[发明专利]一种网络应用识别方法和装置

权利要求书

1.一种网络应用识别方法，其特征在于，所述方法包括：

获取待识别网络流量，所述待识别网络流量包括若干个负载包；

对所述待识别网络流量的负载包进行检测，确定所述待识别网络流量的流量类型；

当检测到所述待识别网络流量为加密流量时，根据所述待识别网络流量的负载包获取所述待识别网络流量的域名信息或证书信息；

利用预设的加密流量识别算法，根据所述域名信息或所述证书信息获取所述待识别网络流量对应的网络应用名称。

2.根据权利要求1所述的网络应用识别方法，其特征在于，对所述待识别网络流量的负载包进行检测，包括：

将所述待识别网络流量的第一个负载包输入到预设的流量识别算法中，确定所述第一个负载包中的流量特征的特征类型；如果所述流量特征的特征类型为加密特征，则所述待识别网络流量为加密流量；如果所述流量特征的特征类型为非加密特征，则所述待识别网络流量为非加密流量。

3.根据权利要求1所述的网络应用识别方法，其特征在于，根据所述待识别网络流量的负载包获取所述待识别网络流量的域名信息或证书信息，包括：

对所述待识别网络流量的第一个负载包进行检测；

当所述第一个负载包为Client Hello报文时，对所述Client Hello报文进行解码，并提取域名信息，所述域名信息包括域名长度；

当所述第一个负载包为Certificate报文时，对所述Certificate报文进行解码，并提取证书信息，所述证书信息包括证书长度。

4.根据权利要求3所述的网络应用识别方法，其特征在于，如果根据所述第一个负载包获取到域名信息或证书信息，则执行所述获取所述待识别网络流量对应的网络应用名称的步骤；

如果根据所述第一个负载包没有获取到域名信息或证书信息，则根据第二个负载包获取所述待识别网络流量的域名信息或证书信息，并根据所述待识别网络流量的域名信息或证书信息获取网络应用名称；

如果根据第二个负载包没有获取到所述待识别网络流量的域名信息或证书信息，则继续根据下一个负载包获取所述待识别网络流量的域名信息或证书信息，直至预设的第N个负载包。

5.根据权利要求2所述的网络应用识别方法，其特征在于，在将所述第一个负载包输入到预设的流量识别算法中之前，

检测所述第一个负载包的传输协议；

如果所述第一个负载包的传输协议为UDP，则确定所述待识别网络流量为非加密流量；如果所述第一个负载包的传输协议为TCP，则将所述第一个负载包输入到预设的流量识别算法中。

6.根据权利要求1所述的网络应用识别方法，其特征在于，

当检测到所述待识别网络流量为非加密流量时，基于预设的非加密流量识别算法，对所述第一个负载包进行识别，得到所述待识别网络流量对应的网络应用名称。

7.根据权利要求1所述的网络应用识别方法，其特征在于，利用预设的加密流量识别算法，根据所述域名信息或所述证书信息获取所述待识别网络流量对应的网络应用名称，包括：

将所述域名信息或所述证书信息输入到预设的加密流量识别算法中，得到匹配结果；

如果所述匹配结果为网络应用名称，则将所述匹配结果确定为所述待识别网络流量对应的网络应用名称；如果所述匹配结果不为网络应用名称，则不进行处理。

8.根据权利要求6所述的网络应用识别方法，其特征在于，

预先统计加密流量网络应用的网络应用名称和流量特征的第一对应关系，根据所述第一对应关系生成所述预设的加密流量识别算法；

预先统计非机密流量网络应用的网络应用名称和流量特征的第二对应关系，根据所述第二对应关系生成所述预设的非加密流量识别算法。