專利名稱:一種未識別流量信息反饋的方法及其設備的制作方法
技術領域:
本發(fā)明涉及一種未識別流量信息反饋的方法及其設備��。
背景技術:
隨著互聯(lián)網(wǎng)技術的快速發(fā)展�,承載在互聯(lián)網(wǎng)上的新增應用和應用新版本也隨之層出不窮���,應用層的網(wǎng)絡流控設備針對互聯(lián)網(wǎng)上出現(xiàn)的未識別的新增應用和應用的新版本缺乏一種快速的反饋機制���,進而導致新增應用和應用新版本不能得到快速有效的支持。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種解決應用層網(wǎng)絡流控設備出現(xiàn)的未識別流量��,包括未識別的新增應用和應用的新版本時的反饋機制�。為實現(xiàn)上述目的,本發(fā)明一方面提供了一種未識別流量信息反饋的方法�����,包括以下步驟步驟A��,發(fā)現(xiàn)未識別流量;步驟B��,獲取所述數(shù)據(jù)包中的元組信息����;步驟C�,通過所述數(shù)據(jù)包元組信息查詢所述數(shù)據(jù)包關聯(lián)進程信息;步驟D�����,根據(jù)所述數(shù)據(jù)包與關聯(lián)的進程信息生成曰志信息�。本發(fā)明第二方面提供了一種未識別流量信息反饋的設備,包括數(shù)據(jù)包分類引擎���, 用于在應用層網(wǎng)絡流控設備發(fā)現(xiàn)未識別流量時��,獲取未識別流量中數(shù)據(jù)包信息�;元組信息提取模塊���,用于提取數(shù)據(jù)包中的源IP地址���、源端口、協(xié)議、目的IP地址�����、目的端口 ��;進程查詢模塊���,用于根據(jù)元組信息提取模塊提取的元組信息中的源IP地址和源端口查找數(shù)據(jù)包所在的關聯(lián)進程�;日志生成模塊�,用于記錄包括數(shù)據(jù)包元組信息與進程的關聯(lián)信息。本發(fā)明通過以最小的硬盤開銷獲取到所有的未識別流量信息�,以及及時發(fā)現(xiàn)一些新的應用或應用的新版本。本發(fā)明成本低����、處理效率高、可作為流控設備功能實現(xiàn)�,可用于策略中的網(wǎng)絡應用控制。
本發(fā)明的示例性實施例將從下文中給出的詳細說明和本發(fā)明不同實施例的附圖中被更完全地理解����,然而這不應該被視為將本發(fā)明限制于具體的實施例,而應該只是為了解釋和理解��。圖1為本發(fā)明的原理示意圖;圖2為本發(fā)明一實施例的未識別流量信息反饋的方法流程圖�;圖3為本發(fā)明一實施例的未識別流量信息反饋的網(wǎng)絡流控設備結構圖。
具體實施例方式本領域的普通技術人員將意識到��,所述示例性實施例的下述詳細說明僅僅是說明性的�����,并且不是意在以任何方式加以限制�。圖1為本發(fā)明的原理示意在圖1中���,網(wǎng)絡流控設備2對主機1中運行的應用進行識別和監(jiān)控�����。當包括應用程序信息的數(shù)據(jù)包流徑網(wǎng)絡流控設備2時����,網(wǎng)絡流控設備2將獲取數(shù)據(jù)包中的應用簽名特征與設備中的簽名特征庫進行配比���,通過配比結果來判斷應用是否被網(wǎng)絡流控設備2所識別���,當主機1中運行的應用不能被網(wǎng)絡流控設備2識別時�����,網(wǎng)絡流控設備針對未識別的應用信息生成日志信息��,通過互聯(lián)網(wǎng)發(fā)送到遠程的日志中心服務器���,或者由日志中心服務器向網(wǎng)絡流控設備收集日志信息。圖2為本發(fā)明一實施例的未識別流量信息反饋的方法流程圖�����;在步驟S201����,流程開始。在步驟S202���,發(fā)現(xiàn)未識別流量�����,應用層網(wǎng)絡流控設備出現(xiàn)未識別的流量�����,包括未識別的新應用以及應用新版本��。在步驟S203����,獲取未識別流量中數(shù)據(jù)包信息的元組信息,包括源IP地址����,源端口, 協(xié)議��、目的IP地址�����,目的端口����。在步驟S204����,根據(jù)在步驟S203中獲取的數(shù)據(jù)包元組信息,向源IP地址主機查詢元組信息所在的進程�����,包括通過數(shù)據(jù)包中的源端口號獲取數(shù)據(jù)包所在的進程。在步驟S205�����,生成日志信息���,記錄未識別流量中的數(shù)據(jù)包元組信息與數(shù)據(jù)包所在進程的對應關系����。例如生成的日志信息如下
權利要求
1.一種未識別流量信息反饋的方法��,其特征在于��,包括以下步驟 步驟A�����,發(fā)現(xiàn)未識別流量�;步驟B,獲取數(shù)據(jù)包中的元組信息���;步驟C�����,通過所述數(shù)據(jù)包元組信息查詢所述數(shù)據(jù)包關聯(lián)進程信息��; 步驟D����,根據(jù)所述數(shù)據(jù)包與關聯(lián)的進程信息生成日志信息。
2.根據(jù)權利要求1所述的方法�����,其特征在于所述步驟C包括通過所述數(shù)據(jù)包元組信息中的源IP號和源端口號查詢所述數(shù)據(jù)包的關聯(lián)進程信息�。
3.根據(jù)權利要求1所述的方法,其特征在于所述步驟D生成的日志信息記錄著數(shù)據(jù)包元組信息與所述數(shù)據(jù)包所在進程的關聯(lián)信息��。
4.根據(jù)權利要求1所述的方法��,其特征在于所述步驟D生成的日志信息有日志中心服務器定期收集����。
5.一種未識別流量信息反饋的網(wǎng)絡流控設備�����,其特征在于,包括 數(shù)據(jù)包分類引擎�,用于獲取流量中數(shù)據(jù)包信息;元組信息提取模塊���,用于提取數(shù)據(jù)包中的源IP地址����,源端口�,協(xié)議、目的IP地址��,目的端□����;進程查詢模塊,用于根據(jù)元組信息提取模塊提取的元組信息中的源IP地址和源端口查找數(shù)據(jù)包的關聯(lián)進程���;日志生成模塊���,用于記錄包括數(shù)據(jù)包元組信息與進程的關聯(lián)信息。
全文摘要
本發(fā)明公開了一種未識別流量信息反饋的方法及其設備��,所述方法包括以下步驟包括以下步驟步驟A,發(fā)現(xiàn)未識別流量�;步驟B,獲取所述數(shù)據(jù)包中的元組信息�;步驟C,通過所述數(shù)據(jù)包元組信息查詢所述數(shù)據(jù)包關聯(lián)進程信息���;步驟D����,根據(jù)所述數(shù)據(jù)包與關聯(lián)的進程信息生成日志信息����。所述設備包括數(shù)據(jù)包分類引擎,用于獲取未識別流量中數(shù)據(jù)包信息�;元組信息提取模塊,用于提取數(shù)據(jù)包中的元組信息����;進程查詢模塊,根據(jù)元組信息查找數(shù)據(jù)包所在的關聯(lián)進程��;日志生成模塊��,用于記錄數(shù)據(jù)包元組信息與進程的對應關系���。本發(fā)明成本低���、處理效率高、可作為流控設備功能實現(xiàn)����,可用于策略中的網(wǎng)絡應用控制。
文檔編號H04L12/24GK102195816SQ201110135090
公開日2011年9月21日 申請日期2011年5月24日 優(yōu)先權日2011年5月24日
發(fā)明者崔淵博, 陳振昌 申請人:北京網(wǎng)康科技有限公司