(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111598440.8 (22)申请日 2021.12.24 (71)申请人 武汉思普崚技术有限公司 地址 430070 湖北省武汉市东湖新 技术开 发区光谷大道308号光谷动力节能环 保科技企业孵化器 （加速器） 一期11栋 3层01室 (72)发明人 张欢　 (74)专利代理 机构 北京弘权知识产权代理有限 公司 11363 代理人 郭放　许伟群 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/44(2013.01) (54)发明名称 一种网络 应用识别方法和装置 (57)摘要 本申请提供了一种网络应用识别方法和装 置， 包括： 获取待识别网络流量， 待识别网络流量 包括若干个负载包； 对待识别网络流量的负载包 进行检测， 确定待识别网络流量的流量类型； 当 检测到待识别网络流量为加密流量时， 根据待识 别网络流量的负载包获取待识别网络流量的域 名信息或证书信息； 利用预设的加密流量识别算 法， 根据域名信息或证书信息获取待识别网络流 量对应的网络应用名称。 本申请通过区分加密流 量和非加密流量， 并分别进行应用识别， 可以减 少查询的负载包长度和负载包数量， 降低CPU消 耗性能， 大大提高了识别效率。 权利要求书2页 说明书8页 附图2页 CN 114338126 A 2022.04.12 CN 114338126 A 1.一种网络应用识别方法， 其特 征在于， 所述方法包括： 获取待识别网络流 量， 所述待识别网络流 量包括若干个负载包； 对所述待识别网络流 量的负载包进行检测， 确定所述待识别网络流 量的流量类型； 当检测到所述待识别网络流量为加密流量 时， 根据所述待识别网络流量的负载包获取 所述待识别网络流 量的域名信息或证书信息； 利用预设的加密流量识别算法， 根据 所述域名信 息或所述证书信 息获取所述待识别网 络流量对应的网络应用名称。 2.根据权利要求1所述的网络应用识别方法， 其特征在于， 对所述待识别网络流量的负 载包进行检测， 包括： 将所述待识别网络流量的第 一个负载包输入到预设的流量识别算法中， 确定所述第 一 个负载包中的流量特征 的特征类型； 如果所述流量特征 的特征类型为加密特征， 则所述待 识别网络流量为加密流量； 如果所述流量特征 的特征类型为非加密特征， 则所述待识别网 络流量为非加密流 量。 3.根据权利要求1所述的网络应用识别方法， 其特征在于， 根据 所述待识别网络流量的 负载包获取 所述待识别网络流 量的域名信息或证书信息， 包括： 对所述待识别网络流 量的第一个负载包进行检测； 当所述第一个负载包为Client  Hello报文时， 对所述Client  Hello报文进行解码， 并 提取域名信息， 所述 域名信息包括 域名长度； 当所述第一个负载包为Certificate报文时， 对所述Certificate报文进行解码， 并提 取证书信息， 所述证书信息包括证书长度。 4.根据权利要求3所述的网络应用识别方法， 其特征在于， 如果根据所述第 一个负载包 获取到域名信息或证书信息， 则执行所述获取所述待识别网络流量对应的网络应用名称的 步骤； 如果根据 所述第一个负载包没有获取到域名信 息或证书信 息， 则根据第 二个负载包获 取所述待识别网络流量的域名信息或证书信息， 并根据所述待识别网络流量的域名信息或 证书信息获取网络应用名称； 如果根据第 二个负载包没有获取到所述待识别网络流量的域名信 息或证书信 息， 则继 续根据下一个负载包获取所述待识别网络流量的域名信息或证书信息， 直至预设的第N个 负载包。 5.根据权利要求2所述的网络应用识别方法， 其特征在于， 在将所述第 一个负载包输入 到预设的流 量识别算法中之前， 检测所述第一个负载包的传输协议； 如果所述第 一个负载包的传输协议为UDP， 则确定所述待识别网络流量为非加密流量； 如果所述第一个负载包的传输协议为TCP， 则将所述第一个负载包输入到预设的流量识别 算法中。 6.根据权利要求1所述的网络应用识别方法， 其特 征在于， 当检测到所述待识别网络流量为非加密流量时， 基于预设的非加密流量识别算法， 对 所述第一个负载包进行识别， 得到所述待识别网络流 量对应的网络应用名称。 7.根据权利要求1所述的网络应用识别方法， 其特征在于， 利用预设的加密流量识别算权　利　要　求　书 1/2 页 2 CN 114338126 A 2法， 根据所述域名信息或所述证书信息获取所述待识别网络流量对应的网络应用名称， 包 括： 将所述域名信息或所述证书信息 输入到预设的加密流 量识别算法中， 得到匹配结果； 如果所述匹配结果为网络应用名称， 则将所述匹配结果确定为所述待识别网络流量对 应的网络应用名称； 如果所述匹配结果 不为网络应用名称， 则不进行处 理。 8.根据权利要求6所述的网络应用识别方法， 其特 征在于， 预先统计加密流量网络应用的网络应用名称和流量特征的第 一对应关系， 根据 所述第 一对应关系生成所述预设的加密流 量识别算法； 预先统计非机密流量网络应用的网络应用名称和流量特征的第 二对应关系， 根据 所述 第二对应关系生成所述预设的非加密流 量识别算法。 9.一种网络应用识别装置， 其特 征在于， 包括： 流量获取模块， 被配置为获取待识别网络流量， 所述待识别网络流量包括若干个负载 包； 流量类型确定模块， 被配置为对所述待识别网络流量的负载包进行检测， 确定所述待 识别网络流 量的流量类型； 信息获取模块， 被配置为当检测到所述待识别网络流量为加密流量时， 根据所述待识 别网络流 量的负载包获取 所述待识别网络流 量的域名信息或证书信息； 识别模块， 被配置为利用预设的加密流量识别算法， 根据所述域名信息或所述证书信 息获取所述待识别网络流 量对应的网络应用名称。 10.根据权利要求9所述的网络应用识别装置， 其特征在于， 所述流量类型确定模块具 备被配置为： 将所述待识别网络流量的第 一个负载包输入到预设的流量识别算法中， 确定所述第 一 个负载包中的流量特征 的特征类型； 如果所述流量特征 的特征类型为加密特征， 则所述待 识别网络流量为加密流量； 如果所述流量特征 的特征类型为非加密特征， 则所述待识别网 络流量为非加密流 量。权　利　要　求　书 2/2 页 3 CN 114338126 A 3