中国当前互联网高速发展,信息化建设步伐加快,企业对于网络带宽的需求日益加剧。然而,国内网络基础设施建设发展缓慢。全球最大的CDN服务商美国Akamai公司的最新报告显示,中国大陆的网速排名全球仅第90位,平均1.4Mbps,远低于世界平均水平(2.7Mbps)。不仅网络带宽无法满足企业需求,而且越来越多的网络安全问题也日渐突出。国内知名网络社区600万密码泄露,大型电子商务网站的账户信息被泄露,都表明网络安全应当受到企业的足够重视。网络应用协议识别系统就可以改善上诉问题。它不仅能够改善企业内部网络带宽的紧张情况,并且可以通过实时监控企业内部网络,保障企业信息安全。本文从介绍Snort这种开源的轻量级入侵检测系统开始,说明传统应用协议识别技术的局限性,然后阐述本文中的“双重特征”——基于明文匹配的静态特征和基于数据包负载大小的流量特征。之后通过捕获“QQ音乐”这款网络应用的数据包、对比数据包负载内容、分析数据包净荷中的明文信息、匹配相关内容、提取特征形成规则、导入系统并测试等一系列步骤,说明如何使用嗅探工具捕获数据,手动提取静态特征。对于类似P2P等采用加密数据进行传输的网络应用,本文通过改进的LCS算法和K-Means算法应用于流量特征提取中,阐述如何从大量数据中自动提取流量特征,并形成相应的规则。通过这种低误报率、高识别率的方法弥补Snort系统的不足。本文最后实现基于双重特征的网络应用协议识别系统。主要分为离／在线网络应用协议识别模块、数据规则存储模块、后台数据训练模块。系统不仅可以使用现有的Snort特征,而且通过流量特征具备了识别加密数据流,同时还具备从大量离线数据中自动提取特征等功能。它既可以监控网络,防范网络入侵,又克服了传统识别方法的不足,同时还具备识别加密、非加密网络应用协议等特点。