利用本地和云分类服务的基于应用的业务分类的增加的覆盖制造技术

基于云的业务分类引擎维护已经基于已知应用开发的基于应用的业务类别的目录，并且本地业务分类引擎维护这些类别的子集

【技术实现步骤摘要】
【国外来华专利技术】利用本地和云分类服务的基于应用的业务分类的增加的覆盖

技术介绍

[0001]本公开通常涉及数字信息的传输，并且涉及用于网络安全的网络架构或网络通信协议
。
[0002]作为实施安全策略的一部分，防火墙实现业务分类
。
防火墙通常基于端口
、
网络协议或其组合对网络业务进行分类
。
防火墙还可以执行深度分组检查或分组嗅探，作为对网络业务进行分类的一部分
。
借助深度分组检查，检查网络分组的内容，这有助于基于从经由网络分组传送的数据生成的匹配签名，对网络业务进行基于内容的分类
。
附图说明
[0003]通过参考附图，可以更好地理解本公开的实施例
。
[0004]图1描绘了结合本地和基于云的业务分类的概念图，用于按应用对网络业务进行低延迟分类
。
[0005]图2描绘了用于应用签名创建的未分类网络业务的自动收集的概念图
。
[0006]图3‑4是按应用对检测到的网络业务进行分类的示例操作的流程图
。
[0007]图5是用于将从防火墙转发的分组分类为表示应用的类别的示例操作的流程图
。
[0008]图6描绘了具有本地业务分类引擎和基于云的业务分类引擎的示例计算机系统
。
[0009]图7是按应用对检测到的网络业务进行分类的示例操作的流程图
。
[0010]图8是用于执行按应用的基于云的网络业务分类的示例操作的流程图
。
[0011]图9是用于确定与检测到的网络业务相关联的应用并相应地对网络业务进行分类的示例操作的流程图
。
具体实施方式
[0012]以下描述包括体现本公开的各方面的示例系统
、
方法
、
技术和程序流程
。
然而，应当理解，本公开可以在没有这些具体细节的情况下实践
。
在其他情况下，为了不混淆描述，没有详细示出众所周知的指令实例
、
协议
、
结构和技术
。
[0013]概览
[0014]基于防火墙的业务分类引擎根据本地存储在防火墙上的分类信息来分析网络业务，以便按应用对网络业务进行分类
。
基于对照表示应用的签名评估网络业务并将网络业务分类到与匹配签名所表示的应用相对应的类别中，可以按应用对网络业务进行分类
。
尽管本地业务分类服务提供了基于应用的策略实施，而不管检测规避技术是否到位，但是由于防火墙的硬件限制，可以本地存储和利用这种方法的签名数量以及随着新签名的创建而扩展的能力是有限的
。
[0015]本文公开了用于用由在防火墙上本地运行的业务分类引擎和在云中运行的基于云的业务分类引擎提供的功能的组合扩展业务分类服务的覆盖的技术
。
基于云的引擎维护可以按其对网络业务进行分类的应用的目录和已经开发的对应签名，并且本地引擎维护该目录的子集，该子集可以表示最普遍使用或最频繁访问的应用
。
不能基于本地引擎本地可
用的信息按应用分类的防火墙拦截的网络业务被转发到基于云的引擎，以便基于网络业务可以按其被分类的更大的应用目录进行分类
。
在基于签名匹配将业务分类为表示应用的类别时，基于云的引擎将所确定的指示对应应用的类别和匹配签名转发给本地引擎
。
防火墙维护高速缓存，该高速缓存用由基于云的引擎传送的对应应用的指示和签名来更新，所述签名和指示不包括在最初安装在防火墙上的分类信息中
。
在涉及由该类别指示的应用的会话期间交换的后续网络业务可以由本地引擎基于缓存的签名相应地分类
。
通过缓存基于它拦截的网络业务确定的签名，将缓存本地化到防火墙，减少本地业务分类操作的延迟，即使存储在云中的分类信息的目录扩大
。
此外，将业务分类扩展到维护分类信息的目录的云增加了应用的范围，根据所述应用可以对网络业务进行分类，从而减少作为未知业务传递的网络业务的量，并改进防火墙处的基于应用的安全策略实施
。
[0016]其签名还没有被确定并且因此不能被本地引擎或基于云的引擎分类的应用的网络业务可以被基于云的引擎转发到签名创建服务
。
因为应用签名的创建传统上是通过设置应用环境和捕获网络业务的人工努力来实现的，所以通过将检测到的网络业务直接自动转发到签名创建服务来消除这一步骤减少了用于创建新签名的人工研究和开发的费用和相关挑战
。
[0017]示例图示
[0018]图1描述了结合本地和基于云的业务分类的概念图，用于按应用对网络业务进行低延迟分类
。
防火墙
129
为客户端
101
监视和控制通过网络
127
传入和传出的网络业务
。
作为防火墙
129
的一部分执行的本地业务分类引擎
(“本地引擎”)103
按对应的应用对检测到的网络业务进行分类
。
基于云的业务分类引擎
(“基于云的引擎”)107
在云
117
中运行
。
例如，基于云的引擎
107
可以在云
117
中可用的一个或多个节点
(
例如，物理机器和
/
或虚拟机
)
上运行
。
防火墙
129
维护应用类别高速缓存
(“高速缓存”)105
，其存储从基于云的引擎
107
传送到本地引擎
103
的业务分类信息
。
[0019]图1用一系列字母
A
‑
F
标注，这些字母表示操作的各个阶段
。
尽管这些阶段对于该示例是有序的，但是这些阶段示出了一个示例以帮助理解本公开，并且不应该用于限制权利要求
。
落入权利要求范围内的主题可以根据顺序和一些操作而变化
。
[0020]在阶段
A
，防火墙
129
检测由客户端
101
发起的与服务器
109
的会话，服务器
109
维护名为“eMarket”的应用的资源
。
应用“eMarket”可以是运行在服务器
109
上的
web(
网络
)
应用，并且客户端
101
请求访问该应用
。
防火墙
129
检测从服务器
109
发送到客户端
101
的分组
121。
对在客户端
101
和服务器
109
之间发本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种方法，包括：由网络安全设备检测在第一会话期间传送的一个或多个分组的集合；至少部分地基于由所述网络安全设备维护的签名集来确定应用是否能够被识别；根据确定基于由所述网络安全设备维护的所述签名集不能识别所述应用，将分组的集合中的至少第一分组转发给基于云的服务；由所述基于云的服务确定是否能够至少部分地基于所述第一分组和在所述基于云的服务运行于其中的云中维护的多个签名来识别所述应用，其中所述多个签名包括所述签名集；以及基于所述基于云的服务确定所述应用能够被识别，向所述网络安全设备传送与所述应用的分组相关联的所述应用的指示和所述多个签名中的第一签名
。2.
根据权利要求1所述的方法，还包括至少部分地基于网络安全设备接收应用的指示，将指示应用的安全策略应用于分组的集合
。3.
根据权利要求1所述的方法，还包括，基于网络安全设备从基于云的服务获得第一签名的指示，用第一签名更新所述签名集，以及，可选地，基于网络安全设备检测在第二会话期间传送的后续分组，至少部分地基于由网络安全设备维护的更新的签名集，将所述应用识别为与所述第二会话相关联
。4.
根据权利要求1所述的方法，其中所述签名集包括为对应的应用集定义的签名集，其中所述多个签名包括为对应的多个应用定义的多个签名，并且其中所述多个应用包括所述应用集
。5.
根据权利要求1所述的方法，其中确定是否能够识别应用包括将所述签名集应用于所述分组的集合以确定是否能够识别匹配；其中由所述基于云的服务确定是否能够识别所述应用包括将所述多个签名应用于所述第一分组以确定是否能够识别匹配，以及，可选地，其中所述第一签名包括在所述多个签名中，但是不包括在所述签名集中，并且其中确定所述应用能够被识别包括确定所述第一分组匹配所述多个签名中的第一签名
。6.
根据权利要求1所述的方法，还包括，基于检测在第三会话期间传送的一个或多个分组的集合，确定是否能够至少部分地基于由网络安全设备维护的签名集合来识别与第三会话相关联的应用；基于确定不能识别用于第三会话的应用，至少部分地基于与第三会话的分组的集合相关联的源地址
、
目的地地址
、
端口号和网络通信协议中的至少一个，确定类似的网络业务是否先前被确定为未知；以及基于确定类似的网络业务先前被确定为未知，确定第三会话的分组的集合是未知业务，而不将分组的集合中的任何分组转发给基于云的服务
。7.
一个或多个非暂时性机器可读介质，包括用于按应用类别对网络业务进行分类的程序代码，该程序代码用于：检测第一会话的网络业务；确定网络业务是否能够被分类到应用类别集中的一个应用类别中；
基于所述网络业务不能被分类到所述应用类别集中的一个应用类别中的确定，将所述网络业务的一个或多个分组传送到基于云的服务；基于从所述基于云的服务获得与所传送的一个或多个分组相关联的第一应用类别的指示和第一签名，将所述第一应用类别的指示与所述第一会话的标识符相关联，其中所述第一应用类别不包括在所述应用类别集中；以及用第一应用类别更新所述应用类别集
...

【专利技术属性】
技术研发人员：姜梦颖，许晟明，M，
申请(专利权)人：帕洛阿尔托网络公司，
类型：发明
国别省市：