[发明专利]一种网络应用的智能识别方法

摘要

本发明适用于网络安全的技术领域，公开了一种网络应用的智能识别方法，基于在终端设备上部署一个终端程序，通过终端程序对系统运行的进程逐一与预先定义的网络应用字典进行关键代码段MD5校验、通信协议校验、软件行为校验及基本信息校验，以达到准确精准的识别应用行为。本发明提供的一种网络应用的智能识别方法，扩展了传统的应用识别方法，不管关键代码段MD5校验、通信协议校验、应用行为校验及基本信息校验是否成功，对整个程序计算MD5校验码，并将匹配的结果记录在本地文件的应用检查缓存中，下次遇到同样的MD5校验码的应用进程时可以直接使用结果，不用重新匹配，加快检查速度，较传统的应用识别方法更全面，准确度更高。

主权项

一种网络应用的智能识别方法，基于在终端设备上部署一个终端程序，通过终端程序对系统运行的进程逐一与预先定义的网络应用字典进行关键代码段MD5校验、通信协议校验、应用行为校验及基本信息校验，以达到准确精准的识别应用行为，其特征在于：包括以下步骤：A)、建立网络应用字典，模拟运行目标应用，提取程序相关信息形成该网络应用字典；B)、终端程序枚举系统运行的进程，计算枚举到的应用进程的MD5校验值，并逐一与预先定义的网络应用字典进行匹配处理：a)关键代码段MD5校验：当前应用进程的MD5校验值与该网络应用字典进行匹配，若匹配成功，则认定该应用，并将关键代码段MD5匹配的结果记录在本地文件的应用检查缓存中；若匹配不成功，则进入步骤b)；b)通信协议校验：当前应用进程的通信协议与该网络应用字典进行匹配，若匹配成功，则认定该应用，并将通信协议匹配的结果记录在本地文件的应用检查缓存中；若匹配不成功，则进入步骤c)；c)行为及信息校验：当前应用进程的行为与该网络应用字典进行匹配，若匹配成功，再继续基本信息与该网络应用字典进行匹配，同时将行为匹配的结果记录在本地文件的应用检查缓存中，如果基本信息匹配也成功，则认定该应用，并将基本信息匹配的结果记录在本地文件的应用检查缓存中，进入步骤d)；若匹配不成功，则不认定该应用，进入步骤C)；d)匹配结果处理：根据本地文件的应用检查缓存中的匹配结果进行处理，将当前应用的匹配认定结果数据上报给服务器；C)结束当前应用的识别。