專利名稱:一種用戶自定義的應用識別方法及其設備的制作方法
技術領域:
本發(fā)明涉及一種應用識別技術,尤其涉及一種用戶自定義的應用識別方法及其設備。
背景技術:
數據簽名(Digital Signature)技術是不對稱加密算法的典型應用,數字簽名的過程是數據源發(fā)送方使用自己的私鑰對數據校驗和或其他與數據內容有關的變量進行加密處理,完成對數據的合法“簽名”,數據接收方則利用對方的公鑰來解讀收到的“數字簽名”,并將解讀結果用于對數據完整性的檢驗,以確認簽名的合法性。數字簽名被用來鑒別應用和協(xié)議特征的唯一性的手段,當一個新的應用及協(xié)議被發(fā)明,同樣會有相應的簽名,這個簽名會被識別和添加到簽名數據庫中。同樣簽名也是會不斷變化的,比如一個應用每升級一新的版本,可能就會有新的簽名,如果應用在升級,而應用層的網絡流控設備簽名特征庫不被更新的話,應用及協(xié)議就不能被應用層網絡流控設備準確識別。隨著互聯(lián)網技術的快速發(fā)展,承載在互聯(lián)網上的新增應用也隨之層出不窮,針對互聯(lián)網上的新增應用的應用協(xié)議類型識別缺乏一種快速的反饋機制,將導致新增應用不能得到快速有效的支持。然而,實際操作中應用層網絡流控設備簽名特征庫需要專業(yè)人員對其進行周期性的更新,操作繁瑣、處理效率低。
發(fā)明內容
本發(fā)明的目的是提供一種快捷有效、識別范圍廣泛、處理效率高、操作靈活的用戶自定義的應用識別方法及其設備。本發(fā)明一方面提供了一種用戶自定義的應用識別方法,該方法包括以下步驟步驟A,對待分析應用進行抓包;步驟B,提取數據包中的應用簽名特征;步驟C,對所述應用簽名特征進行編譯;步驟D,加載所述編譯后的簽名特征。本發(fā)明第二方面提供了一種用戶自定義的應用識別設備。該設備包括抓包模塊、 簽名提取模塊、簽名編譯模塊、簽名加載模塊和應用識別測試模塊。其中簽名抓包模塊用于獲取數據包;簽名提取模塊用于提取數據包負載里的簽名;簽名編譯模塊用于對簽名特征進行編譯;簽名加載模塊用于加載編譯后的簽名;應用識別測試模塊用于測試應用能否被識別。本發(fā)明通過應用簽名自動提取直接應用于用戶的環(huán)境,由用戶來操作,實現(xiàn)簽名自動提取,生效以達到及時處理未識別應用,本發(fā)明識別范圍廣泛、處理效率高、可實現(xiàn)性強,可作為網絡流控設備功能實現(xiàn),可用于策略中的網絡應用控制、帶寬管理,并可進行網絡應用時監(jiān)控。
3
本發(fā)明的示例性實施例將從下文中給出的詳細說明和本發(fā)明不同實施例的附圖中被更完全地理解,然而這不應該被視為將本發(fā)明限制于具體的實施例,而應該只是為了解釋和理解。圖1為本發(fā)明的原理示意圖;圖2為本發(fā)明一實施例的用戶自定義的識別方法流程圖;圖3為本發(fā)明一實施例的用戶自定義的識別網絡流控設備結構圖。
具體實施例方式本領域的普通技術人員將意識到,所述示例性實施例的下述詳細說明僅僅是說明性的,并且不是意在以任何方式加以限制。圖1為本發(fā)明的原理示意圖。在圖1中,主機1中運行的應用程序通過網絡流控設備2與應用服務器2進行交互。網絡流控設備2對主機1中運行的應用進行識別和監(jiān)控。當包括應用程序信息的數據包流徑網絡流控設備2時,網絡流控設備2將獲取數據包中的應用簽名特征與設備中的簽名特征庫進行配比,通過配比結果來判斷應用是否被網絡流控設備2所識別。圖2為本發(fā)明一實施例的用戶自定義的識別方法流程圖。在步驟S201,流程開始。在步驟S202,對待分析應用進行抓包,針對網絡流控設備對來自主機端的無法識別的應用進行抓包,優(yōu)選地,可以通過主機端進行抓包操作,然后將獲取的數據包加載到網絡流控設備所提供的接口中。在一個例子中,當網絡流控設備中的簽名庫特征記錄的是MSW3. 0版本的簽名, 如果用戶將MSW3. 0版本升級到了 MSW4. 0版本后,相應的簽名也隨之更新,而流控設備中的簽名特征庫記錄的MSN簽名特征未及時更新,當用戶通過MSW4.0版本進行登入操作時, 由于的簽名沒有記載在網絡流控設備中的簽名特征庫中,導致MSW4. 0版本未被流控設備準確識別。在MSW4. 0版本不能被流控設備識別時,用戶需要對該應用進行抓包,以提取該應用的簽名,以達到及時處理未識別應用的目的。在步驟S203,提取步驟S202所獲取的數據包中的應用簽名,對于數據包簽名的提取可以采用GSM rule (通用簽名匹配規(guī)則)、PDC content (內容解碼器)、tuple (五元組信息)和PATTERN(應用包長模式匹配)的方法來實現(xiàn)。在上一個例子中,在對應用進行多次抓包后,記錄數據包的共性特征來獲取該應用的簽名,由于在數據傳輸過程中必定會出現(xiàn)且具有穩(wěn)定的形態(tài),優(yōu)先選擇會重復出現(xiàn)的特征字長串,例如針對MSW4. 0版本進行抓包后所獲取的數據包固定包長。在另一個例子中,通過數據包TRACE方法提取PPLIVE應用層簽名特征為例說明。當對PPLIVE應用進行多次抓包時,通過跟蹤分析它的TCP建立連接后第一個報文只有 4BYTE的數據,內容為**、0Χ00、0Χ00和0X00.其中**表示非0.而通過跟蹤分析它的UDP 連接的每個報文,其大量報文首部字節(jié)為0XE9、0X03、**、**、0X98和0ΧΑΒ,其中**表示任意字節(jié)。因此提取PPLIVE的簽名特征如下UTCP數據傳輸的簽名特征。TCP建立連接后第一個報文只有4BYTE的數據,內容為**、0Χ00、0Χ00和0X00.其中**表示非0.
2、UDP數據傳輸的簽名特征。報文前6字節(jié)為0XE9、0X03、#、#、0X98和0ΧΑΒ,
其中**表示任意字節(jié)。在步驟S204,對在步驟S203中提取的應用簽名進行編譯,配制簽名相應的信息, 如簽名的的標識、描述等信息。在步驟S205,將編譯后的簽名加載到網絡流控設備簽名特征庫中。在步驟S206,對待分析應用進行識別測試,如果待分析應用的簽名特征的標識及描述等信息與編譯后的簽名標識、描述信息比對一致,則測試成功,進入步驟S207分析結束,否則返回到步驟S201中。在步驟S207,流程結束。圖3為本發(fā)明一實施例的用戶自定義的識別網絡流控設備結構圖。301表示抓包模塊,302表示簽名提取模塊,303表示簽名編譯模塊、304表示簽名加載模塊,305表示應用測試模塊,以及306表示簽名特征庫。抓包模塊301用于在應用無法被網絡流控設備所識別的情況下對其執(zhí)行抓包操作。簽名提取模塊302用于提取抓包模塊301所獲取的數據包中的應用簽名。簽名編譯模塊303用于對簽名提取模塊302所獲取的簽名進行編譯,編輯簽名相應的基本信息,如簽名的的標識、描述等信息。簽名加載模塊304用于加載由簽名編譯模塊303編譯后的簽名,將經過編譯的簽名加載到流控設備簽名特征庫306中。應用識別測試模塊305用于測試應用能否被識別,對待分析應用進行識別測試, 如果待分析應用的簽名特征的標識及描述等信息與編譯后的簽名標識、描述信息比對一致,則測試成功,否則返回到抓包模塊301。需要說明的是,該網絡流控設備可以是一個獨立的網絡設備,也可以是以一個模塊形式存儲在于網關、上網行為管理等網絡設備中。盡管已經示出并描述了本發(fā)明的特殊實施例,然而在不背離本發(fā)明的示例性實施例及其更寬廣方面的前提下,本領域技術人員顯然可以基于此處的教學做出變化和修改。 因此,所附的權利要求意在將所有這類不背離本發(fā)明的示例性實施例的真實精神和范圍的變化和更改包含在其范圍之內。
權利要求
1.一種用戶自定義的應用識別方法,其特征在于,包括以下步驟 步驟A,對來自主機端的待分析應用進行抓包;步驟B,提取數據包中的應用簽名特征; 步驟C,對所述應用簽名特征進行編譯; 步驟D,加載所述編譯后的簽名特征。
2.根據權利要求1所述的方法,其特征在于所述對待分析應用進行抓包的步驟A包括在主機端對待分析應用進行抓包操作。
3.根據權利要求1所述的方法,其特征在于所述步驟D加載所述編譯后的簽名特征還需要通過測試步驟判斷是否被成功識別。
4.根據權利要求1所述的方法,其特征在于所述步驟B提取數據包中的應用簽名特征包括通過應用包長模式匹配方式提取簽名特征。
5.根據權利要求1所述的方法,其特征在于所述步驟B提取數據包中的應用簽名特征包括記錄數據包中的共性特征來提取簽名。
6.根據權利要求1所述的方法,其特征在于所述步驟C對所述應用簽名特征進行編譯包括對所述應用簽名特征的標識和描述進行配制。
7.根據權利要求1所述的方法,其特征在于所述步驟D加載所述編譯后的簽名特征包括對所述編譯后的簽名特征添加到簽名特征庫中。
8.一種用戶自定義的應用識別設備,其特征在于包括 抓包模塊,用于獲取數據包;簽名提取模塊,用于提取數據包負載里的簽名; 簽名編譯模塊,用于對簽名特征進行編譯; 簽名加載模塊,用于加載編譯后的簽名; 應用識別測試模塊,用于測試應用能否被識別。
全文摘要
本發(fā)明公開了一種用戶自定義的應用識別方法及其設備,所述方法包括以下步驟步驟A,對待分析應用進行抓包;步驟B,提取數據包中的應用簽名特征;步驟C,對所述應用簽名特征進行編譯;步驟D,加載所述編譯后的簽名特征。所述設備包括抓包模塊、簽名提取模塊、簽名編譯模塊、簽名加載模塊和應用識別測試模塊。其中抓包模塊用于獲取數據包,簽名提取模塊用于提取數據包負載里的簽名,簽名編譯模塊用于對簽名特征進行編譯,簽名加載模塊用于加載編譯后的簽名,應用識別測試模塊,用于測試應用能否被識別。本發(fā)明識別范圍廣泛、準確率高、可擴展性好,可作為網絡設備功能實現(xiàn)。
文檔編號H04L29/06GK102209032SQ20111013509
公開日2011年10月5日 申請日期2011年5月24日 優(yōu)先權日2011年5月24日
發(fā)明者崔淵博, 陳振昌 申請人:北京網康科技有限公司