一種識別軟件種類的方法及系統技術方案

本發明專利技術提供了一種識別軟件種類的方法及系統，先在網絡接入位置采集上網設備訪問外部網絡時產生的網絡數據包，再獲取所述網絡數據包中包含的軟件的特征碼，之后根據所述特征碼識別出與所述特征碼相匹配的軟件種類。因此，本發明專利技術所述識別軟件種類的方法及系統，無需安裝客戶端，即可在網絡接入位置采集網絡數據包，在犯罪嫌疑人沒有任何察覺的情況下就可以監控到其上網設備所安裝的上網軟件，提高了網絡犯罪案件的偵破率。

【技術實現步驟摘要】
一種識別軟件種類的方法及系統
本專利技術涉及一種數據采集處理技術，具體地說涉及一種識別軟件種類的方法及系統。
技術介紹
基于國家安全的需要，在某些案件的偵破過程中需要識別某些上網設備所使用的軟件種類?，F有技術中，實現識別上網設備所使用的軟件種類的方法，主要是通過在上網設備上安裝客戶端來實現的，比如殺病毒軟件，防火墻個人版等。但這種安裝客戶端的方式的弊端是顯而易見的，有很多有犯罪意圖的犯罪嫌疑人往往具備很強的網絡防偵查意識，不會隨意安裝客戶端，當然也就無法通過安裝客戶端的方式來識別其上網設備所使用的軟件種類了。
技術實現思路
為此，本專利技術所要解決的技術問題在于現有技術中需要在上網設備上安裝客戶端才能對上網設備所使用的軟件種類進行識別。為解決上述技術問題，本專利技術的技術方案如下：本專利技術提供了一種識別軟件種類的方法，包括：在網絡接入位置采集上網設備訪問外部網絡時產生的網絡數據包；獲取所述網絡數據包中包含的軟件的特征碼；根據所述特征碼識別出與所述特征碼相匹配的軟件種類。本專利技術所述的識別軟件種類的方法，所述在網絡接入位置采集上網設備訪問外部網絡時產生的網絡數據包包括：當網絡接入位置為大型或者高速網絡的主干節點時，采用數據鏡像的方式采集上網設備訪問外部網絡時產生的網絡數據包；當網絡接入位置為局域網的出入口時，采用數據包嗅探的方式采集上網設備訪問外部網絡時產生的網絡數據包。本專利技術所述的識別軟件種類的方法，所述獲取所述網絡數據包中包含的軟件的特征碼包括：通過協議分析技術對所述網絡數據包進行還原,獲取原始數據；從所述原始數據中提取出所述特征碼。本專利技術所述的識別軟件種類的方法，所述根據所述特征碼獲取與所述特征碼相匹配的軟件種類包括：建立軟件特征庫，所述軟件特征庫中包含軟件的特征碼與軟件種類間的對應關系；從所述軟件特征庫查詢出與從采集的網絡數據包中獲取的軟件的特征碼相匹配的軟件種類。本專利技術還提供了一種識別軟件種類的系統，包括：采集單元，用于在網絡接入位置采集上網設備訪問外部網絡時產生的網絡數據包；特征碼獲取單元，用于獲取所述網絡數據包中包含的軟件的特征碼；識別單元，用于根據所述特征碼識別出與所述特征碼相匹配的軟件種類。本專利技術所述的識別軟件種類的系統，所述采集單元包括：第一采集子單元，用于當網絡接入位置為大型或者高速網絡的主干節點時，采用數據鏡像的方式采集上網設備訪問外部網絡時產生的網絡數據包；第二采集子單元，用于當網絡接入位置為局域網的出入口時，采用數據包嗅探的方式采集上網設備訪問外部網絡時產生的網絡數據包。本專利技術所述的識別軟件種類的系統，所述特征碼獲取單元包括：還原子單元，用于通過協議分析技術對所述網絡數據包進行還原,獲取原始數據；提取子單元，用于從所述原始數據中提取出所述特征碼。本專利技術所述的識別軟件種類的系統，所述識別單元包括：特征庫子單元，用于建立軟件特征庫，所述軟件特征庫中包含軟件的特征碼與軟件種類間的對應關系；查詢子單元，用于從所述軟件特征庫查詢出與從采集的網絡數據包中獲取的軟件的特征碼相匹配的軟件種類。本專利技術的上述技術方案相比現有技術具有以下優點：本專利技術提供了一種識別軟件種類的方法及系統，先在網絡接入位置采集上網設備訪問外部網絡時產生的網絡數據包，再獲取所述網絡數據包中包含的軟件的特征碼，之后根據所述特征碼識別出與所述特征碼相匹配的軟件種類。因此，本專利技術的識別軟件種類的方法及系統，無需安裝客戶端，即可在網絡接入位置采集網絡數據包，在犯罪嫌疑人沒有任何察覺的情況下就可以監控到其上網設備所安裝的上網軟件，提高了網絡犯罪案件的偵破率。附圖說明為了使本專利技術的內容更容易被清楚的理解，下面根據本專利技術的具體實施例并結合附圖，對本專利技術作進一步詳細的說明，其中圖1是本專利技術所述識別軟件種類的方法的步驟框圖；圖2是本專利技術所述識別軟件種類的方法中各步驟的具體流程圖；圖3是本專利技術所述識別軟件種類的系統的結構框圖。圖中附圖標記表示為：1-采集單元，2-特征碼獲取單元，3-識別單元，11-第一采集子單元，12-第二采集子單元，21-還原子單元，22-提取子單元，31-特征庫子單元，32-查詢子單元。具體實施方式實施例1本實施例提供了一種識別軟件種類的方法，如圖1所示，包括：S1.在網絡接入位置采集上網設備訪問外部網絡時產生的網絡數據包；當上網設備上的軟件運行并連接到外部網絡時，就可以在網絡接入位置采集到包含上網設備運行軟件的特征碼的網絡數據包了。S2.獲取所述網絡數據包中包含的軟件的特征碼；S3.根據所述特征碼識別出與所述特征碼相匹配的軟件種類。具體地，可以先存儲采集的網絡數據包，再對存儲的網絡數據包執行上述識別軟件種類的操作以識別出上網設備運行的軟件種類并存儲；也可以先執行上述識別軟件種類的操作，再將識別出的上網設備運行的軟件種類進行存儲?？傊瑢祿拇鎯梢栽谧R別之前進行，也可以在識別之后進行，可以根據具體的網絡環境選擇適合的存儲方式，方式靈活。本實施例所述識別軟件種類的方法，無需安裝客戶端，即可在網絡接入位置采集網絡數據包，在犯罪嫌疑人沒有任何察覺的情況下就可以監控到其上網設備所安裝的上網軟件，提高了網絡犯罪案件的偵破率。優選地，如圖2所示，所述步驟S1可以包括：S11.當網絡接入位置為大型或者高速網絡的主干節點時，采用數據鏡像的方式采集上網設備訪問外部網絡時產生的網絡數據包；采用數據鏡像的方式可以把網絡數據包復制存儲起來用于后期的分析，適用于信息量大的情況，不會遺漏任何數據信息。S12.當網絡接入位置為局域網的出入口時，采用數據包嗅探的方式采集上網設備訪問外部網絡時產生的網絡數據包。采用數據包嗅探的方式可以接收一切通過局域網的出入口的網絡數據包,而不管網絡數據包是傳輸到哪里的，數據包嗅探常見的工作模式有鏡像、橋接、網關等模式。優選地，可以將捕獲到的網絡數據包(數據流)按照一定規律進行篩選過濾，比如可以過濾掉木馬很少使用的通信協議數據包，如DNS協議，SMTP協議等，以提高數據處理速度。優選地，如圖2所示，所述步驟S2可以包括：S21.通過協議分析技術對所述網絡數據包進行還原,獲取原始數據，比如可以用TCP/IP協議分析技術或者UDP協議分析技術來對所述網絡數據包進行還原來獲取原始數據；S22.從所述原始數據中提取出所述特征碼。具體地，步驟S21中，通過TCP/IP協議分析技術，可以對網絡數據包進行還原，獲取上網設備的ip、端口以及特征碼等信息(原始數據)，步驟S22中，從原始數據中就可以提取出上網設備運行軟件的特征碼了，非常便捷。優選地，如圖2所示，所述步驟S3可以包括：S31.建立軟件特征庫，所述軟件特征庫中包含軟件的特征碼與軟件種類間的對應關系；S32.從所述軟件特征庫查詢出與從采集的網絡數據包中獲取的軟件的特征碼相匹配的軟件種類。具體地，步驟S31中，可以先構建一個識別環境，對上網設備在運行某一軟件訪問外部網絡時產生的網絡數據包進行分析，記錄辨別出能唯一描述該款軟件的關鍵特征信息，作為特征碼保存起來，重復采用上述方式，就可以建立起包含軟件的特征碼與軟件種類間的對應關系的軟件特征庫了；步驟S32中，只要從網絡數據包中提取到了與軟件特征庫中某一個軟件種類相匹配的特征碼，就可以判定上網設備中安裝了該款軟件，非常便捷。實施例2本本文檔來自技高網...

【技術保護點】
一種識別軟件種類的方法，其特征在于，包括：在網絡接入位置采集上網設備訪問外部網絡時產生的網絡數據包；獲取所述網絡數據包中包含的軟件的特征碼；根據所述特征碼識別出與所述特征碼相匹配的軟件種類。

【技術特征摘要】
1.一種識別軟件種類的方法，其特征在于，包括：在網絡接入位置采集上網設備訪問外部網絡時產生的網絡數據包，當網絡接入位置為大型或者高速網絡的主干節點時，采用數據鏡像的方式采集上網設備訪問外部網絡時產生的網絡數據包；篩選過濾掉所述網絡數據包中木馬病毒施種率低的網絡數據包；獲取所述網絡數據包中包含的軟件的特征碼；根據所述特征碼識別出與所述特征碼相匹配的軟件種類。2.根據權利要求1所述的識別軟件種類的方法，其特征在于，所述在網絡接入位置采集上網設備訪問外部網絡時產生的網絡數據包還包括：當網絡接入位置為局域網的出入口時，采用數據包嗅探的方式采集上網設備訪問外部網絡時產生的網絡數據包。3.根據權利要求1所述的識別軟件種類的方法，其特征在于，所述獲取所述網絡數據包中包含的軟件的特征碼包括：通過協議分析技術對所述網絡數據包進行還原,獲取原始數據；從所述原始數據中提取出所述特征碼。4.根據權利要求1所述的識別軟件種類的方法，其特征在于，所述根據所述特征碼獲取與所述特征碼相匹配的軟件種類包括：建立軟件特征庫，所述軟件特征庫中包含軟件的特征碼與軟件種類間的對應關系；從所述軟件特征庫查詢出與從采集的網絡數據包中獲取的軟件的特征碼相匹配的軟件種類。5.一種識別軟件種類的系統，其特征在于，包括：采集單元(1)，用于在網絡接入位...

【專利技術屬性】
技術研發人員：孫偉力，隋海榮，
申請(專利權)人：北京盛世光明軟件股份有限公司，
類型：發明
國別省市：北京;11