[发明专利]加密应用识别和加密网页内容分类方法及装置

说明书

技术领域

本发明涉及网络应用安全技术，尤其涉及一种加密应用识别和加密网页内容分类方法及装置。

背景技术

随着网络安全需求的增加，针对网络数据的加密技术应用越来越广泛，数据加密技术目前已经广泛应用于网络数据加密传输，以便对用户的私密数据进行保护。

以目前使用最广泛的安全套接层(SSL，SecureSocketsLayer)为例，所述SSL使用数据加密技术，可确保数据在网络传输过程中不会被截取及窃听，从而保障互联网上的数据传输安全。SSL协议位于传输控制协议/因特网互联(TCP/IP，TransmissionControlProtocol/InternetProtocol)协议与各种应用层协议之间，为数据通讯提供安全支持。需要说明的是，目前主流的网络服务器均提供对SSL加密技术的支持。

除了可以使用SSL加密技术进行网页浏览，目前越来越多的应用程序客户端还可以通过其它加密协议与服务器之间进行通信，例如，在金融支付、办公等领域的应用大部分采用了加密技术以保证用户网络数据的安全。

在现有技术中，针对加密应用的识别方案主要有以下三种：

方案一：通过对证书中的明文信息进行识别。

方案二：通过中间人攻击方法对SSL秘钥进行劫持，解析SSL流量并采用传统识别方法对解析后的流量进行识别。

方案三：通过统计学方法对加密流量数据进行线下分析，并提取深度/动态流检测(DFI，Deep/DynamicFlowInspection)特征。

传统加密应用识别方法基本是针对连接数据载荷内容的深度包检测(DPI，DeepPacketInspection)技术以及匹配数据流特征的DFI技术，但是，所述两种技术在识别加密流量方面不够完善，具体原因如下：

1)传输的内容经过加密后，连接数据的载荷内容均为密文，不包含能够匹配的特征。

2)传输的数据随机，数据流没有明显的包长序列特征。

基于以上两种原因，针对加密应用的三种识别方案具有以下问题：

1)方案一过渡依赖证书中的明文信息，如果不存在特征性明文则不能识别加密应用。

2)方案二依赖客户端对伪造证书的信任；依赖服务端不要求对客户端进行认证；需要较大的计算量，效率较低；以及有法律风险。

3)方案三并不能克服传输数据随机，无流量特征的情况。

另外，在现有技术中，针对加密场景下的网页内容分类技术主要使用所述方案二，且在解密后进行。具体地，传统的网页内容分类技术是通过超文本传输协议(HTTP，HyperTextTransferProtocol)访问请求中的主机(Host)及统一资源标识符(URI，UniformResourceIdentifier)与分类库中的记录进行匹配，并返回分类结果。而当HTTP访问通过SSL加密后生成超文本加密传输协议(HTTPS，HyperTextTransferProtocoloverSecureSocketLayer)后，请求的URL及Host都是以密文的方式进行传输，因此，传统的网页内容分类技术不能完成分类库的匹配，从而无法对所述网页内容进行分类。

发明内容

有鉴于此，本发明实施例期望提供一种加密应用识别和加密网页内容分类方法及装置，不仅能够准确有效地识别网络加密应用以及对加密网页内容进行分类，而且避免了解密及分析加密流量本身的数据特征，从而降低引擎负载，减少安全风险。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种加密应用识别方法，包括：

获取网络中的连接数据，确定所述连接数据为域名系统DNS连接数据；

从所述DNS连接数据中获取DNS反馈包，所述DNS反馈包包括加密应用域名和服务器网络协议IP地址；

查询应用自动匹配表中是否包括所述服务器IP地址；

当所述应用自动匹配表中不包括所述服务器IP地址时，查询应用规则库中是否包括所述加密应用域名对应的应用标识，当所述应用规则库中包括所述加密应用域名对应的应用标识时，将所述服务器IP地址和对应的所述应用标识加入所述应用自动匹配表。

上述方案中，所述查询应用自动匹配表中是否包括所述服务器IP地址之后，还包括：

当所述应用自动匹配表中包括所述服务器IP地址时，输出所述服务器IP地址对应的所述应用标识。

本发明实施例提供了一种加密网页内容分类方法，包括：

获取网络中的连接数据，确定所述连接数据为域名系统DNS连接数据；