[发明专利]应用识别验证方法及装置

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种应用识别验证方法及装置。

背景技术

随着网络应用层出不穷，更多更复杂的安全风险隐藏于各种网络应用之中，例如：利用web服务安全漏洞进行的攻击,又如一些消耗带宽的应用，流媒体、视频下载等，挤占正常的网络资源，严重影响了企业的正常工作，网络安全管理面临新的挑战和新的问题。

基于上述原因，将各种应用识别结果进行验证和分析，对网络管理和网络安全至关重要，另外，进一步对应用识别设备进行改进和完善也需要更多的验证分析结果作为依据，而现有技术缺少一种能够快速、准确验证和分析应用识别结果的方法。

发明内容

针对上述缺陷，本发明提供一种应用识别验证方法及装置。

本发明一方面提供一种应用识别方法，包括：

接收应用识别设备发送的应用识别结果；

若所述应用识别结果与预期结果不同，则确定与所述应用相关的其它应用；

获取所述应用与所述其它应用之间的相关性分析结果；

根据所述应用的特征信息确定所述应用复杂度，并根据所述应用识别结果、所述预期结果以及所述相关性分析结果确定额外匹配应用数；

根据所述应用复杂度和所述额外匹配应用数，确定误报风险度。

本发明另一方面提供一种应用识别验证设备，包括：

接收模块，用于接收应用识别设备发送的应用识别结果；

第一确定模块，用于若所述应用识别结果与预期结果不同，则确定与所述应用相关的其它应用；

获取模块，用于获取所述应用与所述其它应用之间的相关性分析结果；

所述第一确定模块，用于根据所述应用的特征信息确定所述应用复杂度，并根据所述应用识别结果、所述预期结果以及所述相关性分析结果确定额外匹配应用数；根据所述应用复杂度和所述额外匹配应用数，确定误报风险度。

本发明提供的应用识别验证方法及装置，实现了通过将应用识别结果与预知结果比较进行验证，特别是当应用识别结果与预期结果不同时，可以针对应用识别结果的误报情况进行详细分析，为进一步提高应用识别准确性提供了依据和保障，且整个过程可以自动化完成，快速准确，节省人力和时间。

附图说明

图1为本发明提供的应用识别验证方法实施例一的流程示意图；

图2为本发明提供的应用识别验证方法实施例二的流程示意图；

图3为本发明提供的应用识别验证设备实施例一的结构示意图；

图4为本发明提供的应用识别验证设备实施例二的结构示意图；

图5为本发明提供的应用识别验证系统实施例一的结构示意图。

具体实施方式

图1为本发明提供的应用识别验证方法实施例一的流程示意图，如图1所示，该方法包括：

S101、接收应用识别设备发送的应用识别结果。

S102、若上述应用识别结果与预期结果不同，则确定与上述应用相关的其它应用；根据应用识别经验设置，一些应用之间存在着相关性，可能会对识别结果有干扰，所以会将与上述应用相关的应用在数据库中的相关数据都提取出来。

S103、获取上述应用与上述其它应用之间的相关性分析结果。

S104、根据上述应用的特征信息确定上述应用复杂度，并根据上述应用识别结果、上述预期结果以及上述相关性分析结果确定额外匹配应用数。

S105、根据上述应用复杂度和上述额外匹配应用数，确定误报风险度。

需要说明的是，整个应用识别验证系统中，包含：应用验证设备和应用识别设备，以及一些应用识别对象设备，例如某局域网中的电脑设备等，并不以此为限；在验证过程中，将已知应用的抓包（pcap）文件发送到应用识别设备进行应用识别，其中应用识别可以包括两个阶段，第一阶段为特征提取阶段，一般主要提取三种特征：

1）用于描述上述会话中的数据包负载长度信息的第一特征；即描述应用的会话中的数据包负载长度总是在一些长度值上或是总在一个长度范围内，记为ptlen特征；

2）用于描述承载上述会话中的数据包负载长度信息的字节的第二特征；即应用的会话中的数据包普遍存在在一偏移位置的几个字节，可以是一个字节（char）、两个字节（short）、四个字节（int），用于承载数据包负载长度信息或是承载该字节之后数据包负载长度信息，记为offlen特征；