The invention discloses a method and a device for identifying application information in network traffic, so as to improve the recognition effect of application identification technology. The method is implemented by the terminal equipment, terminal equipment in the first corresponding table to preserve the corresponding relationship between the process of running the terminal identification and the process of the establishment of data flow identification, second corresponding table second relation between identification and application of the creation process of identity preservation, the method includes: receiving first data transmission network security equipment flow identification; in the first table, to find the first record of the first data stream is identified, the process of obtaining the first record in the logo; in the second table, to find the first record in the preservation of the identity of the process second record the application of identification from the second recorded in the application; sent to the network security device of the logo.
【技术实现步骤摘要】
网络流量中的应用信息的识别方法和装置
本申请涉及计算机及网络通信
,尤其涉及一种网络流量中的应用信息的识别方法及一种网络流量中的应用信息的识别装置。
技术介绍
随着互联网技术的快速发展,基于互联网技术实现的包括服务,游戏在内各种应用也日益丰富。为了满足企业或网络监管部门的各种需求,如为了实现对用户上网行为的管理控制,或者通过流量统计对当前热门应用进行排名,使得流量识别成为了网络安全设备的一项基本功能。其中网络安全设备包括安全网关、防火墙、深度报文检测(DeepPacketInspection,DPI)设备等具有流量分析和管理功能的报文转发功能的设备。流量识别技术分为协议识别技术和应用识别技术。顾名思义,协议识别技术是指网络安全设备确定流经本设备的流量中各数据流所属的协议类型,并进一步可以确定不同协议类型的数据流在总流量中所占的比例。本申请中的“应用”是指提供特定功能、且具有网络访问和报文处理能力的应用软件。当这类应用软件在一个终端设备上运行之后,能够开启终端设备上的网络接口,通过开启的接口与网络中的另一终端设备建立连接,并通过建立的连接传输一系列报文,继而通过对接收到的报文进行处理向用户提供特定的功能。例如,网络浏览器InternetExplorer(IE),即时通信软件腾讯QQ,文件传输协议(FileTransferProtocal,FTP)客户端FileZilla等。由于应用是运行在协议之上的,换句话说,同一种协议上可以运行多种不同的应用,例如点对点(peertopeer,P2P)客户端,网页浏览器都是基于超文本传输协议(HyperTextTra ...
【技术保护点】
一种网络流量中的应用信息的识别方法,所述方法由终端设备执行,其特征在于,所述终端设备中的第一对应表以记录的方式保存有所述终端中运行的进程的标识和所述进程建立的数据流的标识的对应关系,第二对应表以记录的方式保存有应用的标识和所述应用创建的进程的标识的第二对应关系,所述数据流的标识为由源地址、源端口、目的地址、目的端口和协议标识组成的五元组,所述方法包括:接收网络安全设备发送的第一数据流的标识;在所述第一对应表中,查找到保存有所述第一数据流的标识的第一记录,获取所述第一记录中的进程的标识;在所述第二对应表中,查找到保存有所述第一记录中的进程的标识的第二记录,从所述第二记录中获取应用的标识;向所述网络安全设备发送所述应用的标识。
【技术特征摘要】
1.一种网络流量中的应用信息的识别方法,所述方法由终端设备执行,其特征在于,所述终端设备中的第一对应表以记录的方式保存有所述终端中运行的进程的标识和所述进程建立的数据流的标识的对应关系,第二对应表以记录的方式保存有应用的标识和所述应用创建的进程的标识的第二对应关系,所述数据流的标识为由源地址、源端口、目的地址、目的端口和协议标识组成的五元组,所述方法包括:接收网络安全设备发送的第一数据流的标识;在所述第一对应表中,查找到保存有所述第一数据流的标识的第一记录,获取所述第一记录中的进程的标识;在所述第二对应表中,查找到保存有所述第一记录中的进程的标识的第二记录,从所述第二记录中获取应用的标识;向所述网络安全设备发送所述应用的标识。2.根据权利要求1所述的方法,其特征在于,所述终端设备通过以下步骤获得所述第一对应表:所述终端设备通过操作系统提供的接口,获得所述终端设备中运行的至少一个进程的标识;针对获得的每个进程的标识,所述终端设备获得该进程创建的数据流的标识,生成一个包含所述进程的标识和所述数据流的标识的记录;并将所述记录保存在所述第一对应表中。3.根据权利要求1或2所述的方法,其特征在于,所述终端设备通过以下步骤获得所述第一对应表:所述终端设备通过钩子函数获得所述操作系统创建进程的事件;从所述创建进程的事件中获得新创建的进程的标识;获得该新创建进程创建的数据流的标识,生成一个包含所述新创建进程的标识和所述新创建进程创建的所述数据流的标识的记录;并将所述记录保存在所述第一对应表中;所述终端设备获取第一对应表,还包括:所述终端设备通过钩子函数获得所述操作系统退出进程的事件;从所述退出进程的事件中获得退出进程的标识,从所述第一对应表中删除包含所述退出进程的标识的记录。4.根据权利要求1至3所述的方法,其特征在于,所述第一对应表中的记录还包含数据流的最后活动时间;所述方法还包括:所述终端设备确定所述第一对应表中的过期记录,所述过期记录是指包括的数据流的最后活动时间和当前时间之间的时间间隔超过预定时间间隔的记录;删除所述过期记录。5.根据权利要求4所述的方法,其特征在于,所述终端设备获取所述第一对应表之后,还包括:所述终端设备通过钩子函数获得所述终端设备传输的报文;从获得的报文中获得报文所属数据流的标识;将所述第一对应表中包含所述报文所属数据流的标识的记录中数据流的最后活动时间更新为当前时间。6.根据权利要求1至3任一所述的方法,其特征在于,所述终端设备获取所述第一对应表之后,还包括:所述终端设备通过钩子函数获得所述终端设备传输的报文;从获得的报文中获得报文状态标识和报文所属数据流的标识;如果所述报文状态标识为FIN,则删除所述第一对应表中包含所述报文所属数据流的标识的记录。7.根据权利要求1至6中任一所述的方法,其特征在于,所述获取所述第一记录中的进程的标识之后,还包括:为所述进程的标识设置报文采集标识,所述报文采集标识用于指示所述终端设备在通过操作系统的接口捕获所述进程传输的报文后,获得并存储所述进程后续传输的完整数据流。8.一种终端设备,其特征在于,所述终端设备包括存储器、处理器和网络接口,所述存储器、处理器和网络接口通过总线相互通信;所述存储器用于存储程序代码、第一对应表和第二对应表,所述第一对应表以记录的方式保存有所述终端中运行的进程的标识和所述进程建立的数据流的标识的对应关系,第二对应表以记录的方式保存有应用的标识和所述应用创建的进程的标识的第二对应关系,所述数据流的标识为由源地址、源端口、目的地址、目的端口和协议标识组成的五元组;所述网络接口,用于接收网络安全设备发送的第一数据流的标识;所述处理器读取所述存储器中存储的程序代码,执行:在所述第一对应表中,查找到保存有所述第一数据流的标识的第一记录,获取所述第一记录中的进程的标识;在所述第二对应表中,查找到保存有所述第一记录中的进程的标识的第二记录,从所述第二记录中获取应用的标识;所述网络接口,还用于向所述网络安全设备发送所述处理器获取的应用的标识。9.根据权利要求8所述的终端设备,其特征在于,所述处理器,还用于通过以下操作获得所述第一对应表:通过操作系统提供的接口,获得所述终端设备中运行的至少一个进程的标识;针对获得的每个进程的标识,所述终端设备获得该进程创建的数据流的标识,生成一个包含所述进程的标识和所述数据流的标识的记录;并将所述记录保存在所述第一对应表中。10.根据权利要求8或9所述的终端设备,其特征在于,所述处理器,还用于通过以下操作获得所述第一对应表:通过钩子函数获得所述操作系统创建进程的事件;从所述创建进程的事件中获得新创建的进程的标识;获得该新创建进程创建的数据流的标识,生成一个包含所述新创建进程的标识和所述新创建进程创建的所述数据流的标识的记录;并将所述记录保存在所述第一对应表中;以及通过钩子函数获得所述操作系统退出进程的事件;从所述退出进程的事件中获得退出进程的标识,从所述第一对应表中删除包含所述退出进程的标识的记录。11.根据权利要求8至10中任一所述的终端设备,其特征在于,所述第一对应表中的记录还包含数据流的最后活动时间;所述处理器,还用于确定所述第一对应表中的过期记录,所述过期记录是指包括的数据流的最后活动时间和当前时间之间的时间间隔超过预定时间间隔的记录;删除所述过期记录。12.根据权利要求11所述的终端设备,其特征在于,所述处理器,还用于获取所述第一对应表之后,所述终端设备通过钩子函数获得所述终端设备传输的报文;从获得的报文中获得报文所属数据流的标识;将所述第一对应表中包含所述报文所属数据流的标识的记录中数据流的最后活动时间更新为当前时间。13.根据权利要求根据权利要求8至10中任一所述的终端设备,其特征在于,所述处理器,还用于获取所述第一对应表之后,所述终端设备通过钩子函数获得所述终端设备传输的报文;从获得的报文中获得报文状态标识和报文所属数据流的标识;如果所述报文状态标识为FIN,则删除所述第一对应表中包含所述报文所属数据流的标识的记录。14.一种网络流量中的应用信息的识别系统,其特征在于,包括网络安全设备和终端设备,其中:所述网络安全设备,用于接收第一数据流,并获取所述第一数据流的标识,所述数据流的标识为由源地址、源端口、目的地址、目的端口和协议标识组成的五元组;根据所述第一数据流的标识中的源地址或目的地址,向所述终端设备发送所述数据流的标识,所述终端设备的地址为所述第一数据流的标识中的源地址或目的地址;接收所述终端设备发送的应用的标识,确定接收到的所述应用的标识为发送所述第一数据流的应用的标识;所述终端设备,存储有第一对应表和第二对应表,所述第一对应表以记录的方式保存有所述终端中运行的进程的标识和所述进程建立的数据流的标识的对应关系,第二对应表以记录的方式保存有应用的标识和所述应用创建的进程的标识的第二对应关系,所述数据流的标识为由源地址、源端口、目的地址、目的端口和协议标识组成的五元组,所述终端设备用于接收网络安全设备发送的第一数据流的标识;在所述第一对应表中,查找到保存有所述第一数据流的标识的第一记录,获取所述第一记录中的进程的标识;在所述第二对应表中,查找到保存有所述第一记录中的进程的标识的第二记录,从所述第二记录中获取应用的标识;向所述网络安全设备发送所述应用的标识。15.根据权利要求14所述的识别系统,其特征在于,所述网络安全设备,还用于生成第一关联识别规则和第二关联识别规则,所述第一关联识别规则包含所述应用的标识和由所述第一数据流的目的地址、目的端口和协议号组成的三元组,所述第二关联识别规则包含所述应用的标识和由所述第一数据流的源地址、源端口和协议号组成的三元组;接收第二数据流,获取所述第二数据流的目的三元组和源三元组中的至少一个,所述第二数据流的目的三元组为由所述第二数据流的目的地址、目的端口和协议号组成的三元组,所述第二数据流的源三元组为所述第二数据流的源地址、源端口和协议号组成的三元组;如果所述获取的三元组与所述第一关联识别规则和所述第二关联识别规则中任意一个关联识别规则包含的三元组一致,则确定发送所述第二数据流的应用的标识为所述任意一个关联识别规则包含的应用的标识。16.一种网络流量中的应用信息的识别方法,其特征在于,包括:接收来自于网络安全设备的第一识别记录,所述第一识别记录包含第一数据流的标识和应用的标识,所述数据流的标识为由源地址、源端口、目的地址、目的端口和协议标识组成的五元组;接收来自于终端设备的第二识别记录和对应表,所述第二识别记录包含第二数据流的标识和进程的标识,所述对应表中的每条记录保存一个应用的标识与所述应用创建的进程的标识;如果所述第一识...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。