1.一種未知應用層協議自動分析方法，其特征在于：

包括對未知應用層數據所進行的采集過程和對采集到的未知應用層數據所 進行的分析過程；

所述采集過程是對網絡的主干、出入口和/或數據流的匯聚點的每個數據流 進行識別并采集未知應用層協議的數據，具體為先建立已知應用的自動機或者 正則表達式，將所述自動機或者正則表達式用于在線識別各種已知的應用，并 把不能識別的應用所對應的應用層數據保存到磁盤；

所述分析過程具體包括如下步驟：

a、對未知應用層協議的數據進行聚類分析，從采集的未知應用層數據中提 取數據流流量特征、字符串特征以及各層頭部信息特征，并用這些特征組成特 征向量進行聚類分析，把聚類得到的每個類作為一種未知應用；

b、挖掘未知應用層協議的關鍵詞，采用數據挖掘技術從每種未知應用的數 據中挖掘其協議關鍵詞和頻繁關鍵詞序列；

c、探索未知應用層協議的會話規則，采用屬于同一種未知應用的頻繁關鍵 詞序列構造一棵代表該協議會話規則的前綴樹，前綴樹中的每條連線代表一個 關鍵詞，每條路徑代表一種會話過程；

d、分析未知應用層協議的報文格式，把每個數據包的應用層數據看作一個 字符串，然后對所有字符串進行語法分析，以構造代表該未知應用層協議的報 文格式的自動機或者正則表達式；

e、預測未知應用層協議的狀態轉移關系，采用隱馬爾可夫模型參數估計算 法，以各個流的關鍵詞序列為訓練集，估計該未知應用層協議的狀態轉移概率 矩陣，以及產生包括關鍵詞、字符串長度和編碼方式的觀測值概率分布。

2.根據權利要求1所述的未知應用層協議自動分析方法，其特征在于所述 分析過程還包括對得到的自動機或者正則表達式進行有效性驗證，具體為檢驗 所述的自動機或者正則表達式接受該應用層協議的樣本流的程度，以及拒絕其 它應用層協議樣本流的程度，把經過驗證的自動機或者正則表達式用于在線識 別該應用層協議。

3.根據權利要求1所述的未知應用層協議自動分析方法，其特征在于利用 得到的未知應用層協議的隱馬爾可夫模型，對所采集的樣本流進行測量，以獲 取所有樣本的正常性分布和每個樣本的正常性，或者發現異常的樣本流。