一种识别软件种类的方法及系统的制作方法
【技术领域】
[0001]本发明涉及一种数据采集处理技术,具体地说涉及一种识别软件种类的方法及系统。
【背景技术】
[0002]基于国家安全的需要,在某些案件的侦破过程中需要识别某些上网设备所使用的软件种类。
[0003]现有技术中,实现识别上网设备所使用的软件种类的方法,主要是通过在上网设备上安装客户端来实现的,比如杀病毒软件,防火墙个人版等。
[0004]但这种安装客户端的方式的弊端是显而易见的,有很多有犯罪意图的犯罪嫌疑人往往具备很强的网络防侦查意识,不会随意安装客户端,当然也就无法通过安装客户端的方式来识别其上网设备所使用的软件种类了。
【发明内容】
[0005]为此,本发明所要解决的技术问题在于现有技术中需要在上网设备上安装客户端才能对上网设备所使用的软件种类进行识别。
[0006]为解决上述技术问题,本发明的技术方案如下:
[0007]本发明提供了一种识别软件种类的方法,包括:
[0008]在网络接入位置采集上网设备访问外部网络时产生的网络数据包;
[0009]获取所述网络数据包中包含的软件的特征码;
[0010]根据所述特征码识别出与所述特征码相匹配的软件种类。
[0011]本发明所述的识别软件种类的方法,所述在网络接入位置采集上网设备访问外部网络时产生的网络数据包包括:
[0012]当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;
[0013]当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。
[0014]本发明所述的识别软件种类的方法,所述获取所述网络数据包中包含的软件的特征码包括:
[0015]通过协议分析技术对所述网络数据包进行还原,获取原始数据;
[0016]从所述原始数据中提取出所述特征码。
[0017]本发明所述的识别软件种类的方法,所述根据所述特征码获取与所述特征码相匹配的软件种类包括:
[0018]建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;
[0019]从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。
[0020]本发明还提供了一种识别软件种类的系统,包括:
[0021]采集单元,用于在网络接入位置采集上网设备访问外部网络时产生的网络数据包;
[0022]特征码获取单元,用于获取所述网络数据包中包含的软件的特征码;
[0023]识别单元,用于根据所述特征码识别出与所述特征码相匹配的软件种类。
[0024]本发明所述的识别软件种类的系统,所述采集单元包括:
[0025]第一采集子单元,用于当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;
[0026]第二采集子单元,用于当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。
[0027]本发明所述的识别软件种类的系统,所述特征码获取单元包括:
[0028]还原子单元,用于通过协议分析技术对所述网络数据包进行还原,获取原始数据;
[0029]提取子单元,用于从所述原始数据中提取出所述特征码。
[0030]本发明所述的识别软件种类的系统,所述识别单元包括:
[0031]特征库子单元,用于建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;
[0032]查询子单元,用于从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。
[0033]本发明的上述技术方案相比现有技术具有以下优点:
[0034]本发明提供了一种识别软件种类的方法及系统,先在网络接入位置采集上网设备访问外部网络时产生的网络数据包,再获取所述网络数据包中包含的软件的特征码,之后根据所述特征码识别出与所述特征码相匹配的软件种类。因此,本发明的识别软件种类的方法及系统,无需安装客户端,即可在网络接入位置采集网络数据包,在犯罪嫌疑人没有任何察觉的情况下就可以监控到其上网设备所安装的上网软件,提高了网络犯罪案件的侦破率。
【附图说明】
[0035]为了使本发明的内容更容易被清楚的理解,下面根据本发明的具体实施例并结合附图,对本发明作进一步详细的说明,其中
[0036]图1是本发明所述识别软件种类的方法的步骤框图;
[0037]图2是本发明所述识别软件种类的方法中各步骤的具体流程图;
[0038]图3是本发明所述识别软件种类的系统的结构框图。
[0039]图中附图标记表示为:1-采集单元,2-特征码获取单元,3-识别单元,11-第一采集子单元,12-第二采集子单元,21-还原子单元,22-提取子单元,31-特征库子单元,32-查询子单元。
【具体实施方式】
[0040]实施例1
[0041]本实施例提供了一种识别软件种类的方法,如图1所示,包括:
[0042]S1.在网络接入位置采集上网设备访问外部网络时产生的网络数据包;当上网设备上的软件运行并连接到外部网络时,就可以在网络接入位置采集到包含上网设备运行软件的特征码的网络数据包了。
[0043]S2.获取所述网络数据包中包含的软件的特征码;
[0044]S3.根据所述特征码识别出与所述特征码相匹配的软件种类。
[0045]具体地,可以先存储采集的网络数据包,再对存储的网络数据包执行上述识别软件种类的操作以识别出上网设备运行的软件种类并存储;也可以先执行上述识别软件种类的操作,再将识别出的上网设备运行的软件种类进行存储。总之,对数据的存储可以在识别之前进行,也可以在识别之后进行,可以根据具体的网络环境选择适合的存储方式,方式灵活。
[0046]本实施例所述识别软件种类的方法,无需安装客户端,即可在网络接入位置采集网络数据包,在犯罪嫌疑人没有任何察觉的情况下就可以监控到其上网设备所安装的上网软件,提高了网络犯罪案件的侦破率。
[0047]优选地,如图2所示,所述步骤SI可以包括:
[0048]Sll.当网络接入位置为大型或者高速网络的主干节点时,采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包;采用数据镜像的方式可以把网络数据包复制存储起来用于后期的分析,适用于信息量大的情况,不会遗漏任何数据信息。
[0049]S12.当网络接入位置为局域网的出入口时,采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。采用数据包嗅探的方式可以接收一切通过局域网的出入口的网络数据包,而不管网络数据包是传输到哪里的,数据包嗅探常见的工作模式有镜像、桥接、网关等模式。
[0050]优选地,可以将捕获到的网络数据包(数据流)按照一定规律进行筛选过滤,比如可以过滤掉木马很少使用的通信协议数据包,如DNS协议,SMTP协议等,以提高数据处理速度。
[0051 ] 优选地,如图2所示,所述步骤S2可以包括:
[0052]S21.通过协议分析技术对所述网络数据包进行还原,获取原始数据,比如可以用TCP/IP协议分析技术或者UDP协议分析技术来对所述网络数据包进行还原来获取原始数据;
[0053]S22.从所述原始数据中提取出所述特征码。
[0054]具体地,步骤S21中,通过TCP/IP协议分析技术,可以对网络数据包进行还原,获取上网设备的ip、端口以及特征码等信息(原始数据),步骤S22中,从原始数据中就可以提取出上网设备运行软件的特征码了,非常便捷。
[0055]优选地,如图2所示,所述步骤S3可以包括:
[0056]S31.建立软件特征库,所述软件特征库中包含软件的特征码与软件种类间的对应关系;
[0057]S32.从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。
[0058]具体地,步骤S31