一種基于tcp數(shù)據(jù)包的網(wǎng)絡(luò)應(yīng)用快速發(fā)現(xiàn)方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域���,并且具體涉及一種基于TCP數(shù)據(jù)包的網(wǎng)絡(luò)應(yīng)用快速發(fā)現(xiàn)方法和系統(tǒng)���。
【背景技術(shù)】
[0002]當(dāng)前,隨著計算機(jī)網(wǎng)絡(luò)通訊的飛速發(fā)展���,網(wǎng)絡(luò)中的硬件和服務(wù)類型也隨之發(fā)展迅速�。對于網(wǎng)絡(luò)管理員��,應(yīng)用設(shè)備的狀態(tài)和應(yīng)用內(nèi)容的監(jiān)管需要一個實(shí)時高效的系統(tǒng)協(xié)助管理�。
[0003]目前,常用的網(wǎng)絡(luò)應(yīng)用管理方法有兩種:第一種方法是通過網(wǎng)絡(luò)抓包器抓取網(wǎng)絡(luò)HTTP數(shù)據(jù)包�,然后對網(wǎng)絡(luò)報文進(jìn)行特征值匹配�����。第二種方法是把應(yīng)用分析器嵌入TCP/IP協(xié)議棧流程中���,然后依靠應(yīng)用分析器,將TCP/IP協(xié)議棧與網(wǎng)絡(luò)應(yīng)用的協(xié)議棧做算法匹配����。
[0004]在上述方法中,主要存在以下缺陷:第一種方法會導(dǎo)致無法發(fā)現(xiàn)除HTTP協(xié)議外的其他網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)應(yīng)用�����,并且特征庫更新不及時會導(dǎo)致網(wǎng)絡(luò)應(yīng)用漏報����。第二種方法會打亂原有的TCP傳輸協(xié)議流程,使正常的網(wǎng)絡(luò)通信存在一定的風(fēng)險�。
【發(fā)明內(nèi)容】
[0005]針對上述現(xiàn)有技術(shù)中存在的問題,本發(fā)明的目的在于提供一種基于TCP數(shù)據(jù)包的網(wǎng)絡(luò)應(yīng)用快速發(fā)現(xiàn)方法和系統(tǒng)�����,為網(wǎng)絡(luò)管理員提供及時全面的網(wǎng)絡(luò)應(yīng)用信息�,以實(shí)現(xiàn)對現(xiàn)有網(wǎng)絡(luò)環(huán)境中應(yīng)用的及時發(fā)現(xiàn)與高效管理�����。
[0006]為了實(shí)現(xiàn)上述目的�����,本發(fā)明提出了一種基于TCP數(shù)據(jù)包的網(wǎng)絡(luò)應(yīng)用快速發(fā)現(xiàn)方法��,其包括:
[0007]步驟1:將網(wǎng)絡(luò)抓包器連接到交換機(jī)鏡像口以抓取網(wǎng)絡(luò)數(shù)據(jù)包���;
[0008]步驟2:解析步驟I中抓取的網(wǎng)絡(luò)數(shù)據(jù)包中的TCP數(shù)據(jù)包,初步分析所使用的協(xié)議��,并獲取TCP信息�����;
[0009]步驟3:將步驟2中獲取的TCP信息存儲在本地數(shù)據(jù)庫中����;
[0010]步驟4:通過應(yīng)用分析器�����、根據(jù)采集的應(yīng)用協(xié)議特征庫,使用多線程工作模式生成應(yīng)用匹配特征串并快速分析抓取的應(yīng)用類型����;
[0011]步驟5:通過探測器、根據(jù)TCP信息���,使用應(yīng)用協(xié)議特征串探測特定的網(wǎng)絡(luò)設(shè)備���;以及
[0012]步驟6:對于暫時無法匹配的網(wǎng)絡(luò)協(xié)議數(shù)據(jù),進(jìn)行目標(biāo)IP的溯源分析�����,并將分析結(jié)果所得的特征值存儲在應(yīng)用協(xié)議特征庫中�。
[0013]進(jìn)一步地,TCP信息包括源IP地址�����、源端口�、目標(biāo)IP地址、目標(biāo)端口�����、特征字中的一種或多種。
[0014]進(jìn)一步地�����,步驟6中的溯源分析包括:
[0015]探測器探測目標(biāo)IP地址所在的網(wǎng)絡(luò)環(huán)境����,以獲取防火墻狀態(tài)信息和端口信息;
[0016]探測器生成并推送掃描腳本到目標(biāo)設(shè)備����,進(jìn)一步獲取目標(biāo)設(shè)備的硬件信息、操作系統(tǒng)信息和已安裝應(yīng)用程序信息�����;
[0017]探測器收集已安裝應(yīng)用程序的所述網(wǎng)絡(luò)數(shù)據(jù)包,并統(tǒng)計應(yīng)用程序所使用的網(wǎng)絡(luò)協(xié)議的特征信息�;以及
[0018]探測器將從統(tǒng)計到的網(wǎng)絡(luò)協(xié)議的特征信息中提取應(yīng)用協(xié)議,并將應(yīng)用協(xié)議存儲在應(yīng)用協(xié)議特征庫中�����。
[0019]進(jìn)一步地���,探測器掃描源IP地址�����,獲取軟件安裝信息����。
[0020]進(jìn)一步地,步驟5中���,根據(jù)源IP地址和源端口��,使用應(yīng)用協(xié)議特征串探測特定的網(wǎng)絡(luò)設(shè)備��。
[0021]基于上述方法�����,本發(fā)明還提出了一種基于TCP數(shù)據(jù)包的網(wǎng)絡(luò)應(yīng)用快速發(fā)現(xiàn)系統(tǒng)�����,其包括網(wǎng)絡(luò)抓包器�����、應(yīng)用分析器和探測器��,其中:
[0022]網(wǎng)絡(luò)抓包器連接到交換機(jī)鏡像端口以抓取網(wǎng)絡(luò)數(shù)據(jù)包并將網(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)綉?yīng)用分析器��;
[0023]應(yīng)用分析器連接在網(wǎng)絡(luò)抓包器和探測器之間�,用于獲取網(wǎng)絡(luò)抓包器抓取的數(shù)據(jù)包、使用多線程工作模式根據(jù)采集的應(yīng)用協(xié)議特征庫生成應(yīng)用匹配特征串�,并快速分析抓取的網(wǎng)絡(luò)應(yīng)用類型。
[0024]探測器連接在應(yīng)用分析器輸出端口�,用于網(wǎng)絡(luò)設(shè)備探測和溯源分析,并將暫時無法匹配的網(wǎng)絡(luò)協(xié)議數(shù)據(jù)進(jìn)行目標(biāo)IP地址的溯源分析���,將溯源分析結(jié)果存儲在應(yīng)用協(xié)議特征庫中����。
[0025]進(jìn)一步地�����,溯源分析是對采用未知協(xié)議發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包的源頭進(jìn)行采樣分析�,通過使用網(wǎng)絡(luò)探測器統(tǒng)計探測信息并得到特征值����,具體包括:
[0026]探測器探測目標(biāo)IP地址所在的網(wǎng)絡(luò)環(huán)境��,以獲取防火墻狀態(tài)信息和端口信息���;
[0027]探測器生成并推送掃描腳本到目標(biāo)設(shè)備,進(jìn)一步獲取目標(biāo)設(shè)備的硬件信息�����、操作系統(tǒng)信息���、已安裝應(yīng)用程序信息�����;
[0028]探測器收集安裝應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)包����,并統(tǒng)計應(yīng)用程序所使用的網(wǎng)絡(luò)協(xié)議的特征信息��;以及
[0029]探測器將從統(tǒng)計到的網(wǎng)絡(luò)協(xié)議的特征信息中提取應(yīng)用協(xié)議�,并將應(yīng)用協(xié)議存儲在應(yīng)用協(xié)議特征庫中。
[0030]本發(fā)明解決了網(wǎng)絡(luò)應(yīng)用監(jiān)管不及時�����、不全面的問題,可以幫助網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)�。本發(fā)明具有很好的性能和準(zhǔn)確性,可廣泛應(yīng)用于網(wǎng)絡(luò)管理產(chǎn)品��。此外����,本發(fā)明抓取TCP數(shù)據(jù)包可以全面分析網(wǎng)絡(luò)應(yīng)用,所采取的交換機(jī)旁路模式��,以不影響原網(wǎng)絡(luò)為出發(fā)點(diǎn)����,同時使用溯源分析方法,能夠智能發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用�。
【附圖說明】
[0031]圖1為本發(fā)明的基于TCP數(shù)據(jù)包的網(wǎng)絡(luò)應(yīng)用快速發(fā)現(xiàn)系統(tǒng)的示意圖;
[0032]圖2為本發(fā)明的基于TCP數(shù)據(jù)包的網(wǎng)絡(luò)應(yīng)用快速發(fā)現(xiàn)方法和系統(tǒng)所使用的溯源分析的流程示意圖��。
【具體實(shí)施方式】
[0033]為了使本發(fā)明的目的���、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,下面結(jié)合附圖�����,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明��。應(yīng)當(dāng)理解��,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明�����,并不用于限定本發(fā)明��。
[0034]如圖1所示���,本發(fā)明的基于TCP數(shù)據(jù)包的網(wǎng)絡(luò)應(yīng)用快速發(fā)現(xiàn)系統(tǒng),其包括網(wǎng)絡(luò)抓包器�����、應(yīng)用分析器�����、探測器��,其中:網(wǎng)絡(luò)抓包器連接到交換機(jī)鏡像端口,即以交換機(jī)旁路模式在不影響原網(wǎng)絡(luò)的情況下抓取網(wǎng)絡(luò)數(shù)據(jù)包���,解析網(wǎng)絡(luò)數(shù)據(jù)包中的TCP數(shù)據(jù)包����,初步分析所使用的協(xié)議�,獲取TCP信息,包括源IP地址����、源端口、目標(biāo)IP地址���、目標(biāo)端口����、特征字���,并將TCP信息存儲在本地數(shù)據(jù)庫中以用于快速查找分析應(yīng)用協(xié)議�����、取證業(yè)務(wù)等;應(yīng)用分析器連接在網(wǎng)絡(luò)抓包器和探測器之間�����,用于獲取網(wǎng)絡(luò)抓包器抓取的數(shù)據(jù)包���、使用多線程工作模式根據(jù)采集的應(yīng)用協(xié)議特征庫生成應(yīng)用匹配特征串、并快速分析抓取的網(wǎng)絡(luò)應(yīng)用類型;探測器連接在應(yīng)用分析器輸出端口�,用于網(wǎng)絡(luò)設(shè)備探測和溯源分析,根據(jù)源IP地址和端口使用應(yīng)用協(xié)議特征串探測特定的網(wǎng)絡(luò)設(shè)備�,并將暫時無法匹配的網(wǎng)絡(luò)協(xié)議數(shù)據(jù)進(jìn)行目標(biāo)IP地址的溯源分析,將溯源分析結(jié)果存儲在應(yīng)用協(xié)議特征庫中���。
[0035]如圖2所示�,溯源分析是對采用未知協(xié)議發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包的源頭進(jìn)行采樣分析��,通過使用探測器統(tǒng)計探測信息并得到特征值����,具體包括:
[0036]針對未知協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包,探測器探測目標(biāo)IP地址所在的網(wǎng)絡(luò)環(huán)境�����,以獲取防火墻狀態(tài)息和端口 ig息��;
[0037]探測器生成并推送掃描腳本到目標(biāo)設(shè)備,進(jìn)一步獲取目標(biāo)設(shè)備的硬件信息��、操作系統(tǒng)信息���、已安裝應(yīng)用程序信息�;
[0038]探測器收集安裝應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)包�����,并統(tǒng)計安裝應(yīng)用程序所使用的網(wǎng)絡(luò)協(xié)議的特征信息�����;以及
[0039]探測器從統(tǒng)計到的網(wǎng)絡(luò)協(xié)議的特征信息中提取應(yīng)用協(xié)議并將應(yīng)用協(xié)議存儲在應(yīng)用協(xié)議特征庫中�����。
[0040]可選地��,探測器掃描源IP地址�,獲取軟件安裝信息;
[0041]本發(fā)明公開的基于TCP數(shù)據(jù)包的網(wǎng)絡(luò)應(yīng)用快速發(fā)現(xiàn)方法包括:將網(wǎng)絡(luò)抓包器連接到交換機(jī)鏡像口��,即采用交換機(jī)旁路模式,在不影響網(wǎng)絡(luò)數(shù)據(jù)包正常流通的