一种客户端应用的网络访问识别和管控方法与流程

1.本发明涉及网络安全技术领域，具体地说，是一种客户端应用的网络访问识别和管控方法，用于在网关设备上部署虚拟机来适应各种不同的网关部署场景和安装客户端应用模拟正常的应用访问行为。


背景技术：

2.在网络应用高速发展的今天，对网络应用包括应用识别、应用流量统计以及应用管控的需求越来越高。在保密性要求严格的军工、科研、政府等机构，可以通过在工作人员电脑终端安装各种管控软件，或者只能访问局域网等方法来实现应用管控规范网络访问行为。但是针对保密和管控要求不高并需要访问互联网的单位企业中，不能采用该方法。在该网络环境中主要采用域名等特征实现识别然后管控，该方法适用网页版这种通过http/dns/https应用协议。但是，对于客户端类型的应用的识别和管控效果大打折扣，究其原因，某些客户端通过内置不可见的服务ip走私有加密协议来逃避识别和管控。比如说某大型应用pc客户端除了走了http、https、dns协议，该应用的某个服务ip还采用了被加密的私有协议，并且内置的服务ip可以通过客户端版本更新或者协商等方式进行服务ip替换，让该应用的服务ip不固定，以此逃脱ip类的识别管控方法。并且应用服务商在提供应用的服务器上会同时部署多种业务，往往使同一个服务ip对应多种应用，比如说同一个服务ip既提供qq音乐又提供qq及时通信，在只要求对qq音乐进行阻止的需求下，仅仅根据服务ip进行控制，则会错误阻止qq及时通信。其次，有些客户端应用在使用中不止有一个网络会话，导致使用功能往往会建立多达几十个的访问连接，给网络协议分析人员带来极大困难。
3.综上所述，在现有包括网关设备在内中的网络应用的识别和管控中，主要依靠技术人员分析http、dns等应用协议的特征和收集ip的方式进行识别和管控。该类方法在客户端类型的应用中存在不能识别和管控情况，因为某些客户端应用通过内置服务ip和端口绕过dns协议，并且通过私有加密协议继续与应用的服务端通信，并且服务ip也存在更新变化的情况，导致网关设备对该客户端应用难以管控，目前为止，对于客户端类型的应用的识别和管控存在短板，而主流的应用识别也主要通过专业人员手工进行协议特征分析，然后将分析的协议特征下进行匹配，并且存在以下问题：1、效率低：分析人员需要手工不断抓包和特征提取。
4.2、不同应用的特征重复性高:经过分析人员提取的应用特征存在和其他应用特征重复的情况，比如说在微信的http协议url的中存在“weixin”特征，而在名叫微行应用中带了“weixing”特征，则会错误识别。
5.3、需要专业人员长期维护特征：应用的协议可能不固定，它之前所携带的域名ip等特征往往是变化的，在发生改变后又需要专业人员去抓包分析，耗时耗力。
6.4、对客户端应用准确性差：客户端应用由于内置服务ip和端口，并且走私有加密或者不可见的隧道协议，导致没有明文特征，并且内置的服务ip建立的加密会话则用来协商更多的应用会话，这些会话没有固定明文特征且服务ip不固定，而且绕过了dns服务，导
致非常难以识别和管控。本发明针对上述问题和存在弊端的客户端类型应用，从应用访问需要的最根本服务ip和端口进行管控，不依赖域名和url等明文特征。通过在网关设备上部署虚拟机来适应各种不同的网关部署场景和安装客户端应用模拟正常的应用访问行为。同时，在虚拟机内部通过自定义的会话管理模块在排除干扰会话后还能准确的提取到服务ip和端口，并且在虚拟机内通过周期性的模拟用户使用应用来解决应用的服务ip和端口变更的情况，从根源上来达到对客户端应用准确有效的放行和阻断等管控需求。


技术实现要素：

7.本发明的目的在于提供一种客户端应用的网络访问识别和管控方法，实现从应用访问需要的最根本服务ip和端口进行管控，不依赖域名和url等明文特征，在网关设备上部署虚拟机来适应各种不同的网关部署场景和安装客户端应用模拟正常的应用访问行为的效果。
8.本发明通过下述技术方案实现：一种客户端应用的网络访问识别和管控方法，包括以下步骤：步骤s1.预设会话管理模块，将所述会话管理模块配置到虚拟机中，将所述虚拟机和网关应用监管模块部署在网关服务器内；步骤s2.输入待管控的客户端信息并根据所述会话管理模块获取待管控的客户端应用数据；步骤s3.根据所述待管控的客户端应用数据安装待管控客户端，并根据所述会话管理模块记录安装前后待管控的客户端的干扰服务ip信息和端口信息；步骤s4.根据所述安装前后待管控的客户端的干扰服务ip信息和端口信息获取去除干扰的待管控客户端的纯净信息；步骤s5.所述会话管理模块对所述待管控的客户端的纯净信息加密并上传至所述网关应用监管模块，所述网关应用监管模块对待管控的客户端进行管控。
9.在本技术方案中，通过将应用的客户端安装包或者下载地址下发给网关服务器上部署的虚拟机，该虚拟机与外网互通，并且对网关服务器资源占用最小化，利用不同操作系统的虚拟机可以安装所有类型的客户端软件。同时在虚拟机上部署会话管理模块，负责对网络数据会话记录和服务ip端口提取。然后手动或脚本方式模拟用户使用客户端安装、登录、使用、退出、更新等操作，再通过会话管理模块在排除干扰会话，提取出该客户端应用app相关的所有服务ip和端口集合，去重后通过证书加密的方式下发到防火墙网关设备。
10.网关设备据此生成对应的应用识别和管控策略，解决现有应用管控中，对于客户端应用通过内置服务端ip和端口并且走私有加密协议难以管控的问题。
11.为了更好地实现本发明，进一步地，步骤s1中对预设的会话管理模块进行处理的具体执行步骤包括：步骤s1.1.预设抓包单元，在所述抓包单元内配置抓包动态工具，通过调用所述抓包动态工具对传入虚拟机的网络数据信息进行采集；步骤s1.2.预设会话记录管理单元，在所述会话记录管理单元内定义记录会话表a、记录会话表b、记录会话表c和记录会话表d的格式；步骤s1.3.根据客户端安装前和安装后采集的客户端数据信息更新所述记录会话
表a、记录会话表b、记录会话表c和记录会话表d。
12.在本技术方案中，会话管理模块对网络数据建立会话管理，用以排除网络会话中的干扰会话，并提取应用访问的所有服务ip和端口。
13.为了更好地实现本发明，进一步地，步骤s2中的客户端应用数据包括：客户端应用的客户端安装包数据和客户端应用的下载地址数据。
14.在本技术方案中，根据客户端应用数据进行不同的操作，如果是接收到客户端应用的客户端安装包数据，那么直接对客户端进行安装；如果接收到客户端应用的下载地址数据，那么先下载这个下载地址获取客户端的安装包，再对客户端进行安装。
15.为了更好地实现本发明，进一步地，步骤s3包括：步骤s3.1.通过所述抓包单元采集待管控的客户端安装前的干扰服务ip信息和端口信息，并记录到所述记录会话表a中；步骤s3.2.通过所述抓包单元采集待管控的客户端安装后的干扰服务ip信息和端口信息，并记录到所述记录会话表b中。
16.在本技术方案中，记录会话表a是在会话管理模块记录干扰会话，之后安装、登录、更新、退出、卸载客户端应用，会话管理模块记录整个当前操作过程中的所有会话信息，并且记在记录会话表b中。
17.为了更好地实现本发明，进一步地，步骤s4包括：对步骤s3.1中记录好的记录会话表a和步骤s3.2 中记录好的记录会话表b求差，获取去除干扰的待管控客户端的纯净信息，并记录到所述记录会话表c中。
18.在本技术方案中，通过对记录会话表a和记录会话表b求差集得到记录表c，获取去除干扰的待管控客户端的纯净信息。
19.为了更好地实现本发明，进一步地，步骤s5包括：s5.1.所述会话管理模块对记录好的记录会话表c中待管控的客户端的纯净信息建立应用名称和应用服务ip端口集进行映射，并记录到所述记录会话表d中；s5.2.所述会话管理模块对记录好的记录会话表d加密并上传至所述网关应用监管模块。
20.在本技术方案中，在记录会话表b减去记录会话表a的到记录会话表c后，然后将记录回话表c的服务ip和端口与应用建立了记录会话表d，也就是一个映射表，对记录会话表d进行加密上传到网关应用监管模块进行管控，上传后网关应用监管模块接收应用服务的ip和端口的关系列表，并根据策略进行应用管控。
21.为了更好地实现本发明，进一步地，会话管理模块对记录好的记录会话表d加密的方式包括：通过ssl证书对记录好的记录会话表d进行加密。
22.在本技术方案中，将记录会话表d通过ssl证书加密上传到网关设备的应用监管比如防火墙程序。网关应用监管模块配置配置策略对客户端应用执行放行阻断管控，对客户端执行阻断策略后，客户端便无法登录。
23.本发明与现有技术相比，具有以下优点及有益效果：（1）本发明中的客户端应用服务ip和端口收集部署在网关服务器上的与外网互通的虚拟机上，不但适应所有的网关部署场景(二层或者三层)，并且节约额外部署一台机器
的硬件成本；（2）本发明中的脚本模拟用户使用客户端应用完成后，对应用的服务ip和端口通过排除干扰会话后进行精确提取形成服务ip和端口集合，通过服务ip和服务端口的方式可以更加识别出应用类型，该方式针对web类型应用访问管控同样适合；（3）本发明通过脚本周期性去应用官网下载客户端app，执行安装、登录、登出、卸载等流程来提取服务ip和端口，防止类似qq这种客户端更新变化较大的服务ip和端口变化的导致的识别错误的情况；（4）本发明从应用访问需要的最根本服务ip和端口进行管控，不依赖域名和url等明文特征，且通过在网关设备上部署虚拟机来适应各种不同的网关部署场景。在虚拟机内部通过会话管理模块在排除干扰会话后能准确的提取到服务ip和端口，并且在虚拟机内通过周期性的模拟用户使用应用来解决应用的服务ip和端口变更的情况。
附图说明
24.本发明结合下面附图和实施例做进一步说明，本发明所有构思创新应视为所公开内容和本发明保护范围。
25.图1为本发明所提供的一种一种客户端应用的网络访问识别和管控方法的流程图。
具体实施方式
26.实施例1：本实施例的一种客户端应用的网络访问识别和管控方法，如图1所示，在本实施例中，获取客户端应用数据，客户端应用数据包括客户端应用的客户端安装包和客户端应用的下载地址，获取客户端应用数据的方式主要有两种方式，第一种是直接将客户端的安装包给下发下去，第二种是给一个官网下载地址，然后让集成的虚拟机去下载，在下载好客户端之后，通过虚拟机中的会话管理模块对下载好的客户端的干扰服务ip信息和端口信息进行过滤，即通过自定义流程的会话管理模块排除掉非应用的干扰会话，精确提取应用的服务ip和服务端口，并且节约人力成本。
27.通过将应用的客户端安装包或者下载地址下发给网关服务器上部署的虚拟机，该虚拟机与外网互通，并且对网关服务器资源占用最小化，利用不同操作系统的虚拟机可以安装所有类型的客户端软件。同时在虚拟机上部署会话管理模块，负责对网络数据会话记录和服务ip端口提取。然后手动或脚本方式模拟用户使用客户端安装、登录、使用、退出、更新等操作，再通过会话管理模块在排除干扰会话，提取出该客户端应用app相关的所有服务ip和端口集合，去重后通过证书加密的方式下发到防火墙网关设备。
28.在本实施例中，最后获取到的纯净信息包括纯净的服务ip和端口信息。
29.实施例2：本实施例在实施例1的基础上做进一步优化，会话管理模块对网络数据建立会话管理，用以排除网络会话中的干扰会话，并提取应用访问的所有服务ip和端口。
30.本实施例中记录会话表a、记录会话表b、记录会话表c的格式为："服务ip1","服务端口1"、"服务ip2","服务端口2""服务ipn","服务端口n"。记录会话表d的格式为对应的关
系列表，以qq举例，qq客户端对应服务："服务ip1","服务端口1"、"服务ip2","服务端口2""服务ipn","服务端口n"。
31.本实施例的其他部分与实施例1相同，故不再赘述。
32.实施例3：本实施例在上述实施例1的基础上做进一步优化，根据客户端应用数据进行不同的操作，如果是接收到客户端应用的客户端安装包数据，那么直接对客户端进行安装；如果接收到客户端应用的下载地址数据，那么先下载这个下载地址获取客户端的安装包，再对客户端进行安装。
33.本实施例的其他部分与上述实施例1或2相同，故不再赘述。
34.实施例4：本实施例在上述实施例1的基础上做进一步优化，记录会话表a是在会话管理模块记录干扰会话，之后安装、登录、更新、退出、卸载客户端应用，会话管理模块记录整个当前操作过程中的所有会话信息，并且记在记录会话表b中。
35.对单个客户端处理流程如下(多个不同客户端则重复执行以下步骤)，以qq举例：首先，.网关中的应用管控程序配置下发应用客户端下载地址或者安装包到同台物理设备上的虚拟机；其次，根据客户端下载地址下载应用的客户端安装包，这里以qq客户端为例;然后，开启会话管理模块，记录客户端未安装的情况下所有干扰服务ip和端口，并写入记录会话表a，记录会话表a记录虚拟机其他软件与外界交互的干扰会话；再然后，在会话管理模块开启的情况下，安装应用的客户端并，进行登录、退出、更新、卸载等操作；最后在上一步骤完成后，会话管理模块将记录当前所有会话到记录会话表b，记录会话表b包含qq的应用会话和其他干扰会话，qq的应用会话和其他干扰会话是夹杂在一起，比如arp，udp等属于非qq应用的干扰会话，而特殊的ip的quic、tcp、udp属于qq客户端的应用会话，这些会话都会记录到记录会话表b中。
36.本实施例的其他部分与上述实施例1-3任一项相同，故不再赘述。
37.实施例5：本实施例在上述实施例1-4任一项基础上做进一步优化，通过对记录会话表a和记录会话表b求差集得到记录表c，获取去除干扰的待管控客户端的纯净信息，即纯净的服务ip和端口信息。
38.在本实施例中，同样的，用qq客户端继续举例，会话管理记录模块将记录会话表b和记录会话表a求差集得到记录会话表c，也就是应用客户端的建立的所有服务ip和端口;通过会话管理模块得到的记录会话表c有多达上百条会话ip，而且这些ip还可能因为腾讯官方更新而变化，给类似qq这种客户端应用管控带来极大的困难。
39.本发明通过周期性模拟应用客户端使用，在和网关同样网络环境下进行应用客户端服务ip 端口的精确提取来解决此类问题。本实施例的其他部分与上述实施例1-4任一项相同，故不再赘述。
40.实施例6：本实施例在上述实施例1-5任一项基础上做进一步优化，在记录会话表b减去记录
会话表a的到记录会话表c后，然后将记录回话表c的服务ip和端口与应用建立了记录会话表d，也就是一个映射表，对记录会话表d进行加密上传到网关应用监管模块进行管控，上传后网关应用监管模块接收应用服务的ip和端口的关系列表，并根据策略进行应用管控。
41.在本实施例中，用qq客户端继续举例，将记录会话表c的服务ip 端口和应用名称建立映射记录会话表d，对此可以通过ip域名反查系统验证得出ip是属于qq官方的。
42.本实施例的其他部分与上述实施例1-5任一项相同，故不再赘述。
43.实施例7：本实施例在上述实施例6的基础上做进一步优化，将记录会话表d通过ssl证书加密上传到网关设备的应用监管比如防火墙程序。网关应用监管模块配置配置策略对客户端应用执行放行阻断管控，对客户端执行阻断策略后，客户端便无法登录。用qq客户端举例，网关应用监管配置配置策略对客户端应用执行放行阻断管控，对qq执行阻断策略后，qq客户端就无法登录。
44.本实施例的其他部分与上述实施例6相同，故不再赘述。
45.以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化，均落入本发明的保护范围之内。