一种应用识别管理方法及系统与流程

1.本技术涉及计算机技术领域，特别涉及一种应用识别管理方法，还涉及他另一种应用识别管理方法、应用识别管理系统、计算机设备以及计算机可读存储介质。


背景技术：

2.当企业需要实行封堵某款应用时，需要快速识别出该应用并及时封堵，例如，目前很多企业需要监管员工运行了哪些应用软件，并对相应的应用软件进行管控。相关技术中，都是通过网络侧对应用进行识别和管控，但是，由于网络的复杂性，存在误判和被绕过的风险，严重降低了应用识别结果的准确性，无法对应用软件进行有效管理。
3.因此，如何提高应用识别结果的准确性，进而实现应用软件的有效管理是本领域技术人员亟待解决的问题。


技术实现要素：

4.本技术的目的是提供一种应用识别管理方法，该应用识别管理方法可以提高应用识别结果的准确性，进一步实现了对应用软件的有效管理；本技术的另一目的是提供另一种应用识别管理方法、应用识别管理系统、计算机设备以及计算机可读存储介质，也具有上述有益效果。
5.第一方面，本技术提供了一种应用识别管理方法，应用于网络安全设备，包括：
6.获取应用请求的第一标识信息；
7.在所述第一标识信息命中应用识别规则的情况下，利用应用管理策略对识别到的应用请求进行管控；
8.在所述第一标识信息未命中所述应用识别规则的情况下，将所述第一标识信息发送至管理平台服务端，以使所述管理平台服务端利用各终端设备上传的应用标识信息对所述第一标识信息进行匹配；
9.在接收到所述管理平台服务端反馈的匹配成功信息的情况下，利用所述应用管理策略对所述应用请求进行管控。
10.优选的，所述第一标识信息为应用流量特征标识，则利用所述应用识别规则对所述第一标识信息进行识别，包括：
11.在所述应用流量特征标识命中应用流量特征库的情况下，确定所述第一标识信息命中所述应用识别规则；
12.在所述应用流量特征标识未命中所述应用流量特征库的情况下，确定所述第一标识信息未命中所述应用识别规则。
13.优选的，所述第一标识信息为应用流量地址标识，则利用所述应用识别规则对所述第一标识信息进行识别，包括：
14.在所述应用流量地址标识命中应用流量地址库的情况下，确定所述第一标识信息命中所述应用识别规则；
15.在所述应用流量地址标识未命中所述应用流量地址库的情况下，确定所述第一标识信息未命中所述应用识别规则。
16.优选的，所述第一标识信息为应用请求标识，则利用所述应用识别规则对所述第一标识信息进行识别，包括：
17.在所述应用请求标识命中历史应用请求库的情况下，确定所述第一标识信息命中所述应用识别规则；
18.在所述应用请求标识未命中所述历史应用请求库的情况下，确定所述第一标识信息未命中所述应用识别规则。
19.优选的，所述应用识别管理方法还包括：
20.在接收到所述管理平台服务端反馈的匹配成功信息的情况下，将所述应用请求标识添加至所述历史应用请求库。
21.优选的，所述将所述第一标识信息发送至管理平台服务端，以使所述管理平台服务端利用应用标识信息对所述第一标识信息进行匹配，包括：
22.将所述第一标识信息存储至预设队列；
23.联动所述管理平台服务端，以使所述管理平台服务端对所述预设队列进行探测，以获得所述第一标识信息，并利用所述应用标识信息对所述第一标识信息进行匹配。
24.优选的，所述应用识别管理方法还包括：
25.定时从所述管理平台服务端获取所述应用标识信息；
26.将所述应用标识信息上传至云平台，以使所述云平台对所述应用识别规则进行更新。
27.优选的，所述应用识别管理方法还包括：
28.在接收到所述管理平台服务端反馈的匹配失败信息的情况下，将所述应用请求对应的请求信息发送至显示设备进行展示。
29.第二方面，本技术提供了另一种应用识别管理方法，应用于管理平台服务端，包括：
30.获取网络安全设备下发的应用请求的第二标识信息；
31.将所述第二标识信息与各终端设备上传的应用标识信息进行匹配；
32.在所述第二标识信息与所述应用标识信息匹配成功的情况下，发送匹配成功信息至所述网络安全设备，以使所述网络安全设备利用应用管理策略对所述应用请求进行管控。
33.优选的，所述应用识别管理方法还包括：
34.将应用识别库下发至各所述终端设备，以使各所述终端设备在应用请求对应的应用信息命中所述应用识别库的情况下，将所述应用信息作为所述应用标识信息反馈至所述管理平台服务端。
35.第三方面，本技术提供了一种应用识别管理系统，包括：
36.网络安全设备，用于获取应用请求的第一标识信息；在所述第一标识信息命中应用识别规则的情况下，利用应用管理策略对识别到的应用请求进行管控；在所述第一标识信息未命中所述应用识别规则的情况下，将所述第一标识信息发送至管理平台服务端；在接收到所述管理平台服务端反馈的匹配成功信息的情况下，利用所述应用管理策略对所述
应用请求进行管控；
37.所述管理平台服务端，用于利用各终端设备上传的应用标识信息对所述第一标识信息进行匹配，在所述第一标识信息与所述应用标识信息匹配成功的情况下，向所述网络安全设备反馈所述匹配成功信息。
38.第四方面，本技术提供了一种计算机设备，包括：
39.存储器，用于存储计算机程序；
40.处理器，用于执行所述计算机程序时实现如上所述的任意一种应用识别管理方法的步骤。
41.第五方面，本技术提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的任意一种应用识别管理方法的步骤。
42.本技术所提供的一种应用识别管理方法，应用于网络安全设备，包括获取应用请求的第一标识信息；在所述第一标识信息命中应用识别规则的情况下，利用应用管理策略对识别到的应用请求进行管控；在所述第一标识信息未命中所述应用识别规则的情况下，将所述第一标识信息发送至管理平台服务端，以使所述管理平台服务端利用各终端设备上传的应用标识信息对所述第一标识信息进行匹配；在接收到所述管理平台服务端反馈的匹配成功信息的情况下，利用所述应用管理策略对所述应用请求进行管控。
43.可见，本技术所提供的应用识别管理方法，先由网络安全设备利用应用识别规则对应用请求进行识别，在识别成功的情况下，利用应用管理策略进行应用请求管控，在识别失败的情况下，则由管理平台服务端对应用请求进行识别，并将识别结果反馈至网络安全设备，进而实现应用请求管理，由此，实现了将基于网络侧的应用识别与基于终端侧的应用识别相结合，即实现了端网联动，显然，相较于仅通过网络侧识别和管控应用的实现方法，该技术方案可以有效减少误判和被绕过的风险，提高了应用识别结果的准确性，进一步实现了对应用软件的有效管理。
44.本技术所提供的另一种应用识别管理方法、应用识别管理系统、计算机设备以及计算机可读存储介质，也都具有上述有益效果，在此不再赘述。
附图说明
45.为了更清楚地说明现有技术和本技术实施例中的技术方案，下面将对现有技术和本技术实施例描述中需要使用的附图作简要的介绍。当然，下面有关本技术实施例的附图描述的仅仅是本技术中的一部分实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图，所获得的其他附图也属于本技术的保护范围。
46.图1为本技术所提供的第一种应用识别管理方法的流程示意图；
47.图2为本技术所提供的第二种应用识别管理方法的流程示意图；
48.图3为本技术所提供的一种应用识别管理系统的结构示意图。
具体实施方式
49.本技术的核心是提供一种应用识别管理方法，该应用识别管理方法可以提高应用
识别结果的准确性，进一步实现了对应用软件的有效管理；本技术的另一核心是提供另一种应用识别管理方法、应用识别管理系统、计算机设备以及计算机可读存储介质，也具有上述有益效果。
50.为了对本技术实施例中的技术方案进行更加清楚、完整地描述，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行介绍。显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
51.本技术实施例提供的第一种应用识别管理方法。
52.需要说明的是，本技术实施例所提供的应用识别管理方法应用于网络安全设备，即通过网络安全设备实现应用识别管理，该网络安全设备具体可以为af(如防火墙)、ac(如上网行为管理平台、态势感知平台)等。进一步，网络安全设备可与管理平台进行联动，以实现将基于网络侧的应用识别与基于终端侧的应用识别相结合，从而实现基于端网联动的应用识别管理。其中，管理平台一般包括一个管理平台服务端与多台终端设备，且各终端设备均与管理平台服务端相连接(无线连接或有线连接)，以便于管理平台服务端对管理平台下的所有终端设备进行管理，基于此，网络安全设备与管理平台之间的联动具体为网络安全设备与管理平台服务端之间的联动。
53.请参考图1，图1为本技术所提供的第一种应用识别管理方法的流程示意图，该应用识别管理方法可包括：
54.s101：获取应用请求的第一标识信息；
55.本步骤旨在实现应用请求的第一标识信息的获取，该第一标识信息用于实现应用识别规则匹配，以确定应用类别，其具体类型并不影响本技术方案的实施，可以为各种类型的应用流量标识信息，如对应应用请求的五元组信息、域名信息等，均可作为第一标识信息用以实现对应应用请求的识别。具体而言，当网络安全设备接收到应用请求时，可通过请求解析方法获得相应的第一标识信息。
56.s102：在第一标识信息命中应用识别规则的情况下，利用应用管理策略对识别到的应用请求进行管控；
57.本步骤旨在实现基于网络侧的应用识别管理，具体利用应用识别规则和应用管理策略实现，其中，应用识别规则用于对应用请求进行识别，应用管理策略则用于对应用请求进行管控。具体而言，在网络安全设备获得应用请求的第一标识信息之后，即可利用应用识别规则对其进行识别，以确定应用类别，其中，在识别成功的情况下，也即第一标识信息命中应用识别规则的情况下，该识别成功的应用识别规则对应的应用类别即为当前应用请求的应用类别，进一步，利用相应的应用管理策略对其进行管控，如放行或阻断该应用请求等。由此，实现基于网络侧的应用识别管理。
58.作为一种优选实施例，该应用识别管理方法还可以包括：定时从云平台获取应用识别规则。
59.本优选实施例提供了一种应用识别规则的获取方法。具体而言，可以由云平台构建应用识别规则，考虑到云平台的定时更新功能，网络安全设备可以定时从云平台获取该应用识别规则，用以实现更为准确的应用请求识别。当然，应用识别规则的获取方法同样适用于应用管理策略，即云平台可同时构建应用管理策略，并定时对其进行更新，以便于网络
安全设备可以定时从云平台获取应用管理策略，进而实现应用请求管理。
60.可以理解的是，应用识别规则与应用管理策略的数量一般为多个，不同的应用识别规则可用于实现不同类别的应用请求识别，不同的应用管理策略可用于实现不同形式的应用请求管理。因此，网络安全设备在定时获取应用识别规则和应用管理策略时，可以以规则库和策略库的形式进行获取。
61.需要说明的是，以上应用识别规则和应用管理策略的获取方法仅为本优选实施例所提供的一种实现方式，并不唯一，也可以直接在网络安全设备上构建以及定时更新应用识别规则和应用管理策略，以实现应用识别管理。
62.s103：在第一标识信息未命中应用识别规则的情况下，将第一标识信息发送至管理平台服务端，以使管理平台服务端利用各终端设备上传的应用标识信息对第一标识信息进行匹配；
63.本步骤旨在实现基于终端侧的应用识别管理，主要由管理平台服务端实现。具体而言，网络安全设备在利用应用识别规则对第一标识信息识别失败的情况下，也即在第一标识信息未命中应用识别规则的情况下，可将该第一标识信息发送至管理平台服务端对其进行匹配识别。进一步，对于管理平台服务端而言，其可以利用各终端设备上传的应用标识信息对第一标识信息进行匹配识别，当第一标识信息命中某一应用标识信息时，说明应用识别成功，当第一标识信息未命中任何应用标识信息时，则说明应用识别失败。
64.其中，应用标识信息是指已知类别的应用请求对应的标识信息，由各终端设备上传至管理平台服务端。可以理解的是，部署于管理平台下的各终端设备同样可以实现应用请求识别，也即基于终端侧的应用识别，在获得应用请求识别结果后，即确定应用请求类别后，可进一步获取该应用请求的标识信息，作为上述应用标识信息上传至管理平台服务端，以便于管理平台服务端利用该应用标识信息对网络安全设备未识别到的应用请求进行匹配识别。其中，基于终端侧的应用识别可以采用已有技术中的任意一种，本技术在此不再赘述。
65.其中，可预先在管理平台服务端创建存储区域，以便于对各终端设备上传的应用识别信息进行存储，当然，存储区域的具体类型并不影响本技术方案的实施，可以为容器、数据库、内存等，本技术对此不做限定。可以想到的是，管理平台服务端对于应用标识信息的存储方式同样适用于网络安全设备对应用识别规则和应用管理策略的存储，并且，应用识别规则与应用管理策略在管理平台服务端可以存储于同一区域，也可以存储于不同区域，本技术对此同样不做限定。
66.作为一种优选实施例，上述将第一标识信息发送至管理平台服务端，以使管理平台服务端利用应用标识信息对第一标识信息进行匹配，可以包括：将第一标识信息存储至预设队列；联动管理平台服务端，以使管理平台服务端对预设队列进行探测，以获得第一标识信息，并利用应用标识信息对第一标识信息进行匹配。
67.本优选实施例提供了一种将第一标识信息由网络安全设备下发至管理服务平台的实现方法。具体而言，为避免由于第一标识信息数量较多造成系统运行堵塞，网络安全设备可预先创建队列，即上述预设队列，用于对第一标识信息进行存储，也就是说，网络安全设备在确定第一标识信息未命中应用识别规则的情况下，直接将该第一标识信息存储至预设队列，以供管理平台服务端调取；进一步，在管理平台服务端可预先设置用于扫描预设队
列的控制进程，由此，在管理平台服务端运行过程中，其控制进程可对预设队列进行实时扫描，以获取第一标识信息并对其进行标识匹配处理。
68.s104：在接收到管理平台服务端反馈的匹配成功信息的情况下，利用应用管理策略对应用请求进行管控。
69.本步骤旨在实现对管理平台服务端所识别到的应用请求进行管控，同样利用应用管理策略实现。具体的，对于管理平台服务端而言，在利用应用标识信息对第一标识信息识别成功的情况下，可向网络安全设备反馈匹配成功信息，以告知网络安全设备当前第一标识信息识别成功，由此，网络安全设备即可利用应用管理策略对该第一标识信息对应的应用请求进行管控处理。此外，在利用应用标识信息对第一标识信息识别失败的情况下，同样可向网络安全设备反馈匹配失败信息，以便于网络安全设备可以及时获知终端侧的应用识别结果。
70.其中，上述利用应用管理策略对应用请求进行管控，可以包括：确定应用管理策略中与识别到的应用请求对应的管控操作；利用管控操作对应用请求进行管控。具体而言，当基于应用识别规则实现应用识别，或基于管理平台服务端实现应用识别后，即可在应用管理策略中确定该类别应用请求对应的管控操作，进而利用该管控操作对应用请求进行管控。其中，管控操作可以包括但不限于放行应用进程、阻止应用进程或进行告警等。
71.作为一种优选实施例，该应用识别管理方法还可以包括：定时从管理平台服务端获取应用标识信息；将应用标识信息上传至云平台，以使云平台对应用识别规则进行更新。
72.如上所述，可以由云平台构建应用识别规则，网络安全设备则可以定时从云平台获取该应用识别规则，用以实现更为准确的应用请求识别。在此基础上，为实现应用识别规则更新，网络安全设备可以定时获取各终端设备上传至管理平台服务端的各应用标识信息，再将其上传至云平台，以便于云平台利用这些应用标识信息对应用识别规则进行更新，以获得更为全面的应用识别规则。
73.可以理解的是，上述将应用标识信息的上传至云平台的方法仅为本优选实施例所提供的一种实现方式，并不唯一。可以理解的是，在正常连网状态下，也可以采用由管理平台服务端直接上传应用标识信息至云平台的实现方法，以提高应用标识信息的上传效率。因此，对于应用标识信息上传至云平台的实现方法，本技术不做限定。
74.作为一种优选实施例，该应用识别管理方法还可以包括：在接收到管理平台服务端反馈的匹配失败信息的情况下，将应用请求对应的请求信息发送至显示设备进行展示。
75.如上所述，在利用应用标识信息对第一标识信息识别失败的情况下，同样可向网络安全设备反馈匹配失败信息，以便于网络安全设备可以及时获知终端侧的应用识别结果。在此基础上，对网络安全设备而言，则可以将识别失败的应用请求对应的请求信息发送至显示设备进行可视化显示，以便于技术人员对其进行分析处理，进而实现人工识别。其中，应用请求对应的请求信息是指与该应用请求相关的各类信息，如五元组信息、域名信息、解析关键字、接收时间信息等，可以想到的是，请求信息所包含的内容越多，越便于技术人员进行人工识别，也越可以保证人工识别结果的准确性。
76.可见，本技术实施例所提供的应用识别管理方法，先由网络安全设备利用应用识别规则对应用请求进行识别，在识别成功的情况下，利用应用管理策略进行应用请求管控，在识别失败的情况下，则由管理平台服务端对应用请求进行识别，并将识别结果反馈至网
络安全设备，进而实现应用请求管理，由此，实现了将基于网络侧的应用识别与基于终端侧的应用识别相结合，即实现了端网联动，显然，相较于仅通过网络侧识别和管控应用的实现方法，该技术方案可以有效减少误判和被绕过的风险，提高了应用识别结果的准确性，进一步实现了对应用软件的有效管理。
77.基于上述各实施例：
78.本技术实施例提供了几种不同类型的第一标识信息，以及利用应用识别规则对第一标识信息进行识别的实现方式。
79.作为一种优选实施例，上述第一标识信息可以为应用流量特征标识，则上述利用应用识别规则对第一标识信息进行识别，可以包括：在应用流量特征标识命中应用流量特征库的情况下，确定第一标识信息命中应用识别规则；在应用流量特征标识未命中应用流量特征库的情况下，确定第一标识信息未命中应用识别规则。
80.其中，第一标识信息具体可以为应用流量特征标识，该应用流量特征标识是指对应应用请求流量的特征信息，如通过对应用请求进行解析所获得的请求关键字、域名信息等。相对应的，应用识别规则具体为应用流量特征库，其所包含的已知应用的标识信息也应当为应用流量特征标识，由此，当待识别应用请求的应用流量特征标识命中应用流量特征库时，确定第一标识信息命中应用识别规则；当待识别应用请求的应用流量特征标识未命中应用流量特征库时，确定第一标识信息未命中应用识别规则。
81.作为一种优选实施例，上述第一标识信息可以为应用流量地址标识，则上述利用应用识别规则对第一标识信息进行识别，可以包括：在应用流量地址标识命中应用流量地址库的情况下，确定第一标识信息命中应用识别规则；在应用流量地址标识未命中应用流量地址库的情况下，确定第一标识信息未命中应用识别规则。
82.其中，第一标识信息具体可以为应用流量地址标识，该应用流量地址标识是指对应应用请求流量的地址信息，如通过对应用请求进行解析所获得的五元组信息等，其中，五元组信息包括请求协议、源ip、源端口、目的ip、目的端口。相对应的，应用识别规则具体为应用流量地址库，其所包含的已知应用的标识信息也应当为应用流量地址标识，由此，当待识别应用请求的应用流量地址标识命中应用流量地址库时，确定第一标识信息命中应用识别规则；当待识别应用请求的应用流量地址标识未命中应用流量地址库时，确定第一标识信息未命中应用识别规则。
83.作为一种优选实施例，上述第一标识信息可以为应用请求标识，则上述利用应用识别规则对第一标识信息进行识别，可以包括：在应用请求标识命中历史应用请求库的情况下，确定第一标识信息命中应用识别规则；在应用请求标识未命中历史应用请求库的情况下，确定第一标识信息未命中应用识别规则。
84.其中，第一标识信息具体可以为应用请求标识，该应用请求标识是指对应应用请求的标识信息，如通过对应用请求进行解析所获得的应用请求名称、应用请求id信息等。相对应的，应用识别规则具体为历史应用库，其所包含的已知应用的标识信息也应当为应用请求标识，并且，这些应用请求标识所对应的应用请求均为网络安全设备曾经接收到过的历史应用请求，由此，当待识别应用请求的应用请求标识命中历史应用库时，确定第一标识信息命中应用识别规则；当待识别应用请求的应用请求标识未命中历史应用库时，确定第一标识信息未命中应用识别规则。
85.作为一种优选实施例，该应用识别管理方法还可以包括：在接收到管理平台服务端反馈的匹配成功信息的情况下，将应用请求标识添加至历史应用请求库。
86.可以理解的是，当第一标识信息采用应用请求标识，应用识别规则采用历史应用库实现应用识别时，还可以进一步实现历史应用库的更新功能。具体而言，在网络安全设备接收到管理平台服务端反馈的匹配成功信息的情况下，即基于终端侧的应用识别成功，此时可获取该应用请求的标识信息，即上述应用请求标识添加至历史应用库，由此，在网络安全设备再次接收到此类型的应用请求时，即可直接命中历史应用库，无需再进行终端侧的应用识别，有效地提高了应用识别效率。
87.需要说明的是，以上各实施例提供了几种利用应用识别规则实现应用请求识别的实现方法，但是，其具体实现方式并不仅限于此，还可以采用其他类型的标识信息及其应用识别规则进行应用识别，或可以采用上述两种或三种实现方式的结合，本技术对此不做限定。
88.其中，采用上述三种实现方式进行网络侧应用识别的实现流程如下：
89.当网络安全设备接收到某一应用请求时，首先对该应用请求进行解析，获取其应用请求标识，此处以应用请求名称为例，判断该应用请求的请求名称是否命中历史应用库，若是，则说明网络安全设备曾经接收到过该类别的应用请求，此时，查询当前应用请求所命中的历史应用请求对应的应用管理策略，并利用该应用管理策略对其进行管控；进一步，当应用请求的请求名称未命中历史应用库时，则获取该应用请求的应用流量特征标识，此处以域名信息为例，判断该应用请求的域名信息是否命中应用流量特征库，若是，则说明通过应用流量特征实现了应用请求识别，并利用对应的应用管理策略对其进行管控即可；进一步，当应用请求的域名信息未命中应用流量特征库时，则获取该应用请求的应用流量地址标识，此时以目的ip和目的端口为例，判断该应用请求的目的ip和目的端口是否命中应用流量地址库，若是，则说明通过应用流量地址实现了应用请求识别，并利用对应的应用管理策略对其进行管控即可；最后，当应用请求的目的ip和目的端口未命中应用流量地址库时，则可将目的ip和目的端口发送至管理平台服务端，由管理平台服务端实现终端侧的应用识别。
90.由此，通过在网络安全设备端设置多种类别的数据库用以实现应用请求识别，以尽可能的在网络侧实现应用请求识别，可以有效降低再转发至管理平台服务端进行终端侧识别的概率，进一步提高应用识别和管控效率。
91.本技术实施例提供的第二种应用识别管理方法。
92.需要说明的是，本技术实施例所提供的应用识别管理方法应用于管理平台服务端，即通过管理平台服务端实现应用识别管理。进一步，管理平台服务端可与网络安全设备进行联动，以便于对网络安全设备无法识别的应用请求进行识别，从而实现将基于网络侧的应用识别与基于终端侧的应用识别相结合，即实现基于端网联动的应用识别管理。
93.请参考图2，图2为本技术所提供的第二种应用识别管理方法的流程示意图，该应用识别管理方法可包括：
94.s201：获取网络安全设备下发的应用请求的第二标识信息；
95.本步骤旨在获取网络安全设备下发的应用请求的第二标识信息。具体而言，当网络安全设备无法对自身接收到的应用请求进行识别时，可提取其请求标识，即上述第二标
识信息并下发至管理平台服务端，由管理平台服务端对其进行识别处理，以便实现终端侧的应用请求识别。
96.其中，第二标识信息类似于上一实施例中的第一标识信息，二者具体内容可相同，也可以不同，可实现终端侧的应用识别即可，本技术对此不做限定。需要说明的是，本技术所提到的诸如“第一”、“第二”、“第三”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
97.s202：将第二标识信息与各终端设备上传的应用标识信息进行匹配；
98.本步骤旨在利用各终端设备上传的应用标识信息对第二标识信息进行匹配识别，其中，应用标识信息是指已知类别的应用请求对应的标识信息，由各终端设备上传至管理平台服务端。在此基础上，当第二标识信息命中某一应用标识信息时，说明应用识别成功，当第二标识信息未命中任何应用标识信息时，则说明应用识别失败。
99.具体而言，部署于管理平台下的各终端设备同样可以实现应用请求识别，并且，其在获得应用请求识别结果后，即确定应用请求类别后，可进一步获取该应用请求的标识信息，作为上述应用标识信息上传至管理平台服务端，以便于管理平台服务端利用该应用标识信息对网络安全设备未识别到的应用请求进行匹配识别。
100.此外，为便于管理平台服务端进行信息管理，还可以预先设置信息上报规则并下发至各终端设备，以便于各终端设备可以按照该信息上报规则进行应用标识信息的上报。当然，预设配置文件中的具体内容由技术人员根据实际需求进行设定即可，本技术对此不做限定，例如，可以包括上传内容设定、上传方式设定等，其中，上传内容即为上述应用标识信息，上传方式可以为定时上传或及时上传等。
101.s203：在第二标识信息与应用标识信息匹配成功的情况下，发送匹配成功信息至网络安全设备，以使网络安全设备利用应用管理策略对应用请求进行管控。
102.具体而言，管理平台服务端在利用应用标识信息对第二标识信息识别成功的情况下，可向网络安全设备反馈匹配成功信息，以告知网络安全设备当前第二标识信息识别成功，由此，网络安全设备即可利用应用管理策略对该第二标识信息对应的应用请求进行管控处理。此外，在利用应用标识信息对第二标识信息识别失败的情况下，同样可向网络安全设备反馈匹配失败信息，以便于网络安全设备可以及时获知终端侧的应用识别结果。
103.作为一种优选实施例，该应用识别管理方法还可以包括：将应用识别库下发至各终端设备，以使各终端设备在应用请求对应的应用信息命中应用识别库的情况下，将应用信息作为应用标识信息反馈至管理平台服务端。
104.本优选实施例提供了一种在终端设备上实现应用请求识别的实现方法。具体而言，应用管理平台可将应用识别库下发至各终端设备，以便于各终端设备利用该应用识别库对应用请求进行识别；进一步，在当前应用请求对应的应用信息命中应用识别库的情况下，说明终端侧的应用请求识别成功，此时，终端设备即可将该应用信息作为上述应用标识信息上传至管理平台服务端。
105.其中，应用识别库即为用于实现应用请求识别的数据库，数据库内包含有大量已知类别的应用请求对应的应用的相关信息，例如，可以为应用请求的五元组信息、特征信息、应用请求对应应用进程的特征信息等。
106.可以理解的是，当应用请求对应的应用信息命中应用识别库，并将该应用信息作为应用标识信息上传至管理平台服务端时，说明应用识别库中所包含的用于识别应用请求的信息与管理平台服务端用于识别应用请求的应用标识信息相同，但是，实际实现方式并不仅限于此，还可以采用如下方式实现：将应用识别库下发至各终端设备，以使各终端设备在应用请求命中应用识别库的情况下，获取应用请求的应用标识信息，并将应用标识信息上传至管理平台服务端。
107.显然，在上述实现方式中，应用识别库中所包含的用于识别应用请求的信息与管理平台服务端用于识别应用请求的应用标识信息不同，在此情况下，同样可实现终端侧的应用请求识别。
108.例如，应用识别库中所包含的用于识别应用请求的信息采用应用进程特征信息，管理平台服务端用于识别应用请求的应用标识信息为应用请求的五元组信息，此时，应用识别库则为应用进程特征库。在此基础上，对于终端设备而言，当前接收到应用请求时，可首先获取该应用请求对应的应用进程的特征信息，进而判断该应用进程特征信息是否命中应用进程特征库，若是，则说明应用请求识别成功；进一步，获取该应用请求的五元组信息，并将该五元组信息作为应用标识信息上传至管理平台服务端，以便于管理平台服务端利用该应用标识信息对网络安全设备无法识别的应用请求进行识别。
109.其中，应用进程特征信息具体可以为应用进程对应的安装文件的相关信息，如文件静态特征信息和文件动态特征信息。其中，文件静态特征信息可以包括但不限于窗口标题(wndtitle)、进程名(processname)、签名信息(signature)、文件说明(description)、产品名称(productname)、原始文件名(orifilename)、文件特征值(如sha256)、窗口类(wndclass)以及服务名(servicename)等；文件动态属性信息可以包括但不限于更改系统代理开关、更改dns(domain name system，域名系统)配置或网络配置、访问异常域名或网址的多种行为等。
110.显然，文件静态特征信息和文件动态属性信息的种类和数量越多，越可以提高应用识别结果的准确性。并且，将静态属性和动态属性相结合，可以实现利用多个维度的应用特征信息对应用请求进行识别，进一步提高了应用识别结果的准确性。
111.作为一种优选实施例，该应用识别管理方法还可以包括：定时从云平台获取应用识别库。
112.本优选实施例提供了一种应用识别库的获取方法。具体而言，可以由云平台构建应用识别库，考虑到云平台的定时更新功能，管理平台服务端可以定时从云平台获取该应用识别库，用以实现更为准确的应用请求识别。
113.当然，以上应用识别库的获取方法仅为本优选实施例所提供的一种实现方式，并不唯一，也可以直接在管理平台服务端上进行构建，并由技术人员定时对其进行更新，以实现应用识别管理。
114.需要说明的是，本技术实施例中用于实现应用识别管理方法的网络安全设备，同样可以实现上一实施例中网络安全设备所实现的各类功能，本技术实施例在此不再赘述。
115.可见，本技术实施例所提供的应用识别管理方法，先由网络安全设备利用应用识别规则对应用请求进行识别，在识别成功的情况下，利用应用管理策略进行应用请求管控，在识别失败的情况下，则由管理平台服务端对应用请求进行识别，并将识别结果反馈至网
络安全设备，进而实现应用请求管理，由此，实现了将基于网络侧的应用识别与基于终端侧的应用识别相结合，即实现了端网联动，显然，相较于仅通过网络侧识别和管控应用的实现方法，该技术方案可以有效减少误判和被绕过的风险，提高了应用识别结果的准确性，进一步实现了对应用软件的有效管理。
116.基于以上各实施例，本技术实施例提供了另一种应用识别管理方法。
117.首先，请参考图3，图3为本技术所提供的一种应用识别管理系统的结构示意图，该应用识别管理系统可包括：云平台、af(防火墙)和edr(终端检测响应平台，即上述管理平台)，edr包括mgr(edr服务端)和agent(edr客户端，数量不唯一)，af与edr可联动。
118.进一步，基于上述应用识别管理系统的应用识别管理方法的实现流程如下：
119.(1)af定期从云平台更新ip-端口地址库和应用识别特征库(即应用识别规则，对应于上述应用流量地址库和应用流量特征库)，mgr定期从云平台更新代理应用识别库(以识别代理应用为例，此处应用识别库采用代理应用识别库)；
120.(2)mgr更新代理应用识别库成功后，将其及时下发至各agent，以便于agent利用该代理应用识别库对应用请求进行识别，并在识别成功后，获取该应用请求的五元组信息回传至mgr；
121.(3)mgp将各agent上传的五元组信息存储到本地，等待af来查询，并由af定期上报到云端，以便云端对ip-端口地址库进行更新；
122.(4)当应用请求经过af时，af首先判断历史应用请求库中是否存在相同的应用请求，即判断是否曾经接收到过该应用请求，当历史应用请求库中存在与当前应用请求相同的历史应用请求时，可直接利用该历史应用请求对应的应用管理策略对当前应用请求进行处理；当历史应用请求库中不存在与当前应用请求相同的历史应用请求时，则获取其流量特征信息，并将其与应用识别特征库进行匹配，当匹配成功时执行相应的应用管理策略；当匹配失败时，再获取该应用请求的五元组信息(主要是获取目的ip和目的端口信息)，并将其与ip-端口地址库进行匹配，当匹配成功时执行相应的应用管理策略；当匹配失败时，将该五元组信息插入至未识别应用队列；
123.(5)mgr部署有控制进程，用于对未识别应用队列进行探测，当探测到队列中有数据时，则批量取出队列中的数据进行消费，具体为将该五元组信息与各agent上传的五元组信息进行匹配，当匹配成功时，返回提示信息至af，由af对该应用请求执行对应的应用管理策略，并将该应用请求添加至历史应用请求库，以便于该应用请求再次访问时可立即识别；当匹配失败时，则可以采集该应用请求的各类相关信息并发送至可视化界面进行显示，以便技术人员进行人工识别和管控。
124.可见，本技术实施例所提供的应用识别管理方法，先由网络安全设备利用应用识别规则对应用请求进行识别，在识别成功的情况下，利用应用管理策略进行应用请求管控，在识别失败的情况下，则由管理平台服务端对应用请求进行识别，并将识别结果反馈至网络安全设备，进而实现应用请求管理，由此，实现了将基于网络侧的应用识别与基于终端侧的应用识别相结合，即实现了端网联动，显然，相较于仅通过网络侧识别和管控应用的实现方法，该技术方案可以有效减少误判和被绕过的风险，提高了应用识别结果的准确性，进一步实现了对应用软件的有效管理。
125.本技术还提供了一种应用识别管理系统，该应用识别管理系统可包括：
126.网络安全设备，用于获取应用请求的第一标识信息；在第一标识信息命中应用识别规则的情况下，利用应用管理策略对识别到的应用请求进行管控；在第一标识信息未命中应用识别规则的情况下，将第一标识信息发送至管理平台服务端；在接收到管理平台服务端反馈的匹配成功信息的情况下，利用应用管理策略对应用请求进行管控；
127.管理平台服务端，用于利用各终端设备上传的应用标识信息对第一标识信息进行匹配，在第一标识信息与应用标识信息匹配成功的情况下，向网络安全设备反馈匹配成功信息。
128.可见，本技术实施例所提供的应用识别管理系统，先由网络安全设备利用应用识别规则对应用请求进行识别，在识别成功的情况下，利用应用管理策略进行应用请求管控，在识别失败的情况下，则由管理平台服务端对应用请求进行识别，并将识别结果反馈至网络安全设备，进而实现应用请求管理，由此，实现了将基于网络侧的应用识别与基于终端侧的应用识别相结合，即实现了端网联动，显然，相较于仅通过网络侧识别和管控应用的实现方法，该技术方案可以有效减少误判和被绕过的风险，提高了应用识别结果的准确性，进一步实现了对应用软件的有效管理。
129.对于本技术提供的系统的介绍请参照上述方法实施例，本技术在此不做赘述。
130.本技术还提供了一种计算机设备，该计算机设备可包括：
131.存储器，用于存储计算机程序；
132.处理器，用于执行计算机程序时可实现如上述任意一种应用识别管理方法的步骤。
133.对于本技术提供的设备的介绍请参照上述方法实施例，本技术在此不做赘述。
134.本技术还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时可实现如上述任意一种应用识别管理方法的步骤。
135.该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
136.对于本技术提供的计算机可读存储介质的介绍请参照上述方法实施例，本技术在此不做赘述。
137.说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
138.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
139.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存
储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom或技术领域内所公知的任意其它形式的存储介质中。
140.以上对本技术所提供的技术方案进行了详细介绍。本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术的保护范围内。