本公开提供了一种应用识别方法、应用识别装置和计算设备。该方法包括:接收客户端发送的针对非标准端口的数据包,数据包包括第一目的地址信息和目的端口信息;以及响应于数据包,从第一数据集合中确定与第一目的地址信息和目的端口信息相匹配的应用关联信息,以便基于应用关联信息对数据包进行协议栈还原,获得数据包的还原信息。
Application identification method, application identification device and computing equipment
【技术实现步骤摘要】
应用识别方法、应用识别装置和计算设备
本公开涉及信息安全
,更具体地,涉及一种应用识别方法、应用识别装置和计算设备。
技术介绍
随着通信和计算机技术的快速发展,互联网信息安全成为人们日益关注的焦点。在网络技术中,逻辑意义上的端口,可以指传输控制协议/网际协议(TCP/IP)中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于文件传输协议(filetransferprotocol,简称ftp)服务的21端口等等。需要进行网络通讯的每一个应用,操作系统都要为它使用一个或若干个端口,以免发生冲突。系统默认的端口是标准端口,应用也可以使用自定义的端口,即使用非标准端口。在实现本公开构思的过程中,专利技术人发现相关技术中至少存在如下问题:对于非标准端口,防火墙不易直接确定其所采用的通讯协议,以对接收的数据包进行还原、监测等。
技术实现思路
有鉴于此,本公开提供了一种应用识别方法、应用识别装置和计算设备。本公开的一个方面提供了一种由服务器端执行的应用识别方法,包括:接收客户端发送的针对非标准端口的数据包,数据包包括第一目的地址信息和目的端口信息;以及响应于数据包,从第一数据集合中确定与第一目的地址信息和目的端口信息相匹配的应用关联信息,以便基于应用关联信息对数据包进行协议栈还原,获得数据包的还原信息;其中,数据包包括使客户端与目的服务器端之间建立连接的握手包;第一数据集合包括地址信息和端口信息与应用关联信息之间的映射关系;还原信息至少用于对与还原信息对应的数据包进行监测。根据本公开的实施例,在接收到基于非标准端口传输的数据包时,基于第一目的地址信息和目的端口信息从第一数据集合确定应用关联信息,以基于应用关联信息进行数据还原,便于防火墙对还原后的数据进行监测、过滤和修改等操作。其中,由于可以直接基于第一数据集合确定应用关联信息(如通讯协议),使得防火墙可以在接收到第一个握手数据包时即可确定其应用关联信息,提升防火墙的处理效率。根据本公开的实施例,上述方法还包括:在从第一数据集合中确定与第一目的地址信息和目的端口信息相匹配的应用关联信息之后,接收域名系统请求,域名系统请求包括域名信息;响应于域名系统请求,确定与域名信息对应的应用名称;以及基于应用名称更新应用关联信息。根据本公开的实施例,确定与域名信息对应的应用名称包括:从域名系统请求中获取第二目的地址信息;以及从第二数据集合中确定与第二目的地址信息相匹配的适配应用名称,以获得与域名信息对应的应用名称,其中,第二数据集合包括地址信息与应用名称之间的映射关系。根据本公开的实施例,应用关联信息包括可信度属性。相应地,上述方法还包括:在基于应用关联信息对数据包进行协议栈还原之后,获得数据包的还原信息,以对数据包进行数据包过滤或指定信息替换,得到处理后数据包;将处理后数据包发送至第一目的地址信息和目的端口信息对应的服务器端,以建立连接;接收交互信息,交互信息是基于连接进行传输的;基于交互信息更新应用关联信息的可信度;以及基于应用关联信息的可信度更新第一数据集合。根据本公开的实施例,应用关联信息还包括身份标识信息,身份标识信息包括客户端标识和服务器端标识。根据本公开的实施例,从第一数据集合中确定与第一目的地址信息和目的端口信息相匹配的应用关联信息包括:如果数据包的第一目的地址信息和目的端口信息与第一数据集合中具有客户端标识的地址信息和端口信息相匹配,则确定应用关联信息为客户端应用关联信息;以及如果数据包的第一目的地址信息和目的端口信息与第一数据集合中具有服务器端标识的地址信息和端口信息相匹配,则确定应用关联信息为服务器端应用关联信息。根据本公开的实施例,上述方法还包括:在基于应用关联信息对数据包进行协议栈还原之后,获得数据包对应的还原信息,以进行数据包过滤或指定信息替换,得到处理后数据包;将处理后数据包发送至第一目的地址信息和目的端口信息对应的服务器端,以建立连接;接收交互信息,交互信息是基于连接进行传输的;基于交互信息确定准确应用关联信息;基于准确应用关联信息更新应用关联信息。根据本公开的实施例,应用关联信息包括以下至少一种:传输层协议信息、应用名称、数据还原的应用协议信息、身份标识信息、识别方式和超时时间;以及第一数据集合存储在服务器端的缓存中。本公开的另一个方面提供了一种应用识别装置,包括:数据包接收模块和应用关联信息确定模块。数据包接收模块,用于接收客户端发送的针对非标准端口的数据包,数据包包括第一目的地址信息和目的端口信息;以及应用关联信息确定模块,用于响应于数据包,从第一数据集合中确定与第一目的地址信息和目的端口信息相匹配的应用关联信息,以便基于应用关联信息对数据包进行协议栈还原,获得数据包的还原信息;其中,数据包包括使客户端与目的服务器端之间建立连接的握手包;第一数据集合包括地址信息和端口信息与应用关联信息之间的映射关系;还原信息至少用于对与还原信息对应的数据包进行监测。根据本公开的实施例,上述装置还包括请求接收模块、应用名称确定模块和信息更新模块。其中,请求接收模块用于接收域名系统请求,域名系统请求包括域名信息;应用名称确定模块用于响应于域名系统请求,确定与域名信息对应的应用名称;以及信息更新模块用于基于应用名称更新应用关联信息。根据本公开的实施例,应用名称确定模块包括:地址获取子模块和应用名称获得子模块。其中,地址获取子模块用于从域名系统请求中获取第二目的地址信息;以及应用名称获得子模块用于从第二数据集合中确定与第二目的地址信息相匹配的适配应用名称,以获得与域名信息对应的应用名称,其中,第二数据集合包括地址信息与应用名称之间的映射关系。根据本公开的实施例,应用关联信息包括可信度属性。相应地,上述装置还包括:数据包处理模块、建立连接模块、交互模块、可信度更新模块和集合更新模块。其中,数据包处理模块用于在基于应用关联信息对数据包进行协议栈还原之后,获得数据包的还原信息,以对数据包进行数据包过滤或指定信息替换,得到处理后数据包;建立连接模块用于将处理后数据包发送至第一目的地址信息和目的端口信息对应的服务器端,以建立连接;交互模块用于接收交互信息,交互信息是基于连接进行传输的;可信度更新模块用于基于交互信息更新应用关联信息的可信度;以及集合更新模块用于基于应用关联信息的可信度更新第一数据集合。根据本公开的实施例,应用关联信息还包括身份标识信息,身份标识信息包括客户端标识和服务器端标识。根据本公开的实施例,应用关联信息确定模块包括:第一确定子模块和第二确定子模块。第一确定子模块用于如果数据包的第一目的地址信息和目的端口信息与第一数据集合中具有客户端标识的地址信息和端口信息相匹配,则确定应用关联信息为客户端应用关联信息;以及第二确定子模块用于如果数据包的第一目的地址信息和目的端口信息与第一数据集合中具有服务器端标识的地址信息和端口信息相匹配,则确定应用关联信息为服务器端应用关联信息。根据本公开的实施例,上述装置还包括:还原处理模块、本文档来自技高网...
【技术保护点】
1.一种由服务器端执行的应用识别方法,包括:/n接收客户端发送的针对非标准端口的数据包,所述数据包包括第一目的地址信息和目的端口信息;以及/n响应于所述数据包,从第一数据集合中确定与所述第一目的地址信息和所述目的端口信息相匹配的应用关联信息,以便基于所述应用关联信息对所述数据包进行协议栈还原,获得所述数据包的还原信息;/n其中,所述数据包包括使所述客户端与目的服务器端之间建立连接的握手包;所述第一数据集合包括地址信息和端口信息与应用关联信息之间的映射关系;所述还原信息至少用于对与所述还原信息对应的数据包进行监测。/n
【技术特征摘要】
1.一种由服务器端执行的应用识别方法,包括:
接收客户端发送的针对非标准端口的数据包,所述数据包包括第一目的地址信息和目的端口信息;以及
响应于所述数据包,从第一数据集合中确定与所述第一目的地址信息和所述目的端口信息相匹配的应用关联信息,以便基于所述应用关联信息对所述数据包进行协议栈还原,获得所述数据包的还原信息;
其中,所述数据包包括使所述客户端与目的服务器端之间建立连接的握手包;所述第一数据集合包括地址信息和端口信息与应用关联信息之间的映射关系;所述还原信息至少用于对与所述还原信息对应的数据包进行监测。
2.根据权利要求1所述的方法,还包括:在从第一数据集合中确定与所述第一目的地址信息和所述目的端口信息相匹配的应用关联信息之后,
接收域名系统请求,所述域名系统请求包括域名信息;
响应于所述域名系统请求,确定与所述域名信息对应的应用名称;以及
基于所述应用名称更新所述应用关联信息。
3.根据权利要求2所述的方法,其中,所述确定与所述域名信息对应的应用名称包括:
从所述域名系统请求中获取第二目的地址信息;以及
从第二数据集合中确定与所述第二目的地址信息相匹配的适配应用名称,以获得与所述域名信息对应的应用名称,其中,所述第二数据集合包括地址信息与应用名称之间的映射关系。
4.根据权利要求2所述的方法,其中:
所述应用关联信息包括可信度属性;
所述方法还包括:在基于所述应用关联信息对所述数据包进行协议栈还原之后,
获得所述数据包的还原信息,以对所述数据包进行数据包过滤或指定信息替换,得到处理后数据包;
将所述处理后数据包发送至所述第一目的地址信息和所述目的端口信息对应的服务器端,以建立连接;
接收交互信息,所述交互信息是基于所述连接进行传输的;
基于所述交互信息更新所述应用关联信息的可信度;以及
基于所述应用关联信息的可信度更新所述第一数据集合。
5.根据权利要求4所述的方法,其中,所述应用关联信息还包括身份标识信息,所述身份标识信息包括客户端标识和服务器端标识。
6.根据权利要求5所述的方法,其中,所述从第一数据集合中确定与所述第一目的地址信息和所述目的端口信息相匹配的应用关联信息包括:
如果所述数据包的第一目的地...
【专利技术属性】
技术研发人员:陈美月,陈大钊,李美云,王利新,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。