一種識(shí)別軟件種類的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種數(shù)據(jù)采集處理技術(shù),具體地說涉及一種識(shí)別軟件種類的方法及系統(tǒng)。
【背景技術(shù)】
[0002]基于國(guó)家安全的需要,在某些案件的偵破過程中需要識(shí)別某些上網(wǎng)設(shè)備所使用的軟件種類。
[0003]現(xiàn)有技術(shù)中,實(shí)現(xiàn)識(shí)別上網(wǎng)設(shè)備所使用的軟件種類的方法,主要是通過在上網(wǎng)設(shè)備上安裝客戶端來實(shí)現(xiàn)的,比如殺病毒軟件,防火墻個(gè)人版等。
[0004]但這種安裝客戶端的方式的弊端是顯而易見的,有很多有犯罪意圖的犯罪嫌疑人往往具備很強(qiáng)的網(wǎng)絡(luò)防偵查意識(shí),不會(huì)隨意安裝客戶端,當(dāng)然也就無法通過安裝客戶端的方式來識(shí)別其上網(wǎng)設(shè)備所使用的軟件種類了。
【發(fā)明內(nèi)容】
[0005]為此,本發(fā)明所要解決的技術(shù)問題在于現(xiàn)有技術(shù)中需要在上網(wǎng)設(shè)備上安裝客戶端才能對(duì)上網(wǎng)設(shè)備所使用的軟件種類進(jìn)行識(shí)別。
[0006]為解決上述技術(shù)問題,本發(fā)明的技術(shù)方案如下:
[0007]本發(fā)明提供了一種識(shí)別軟件種類的方法,包括:
[0008]在網(wǎng)絡(luò)接入位置采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包;
[0009]獲取所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的軟件的特征碼;
[0010]根據(jù)所述特征碼識(shí)別出與所述特征碼相匹配的軟件種類。
[0011]本發(fā)明所述的識(shí)別軟件種類的方法,所述在網(wǎng)絡(luò)接入位置采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包包括:
[0012]當(dāng)網(wǎng)絡(luò)接入位置為大型或者高速網(wǎng)絡(luò)的主干節(jié)點(diǎn)時(shí),采用數(shù)據(jù)鏡像的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包;
[0013]當(dāng)網(wǎng)絡(luò)接入位置為局域網(wǎng)的出入口時(shí),采用數(shù)據(jù)包嗅探的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包。
[0014]本發(fā)明所述的識(shí)別軟件種類的方法,所述獲取所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的軟件的特征碼包括:
[0015]通過協(xié)議分析技術(shù)對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行還原,獲取原始數(shù)據(jù);
[0016]從所述原始數(shù)據(jù)中提取出所述特征碼。
[0017]本發(fā)明所述的識(shí)別軟件種類的方法,所述根據(jù)所述特征碼獲取與所述特征碼相匹配的軟件種類包括:
[0018]建立軟件特征庫(kù),所述軟件特征庫(kù)中包含軟件的特征碼與軟件種類間的對(duì)應(yīng)關(guān)系;
[0019]從所述軟件特征庫(kù)查詢出與從采集的網(wǎng)絡(luò)數(shù)據(jù)包中獲取的軟件的特征碼相匹配的軟件種類。
[0020]本發(fā)明還提供了一種識(shí)別軟件種類的系統(tǒng),包括:
[0021]采集單元,用于在網(wǎng)絡(luò)接入位置采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包;
[0022]特征碼獲取單元,用于獲取所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的軟件的特征碼;
[0023]識(shí)別單元,用于根據(jù)所述特征碼識(shí)別出與所述特征碼相匹配的軟件種類。
[0024]本發(fā)明所述的識(shí)別軟件種類的系統(tǒng),所述采集單元包括:
[0025]第一采集子單元,用于當(dāng)網(wǎng)絡(luò)接入位置為大型或者高速網(wǎng)絡(luò)的主干節(jié)點(diǎn)時(shí),采用數(shù)據(jù)鏡像的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包;
[0026]第二采集子單元,用于當(dāng)網(wǎng)絡(luò)接入位置為局域網(wǎng)的出入口時(shí),采用數(shù)據(jù)包嗅探的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包。
[0027]本發(fā)明所述的識(shí)別軟件種類的系統(tǒng),所述特征碼獲取單元包括:
[0028]還原子單元,用于通過協(xié)議分析技術(shù)對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行還原,獲取原始數(shù)據(jù);
[0029]提取子單元,用于從所述原始數(shù)據(jù)中提取出所述特征碼。
[0030]本發(fā)明所述的識(shí)別軟件種類的系統(tǒng),所述識(shí)別單元包括:
[0031]特征庫(kù)子單元,用于建立軟件特征庫(kù),所述軟件特征庫(kù)中包含軟件的特征碼與軟件種類間的對(duì)應(yīng)關(guān)系;
[0032]查詢子單元,用于從所述軟件特征庫(kù)查詢出與從采集的網(wǎng)絡(luò)數(shù)據(jù)包中獲取的軟件的特征碼相匹配的軟件種類。
[0033]本發(fā)明的上述技術(shù)方案相比現(xiàn)有技術(shù)具有以下優(yōu)點(diǎn):
[0034]本發(fā)明提供了一種識(shí)別軟件種類的方法及系統(tǒng),先在網(wǎng)絡(luò)接入位置采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包,再獲取所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的軟件的特征碼,之后根據(jù)所述特征碼識(shí)別出與所述特征碼相匹配的軟件種類。因此,本發(fā)明的識(shí)別軟件種類的方法及系統(tǒng),無需安裝客戶端,即可在網(wǎng)絡(luò)接入位置采集網(wǎng)絡(luò)數(shù)據(jù)包,在犯罪嫌疑人沒有任何察覺的情況下就可以監(jiān)控到其上網(wǎng)設(shè)備所安裝的上網(wǎng)軟件,提高了網(wǎng)絡(luò)犯罪案件的偵破率。
【附圖說明】
[0035]為了使本發(fā)明的內(nèi)容更容易被清楚的理解,下面根據(jù)本發(fā)明的具體實(shí)施例并結(jié)合附圖,對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明,其中
[0036]圖1是本發(fā)明所述識(shí)別軟件種類的方法的步驟框圖;
[0037]圖2是本發(fā)明所述識(shí)別軟件種類的方法中各步驟的具體流程圖;
[0038]圖3是本發(fā)明所述識(shí)別軟件種類的系統(tǒng)的結(jié)構(gòu)框圖。
[0039]圖中附圖標(biāo)記表示為:1-采集單元,2-特征碼獲取單元,3-識(shí)別單元,11-第一采集子單元,12-第二采集子單元,21-還原子單元,22-提取子單元,31-特征庫(kù)子單元,32-查詢子單元。
【具體實(shí)施方式】
[0040]實(shí)施例1
[0041]本實(shí)施例提供了一種識(shí)別軟件種類的方法,如圖1所示,包括:
[0042]S1.在網(wǎng)絡(luò)接入位置采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包;當(dāng)上網(wǎng)設(shè)備上的軟件運(yùn)行并連接到外部網(wǎng)絡(luò)時(shí),就可以在網(wǎng)絡(luò)接入位置采集到包含上網(wǎng)設(shè)備運(yùn)行軟件的特征碼的網(wǎng)絡(luò)數(shù)據(jù)包了。
[0043]S2.獲取所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的軟件的特征碼;
[0044]S3.根據(jù)所述特征碼識(shí)別出與所述特征碼相匹配的軟件種類。
[0045]具體地,可以先存儲(chǔ)采集的網(wǎng)絡(luò)數(shù)據(jù)包,再對(duì)存儲(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)包執(zhí)行上述識(shí)別軟件種類的操作以識(shí)別出上網(wǎng)設(shè)備運(yùn)行的軟件種類并存儲(chǔ);也可以先執(zhí)行上述識(shí)別軟件種類的操作,再將識(shí)別出的上網(wǎng)設(shè)備運(yùn)行的軟件種類進(jìn)行存儲(chǔ)??傊?,對(duì)數(shù)據(jù)的存儲(chǔ)可以在識(shí)別之前進(jìn)行,也可以在識(shí)別之后進(jìn)行,可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境選擇適合的存儲(chǔ)方式,方式靈活。
[0046]本實(shí)施例所述識(shí)別軟件種類的方法,無需安裝客戶端,即可在網(wǎng)絡(luò)接入位置采集網(wǎng)絡(luò)數(shù)據(jù)包,在犯罪嫌疑人沒有任何察覺的情況下就可以監(jiān)控到其上網(wǎng)設(shè)備所安裝的上網(wǎng)軟件,提高了網(wǎng)絡(luò)犯罪案件的偵破率。
[0047]優(yōu)選地,如圖2所示,所述步驟SI可以包括:
[0048]Sll.當(dāng)網(wǎng)絡(luò)接入位置為大型或者高速網(wǎng)絡(luò)的主干節(jié)點(diǎn)時(shí),采用數(shù)據(jù)鏡像的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包;采用數(shù)據(jù)鏡像的方式可以把網(wǎng)絡(luò)數(shù)據(jù)包復(fù)制存儲(chǔ)起來用于后期的分析,適用于信息量大的情況,不會(huì)遺漏任何數(shù)據(jù)信息。
[0049]S12.當(dāng)網(wǎng)絡(luò)接入位置為局域網(wǎng)的出入口時(shí),采用數(shù)據(jù)包嗅探的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時(shí)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包。采用數(shù)據(jù)包嗅探的方式可以接收一切通過局域網(wǎng)的出入口的網(wǎng)絡(luò)數(shù)據(jù)包,而不管網(wǎng)絡(luò)數(shù)據(jù)包是傳輸?shù)侥睦锏模瑪?shù)據(jù)包嗅探常見的工作模式有鏡像、橋接、網(wǎng)關(guān)等模式。
[0050]優(yōu)選地,可以將捕獲到的網(wǎng)絡(luò)數(shù)據(jù)包(數(shù)據(jù)流)按照一定規(guī)律進(jìn)行篩選過濾,比如可以過濾掉木馬很少使用的通信協(xié)議數(shù)據(jù)包,如DNS協(xié)議,SMTP協(xié)議等,以提高數(shù)據(jù)處理速度。
[0051 ] 優(yōu)選地,如圖2所示,所述步驟S2可以包括:
[0052]S21.通過協(xié)議分析技術(shù)對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行還原,獲取原始數(shù)據(jù),比如可以用TCP/IP協(xié)議分析技術(shù)或者UDP協(xié)議分析技術(shù)來對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行還原來獲取原始數(shù)據(jù);
[0053]S22.從所述原始數(shù)據(jù)中提取出所述特征碼。
[0054]具體地,步驟S21中,通過TCP/IP協(xié)議分析技術(shù),可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行還原,獲取上網(wǎng)設(shè)備的ip、端口以及特征碼等信息(原始數(shù)據(jù)),步驟S22中,從原始數(shù)據(jù)中就可以提取出上網(wǎng)設(shè)備運(yùn)行軟件的特征碼了,非常便捷。
[0055]優(yōu)選地,如圖2所示,所述步驟S3可以包括:
[0056]S31.建立軟件特征庫(kù),所述軟件特征庫(kù)中包含軟件的特征碼與軟件種類間的對(duì)應(yīng)關(guān)系;
[0057]S32.從所述軟件特征庫(kù)查詢出與從采集的網(wǎng)絡(luò)數(shù)據(jù)包中獲取的軟件的特征碼相匹配的軟件種類。
[0058]具體地,步驟S31