[发明专利]一种网络服务识别方法、装置、设备及介质

说明书

本申请公开了一种网络服务识别方法、装置、设备及介质，包括：监听网络流量中会话建立后的前一个或两个数据包，得到目标数据包；基于预设规则库对所述目标数据包进行匹配；所述预设规则库包括各网络服务对应的规则；若匹配成功，则输出相应的网络服务识别结果；若匹配失败，则保存所述目标数据包；基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则，并将所述新的规则添加至所述预设规则库。这样，能够提升网络服务的识别效率。

技术领域

本申请涉及网络服务识别技术领域，特别涉及一种网络服务识别方法、装置、设备及介质。

背景技术

网络服务的识别可以用于识别漏洞信息，监视相应网络空间环境等，现有的漏洞扫描器主要通过端口扫描识别网络服务，并通过服务信息进一步识别对应的漏洞，主动扫描的模式具有一定局限性，需要安全人员组织精确满足于目标服务的网络请求，目标端口才会产生应答；

现有的基于流量的入侵检测等系统依靠检测所有的流量，根据特征库中关键字识别流量中的不安全流量以达到检测效果，不但检测时需要检测所有流量，识别效率低，并且需要保存所有未识别服务的所有数据包，且若未识别的同一个服务出现多次，现有入侵检测系统将保存每次的会话内容，面对繁多的可能相同的会话数据，后续人工识别，效率低下。

发明内容

有鉴于此，本申请的目的在于提供一种网络服务识别方法、装置、设备及介质，能够提升网络服务的识别效率。其具体方案如下：

第一方面，本申请公开了一种网络服务识别方法，包括：

监听网络流量中会话建立后的前一个或两个数据包，得到目标数据包；

基于预设规则库对所述目标数据包进行匹配；所述预设规则库包括各网络服务对应的规则；

若匹配成功，则输出相应的网络服务识别结果；

若匹配失败，则保存所述目标数据包；

基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则，并将所述新的规则添加至所述预设规则库。

可选的，所述监听网络流量中会话建立后的前一个或两个数据包，得到目标数据包，包括：

监听网络流量中TCP会话建立后服务端发送给客户端的应答包，或客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包，得到目标数据包；

和/或，监听网络流量中UDP会话建立后客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包，得到目标数据包。

可选的，还包括：

监听TCP三次握手，确定所述TCP会话的服务端和客户端；

和/或，基于所述UDP会话中的第一个数据包确定所述UDP会话的服务端和客户端。

可选的，还包括：

若监听到会话建立后，所述服务端未发送应答包，则删除该会话对应的请求包，并停止对该会话的监听。

可选的，所述基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则，包括：

定时的，或者当保存的所述目标数据包达到预设数量时，对当前保存的全部目标数据包进行聚类，得到聚类结果；

基于所述聚类结果确定相应网络服务的规则以得到新的规则。

可选的，若匹配成功，还包括：

基于预设数据处理策略对所述目标数据包进行删除或者保存。

可选的，还包括：

将所述预设规则库导出，以便预设网络服务扫描器基于所述预设规则库进行网络服务识别。