙发送经删选后的应用识别缓存集合。4.根据权利要求3所述的方法,其特征在于,所述对去重后的应用识别缓存集合存在的矛盾信息进行删选,包括:从应用识别缓存集合中获取各条矛盾信息的可信度的影响要素和所述影响要素的影响比例,根据所述影响要素和所述影响要素的影响比例计算所述矛盾信息的可信度,根据所述可信度删选所述矛盾信息。5.根据权利要求3或4所述的方法,其特征在于,所述向各防火墙发送经删选后的应用识别缓存集合之前,所述方法还包括:确定所述应用识别缓 存集合中的失效信息,删除失效信息,更新所述应用识别缓存集合。6.一种防火墙,其特征在于,所述防火墙包括:特征识别模块和缓存模块;其中,所述特征识别模块,用于接收数据报文,对接收的数据报文进行特征识别检测,获得地址信息和应用识别结果,向服务器发送包括所述地址信息和应用识别结果的应用识别缓存;所述缓存模块,用于接收所述服务器发送的应用识别缓存集合作为本地应用识别缓存集合;根据所述本地应用识别缓存集合对新接收的数据报文进行应用识别。7.根据权利要求6所述的防火墙,其特征在于,所述防火墙还包括:第一通信模块,用于传输所述应用识别缓存和所述应用识别缓存集合。8.根据权利要求6或7所述的防火墙,其特征在于,所述缓存模块,具体用于:根据所述本地应用识别缓存集合构建以地址信息作为检索条件的数据结构;接收新数据报文,获得新接收的数据报文的地址信息,根据新接收的数据报文的地址信息查询所述数据结构,获得应用识别结果。9.一种服务器,其特征在于,所述服务器包括:缓存集合模块和过滤模块;所述缓存集合模块,用于接收各防火墙发送的应用识别缓存,根据所述应用识别缓存构建应用识别缓存集合,向各防火墙发送经过删选的应用识别缓存集合;所述过滤模块,用于对所述应用识别缓存集合进...

【专利技术属性】
技术研发人员:牟洪章陈鑫乔石
申请(专利权)人:北京网康科技有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1