上网行为安全之应用控制技术_传统行为检测和深度行为检测的区别

1.应用特征识别技术

(1)需求例1

全天不允许使用QQ等聊天工具

案例网络拓扑图

数据包五元组
传统行为检测原理：传统的网络设备根据根据数据包的五元组（源IP，目的IP， 源端口，目的端口，协议）这些特征等来识别应用并进行丢弃、转发、接收、 处理等行为。

通过识别协议为UDP，端口为8000，从而识别出是QQ聊天的应用，将该类数 据包全部丢弃，实现封堵的目的

配置思路

１、 新增【上网策略】-【上网权限策略】-【策略设置】-【应用控制】在应 用里面勾选IM，生效时间全天，移动终端设备里面勾选通讯聊天，动作拒绝， 在【适用对象】选择办公区，即对办工区的所有用户关联上这条控制策略。
２、新增【上网策略】-【上网审计策略】-【应用审计】添加，勾选所有选项， 在【适用对象】选择办公区，即对办工区的所有用户关联上这条识别策略。

效果显示

办公区员工通过设备上网时，登录QQ已经不能在登录了，登录又如下提 示，在我们的上网行为监控里面可以记录QQ已经被拒绝，并审计了一些办公 区用户的访问应用的行为。

(2)需求例二

全天只允许特定QQ账号上网， 不允许其他QQ账号上网

怎么实现上述需求？
答：需通过一种安全特征识别技术来实现

配置思路

１、 新增【上网策略】-【上网权限策略】-【策略设置】-【应用控制】在应 用里面勾选IM，生效时间全天，移动终端设备里面勾选通讯聊天，动作拒绝， 在【适用对象】选择办公区，即对办工区的所有用户关联上这条控制策略。
２、新增【上网策略】-【上网审计策略】-【应用审计】添加，勾选所有选项， 在【适用对象】选择办公区，即对办工区的所有用户关联上这条识别策略。
3、新增【上网策略】-【上网权限策略】-【策略设置】-【应用控制】-【QQ 白名单】，将允许的QQ用户加入QQ白名单。

效果

办公区员工通过设备上网时，一般用户登录QQ已经不能在登录， 登录又如下提示，在我们的上网行为监控里面可以记录QQ已经被拒绝，并审 计了一些办公区用户的访问应用的行为。但是白名单用户可以正常登录

应用特征识别技术

•从数据包中可以看到，QQ用户的字段在应用层OICQ协议的Data字段
•该需求需要识别特定的QQ用户，而传统的行为检测只能对链路层、网络层、 传输层进行数据处理，不能对应用层进行操作。

传统行为检测与深度行为检测的比较

深度行为检测技术

产生背景：传统技术无法识别精细的数据包应用和行为，无法识别经过伪装的 数据包，无法满足现在的安全需求和可视需求

技术优点
（1）可视化全网 
（2）流量精细化管理 
（3）减少或延迟带宽投入， 降低网络运营成本
（4）及时发现和抑制异常流量 
（5）透视全网服务质量，保障 关键业务质量 
（6）丰富的 QoS 提供能力
1
2
3
4
5
6
7

（1）深度包检测技术（DPI）

深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，还增加了应用层分析，另外识别各种应用及其内容

A基于特征字的检测技术

客户需求：：在客户局域网中只允许电脑上网，不允许手机上网
需求分析：该需求需要能够识别哪些上网数据是手机端发出的，哪些是PC端 发出的。通过数据包分析，发现手机和电脑在同时上网的时候（同时使用 HTTP协议）会在HTTP协议的User-Agent字段区分出