[发明专利]应用识别方法及装置

权利要求书

1.一种应用识别方法，其特征在于，该方法包括：

读取预设的数据样本库中的数据分析样本；所述数据分析样本包括报文的应用类型以及该报文的报文特征以及该报文的会话标识；

将所述数据样本库中报文特征相同的数据分析样本进行分组；

统计分组后的每一个分组的会话数；其中，会话数为每一个分组中包含的会话标识的种类数；

当任一分组对应唯一相同的应用类型，并且该分组的会话数达到第一预设阈值，则基于该分组中的报文特征和该分组中的应用类型建立映射关系，以得到应用识别规则；

提取目标报文的报文特征；

将提取出的所述目标报文的报文特征在所述应用识别规则中进行匹配；

当在所述应用识别规则中匹配到所述目标报文的报文特征时，基于所述映射关系查询与所述目标报文的报文特征对应的应用类型；

当查询到与所述目标报文的报文特征对应的应用类型后，从所述目标报文中提取校验样本；

基于查询到的所述应用类型对提取出的所述校验样本进行校验；所述校验为将所述校验样本与查询到的所述应用类型的报文中相同字段携带的信息片段进行匹配；

当校验成功后，基于查询到的所述应用类型对所述目标报文对应的会话进行标记。

2.根据权利要求1所述的方法，其特征在于，所述读取预设的数据样本库中的数据分析样本之前，所述方法还包括：

基于报文内容识别接收到的报文的应用类型；

当识别出接收到的报文的应用类型后，将识别出的该报文的应用类型，以及该报文的报文特征作为数据分析样本保存至所述数据样本库。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当任一分组对应多种应用类型时，分别计算该多种应用类型在该分组中的会话占比，以及该多种应用类型在该分组中对应的会话数；

提取该多种应用类型中对应的会话数达到所述第一预设阈值，并且会话占比达到第二预设阈值的应用类型；

基于该分组中的报文特征和提取出的所述应用类型建立所述映射关系。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括:

当校验失败后，基于所述目标报文的数据载荷识别所述目标报文的应用类型，并在识别出所述目标报文的应用类型后，将识别出的所述目标报文的应用类型、所述目标报文的报文特征以及所述目标报文的会话标识作为数据分析样本保存至所述数据样本库。

5.根据权利要求1～4中任一所述的方法，其特征在于，所述报文特征包括三元组报文特征；所述三元组包括目的IP、目的端口以及协议类型。

6.一种应用识别装置，其特征在于，该装置包括：

读取模块，用于读取预设的数据样本库中的数据分析样本；所述数据分析样本包括报文的应用类型以及该报文的报文特征以及该报文的会话标识；

分析模块，用于将所述数据样本库中报文特征相同的数据分析样本进行分组；统计分组后的每一个分组的会话数；当任一分组对应唯一相同的应用类型，并且该分组的会话数达到第一预设阈值，则基于该分组中的报文特征和该分组中的应用类型建立映射关系，以得到应用识别规则；其中，会话数为每一个分组中包含的会话标识的种类数；

第一识别模块，用于提取目标报文的报文特征；将提取出的所述目标报文的报文特征在所述应用识别规则中进行匹配；当在所述应用识别规则中匹配到所述目标报文的报文特征时，基于所述映射关系查询与所述目标报文的报文特征对应的应用类型；

提取模块，用于在查询到与所述目标报文的报文特征对应的应用类型后，从所述目标报文中提取校验样本；

校验模块，用于基于查询到的所述应用类型对提取出的所述校验样本进行校验；所述校验为将所述校验样本与查询到的所述应用类型的报文中相同字段携带的信息片段进行匹配；

标记模块，用于在校验成功后，基于查询到的所述应用类型对所述目标报文对应的会话进行标记。