本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

技术支持 运营商入口 公告
  • 中文
  • English
首页 信息速查 IP知识百科 在线课堂 产品智能选型
首页 信息速查 产品智能选型 IP知识百科
登录
IP知识百科 > 应用识别

什么是应用识别

随着互联网的快速发展,互联网的应用发生了翻天覆地的变化,从最初的网页浏览、Email、FTP下载,到现在的P2P应用、游戏、视频、移动互联,丰富多彩的应用成为互联网的主流。
面对层出不穷的应用,如何对应用流量进行精确管控是网络管理员面临的最大问题,而管控的前提是精确识别出网络中的各类应用。传统应用识别技术通过协议和端口号来识别应用,随着应用程序越来越复杂,传统应用识别技术已经无法满足精细化的控制需求,一种名为业务感知(SA,Service Awareness)的应用识别技术应运而生。
业务感知应用识别技术是一种应用特征提取和匹配技术,通过提取报文中的某些特定字段或报文的行为特征,并与业务感知特征库进行匹配来识别应用。

目录

协议识别 vs 应用识别

传统的协议识别技术仅检查报文中的五元组信息,通过报文中的端口号和协议来识别应用,协议识别技术虽然检测效率很高,但适用范围却越来越小。

一方面,对于使用相同协议和端口号的不同应用程序,无法进行更精细化的区分。比如,网页游戏和网页视频都是使用HTTP协议和8080端口进行数据传输的,通过端口号和协议无法将这两种应用程序进行有效区分。

另外,一个协议可以用于多种应用软件,一个应用软件也可能会使用多个协议。比如,P2P是一种标准协议,迅雷、电驴、FlashGet等应用都会使用P2P协议,如果通过协议识别来进行应用控制,很有可能会误伤。

P2P应用
P2P应用

再比如,迅雷应用软件使用HTTP、P2P、FTP等多个协议进行文件传输,如果通过协议识别来进行应用控制,难免有漏网之鱼。

迅雷使用的协议
迅雷使用的协议

而业务感知应用识别技术可以解决这些问题,它除了检测报文的五元组信息外,还会检测报文的应用层信息,通过提取报文的应用层特征来精确识别报文中的各类应用。

应用识别的3种主流技术

当前,业务感知应用识别技术主要有以下几种:
  • 特征识别技术是业务感知应用识别的最基本技术,它通过识别报文中的特征信息来确定业务流量所承载的应用。

    不同的应用通常会采用不同的协议,而不同的应用协议具有各自的特征,这些特征可能是特定的端口、特定的字符串或者特定的比特序列。除了检测报文的传统五元组信息外,特征识别技术还会通过检测报文的应用层信息以获取更多用于识别应用的特征。

    此外,某些应用协议的特征不仅在单个报文中体现,而是分布在多个报文中的,此时还需要对多个报文进行采集和特征分析才能识别出应用。

    特征识别
    特征识别
  • 关联识别技术主要用于识别基于多通道协议的应用。

    采用多通道协议传输语音、视频和文件的应用越来越多。多通道协议的控制通道和数据通道是分开的,如FTP、SIP、H.323等,这些协议通过控制通道协商用来建立数据通道的通信参数(如端口信息等),通过数据通道传输具体的业务数据。特征识别技术可以识别出控制通道的应用,但对于数据通道却无能为力,因为数据通道是动态协商出来的,而且没有任何可以利用的特征。

    关联识别技术的前提依然是特征识别,首先通过特征识别技术识别出控制通道报文承载的应用,同时从控制通道报文中提取数据通道的信息并记录在应用识别关联表中,后续根据关联表识别出数据通道报文并标记为相应的应用,从而实现对多通道协议报文的应用识别。

    关联识别
    关联识别
  • 行为识别技术比前两种技术更复杂。

    互联网上有一些复杂的应用,我们很难选择特征关键字作为识别的特征;还有很多加密应用,由于数据加密导致特征模糊化而无法识别。已有的特征识别技术无法基于常规特征识别出一些复杂的应用,而行为识别技术通过提取报文的行为特征来识别出报文承载的应用。不同的应用可利用的行为特征不尽相同。要准确识别一个应用,必须抓取海量的流量样本,分析提取出独特的行为特征。

    通常上下行流量比例、报文发送频率、报文长度变化规律等,都是可以利用的行为特征。行为识别技术通过综合考察和选择多种行为特征指标实现精准的应用识别。

不同的识别技术适用于不同类型的协议,无法相互替代,而且通常情况下,为了达到较好的识别效果,需要综合运用多种技术。

什么是业务感知特征库?

应用识别的关键是特征识别,华为安全中心从海量的互联网应用中分析并提取了6000多中常见应用的特征,存储在业务感知特征库。互联网应用层出不穷,业务感知特征库也在不断更新。可以登录华为安全中心(isecurity.huawei.com)下载业务感知特征库并加载到华为网络设备中。

华为网络设备中加载最新的业务感知特征库后,即可识别流量中的各类应用,从而对流量进行应用控制。

目前华为业务感知特征库根据应用的属性将互联网应用分为5个大类,每个大类包含多个子类。网络管理员可以根据这些分类对某一类应用进行统一管控,也可以对某一个或某几个应用进行小范围的管控。

业务感知特征库
业务感知特征库

基于应用识别的应用控制手段有哪些?

应用识别不是目的,识别出应用,针对不同的应用设置不同的应用控制策略,以实现差异化的管控需求才是目的。当前,应用控制手段主要有:
  • 基于应用的访问控制:允许或禁止用户访问某些应用,比如:放行办公相关的应用访问,禁止访问影响办公效率的视频/游戏类应用。
  • 基于应用的带宽管理:限制用户访问某些应用的带宽,比如:限制视频/游戏类应用的带宽为100M,保证办公相关应用的带宽为200M。
  • 基于应用的智能选路:用户从指定链路访问某些应用,比如:办公相关应用的访问走高速链路,视频/游戏类应用的访问走低速链路。
参考资源
1《网络安全防御技术与实践》
2画说防火墙之应用识别与应用控制
3强叔侃墙之应用识别
4应用识别配置指南(USG12000系列防火墙)
5SAC配置指南(AR6000系列路由器)
相关词条
词条统计
  • 作者: 席友缘
  • 最近更新: 2024-01-10
  • 浏览次数: 16165
  • 平均得分:
页内导航
分享链接到:

版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号