加密應(yīng)用識(shí)別和加密網(wǎng)頁(yè)內(nèi)容分類方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)應(yīng)用安全技術(shù)�����,尤其涉及一種加密應(yīng)用識(shí)別和加密網(wǎng)頁(yè)內(nèi)容分類方法及裝置�。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)安全需求的增加,針對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密技術(shù)應(yīng)用越來(lái)越廣泛��,數(shù)據(jù)加密技術(shù)目前已經(jīng)廣泛應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸����,以便對(duì)用戶的私密數(shù)據(jù)進(jìn)行保護(hù)。
[0003]以目前使用最廣泛的安全套接層(SSL����,Secure Sockets Layer)為例,所述SSL使用數(shù)據(jù)加密技術(shù)�,可確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中不會(huì)被截取及竊聽(tīng),從而保障互聯(lián)網(wǎng)上的數(shù)據(jù)傳輸安全��。SSL協(xié)議位于傳輸控制協(xié)議/因特網(wǎng)互聯(lián)(TCP/IP����,Transmiss1n ControlProtocol/Internet Protocol)協(xié)議與各種應(yīng)用層協(xié)議之間��,為數(shù)據(jù)通訊提供安全支持�。需要說(shuō)明的是��,目前主流的網(wǎng)絡(luò)服務(wù)器均提供對(duì)SSL加密技術(shù)的支持����。
[0004]除了可以使用SSL加密技術(shù)進(jìn)行網(wǎng)頁(yè)瀏覽,目前越來(lái)越多的應(yīng)用程序客戶端還可以通過(guò)其它加密協(xié)議與服務(wù)器之間進(jìn)行通信�,例如,在金融支付��、辦公等領(lǐng)域的應(yīng)用大部分采用了加密技術(shù)以保證用戶網(wǎng)絡(luò)數(shù)據(jù)的安全�。
[0005]在現(xiàn)有技術(shù)中�����,針對(duì)加密應(yīng)用的識(shí)別方案主要有以下三種:
[0006]方案一:通過(guò)對(duì)證書中的明文信息進(jìn)行識(shí)別��。
[0007]方案二:通過(guò)中間人攻擊方法對(duì)SSL秘鑰進(jìn)行劫持��,解析SSL流量并采用傳統(tǒng)識(shí)別方法對(duì)解析后的流量進(jìn)行識(shí)別�����。
[0008]方案三:通過(guò)統(tǒng)計(jì)學(xué)方法對(duì)加密流量數(shù)據(jù)進(jìn)行線下分析,并提取深度/動(dòng)態(tài)流檢測(cè)(DFI�����,Deep/Dynamic Flow Inspect1n)特征�����。
[0009]傳統(tǒng)加密應(yīng)用識(shí)別方法基本是針對(duì)連接數(shù)據(jù)載荷內(nèi)容的深度包檢測(cè)(DPI���,DeepPacket Inspect1n)技術(shù)以及匹配數(shù)據(jù)流特征的DFI技術(shù)��,但是��,所述兩種技術(shù)在識(shí)別加密流量方面不夠完善�,具體原因如下:
[0010]I)傳輸?shù)膬?nèi)容經(jīng)過(guò)加密后���,連接數(shù)據(jù)的載荷內(nèi)容均為密文��,不包含能夠匹配的特征�����。
[0011]2)傳輸?shù)臄?shù)據(jù)隨機(jī)����,數(shù)據(jù)流沒(méi)有明顯的包長(zhǎng)序列特征。
[0012]基于以上兩種原因��,針對(duì)加密應(yīng)用的三種識(shí)別方案具有以下問(wèn)題:
[0013]I)方案一過(guò)渡依賴證書中的明文信息��,如果不存在特征性明文則不能識(shí)別加密應(yīng)用���。
[0014]2)方案二依賴客戶端對(duì)偽造證書的信任�����;依賴服務(wù)端不要求對(duì)客戶端進(jìn)行認(rèn)證��;需要較大的計(jì)算量��,效率較低;以及有法律風(fēng)險(xiǎn)���。
[0015]3)方案三并不能克服傳輸數(shù)據(jù)隨機(jī)����,無(wú)流量特征的情況。
[0016]另外����,在現(xiàn)有技術(shù)中,針對(duì)加密場(chǎng)景下的網(wǎng)頁(yè)內(nèi)容分類技術(shù)主要使用所述方案二��,且在解密后進(jìn)行����。具體地,傳統(tǒng)的網(wǎng)頁(yè)內(nèi)容分類技術(shù)是通過(guò)超文本傳輸協(xié)議(HTTP�����,HyperText Transfer Protocol)訪問(wèn)請(qǐng)求中的主機(jī)(Host)及統(tǒng)一資源標(biāo)識(shí)符(URI��,Uniform Resource Identifier)與分類庫(kù)中的記錄進(jìn)行匹配�,并返回分類結(jié)果。而當(dāng)HTTP訪問(wèn)通過(guò)SSL加密后生成超文本加密傳輸協(xié)議(HTTPS���,Hyper Text Transfer Protocolover Secure Socket Layer)后��,請(qǐng)求的URL及Host都是以密文的方式進(jìn)行傳輸��,因此�����,傳統(tǒng)的網(wǎng)頁(yè)內(nèi)容分類技術(shù)不能完成分類庫(kù)的匹配���,從而無(wú)法對(duì)所述網(wǎng)頁(yè)內(nèi)容進(jìn)行分類����。
【發(fā)明內(nèi)容】
[0017]有鑒于此����,本發(fā)明實(shí)施例期望提供一種加密應(yīng)用識(shí)別和加密網(wǎng)頁(yè)內(nèi)容分類方法及裝置,不僅能夠準(zhǔn)確有效地識(shí)別網(wǎng)絡(luò)加密應(yīng)用以及對(duì)加密網(wǎng)頁(yè)內(nèi)容進(jìn)行分類����,而且避免了解密及分析加密流量本身的數(shù)據(jù)特征,從而降低引擎負(fù)載��,減少安全風(fēng)險(xiǎn)����。
[0018]為達(dá)到上述目的,本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0019]本發(fā)明實(shí)施例提供了一種加密應(yīng)用識(shí)別方法���,包括:
[0020]獲取網(wǎng)絡(luò)中的連接數(shù)據(jù)���,確定所述連接數(shù)據(jù)為域名系統(tǒng)DNS連接數(shù)據(jù);
[0021]從所述DNS連接數(shù)據(jù)中獲取DNS反饋包���,所述DNS反饋包包括加密應(yīng)用域名和服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址���;
[0022]查詢應(yīng)用自動(dòng)匹配表中是否包括所述服務(wù)器IP地址;
[0023]當(dāng)所述應(yīng)用自動(dòng)匹配表中不包括所述服務(wù)器IP地址時(shí)���,查詢應(yīng)用規(guī)則庫(kù)中是否包括所述加密應(yīng)用域名對(duì)應(yīng)的應(yīng)用標(biāo)識(shí)����,當(dāng)所述應(yīng)用規(guī)則庫(kù)中包括所述加密應(yīng)用域名對(duì)應(yīng)的應(yīng)用標(biāo)識(shí)時(shí)����,將所述服務(wù)器IP地址和對(duì)應(yīng)的所述應(yīng)用標(biāo)識(shí)加入所述應(yīng)用自動(dòng)匹配表。
[0024]上述方案中�,所述查詢應(yīng)用自動(dòng)匹配表中是否包括所述服務(wù)器IP地址之后,還包括:
[0025]當(dāng)所述應(yīng)用自動(dòng)匹配表中包括所述服務(wù)器IP地址時(shí)��,輸出所述服務(wù)器IP地址對(duì)應(yīng)的所述應(yīng)用標(biāo)識(shí)����。
[0026]本發(fā)明實(shí)施例提供了一種加密網(wǎng)頁(yè)內(nèi)容分類方法��,包括:
[0027]獲取網(wǎng)絡(luò)中的連接數(shù)據(jù)�,確定所述連接數(shù)據(jù)為域名系統(tǒng)DNS連接數(shù)據(jù)�����;
[0028]從所述DNS連接數(shù)據(jù)中獲取DNS反饋包�,所述DNS反饋包包括加密應(yīng)用域名和服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址;
[0029]確定加密應(yīng)用為超文本加密傳輸協(xié)議HTTPS時(shí)���,查詢分類自動(dòng)匹配表中是否包括所述服務(wù)器IP地址����;
[0030]當(dāng)所述分類自動(dòng)匹配表中不包括所述服務(wù)器IP地址時(shí)�����,查詢分類規(guī)則庫(kù)中是否包括所述加密應(yīng)用域名對(duì)應(yīng)的分類標(biāo)識(shí)����,當(dāng)所述分類規(guī)則庫(kù)中包括所述加密應(yīng)用域名對(duì)應(yīng)的分類標(biāo)識(shí)時(shí),將所述服務(wù)器IP地址和對(duì)應(yīng)的分類標(biāo)識(shí)加入所述分類自動(dòng)匹配表����。
[0031 ] 上述方案中���,所述查詢分類自動(dòng)匹配表中是否包括所述服務(wù)器IP地址之后�,還包括:
[0032]當(dāng)所述分類自動(dòng)匹配表中包括所述服務(wù)器IP地址時(shí),輸出所述服務(wù)器IP地址對(duì)應(yīng)的所述分類標(biāo)識(shí)��。
[0033]本發(fā)明實(shí)施例提供了一種加密應(yīng)用識(shí)別裝置�����,包括:
[0034]連接數(shù)據(jù)獲取單元�����,用于獲取網(wǎng)絡(luò)中的連接數(shù)據(jù)���,確定所述連接數(shù)據(jù)為域名系統(tǒng)DNS連接數(shù)據(jù)�����;
[0035]DNS反饋包獲取單元�����,用于從所述DNS連接數(shù)據(jù)中獲取DNS反饋包��,所述DNS反饋包包括加密應(yīng)用域名和服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址�;
[0036]第一查詢單元,用于查詢應(yīng)用自動(dòng)匹配表中是否包括所述服務(wù)器IP地址�����;
[0037]第一服務(wù)器IP地址加入單元�,用于當(dāng)所述應(yīng)用自動(dòng)匹配表中不包括所述服務(wù)器IP地址時(shí),查詢應(yīng)用規(guī)則庫(kù)中是否包括所述加密應(yīng)用域名對(duì)應(yīng)的應(yīng)用標(biāo)識(shí)�����,當(dāng)所述應(yīng)用規(guī)則庫(kù)中包括所述加密應(yīng)用域名對(duì)應(yīng)的應(yīng)用標(biāo)識(shí)時(shí)���,將所述服務(wù)器IP地址和對(duì)應(yīng)的應(yīng)用標(biāo)識(shí)加入所述應(yīng)用自動(dòng)匹配表���。
[0038]上述方案中,還包括:
[0039]第一輸出單元�,用于查詢所述應(yīng)用自動(dòng)匹配表中是否包括所述服務(wù)器IP地址之后,當(dāng)所述應(yīng)用自動(dòng)匹配表中包括所述服務(wù)器IP地址時(shí)�����,輸出所述服務(wù)器IP地址對(duì)應(yīng)的所述應(yīng)用標(biāo)識(shí)。
[0040]本發(fā)明實(shí)施例提供了一種加密網(wǎng)頁(yè)內(nèi)容分類裝置����,包括:
[0041]連接數(shù)據(jù)獲取單元,用于獲取網(wǎng)絡(luò)中的連接數(shù)據(jù)�,確定所述連接數(shù)據(jù)為域名系統(tǒng)DNS連接數(shù)據(jù)��;
[0042]DNS反饋包獲取單元���,用于從所述DNS連接數(shù)據(jù)中獲取DNS反饋包��,所述DNS反饋包包括加密應(yīng)用域名和服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址����;
[0043]第二查詢單元����,用于確定加密應(yīng)用為超文本加密傳輸協(xié)議HTTPS時(shí),查詢分類自動(dòng)匹配表中是否包括所述服務(wù)器IP地址��;
[0044]第二服務(wù)器IP地址加入單元�,用于當(dāng)所述分類自動(dòng)匹配表中不包括所述服務(wù)器IP地址時(shí),查詢分類規(guī)則庫(kù)中是否包括所述加密應(yīng)用域名對(duì)應(yīng)的分類標(biāo)識(shí)���,當(dāng)所述分類規(guī)則庫(kù)中包括所述加密應(yīng)用域名對(duì)應(yīng)的分類標(biāo)識(shí)時(shí)����,將所述服務(wù)器IP地址和對(duì)應(yīng)的分類標(biāo)識(shí)加入所述分類自動(dòng)匹配表。
[0045]上述方案中��,還包括:
[0046]第二輸出單元�����,用于查詢所述分類自動(dòng)匹配表中是否包括所述服務(wù)器IP地址之后�,當(dāng)所述分類自動(dòng)匹配表中包括所述服務(wù)器IP地址時(shí),輸出所述服務(wù)器IP地址對(duì)應(yīng)的所述分類標(biāo)識(shí)�。
[0047]本發(fā)明實(shí)施例提供了一種加密應(yīng)用識(shí)別和加密網(wǎng)頁(yè)內(nèi)容分類裝置,包括:
[0048]連接數(shù)據(jù)獲取單元��,用于獲取網(wǎng)絡(luò)中的連接數(shù)據(jù)�����,確定所述連接數(shù)據(jù)為域名系統(tǒng)DNS連接數(shù)據(jù)�;
[0049]DNS反饋包獲取單元,用于從所述DNS連接數(shù)據(jù)中獲取DNS反饋包�����,所述DNS反饋包包括加密應(yīng)用域名和服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址;
[0050]第一查詢單元����,用于查詢應(yīng)用自動(dòng)匹配表中是否包括所述服務(wù)器IP地址;
[0051]第二查詢單元��,用于確定加密應(yīng)用為超文本加密傳