技術領域

本發明涉及網絡安全技術，尤其涉及一種應用識別處理方法及裝置。

背景技術

隨著網絡應用層出不窮，更多更復雜的安全風險隱藏于各種網絡應用之中，例如：利用web服務安全漏洞進行的攻擊,又如一些消耗帶寬的應用，流媒體、視頻下載等，擠占正常的網絡資源，嚴重影響了企業的正常工作，網絡安全管理面臨新的挑戰和新的問題。

基于上述原因，將各種應用識別出來，對網絡管理和網絡安全至關重要，然而現有技術中缺少一種快速、精確度高的識別應用的方法。

發明內容

針對上述缺陷，本發明提供一種應用識別處理方法及裝置。

本發明一方面提供一種應用識別處理方法，包括：

對與應用對應的抓包文件進行解析，獲取各抓包文件中的會話；

對所述會話進行特征提取，獲取應用特征信息；

對所述應用特征信息進行匹配校驗，獲取與各應用特征信息對應的特征命中率；

采用命中率最高的應用特征信息，對所述應用進行識別處理。

本發明另一方面提供一種應用識別處理裝置，包括：

解析模塊，用于對與應用對應的抓包文件進行解析，獲取各抓包文件中的會話；

提取模塊，用于對所述會話進行特征提取，獲取應用特征信息；

校驗模塊，對所述應用特征信息進行匹配校驗，獲取與各應用特征信息對應的特征命中率；

識別模塊，采用命中率最高的應用特征信息，對所述應用進行識別處理。

本發明通過自動獲取應用的特征信息，并根據這些特征信息識別出相應的應用，且通過匹配校驗保證了識別應用的準確性。

附圖說明

圖1為本發明應用數據包獲取方法實施例一的流程示意圖；

圖2為本發明應用數據包獲取方法實施例二的流程示意圖；

圖3為本發明應用數據包獲取方法實施例三的流程示意圖；

圖4為本發明應用數據包獲取方法實施例四的流程示意圖；

圖5為本發明應用數據包獲取方法實施例五的流程示意圖；

圖6為本發明應用數據包獲取方法實施例六的流程示意圖；

圖7為本發明應用數據包獲取方法實施例七的流程示意圖；

圖8為本發明應用數據包獲取方法實施例八的流程示意圖；

圖9為本發明應用數據包獲取方法實施例九的流程示意圖；

圖10為本發明應用數據包獲取方法實施例十的流程示意圖；

圖11為本發明應用數據包獲取裝置實施例一的結構示意圖；

圖12為本發明應用數據包獲取裝置實施例二的結構示意圖；

圖13為本發明應用數據包獲取裝置實施例三的結構示意圖。

具體實施方式

圖1為本發明應用數據包獲取方法實施例一的流程示意圖，如圖1所示，該方法包括：

步驟10、對于應用對應的抓包文件進行解析，獲取各抓包文件中的會話；

具體實現時，首先，在指定位置遍歷所有的抓包（pcap）文件，并對這些pcap文件的名字進行解析，進而將所有pcap文件按照應用分類，獲取到與應用對應的pcap文件列表；其中，這些pcap文件是人工從大量應用中獲取后存放在上述指定位置的，每種應用都會獲取多個pcap文件，一般來說每個應用獲取5~10個pcap文件；

然后，在上述與應用對應的pcap文件列表中，每次選取一種應用的一個pcap文件進行解析，獲取該pcap文件的會話，其中，每個會話包含至少一個數據包；

步驟20、對上述會話進行特征提取，獲取應用特征信息；其中，特征是指各應用所特有的，即以后可以根據該應用的特征信息識別出該應用；

步驟30、對上述應用特征信息進行匹配校驗，獲取各應用特征信息對應的特征命中率；由于從同種應用的不同pcap文件中獲取到的特征并不唯一，需要通過校驗來判斷哪種特征或哪種特征組合的命中率最高，使后續識別該應用更加精確；這里特征命中率具體指會話命中率和數據包命中率；

步驟40、采用命中率最高的應用特征信息，對上述應用進行識別處理；上述過程中獲取的應用特征信息和校驗結果都寫入數據庫，并將校驗后特征命中率最高的特征組合或特征以及這些特征組合或特征對應的應用名稱，寫入最終的特征文件；應用識別處理是指，當網絡中的數據流量匹配到特征文件中的特征或特征組合，就可以在該特征文件中查找到匹配到的特征或特征組合對應的應用名稱，也就可以識別出對應的應用。