[发明专利]一种应用程序的识别方法及装置

说明书

本申请实施例中公开了一种应用程序的识别方法及装置，该方法为对待识别会话进行特征字符提取，获得特征字符列表，其中，特征字符列表中至少包含服务器的目的IP；获取对应特征字符列表中的目的IP设置的特征字符集合，并将特征字符列表，分别与特征字符集合中包含的每一个应用字符列表进行匹配，获得匹配结果；基于匹配结果，判断匹配结果是否表征匹配成功，若是，则确定对应特征字符列表设置的应用程序；否则，获取对应目的IP设置的关联IP，并获取对应关联IP设置的关联字符集合，以及基于特征字符列表、关联IP和关联字符集合，确定对应特征字符列表设置的应用程序。这样，避免了各个等效会话的重复识别，节约了系统资源，提高了系统的性能。

技术领域

本申请涉及通信技术领域，尤其涉及一种应用程序的识别方法及装置。

背景技术

随着互联网技术的发展，为提高网络的安全，通常基于应用程序与服务器之间的会话，采用端口识别，互联网协议地址(Internet Protocol Address，IP)识别，深度包检测技术(Deep Packet Inspection，DPI)识别，深度流检测技术(Deep Flow Inspection，DFI)识别，或协议解码等技术，进行应用程序的识别，进而可以根据识别结果，对应用程序进行筛选等网络安全操作。

其中，端口识别和IP识别是通过应用程序的端口和IP，服务器的端口和IP以及两者通信采用的协议，对应用程序进行识别。DPI技术基于应用层协议对应用层数据进行字符提取，并将提取的字符与预设的字符集合中的各个字符进行匹配，以及根据匹配结果，确定提取的字符对应的应用程序。而DFI技术是一种基于流量行为的应用识别技术，即根据会话连接或数据流的状态，判断应用程序的类型。

现有技术下，对应用程序进行识别时，主要采用以下方式：

将端口识别、IP识别、DPI识别和DFI识别相结合，先通过端口识别和IP识别对采用特定端口和特定IP的应用程序进行识别，若识别失败，再采用DPI识别以及DFI识别对应用程序进行识别。

但是，由于DPI识别和DFI识别采用的算法均比较复杂，并且需要较大的匹配集合空间，因此，采用这种方式会耗费大量的系统资源，进而降低了系统性能；其次，若一个应用程序在短时间内向同一个服务器发送了多个请求会话，则终端会对每一个会话都进行应用程序的识别，即会对冗余的等效会话进行重复识别，这也会耗费大量的系统资源，以及降低系统性能。进一步地，一个应用程序与多个相互关联的服务器进行会话时，由于相互关联的服务器的IP为同一个应用服务的各个服务器对应的IP，因此，包含关联的服务器的IP的各个会话可以等效为一个会话，即应用程序的识别结果是相同的。但是，终端会对包含关联服务器的IP的各个冗余的等效会话均进行应用程序的识别，这也会造成系统资源的浪费，降低系统的性能。

发明内容

本申请实施例提供一种应用程序的识别方法及装置，用于在进行应用程序的识别时，避免冗余会话的识别流程，节约系统资源，提高系统性能。

本申请实施例提供的具体技术方案如下：

第一方面，一种应用程序的识别方法，包括：

对待识别会话进行特征字符提取，获得特征字符列表，其中，特征字符列表中至少包含服务器的目的IP；

获取对应特征字符列表中的目的IP设置的特征字符集合，并将特征字符列表，分别与特征字符集合中包含的每一个应用字符列表进行匹配，获得匹配结果；

基于匹配结果，判断匹配结果是否表征匹配成功，若是，则确定对应特征字符列表设置的应用程序；

否则，获取对应目的IP设置的关联IP，并获取对应关联IP设置的关联字符集合，以及基于特征字符列表、关联IP和关联字符集合，确定对应特征字符列表设置的应用程序。