04-应用特征识别技术.pptx

应用特征识别技术;应用识别需求与背景

应用识别技术

应用识别配置

;需求背景（一）：

全天不允许使用QQ等聊天工具

需求背景（二）：

全天只允许特定QQ账号上网，不允许其他QQ账号上网

;传统行为检测原理：传统的网络设备根据数据包的五元组（源IP，目的IP，源端口，目的端口，协议）这些特征等来识别应用并进行丢弃、转发、接收、处理等行为。

通过识别协议为UDP，端口为8000，从而识别出是QQ聊天的应用，将该类数据包全部丢弃，实现需求一功能

;１、新增【上网策略】-【上网权限策略】-【策略设置】-【应用控制】在应用里面勾选IM，生效时间全天，移动终端设备里面勾选通讯聊天，动作拒绝，在【适用对象】选择办公区，即对办工区的所有用户关联上这条控制策略。

２、新增【上网策略】-【上网审计策略】-【应用审计】添加，勾选所有选项，在【适用对象】选择办公区，即对办工区的所有用户关联上这条识别策略。;办公区员工通过设备上网时，登录QQ已经不能在登录了，登录又如下提示，在我们的上网行为监控里面可以记录QQ已经被拒绝，并审计了一些办公区用户的访问应用的行为。

;应用识别需求与背景

应用识别技术

应用识别配置

;需求背景（一）：

全天不允许使用QQ等聊天工具

需求背景（二）：

全天只允许特定QQ账号上网，不允许其他QQ账号上网

;从数据包中发现，QQ用户的字段在应用层OICQ协议的Data字段。

该需求需要识别特定的QQ用户，而传统的行为检测只能对链路层、网络层、传输层进行数据处理，不能对应用层进行操作。

;传统行为检测VS深度行为检测

;深度行为检测技术

产生背景：传统技术无法识别精细的数据包应用和行为，无法识别经过伪装的数据包，无法满足现在的安全需求和可视需求。

;深度包检测技术（DPI）

深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，还增加了应用层分析，另外识别各种应用及其内容。

;1、基于“特征字”的检测技术（DPI）

客户需求：在客户局域网中只允许电脑上网，不允许手机上网。

需求分析：该需求需要能够识别哪些上网数据是手机端发出的，哪些是PC端发出的。通过数据包分析，发现手机和电脑在同时上网的时候（同时使用HTTP协议）会在HTTP协议的User-Agent字段区分出手机数据和PC数据。

;基于“特征字”的检测技术（DPI）

不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的特征，这些特征可能是特定的端口、特定的字符串或者特定的Bit序列。

基于“特征字”的识别技术通过对业务流中特定数据报文中的特征信息的检测以确定业务流承载的应用和内容。

通过对应用特征信息的升级（例如http数据包中的User-Agent的位置），基于特征的识别技术可以很方便的进行功能扩展，实现对新协议的检测。

;2.基于应用层网关的检测技术（ALG）

某些应用的控制流和数据流是分离的，数据流没有任何特征。这种情况下，我们就需要采用应用层网关识别技术。

应用层网关需要先识别出控制流，根据对应的协议，对控制流进行解析，从协议内容中识别出相应的业务流。

客户需求：禁用VoIP视频。

需求分析：VoIP视频协议是先使用控制信令来协商数据的传输，之后进行数据流的传输。

VoIP视频数据交换过程抓包如下：

;基于应用层网关的检测技术--VoIP视频协议数据流

VoIP视频协议的数据流可以看到是基于UDP的，跟踪数据流，发现该数据没有任何特征，但是VoIP在进行数据传输前是有控制信令来协商数据的传输。

;基于应用层网关的检测技术--VoIP协议的控制信令1

;基于应用层网关的检测技术--VoIP协议的控制信令2

;3.基于行为模式的检测技术

基于对终端已经实施的行为的分析，判断出用户正在进行的动作或者即将实施的动作

行为模式识别技术通常用于无法根据协议判断的业务的识别。

例子：垃圾邮件行为模式识别

SPAM（垃圾邮件）业务流和普通的Email业务流从Email的内容上看是完全一致的，只有通过对用户行为的分析，才能够准确的识别出SPAM业务。

;深度流检测技术（DFI）

DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态等各有不同。基于流的行为特征，通过与已建立的应用数据流的数据模型对比，判断流的应用类型或业务。

DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。

;深度包检测（DPI）VS深度流检测（DFI）

DFI仅对流量行为分析，因此只能对应用类型进行笼统分类，如对满足P2P流量模型的应用统一识别为P2P流量，对符合网络语音流量模型的类型统一归类为VOIP流量，但