【技术实现步骤摘要】
一种应用程序识别规则生成方法和装置
本专利技术涉及网络安全领域,尤其涉及一种应用程序识别规则生成方法和装置。
技术介绍
随着网络基础设施建设发展和网络应用的普及,网络安全事件也越来越受到社会各方的关注和重视,网络管理和网络威胁检测进入了面向应用识别的新篇章。目前,各大厂商主要使用深度数据包检测方法(DPI技术)进行应用识别。深度数据包检测方法是对网络流量中的各个数据包的报文数据面向应用建立规则库,根据数据报文的实际内容判别该数据包所属的应用的方法,具有精确度高、控制能力强、识别范围大等优点,已经成为各大网络设备和安全厂商在应用识别领域普遍采用的方法。由于该方法需要构建面向网络应用的庞大的规则库,因此规则描述得越多越精确,能够识别出的应用越多。现有技术中,规则库的构建、更新和维护主要是依靠工程师人为地抓取网络数据包,再由分析人员对应用的网络协议和数据包进行分析和特征提取,生成规则,存入规则库。这样的方式具有效率低、开销大、成本高、对分析员经验依赖性强和维护困难等缺点。
技术实现思路
本专利技术实施例提供了一种应用程序识别规则生成方法和装置,用以提高应用程序识别规则生成效率和准确度。本专利技术实施例提供一种应用程序识别规则生成方法,该方法包括:获取各待处理的应用程序在若干个运行时间段内产生的数据,将获取到的数据和预先生成的特征字典进行比对,提取出属于同一应用程序的HTTP数据包;对于属于同一应用程序的HTTP数据包,根据所述HTTP数据包的不同字段上的取值,将所述HTTP数据包进行逐级分类,得到分类树;所述分类树中的节点用于表征所述HTTP数据包的在不同字段上的共 ...
【技术保护点】
一种应用程序识别规则生成方法,其特征在于,该方法包括:获取各待处理的应用程序在若干个运行时间段内产生的数据,将获取到的数据和预先生成的特征字典进行比对,提取出属于同一应用程序的HTTP数据包;对于属于同一应用程序的HTTP数据包,根据所述HTTP数据包的不同字段上的取值,将所述HTTP数据包进行逐级分类,得到分类树;所述分类树中的节点用于表征所述HTTP数据包的在不同字段上的共同特征信息;将从叶子节点到根节点之间的路径上的各节点所表征的特征信息的集合作为所述HTTP数据包的特征串;获取所述分类树中的每一条路径所对应的特征串,将各特征串作为该应用程序的一条规则雏形;根据所述规则雏形与预先生成的特征字典进行比较,根据比较结果,生成该应用程序的一条识别规则。
【技术特征摘要】
1.一种应用程序识别规则生成方法,其特征在于,该方法包括:获取各待处理的应用程序在若干个运行时间段内产生的数据,将获取到的数据和预先生成的特征字典进行比对,提取出属于同一应用程序的HTTP数据包;对于属于同一应用程序的HTTP数据包,根据所述HTTP数据包的不同字段上的取值,将所述HTTP数据包进行逐级分类,得到分类树;所述分类树中的节点用于表征所述HTTP数据包的在不同字段上的共同特征信息;将从叶子节点到根节点之间的路径上的各节点所表征的特征信息的集合作为所述HTTP数据包的特征串;获取所述分类树中的每一条路径所对应的特征串,将各特征串作为该应用程序的一条规则雏形;根据所述规则雏形与预先生成的特征字典进行比较,根据比较结果,生成该应用程序的一条识别规则。2.如权利要求1所述的方法,其特征在于,所述将所述HTTP数据包进行逐级分类,得到分类树,具体包括:按照第一预设规则,将所述HTTP数据包进行第一级分类,得到第一分类树;其中,所述第一预设规则具体为:任意两个HTTP数据包在HOST字段上的取值的最长公共子序列大于或等于第一预设阈值。3.如权利要求2所述的方法,其特征在于,在得到所述第一分类树之后,进一步包括:获取所述第一分类树的全部叶子节点对应的权重,判断所述第一分类树的全部叶子节点对应的权重的总和是否大于预设阈值,若否,则按照预设第二预设规则,对所述第一分类树的各叶子节点进行第二级分类,得到第二分类树;否则,停止下一级分类,并将所述第一分类树作为对所述HTTP数据包进行逐级分类后得到的分类树;所述第二预设规则具体为:任意两个HTTP数据包在User-agent字段上的取值的编辑距离小于第二预设阈值。4.如权利要求3所述的方法,其特征在于,在得到所述第二分类树之后,进一步包括:获取所述第二分类树中除根节点以外的全部节点对应的权重,判断所述第二分类树中除根节点以外的全部节点对应的权重的总和是否大于所述预设阈值,若否,则按照预设第三预设规则,对所述第二分类树的各叶子节点进行第三级分类,得到第三分类树;否则,停止下一级分类,并将所述第二分类树作为对所述HTTP数据包进行逐级分类后得到的分类树;所述第三预设规则具体为:任意两个HTTP数据包在Reference字段上的取值除以该取值的前7位字符,将得到的结果的最长公共子序列大于或等于第三预设阈值。5.如权利要求4所述的方法,其特征在于,在得到所述第三分类树之后,进一步包括:获取所述第三分类树中除根节点以外的全部节点对应的权重,判断所述第三分类树中除根节点以外的全部节点对应的权重的总和是否大于所述预设阈值,若否,则按照预设第四预设规则,对所述第三分类树的各叶子节点进行第四级分类,得到第四分类树;否则,停止下一级分类,并将所述第三分类树作为对所述HTTP数据包进行逐级分类后得到的分类树;所述第四预设规则具体为:任意两个HTTP数据包在Uri字段的取值串以从第1位字符开始求相同位移的相同子串,子串长度大于或等于第四预设阈值。6.如权利要求5所述的方法,其特征在于,在得到所述第四分类树之后,进一步包括:获取所述第四分类树中除根节点以外的全部节点对应的权重,判断所述第四分类树中除根节点以外的全部节点对应的权重的总和是否大于所述预设阈值,若否,则按照预设第五预设规则,对所述第四分类树的各叶子节点进行第五级分类,得到第五分类树;否则,停止下一级分类,并将所述第四分类树作为对所述HTTP数据包进行逐级分类后得到的分类树;所述第五预设规则具体为:任意两个HTTP数据包在Parameters字段的取值的参数名个数相等。7.如权利要求6所述的方法,其特征在于,在得到所述第五分类树之后,进一步包括:获取所述第五分类树中除根节点以外的全部节点对应的权重,判断所述第五分类树中除根节点以外的全部节点对应的权重的总和是否大于所述预设阈值,若否,输出告警消息;否则,将所述第五分类树作为对所述HTTP数据包进行逐级分类后得到的分类树。8.如权利要求1所述的方法,其特征在于,所述提取出属于同一应用程序的HTTP数据包,具体包括:利用网络爬虫获取各待处理的应用程序在若干个运行时间段内产生的PCAP文件;解析所述PCAP文件,提取出网络数据报文;遍历提取出的全部的网络数据报文,将各网络数据报文中的域名或IP地址,与预先生成的特征字典中的域名后缀集合进行比对,提取出属于同一应用程序的网络数据报文。9.如权利要求1所述的方法,其特征在于,所述生成该应用程序的一条识别规则,具体包括:将所述规则雏形与预先生成的特征字典进行比对,判断所述规则雏形是否被包含于所述特征集合的一条记录中,若是,则输出告警消息;否则,生成属于该应用程序的一条识别规则;或者,判断所述规则雏形是否与所述特征集合的一条记录相同,若是,则输出告警消息;否则,生成属于该应用程序的一条识别规则。10.一种应用程序识别规则生成装...
【专利技术属性】
技术研发人员:胡跃,罗元海,吴崇武,赵洪亮,徐牧池,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。