[发明专利]一种应用程序识别方法、装置及系统

说明书

技术领域

本发明涉及互联网技术，特别涉及一种应用程序识别方法、装置及系统。

背景技术

目前，在局域网网络环境中，出口带宽通常是有限的，而每个局域网内往 往会存在一种或几种需要优选保证其运行流畅性的应用程序。例如，在企业局 域网络中，需要优先保证企业管理软件、财务软件等应用程序的快速运转，以 保证信息的快速传递；而在网吧局域网络中，需要优先保证网络游戏等应用程 序的运行流畅性。

可见，无论在何种局域网网络环境内，都需要尽量降低P2P应用对出口带 宽的消耗，而为了实现此应用目的，就需要网络出口设备针对不同的应用程序 采用不同的控制策略。目前，网络出口设备仅能根据应用程序运行时产生的不 同数据流来对其进行识别，即网络出口设备必须将数据流和应用程序对应起 来，才能准确识别出应用程序，才保证后续流程中对数据流的控制不会出错。

现有技术下，一些常见的网络出口设备，例如，防火墙、路由器等等，主 要通过模式匹配方式和端口识别方式来进行应用程序的识别。

所谓模式匹配方式，即是将数据流携带的报文内容与系统已有的数据流特 征库进行比较，从而确定数据流对应的应用程序(以下简称为应用)。具体为： 通常情况下，一个应用可能包含多个数据流(如登录流，交互流等等)，而每 个数据流具有不同的特征(如，包含不同的特殊字符串)；因此，在采用模式 匹配方式时，网络出口设备可以通过字符串匹配确定一个数据流对应的应用。 采用模式匹配方式的优点是只需预先收集相关的数据集合形成数据流特征库 即可以完成应用的识别，检测准确率较高。但是，采用模式匹配方式需要网络 出口设备在报文转发的过程中，不断地分析每条数据流，匹配每条数据流的特 征，从而大大加重了网络出口设备的运行负荷负担，降低了网络出口设备的转 发性能；同时，为了保证识别的准确性，需要在建立数据流特征库时尽可能多 地分析所有应用对应的所有数据流，找出每个数据流的特征，不能有所遗漏， 这也加大了前期准备工作的负担。

而所谓端口识别方式即是将数据流使用的源端口或目的端口与系统已有 的端口数据库进行比较，从而确定数据流对应的应用。通常情况下，一个应用 产生的数据流都是采用固定端口进行传输的，因此，采用端口识别方式，可以 通过数据流的传输端口来确定该数据流对应的应用。采用端口识别方式的优点 是只需要通过端口即可识别出数据流对应的应用，系统负担很小；但是，采用 端口识别方式，网络出口设备对应用识别的准确性并不高，例如，针对通信端 口不固定的情况网络出口设备不能够准确识别出应用(如P2P应用)，又例如， 对于非知名端口，以及一个端口对应多个应用的情况，网络出口设备也会出现 严重的误判，不能够准确识别出应用。

发明内容

本发明实施例提供一种应用程序识别方法、装置及系统，用以在降低网络 出口设备运行负荷的前提下，提高应用识别的准确性。

本发明实施例提供的具体技术方案如下：

一种应用程序识别方法，包括：

内网主机启动可执行文件时，根据该可执行文件的文件属性获得其文件标 识信息；

所述内网主机将获得的文件标识信息与预设的可执行文件特征库进行匹 配，获得匹配结果，所述可执行文件特征库用于记录文件标识信息与应用类型 之间的对应关系；

所述内网主机根据所述匹配结果确定所述可执行文件的应用类型，以及在 在所述可执行文件运行过程中产生与互联网交互的至少一种数据流时，解析出 该至少一种数据流的报文标识信息，并将所述应用类型和所述报文标识信息上 报至网络出口设备；

所述网络出口设备对应所述至少一种数据流的报文标识信息建立相应的 流节点，并按照所述可执行文件的应用类型设置该流节点的优先级和流量控制 策略。

一种用于应用程序识别的内网主机，包括：

获取单元，在启动可执行文件时，根据该可执行文件的文件属性获得其文 件标识信息；

匹配单元，将获得的文件标识信息与预设的可执行文件特征库进行匹配， 获得匹配结果，所述可执行文件特征库用于记录文件标识信息与应用类型之间 的对应关系；