[发明专利]应用层网络分析方法及系统

权利要求书

1.一种应用层网络分析方法及系统，其特征在于包括在网络服务器中进行网络协议分析步骤、通讯内容分析步骤；

所述网络协议分析步骤包括：

1-1、从网络上获取报文；

1-2、识别报文协议类型；

1-3、将报文提交到与其协议类型对应的上层应用协议解析还原；

1-4、将报文解析后的还原文档提交给通讯内容分析步骤；

所述通讯内容分析步骤含有信息内容基本特征提取训练分步和特征内容识别分步：

首先进行信息内容基本特征提取训练分步

2-1、从预定样本文档中提取关键词；

2-2、至少逐一统计计算出各关键词在样本文档中出现的概率表达，作为信息内容基本特征；

2-3、存储样本文档的信息内容基本特征；

接着进行特征内容识别分步

2-4、按与步骤2-1相同的方式，从网络协议分析步骤的还原文档中提取关键词；

2-5、按与步骤2-2相同的统计计算，得出所提取关键词在还原文档中出现的概率表达，作为特征内容识别结果；

2-6、将特征内容识别结果与存储的信息内容基本特征逐一比较，如比较结果符合预定条件，则将还原文档判为与对应的样本文档同类。

2.根据权利要求1所述应用层网络分析方法，其特征在于：所述步骤2-6中，如比较结果不符合预定条件，则将还原文档作为新的样本文档，进行信息内容基本特征提取训练分步。

3.根据权利要求2所述应用层网络分析方法，其特征在于：所述样板文档为用户输入的主题文档；当从网络上获取报文的还原文档判为与所述主题文档同类后，通报用户。

4.根据权利要求3所述应用层网络分析方法，其特征在于：所述步骤1-2中，根据获取报文的端口或报文的协议特征识别报文协议类。

5.根据权利要求4所述应用层网络分析方法，其特征在于：所述步骤2-1中，关键词提取采用最长词匹配或者马尔科夫模型模型。

6、一种应用层网络分析系统，其特征在于：由至少包括在网络服务器中的网络协议分析器和通讯内容分析器构成；

所述网络协议分析器用于：从网络上获取报文，识别报文协议类型，将报文提交到与其协议类型对应的上层应用协议解析还原，将报文解析后的还原文档提交给通讯内容分析器；

所述通讯内容分析器含有信息内容基本特征提取训练模块和特征内容识别模块；

所述信息内容基本特征提取训练模块用于：从预定样本文档中提取关键词，至少逐一统计计算出各关键词在样本文档中出现的概率表达作为信息内容基本特征，存储样本文档的信息内容基本特征；

所述特征内容识别模块用于：按与所述信息内容基本特征提取训练模块相同的方式，从网络协议分析步骤的还原文档中提取关键词，得出特征内容识别结果，将特征内容识别结果与存储的信息内容基本特征逐一比较，如比较结果符合预定条件，则将还原文档判为与对应的样本文档同类。

7、根据权利要求6所述的应用层网络分析系统，其特征在于：还含有规则管理器，所述规则管理器用于由用户定义规则，并调度网络协议分析器和通讯内容分析器，得出原始文档和用户预先设定文档之间的相似度，当相似度大于预定阈值时通报用户。

8、根据权利要求7所述的应用层网络分析系统，其特征在于：还含有行为资源管理服务器，所述行为资源管理服务器用于协调管辖范围内的规则管理器，统一下发规则和提供用户检索界面，所述规则管理器还用于接收行为资源管理服务器发送的规则，并调度网络协议分析器和通讯内容分析器，得出原始文档和预先设定文档之间的相似度，当相似度大于预定阈值时通报资源管理服务器。