加密應(yīng)用識別和加密網(wǎng)頁內(nèi)容分類方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)應(yīng)用安全技術(shù)���,尤其涉及一種加密應(yīng)用識別和加密網(wǎng)頁內(nèi)容分類方法及裝置�����。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)安全需求的增加����,針對網(wǎng)絡(luò)數(shù)據(jù)的加密技術(shù)應(yīng)用越來越廣泛����,數(shù)據(jù)加密技術(shù)目前已經(jīng)廣泛應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)加密傳輸,以便對用戶的私密數(shù)據(jù)進(jìn)行保護(hù)�����。
[0003]以目前使用最廣泛的安全套接層(SSL���,Secure Sockets Layer)為例��,所述SSL使用數(shù)據(jù)加密技術(shù)�,可確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不會被截取及竊聽�,從而保障互聯(lián)網(wǎng)上的數(shù)據(jù)傳輸安全���。SSL協(xié)議位于傳輸控制協(xié)議/因特網(wǎng)互聯(lián)(TCP/IP,Transmiss1n ControlProtocol/Internet Protocol)協(xié)議與各種應(yīng)用層協(xié)議之間��,為數(shù)據(jù)通訊提供安全支持��。需要說明的是����,目前主流的網(wǎng)絡(luò)服務(wù)器均提供對SSL加密技術(shù)的支持。
[0004]除了可以使用SSL加密技術(shù)進(jìn)行網(wǎng)頁瀏覽���,目前越來越多的應(yīng)用程序客戶端還可以通過其它加密協(xié)議與服務(wù)器之間進(jìn)行通信���,例如,在金融支付�����、辦公等領(lǐng)域的應(yīng)用大部分采用了加密技術(shù)以保證用戶網(wǎng)絡(luò)數(shù)據(jù)的安全���。
[0005]在現(xiàn)有技術(shù)中�����,針對加密應(yīng)用的識別方案主要有以下三種:
[0006]方案一:通過對證書中的明文信息進(jìn)行識別��。
[0007]方案二:通過中間人攻擊方法對SSL秘鑰進(jìn)行劫持����,解析SSL流量并采用傳統(tǒng)識別方法對解析后的流量進(jìn)行識別��。
[0008]方案三:通過統(tǒng)計(jì)學(xué)方法對加密流量數(shù)據(jù)進(jìn)行線下分析��,并提取深度/動態(tài)流檢測(DFI����,Deep/Dynamic Flow Inspect1n)特征。
[0009]傳統(tǒng)加密應(yīng)用識別方法基本是針對連接數(shù)據(jù)載荷內(nèi)容的深度包檢測(DPI�,DeepPacket Inspect1n)技術(shù)以及匹配數(shù)據(jù)流特征的DFI技術(shù),但是����,所述兩種技術(shù)在識別加密流量方面不夠完善,具體原因如下:
[0010]I)傳輸?shù)膬?nèi)容經(jīng)過加密后��,連接數(shù)據(jù)的載荷內(nèi)容均為密文�����,不包含能夠匹配的特征。
[0011]2)傳輸?shù)臄?shù)據(jù)隨機(jī)��,數(shù)據(jù)流沒有明顯的包長序列特征����。
[0012]基于以上兩種原因,針對加密應(yīng)用的三種識別方案具有以下問題:
[0013]I)方案一過渡依賴證書中的明文信息���,如果不存在特征性明文則不能識別加密應(yīng)用�。
[0014]2)方案二依賴客戶端對偽造證書的信任���;依賴服務(wù)端不要求對客戶端進(jìn)行認(rèn)證����;需要較大的計(jì)算量�,效率較低;以及有法律風(fēng)險(xiǎn)�。
[0015]3)方案三并不能克服傳輸數(shù)據(jù)隨機(jī),無流量特征的情況���。
[0016]另外��,在現(xiàn)有技術(shù)中�����,針對加密場景下的網(wǎng)頁內(nèi)容分類技術(shù)主要使用所述方案二���,且在解密后進(jìn)行。具體地��,傳統(tǒng)的網(wǎng)頁內(nèi)容分類技術(shù)是通過超文本傳輸協(xié)議(HTTP���,HyperText Transfer Protocol)訪問請求中的主機(jī)(Host)及統(tǒng)一資源標(biāo)識符(URI��,Uniform Resource Identifier)與分類庫中的記錄進(jìn)行匹配��,并返回分類結(jié)果�。而當(dāng)HTTP訪問通過SSL加密后生成超文本加密傳輸協(xié)議(HTTPS���,Hyper Text Transfer Protocolover Secure Socket Layer)后����,請求的URL及Host都是以密文的方式進(jìn)行傳輸����,因此����,傳統(tǒng)的網(wǎng)頁內(nèi)容分類技術(shù)不能完成分類庫的匹配�����,從而無法對所述網(wǎng)頁內(nèi)容進(jìn)行分類����。
【發(fā)明內(nèi)容】
[0017]有鑒于此,本發(fā)明實(shí)施例期望提供一種加密應(yīng)用識別和加密網(wǎng)頁內(nèi)容分類方法及裝置��,不僅能夠準(zhǔn)確有效地識別網(wǎng)絡(luò)加密應(yīng)用以及對加密網(wǎng)頁內(nèi)容進(jìn)行分類���,而且避免了解密及分析加密流量本身的數(shù)據(jù)特征���,從而降低引擎負(fù)載,減少安全風(fēng)險(xiǎn)�����。
[0018]為達(dá)到上述目的���,本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0019]本發(fā)明實(shí)施例提供了一種加密應(yīng)用識別方法����,包括:
[0020]獲取網(wǎng)絡(luò)中的連接數(shù)據(jù),確定所述連接數(shù)據(jù)為域名系統(tǒng)DNS連接數(shù)據(jù)��;
[0021]從所述DNS連接數(shù)據(jù)中獲取DNS反饋包��,所述DNS反饋包包括加密應(yīng)用域名和服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址����;
[0022]查詢應(yīng)用自動匹配表中是否包括所述服務(wù)器IP地址����;
[0023]當(dāng)所述應(yīng)用自動匹配表中不包括所述服務(wù)器IP地址時(shí),查詢應(yīng)用規(guī)則庫中是否包括所述加密應(yīng)用域名對應(yīng)的應(yīng)用標(biāo)識���,當(dāng)所述應(yīng)用規(guī)則庫中包括所述加密應(yīng)用域名對應(yīng)的應(yīng)用標(biāo)識時(shí)���,將所述服務(wù)器IP地址和對應(yīng)的所述應(yīng)用標(biāo)識加入所述應(yīng)用自動匹配表。
[0024]上述方案中����,所述查詢應(yīng)用自動匹配表中是否包括所述服務(wù)器IP地址之后,還包括:
[0025]當(dāng)所述應(yīng)用自動匹配表中包括所述服務(wù)器IP地址時(shí),輸出所述服務(wù)器IP地址對應(yīng)的所述應(yīng)用標(biāo)識��。
[0026]本發(fā)明實(shí)施例提供了一種加密網(wǎng)頁內(nèi)容分類方法����,包括:
[0027]獲取網(wǎng)絡(luò)中的連接數(shù)據(jù),確定所述連接數(shù)據(jù)為域名系統(tǒng)DNS連接數(shù)據(jù)�����;
[0028]從所述DNS連接數(shù)據(jù)中獲取DNS反饋包�����,所述DNS反饋包包括加密應(yīng)用域名和服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址��;
[0029]確定加密應(yīng)用為超文本加密傳輸協(xié)議HTTPS時(shí)��,查詢分類自動匹配表中是否包括所述服務(wù)器IP地址��;
[0030]當(dāng)所述分類自動匹配表中不包括所述服務(wù)器IP地址時(shí)���,查詢分類規(guī)則庫中是否包括所述加密應(yīng)用域名對應(yīng)的分類標(biāo)識�����,當(dāng)所述分類規(guī)則庫中包括所述加密應(yīng)用域名對應(yīng)的分類標(biāo)識時(shí)�,將所述服務(wù)器IP地址和對應(yīng)的分類標(biāo)識加入所述分類自動匹配表。
[0031 ] 上述方案中���,所述查詢分類自動匹配表中是否包括所述服務(wù)器IP地址之后��,還包括:
[0032]當(dāng)所述分類自動匹配表中包括所述服務(wù)器IP地址時(shí)�����,輸出所述服務(wù)器IP地址對應(yīng)的所述分類標(biāo)識�。
[0033]本發(fā)明實(shí)施例提供了一種加密應(yīng)用識別裝置����,包括:
[0034]連接數(shù)據(jù)獲取單元�����,用于獲取網(wǎng)絡(luò)中的連接數(shù)據(jù)��,確定所述連接數(shù)據(jù)為域名系統(tǒng)DNS連接數(shù)據(jù)�;
[0035]DNS反饋包獲取單元,用于從所述DNS連接數(shù)據(jù)中獲取DNS反饋包�,所述DNS反饋包包括加密應(yīng)用域名和服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址;
[0036]第一查詢單元,用于查詢應(yīng)用自動匹配表中是否包括所述服務(wù)器IP地址����;
[0037]第一服務(wù)器IP地址加入單元,用于當(dāng)所述應(yīng)用自動匹配表中不包括所述服務(wù)器IP地址時(shí)��,查詢應(yīng)用規(guī)則庫中是否包括所述加密應(yīng)用域名對應(yīng)的應(yīng)用標(biāo)識�����,當(dāng)所述應(yīng)用規(guī)則庫中包括所述加密應(yīng)用域名對應(yīng)的應(yīng)用標(biāo)識時(shí)�����,將所述服務(wù)器IP地址和對應(yīng)的應(yīng)用標(biāo)識加入所述應(yīng)用自動匹配表�����。
[0038]上述方案中����,還包括:
[0039]第一輸出單元,用于查詢所述應(yīng)用自動匹配表中是否包括所述服務(wù)器IP地址之后�����,當(dāng)所述應(yīng)用自動匹配表中包括所述服務(wù)器IP地址時(shí),輸出所述服務(wù)器IP地址對應(yīng)的所述應(yīng)用標(biāo)識�����。
[0040]本發(fā)明實(shí)施例提供了一種加密網(wǎng)頁內(nèi)容分類裝置��,包括:
[0041]連接數(shù)據(jù)獲取單元�����,用于獲取網(wǎng)絡(luò)中的連接數(shù)據(jù)�����,確定所述連接數(shù)據(jù)為域名系統(tǒng)DNS連接數(shù)據(jù)�;
[0042]DNS反饋包獲取單元,用于從所述DNS連接數(shù)據(jù)中獲取DNS反饋包����,所述DNS反饋包包括加密應(yīng)用域名和服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址��;
[0043]第二查詢單元��,用于確定加密應(yīng)用為超文本加密傳輸協(xié)議HTTPS時(shí)����,查詢分類自動匹配表中是否包括所述服務(wù)器IP地址����;
[0044]第二服務(wù)器IP地址加入單元�,用于當(dāng)所述分類自動匹配表中不包括所述服務(wù)器IP地址時(shí),查詢分類規(guī)則庫中是否包括所述加密應(yīng)用域名對應(yīng)的分類標(biāo)識��,當(dāng)所述分類規(guī)則庫中包括所述加密應(yīng)用域名對應(yīng)的分類標(biāo)識時(shí)�����,將所述服務(wù)器IP地址和對應(yīng)的分類標(biāo)識加入所述分類自動匹配表����。
[0045]上述方案中,還包括:
[0046]第二輸出單元����,用于查詢所述分類自動匹配表中是否包括所述服務(wù)器IP地址之后,當(dāng)所述分類自動匹配表中包括所述服務(wù)器IP地址時(shí)�,輸出所述服務(wù)器IP地址對應(yīng)的所述分類標(biāo)識。
[0047]本發(fā)明實(shí)施例提供了一種加密應(yīng)用識別和加密網(wǎng)頁內(nèi)容分類裝置��,包括:
[0048]連接數(shù)據(jù)獲取單元���,用于獲取網(wǎng)絡(luò)中的連接數(shù)據(jù)���,確定所述連接數(shù)據(jù)為域名系統(tǒng)DNS連接數(shù)據(jù)�;
[0049]DNS反饋包獲取單元���,用于從所述DNS連接數(shù)據(jù)中獲取DNS反饋包�,所述DNS反饋包包括加密應(yīng)用域名和服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址�;
[0050]第一查詢單元,用于查詢應(yīng)用自動匹配表中是否包括所述服務(wù)器IP地址����;
[0051]第二查詢單元,用于確定加密應(yīng)用為超文本加密傳