加密應用識別和加密網頁內容分類方法及裝置的制造方法
【技術領域】
[0001]本發明涉及網絡應用安全技術,尤其涉及一種加密應用識別和加密網頁內容分類方法及裝置。
【背景技術】
[0002]隨著網絡安全需求的增加,針對網絡數據的加密技術應用越來越廣泛,數據加密技術目前已經廣泛應用于網絡數據加密傳輸,以便對用戶的私密數據進行保護。
[0003]以目前使用最廣泛的安全套接層(SSL,Secure Sockets Layer)為例,所述SSL使用數據加密技術,可確保數據在網絡傳輸過程中不會被截取及竊聽,從而保障互聯網上的數據傳輸安全。SSL協議位于傳輸控制協議/因特網互聯(TCP/IP,Transmiss1n ControlProtocol/Internet Protocol)協議與各種應用層協議之間,為數據通訊提供安全支持。需要說明的是,目前主流的網絡服務器均提供對SSL加密技術的支持。
[0004]除了可以使用SSL加密技術進行網頁瀏覽,目前越來越多的應用程序客戶端還可以通過其它加密協議與服務器之間進行通信,例如,在金融支付、辦公等領域的應用大部分采用了加密技術以保證用戶網絡數據的安全。
[0005]在現有技術中,針對加密應用的識別方案主要有以下三種:
[0006]方案一:通過對證書中的明文信息進行識別。
[0007]方案二:通過中間人攻擊方法對SSL秘鑰進行劫持,解析SSL流量并采用傳統識別方法對解析后的流量進行識別。
[0008]方案三:通過統計學方法對加密流量數據進行線下分析,并提取深度/動態流檢測(DFI,Deep/Dynamic Flow Inspect1n)特征。
[0009]傳統加密應用識別方法基本是針對連接數據載荷內容的深度包檢測(DPI,DeepPacket Inspect1n)技術以及匹配數據流特征的DFI技術,但是,所述兩種技術在識別加密流量方面不夠完善,具體原因如下:
[0010]I)傳輸的內容經過加密后,連接數據的載荷內容均為密文,不包含能夠匹配的特征。
[0011]2)傳輸的數據隨機,數據流沒有明顯的包長序列特征。
[0012]基于以上兩種原因,針對加密應用的三種識別方案具有以下問題:
[0013]I)方案一過渡依賴證書中的明文信息,如果不存在特征性明文則不能識別加密應用。
[0014]2)方案二依賴客戶端對偽造證書的信任;依賴服務端不要求對客戶端進行認證;需要較大的計算量,效率較低;以及有法律風險。
[0015]3)方案三并不能克服傳輸數據隨機,無流量特征的情況。
[0016]另外,在現有技術中,針對加密場景下的網頁內容分類技術主要使用所述方案二,且在解密后進行。具體地,傳統的網頁內容分類技術是通過超文本傳輸協議(HTTP,HyperText Transfer Protocol)訪問請求中的主機(Host)及統一資源標識符(URI,Uniform Resource Identifier)與分類庫中的記錄進行匹配,并返回分類結果。而當HTTP訪問通過SSL加密后生成超文本加密傳輸協議(HTTPS,Hyper Text Transfer Protocolover Secure Socket Layer)后,請求的URL及Host都是以密文的方式進行傳輸,因此,傳統的網頁內容分類技術不能完成分類庫的匹配,從而無法對所述網頁內容進行分類。
【發明內容】
[0017]有鑒于此,本發明實施例期望提供一種加密應用識別和加密網頁內容分類方法及裝置,不僅能夠準確有效地識別網絡加密應用以及對加密網頁內容進行分類,而且避免了解密及分析加密流量本身的數據特征,從而降低引擎負載,減少安全風險。
[0018]為達到上述目的,本發明實施例的技術方案是這樣實現的:
[0019]本發明實施例提供了一種加密應用識別方法,包括:
[0020]獲取網絡中的連接數據,確定所述連接數據為域名系統DNS連接數據;
[0021]從所述DNS連接數據中獲取DNS反饋包,所述DNS反饋包包括加密應用域名和服務器網絡協議IP地址;
[0022]查詢應用自動匹配表中是否包括所述服務器IP地址;
[0023]當所述應用自動匹配表中不包括所述服務器IP地址時,查詢應用規則庫中是否包括所述加密應用域名對應的應用標識,當所述應用規則庫中包括所述加密應用域名對應的應用標識時,將所述服務器IP地址和對應的所述應用標識加入所述應用自動匹配表。
[0024]上述方案中,所述查詢應用自動匹配表中是否包括所述服務器IP地址之后,還包括:
[0025]當所述應用自動匹配表中包括所述服務器IP地址時,輸出所述服務器IP地址對應的所述應用標識。
[0026]本發明實施例提供了一種加密網頁內容分類方法,包括:
[0027]獲取網絡中的連接數據,確定所述連接數據為域名系統DNS連接數據;
[0028]從所述DNS連接數據中獲取DNS反饋包,所述DNS反饋包包括加密應用域名和服務器網絡協議IP地址;
[0029]確定加密應用為超文本加密傳輸協議HTTPS時,查詢分類自動匹配表中是否包括所述服務器IP地址;
[0030]當所述分類自動匹配表中不包括所述服務器IP地址時,查詢分類規則庫中是否包括所述加密應用域名對應的分類標識,當所述分類規則庫中包括所述加密應用域名對應的分類標識時,將所述服務器IP地址和對應的分類標識加入所述分類自動匹配表。
[0031 ] 上述方案中,所述查詢分類自動匹配表中是否包括所述服務器IP地址之后,還包括:
[0032]當所述分類自動匹配表中包括所述服務器IP地址時,輸出所述服務器IP地址對應的所述分類標識。
[0033]本發明實施例提供了一種加密應用識別裝置,包括:
[0034]連接數據獲取單元,用于獲取網絡中的連接數據,確定所述連接數據為域名系統DNS連接數據;
[0035]DNS反饋包獲取單元,用于從所述DNS連接數據中獲取DNS反饋包,所述DNS反饋包包括加密應用域名和服務器網絡協議IP地址;
[0036]第一查詢單元,用于查詢應用自動匹配表中是否包括所述服務器IP地址;
[0037]第一服務器IP地址加入單元,用于當所述應用自動匹配表中不包括所述服務器IP地址時,查詢應用規則庫中是否包括所述加密應用域名對應的應用標識,當所述應用規則庫中包括所述加密應用域名對應的應用標識時,將所述服務器IP地址和對應的應用標識加入所述應用自動匹配表。
[0038]上述方案中,還包括:
[0039]第一輸出單元,用于查詢所述應用自動匹配表中是否包括所述服務器IP地址之后,當所述應用自動匹配表中包括所述服務器IP地址時,輸出所述服務器IP地址對應的所述應用標識。
[0040]本發明實施例提供了一種加密網頁內容分類裝置,包括:
[0041]連接數據獲取單元,用于獲取網絡中的連接數據,確定所述連接數據為域名系統DNS連接數據;
[0042]DNS反饋包獲取單元,用于從所述DNS連接數據中獲取DNS反饋包,所述DNS反饋包包括加密應用域名和服務器網絡協議IP地址;
[0043]第二查詢單元,用于確定加密應用為超文本加密傳輸協議HTTPS時,查詢分類自動匹配表中是否包括所述服務器IP地址;
[0044]第二服務器IP地址加入單元,用于當所述分類自動匹配表中不包括所述服務器IP地址時,查詢分類規則庫中是否包括所述加密應用域名對應的分類標識,當所述分類規則庫中包括所述加密應用域名對應的分類標識時,將所述服務器IP地址和對應的分類標識加入所述分類自動匹配表。
[0045]上述方案中,還包括:
[0046]第二輸出單元,用于查詢所述分類自動匹配表中是否包括所述服務器IP地址之后,當所述分類自動匹配表中包括所述服務器IP地址時,輸出所述服務器IP地址對應的所述分類標識。
[0047]本發明實施例提供了一種加密應用識別和加密網頁內容分類裝置,包括:
[0048]連接數據獲取單元,用于獲取網絡中的連接數據,確定所述連接數據為域名系統DNS連接數據;
[0049]DNS反饋包獲取單元,用于從所述DNS連接數據中獲取DNS反饋包,所述DNS反饋包包括加密應用域名和服務器網絡協議IP地址;
[0050]第一查詢單元,用于查詢應用自動匹配表中是否包括所述服務器IP地址;
[0051]第二查詢單元,用于確定加密應用為超文本加密傳