[发明专利]应用层网络分析方法及系统

说明书

技术领域

本发明涉及一种计算机网络分析方法及系统，更具体地涉及如何根据在计算机通信节点上获取的通讯内容进行用户网络行为分析的方法及系统，属于计算机网络通信技术领域。

背景技术

通常，狭义的网络行为分析或称网络行为异常探测利用被动观察和描述找出通讯高峰、不正常的应用和违反政策的行为，是一种较新的产品拓展领域。而广义的网络行为分析则指分析网络上的一切数据，并根据这些数据和已设定的规则，给出网络行为的统计、分析数据，从而达到预定的分析目的。

据申请人了解，为了达到保护网络的目的，目前的网络行为分析系统、入侵防御系统和防火墙系统采用的方法需要将传感器连接到局域网分接头或者交换机镜像端口，要么收集原始数据包，要么收集来自网络交换机和路由器的流动记录，在进行相应的网络分析。例如，大多数网络行为分析产品能够使用NetFlow或者sFlow记录。这些记录存储了通过路由器或者交换机的每一个通讯流的IP地址、端口、协议和接口。传感器通过观察，将发现的相关信息传送给中央分析器设备(管理器或者控制器)。接着，中央分析器创建一个网络基线，观察客户机/服务器变化，及其使用的协议、数据速率、日期时间以及其它指标。这个基线一旦建立起来之后，中央分析器就会观察各种变化，并对诸如蠕虫爆发的通讯速率高峰或者绕过防火墙规则在80端口传送的不同寻常P2P协议等作出反应。大多数中央分析器还可以采用能够发现违规行为的基于区域的政策进行设置，以防止允许的通讯在许多系统的不同工作组之间进行交换，避免违反数据隔离规则。

然而，上述现有的网络分析方法仅仅处理了基本链路层和网络层数据，也就是说仅仅对IP地址、端口、协议类型进行了分析，却不能根据应用层的协议进行分析，因此存在以下缺憾：1、无法对用户行为进行进一层次的分析——由于现有技术仅仅分析了网络的基本数据(IP地址、端口等)，虽然可以获取网络报文类的特征，但没有对上层应用程序的数据进行分析，不能根据上层通讯的具体内容实现行为发现。

2、无法发现用户利用网络进行非法活动——目前网络用户通过网络发起的非法活动不仅仅限于DDoS攻击、病毒、木马等通过防火墙可以发现的行为，但是现有的防火墙系统都不能有效发现诸如破坏国家稳定之类的言论。

3、不能搜集用户的使用特征和偏好——现有的网络行为分析系统、防火墙系统都没有方法发现用户的行为偏好，例如那些人有离职倾向，那些人喜欢某种品牌的化妆品，那些人喜欢看什么样的电影等等，从而无法提供进一步有针对性的服务。

发明内容

本发明要解决技术问题是：针对以上现有技术存在的缺憾，提出一种可以对应用程序数据进行分析，从而分辨通讯内容的应用层网络分析方法及系统，以便在此基础上实现深层的网络服务和管理。

为了解决以上技术问题，本发明的应用层网络分析方法包括在网络服务器中进行网络协议分析步骤、通讯内容分析步骤；所述网络协议分析步骤包括：

1-1、从网络上获取报文；

1-2、识别报文协议类型；可以根据获取报文的端口或报文的协议特征识别报文协议类型；

1-3、将报文提交到与其协议类型对应的上层应用协议解析还原；

1-4、将报文解析后的还原文档提交给通讯内容分析步骤；

所述通讯内容分析步骤含有信息内容基本特征提取训练分步和特征内容识别分步：

首先进行信息内容基本特征提取训练分步

2-1、从预定(用户或者系统默认提供)样本文档中提取关键词；

关键词提取可以采用最长词匹配或者Markov马尔科夫模型等；

2-2、至少逐一统计计算出各关键词在样本文档中出现的概率表达，作为信息内容基本特征；

2-3、存储样本文档的信息内容基本特征；

接着进行特征内容识别分步

2-4、按与步骤2-1相同的方式，从网络协议分析步骤的还原文档中提取关键词；

2-5、按与步骤2-2相同的统计计算，得出所提取关键词在还原文档中出现的概率表达，作为特征内容识别结果；

2-6、将特征内容识别结果与存储的信息内容基本特征逐一比较，如比较结果符合预定条件，则将还原文档判为与对应的样本文档同类。