CN104657657B - 一种识别软件种类的方法及系统 - Google Patents
一种识别软件种类的方法及系统 Download PDFInfo
- Publication number
- CN104657657B CN104657657B CN201510075278.XA CN201510075278A CN104657657B CN 104657657 B CN104657657 B CN 104657657B CN 201510075278 A CN201510075278 A CN 201510075278A CN 104657657 B CN104657657 B CN 104657657B
- Authority
- CN
- China
- Prior art keywords
- software
- network
- network packet
- surfing
- document information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种识别软件种类的方法及系统,先在网络接入位置采集上网设备访问外部网络时产生的网络数据包,再获取所述网络数据包中包含的软件的特征码,之后根据所述特征码识别出与所述特征码相匹配的软件种类。因此,本发明所述识别软件种类的方法及系统,无需安装客户端,即可在网络接入位置采集网络数据包,在犯罪嫌疑人没有任何察觉的情况下就可以监控到其上网设备所安装的上网软件,提高了网络犯罪案件的侦破率。
Description
技术领域
本发明涉及一种数据采集处理技术,具体地说涉及一种识别软件种类的方法及系统。
背景技术
基于国家安全的需要,在某些案件的侦破过程中需要识别某些上网设备所使用的软件种类。
现有技术中,实现识别上网设备所使用的软件种类的方法,主要是通过在上网设备上安装客户端来实现的,比如杀病毒软件,防火墙个人版等。
但这种安装客户端的方式的弊端是显而易见的,有很多有犯罪意图的犯罪嫌疑人往往具备很强的网络防侦查意识,不会随意安装客户端,当然也就无法通过安装客户端的方式来识别其上网设备所使用的软件种类了。
发明内容
为此,本发明所要解决的技术问题在于现有技术中需要在上网设备上安装客户端才能对上网设备所使用的软件种类进行识别。
为解决上述技术问题,本发明的技术方案如下:
本发明提供了一种识别软件种类的方法,包括:
在网络接入位置采集上网设备访问外部网络时产生的网络数据包;
获取所述网络数据包中包含的软件的特征码;
根据所述特征码识别出与所述特征码相匹配的软件种类。
本发明所述的识别软件种类的方法,所述在网络接入位置采集上网设备访问外部网络时产生的网络数据包包括:
当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;
当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。
本发明所述的识别软件种类的方法,所述获取所述网络数据包中包含的软件的特征码包括:
通过协议分析技术对所述网络数据包进行还原,获取原始数据;
从所述原始数据中提取出所述特征码。
本发明所述的识别软件种类的方法,所述根据所述特征码获取与所述特征码相匹配的软件种类包括:
建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;
从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。
本发明还提供了一种识别软件种类的系统,包括:
采集单元,用于在网络接入位置采集上网设备访问外部网络时产生的网络数据包;
特征码获取单元,用于获取所述网络数据包中包含的软件的特征码;
识别单元,用于根据所述特征码识别出与所述特征码相匹配的软件种类。
本发明所述的识别软件种类的系统,所述采集单元包括:
第一采集子单元,用于当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;
第二采集子单元,用于当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。
本发明所述的识别软件种类的系统,所述特征码获取单元包括:
还原子单元,用于通过协议分析技术对所述网络数据包进行还原,获取原始数据;
提取子单元,用于从所述原始数据中提取出所述特征码。
本发明所述的识别软件种类的系统,所述识别单元包括:
特征库子单元,用于建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;
查询子单元,用于从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。
本发明的上述技术方案相比现有技术具有以下优点:
本发明提供了一种识别软件种类的方法及系统,先在网络接入位置采集上网设备访问外部网络时产生的网络数据包,再获取所述网络数据包中包含的软件的特征码,之后根据所述特征码识别出与所述特征码相匹配的软件种类。因此,本发明的识别软件种类的方法及系统,无需安装客户端,即可在网络接入位置采集网络数据包,在犯罪嫌疑人没有任何察觉的情况下就可以监控到其上网设备所安装的上网软件,提高了网络犯罪案件的侦破率。
附图说明
为了使本发明的内容更容易被清楚的理解,下面根据本发明的具体实施例并结合附图,对本发明作进一步详细的说明,其中
图1是本发明所述识别软件种类的方法的步骤框图;
图2是本发明所述识别软件种类的方法中各步骤的具体流程图;
图3是本发明所述识别软件种类的系统的结构框图。
图中附图标记表示为:1-采集单元,2-特征码获取单元,3-识别单元,11-第一采集子单元,12-第二采集子单元,21-还原子单元,22-提取子单元,31-特征库子单元,32-查询子单元。
具体实施方式
实施例1
本实施例提供了一种识别软件种类的方法,如图1所示,包括:
S1.在网络接入位置采集上网设备访问外部网络时产生的网络数据包;当上网设备上的软件运行并连接到外部网络时,就可以在网络接入位置采集到包含上网设备运行软件的特征码的网络数据包了。
S2.获取所述网络数据包中包含的软件的特征码;
S3.根据所述特征码识别出与所述特征码相匹配的软件种类。
具体地,可以先存储采集的网络数据包,再对存储的网络数据包执行上述识别软件种类的操作以识别出上网设备运行的软件种类并存储;也可以先执行上述识别软件种类的操作,再将识别出的上网设备运行的软件种类进行存储。总之,对数据的存储可以在识别之前进行,也可以在识别之后进行,可以根据具体的网络环境选择适合的存储方式,方式灵活。
本实施例所述识别软件种类的方法,无需安装客户端,即可在网络接入位置采集网络数据包,在犯罪嫌疑人没有任何察觉的情况下就可以监控到其上网设备所安装的上网软件,提高了网络犯罪案件的侦破率。
优选地,如图2所示,所述步骤S1可以包括:
S11.当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;采用数据镜像的方式可以把网络数据包复制存储起来用于后期的分析,适用于信息量大的情况,不会遗漏任何数据信息。
S12.当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。采用数据包嗅探的方式可以接收一切通过局域网的出入口的网络数据包,而不管网络数据包是传输到哪里的,数据包嗅探常见的工作模式有镜像、桥接、网关等模式。
优选地,可以将捕获到的网络数据包(数据流)按照一定规律进行筛选过滤,比如可以过滤掉木马很少使用的通信协议数据包,如DNS协议,SMTP协议等,以提高数据处理速度。
优选地,如图2所示,所述步骤S2可以包括:
S21.通过协议分析技术对所述网络数据包进行还原,获取原始数据,比如可以用TCP/IP协议分析技术或者UDP协议分析技术来对所述网络数据包进行还原来获取原始数据;
S22.从所述原始数据中提取出所述特征码。
具体地,步骤S21中,通过TCP/IP协议分析技术,可以对网络数据包进行还原,获取上网设备的ip、端口以及特征码等信息(原始数据),步骤S22中,从原始数据中就可以提取出上网设备运行软件的特征码了,非常便捷。
优选地,如图2所示,所述步骤S3可以包括:
S31.建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;
S32.从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。
具体地,步骤S31中,可以先构建一个识别环境,对上网设备在运行某一软件访问外部网络时产生的网络数据包进行分析,记录辨别出能唯一描述该款软件的关键特征信息,作为特征码保存起来,重复采用上述方式,就可以建立起包含软件的特征码与软件种类间的对应关系的软件特征库了;步骤S32中,只要从网络数据包中提取到了与软件特征库中某一个软件种类相匹配的特征码,就可以判定上网设备中安装了该款软件,非常便捷。
实施例2
本实施例提供了一种识别软件种类的系统,如图3所示,包括:采集单元1、特征码获取单元2以及识别单元3;其中采集单元1用于在网络接入位置采集上网设备访问外部网络时产生的网络数据包;特征码获取单元2用于获取所述网络数据包中包含的软件的特征码;识别单元3用于根据所述特征码识别出与所述特征码相匹配的软件种类。
优选地,所述采集单元1可以包括:
第一采集子单元11,用于当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;采用数据镜像的方式可以把网络数据包复制存储起来用于后期的分析,适用于信息量大的情况,不会遗漏任何数据信息。
第二采集子单元12,用于当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。采用数据包嗅探的方式可以接收一切通过局域网的出入口的网络数据包,而不管网络数据包是传输到哪里的。
优选地,所述特征码获取单元2可以包括:
还原子单元21,用于通过协议分析技术对所述网络数据包进行还原,获取原始数据;原始数据包括上网设备的ip、端口以及特征码等信息。
提取子单元22,用于从所述原始数据中提取出所述特征码。
优选地,所述识别单元3可以包括:
特征库子单元31,用于建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;
查询子单元32,用于从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。
具体地,可以先构建一个识别环境,对上网设备在运行某一软件访问外部网络时产生的网络数据包进行分析,记录辨别出能唯一描述该款软件的关键特征信息,作为特征码保存起来,重复采用上述方式,就可以建立起包含软件的特征码与软件种类间的对应关系的软件特征库了;只要从网络数据包中提取到了与软件特征库中某一个软件种类相匹配的特征码,就可以判定上网设备中安装了该款软件,非常便捷。
本实施例所述识别软件种类的系统,无需安装客户端,即可在网络接入位置采集网络数据包,在犯罪嫌疑人没有任何察觉的情况下就可以监控到其上网设备所安装的上网软件,提高了网络犯罪案件的侦破率。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
Claims (8)
1.一种识别软件种类的方法,其特征在于,包括:
在网络接入位置采集上网设备访问外部网络时产生的网络数据包,当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;
筛选过滤掉所述网络数据包中木马病毒施种率低的网络数据包;
获取所述网络数据包中包含的软件的特征码;
根据所述特征码识别出与所述特征码相匹配的软件种类。
2.根据权利要求1所述的识别软件种类的方法,其特征在于,所述在网络接入位置采集上网设备访问外部网络时产生的网络数据包还包括:
当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。
3.根据权利要求1所述的识别软件种类的方法,其特征在于,所述获取所述网络数据包中包含的软件的特征码包括:
通过协议分析技术对所述网络数据包进行还原,获取原始数据;
从所述原始数据中提取出所述特征码。
4.根据权利要求1所述的识别软件种类的方法,其特征在于,所述根据所述特征码获取与所述特征码相匹配的软件种类包括:
建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;
从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。
5.一种识别软件种类的系统,其特征在于,包括:
采集单元(1),用于在网络接入位置采集上网设备访问外部网络时产生的网络数据包,所述采集单元包括第一采集子单元(11),用于当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;
处理单元,用于筛选过滤掉所述网络数据包中木马病毒施种率低的网络数据包;
特征码获取单元(2),用于获取所述网络数据包中包含的软件的特征码;
识别单元(3),用于根据所述特征码识别出与所述特征码相匹配的软件种类。
6.根据权利要求5所述的识别软件种类的系统,其特征在于,所述采集单元(1)还包括:
第二采集子单元(12),用于当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。
7.根据权利要求5所述的识别软件种类的系统,其特征在于,所述特征码获取单元(2)包括:
还原子单元(21),用于通过协议分析技术对所述网络数据包进行还原,获取原始数据;
提取子单元(22),用于从所述原始数据中提取出所述特征码。
8.根据权利要求5所述的识别软件种类的系统,其特征在于,所述识别单元(3)包括:
特征库子单元(31),用于建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;
查询子单元(32),用于从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510075278.XA CN104657657B (zh) | 2015-02-12 | 2015-02-12 | 一种识别软件种类的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510075278.XA CN104657657B (zh) | 2015-02-12 | 2015-02-12 | 一种识别软件种类的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104657657A CN104657657A (zh) | 2015-05-27 |
| CN104657657B true CN104657657B (zh) | 2018-08-07 |
Family
ID=53248768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510075278.XA Expired - Fee Related CN104657657B (zh) | 2015-02-12 | 2015-02-12 | 一种识别软件种类的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104657657B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750538A (zh) * | 2005-09-29 | 2006-03-22 | 西安交大捷普网络科技有限公司 | 基于p2p高速下载软件产生流量的发现及控制方法 |
| CN104104526A (zh) * | 2013-04-01 | 2014-10-15 | 深圳维盟科技有限公司 | 上网行为监控方法、装置和系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4328459B2 (ja) * | 2000-10-27 | 2009-09-09 | Necエンジニアリング株式会社 | ネットワークのサービス品質測定システム及びその方法 |
| MX2008012891A (es) * | 2006-04-06 | 2009-07-22 | Smobile Systems Inc | Sistema y metodo de deteccion de software dañino para plataformas moviles de acceso limitado. |
| CN102394885B (zh) * | 2011-11-09 | 2015-07-15 | 中国人民解放军信息工程大学 | 基于数据流的信息分类防护自动化核查方法 |
| US8910285B2 (en) * | 2013-04-19 | 2014-12-09 | Lastline, Inc. | Methods and systems for reciprocal generation of watch-lists and malware signatures |
| CN103532796B (zh) * | 2013-10-31 | 2017-01-04 | 赛尔网络有限公司 | 大型isp间互联口统计系统及方法 |
-
2015
- 2015-02-12 CN CN201510075278.XA patent/CN104657657B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750538A (zh) * | 2005-09-29 | 2006-03-22 | 西安交大捷普网络科技有限公司 | 基于p2p高速下载软件产生流量的发现及控制方法 |
| CN104104526A (zh) * | 2013-04-01 | 2014-10-15 | 深圳维盟科技有限公司 | 上网行为监控方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104657657A (zh) | 2015-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Atlam et al. | Internet of things forensics: A review | |
| US8516586B1 (en) | Classification of unknown computer network traffic | |
| KR20140025316A (ko) | 통신 네트워크 내의 노드 상에서 작동되는 운영 시스템을 핑커프린팅하는 방법 및 시스템 | |
| CN111049731B (zh) | 一种即时聊天应用监控方法以及系统 | |
| CN105138709A (zh) | 一种基于物理内存分析的远程取证系统 | |
| Ferrando et al. | Classification of device behaviour in internet of things infrastructures: towards distinguishing the abnormal from security threats | |
| CN111028085A (zh) | 一种基于主被动结合的网络靶场资产信息采集方法及装置 | |
| TW201627920A (zh) | 筆跡資料處理方法和裝置 | |
| CN113259197A (zh) | 一种资产探测方法、装置及电子设备 | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| CN113065026A (zh) | 基于安全微服务架构的异常事件智能检测系统、方法及介质 | |
| US8903998B2 (en) | Apparatus and method for monitoring web application telecommunication data by user | |
| CN105530137A (zh) | 流量数据分析方法及流量数据分析系统 | |
| CN105207829B (zh) | 一种入侵检测数据处理方法、装置,及系统 | |
| CN111756874A (zh) | 一种dns隧道上层协议的类型的识别方法和装置 | |
| CN104657657B (zh) | 一种识别软件种类的方法及系统 | |
| CN115051874B (zh) | 一种多特征的cs恶意加密流量检测方法和系统 | |
| CN105827627A (zh) | 一种信息获取方法和装置 | |
| CN115484326A (zh) | 处理数据的方法、系统及存储介质 | |
| Wüstrich et al. | Cyber-physical anomaly detection for ICS | |
| CN105279230A (zh) | 通过主动学习方法构建互联网应用特征识别数据库的方法及系统 | |
| CN105703930A (zh) | 基于应用的会话日志处理方法及装置 | |
| CN111565311B (zh) | 网络流量特征生成方法及装置 | |
| CN109962818A (zh) | 一种识别软件种类的方法及系统 | |
| CN111079144B (zh) | 一种病毒传播行为检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180807 Termination date: 20220212 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |