一种支持在线动态更新的APP识别框架制造技术

本发明专利技术提出了一种支持在线动态更新的APP识别框架，通过主、备特征匹配引擎切换策略的引入，可以在线更新特征库时，避免加载线程(即执行更新特征库任务的线程)和业务处理线程(即执行APP字段匹配识别任务的线程)同时操作同一个特征库而导致未知的错误，实现了特征库的在线更新升级功能，解决了因必须重启系统才能完成更新的情况所带来了低效影响，使APP的识别更加及时高效；并利用动态插件自定义配置识别策略实现对APP的“定制化识别”，最大程度的提高了识别特征的灵活性，即不限于固定的内容字段。

【技术实现步骤摘要】
一种支持在线动态更新的APP识别框架
本专利技术属于网络安全
，具体涉及一种支持在线动态更新的APP识别框架。
技术介绍
随着移动互联网的飞速发展，智能移动终端已经成为人们工作和生活中不可或缺的重要工具，而移动终端的迅速普及也使得移动应用程序(APP，Application的英文简称，即应用程序。)的种类呈爆发式增长。然而，伴随移动应用程序种类的日益丰富，移动终端面临的网络数据安全问题也日渐突出。攻击者可利用恶意应用程序对移动终端进行非法监视、恶意模仿、获取隐私数据等恶意侵害行为，这些行为给企业、个人和社会带来了严重的威胁和损失。因此从网络安全领域出发，利用网络流量，对应用程序进行识别，是实现网络安全管理和审计的重要部分。在传统的网络流量识别方法中，广泛使用的一种方法是通过分析网络数据包头部的端口号来进行的流量识别，例如HTTP协议的端口为80，文件传输协议FTP的端口号为21等。但是如今出现的大量新型APP的端口号是采用动态变化的，如随机端口策略等。另外，很多新的APP使用的是加密端口，或者为了躲避拦截和检测，采用端口伪装技术等本文档来自技高网...

【技术保护点】
1.一种支持在线动态更新的APP识别框架，其特征在于，包括协议还原模块和特征识别模块；/n所述协议还原模块用于对原始报文进行接收和处理，实现协议字段的还原，将还原所得的信息供特征识别模块使用；/n所述特征识别模块用于对协议还原模块还原出的字段内容进行匹配，从而实现APP的识别，具体为：/n所述特征识别模块利用网络常见协议中包含的各种特征信息建立特征库；并设置有3个特征库句柄，分别为业务句柄以及用于存储特征库的A句柄和B句柄；/n当业务处理线程执行任务，对所述特征库进行加载时，设此时A句柄繁忙，B句柄空闲，则调用B句柄更新特征库；更新完成时，将B句柄拷贝为业务句柄，A句柄设为空闲，B句柄为繁忙。...

【技术特征摘要】
1.一种支持在线动态更新的APP识别框架，其特征在于，包括协议还原模块和特征识别模块；
所述协议还原模块用于对原始报文进行接收和处理，实现协议字段的还原，将还原所得的信息供特征识别模块使用；
所述特征识别模块用于对协议还原模块还原出的字段内容进行匹配，从而实现APP的识别，具体为：
所述特征识别模块利用网络常见协议中包含的各种特征信息建立特征库；并设置有3个特征库句柄，分别为业务句柄以及用于存储特征库的A句柄和B句柄；
当业务处理线程执行任务，对所述特征库进行加载时，设此时A句柄繁忙，B句柄空闲，则调用B句柄更新特征库；更新完成时，将B句柄拷贝为业务句柄，A句柄设为空闲，B句柄为繁忙。


2.如权利要求1所述的支持在线动态更新的APP识别框架，其特征在于，还包括插件识别模块，用于将自定义程序编写入插件，通过更复杂的逻辑判断或解密处理等方式来进行APP识别；当特征识别模块对所述还原出的字段内容匹配失败时，利用回调函数调用不同的插件，对所述还原所得的信息进行识别。


3.如权利要求2所述的支持在线动态更新的APP识别框架，其特征在于，将所有插件的插件信息记录于一个插件配置文件中；当有新的插件需要加载时，在此配置文件中添加新的插件信息；定时检测此配置文件是否发生变化，当有变化时将进行插件的装载或者卸载动作，具体为：
设置一个全局插件信息表和一个表示当前全局插件表的版本号，每个业务线程也有一份插件信息表的拷贝和一个表示当前业务线程插件表的版本号；当全局插件信息表有更新时，在更新后加载线程需要将全局插件信息表的版本号更新，业务处理线程插件信息表将跟随全局插件信息表的版本号变化；
每个插件有一个状态位和引用计数，状态位代表着这个插件是否还有效，引用计数代表着有多少个线程正在使用此插件；当插件状态位为无效并且引用...

【专利技术属性】
技术研发人员：王凯峰，包秀国，黄亮，李少敏，邹学强，杨云龙，
申请(专利权)人：北京天元特通科技有限公司，
类型：发明
国别省市：北京;11