技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)，尤其涉及互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用采集與分析方法及系統(tǒng)。

背景技術(shù)

互聯(lián)網(wǎng)的數(shù)據(jù)都是為網(wǎng)絡(luò)應(yīng)用服務(wù)的，每一個數(shù)據(jù)包都?xì)w屬于某種具體的網(wǎng)絡(luò)應(yīng)用協(xié)議。但是在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)并不會明確標(biāo)記自己是什么類型的數(shù)據(jù)，需要通過數(shù)據(jù)承載的網(wǎng)絡(luò)應(yīng)用某些特征用算法予以判斷識別。

網(wǎng)絡(luò)應(yīng)用的特征非常多，可以從不同角度來描述，這些不同角度的描述構(gòu)成一個網(wǎng)絡(luò)應(yīng)用的特征信息。從網(wǎng)絡(luò)應(yīng)用的角度來看，有如下的關(guān)系

網(wǎng)絡(luò)應(yīng)用由一個或者多個網(wǎng)絡(luò)會話組成，一個網(wǎng)絡(luò)會話由一組網(wǎng)絡(luò)數(shù)據(jù)包(TCP/UDP)組成，網(wǎng)絡(luò)數(shù)據(jù)包(TCP/UDP)由一組二進(jìn)制網(wǎng)絡(luò)數(shù)據(jù)組成。

其層次結(jié)構(gòu)為：

TCP/UDP數(shù)據(jù)包->網(wǎng)絡(luò)會話->網(wǎng)絡(luò)應(yīng)用。

一個網(wǎng)絡(luò)應(yīng)用的特征信息包含在數(shù)據(jù)包或者網(wǎng)絡(luò)會話及其組合里面，特征信息可能非常簡單，也可能非常復(fù)雜。復(fù)雜的特征信息可能包含如下內(nèi)容：

網(wǎng)絡(luò)會話的數(shù)量；

各個網(wǎng)絡(luò)會話之間的先后關(guān)系和交互關(guān)系；

每個網(wǎng)絡(luò)會話的數(shù)據(jù)包數(shù)量；

每個數(shù)據(jù)包的大小、取值和先后關(guān)系。

許多復(fù)雜的應(yīng)用協(xié)議，必需對上述四個方面構(gòu)成的信息進(jìn)行完成判斷才能予以準(zhǔn)確識別。利用上述四方面信息描述的應(yīng)用特征稱之為應(yīng)用協(xié)議的行為模式。

行為模式匹配就是將某個實(shí)際數(shù)據(jù)流和已有的各種應(yīng)用協(xié)議的特征信息進(jìn)行匹配，如果匹配即認(rèn)為屬于某種應(yīng)用。目前常用的行為模式匹配算法是正向匹配。正向匹配是指一個模式比較中吻合點(diǎn)的數(shù)量達(dá)到某個比例即認(rèn)為相同，而逆向匹配是計(jì)算不吻合點(diǎn)的數(shù)量，只有不吻合點(diǎn)數(shù)量低于一定值才認(rèn)為是相同。

正向匹配容易導(dǎo)致誤判，誤判的原因是因?yàn)閼?yīng)用協(xié)議非常多，而且許多應(yīng)用協(xié)議都是借用已有的應(yīng)用協(xié)議并改進(jìn)生成的新協(xié)議(我們稱前者為衍生協(xié)議，后者為原始協(xié)議)。因此原始協(xié)議特征模式去匹配衍生協(xié)議很容易匹配上，導(dǎo)致誤判。

發(fā)明內(nèi)容

本發(fā)明提出一種互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用采集與分析方法，包括：根據(jù)通信模式或會話結(jié)構(gòu)，將互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用采用的會話結(jié)構(gòu)進(jìn)行分類；根據(jù)所述分類的結(jié)果，采用下述識別方法中的一種或者多種將所述網(wǎng)絡(luò)應(yīng)用與預(yù)定的應(yīng)用協(xié)議進(jìn)行不吻合點(diǎn)匹配，所述的識別方法包括：基于端口識別、基于特征碼識別、基于協(xié)議解析算法識別、基于網(wǎng)絡(luò)關(guān)聯(lián)算法識別；當(dāng)一個網(wǎng)絡(luò)應(yīng)用與預(yù)定的應(yīng)用協(xié)議的不吻合點(diǎn)的數(shù)量小于預(yù)定的門限值時，將該網(wǎng)絡(luò)應(yīng)用識別為采用所述預(yù)定的應(yīng)用協(xié)議的網(wǎng)絡(luò)應(yīng)用。

所述將互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用采用的會話結(jié)構(gòu)進(jìn)行分類包括將網(wǎng)絡(luò)應(yīng)用采用的會話結(jié)構(gòu)分為下屬類別：“Type?S-F-2”類型，具有單個會話、固定端口、使用2個主機(jī)；“Type?M-F-2”類型，具有多個會話、固定端口、使用2個主機(jī)；“Type?M-D-2”類型，具有多個會話、動態(tài)端口、使用2個主機(jī)；“Type?M-F-3”類型，具有多個會話、固定端口、使用3個以上的主機(jī)；“Type?M-D-3”類型，具有多個會話、動態(tài)端口、使用3個以上的主機(jī)。

所述基于端口識別依據(jù)網(wǎng)絡(luò)應(yīng)用使用的端口與預(yù)定的應(yīng)用協(xié)議進(jìn)行不吻合點(diǎn)匹配，所述基于端口識別適用于使用固定端口的網(wǎng)絡(luò)應(yīng)用；所述基于端口識別識別的端口包括：由IANA組織分配的公認(rèn)端口、在IANA組織注冊的登記端口、未在IANA組織注冊但通過流量分析得到的常用端口。

所述基于特征碼識別檢查一個網(wǎng)絡(luò)應(yīng)用前幾個數(shù)據(jù)包的負(fù)載部分，確定是否存在預(yù)定義的應(yīng)用特征碼，并以次為依據(jù)與預(yù)定的應(yīng)用協(xié)議進(jìn)行不吻合點(diǎn)匹配；所述特征碼包括固定長度字符串、或者可變長度字符串，所述固定長度字符串或可變長度字符串用正規(guī)表達(dá)式表示。

所述基于協(xié)議解析算法識別適用于使用動態(tài)端口的網(wǎng)絡(luò)應(yīng)用，進(jìn)一步包括：1)建立描述控制會話端口的表CPT；2)如果網(wǎng)絡(luò)應(yīng)用的主端口在CPT中存在，并且沒有設(shè)置FIN標(biāo)志，則執(zhí)行步驟3)-6)；否則執(zhí)行步驟7)；3)由分派函數(shù)指派相應(yīng)的協(xié)議解析函數(shù)，對負(fù)載進(jìn)行協(xié)議分析；4)如果協(xié)議分析結(jié)果正確，則為該網(wǎng)絡(luò)應(yīng)用建立一個會話流，并且解析出后續(xù)動態(tài)會話端口；否則，該網(wǎng)絡(luò)應(yīng)用視為其他應(yīng)用；5)如果所述網(wǎng)絡(luò)應(yīng)用有二級控制會話，則依據(jù)步驟3)和4)繼續(xù)對負(fù)載進(jìn)行協(xié)議分析，直至解析出數(shù)據(jù)會話端口；6)所有屬于二級控制會話和數(shù)據(jù)會話的網(wǎng)絡(luò)包，都屬于該網(wǎng)絡(luò)應(yīng)用的所述會話流；7)如果收到Disconnect網(wǎng)絡(luò)包，或者在一定的超時時間內(nèi)會話流的數(shù)據(jù)包不再到達(dá)，則該會話流結(jié)束。