一种应用识别结果的验证方法及系统技术方案

本发明专利技术公开了一种应用识别结果的验证方法及系统，该系统包括测试设备和验证设备，测试设备和验证设备中存储第一应用列表中每个应用的应用识别规则；该方法包括：测试设备接收客户端发送的数据流，并根据存储的应用识别规则对数据流进行应用识别，得到第一识别结果；如果第一识别结果表示数据流属于第一目标应用，则验证设备利用第二应用列表中各个应用的应用识别规则，识别数据流是否属于第二目标应用，如果是，则确定发生了应用误报，如果否，则确定未发生应用误报；第一目标应用为第一应用列表中的应用，第二应用列表是从第一应用列表中去除第一目标应用后的应用列表，第二目标应用是第二应用列表中的与第一目标应用没有关联的一个应用。

【技术实现步骤摘要】

本专利技术涉及自动控制
，尤其涉及一种应用识别结果的验证方法及系统。
技术介绍
随着网络技术的不断发展，大量的网络应用为人们的工作与生活提供了便利，同时，应用质量的良莠不齐，对网络安全也带来了威胁，因此，需要对网络应用进行管理，但由于网络应用的种类繁多，对网络管理带来了一定困难。在实际应用中，出于对网络管控与安全保护的目的，网络管理员通常需要对不同网络应用进行放行、限速、阻断等不同操作，为此，需要预先通过应用识别技术识别出不同的网络应用。目前，通常采用深度包检测技术进行应用识别，即通过分析网络应用产生的数据包的特征来区分不同的应用，因此需要预先根据不同的应用特征，开发相应的应用识别规则，应用识别规则相当于对应用特征的描述，这样，网络设备中的应用识别引擎就可以根据不同的应用识别规则来识别网络中的不同应用。随着网络应用数量的不断增多，需要不断的增加应用识别规则，但是，如果应用识别规则描述的特征不够精确，某些应用之间就无法准确区分，就会产生应用结果的误报现象。对于这种误报现象，现有解决方式是：用户在使用一合法应用A时，只有在该应用A出现使用异常时，比如被禁止使用，用户才会向网络管理人员反馈情况，网络管理员要现场对用户的应用A进行重新测试，来确定该应用A是否被误识别成其他非法应用B而被禁用。但是，采用现有方式确定一个应用是否被误报，其效率低下，不利于及时对应用识别规则进行修改。
技术实现思路
有鉴于此，本专利技术实施例的主要目的在于提供一种应用识别结果的验证方法及系统，能够提高应用误报的识别效率。本专利技术实施例提供了一种应用识别结果的验证方法，所述方法应用于一种应用识别结果的验证系统，所述验证系统包括测试设备和验证设备，所述测试设备和所述验证设备中分别存储第一应用列表中每个应用的应用识别规则；所述方法包括：所述测试设备接收客户端发送的数据流，并根据存储的应用识别规则对所述数据流进行应用识别，得到第一识别结果；如果所述第一识别结果表示所述数据流属于第一目标应用，则所述验证设备利用第二应用列表中各个应用的应用识别规则，识别所述数据流是否属于第二目标应用，如果是，则确定发生了应用误报，如果否，则确定未发生应用误报；其中，所述第一目标应用为所述第一应用列表中的一个应用，所述第二应用列表是从所述第一应用列表中去除所述第一目标应用后的应用列表，所述第二目标应用是所述第二应用列表中的与所述第一目标应用没有关联的一个应用。可选的，所述方法还包括：所述测试设备根据所述第一识别结果判断所述数据流是否属于第一目标应用，如果是，则将所述数据流以及所述第一识别结果发送至所述验证设备，如果否，则丢弃所述数据流以及所述第一识别结果；或者，当所述验证系统还包括控制设备时，所述测试设备将所述数据流以及所述第一识别结果发送至所述控制设备；所述控制设备根据所述第一识别结果判断所述数据流是否属于第一目标应用，如果是，则将所述数据流以及所述第一识别结果发送至所述验证设备，如果否，则丢弃所述数据流以及所述第一识别结果。可选的，所述识别所述数据流是否属于第二目标应用，包括：将存储的所述第一目标应用的应用识别规则进行屏蔽；利用屏蔽后的应用识别规则对所述数据流进行应用识别，得到第二识别结果；如果所述第二识别结果表示所述数据流不属于所述第二应用列表中的任一应用，则确定所述数据流不属于所述第二目标应用；如果所述第二识别结果表示所述数据流属于所述第二应用列表中的其中一应用，则判断该应用与所述第一目标应用之间是否具有父子关系，如果是，则将该应用的应用识别规则进行屏蔽，继续执行所述利用屏蔽后的应用识别规则对所述数据流进行应用识别的步骤，如果否，则确定所述数据流属于所述第二目标应用。可选的，所述确定发生了应用误报之后，还包括：将所述数据流、所述第一识别结果以及第二识别结果存储到误报数据库中。可选的，所述测试设备布置在局域网与互联网之间。本专利技术实施例还提供了一种应用识别结果的验证系统，所述验证系统包括测试设备和验证设备，所述测试设备和所述验证设备中分别存储第一应用列表中每个应用的应用识别规则；所述测试设备，用于接收客户端发送的数据流，并根据存储的应用识别规则对所述数据流进行应用识别，得到第一识别结果；所述验证设备，用于如果所述第一识别结果表示所述数据流属于第一目标应用，则利用第二应用列表中各个应用的应用识别规则，识别所述数据流是否属于第二目标应用，如果是，则确定发生了应用误报，如果否，则确定未发生应用误报；其中，所述第一目标应用为所述第一应用列表中的一个应用，所述第二应用列表是从所述第一应用列表中去除所述第一目标应用后的应用列表，所述第二目标应用是所述第二应用列表中的与所述第一目标应用没有关联的一个应用。可选的，所述测试设备，还用于根据所述第一识别结果判断所述数据流是否属于第一目标应用，如果是，则将所述数据流以及所述第一识别结果发送至所述验证设备，如果否，则丢弃所述数据流以及所述第一识别结果；或者，当所述验证系统还包括控制设备时，所述测试设备，还用于将所述数据流以及所述第一识别结果发送至所述控制设备；所述控制设备，用于根据所述第一识别结果判断所述数据流是否属于第一目标应用，如果是，则将所述数据流以及所述第一识别结果发送至所述验证设备，如果否，则丢弃所述数据流以及所述第一识别结果。可选的，所述验证设备包括：规则屏蔽单元，用于将存储的所述第一目标应用的应用识别规则进行屏蔽；应用识别单元，用于利用屏蔽后的应用识别规则对所述数据流进行应用识别，得到第二识别结果；结果输出单元，用于如果所述第二识别结果表示所述数据流不属于所述第二应用列表中的任一应用，则确定所述数据流不属于所述第二目标应用；所述结果输出单元，还用于如果所述第二识别结果表示所述数据流属于所述第二应用列表中的其中一应用，则判断该应用与所述第一目标应用之间是否具有父子关系，如果是，则将该应用的应用识别规则进行屏蔽，继续利用所述应用识别单元实现所述利用屏蔽后的应用识别规则对所述数据流进行应用识别的功能，如果否，则确定所述数据流属于所述第二目标应用。可选的，所述验证设备，还用于确定发生了应用误报之后，将所述数据流、所述第一识别结果以及第二识别结果存储到误报数据库中。可选的，所述测试设备布置在局域网与互联网之间。本专利技术实施例提供的应用识别结果的验证方法及系统，预先使测试设备和验证设备中分别存储第一应用列表中每个应用的应用识别规则。在测试过程中，测试设备接收客户端发送的数据流，并根据存储的应用识别规则识别对所述数据流进行应用识别；如果识别结果表示所述数据流属于第一应用列表中的一个应用即第一目标应用，则在验证过程中，验证设备利用所述第一目标应用以外的应用识别规则对所述数据流进行应用识别；如果验证设备没有识别出一具体应用、或者识别出一个具体应用且该具体应用与第一目标应用具有关联关系，则认为没有发生应用误报，如果验证设备识别出一个具体应用且该具体应用与第一目标应用不具有关联关系，则认为发生了应用误报。可见，本专利技术通过对测试设备的应用识别结果进行再次验证，可以发现应用的误报现象，进而可以定位所述数据流对应的误报应用以及误报应用对应的应用识别规则，这与用户使用应用过程中发现误报再验证误报的现有方式相比，本专利技术提高了应用误报的识别效率本文档来自技高网...

【技术保护点】
一种应用识别结果的验证方法，其特征在于，所述方法应用于一种应用识别结果的验证系统，所述验证系统包括测试设备和验证设备，所述测试设备和所述验证设备中分别存储第一应用列表中每个应用的应用识别规则；所述方法包括：所述测试设备接收客户端发送的数据流，并根据存储的应用识别规则对所述数据流进行应用识别，得到第一识别结果；如果所述第一识别结果表示所述数据流属于第一目标应用，则所述验证设备利用第二应用列表中各个应用的应用识别规则，识别所述数据流是否属于第二目标应用，如果是，则确定发生了应用误报，如果否，则确定未发生应用误报；其中，所述第一目标应用为所述第一应用列表中的一个应用，所述第二应用列表是从所述第一应用列表中去除所述第一目标应用后的应用列表，所述第二目标应用是所述第二应用列表中的与所述第一目标应用没有关联的一个应用。

【技术特征摘要】
1.一种应用识别结果的验证方法，其特征在于，所述方法应用于一种应用识别结果的验证系统，所述验证系统包括测试设备和验证设备，所述测试设备和所述验证设备中分别存储第一应用列表中每个应用的应用识别规则；所述方法包括：所述测试设备接收客户端发送的数据流，并根据存储的应用识别规则对所述数据流进行应用识别，得到第一识别结果；如果所述第一识别结果表示所述数据流属于第一目标应用，则所述验证设备利用第二应用列表中各个应用的应用识别规则，识别所述数据流是否属于第二目标应用，如果是，则确定发生了应用误报，如果否，则确定未发生应用误报；其中，所述第一目标应用为所述第一应用列表中的一个应用，所述第二应用列表是从所述第一应用列表中去除所述第一目标应用后的应用列表，所述第二目标应用是所述第二应用列表中的与所述第一目标应用没有关联的一个应用。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述测试设备根据所述第一识别结果判断所述数据流是否属于第一目标应用，如果是，则将所述数据流以及所述第一识别结果发送至所述验证设备，如果否，则丢弃所述数据流以及所述第一识别结果；或者，当所述验证系统还包括控制设备时，所述测试设备将所述数据流以及所述第一识别结果发送至所述控制设备；所述控制设备根据所述第一识别结果判断所述数据流是否属于第一目标应用，如果是，则将所述数据流以及所述第一识别结果发送至所述验证设备，如果否，则丢弃所述数据流以及所述第一识别结果。3.根据权利要求1所述的方法，其特征在于，所述识别所述数据流是否属于第二目标应用，包括：将存储的所述第一目标应用的应用识别规则进行屏蔽；利用屏蔽后的应用识别规则对所述数据流进行应用识别，得到第二识别结果；如果所述第二识别结果表示所述数据流不属于所述第二应用列表中的任一应用，则确定所述数据流不属于所述第二目标应用；如果所述第二识别结果表示所述数据流属于所述第二应用列表中的其中一应用，则判断该应用与所述第一目标应用之间是否具有父子关系，如果是，则将该应用的应用识别规则进行屏蔽，继续执行所述利用屏蔽后的应用识别规则对所述数据流进行应用识别的步骤，如果否，则确定所述数据流属于所述第二目标应用。4.根据权利要求1至3任一项所述的方法，其特征在于，所述确定发生了应用误报之后，还包括：将所述数据流、所述第一识别结果以及第二识别结果存储到误报数据库中。5.根据权利要求1至3任一项所述的方法，其特征在于，所述测试设备布置在局域网与互联网之间。6.一种应用识别结果...

【专利技术属性】
技术研发人员：谷久宏，
申请(专利权)人：东软集团股份有限公司，
类型：发明
国别省市：辽宁;21