- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
應用識別技術白皮書
關鍵詞:應用識別、應用協議模型化、應用協議智能決策、應用識別定義語言、UAAE
摘 要:H3C UAAE技術是指使用統一的應用協議及應用定義語言技術、應用協議模型化分類識別技術、應用協議的智能決策技術對應用協議和應用精確識別的技術。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
BT | BitTorrent | 比特洪流 |
FTP | File Transfer Protocol | 文件傳輸協議 |
HTTP | Hypertext Transfer Protocol | 超文本傳輸協議 |
NAT | Network Address Translation | 網絡地址轉換 |
P2P | Peer to Peer | 對等網絡 |
UAAE | Universal Application Apperceiving Engine | 通用應用識別引擎 |
VoIP | Voice over IP | 在IP上傳送語音 |
目 錄
應用管理是指在深度、智能感知應用的基礎上,對應用作全麵、透明的管理,如應用入侵抵禦、應用帶寬管理和應用審計管理等。
應用識別是指依據應用本身的特征,將承載在同一類型應用協議上的不同應用區分出來。
應用協議識別是指依據應用協議的不同模型化分類,使用不同的識別技術,準確地識別應用協議。
網絡應用的發展給網絡安全管理帶來了新的問題。
l 一些新的更複雜的安全風險隱藏在應用之中,與應用本身密不可分。譬如,基於Web服務的安全漏洞和利用這些漏洞的攻擊越來越多。如何準確識別這些攻擊成為網絡安全管理的嚴重挑戰。
l 一些未受控的應用,利用網絡這一“封閉管道”,擠占正常應用帶寬。例如,企業網中,基於P2P的下載、娛樂類應用占用了大量的帶寬,影響企業的整體生產率。對於這類應用的準確識別,也成為關注的焦點。
無論是基於應用的攻擊識別,還是基於應用的帶寬管理,應用識別已成為應用管理的基礎。由於應用協議是應用的運行環境,因而應用的準確識別是基於應用協議的準確識別。
應用協議從基於TCP/UDP固定端口發展成絕大多數基於TCP/UDP可變端口。而傳統應用識別係統依靠固定端口或內容特征識別等單一手段,沒有把報文的深度內容檢測以及相關的協議解析、檢測驗證結合起來,更談不上在應用環境下對應用行為或攻擊行為進行有狀態的推導,導致這些係統識別度不高。因而發展新的應用協議識別技術成為必需。在準確識別應用協議的基礎上,才能對應用做到深入、全麵和準確地管理。
為了準確地識別應用協議及應用,H3C通過對應用協議和應用的分析,提出了UAAE技術。
H3C UAAE技術包括:統一的應用協議及應用定義語言技術、應用協議模型化分類識別技術、應用協議及應用智能決策技術。H3C UAAE技術具有如下優點:
l H3C UAAE通過通用的應用協議和應用定義語言,能夠動態升級應用識別庫,解決及時識別新應用的問題。
l H3C UAAE以模型化分類識別技術將應用協議及應用進行分類識別,兼顧了識別效率和準確性;對於同一報文使用不同的分類識別技術識別出的應用協議依據優先級進行智能決策。
l H3C UAAE在準確識別應用協議的基礎上,深度、智能感知應用,在應用環境中檢測和抵禦攻擊,把各種應用及其行為置於明確的可管理的前提下,實現準確的應用帶寬管理和透明的應用審計管理。
圖1 H3C UAAE架構
l 統一的定義語言,以及協議定義、協議特征狀態機定義、應用定義、應用特征狀態機定義是H3C UAAE定義、擴展和升級的基礎。H3C UAAE使用統一的定義語言對協議、協議特征狀態機、應用、應用特征狀態機進行定義,易於擴展和升級新的應用協議和應用。
l H3C UAAE對應用報文進行協議解析,然後進行特征識別;對特征識別結果結合已識別的應用環境進行分析或依據多個報文的特征識別結果跟蹤特征狀態機,準確識別出應用協議和應用。
H3C UAAE的智能識別以協議模型化識別為核心,有機地結合協議解析、應用環境分析、狀態跟蹤和特征識別,如圖2所示。
H3C UAAE根據協議的識別結果,在數據送入特征識別前對數據進行解析;特征識別的結果在數據所處的應用環境下進行分析驗證;按照識別模型,一些特征識別結果還會觸發UAAE跟蹤特征狀態機,進行基於狀態的應用識別。其中,每個模塊的具體功能如下:
l 協議模型化識別和智能決策:通過多種模型,依據協議層次的特點對協議進行識別,並對識別的結果依據優先級進行智能決策。這樣使得協議識別高效、準確。
l 協議解析:按照協議層次對協議進行解析,並對協議載荷進行相應的解碼。
l 特征識別:在協議識別的基礎上,基於協議載荷對協議進行特征識別。
l 應用環境分析:在應用環境中,對特征識別的結果進行過濾和篩選。
l 狀態跟蹤:對於某些必須對多個報文進行特征識別才能確認的協議,狀態跟蹤模塊可以對部分報文協議載荷的特征識別結果進行狀態管理。
H3C UAAE對種類繁多的應用協議進行模型化識別,同時在模型化識別的基礎上依據優先級進行智能決策,如圖3所示。
圖3 H3C UAAE應用識別引擎模型化和智能決策
H3C UAAE的應用協議模型化識別不是完全在一個扁平層次上進行的,而是根據應用協議自身的特點層次化的。例如,H3C UAAE對於在TCP協議上通過固定端口或特征狀態機識別出HTTP協議,而在HTTP協議上通過特征狀態機識別其上承載的其他應用協議,這種細化進一步提高了應用協議識別模型化的精度。下麵對每種模型化識別方式分別進行介紹。
固定端口小於1024的協議,其端口通常是相對穩定的,可以根據端口快速識別它們;另外,如用戶明確其網絡應用布局,用戶也可以自定義其對網絡中特定端口下的應用協議。H3C UAAE提供快速的固定端口協議識別模型,同時會用協議智能決策來修正固定端口上誤報的協議,從而兼顧了識別係統的效率和準確度。
如圖4所示,目前越來越多的協議采用控製通道和數據通道配合的模型,控製通道用於協商出一個或多個數據通道進行數據交互,數據通道通常使用控製通道協商的隨機TCP/UDP端口。如FTP協議、VoIP應用協議屬於這種模型。H3C UAAE針對這類協議,采用多通道關聯協議識別技術,能準確地識別協商協議。
如圖5所示,防火牆和NAT設備的部署,造就了很多應用層隧道的出現,這些隧道是應用協議層次之間發生了嵌套。如HTTP Tunnel,表麵是一個80端口的連接,但實際上可能承載任何應用數據。隧道本質上隻是一個通道,需要對隧道的載荷進行應用協議的準確識別。H3C UAAE有專門的隧道遞歸識別模型,能夠識別出HTTP Tunnel這類隧道內的應用協議。
在許多固定端口的協議中,可以重新指定固定端口。如HTTP協議,除80端口外,通常還有8000、8080等,甚至可以指定任意端口。此外,還有許多P2P協議,如BT、eMule、迅雷,協議本身的端口範圍是可變的。這兩種情況下,若隻通過固定端口來識別,會造成應用協議的誤識別和漏識別。H3C UAAE不僅能夠通過單個報文的固有協議特征進行應用協議識別,還可以通過多個報文中不同的協議特征跟蹤特征狀態機進行應用協議識別,很好地解決了上述問題。
H3C UAAE是一個可擴展的架構,易於擴展協議插件。對於特定協議,UAAE結合協議插件的確認結果完全精確地識別協議。
準確識別應用協議,既可以使用單一識別方法,也可以綜合使用多種識別方法。對於同一個應用報文使用多種識別方法得出多個應用協議時,需要采取智能決策機製,準確識別出應用協議。
H3C UAAE在以上模型分類識別的基礎上,還進行有效靈活的智能決策。UAAE對各種識別手段和驗證方法進行優先級排序,高優先級的識別結果動態智能的替換低優先級的識別結果,如此使應用識別的結果精確度大大提高。
例如,傳統的應用識別係統僅根據固定端口,把所有80端口識別成HTTP流量。H3C UAAE對於使用TCP 80端口登錄的Skype協議,在TCP握手時,UAAE根據端口識別出該會話是一個HTTP會話。進一步檢測會話的內容,一旦識別了Skype的登錄行為特征,UAAE依據優先級能夠立即智能地做出判決,將會話識別為Skype登錄協議。
圖6 可擴展、可升級的應用識別和行為識別能力
網絡應用的變化不僅體現在量上的增加,更體現在其增長速度的加快上。另外,實際分析表明,一些應用,如VoIP、P2P,為了躲避監管,也會不斷地調整和修改其通訊協議。
H3C UAAE框架是一個可擴展的框架,支持使用統一的定義語言定義新的應用協議,更新應用識別庫以及擴展新的應用插件,可以及時識別新的應用協議和應用,很好地滿足應用網絡的變化需求。
H3C UAAE應用識別庫的升級途徑:
l H3C有專業的應用分析團隊,能夠及時分析網絡中的應用變化,為用戶提供最新的應用識別庫,用戶可以使用手動升級或自動升級應用識別庫,即時提升用戶設備的應用識別能力。
l 同時,H3C UAAE提供Web接口,用戶可以配置固定端口和特征從而定義特定的應用協議。
Copyright ©2009 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
