[发明专利]一种识别软件种类的方法及系统

权利要求书

1.一种识别软件种类的方法，其特征在于，包括：

在网络接入位置采集上网设备访问外部网络时产生的网络数据包，当网络接入位置为大型或者高速网络的主干节点时，采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包；

筛选过滤掉所述网络数据包中木马病毒施种率低的网络数据包；

获取所述网络数据包中包含的软件的特征码；

根据所述特征码识别出与所述特征码相匹配的软件种类。

2.根据权利要求1所述的识别软件种类的方法，其特征在于，所述在网络接入位置采集上网设备访问外部网络时产生的网络数据包还包括：

当网络接入位置为局域网的出入口时，采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。

3.根据权利要求1所述的识别软件种类的方法，其特征在于，所述获取所述网络数据包中包含的软件的特征码包括：

通过协议分析技术对所述网络数据包进行还原,获取原始数据；

从所述原始数据中提取出所述特征码。

4.根据权利要求1所述的识别软件种类的方法，其特征在于，所述根据所述特征码获取与所述特征码相匹配的软件种类包括：

建立软件特征库，所述软件特征库中包含软件的特征码与软件种类间的对应关系；

从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。

5.一种识别软件种类的系统，其特征在于，包括：

采集单元(1)，用于在网络接入位置采集上网设备访问外部网络时产生的网络数据包，所述采集单元包括第一采集子单元(11)，用于当网络接入位置为大型或者高速网络的主干节点时，采用数据镜像的方式采集上网设备访问外部网络时产生的网络数据包；

处理单元，用于筛选过滤掉所述网络数据包中木马病毒施种率低的网络数据包；

特征码获取单元(2)，用于获取所述网络数据包中包含的软件的特征码；

识别单元(3)，用于根据所述特征码识别出与所述特征码相匹配的软件种类。

6.根据权利要求5所述的识别软件种类的系统，其特征在于，所述采集单元(1)还包括：

第二采集子单元(12)，用于当网络接入位置为局域网的出入口时，采用数据包嗅探的方式采集上网设备访问外部网络时产生的网络数据包。

7.根据权利要求5所述的识别软件种类的系统，其特征在于，所述特征码获取单元(2)包括：

还原子单元(21)，用于通过协议分析技术对所述网络数据包进行还原,获取原始数据；

提取子单元(22)，用于从所述原始数据中提取出所述特征码。

8.根据权利要求5所述的识别软件种类的系统，其特征在于，所述识别单元(3)包括：

特征库子单元(31)，用于建立软件特征库，所述软件特征库中包含软件的特征码与软件种类间的对应关系；

查询子单元(32)，用于从所述软件特征库查询出与从采集的网络数据包中获取的软件的特征码相匹配的软件种类。