[发明专利]应用程序识别系统、装置以及识别网络应用程序的方法

说明书

技术领域

本发明涉及一种识别应用程序的系统及方法。

背景技术

网络通信由多种应用组成，包括互联网应用程序，比如：网页，对等(peer-to-peer，P2P)网络应用，即时消息(InstantMessage)等。最近几年里，P2P文件共享和IM得到了越来越广泛的应用。对P2P/IM不受约束的大量使用会造成许多问题，例如：占用因特网服务提供商(Internet S ervice Provider，ISP)的带宽，保密信息的泄漏，病毒，蠕虫和间谍软件等。因特网服务提供商可识别不同应用程序发送的数据包，从而对网络进行强制安全规范。因此，为保护网络资源，可阻止未知的和可能有害的应用程序发送的数据包。

过去，网络应用程序可通过使用静态的和标准的端口来传送数据包。于是，传统的基于端口的识别方法便可识别出来自不同应用程序的数据包。网络应用程序还可通过使用动态的和非标准的端口来传送数据包。基于特征(signature)的识别方法检测数据包是否携带预设特征，从而判断发送该数据包的源应用程序。特征即“指纹”，用于描述数据包的一组独有特征。

然而，一些网络应用程序可发送加密数据包，这些加密数据包可避免被基于端口和基于特征的识别方法识别出。

发明内容

本发明要解决的技术问题在于提供一种识别应用程序的系统和方法，用以识别目标网络应用程序发送的非加密数据包和加密数据包。

为解决上述技术问题，本发明提供了一种应用程序识别系统，其包括：网络接口，用于接收网络应用程序发送的第一数据包和第二数据包；耦合于该网络接口的特征监测器，用于根据该第一数据包识别网络应用程序，还用于产生表示第一数据包的状态的监测数据；耦合于特征监测器的规则生成器，用于根据该监测数据及根据表示该第一和第二数据包之间的状态转换的状态机产生规则；及耦合于该规则生成器的数据包登录控制器，用于当第二数据包具有与该规则匹配的内容时，识别出网络应用程序。

本发明所述的应用程序识别系统，所述第一数据包包括非加密数据包，所述第二数据包包括对应的加密数据包。

本发明所述的应用程序识别系统，还包括：耦合于所述特征监测器的特征数据库，用于存储分别表示多个目标网络应用程序的多个预设特征，其中，所述特征监测器通过比较所述第一数据包的内容和所述预设特征来识别所述网络应用程序。

本发明所述的应用程序识别系统，还包括：耦合于规则生成器的状态数据库，用于存储多个状态机，所述多个状态机分别表示与多个目标网络应用程序有关的多个状态转换，其中，所述规则生成器根据所述监测数据从所述多个状态机中选择表示所述第一和第二数据包之间的所述状态转换的所述状态机。

本发明所述的应用程序识别系统，所述监测数据包括表示所述网络应用程序的身份的应用程序身份，所述第一数据包使用的协议类型，表示运行所述网络应用程序的源节点的互联网协议地址的源IP地址，表示所述第一数据包的目的节点的互联网协议地址的目的IP地址。

本发明所述的应用程序识别系统，所述状态机包括表示所述网络应用程序的身份的应用程序身份，与所述第一数据包相关的第一数据包状态，以及与所述第二数据包相关的第二数据包状态。

本发明所述的应用程序识别系统，如果所述应用程序身份和与所述第一数据包相关的所述第一数据包状态都与所述监测数据相匹配，则选择所述状态机。

本发明所述的应用程序识别系统，所述规则生成器根据所述监测数据和与所述第二数据包相关的所述第二数据包状态产生所述规则。

本发明所述的应用程序识别系统，所述规则在一段预设时间间隔内有效。

本发明所述的应用程序识别系统，还包括：耦合于所述规则生成器且耦合于所述数据包登录控制器的规则数据库，用于存储所述规则。

本发明还提供了一种应用程序识别装置，用于识别网络应用程序，其包括：特征监测器，用于根据网络应用程序发送的第一数据包识别该网络应用程序，还用于产生表示第一数据包的状态的监测数据；规则生成器，用于根据监测数据和状态机产生规则，其中，该状态机表示第一数据包和网络应用程序发送的第二数据包之间的状态转换；及数据包登录控制器，用于当网络应用程序发送具有与该规则相匹配的内容的第二数据包时，识别出网络应用程序。

本发明所述的应用程序识别装置，所述第一数据包包括非加密数据包，所述第二数据包包括对应的加密数据包。