当前位置：首页 > news >正文

AC 应用控制技术

news 2025/8/20 12:01:02

一、应用特征识别技术

1. 传统行为检测

原理：基于数据包五元组（源IP、目的IP、源端口、目的端口、协议）进行应用识别。

局限性：无法识别应用层内容（如特定QQ账号），仅适用于简单封堵（如封堵QQ的UDP 8000端口）。

2. 深度行为检测

深度包检测（DPI）

技术分类：

基于特征字：

•不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的特征，这些特征可能是特定的端口、特定的字符串或者特定的 Bit 序列。

•基于“特征字”的识别技术通过对业务流中特定数据报文中的特征信息的检测以确定业务流承载的应用和内容。

•通过对应用特征信息的升级（例如http数据包中的User-Agent的位置），基于特征的识别技术可以很方便的进行功能扩展，实现对新协议的检测。

基于应用网关（ALG）：

某些应用的控制流和数据流是分离的，数据流没有任何特征。这种情况下，我们就需要采用应用层网关识别技术。

应用层网关需要先识别出控制流，根据的协议，对控制流进行解析，从协议内容中识别出相应的业务流。

基于行为模式：分析行为特征（如垃圾邮件高频发送行为）。

基于对终端已经实施的行为的分析，判断出用户正在进行的动作或者即将实施的动作。

行为模式识别技术通常用于无法根据协议判断的业务的识别。

优势：支持应用层精细识别（如URL、域名、账号级控制）；如果数据包是经过加密传输的，则采用DPI方式的流控技术则不能识别其具体应用。

深度流检测（DFI）

原理：

•DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态等各有不同。基于流的行为特征，通过与已建立的应用数据流的数据模型对比，判断流的应用类型或业务。

•DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。

优势：适用于加密流量，但只能粗粒度分类应用类型。

二、HTTP识别控制技术

工作原理

识别：提取HTTP请求的Host字段（如www.youku.com）识别目标网站。

控制：

封堵时，伪装服务器返回302重定向至拒绝页面（如http://10.1.3.40/disable.htm）。

需放通TCP三次握手报文。

三、HTTPS识别控制技术

什么HTTPS？

全称Hypertext Transfer Protocol over Secure Socket Layer，是HTTP的安全版，HTTPS默认使用TCP端口443，也可以指定其他的TCP端口。HTTPS中S,实际上是SSL(Secure Sockets Layer)协议。SSL是Netscape公司发明的一种用于WEB的安全传输协议。随着时间的推移由于Netscape失去了市场份额，它将SSL的维护工作移交给因特网工程任务组（IETF）。第一个后Netscape版本被重新命名为安全传输层协议（TLS），TLS (Transport Layer Security :RFC 2246)是基于SSL上研发的，但是与SSLv3.0有细微的差别。因此，SSL协议有时也称为TLS协议。目前常用的是TLSv1.0的协议。

URL格式？

https//:URL 例如：https://www.baidu.com

1. 工作原理

HTTPS识别：提取TLS握手阶段Client Hello报文中的Server_Name字段来识别https的网站,因为server_name 字段包含所访问的域名（如www.baidu.com）。

HTTPS控制：伪装网站服务器给终端设备发送RST包断开连接（因加密无法重定向）。

2. 与HTTP封堵对比

维度	HTTP	HTTPS
识别字段	Host（GET请求）	Server_Name（Client Hello）
封堵方式	先发302重定向，再发RST	直接发RST
加密影响	无影响	无法解析应用层内容