[发明专利]互联网的网络应用采集与分析方法及系统

权利要求书

1.一种互联网的网络应用采集与分析方法，其特征在于，包括：

根据通信模式或会话结构，将互联网的网络应用采用的会话结构进行分类；

根据所述分类的结果，采用下述识别方法中的一种或者多种将所述网络应用与预定的应用协议进行不吻合点匹配，所述的识别方法包括：基于端口识别、基于特征码识别、基于协议解析算法识别、基于网络关联算法识别；

当一个网络应用与预定的应用协议的不吻合点的数量小于预定的门限值时，将该网络应用识别为采用所述预定的应用协议的网络应用。

2.如权利要求1所述的互联网的网络应用采集与分析方法，其特征在于，

所述将互联网的网络应用采用的会话结构进行分类包括将网络应用采用的会话结构分为下属类别：

“Type S-F-2”类型，具有单个会话、固定端口、使用2个主机；

“Type M-F-2”类型，具有多个会话、固定端口、使用2个主机；

“Type M-D-2”类型，具有多个会话、动态端口、使用2个主机；

“Type M-F-3”类型，具有多个会话、固定端口、使用3个以上的主机；

“Type M-D-3”类型，具有多个会话、动态端口、使用3个以上的主机。

3.如权利要求2所述的互联网的网络应用采集与分析方法，其特征在于，所述基于端口识别依据网络应用使用的端口与预定的应用协议进行不吻合点匹配，所述基于端口识别适用于使用固定端口的网络应用；

所述基于端口识别识别的端口包括：由IANA组织分配的公认端口、在IANA组织注册的登记端口、未在IANA组织注册但通过流量分析得到的常用端口。

4.如权利要求2所述的互联网的网络应用采集与分析方法，其特征在于，所述基于特征码识别检查一个网络应用前几个数据包的负载部分，确定是否存在预定义的应用特征码，并以次为依据与预定的应用协议进行不吻合点匹配；

所述特征码包括固定长度字符串、或者可变长度字符串，所述固定长度字符串或可变长度字符串用正规表达式表示。

5.如权利要求2所述的互联网的网络应用采集与分析方法，其特征在于，所述基于协议解析算法识别适用于使用动态端口的网络应用，进一步包括：

1)建立描述控制会话端口的表CPT；

2)如果网络应用的主端口在CPT中存在，并且没有设置FIN标志，则执行步骤3)-6)；否则执行步骤7)；

3)由分派函数指派相应的协议解析函数，对负载进行协议分析；

4)如果协议分析结果正确，则为该网络应用建立一个会话流，并且解析出后续动态会话端口；否则，该网络应用视为其他应用；

5)如果所述网络应用有二级控制会话，则依据步骤3)和4)继续对负载进行协议分析，直至解析出数据会话端口；

6)所有属于二级控制会话和数据会话的网络包，都属于该网络应用的所述会话流；

7)如果收到Disconnect网络包，或者在一定的超时时间内会话流的数据包不再到达，则该会话流结束。

6.如权利要求2所述的互联网的网络应用采集与分析方法，其特征在于，所述基于网络关联算法识别将一些具有时间、空间属性相似性的网络应用相关联，将获取的交互图与预定的应用协议相比较进行不吻合点匹配；

所述于网络关联算法识别应用加权流关联映射分组，将独立的网络应用按照关联管理组合成网络应用组，所述网络应用组被认为是属于同一应用，所述加权流关联映射分组包括：

按照属性依赖关系进行分组，将网络应用进行关联合并，形成PDG组；

按照预定权重将在源、目的地址上存在关联关系的PDG组进一步进行关联合并，形成LDG组。

7.一种互联网的网络应用采集与分析系统，其特征在于，包括：

分类装置，根据通信模式或会话结构，将互联网的网络应用采用的会话结构进行分类；

逆向匹配装置，根据所述分类的结果，所述网络应用与预定的应用协议进行不吻合点匹配；

识别装置，当一个网络应用与预定的应用协议的不吻合点的数量小于预定的门限值时，将该网络应用识别为采用所述预定的应用协议的网络应用。

8.如权利要求7所述的网络应用采集与分析系统，其特征在于，所述逆向匹配装置包括：

基于端口识别的装置、基于特征码识别的装置、基于协议解析算法识别的装置、基于网络关联算法识别的装置。