一种应用类型的识别方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种应用类型的识别方法和装置。
【背景技术】
[0002]应用类型的识别是安全设备的基础特性,安全设备通过识别出报文的应用类型,从而得到该应用类型对应的深度识别业务,并基于该深度识别业务对报文进行深度检测。其中,当报文中携带有协议内容特征时,则安全设备可以基于报文中携带的协议内容特征,识别出该报文的应用类型。
[0003]针对同一数据流的多个报文,即五元组信息相同的多个报文,安全设备在接收到同一数据流的首报文时,可以识别出该报文的应用类型,并得到该应用类型对应的深度识别业务。安全设备创建一个会话,并在该会话中记录会话标识、应用类型、五元组信息、深度识别业务等内容。后续在接收到针对该五元组信息的所有报文时,均会基于该会话进行处理。
[0004]会话中记录的应用类型可能会发生变化。例如,当首报文没有携带协议内容特征时,安全设备无法基于协议内容特征识别出报文的应用类型,认为应用类型是TCP (Transmiss1n Control Protocol,传输控制协议)类型,在会话中记录TCP类型和TCP类型对应的深度识别业务。后续收到相同五元组信息的其它报文时,如果报文中携带协议内容特征,安全设备基于协议内容特征识别出报文的应用类型为FTP (File TransferProtocol,文件传输协议)类型或者SIP (Sess1n Initiat1n Protocol,会话初始协议)类型等其它应用类型,并将会话中记录的应用类型由TCP类型修改为FTP类型或者SIP类型。
[0005]由于会话中记录的深度识别业务依赖于应用类型,当应用类型由TCP类型修改为FTP类型或者SIP类型后,会话中记录的深度识别业务显然不再适用,需要对会话中记录的深度识别业务进行调整,而调整过程通常很复杂。
【发明内容】
[0006]本发明提供一种应用类型的识别方法,安全设备保存有用于记录目的信息与应用类型之间的映射关系的映射关系表,所述方法包括以下步骤:
[0007]安全设备接收来自客户端的报文;若所述报文为触发建立会话的首报文,且所述映射关系表中存在所述首报文携带的目的信息,则所述安全设备建立所述首报文所属的会话,并记录所述会话对应的应用类型为所述目的信息在所述映射关系表中对应的应用类型。
[0008]本发明提供一种应用类型的识别装置,所述应用类型的识别装置应用在安全设备上,所述安全设备保存有用于记录目的信息与应用类型之间的映射关系的映射关系表,且所述应用类型的识别装置具体包括:
[0009]接收模块,用于接收来自客户端的报文;处理模块,用于若所述报文为触发建立会话的首报文,且所述映射关系表中存在所述首报文携带的目的信息,则建立所述首报文所属的会话,并记录所述会话对应的应用类型为所述目的信息在所述映射关系表中对应的应用类型。
[0010]基于上述技术方案,本发明实施例中,可以基于映射关系表得到准确的应用类型,不再需要修改会话中记录的应用类型,也就不会调整会话中记录的深度识别业务,即不需要进行深度识别业务的调整过程,简化了处理过程,保证了安全设备的处理性能。
【附图说明】
[0011]图1是本发明一种实施方式中的应用场景示意图;
[0012]图2是本发明一种实施方式中的应用类型的识别方法的流程图;
[0013]图3是本发明一种实施方式中的安全设备的硬件结构图;
[0014]图4是本发明一种实施方式中的应用类型的识别装置的结构图。
【具体实施方式】
[0015]针对现有技术中存在的问题,本发明实施例中提出一种应用类型的识别方法,该方法可以应用于包括客户端、安全设备和服务器的系统中。以图1为本发明实施例的应用场景示意图,客户端I通过安全设备访问服务器,客户端2通过安全设备访问服务器。其中,该安全设备具体可以为防火墙设备、IPS(Intrus1n Prevent1n System,入侵防御系统)设备等网络设备。
[0016]本发明实施例中,安全设备保存有用于记录目的信息与应用类型之间的映射关系的映射关系表,该目的信息可以包括目的IP地址和目的端口。其中,目的IP地址是指服务器的IP地址。目的端口是指客户端访问的服务器上的应用端口,如客户端访问服务器上的FTP应用时,则目的端口为FTP端口标识。
[0017]在上述应用场景下,如图2所示,该应用类型的识别方法包括以下步骤:
[0018]步骤201,安全设备接收来自客户端的报文。
[0019]步骤202,若报文为触发建立会话的首报文,且映射关系表中存在该首报文携带的目的信息,则安全设备建立该首报文所属的会话,并记录会话对应的应用类型为目的信息在映射关系表中对应的应用类型。
[0020]其中,安全设备在记录会话对应的应用类型为目的信息在映射关系表中对应的应用类型之后,安全设备还可以获得该应用类型对应的深度识别业务,并在该会话中记录该深度识别业务的相关信息。当然,安全设备还可以在该会话中记录其它信息,如会话标识,首报文的五元组信息等,在此不再赘述。
[0021 ] 本发明实施例中,在安全设备接收到来自客户端的报文之后,若报文为触发建立会话的首报文,且映射关系表中不存在该首报文携带的目的信息,则安全设备建立该首报文所属的会话,识别该首报文对应的应用类型,并记录会话对应的应用类型为识别出的首报文的应用类型。
[0022]其中,安全设备在记录会话对应的应用类型为识别出的首报文的应用类型之后,安全设备还可以获得该应用类型对应的深度识别业务,并在该会话中记录该深度识别业务的相关信息。当然,安全设备还可以在该会话中记录其它信息,如会话标识,首报文的五元组信息等,在此不再赘述。
[0023]本发明实施例中,在安全设备接收到来自客户端的报文之后,若报文为除首报文之外的其它报文,且映射关系表中不存在该其它报文携带的目的信息,则安全设备识别该其它报文对应的应用类型,若识别出的该其它报文的应用类型与该其它报文所属的会话对应的应用类型不同,则安全设备在映射关系表中记录该其它报文携带的目的信息与识别出的该其它报文的应用类型之间的映射关系,删除该其它报文所属的会话,并触发客户端重新发起建立会话。
[0024]其中,若识别出的该其它报文的应用类型与该其它报文所属的会话对应的应用类型相同,则安全设备不需要删除该其它报文所属的会话,且安全设备可以在映射关系表中记录该其它报文携带的目的信息与识别出的该其它报文的应用类型之间的映射关系,或者,不在映射关系表中记录该其它报文携带的目的信息与识别出的该其它报文的应用类型之间的映射关系。
[0025]本发明实施例中,在安全设备接收到来自客户端的报文之后,若报文为除首报文之外的其它报文,且映射关系表中存在该其它报文携带的目的信息,则安全设备识别该其它报文对应的应用类型,若识别出的该其它报文的应用类型与该其它报文所属的会话对应的应用类型不同,则安全设备将映射关系表中该其它报文携带的目的信息对应的应用类型修改为识别出的该其它报文的应用类型,删除该其它报文所属的会话,并触发客户端重新发起建立会话。
[0026