法識別出正確的應(yīng)用��,因此��,在根據(jù)第一應(yīng)用表項識別應(yīng)用前�����,需確定第一應(yīng)用表 項是否可用�,具體確定過程如下:
[0035] 在一種實施方式中,以第一應(yīng)用表項的使用時長作為確定第一應(yīng)用表項是否可用 的依據(jù)���。具體為:判斷使用第一應(yīng)用表項進(jìn)行應(yīng)用識別的時長是否大于預(yù)設(shè)的時長閾值����,若 使用第一應(yīng)用表項進(jìn)行應(yīng)用識別的時長大于預(yù)設(shè)的時長閾值�,則確定該第一應(yīng)用表項不可 用;若使用第一應(yīng)用表項進(jìn)行應(yīng)用識別的時長不大于預(yù)設(shè)的時長閾值�,則確定該第一應(yīng)用 表項可用。本申請實施例通過預(yù)設(shè)時長閾值周期性更新第一應(yīng)用表項中服務(wù)器特征與應(yīng)用 標(biāo)識的對應(yīng)關(guān)系�����,以應(yīng)對應(yīng)用服務(wù)器發(fā)生變化的情況,保證第一應(yīng)用表項的有效性����。例如, 假設(shè)預(yù)設(shè)的時長閾值為1分鐘��,則在第一應(yīng)用表項的使用時長大于1分鐘時��,確定該第一應(yīng) 用表項不可用����,啟動深度報文檢測識別應(yīng)用(后續(xù)描述中介紹)�����,重新建立服務(wù)器特征與應(yīng) 用標(biāo)識的對應(yīng)關(guān)系��。
[0036] 在另一種實施方式中���,以第一應(yīng)用表項的使用次數(shù)作為確定第一應(yīng)用表項是否可 用的依據(jù)���。具體為:判斷使用第一應(yīng)用表項進(jìn)行應(yīng)用識別的次數(shù)是否大于預(yù)設(shè)的次數(shù)閾值, 若使用第一應(yīng)用表項進(jìn)行應(yīng)用識別的次數(shù)大于預(yù)設(shè)的次數(shù)閾值,則確定該第一應(yīng)用表項不 可用���;若使用第一應(yīng)用表項進(jìn)行應(yīng)用識別的次數(shù)不大于預(yù)設(shè)的次數(shù)閾值��,則確定該第一應(yīng) 用表項可用����,并將該第一應(yīng)用表項的使用次數(shù)加一��。原理同上述根據(jù)時長判斷第一應(yīng)用表 項是否可用相同����,都是為了解決應(yīng)用服務(wù)器發(fā)生變化的異常情況,保證第一應(yīng)用表項的有 效性���,在此不再贅述�����。
[0037] 當(dāng)然��,上述兩種實施方式可以單獨使用��,也可以同時使用��。例如���,同時累積時長和 統(tǒng)計次數(shù)�����,當(dāng)其中任何一個先達(dá)到閾值時����,確定第一應(yīng)用表項不可用�����;或者����,當(dāng)兩個都分別 達(dá)到閾值時�,確定第一應(yīng)用表項不可用。
[0038] 步驟204,當(dāng)該第一應(yīng)用表項可用時�����,根據(jù)該第一應(yīng)用表項中的應(yīng)用標(biāo)識識別所述 應(yīng)用請求對應(yīng)的應(yīng)用���。
[0039] 本步驟中����,根據(jù)步驟203對第一應(yīng)用表項是否可用的確定結(jié)果,分以下兩種情況 進(jìn)行處理:
[0040] 當(dāng)?shù)谝粦?yīng)用表項可用時����,直接從第一應(yīng)用表項中獲取應(yīng)用標(biāo)識,根據(jù)該應(yīng)用標(biāo)識 確定此次應(yīng)用請求對應(yīng)的應(yīng)用�����?����?梢?����,本申請實施例通過與已建立應(yīng)用表項匹配的方式��,可 以加快后續(xù)應(yīng)用請求的識別效率���。
[0041] 當(dāng)?shù)谝粦?yīng)用表項不可用時����,刪除該第一應(yīng)用表項,啟動對應(yīng)用請求的深度報文檢 測�����,具體過程如下:從接收的應(yīng)用請求中獲取應(yīng)用信息�,根據(jù)應(yīng)用信息確定該應(yīng)用請求對應(yīng) 的應(yīng)用。其中����,應(yīng)用信息是指從應(yīng)用請求的報文內(nèi)容中獲取的與具體應(yīng)用相關(guān)的信息。以 微信上傳視頻的應(yīng)用請求為例����,該應(yīng)用請求基于HTTP(Hyper Text Transfer Protocol, 超文本傳輸協(xié)議)協(xié)議實現(xiàn)���,例如����,GET short.weixin.qq.com/cgi-bin/micromsg-bin/ uploadvideo HTTP/1. 1�,對該應(yīng)用請求進(jìn)行深度報文檢測�,獲取報文中的應(yīng)用信息為 short, weixin. qq. com���,因此,可確定此次應(yīng)用請求對應(yīng)的應(yīng)用為微信����。
[0042] 在通過深度報文檢測識別應(yīng)用后,可根據(jù)應(yīng)用服務(wù)器的服務(wù)器特征和識別出的應(yīng) 用的應(yīng)用標(biāo)識建立第一應(yīng)用表項����,以便后續(xù)接收到向相同應(yīng)用服務(wù)器發(fā)送的應(yīng)用請求時, 快速識別應(yīng)用�����。本申請實施例為了提高應(yīng)用識別的可信度���,在建立第一應(yīng)用表項之前采用 多次深度報文檢測以提高應(yīng)用識別的可信度��。
[0043] 網(wǎng)絡(luò)安全設(shè)備在本地除了維護(hù)第一應(yīng)用表還維護(hù)一張第二應(yīng)用表�,該第二應(yīng)用表 中包含若干第二應(yīng)用表項��,第二應(yīng)用表項中保存服務(wù)器特征與應(yīng)用標(biāo)識的對應(yīng)關(guān)系��。本申 請實施例在對第二應(yīng)用表項進(jìn)行可信度處理之后�����,將第二應(yīng)用表項添加到第一應(yīng)用表中, 以便作為第一應(yīng)用表項識別應(yīng)用�����。
[0044] 其中�,可信度處理的具體過程為:判斷第二應(yīng)用表中是否存在服務(wù)器特征與應(yīng)用 服務(wù)器的服務(wù)器特征相同的第二應(yīng)用表項,根據(jù)判斷結(jié)果分以下兩種情況進(jìn)行處理�����。
[0045] 當(dāng)?shù)诙?yīng)用表中不存在服務(wù)器特征與應(yīng)用服務(wù)器的服務(wù)器特征�、應(yīng)用標(biāo)識與本次 根據(jù)應(yīng)用信息確定的應(yīng)用請求對應(yīng)的應(yīng)用的應(yīng)用標(biāo)識均相同的第二應(yīng)用表項時,則根據(jù)應(yīng) 用服務(wù)器的服務(wù)器特征和本次確定的應(yīng)用的應(yīng)用標(biāo)識建立第二應(yīng)用表項����。此過程為新建第 二應(yīng)用表項過程,當(dāng)在第二應(yīng)用表中沒有找到服務(wù)器特征相同的第二應(yīng)用表項����,或者,對向 同一應(yīng)用服務(wù)器發(fā)送的應(yīng)用請求的識別結(jié)果不同時�,都需要新建第二應(yīng)用表項。
[0046] 當(dāng)?shù)诙?yīng)用表中存在服務(wù)器特征與應(yīng)用服務(wù)器的服務(wù)器特征�����、應(yīng)用標(biāo)識與本次根 據(jù)應(yīng)用信息確定的應(yīng)用請求對應(yīng)的應(yīng)用的應(yīng)用標(biāo)識均相同的第二應(yīng)用表項時��,則更新該第 二應(yīng)用表項的信任等級�����,當(dāng)?shù)诙?yīng)用表項的信任等級達(dá)到預(yù)設(shè)的信任等級閾值時�����,將該第 二應(yīng)用表項添加至第一應(yīng)用表����,并從第二應(yīng)用表中刪除該第二應(yīng)用表項。此過程是對已匹 配的第二應(yīng)用表項進(jìn)行信任等級更新的過程���,當(dāng)該第二應(yīng)用表項多次被匹配成功時��,說明 該第二應(yīng)用表項中服務(wù)器特征與應(yīng)用標(biāo)識的對應(yīng)關(guān)系具有極高的可信度����,可將該第二應(yīng)用 表項作為第一應(yīng)用表項用于應(yīng)用識別。
[0047] 上述處理過程是在第一應(yīng)用表中存在服務(wù)器特征與應(yīng)用服務(wù)器的服務(wù)器特征相 同的第一應(yīng)用表項時的應(yīng)用識別過程�����。當(dāng)?shù)谝粦?yīng)用表中不存在服務(wù)器特征與應(yīng)用服務(wù)器的 服務(wù)器特征相同的第一應(yīng)用表項時�����,進(jìn)行如下處理:
[0048] 從應(yīng)用請求中獲取應(yīng)用信息����,根據(jù)該應(yīng)用信息確定應(yīng)用請求對應(yīng)的應(yīng)用。判斷第 二應(yīng)用表中是否存在服務(wù)器特征與應(yīng)用服務(wù)器的服務(wù)器特征相同的第二應(yīng)用表項���。
[0049] 當(dāng)?shù)诙?yīng)用表中不存在服務(wù)器特征與應(yīng)用服務(wù)器的服務(wù)器特征�����、應(yīng)用標(biāo)識與本次 根據(jù)應(yīng)用信息確定的應(yīng)用請求對應(yīng)的應(yīng)用的應(yīng)用標(biāo)識均相同的第二應(yīng)用表項時����,則根據(jù)應(yīng) 用服務(wù)器的服務(wù)器特征和本次確定的應(yīng)用的應(yīng)用標(biāo)識建立第二應(yīng)用表項����。
[0050] 當(dāng)?shù)诙?yīng)用表中存在服務(wù)器特征與應(yīng)用服務(wù)器的服務(wù)器特征��、應(yīng)用標(biāo)識與本次根 據(jù)應(yīng)用信息確定的應(yīng)用請求對應(yīng)的應(yīng)用的應(yīng)用標(biāo)識均相同的第二應(yīng)用表項時����,則更新該第 二應(yīng)用表項的信任等級��,當(dāng)?shù)诙?yīng)用表項的信任等級達(dá)到預(yù)設(shè)的信任等級閾值時��,將該第 二應(yīng)用表項添加至第一應(yīng)用表��,并從第二應(yīng)用表中刪除該第二應(yīng)用表項�。
[0051] 從上述描述可以看出����,第一應(yīng)用表中不存在服務(wù)器特征與應(yīng)用服務(wù)器的服務(wù)器特 征相同的第一應(yīng)用表項時的處理過程和前述第一應(yīng)用表項不可用時的處理過程相同,都需 要對接收的應(yīng)用請求進(jìn)行深度報文檢測�����,并在經(jīng)過多次檢測后生成包含服務(wù)器特征與應(yīng)用 標(biāo)識對應(yīng)關(guān)系的第一應(yīng)用表項����,在此不再贅述。
[0052] 此外�,本申請實施例中對所有的應(yīng)用表項都預(yù)設(shè)了老化時長,當(dāng)?shù)谝粦?yīng)用表項在 預(yù)設(shè)的老化時長內(nèi)未被匹配,或第二應(yīng)用表項在預(yù)設(shè)的老化時長內(nèi)信任等級不變時�����,刪除 對應(yīng)的應(yīng)用表項����,釋放內(nèi)存,避免不必要的資源浪費���。
[0053] 現(xiàn)仍以圖1為例���,詳細(xì)介紹應(yīng)用識別過程。
[0054] 假設(shè)��,Serverl為微信服務(wù)器��,IP地址為177. 10. 10. 1�,其它應(yīng)用服務(wù)器不做具體 說明。
[0055] 當(dāng)PC發(fā)送應(yīng)用請求時��,NSD攔截該應(yīng)用請求�����,并對該應(yīng)用請求進(jìn)行應(yīng)用識 另IJ。首先���,NSD從該應(yīng)用請求中獲取應(yīng)用服務(wù)器的三元組信息���,假設(shè)該三元組信息為tcp 177. 10. 10. 1:80,根據(jù)該三元組信息查詢第一應(yīng)用表,參見表1���。
[0056]
【主權(quán)項】
1. 一種應(yīng)用識別方法,應(yīng)用于網(wǎng)絡(luò)安全設(shè)備�����,其特征在于��,該方法包括: 接收終端設(shè)備向應(yīng)用服務(wù)器發(fā)送的應(yīng)用請求���,所述應(yīng)用請求中攜帶所述應(yīng)用服務(wù)器的 服務(wù)器特征���; 判斷第一應(yīng)用表中是否存在服務(wù)器特征與所述應(yīng)用服務(wù)器的服務(wù)器特征相同的第一 應(yīng)用表項,所述第一應(yīng)用表中包括的表項為第一應(yīng)用表項�,所述第一應(yīng)用表項中保存服務(wù) 器特征與應(yīng)用標(biāo)識的對應(yīng)關(guān)系; 當(dāng)所述第一應(yīng)用表中存在服務(wù)器特征與所述應(yīng)用服務(wù)器的服務(wù)器特征相同的第一應(yīng) 用表項時�,確定該第一應(yīng)用表項是