[发明专利]一种客户端应用的网络访问识别和管控方法

说明书

本发明涉及网络安全技术领域，公开了一种客户端应用的网络访问识别和管控方法，步骤S1.预设会话管理模块，将会话管理模块配置到虚拟机中，将虚拟机和网关应用监管模块部署在网关服务器内；步骤S2.输入待管控的客户端信息并根据会话管理模块获取待管控的客户端应用数据；步骤S3.根据待管控的客户端应用数据安装待管控客户端，并根据会话管理模块记录安装前后待管控的客户端的干扰服务IP信息和端口信息；步骤S4.根据安装前后待管控的客户端的干扰服务IP信息和端口信息获取去除干扰的待管控客户端的纯净信息；步骤S5.会话管理模块对待管控的客户端的纯净信息加密并上传至网关应用监管模块，网关应用监管模块对待管控的客户端进行管控。

技术领域

本发明涉及网络安全技术领域，具体地说，是一种客户端应用的网络访问识别和管控方法，用于在网关设备上部署虚拟机来适应各种不同的网关部署场景和安装客户端应用模拟正常的应用访问行为。

背景技术

在网络应用高速发展的今天，对网络应用包括应用识别、应用流量统计以及应用管控的需求越来越高。在保密性要求严格的军工、科研、政府等机构，可以通过在工作人员电脑终端安装各种管控软件，或者只能访问局域网等方法来实现应用管控规范网络访问行为。但是针对保密和管控要求不高并需要访问互联网的单位企业中，不能采用该方法。在该网络环境中主要采用域名等特征实现识别然后管控，该方法适用网页版这种通过HTTP/DNS/HTTPS应用协议。但是，对于客户端类型的应用的识别和管控效果大打折扣，究其原因，某些客户端通过内置不可见的服务IP走私有加密协议来逃避识别和管控。比如说某大型应用PC客户端除了走了HTTP、HTTPS、DNS协议，该应用的某个服务IP还采用了被加密的私有协议，并且内置的服务IP可以通过客户端版本更新或者协商等方式进行服务IP替换，让该应用的服务IP不固定，以此逃脱IP类的识别管控方法。并且应用服务商在提供应用的服务器上会同时部署多种业务，往往使同一个服务IP对应多种应用，比如说同一个服务IP既提供QQ音乐又提供QQ及时通信，在只要求对QQ音乐进行阻止的需求下，仅仅根据服务IP进行控制，则会错误阻止QQ及时通信。其次，有些客户端应用在使用中不止有一个网络会话，导致使用功能往往会建立多达几十个的访问连接，给网络协议分析人员带来极大困难。

综上所述，在现有包括网关设备在内中的网络应用的识别和管控中，主要依靠技术人员分析HTTP、DNS等应用协议的特征和收集IP的方式进行识别和管控。该类方法在客户端类型的应用中存在不能识别和管控情况，因为某些客户端应用通过内置服务IP和端口绕过DNS协议，并且通过私有加密协议继续与应用的服务端通信，并且服务IP也存在更新变化的情况，导致网关设备对该客户端应用难以管控，目前为止，对于客户端类型的应用的识别和管控存在短板，而主流的应用识别也主要通过专业人员手工进行协议特征分析，然后将分析的协议特征下进行匹配，并且存在以下问题：

1、效率低：分析人员需要手工不断抓包和特征提取。

2、不同应用的特征重复性高:经过分析人员提取的应用特征存在和其他应用特征重复的情况，比如说在微信的HTTP协议URL的中存在“weixin”特征，而在名叫微行应用中带了“weixing”特征，则会错误识别。

3、需要专业人员长期维护特征：应用的协议可能不固定，它之前所携带的域名IP等特征往往是变化的，在发生改变后又需要专业人员去抓包分析，耗时耗力。

4、对客户端应用准确性差：客户端应用由于内置服务IP和端口，并且走私有加密或者不可见的隧道协议，导致没有明文特征，并且内置的服务IP建立的加密会话则用来协商更多的应用会话，这些会话没有固定明文特征且服务IP不固定，而且绕过了DNS服务，导致非常难以识别和管控。本发明针对上述问题和存在弊端的客户端类型应用，从应用访问需要的最根本服务IP和端口进行管控，不依赖域名和URL等明文特征。通过在网关设备上部署虚拟机来适应各种不同的网关部署场景和安装客户端应用模拟正常的应用访问行为。同时，在虚拟机内部通过自定义的会话管理模块在排除干扰会话后还能准确的提取到服务IP和端口，并且在虚拟机内通过周期性的模拟用户使用应用来解决应用的服务IP和端口变更的情况，从根源上来达到对客户端应用准确有效的放行和阻断等管控需求。