本发明专利技术公开了一种流量应用识别方法,应用于在业务系统的任意一个业务服务器中部署的识别设备,该方法包括:接收对发起目标流量的应用的识别命令,目标流量为业务系统的防火墙未识别到应用的流量;根据目标流量的连接信息,截取目标流量对应的数据包,提取关键特征;获取目标流量对应的进程信息;根据提取的关键特征和获取的进程信息,对发起目标流量的应用进行识别,获得识别结果。应用本发明专利技术实施例所提供的技术方案,在防火墙无法识别到流量应用时,可以通过业务服务器中识别设备进行辅助识别,提高对流量应用识别的准确性,为进一步判别风险提供参考依据。本发明专利技术还公开了一种流量应用识别装置、设备及存储介质,具有相应技术效果。
A Flow Application Recognition Method, Device, Equipment and Storage Media
【技术实现步骤摘要】
一种流量应用识别方法、装置、设备及存储介质
本专利技术涉及计算机应用
,特别是涉及一种流量应用识别方法、装置、设备及存储介质。
技术介绍
随着互联网技术的快速发展,互联网在各行各业的应用越来越广泛,互联网上各种各样的网络流量也越来越多,如视频、音频、文件、邮件、网页、FTP(FileTransferProtocol,文件传输协议)、未知协议等的网络流量。当前网络流量主要分为可识别流量和未知流量,可识别流量主要为HTTP(HyperTextTransferProtocol,超文本传输协议)、FTP、Mail等使用识别规则能够识别到的流量,未知流量为第三方软件或者用户自定义流量,例如发包工具、病毒木马外发流量等。对流量应用进行识别,有助于及时判别风险。如何对流量应用进行有效识别,是目前本领域技术人员急需解决的技术问题。
技术实现思路
本专利技术的目的是提供一种流量应用识别方法、装置、设备及存储介质,以有效识别流量应用。为解决上述技术问题,本专利技术提供如下技术方案:一种流量应用识别方法,应用于在业务系统的任意一个业务服务器中部署的识别设备,所述方法包括:接收对发起目标流量的应用的识别命令,所述识别命令携带所述目标流量的连接信息,所述目标流量为所述业务系统的防火墙未识别到应用的流量;根据所述目标流量的连接信息,截取所述目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征;获取所述目标流量对应的进程信息;根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果。在本专利技术的一种具体实施方式中,所述获取所述目标流量对应的进程信息,包括:将所述业务服务器的操作系统当前运行的进程镜像化;根据所述目标流量的连接信息,定位所述目标流量对应的进程;获取所述目标流量对应的进程信息。在本专利技术的一种具体实施方式中,所述根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果,包括:根据获取的进程信息的签名的信任程度,确定进程判定结果;根据提取的关键特征与预设的敏感信息的匹配程度,确定数据包判定结果;根据所述进程判定结果和所述数据包判定结果,获得发起所述目标流量的应用的识别结果。在本专利技术的一种具体实施方式中,还包括:将所述识别结果返回给所述业务系统的防火墙,以使所述业务系统的防火墙根据所述识别结果更新应用于所述业务系统的识别规则。在本专利技术的一种具体实施方式中,还包括:将所述识别结果上报给云端,以使所述云端根据所述识别结果更新总的识别规则,并将所述总的识别规则下发给各个防火墙,和/或根据所述识别结果确定发起所述目标流量的应用的风险等级。一种流量应用识别装置,应用于在业务系统的任意一个业务服务器中部署的识别设备,所述装置包括:识别命令接收单元,用于接收对发起目标流量的应用的识别命令,所述识别命令携带所述目标流量的连接信息,所述目标流量为所述业务系统的防火墙未识别到应用的流量;关键特征提取单元,用于根据所述目标流量的连接信息,截取所述目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征;进程信息获取单元,用于获取所述目标流量对应的进程信息;识别结果获得单元,用于根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果。在本专利技术的一种具体实施方式中,所述进程信息获取单元,具体用于:将所述业务服务器的操作系统当前运行的进程镜像化;根据所述目标流量的连接信息,定位所述目标流量对应的进程;获取所述目标流量对应的进程信息。在本专利技术的一种具体实施方式中,所述识别结果获得单元,具体用于:根据获取的进程信息的签名的信任程度,确定进程判定结果;根据提取的关键特征与预设的敏感信息的匹配程度,确定数据包判定结果;根据所述进程判定结果和所述数据包判定结果,获得发起所述目标流量的应用的识别结果。在本专利技术的一种具体实施方式中,还包括识别结果返回单元,用于:将所述识别结果返回给所述业务系统的防火墙,以使所述业务系统的防火墙根据所述识别结果更新应用于所述业务系统的识别规则。在本专利技术的一种具体实施方式中,还包括识别结果上报单元,用于:将所述识别结果上报给云端,以使所述云端根据所述识别结果更新总的识别规则,并将所述总的识别规则下发给各个防火墙,和/或根据所述识别结果确定发起所述目标流量的应用的风险等级。一种流量应用识别设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述任一项所述流量应用识别方法的步骤。一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述流量应用识别方法的步骤。应用本专利技术实施例所提供的技术方案,在业务系统的每个业务服务器中均部署识别设备,通过互联网发往业务服务器的目标流量经过防火墙,如果防火墙未识别到目标流量的应用,则向业务服务器的识别设备下发识别命令。识别设备在接收到对发起目标流量的应用的识别命令后,可以根据目标流量的连接信息,截取目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征,并获取目标流量对应的进程信息,根据提取的关键特征和获取的进程信息,对发起目标流量的应用进行识别,获得识别结果。这样,在防火墙无法识别到流量应用时,可以通过业务服务器中识别设备进行辅助识别,提高对流量应用识别的准确性,为进一步判别风险提供参考依据。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例中一种业务系统的结构示意图;图2为本专利技术实施例中一种流量应用识别方法的实施流程图;图3为本专利技术实施例中一种流量应用识别装置的结构示意图;图4为本专利技术实施例中一种流量应用识别设备的结构示意图。具体实施方式本专利技术的核心是提供一种流量应用识别方法,该方法可以应用于业务系统的任意一个业务服务器中部署的识别设备,业务系统的业务服务器可以是服务器或者PC等终端设备。在本专利技术实施例中,业务系统可以包括多个业务服务器和安全资源池,每个业务服务器用于具体的业务处理,每个业务服务器中均部署有识别设备,安全资源池(CloudSecurityServicePlatform,CSSP)是以保护用户资产和业务为核心,所有组件,如资产管理、下一代防火墙、终端、审计等是提供安全防护的基础支撑,服务将持续在整个用户的资产和业务生命周期内,以保证用户得到真实可靠的安全防护能力和持续不断地提升用户资产和业务的安全防护能力。如图1所示,业务系统包括业务服务器1、业务服务器2和安全资源池,安全资源池中包括防火墙1、防火墙2,其中,防火墙1为服务于业务系统的防火墙,通过互联网发往业务系统的业务服务器的流量会先经由路由器、交换机、安全资源池接口eth1、eth2等到达安全资源池,经过安全资源池进行流量清洗后再经由路由器、交换机等发给相应业务服务器。安全资源池中的防火墙会进行应用识别,如果未识别到则由相应业务服务器中部署的识别设备进行识别。因本专利技术实施例仅涉及到流量应用识别,所以安全资源池中包含的其他组件未在图1本文档来自技高网...
【技术保护点】
1.一种流量应用识别方法,其特征在于,应用于在业务系统的任意一个业务服务器中部署的识别设备,所述方法包括:接收对发起目标流量的应用的识别命令,所述识别命令携带所述目标流量的连接信息,所述目标流量为所述业务系统的防火墙未识别到应用的流量;根据所述目标流量的连接信息,截取所述目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征;获取所述目标流量对应的进程信息;根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果。
【技术特征摘要】
1.一种流量应用识别方法,其特征在于,应用于在业务系统的任意一个业务服务器中部署的识别设备,所述方法包括:接收对发起目标流量的应用的识别命令,所述识别命令携带所述目标流量的连接信息,所述目标流量为所述业务系统的防火墙未识别到应用的流量;根据所述目标流量的连接信息,截取所述目标流量对应的数据包,并对截取的数据包进行分析,提取关键特征;获取所述目标流量对应的进程信息;根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果。2.根据权利要求1所述的方法,其特征在于,所述获取所述目标流量对应的进程信息,包括:将所述业务服务器的操作系统当前运行的进程镜像化;根据所述目标流量的连接信息,定位所述目标流量对应的进程;获取所述目标流量对应的进程信息。3.根据权利要求1所述的方法,其特征在于,所述根据提取的关键特征和获取的进程信息,对发起所述目标流量的应用进行识别,获得识别结果,包括:根据获取的进程信息的签名的信任程度,确定进程判定结果;根据提取的关键特征与预设的敏感信息的匹配程度,确定数据包判定结果;根据所述进程判定结果和所述数据包判定结果,获得发起所述目标流量的应用的识别结果。4.根据权利要求1至3之中任一项所述的方法,其特征在于,还包括:将所述识别结果返回给所述业务系统的防火墙,以使所述业务系统的防火墙根据所述识别结果更新应用于所述业务系统的识别规则。5.根据权利要求1至3之中任一项所述的方法,其特征在于,还包括:将所述识别结果上报给云端,以使所述云端根据所述识别结果更新总的识别规则,并将所述总的识别规则下发给各个防火墙,和/或根据所述识别结果确定发起所述目标流量的应用的风险等级。6.一种流量应用识别装置,其特征在于,应用于在业务系统的任意一个业务服务器中部署的识别设备,所述装置包括:识别命令接收单元,用于接收对发起目标流量的应用的识别命令,所述识别命令携带所述目标流量的...
【专利技术属性】
技术研发人员:邓胜利,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。