[发明专利]一种网络应用识别方法和装置

说明书

本申请提供了一种网络应用识别方法和装置，包括：获取待识别网络流量，待识别网络流量包括若干个负载包；对待识别网络流量的负载包进行检测，确定待识别网络流量的流量类型；当检测到待识别网络流量为加密流量时，根据待识别网络流量的负载包获取待识别网络流量的域名信息或证书信息；利用预设的加密流量识别算法，根据域名信息或证书信息获取待识别网络流量对应的网络应用名称。本申请通过区分加密流量和非加密流量，并分别进行应用识别，可以减少查询的负载包长度和负载包数量，降低CPU消耗性能，大大提高了识别效率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络应用识别方法和装置。

背景技术

随着网络通信技术的高速发展，各种网络应用的功能越来越多样化。当前网络中应用数量增多、规模庞大、架构复杂，而且应用更新非常快，互联网的安全问题也日益严峻。应用识别是指通过分析用户的流量数据，确定产生流量的应用程序。通过应用识别，可以及时发现可疑应用程序，有效保证用户网络的安全。因此，应用识别是保证网络安全的重要环节。

出于对用户信息安全隐私保护的加强，越来越多的PC端、移动端中的网络应用程序在传输数据时会使用加密流量的方式来保护其数据内容，安全套接层协议(SecureSockets Layer，简称SSL)是目前应用最为广泛的网络数据安全传输协议，例如：从谷歌服务器向外发送信息时，都会采用SSL协议加密的数据流量。而无论是这种加密流量还是非加密流量，对网络流量进行应用识别，识别出其相应的应用程序，已成为网络安全领域中的重要手段。

然而，本申请的发明人发现，在现有的应用识别技术中，不会去区分网络流量时加密还是非加密的，通过对流量的负载包依次进行查询，从而识别出流量相应的应用程序。现有技术在识别时，查询的负载包长度大、个数多，CPU消耗性能较大，识别效率低。

发明内容

本申请提供了一种网络应用识别方法和装置，以解决现有技术在识别应用时，CPU消耗性能较大，识别效率低的问题。

为了解决上述技术问题，本申请实施例公开了如下技术方案：

第一方面，本申请提供了一种网络应用识别方法，该方法包括：

获取待识别网络流量，所述待识别网络流量包括若干个负载包；

对所述待识别网络流量的负载包进行检测，确定所述待识别网络流量的流量类型；

当检测到所述待识别网络流量为加密流量时，根据所述待识别网络流量的负载包获取所述待识别网络流量的域名信息或证书信息；

利用预设的加密流量识别算法，根据所述域名信息或所述证书信息获取所述待识别网络流量对应的网络应用名称。

在一些实现方式中，对所述待识别网络流量的负载包进行检测，包括：

将所述待识别网络流量的第一个负载包输入到预设的流量识别算法中，确定所述第一个负载包中的流量特征的特征类型；如果所述流量特征的特征类型为加密特征，则所述待识别网络流量为加密流量；如果所述流量特征的特征类型为非加密特征，则所述待识别网络流量为非加密流量。

在一些实现方式中，根据所述待识别网络流量的负载包获取所述待识别网络流量的域名信息或证书信息，包括：

对所述待识别网络流量的第一个负载包进行检测；

当所述第一个负载包为Client Hello报文时，对所述Client Hello报文进行解码，并提取域名信息，所述域名信息包括域名长度；

当所述第一个负载包为Certificate报文时，对所述Certificate报文进行解码，并提取证书信息，所述证书信息包括证书长度。