应用层协议识别技术是网络与信息安全的重点研究内容。在本文中,识别应用层协议采用的是基于应用通信特征的识别方法,针对每一种应用软件,获取其通信过程中的独有特征,形成应用特征复合规则。根据应用软件的实现方法以及所使用的网络通信承载协议的不同,复合规则包含以下三类:HTTP协议头部特征、HTTPS协议头部特征和payload特征。在使用复合规则进行匹配时,根据数据包的具体情况进行分析,以便应用于不同的特征集。本系统实现了对HTTP/HTTPS承载应用进行深度识别,同时支持应用层协议识别中传统DPI特征的识别,支持对120种应用层协议识别分类,解决了传统协议识别方法识别粒度大、识别深度不足的问题。本文首先设计并实现了网络流处理平台,它作为本系统的预处理部分,该平台从网卡以混杂模式捕获网络流数据包后根据数据包的具体情况进行不同的处理。网络流处理平台对从网卡捕获的所有HTTP报文提取Start line、Host以及Referer等信息并存储在结构体变量中,对所有HTTPS报文则提取SSL服务器IP和SNI并存储在结构体变量中,其他应用层报文则作为普通的字符流存储在队列中。针对复合规则中的不同特征,设计并实现了下列三个识别子引擎:HTTP引擎、HTTPS引擎和Payload引擎。HTTP引擎的重点是对模式的分析,因为HTTP规则通常包括三项:Start line、Host和Referer字段,将规则构造成两组:第一组提出所有的Host,然后遍历规则,每个Host下面有0个、1个或多个URL;第二组提出所有的URL,每个URL下面有0个、1个或多个Host。然后将以上两组规则构造两个不同的自动机。HTTPS引擎包括一个SNI自动机和一个TRIE树结构。Payload引擎是由应用层协议的正则表达式特征构造的混合自动机。实验结果表明复合规则的提出是解决HTTP/HTTPS承载应用深度识别的一种有效方案,而HTTP/HTTPS承载应用的深度识别为互联网的分析和管理提供了依据。