本发明专利技术提供一种基于TCP数据包的网络应用快速发现方法和系统。该方法包括:将网络抓包器连接到交换机镜像口以抓取网络数据包;解析抓取的网络数据包中的TCP数据包,初步分析所使用的协议,并获取TCP信息;将获取的TCP信息存储在本地数据库中;通过应用分析器、根据采集的应用协议特征库,使用多线程工作模式生成应用匹配特征串并快速分析抓取的应用类型;通过探测器、根据TCP信息,使用应用协议特征串探测特定的网络设备;以及对于暂时无法匹配的网络协议数据,进行目标IP的溯源分析,并将分析结果所得的特征值存储在应用协议特征库中。本发明专利技术解决了网络应用监管不及时、不全面的问题,可以帮助网络管理员管理网络,可广泛应用于网络管理产品。
【技术实现步骤摘要】
本专利技术涉及网络
,并且具体涉及一种基于TCP数据包的网络应用快速发现方法和系统。
技术介绍
当前,随着计算机网络通讯的飞速发展,网络中的硬件和服务类型也随之发展迅速。对于网络管理员,应用设备的状态和应用内容的监管需要一个实时高效的系统协助管理。目前,常用的网络应用管理方法有两种:第一种方法是通过网络抓包器抓取网络HTTP数据包,然后对网络报文进行特征值匹配。第二种方法是把应用分析器嵌入TCP/IP协议栈流程中,然后依靠应用分析器,将TCP/IP协议栈与网络应用的协议栈做算法匹配。在上述方法中,主要存在以下缺陷:第一种方法会导致无法发现除HTTP协议外的其他网络协议的网络应用,并且特征库更新不及时会导致网络应用漏报。第二种方法会打乱原有的TCP传输协议流程,使正常的网络通信存在一定的风险。
技术实现思路
针对上述现有技术中存在的问题,本专利技术的目的在于提供一种基于TCP数据包的网络应用快速发现方法和系统,为网络管理员提供及时全面的网络应用信息,以实现对现有网络环境中应用的及时发现与高效管理。为了实现上述目的,本专利技术提出了一种基于TCP数据包的网络应用快速发现方法,其包括:步骤1:将网络抓包器连接到交换机镜像口以抓取网络数据包;步骤2:解析步骤1中抓取的网络数据包中的TCP数据包,初步分析所使用的协议,并获取TCP信息;步骤3:将步骤2中获取的TCP信息存储在本地数据库中;步骤4:通过应用分析器、根据采集的应用协议特征库,使用多线程工作模式生成应用匹配特征串并快速分析抓取的应用类型;步骤5:通过探测器、根据TCP信息,使用应用协议特征串探测特定的网络设备;以及步骤6:对于暂时无法匹配的网络协议数据,进行目标IP的溯源分析,并将分析结果所得的特征值存储在应用协议特征库中。进一步地,TCP信息包括源IP地址、源端口、目标IP地址、目标端口、特征字中的一种或多种。进一步地,步骤6中的溯源分析包括:探测器探测目标IP地址所在的网络环境,以获取防火墙状态信息和端口信息;探测器生成并推送扫描脚本到目标设备,进一步获取目标设备的硬件信息、操作系统信息和已安装应用程序信息;探测器收集已安装应用程序的所述网络数据包,并统计应用程序所使用的网络协议的特征信息;以及探测器将从统计到的网络协议的特征信息中提取应用协议,并将应用协议存储在应用协议特征库中。进一步地,探测器扫描源IP地址,获取软件安装信息。进一步地,步骤5中,根据源IP地址和源端口,使用应用协议特征串探测特定的网络设备。基于上述方法,本专利技术还提出了一种基于TCP数据包的网络应用快速发现系统,其包括网络抓包器、应用分析器和探测器,其中:网络抓包器连接到交换机镜像端口以抓取网络数据包并将网络数据包传输到应用分析器;应用分析器连接在网络抓包器和探测器之间,用于获取网络抓包器抓取的数据包、使用多线程工作模式根据采集的应用协议特征库生成应用匹配特征串,并快速分析抓取的网络应用类型。探测器连接在应用分析器输出端口,用于网络设备探测和溯源分析,并将暂时无法匹配的网络协议数据进行目标IP地址的溯源分析,将溯源分析结果存储在应用协议特征库中。进一步地,溯源分析是对采用未知协议发送的网络数据包的源头进行采样分析,通过使用网络探测器统计探测信息并得到特征值,具体包括:探测器探测目标IP地址所在的网络环境,以获取防火墙状态信息和端口信息;探测器生成并推送扫描脚本到目标设备,进一步获取目标设备的硬件信息、操作系统信息、已安装应用程序信息;探测器收集安装应用程序的网络数据包,并统计应用程序所使用的网络协议的特征信息;以及探测器将从统计到的网络协议的特征信息中提取应用协议,并将应用协议存储在应用协议特征库中。本专利技术解决了网络应用监管不及时、不全面的问题,可以帮助网络管理员管理网络。本专利技术具有很好的性能和准确性,可广泛应用于网络管理产品。此外,本专利技术抓取TCP数据包可以全面分析网络应用,所采取的交换机旁路模式,以不影响原网络为出发点,同时使用溯源分析方法,能够智能发现网络应用。附图说明图1为本专利技术的基于TCP数据包的网络应用快速发现系统的示意图;图2为本专利技术的基于TCP数据包的网络应用快速发现方法和系统所使用的溯源分析的流程示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,下面结合附图,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。如图1所示,本专利技术的基于TCP数据包的网络应用快速发现系统,其包括网络抓包器、应用分析器、探测器,其中:网络抓包器连接到交换机镜像端口,即以交换机旁路模式在不影响原网络的情况下抓取网络数据包,解析网络数据包中的TCP数据包,初步分析所使用的协议,获取TCP信息,包括源IP地址、源端口、目标IP地址、目标端口、特征字,并将TCP信息存储在本地数据库中以用于快速查找分析应用协议、取证业务等;应用分析器连接在网络抓包器和探测器之间,用于获取网络抓包器抓取的数据包、使用多线程工作模式根据采集的应用协议特征库生成应用匹配特征串、并快速分析抓取的网络应用类型;探测器连接在应用分析器输出端口,用于网络设备探测和溯源分析,根据源IP地址和端口使用应用协议特征串探测特定的网络设备,并将暂时无法匹配的网络协议数据进行目标IP地址的溯源分析,将溯源分析结果存储在应用协议特征库中。如图2所示,溯源分析是对采用未知协议发送的网络数据包的源头进行采样分析,通过使用探测器统计探测信息并得到特征值,具体包括:针对未知协议网络数据包,探测器探测目标IP地址所在的网络环境,以获取防火墙状态信息和端口信息;探测器生成并推送扫描脚本到目标设备,进一步获取目标设备的硬件信息、操作系统信息、已安装应用程序信息;探测器收集安装应用程序的网络数据包,并统计安装应用程序所使用的网络协议的特征信息;以及探测器从统计到的网络协议的特征信息中提取应用协议并将应用协议存储在应用协议特征库中。可选地,探测器扫描源IP地址,获取软件安装信息;本专利技术公开的基于TCP数据包的网络应用快速发现方法包括:将网络抓包器连接到交换机镜像口,即采用交换机旁路模式,在不影响网络数据包正常流通的情况下抓取网络数据包;解析抓取的TCP数据包、初步本文档来自技高网...
【技术保护点】
一种基于TCP数据包的网络应用快速发现方法,所述方法包括:步骤1:将网络抓包器连接到交换机镜像口以抓取网络数据包;步骤2:解析步骤1中抓取的所述网络数据包中的TCP数据包,初步分析所使用的协议,并获取TCP信息;步骤3:将步骤2中获取的所述TCP信息存储在本地数据库中;步骤4:通过应用分析器、根据采集的应用协议特征库,使用多线程工作模式生成应用匹配特征串并快速分析抓取的应用类型;步骤5:通过探测器、根据所述TCP信息,使用所述应用协议特征串探测特定的网络设备;以及步骤6:对于暂时无法匹配的网络协议数据,进行目标IP的溯源分析,并将分析结果所得的特征值存储在所述应用协议特征库中。
【技术特征摘要】
1.一种基于TCP数据包的网络应用快速发现方法,所述方法包括:
步骤1:将网络抓包器连接到交换机镜像口以抓取网络数据包;
步骤2:解析步骤1中抓取的所述网络数据包中的TCP数据包,初步分
析所使用的协议,并获取TCP信息;
步骤3:将步骤2中获取的所述TCP信息存储在本地数据库中;
步骤4:通过应用分析器、根据采集的应用协议特征库,使用多线程
工作模式生成应用匹配特征串并快速分析抓取的应用类型;
步骤5:通过探测器、根据所述TCP信息,使用所述应用协议特征串
探测特定的网络设备;以及
步骤6:对于暂时无法匹配的网络协议数据,进行目标IP的溯源分析,
并将分析结果所得的特征值存储在所述应用协议特征库中。
2.根据权利要求1所述的方法,其特征在于:所述TCP信息包括源IP
地址、源端口、目标IP地址、目标端口、特征字中的一种或多种。
3.根据权利要求2所述的方法,其特征在于:步骤6中的所述溯源分
析包括:
所述探测器探测所述目标IP地址所在的网络环境,以获取防火墙状
态信息和端口信息;
所述探测器生成并推送扫描脚本到目标设备,进一步获取所述目标设
备的硬件信息、操作系统信息和已安装应用程序信息;
所述探测器收集所述已安装应用程序的所述网络数据包,并统计所述
应用程序所使用的网络协议的特征信息;以及
所述探测器将从统计到的所述网络协议的所述特征信息中提取应用
协议,并将所述应用协议存储在所述应用协议特征库中。
4.根据权利要求3所述的方法,其特征在于:所述探测器扫描所述源
IP地址,获取软件安装信息。
5.根据权利要求2所述的方法,其特征在于:步骤...
【专利技术属性】
技术研发人员:龚建新,胡加敏,顾德仲,孙毅,
申请(专利权)人:北京北信源软件股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。