[发明专利]一种网络设备识别方法及系统

权利要求书

1.一种网络设备识别方法，其特征在于，包括：

获得发送端向服务端发送的、不同类型的数据包；

分别解析获得的每一类型的数据包，提取每一类型数据包对应的特征信息；

根据不同类型的数据包所对应的特征信息，确定所述发送端的操作系统类型。

2.如权利要求1所述的方法，其特征在于，所述不同类型的数据包包括以下任一类型数据包：传输控制协议/互联网协议TCP/IP连接建立时的第一个数据包SYN数据包、HTTP协议中使用GET操作方式得到的数据包GET数据包或者HTTP协议中使用POST操作方式得到的数据包POST数据包。

3.如权利要求2所述的方法，其特征在于，如果为SYN数据包，则

分别解析获得的每一类型的数据包，提取每一类型数据包对应的特征信息，具体包括：

分别解析获得的SYN数据包的每一字段，从所述SYN数据包中每一字段所对应的特征信息中提取以下至少一项作为所述SYN数据包对应的特征信息：生存时间TTL值信息、网络协议IP头选项长度信息、最大报文段长度MSS信息、传输控制协议TCP窗口大小信息、TCP窗口扩大因子信息以及TCP选项顺序信息。

4.如权利要求2所述的方法，其特征在于，如果为GET数据包或者POST数据包，则

分别解析获得的每一类型的数据包，提取每一类型数据包对应的特征信息，具体包括：

解析所述GET数据包或者POST数据包，从所述GET数据包或者POST数据包中提取用户代理UA特征信息作为所述GET数据包或者POST数据包对应的特征信息。

5.如权利要求1所述的方法，其特征在于，根据不同类型的数据包所对应的特征信息，确定所述发送端的操作系统类型，具体包括：

针对每一类型的数据包，利用该类型数据包所对应的特征信息，从预设的、该类型数据包对应的特征规则列表中匹配该类型数据包对应的不同操作系统类型及其可信度；

针对每一操作系统类型，确定该操作系统类型对应的可信度之和；

确定可信度之和大于等于预设值或者可信度之和最大的操作系统类型为所述发送端的操作系统类型。

6.一种网络设备识别系统，其特征在于，包括：

获得模块，用于获得发送端向服务端发送的、不同类型的数据包；

解析模块，用于分别解析获得模块获得的每一类型的数据包，提取每一类型数据包对应的特征信息；

确定模块，用于根据不同类型的数据包所对应的特征信息，确定所述发送端的操作系统类型。

7.如权利要求6所述的系统，其特征在于，所述不同类型的数据包包括以下任一类型数据包：传输控制协议/互联网协议TCP/IP连接建立时的第一个数据包SYN数据包、HTTP协议中使用GET操作方式得到的数据包GET数据包或者HTTP协议中使用POST操作方式得到的数据包POST数据包。

8.如权利要求7所述的系统，其特征在于，

所述解析模块，具体用于如果为SYN数据包，则分别解析获得的SYN数据包的每一字段，从所述SYN数据包中每一字段所对应的特征信息中提取以下至少一项作为所述SYN数据包对应的特征信息：生存时间TTL值信息、网络协议IP头选项长度信息、最大报文段长度MSS信息、传输控制协议TCP窗口大小信息、TCP窗口扩大因子信息以及TCP选项顺序信息。

9.如权利要求7所述的系统，其特征在于，

所述解析模块，还用于如果为GET数据包或者POST数据包，则解析所述GET数据包或者POST数据包，从所述GET数据包或者POST数据包中提取用户代理UA特征信息作为所述GET数据包或者POST数据包对应的特征信息。

10.如权利要求6所述的系统，其特征在于，所述确定模块，具体包括：

匹配子模块，用于针对每一类型的数据包，利用该类型数据包所对应的特征信息，从预设的、该类型数据包对应的特征规则列表中匹配该类型数据包对应的不同操作系统类型及其可信度；

第一确定子模块，用于针对每一操作系统类型，确定该操作系统类型对应的可信度之和；

第二确定子模块，用于确定可信度之和大于等于预设值或者可信度之和最大的操作系统类型为所述发送端的操作系统类型。