中,可以先構(gòu)建一個識別環(huán)境,對上網(wǎng)設(shè)備在運行某一軟件訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包進行分析,記錄辨別出能唯一描述該款軟件的關(guān)鍵特征信息,作為特征碼保存起來,重復(fù)采用上述方式,就可以建立起包含軟件的特征碼與軟件種類間的對應(yīng)關(guān)系的軟件特征庫了 ;步驟S32中,只要從網(wǎng)絡(luò)數(shù)據(jù)包中提取到了與軟件特征庫中某一個軟件種類相匹配的特征碼,就可以判定上網(wǎng)設(shè)備中安裝了該款軟件,非常便捷。
[0059]實施例2
[0060]本實施例提供了一種識別軟件種類的系統(tǒng),如圖3所示,包括:采集單元1、特征碼獲取單元2以及識別單元3 ;其中采集單元I用于在網(wǎng)絡(luò)接入位置采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包;特征碼獲取單元2用于獲取所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的軟件的特征碼;識別單元3用于根據(jù)所述特征碼識別出與所述特征碼相匹配的軟件種類。
[0061]優(yōu)選地,所述采集單元I可以包括:
[0062]第一采集子單元11,用于當(dāng)網(wǎng)絡(luò)接入位置為大型或者高速網(wǎng)絡(luò)的主干節(jié)點時,采用數(shù)據(jù)鏡像的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包;采用數(shù)據(jù)鏡像的方式可以把網(wǎng)絡(luò)數(shù)據(jù)包復(fù)制存儲起來用于后期的分析,適用于信息量大的情況,不會遺漏任何數(shù)據(jù)信息。
[0063]第二采集子單元12,用于當(dāng)網(wǎng)絡(luò)接入位置為局域網(wǎng)的出入口時,采用數(shù)據(jù)包嗅探的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包。采用數(shù)據(jù)包嗅探的方式可以接收一切通過局域網(wǎng)的出入口的網(wǎng)絡(luò)數(shù)據(jù)包,而不管網(wǎng)絡(luò)數(shù)據(jù)包是傳輸?shù)侥睦锏摹?br>[0064]優(yōu)選地,所述特征碼獲取單元2可以包括:
[0065]還原子單元21,用于通過協(xié)議分析技術(shù)對所述網(wǎng)絡(luò)數(shù)據(jù)包進行還原,獲取原始數(shù)據(jù);原始數(shù)據(jù)包括上網(wǎng)設(shè)備的ip、端口以及特征碼等信息。
[0066]提取子單元22,用于從所述原始數(shù)據(jù)中提取出所述特征碼。
[0067]優(yōu)選地,所述識別單元3可以包括:
[0068]特征庫子單元31,用于建立軟件特征庫,所述軟件特征庫中包含軟件的特征碼與軟件種類間的對應(yīng)關(guān)系;
[0069]查詢子單元32,用于從所述軟件特征庫查詢出與從采集的網(wǎng)絡(luò)數(shù)據(jù)包中獲取的軟件的特征碼相匹配的軟件種類。
[0070]具體地,可以先構(gòu)建一個識別環(huán)境,對上網(wǎng)設(shè)備在運行某一軟件訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包進行分析,記錄辨別出能唯一描述該款軟件的關(guān)鍵特征信息,作為特征碼保存起來,重復(fù)采用上述方式,就可以建立起包含軟件的特征碼與軟件種類間的對應(yīng)關(guān)系的軟件特征庫了 ;只要從網(wǎng)絡(luò)數(shù)據(jù)包中提取到了與軟件特征庫中某一個軟件種類相匹配的特征碼,就可以判定上網(wǎng)設(shè)備中安裝了該款軟件,非常便捷。
[0071]本實施例所述識別軟件種類的系統(tǒng),無需安裝客戶端,即可在網(wǎng)絡(luò)接入位置采集網(wǎng)絡(luò)數(shù)據(jù)包,在犯罪嫌疑人沒有任何察覺的情況下就可以監(jiān)控到其上網(wǎng)設(shè)備所安裝的上網(wǎng)軟件,提高了網(wǎng)絡(luò)犯罪案件的偵破率。
[0072]本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本發(fā)明的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此,本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。
[0073]本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
[0074]這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
[0075]這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
[0076]盡管已描述了本發(fā)明的優(yōu)選實施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對這些實施例作出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。
【主權(quán)項】
1.一種識別軟件種類的方法,其特征在于,包括: 在網(wǎng)絡(luò)接入位置采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包; 獲取所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的軟件的特征碼; 根據(jù)所述特征碼識別出與所述特征碼相匹配的軟件種類。
2.根據(jù)權(quán)利要求1所述的識別軟件種類的方法,其特征在于,所述在網(wǎng)絡(luò)接入位置采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包包括: 當(dāng)網(wǎng)絡(luò)接入位置為大型或者高速網(wǎng)絡(luò)的主干節(jié)點時,采用數(shù)據(jù)鏡像的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包; 當(dāng)網(wǎng)絡(luò)接入位置為局域網(wǎng)的出入口時,采用數(shù)據(jù)包嗅探的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包。
3.根據(jù)權(quán)利要求1所述的識別軟件種類的方法,其特征在于,所述獲取所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的軟件的特征碼包括: 通過協(xié)議分析技術(shù)對所述網(wǎng)絡(luò)數(shù)據(jù)包進行還原,獲取原始數(shù)據(jù); 從所述原始數(shù)據(jù)中提取出所述特征碼。
4.根據(jù)權(quán)利要求1所述的識別軟件種類的方法,其特征在于,所述根據(jù)所述特征碼獲取與所述特征碼相匹配的軟件種類包括: 建立軟件特征庫,所述軟件特征庫中包含軟件的特征碼與軟件種類間的對應(yīng)關(guān)系;從所述軟件特征庫查詢出與從采集的網(wǎng)絡(luò)數(shù)據(jù)包中獲取的軟件的特征碼相匹配的軟件種類。
5.一種識別軟件種類的系統(tǒng),其特征在于,包括: 采集單元(I),用于在網(wǎng)絡(luò)接入位置采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包; 特征碼獲取單元(2),用于獲取所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的軟件的特征碼; 識別單元(3),用于根據(jù)所述特征碼識別出與所述特征碼相匹配的軟件種類。
6.根據(jù)權(quán)利要求5所述的識別軟件種類的系統(tǒng),其特征在于,所述采集單元(I)包括: 第一采集子單元(11),用于當(dāng)網(wǎng)絡(luò)接入位置為大型或者高速網(wǎng)絡(luò)的主干節(jié)點時,采用數(shù)據(jù)鏡像的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包; 第二采集子單元(12),用于當(dāng)網(wǎng)絡(luò)接入位置為局域網(wǎng)的出入口時,采用數(shù)據(jù)包嗅探的方式采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包。
7.根據(jù)權(quán)利要求5所述的識別軟件種類的系統(tǒng),其特征在于,所述特征碼獲取單元(2)包括: 還原子單元(21),用于通過協(xié)議分析技術(shù)對所述網(wǎng)絡(luò)數(shù)據(jù)包進行還原,獲取原始數(shù)據(jù); 提取子單元(22),用于從所述原始數(shù)據(jù)中提取出所述特征碼。
8.根據(jù)權(quán)利要求5所述的識別軟件種類的系統(tǒng),其特征在于,所述識別單元(3)包括: 特征庫子單元(31),用于建立軟件特征庫,所述軟件特征庫中包含軟件的特征碼與軟件種類間的對應(yīng)關(guān)系; 查詢子單元(32),用于從所述軟件特征庫查詢出與從采集的網(wǎng)絡(luò)數(shù)據(jù)包中獲取的軟件的特征碼相匹配的軟件種類。
【專利摘要】本發(fā)明提供了一種識別軟件種類的方法及系統(tǒng),先在網(wǎng)絡(luò)接入位置采集上網(wǎng)設(shè)備訪問外部網(wǎng)絡(luò)時產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包,再獲取所述網(wǎng)絡(luò)數(shù)據(jù)包中包含的軟件的特征碼,之后根據(jù)所述特征碼識別出與所述特征碼相匹配的軟件種類。因此,本發(fā)明所述識別軟件種類的方法及系統(tǒng),無需安裝客戶端,即可在網(wǎng)絡(luò)接入位置采集網(wǎng)絡(luò)數(shù)據(jù)包,在犯罪嫌疑人沒有任何察覺的情況下就可以監(jiān)控到其上網(wǎng)設(shè)備所安裝的上網(wǎng)軟件,提高了網(wǎng)絡(luò)犯罪案件的偵破率。
【IPC分類】G06F21-50
【公開號】CN104657657
【申請?zhí)枴緾N201510075278
【發(fā)明人】孫偉力, 隋海榮
【申請人】北京盛世光明軟件股份有限公司
【公開日】2015年5月27日
【申請日】2015年2月12日