[发明专利]应用识别方法、应用识别装置和计算设备

说明书

本公开提供了一种应用识别方法、应用识别装置和计算设备。该方法包括：接收客户端发送的针对非标准端口的数据包，数据包包括第一目的地址信息和目的端口信息；以及响应于数据包，从第一数据集合中确定与第一目的地址信息和目的端口信息相匹配的应用关联信息，以便基于应用关联信息对数据包进行协议栈还原，获得数据包的还原信息。

技术领域

本公开涉及信息安全技术领域，更具体地，涉及一种应用识别方法、应用识别装置和计算设备。

背景技术

随着通信和计算机技术的快速发展，互联网信息安全成为人们日益关注的焦点。

在网络技术中，逻辑意义上的端口，可以指传输控制协议/网际协议(TCP/IP)中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于文件传输协议(file transfer protocol，简称ftp)服务的21端口等等。需要进行网络通讯的每一个应用，操作系统都要为它使用一个或若干个端口，以免发生冲突。系统默认的端口是标准端口，应用也可以使用自定义的端口，即使用非标准端口。

在实现本公开构思的过程中，发明人发现相关技术中至少存在如下问题：对于非标准端口，防火墙不易直接确定其所采用的通讯协议，以对接收的数据包进行还原、监测等。

发明内容

有鉴于此，本公开提供了一种应用识别方法、应用识别装置和计算设备。

本公开的一个方面提供了一种由服务器端执行的应用识别方法，包括：接收客户端发送的针对非标准端口的数据包，数据包包括第一目的地址信息和目的端口信息；以及响应于数据包，从第一数据集合中确定与第一目的地址信息和目的端口信息相匹配的应用关联信息，以便基于应用关联信息对数据包进行协议栈还原，获得数据包的还原信息；其中，数据包包括使客户端与目的服务器端之间建立连接的握手包；第一数据集合包括地址信息和端口信息与应用关联信息之间的映射关系；还原信息至少用于对与还原信息对应的数据包进行监测。

根据本公开的实施例，在接收到基于非标准端口传输的数据包时，基于第一目的地址信息和目的端口信息从第一数据集合确定应用关联信息，以基于应用关联信息进行数据还原，便于防火墙对还原后的数据进行监测、过滤和修改等操作。其中，由于可以直接基于第一数据集合确定应用关联信息(如通讯协议)，使得防火墙可以在接收到第一个握手数据包时即可确定其应用关联信息，提升防火墙的处理效率。

根据本公开的实施例，上述方法还包括：在从第一数据集合中确定与第一目的地址信息和目的端口信息相匹配的应用关联信息之后，接收域名系统请求，域名系统请求包括域名信息；响应于域名系统请求，确定与域名信息对应的应用名称；以及基于应用名称更新应用关联信息。

根据本公开的实施例，确定与域名信息对应的应用名称包括：从域名系统请求中获取第二目的地址信息；以及从第二数据集合中确定与第二目的地址信息相匹配的适配应用名称，以获得与域名信息对应的应用名称，其中，第二数据集合包括地址信息与应用名称之间的映射关系。

根据本公开的实施例，应用关联信息包括可信度属性。相应地，上述方法还包括：在基于应用关联信息对数据包进行协议栈还原之后，获得数据包的还原信息，以对数据包进行数据包过滤或指定信息替换，得到处理后数据包；将处理后数据包发送至第一目的地址信息和目的端口信息对应的服务器端，以建立连接；接收交互信息，交互信息是基于连接进行传输的；基于交互信息更新应用关联信息的可信度；以及基于应用关联信息的可信度更新第一数据集合。

根据本公开的实施例，应用关联信息还包括身份标识信息，身份标识信息包括客户端标识和服务器端标识。