技術領域

本發明涉及計算機及網絡技術領域，尤其涉及一種應用識別方法及一種應用識別裝置。

背景技術

隨著互聯網的普及，互聯網技術也發生了日新月異的進步。WEB2.0是近年來新興、并獲得廣泛推廣的互聯網應用程序構建技術。WEB2.0是相對于WEB1.0而言的，WEB1.0的主要特點在于用戶通過瀏覽器從所呈現的網頁中接收信息，例如在新聞網頁中閱讀新聞；WEB2.0則更注重互聯網網頁與用戶的交互過程，用戶既是網站內容的瀏覽者，也是網站內容的制造者，即用戶不再僅僅是網頁內容的讀者，也同時作為網頁內容的作者。在工作模式上，WEB2.0使得用戶與網站的關系由WEB1.0中單純的“讀”向“寫”、以及“相互交互”的方向發展。例如，當前非常流行的社交網站facebook、開心網、推特twitter、google+均是典型的WEB2.0技術的應用范例。

目前通常將基于WEB2.0技術構建的網站，或網站所提供的某個功能稱為一個“應用”，即應用劃分的最大粒度是網站。基于WEB2.0技術的應用在給人們帶來樂趣和便利的同時，也引發了漏洞、攻擊、隱私泄露等一系列的安全問題，例如用戶在網頁中發布信息，或與其他朋友共享信息時泄露企業的保密信息，或者在網頁上實施腳本注入攻擊等等。因此如何防范上述安全問題成為了一個研究熱點，而防范上述安全問題的前提是如何識別基于WEB2.0技術的應用。

現有各種應用識別方案的基本原理較為類似，具體為：預先根據各種已知應用的特征構建特征匹配器，特征匹配器可以為狀態機；安全設備將未知流量輸入狀態機，狀態機根據已知應用的特征，對未知流量進行匹配，若未知流量符合某個應用的特征，則將該應用的標識作為匹配結果輸出。

在實現本發明過程中，發明人發現現有技術中至少存在如下問題：隨著各級網絡出口帶寬不斷增長，需要進行檢測識別的流量越來越大。在構建特征匹配器時，由于各種應用特征數量的增長，編譯得到的用于進行匹配的狀態機占用的內存量也急劇增長，導致后續對未知流量進行匹配時針對WEB2.0應用的識別匹配性能不高。

發明內容

本發明實施例提供一種應用識別方法，用以解決現有技術針對WEB2.0應用的識別匹配性能不高的問題。

對應地，本發明實施例還提供了一種應用識別裝置。

本發明實施例提供的技術方案如下：

一種應用識別方法，包括：

對未知網絡流量中的域名服務(DNS，Domain?Name?Server)請求報文和對應的DNS應答報文進行解碼，獲得預定WEB2.0站點域名對應的IP地址；

從所述未知網絡流量分流出源地址或目的地址為所述IP地址的網絡流量；

將分流出的網絡流量輸入第一狀態機進行特征匹配，所述第一狀態機是預先對WEB2.0應用的特征進行編譯生成的；

輸出第一狀態機的匹配結果，所述匹配結果包括WEB2.0應用的標識，所述標識是與所述分流出的網絡流量的特征對應的WEB2.0應用的標識。

一種應用識別裝置，包括：

DNS解碼器，用于對未知網絡流量中的域名服務DNS請求報文和對應的DNS應答報文進行DNS解碼，獲得WEB2.0站點域名對應的IP地址；

分流器，用于從所述未知網絡流量分流出源地址或目的地址為所述IP地址的網絡流量；

所述分流器還用于將分流出的網絡流量輸入第一狀態機進行特征匹配，所述第一狀態機是預先對WEB2.0應用的特征進行編譯生成的；

所述第一狀態機在特征匹配完成后，輸出匹配結果，所述匹配結果包括WEB2.0應用的標識，所述標識是與所述分流出的網絡流量的特征對應的WEB2.0應用的標識。

本發明實施例通過DNS解碼獲得WEB2.0網站的IP地址，然后根據所述IP地址從未知流量中分流出部分流量，將分流出的流量輸入預先根據WEB2.0應用的特征編譯生成的WEB2.0狀態機，輸出WEB2.0狀態機的匹配結果。由于減小了狀態機的規模，減少了待識別流量，減少了匹配的次數，節約了運算處理資源，提升了針對WEB2.0的應用識別的性能和效率。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為現有應用識別方案的示意圖；

圖2a為本發明實施例的主要實現原理流程圖；