專利名稱：一種用戶自定義的應(yīng)用識別方法及其設(shè)備的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種應(yīng)用識別技術(shù)，尤其涉及一種用戶自定義的應(yīng)用識別方法及其設(shè)備。
背景技術(shù)：
數(shù)據(jù)簽名(Digital Signature)技術(shù)是不對稱加密算法的典型應(yīng)用，數(shù)字簽名的過程是數(shù)據(jù)源發(fā)送方使用自己的私鑰對數(shù)據(jù)校驗和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進行加密處理，完成對數(shù)據(jù)的合法“簽名”，數(shù)據(jù)接收方則利用對方的公鑰來解讀收到的“數(shù)字簽名”，并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗，以確認(rèn)簽名的合法性。數(shù)字簽名被用來鑒別應(yīng)用和協(xié)議特征的唯一性的手段，當(dāng)一個新的應(yīng)用及協(xié)議被發(fā)明，同樣會有相應(yīng)的簽名，這個簽名會被識別和添加到簽名數(shù)據(jù)庫中。同樣簽名也是會不斷變化的，比如一個應(yīng)用每升級一新的版本，可能就會有新的簽名，如果應(yīng)用在升級，而應(yīng)用層的網(wǎng)絡(luò)流控設(shè)備簽名特征庫不被更新的話，應(yīng)用及協(xié)議就不能被應(yīng)用層網(wǎng)絡(luò)流控設(shè)備準(zhǔn)確識別。隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，承載在互聯(lián)網(wǎng)上的新增應(yīng)用也隨之層出不窮，針對互聯(lián)網(wǎng)上的新增應(yīng)用的應(yīng)用協(xié)議類型識別缺乏一種快速的反饋機制，將導(dǎo)致新增應(yīng)用不能得到快速有效的支持。然而，實際操作中應(yīng)用層網(wǎng)絡(luò)流控設(shè)備簽名特征庫需要專業(yè)人員對其進行周期性的更新，操作繁瑣、處理效率低。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種快捷有效、識別范圍廣泛、處理效率高、操作靈活的用戶自定義的應(yīng)用識別方法及其設(shè)備。本發(fā)明一方面提供了一種用戶自定義的應(yīng)用識別方法，該方法包括以下步驟步驟A，對待分析應(yīng)用進行抓包；步驟B，提取數(shù)據(jù)包中的應(yīng)用簽名特征；步驟C，對所述應(yīng)用簽名特征進行編譯；步驟D，加載所述編譯后的簽名特征。本發(fā)明第二方面提供了一種用戶自定義的應(yīng)用識別設(shè)備。該設(shè)備包括抓包模塊、 簽名提取模塊、簽名編譯模塊、簽名加載模塊和應(yīng)用識別測試模塊。其中簽名抓包模塊用于獲取數(shù)據(jù)包；簽名提取模塊用于提取數(shù)據(jù)包負(fù)載里的簽名；簽名編譯模塊用于對簽名特征進行編譯；簽名加載模塊用于加載編譯后的簽名；應(yīng)用識別測試模塊用于測試應(yīng)用能否被識別。本發(fā)明通過應(yīng)用簽名自動提取直接應(yīng)用于用戶的環(huán)境，由用戶來操作，實現(xiàn)簽名自動提取，生效以達到及時處理未識別應(yīng)用，本發(fā)明識別范圍廣泛、處理效率高、可實現(xiàn)性強，可作為網(wǎng)絡(luò)流控設(shè)備功能實現(xiàn)，可用于策略中的網(wǎng)絡(luò)應(yīng)用控制、帶寬管理，并可進行網(wǎng)絡(luò)應(yīng)用時監(jiān)控。


3
本發(fā)明的示例性實施例將從下文中給出的詳細(xì)說明和本發(fā)明不同實施例的附圖中被更完全地理解，然而這不應(yīng)該被視為將本發(fā)明限制于具體的實施例，而應(yīng)該只是為了解釋和理解。圖1為本發(fā)明的原理示意圖；圖2為本發(fā)明一實施例的用戶自定義的識別方法流程圖；圖3為本發(fā)明一實施例的用戶自定義的識別網(wǎng)絡(luò)流控設(shè)備結(jié)構(gòu)圖。
具體實施例方式本領(lǐng)域的普通技術(shù)人員將意識到，所述示例性實施例的下述詳細(xì)說明僅僅是說明性的，并且不是意在以任何方式加以限制。圖1為本發(fā)明的原理示意圖。在圖1中，主機1中運行的應(yīng)用程序通過網(wǎng)絡(luò)流控設(shè)備2與應(yīng)用服務(wù)器2進行交互。網(wǎng)絡(luò)流控設(shè)備2對主機1中運行的應(yīng)用進行識別和監(jiān)控。當(dāng)包括應(yīng)用程序信息的數(shù)據(jù)包流徑網(wǎng)絡(luò)流控設(shè)備2時，網(wǎng)絡(luò)流控設(shè)備2將獲取數(shù)據(jù)包中的應(yīng)用簽名特征與設(shè)備中的簽名特征庫進行配比，通過配比結(jié)果來判斷應(yīng)用是否被網(wǎng)絡(luò)流控設(shè)備2所識別。圖2為本發(fā)明一實施例的用戶自定義的識別方法流程圖。在步驟S201，流程開始。在步驟S202，對待分析應(yīng)用進行抓包，針對網(wǎng)絡(luò)流控設(shè)備對來自主機端的無法識別的應(yīng)用進行抓包，優(yōu)選地，可以通過主機端進行抓包操作，然后將獲取的數(shù)據(jù)包加載到網(wǎng)絡(luò)流控設(shè)備所提供的接口中。在一個例子中，當(dāng)網(wǎng)絡(luò)流控設(shè)備中的簽名庫特征記錄的是MSW3. 0版本的簽名， 如果用戶將MSW3. 0版本升級到了 MSW4. 0版本后，相應(yīng)的簽名也隨之更新，而流控設(shè)備中的簽名特征庫記錄的MSN簽名特征未及時更新，當(dāng)用戶通過MSW4.0版本進行登入操作時， 由于的簽名沒有記載在網(wǎng)絡(luò)流控設(shè)備中的簽名特征庫中，導(dǎo)致MSW4. 0版本未被流控設(shè)備準(zhǔn)確識別。在MSW4. 0版本不能被流控設(shè)備識別時，用戶需要對該應(yīng)用進行抓包，以提取該應(yīng)用的簽名，以達到及時處理未識別應(yīng)用的目的。在步驟S203，提取步驟S202所獲取的數(shù)據(jù)包中的應(yīng)用簽名，對于數(shù)據(jù)包簽名的提取可以采用GSM rule (通用簽名匹配規(guī)則)、PDC content (內(nèi)容解碼器)、tuple (五元組信息)和PATTERN(應(yīng)用包長模式匹配)的方法來實現(xiàn)。在上一個例子中，在對應(yīng)用進行多次抓包后，記錄數(shù)據(jù)包的共性特征來獲取該應(yīng)用的簽名，由于在數(shù)據(jù)傳輸過程中必定會出現(xiàn)且具有穩(wěn)定的形態(tài)，優(yōu)先選擇會重復(fù)出現(xiàn)的特征字長串，例如針對MSW4. 0版本進行抓包后所獲取的數(shù)據(jù)包固定包長。在另一個例子中，通過數(shù)據(jù)包TRACE方法提取PPLIVE應(yīng)用層簽名特征為例說明。當(dāng)對PPLIVE應(yīng)用進行多次抓包時，通過跟蹤分析它的TCP建立連接后第一個報文只有 4BYTE的數(shù)據(jù)，內(nèi)容為**、0Χ00、0Χ00和0X00.其中**表示非0.而通過跟蹤分析它的UDP 連接的每個報文，其大量報文首部字節(jié)為0XE9、0X03、**、**、0X98和0ΧΑΒ，其中**表示任意字節(jié)。因此提取PPLIVE的簽名特征如下UTCP數(shù)據(jù)傳輸?shù)暮灻卣?。TCP建立連接后第一個報文只有4BYTE的數(shù)據(jù)，內(nèi)容為**、0Χ00、0Χ00和0X00.其中**表示非0.
2、UDP數(shù)據(jù)傳輸?shù)暮灻卣?。報文?字節(jié)為0XE9、0X03、#、#、0X98和0ΧΑΒ，
其中**表示任意字節(jié)。在步驟S204，對在步驟S203中提取的應(yīng)用簽名進行編譯，配制簽名相應(yīng)的信息， 如簽名的的標(biāo)識、描述等信息。在步驟S205，將編譯后的簽名加載到網(wǎng)絡(luò)流控設(shè)備簽名特征庫中。在步驟S206，對待分析應(yīng)用進行識別測試，如果待分析應(yīng)用的簽名特征的標(biāo)識及描述等信息與編譯后的簽名標(biāo)識、描述信息比對一致，則測試成功，進入步驟S207分析結(jié)束，否則返回到步驟S201中。在步驟S207，流程結(jié)束。圖3為本發(fā)明一實施例的用戶自定義的識別網(wǎng)絡(luò)流控設(shè)備結(jié)構(gòu)圖。301表示抓包模塊，302表示簽名提取模塊，303表示簽名編譯模塊、304表示簽名加載模塊，305表示應(yīng)用測試模塊，以及306表示簽名特征庫。抓包模塊301用于在應(yīng)用無法被網(wǎng)絡(luò)流控設(shè)備所識別的情況下對其執(zhí)行抓包操作。簽名提取模塊302用于提取抓包模塊301所獲取的數(shù)據(jù)包中的應(yīng)用簽名。簽名編譯模塊303用于對簽名提取模塊302所獲取的簽名進行編譯，編輯簽名相應(yīng)的基本信息，如簽名的的標(biāo)識、描述等信息。簽名加載模塊304用于加載由簽名編譯模塊303編譯后的簽名，將經(jīng)過編譯的簽名加載到流控設(shè)備簽名特征庫306中。應(yīng)用識別測試模塊305用于測試應(yīng)用能否被識別，對待分析應(yīng)用進行識別測試， 如果待分析應(yīng)用的簽名特征的標(biāo)識及描述等信息與編譯后的簽名標(biāo)識、描述信息比對一致，則測試成功，否則返回到抓包模塊301。需要說明的是，該網(wǎng)絡(luò)流控設(shè)備可以是一個獨立的網(wǎng)絡(luò)設(shè)備，也可以是以一個模塊形式存儲在于網(wǎng)關(guān)、上網(wǎng)行為管理等網(wǎng)絡(luò)設(shè)備中。盡管已經(jīng)示出并描述了本發(fā)明的特殊實施例，然而在不背離本發(fā)明的示例性實施例及其更寬廣方面的前提下，本領(lǐng)域技術(shù)人員顯然可以基于此處的教學(xué)做出變化和修改。 因此，所附的權(quán)利要求意在將所有這類不背離本發(fā)明的示例性實施例的真實精神和范圍的變化和更改包含在其范圍之內(nèi)。
權(quán)利要求
1.一種用戶自定義的應(yīng)用識別方法，其特征在于，包括以下步驟 步驟A，對來自主機端的待分析應(yīng)用進行抓包；步驟B，提取數(shù)據(jù)包中的應(yīng)用簽名特征； 步驟C，對所述應(yīng)用簽名特征進行編譯； 步驟D，加載所述編譯后的簽名特征。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于所述對待分析應(yīng)用進行抓包的步驟A包括在主機端對待分析應(yīng)用進行抓包操作。
3.根據(jù)權(quán)利要求1所述的方法，其特征在于所述步驟D加載所述編譯后的簽名特征還需要通過測試步驟判斷是否被成功識別。
4.根據(jù)權(quán)利要求1所述的方法，其特征在于所述步驟B提取數(shù)據(jù)包中的應(yīng)用簽名特征包括通過應(yīng)用包長模式匹配方式提取簽名特征。
5.根據(jù)權(quán)利要求1所述的方法，其特征在于所述步驟B提取數(shù)據(jù)包中的應(yīng)用簽名特征包括記錄數(shù)據(jù)包中的共性特征來提取簽名。
6.根據(jù)權(quán)利要求1所述的方法，其特征在于所述步驟C對所述應(yīng)用簽名特征進行編譯包括對所述應(yīng)用簽名特征的標(biāo)識和描述進行配制。
7.根據(jù)權(quán)利要求1所述的方法，其特征在于所述步驟D加載所述編譯后的簽名特征包括對所述編譯后的簽名特征添加到簽名特征庫中。
8.一種用戶自定義的應(yīng)用識別設(shè)備，其特征在于包括 抓包模塊，用于獲取數(shù)據(jù)包；簽名提取模塊，用于提取數(shù)據(jù)包負(fù)載里的簽名； 簽名編譯模塊，用于對簽名特征進行編譯； 簽名加載模塊，用于加載編譯后的簽名； 應(yīng)用識別測試模塊，用于測試應(yīng)用能否被識別。
全文摘要
本發(fā)明公開了一種用戶自定義的應(yīng)用識別方法及其設(shè)備，所述方法包括以下步驟步驟A，對待分析應(yīng)用進行抓包；步驟B，提取數(shù)據(jù)包中的應(yīng)用簽名特征；步驟C，對所述應(yīng)用簽名特征進行編譯；步驟D，加載所述編譯后的簽名特征。所述設(shè)備包括抓包模塊、簽名提取模塊、簽名編譯模塊、簽名加載模塊和應(yīng)用識別測試模塊。其中抓包模塊用于獲取數(shù)據(jù)包，簽名提取模塊用于提取數(shù)據(jù)包負(fù)載里的簽名，簽名編譯模塊用于對簽名特征進行編譯，簽名加載模塊用于加載編譯后的簽名，應(yīng)用識別測試模塊，用于測試應(yīng)用能否被識別。本發(fā)明識別范圍廣泛、準(zhǔn)確率高、可擴展性好，可作為網(wǎng)絡(luò)設(shè)備功能實現(xiàn)。
文檔編號H04L29/06GK102209032SQ20111013509
公開日2011年10月5日 申請日期2011年5月24日 優(yōu)先權(quán)日2011年5月24日
發(fā)明者崔淵博, 陳振昌 申請人:北京網(wǎng)康科技有限公司