[0029]附加地或者备选地,网络设备206可以包括能够执行与在线通信会话有关的某些服务和/或任务的一个或多个应用程序208 (1) - (N)。应用程序208 (1) - (N)的示例包括但不限于:应用程序标识软件、计算机安全应用程序、反病毒应用程序、入侵检测与防御(IDP)应用程序、统一威胁管理(UTM)应用程序、防火墙应用程序、统一访问控制(UAC)应用程序、安全套接层(SSL)代理,传输层安全(TLS)代理、应用层网关(ALG),上述的一个或多个的组合或者任何其他合适的应用程序。
[0030]在一个实施例中,当来自图1中模块102中的一个或多个模块由网络设备206的至少一个处理器执行时,可以使得网络设备206能够经由多态安全代理来检查在线通信会话。例如,以及如下面将更详细地描述地那样,模块102中的一个或多个模块可以使得网络设备206:(1)检测在计算设备202(1)与计算设备202 (N)之间建立的在线通信会话,(2)将应用程序208(1)标识为被涉及在计算设备202(1)与计算设备202 (N)之间建立的在线通信会话,(3)至少部分地基于在线通信会话所涉及的应用程序208(1)来确定用于安全代理120的安全模式,以及然后(4)根据所确定的安全模式,配置安全代理120以检查在线通信会话。
[0031]计算设备202(1)_(N)通常表示能够读取计算机可执行指令的任何类型或者形式的计算设备。计算设备202(1)-(N)的示例包括但不限于:膝上型计算机、平板计算机、台式计算机、客户端、服务器、蜂窝电话、现场可编程门阵列(FPGA)、个人数字助理(PDA)、多媒体播放器、嵌入式系统、可穿戴设备(例如,智能手表、智能眼镜等)、游戏控制台、上述的一个或者多个的部分、上述的一个或者多个的组合、图6中的示例性装置600或者任何其他合适的计算设备。
[0032]网络设备206通常表示能够促进、代理和/或检查在线通信会话的任何类型或者形式的计算设备。网络设备206的示例包括但不限于:路由器、交换机、网络集线器、网关、服务递送网关、应用程序服务器、数据库服务器、防火墙、下一代防火墙(NGFW)、深度分组检查(DPI)系统、节点、桥接器、台式计算机、多媒体播放器、客户端、嵌入式系统、游戏控制台、图6中的示例性装置600、上述的一个或者多个的部分、上述的一个或者多个的组合或者任何其他合适的计算设备。
[0033]网络204通常表示能够促进通信或者数据传送的任何类型或者形式的介质和/或架构。在一个实施例中,网络204可以包括无线的和/或有线的连接。网络204可以包括在图2中未图示的一个或者多个附加的网络设备。网络204的示例包括但不限于:内联网、广域网(WAN)、局域网(LAN)、个人区域网(PAN)、因特网、因特网服务提供商(ISP)网络、电力线通信(PLC)网络、蜂窝网络(例如,用于移动通信(GSM)网络的全球系统)、无线网络、上述的一个或者多个的部分、上述的一个或者多个的变型、上述的一个或者多个的组合或者任何其他合适的网络。
[0034]图3是用于经由多态安全代理来检查在线通信会话的示例性计算机实现的方法300的流程图。图3中所示出的步骤可以由任何合适的计算机可执行代码、计算系统和/或装置来执行。在一些实施例中,图3中所示出的步骤可以由图1中的系统100、图2中的系统200和/或图6中的装置600的一个或多个组件来执行。
[0035]如在图3中所图示的,在步骤302处,本文所描述的系统中的一个或多个系统可以检测在多个计算设备之间建立的在线通信会话。例如作为图2中的网络设备206的一部分的检测模块104经由网络204检测在计算设备202(1)与计算设备202 (N)之间建立的在线通信会话。如本文所使用的术语“在线通信会话”通常是指在其期间计算设备经由网络彼此交换通信的任何类型或者形式的会话、实例和/或时期。在一个示例中,该在线通信会话可以表示和/或包括TCP会话。
[0036]本文所描述的系统可以以各种方式执行步骤302。在一个示例中,检测模块104可以在通信会话在计算设备202(1)与计算设备202(N)之间被建立的时间点处,检测在线通信会话。例如,计算设备202(1)和计算设备202(N)可以经由网络设备206建立彼此间的在线通信会话。随着计算设备202(1)和计算设备202 (N)建立在线通信会话,检测模块104可以检测在线通信会话。
[0037]在一个示例中,检测模块104可以至少部分地基于发起在线通信会话的请求来检测在线通信会话。例如,计算设备202(1)可以经由在线通信会话来创建发起来自计算设备202 (N)中的文件下载和/或服务的请求。计算设备202(1)可以然后经由网络204、在到计算设备202(N)的道路上向网络设备206发送请求。在请求到达网络设备206时,确定模块104可以检测请求,并且然后至少部分地基于该请求来确定计算设备202 (1)和计算设备202 (N)正在建立彼此间的在线通信会话。
[0038]在一个示例中,检测模块104可以通过监视在计算设备202⑴与计算设备202 (N)之间传送的网络流量来检测在线通信会话。例如,检测模块104可以监视行经网络设备206传输的网络流量。如本文所使用的术语“网络流量”通常是指在网络内发生的任何类型或者形式的数据传送。当监视该网络流量时,检测模块104可以标识在计算设备202(1)与计算设备202 (N)之间传送的分组。检测模块104然后可以至少部分地基于所标识的分组来确定在线通信会话已经在计算设备202(1)与计算设备202 (N)之间被建立。
[0039]附加地或者备选地,检测模块104可以至少部分地基于由计算设备202 (1)和计算设备202(N)执行的三次握手序列来检测在线通信会话。例如当监视通过网络设备206传输的网络流量时,检测模块104可以检测由计算设备202(1)向计算设备202(N)发送的同步(SYN)请求。检测模块104然后可以检测由计算设备202 (N)向计算设备202(1)发送回的同步-确认(SYN-ACK)响应。最后,检测模块104可以检测由计算设备202(1)再一次向计算设备202 (N)发送的确认(ACK)响应。检测模块104然后可以至少部分地基于在该三次握手序列中传输的SYN请求、SYN-ACK响应以及ACK响应,确定在线通信会话以及在计算设备202(1)与计算设备202 (N)之间被建立。
[0040]如图3中所图示的,在步骤304,本文所描述的系统中的一个或多个系统可以标识在多个计算设备之间建立的在线通信会话中涉及的至少一个应用程序。例如,作为图2中网络设备206的一部分的标识模块106可以将应用程序208(1)标识为在计算设备202(1)与计算设备202(N)之间建立的在线通信会话中涉及。在该示例中,应用程序208(1)可以负责执行与在线通信会话有关的某些服务和/或任务。
[0041 ] 本文所描述的系统可以以各种方式执行步骤304。在一个示例中,标识模块106可以至少部分地基于服务请求来将应用程序208(1)标识为在在线通信会话中涉及。例如,检测模块104可以检测与在线通信会话有关的服务请求。在该示例中,服务请求可以提示应用程序208(1)以执行与在线通信会话有关的某些服务和/或任务。在检测到服务请求时,标识模块106可以通过分析服务请求来将应用程序208 (1)标识为在在线通信会话中涉及。
[0042]作为具体的示例,检测模块104可以检测用于UTM应用程序的请求以在在线通信会话中涉及的通信流上执行某些服务和/或任务。在检测到服务请求时,标识模块106可以通过分析服务请求来将UTM应用程序标识为在在线通信会话中涉及。
[0043]在一些示例中,标识模块106可以至少部分地基于在线通信会话的行为来推断在在线通信会话中涉及应用程序208(1)。在一个示例中,检测模块104可以监视在线通信会话的行为。例如,检测模块104可以监视在线通信会话中涉及的通信流是否被重新装配、被缓冲和/或被修改。标识模块106然后可以至少部分地基于通信流是否被重新装配、被缓冲和/或被修改,来将应用程序208(1)标识为在在线通信会话中涉及。
[0044]作为具体的示例,当监视在线通信会话时,检测模块104可以在网络设备206处检测在线通信会话中涉及的通信流的重新装配。然而,检测模块104可以在网络设备206处检测没有通信流的缓冲或者基于内容的修改的证据。由于通信流在网络设备206处被重新装配但是既不被缓冲又不被修改,标识模块106可以推断应用程序标识程序、IDP应用程序和/或UTM应用程序在网络206处的通信流上正在执行某些任务和/或服务。
[0045]在一个示例中,检测模块104可以监视应用程序208(1)-(N)中的一个或多个应用程序的行为。例如,检测模块104可以监视应用程序208(1)以努力检测缓冲和/或修改通信流的任何请求。当以这种方式监视应用程序208(1)时,检测模块104可以检测由应用程序208(1)发出来缓冲和/或修改通信流的请求。该请求可以被指向安全代理120。
[0046]在一个示例中,标识模块106可以将应用程序208(1)_(N)标识为在计算设备202(1)与计算设备202(N)之间建立的在线通信会话中涉及。例如,标识模块106可以至少部分地基于多个服务请求来将应用程序208(1)-(N)标识为在在线通信会话中涉及。附加地或者备选地,标识模块可以至少部分地基于在线通信会话的行为,来推断应用程序208(1)-(N)在在线通信会话中涉及。
[0047]如图3所图示的,在步骤306处,本文所描述的系统中的一个或多个系统可以至少部分地基于在线通信会话中涉及的应用程序,来确定检查在线通信会话的用于安全代理的安全模式。例如,作为图2中网络设备206的一部分的确定模块108可以确定与在线通信