本發(fā)明涉及網(wǎng)絡(luò)管理監(jiān)控領(lǐng)域，尤其涉及一種應(yīng)用識別裝置及方法、防火墻、服務(wù)器。

背景技術(shù)：

應(yīng)用識別是網(wǎng)關(guān)、防火墻等設(shè)備的管控基礎(chǔ)，提高應(yīng)用識別的準確性、全面性，對提高網(wǎng)絡(luò)管理監(jiān)控的有效性十分重要。

現(xiàn)有技術(shù)中，防火墻、網(wǎng)關(guān)等網(wǎng)絡(luò)邊界設(shè)備的應(yīng)用識別方法都是基于特征提取，具體實現(xiàn)方案包括：在單點實驗室環(huán)境中，對應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量進行分析，提取出特殊關(guān)鍵信息作為特征，生成對應(yīng)特征庫；再部署在網(wǎng)關(guān)設(shè)備上進行特征匹配檢測。而隨著網(wǎng)絡(luò)應(yīng)用數(shù)量發(fā)展迅速，一種應(yīng)用會產(chǎn)生多種網(wǎng)絡(luò)行為，而依靠傳統(tǒng)的特征提取方法無法識別所有的行為，且在單點實驗室環(huán)境也無法識別、覆蓋所有的應(yīng)用網(wǎng)絡(luò)行為特征。

現(xiàn)有的技術(shù)方案存在以下局限性：特征提取工作繁重、復(fù)雜；實驗室環(huán)境單一，無法覆蓋應(yīng)用的所有網(wǎng)絡(luò)行為；特征庫提取、更新周期時間過長；特征匹配性能差。

技術(shù)實現(xiàn)要素：

有鑒于此，本發(fā)明實施例期望提供一種應(yīng)用識別裝置及方法、防火墻、服務(wù)器，能解決實驗室環(huán)境覆蓋的應(yīng)用網(wǎng)絡(luò)行為少的問題，提高特征匹配性能和應(yīng)用識別速度。

為達到上述目的，本發(fā)明的技術(shù)方案是這樣實現(xiàn)的：

本發(fā)明實施例提供了一種應(yīng)用識別方法，所述方法包括：

接收數(shù)據(jù)報文，對接收的數(shù)據(jù)報文進行特征識別檢測，獲得地址信息和應(yīng)用識別結(jié)果，向服務(wù)器發(fā)送包括地址信息和應(yīng)用識別結(jié)果的應(yīng)用識別緩存；

接收所述服務(wù)器發(fā)送的應(yīng)用識別緩存集合作為本地應(yīng)用識別緩存集合；

根據(jù)所述本地應(yīng)用識別緩存集合對新接收的數(shù)據(jù)報文進行應(yīng)用識別。

上述方案中，所述根據(jù)所述本地應(yīng)用識別緩存集合對新接收的數(shù)據(jù)報文進行應(yīng)用識別，包括：

根據(jù)所述本地應(yīng)用識別緩存集合構(gòu)建以地址信息作為檢索條件的數(shù)據(jù)結(jié)構(gòu)；

接收新數(shù)據(jù)報文，獲得新接收的數(shù)據(jù)報文的地址信息，根據(jù)新接收的數(shù)據(jù)報文的所述地址信息查詢所述數(shù)據(jù)結(jié)構(gòu)，獲得應(yīng)用識別結(jié)果。

本發(fā)明實施例還提供了一種應(yīng)用識別方法，所述方法包括：

接收各防火墻發(fā)送的應(yīng)用識別緩存，根據(jù)所述應(yīng)用識別緩存構(gòu)建應(yīng)用識別緩存集合；

對所述應(yīng)用識別緩存集合進行去重，并對去重后的應(yīng)用識別緩存集合存在的矛盾信息進行刪選；

向各防火墻發(fā)送經(jīng)刪選后的應(yīng)用識別緩存集合。

上述方案中，所述對去重后的應(yīng)用識別緩存集合存在的矛盾信息進行刪選，包括：

從應(yīng)用識別緩存集合中獲取各條矛盾信息的可信度的影響要素和所述影響要素的影響比例，根據(jù)所述影響要素和所述影響要素的影響比例計算所述矛盾信息的可信度，根據(jù)所述可信度刪選所述矛盾信息。

上述方案中，所述向各防火墻發(fā)送經(jīng)刪選后的應(yīng)用識別緩存集合之前，所述方法還包括：確定所述應(yīng)用識別緩存集合中的失效信息，刪除失效信息，更新所述應(yīng)用識別緩存集合。

本發(fā)明實施例還提供了一種防火墻，所述防火墻包括：特征識別模塊和緩存模塊；其中，

所述特征識別模塊，用于接收數(shù)據(jù)報文，對接收的數(shù)據(jù)報文進行特征識別檢測，獲得地址信息和應(yīng)用識別結(jié)果，向服務(wù)器發(fā)送包括所述地址信息和應(yīng)用識別結(jié)果的應(yīng)用識別緩存；

所述緩存模塊，用于接收所述服務(wù)器發(fā)送的應(yīng)用識別緩存集合作為本地應(yīng)用識別緩存集合；根據(jù)所述本地應(yīng)用識別緩存集合對新接收的數(shù)據(jù)報文進行應(yīng)用識別。

上述方案中，所述防火墻還包括：第一通信模塊，用于傳輸所述應(yīng)用識別緩存和所述應(yīng)用識別緩存集合。

上述方案中，所述緩存模塊，具體用于：根據(jù)所述本地應(yīng)用識別緩存集合構(gòu)建以地址信息作為檢索條件的數(shù)據(jù)結(jié)構(gòu)；接收新數(shù)據(jù)報文，獲得新接收的數(shù)據(jù)報文的地址信息，根據(jù)新接收的數(shù)據(jù)報文的地址信息查詢所述數(shù)據(jù)結(jié)構(gòu)，獲得應(yīng)用識別結(jié)果。

本發(fā)明實施例還提供了一種服務(wù)器，所述服務(wù)器包括：緩存集合模塊和過濾模塊；

所述緩存集合模塊，用于接收各防火墻發(fā)送的應(yīng)用識別緩存，根據(jù)所述應(yīng)用識別緩存構(gòu)建應(yīng)用識別緩存集合，向各防火墻發(fā)送經(jīng)過刪選的應(yīng)用識別緩存集合；

所述過濾模塊，用于對所述應(yīng)用識別緩存集合進行去重，并對去重后的應(yīng)用識別緩存集合存在的矛盾信息進行刪選；將經(jīng)過刪選后的應(yīng)用識別緩存集合發(fā)送給所述緩存集合模塊。

上述方案中，所述過濾模塊，具體用于：從應(yīng)用識別緩存集合中獲取各條矛盾信息的可信度的影響要素和所述影響要素的影響比例，根據(jù)所述影響要素和所述影響要素的影響比例計算所述矛盾信息的可信度，根據(jù)所述可信度刪選所述矛盾信息；將經(jīng)過刪選后的應(yīng)用識別緩存集合發(fā)送給所述緩存集合模塊。

上述方案中，所述服務(wù)器還包括：信息維護模塊，用于確定所述應(yīng)用識別緩存集合中的失效信息，刪除失效信息，更新所述應(yīng)用識別緩存集合。

上述方案中，所述服務(wù)器還包括：第二通信模塊，用于傳輸所述應(yīng)用識別緩存和所述應(yīng)用識別緩存集合。

本發(fā)明實施例還提供了一種應(yīng)用識別裝置，所述裝置包括：特征識別模塊、緩存模塊、緩存集合模塊和過濾模塊；其中，

所述特征識別模塊，用于接收數(shù)據(jù)報文，對接收的數(shù)據(jù)報文進行特征識別檢測，獲得地址信息和應(yīng)用識別結(jié)果，向服務(wù)器發(fā)送包括所述地址信息和應(yīng)用識別結(jié)果的應(yīng)用識別緩存；

所述緩存模塊，用于接收所述服務(wù)器發(fā)送的應(yīng)用識別緩存集合作為本地應(yīng)用識別緩存集合；根據(jù)所述本地應(yīng)用識別緩存集合對新接收的數(shù)據(jù)報文進行應(yīng)用識別；

所述緩存集合模塊，用于接收各防火墻發(fā)送的應(yīng)用識別緩存，根據(jù)所述應(yīng)用識別緩存構(gòu)建應(yīng)用識別緩存集合，向各防火墻發(fā)送經(jīng)過刪選后的應(yīng)用識別緩存集合；

所述過濾模塊，用于對所述應(yīng)用識別緩存集合進行去重，并對去重后的應(yīng)用識別緩存集合存在的矛盾信息進行刪選；將經(jīng)過刪選后的應(yīng)用識別緩存集合發(fā)送給緩存集合模塊。

上述方案中，所述裝置還包括：信息維護模塊，用于確定所述應(yīng)用識別緩存集合中的失效信息，刪除失效信息，更新所述應(yīng)用識別緩存集合。

上述方案中，所述緩存模塊，具體用于：根據(jù)所述本地應(yīng)用識別緩存集合構(gòu)建以地址信息作為檢索條件的數(shù)據(jù)結(jié)構(gòu)；接收新數(shù)據(jù)報文，獲得新接收的數(shù)據(jù)報文的地址信息，根據(jù)新接收的數(shù)據(jù)報文的地址信息查詢所述數(shù)據(jù)結(jié)構(gòu)，獲得應(yīng)用識別結(jié)果；

所述過濾模塊，具體用于：從應(yīng)用識別緩存集合中獲取各條矛盾信息的可信度的影響要素和所述影響要素的影響比例，根據(jù)所述影響要素和所述影響要素的影響比例計算所述矛盾信息的可信度，根據(jù)所述可信度刪選所述矛盾信息；將經(jīng)過刪選后的應(yīng)用識別緩存集合發(fā)送給所述緩存集合模塊。

上述方案中，所述裝置還包括：第一通信模塊和第二通信模塊；其中，

所述第一通信模塊，用于傳輸所述應(yīng)用識別緩存和所述應(yīng)用識別緩存集合；

所述第二通信模塊，用于傳輸所述應(yīng)用識別緩存和所述應(yīng)用識別緩存集合。

與現(xiàn)有技術(shù)相比，本發(fā)明實施例提供的應(yīng)用識別裝置及方法、防火墻、服務(wù)器，防火墻接收數(shù)據(jù)報文，并對所述數(shù)據(jù)報文進行特征識別檢測，獲得地址信息和應(yīng)用識別結(jié)果，向服務(wù)器發(fā)送包括地址信息和應(yīng)用識別結(jié)果的應(yīng)用識別緩存；接收服務(wù)器發(fā)送的應(yīng)用識別緩存集合作為本地應(yīng)用識別緩存集合，再根據(jù)本地應(yīng)用識別緩存集合對新接收的數(shù)據(jù)報文進行應(yīng)用識別。本發(fā)明實施例通過服務(wù)器將各防火墻的應(yīng)用識別結(jié)果匯總、過濾，再同步下發(fā)到各防火墻中，如此，能實現(xiàn)各防火墻彼此交換應(yīng)用識別緩存，從而提高了應(yīng)用識別準確性和識別覆蓋率，簡化了特征提取的工作量，縮短了更新周期；并且，本發(fā)明實施例基于應(yīng)用識別緩存的應(yīng)用識別，只對IP地址或端口等地址信息進行匹配，提高了識別速度，增強了特征匹配性能。

附圖說明

圖1為本發(fā)明實施例一種防火墻的結(jié)構(gòu)示意圖；

圖2為本發(fā)明實施例一種服務(wù)器的結(jié)構(gòu)示意圖；

圖3為本發(fā)明實施例一種應(yīng)用識別裝置的結(jié)構(gòu)示意圖；

圖4為本發(fā)明實施例一種用于防火墻的應(yīng)用識別方法的流程示意圖；

圖5為本發(fā)明實施例一種用于服務(wù)器的應(yīng)用識別方法的流程示意圖；

圖6為本發(fā)明實施例一種基于上述服務(wù)器和防火墻的應(yīng)用識別方法的流程示意圖。

具體實施方式

本發(fā)明實施例中，防火墻接收數(shù)據(jù)報文，并對所述數(shù)據(jù)報文進行特征識別檢測，獲得地址信息和應(yīng)用識別結(jié)果，向服務(wù)器發(fā)送包括地址信息和應(yīng)用識別結(jié)果的應(yīng)用識別緩存；接收服務(wù)器發(fā)送的應(yīng)用識別緩存集合作為本地應(yīng)用識別緩存集合，再根據(jù)本地應(yīng)用識別緩存集合對新接收的數(shù)據(jù)報文進行應(yīng)用識別。

下面結(jié)合實施例對本發(fā)明再作進一步詳細的說明。

本發(fā)明實施例提供的一種防火墻，用于應(yīng)用識別，如圖1所示，所述防火墻包括：特征識別模塊103、緩存模塊102；其中，

所述特征識別模塊103，用于接收數(shù)據(jù)報文，對所述數(shù)據(jù)報文進行特征識別檢測，獲得地址信息和應(yīng)用識別結(jié)果，向服務(wù)器發(fā)送包括所述地址信息和應(yīng)用識別結(jié)果的應(yīng)用識別緩存；

所述緩存模塊102，用于接收所述服務(wù)器發(fā)送的應(yīng)用識別緩存集合作為本地應(yīng)用識別緩存集合；根據(jù)所述本地應(yīng)用識別緩存集合對新接收的數(shù)據(jù)報文進行應(yīng)用識別。

進一步的，本發(fā)明實施例所述防火墻還可以包括：第一通信模塊101，用于傳輸所述應(yīng)用識別緩存和應(yīng)用識別緩存集合。

具體的，所述第一通信模塊101用于在防火墻和服務(wù)器之間，傳輸所述應(yīng)用識別緩存和應(yīng)用識別緩存集合。

具體來說，所述特征識別模塊103包括特征庫；所述特征庫為：在單點實驗室環(huán)境中對應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量進行分析，提取出特殊關(guān)鍵信息作為特征，生成的對應(yīng)特征庫；所述特征庫部署在防火墻、網(wǎng)關(guān)的網(wǎng)絡(luò)邊界設(shè)備上。本發(fā)明實施例中，可以將特征庫部署在防火墻的特征識別模塊中。

所述獲得應(yīng)用識別結(jié)果具體包括：特征識別模塊103接收到數(shù)據(jù)報文，結(jié)合特征庫運用現(xiàn)有的傳統(tǒng)特征識別檢測方法，對數(shù)據(jù)報文進行特征識別檢測，獲得特征庫中的特征識別的結(jié)果，即為所述應(yīng)用識別結(jié)果。由于一般應(yīng)用的網(wǎng)絡(luò)行為的地址在一定時間內(nèi)具有固定性、范圍性，因此，防火墻對數(shù)據(jù)報文進行特征識別檢測時還獲得地址信息，所述地址信息可以是：IP地址、端口地址等等。

也就是說，所述特征識別模塊103，具體用于：在防火墻接收到數(shù)據(jù)報文時，對所述數(shù)據(jù)報文進行特征識別檢測，獲得應(yīng)用識別結(jié)果；并分析數(shù)據(jù)報文獲得地址信息，該應(yīng)用識別結(jié)果和地址信息作為應(yīng)用識別緩存(cookie)輸出；這里，所述輸出是輸出到服務(wù)器中。

其中，一條cookie可以包含以下內(nèi)容：IP地址、端口(port)、時間(time)、應(yīng)用程序(app)；所述時間指應(yīng)用程序發(fā)生事件的發(fā)生時間，所述應(yīng)用程序可以指：游戲、聊天軟件、工作系統(tǒng)等。

具體來說，緩存模塊102接收所述服務(wù)器發(fā)送的應(yīng)用識別緩存集合作為本地應(yīng)用識別緩存，包括：緩存模塊102接收服務(wù)器發(fā)送的包括各防火墻的應(yīng)用識別緩存的應(yīng)用識別緩存集合，并將該應(yīng)用識別緩存集合保存作為本地應(yīng)用識別緩存集合。

需要說明的是，這里本地應(yīng)用識別緩存集合是不斷更新的，隨著防火墻和服務(wù)器之間不斷傳輸?shù)膽?yīng)用識別緩存和應(yīng)用識別緩存集合，本地識別緩存集合(記做應(yīng)用識別緩存集合一)可以在再次接收到服務(wù)器發(fā)送的應(yīng)用識別緩存集合(記做應(yīng)用識別緩存集合二)，與本地識別緩存集合即應(yīng)用識別緩存集合一合并，生成應(yīng)用識別緩存集合三作為新的本地應(yīng)用識別緩存集合，此刻的本地應(yīng)用識別緩存集合即應(yīng)用識別緩存集合三，是更新后的本地應(yīng)用識別緩存集合；如此類推。

緩存模塊102具體用于：根據(jù)所述本地應(yīng)用識別緩存集合構(gòu)建以地址信息作為檢索條件的數(shù)據(jù)結(jié)構(gòu)，接收新數(shù)據(jù)報文后，獲得新接收的數(shù)據(jù)報文的地址信息，根據(jù)新接收的數(shù)據(jù)報文的地址信息查詢所述數(shù)據(jù)結(jié)構(gòu)，獲得應(yīng)用識別結(jié)果。

進一步的，所述緩存模塊102，還用于：根據(jù)新接收的數(shù)據(jù)報文的地址信息在所述數(shù)據(jù)結(jié)構(gòu)中未查詢到結(jié)果時，將新接收的數(shù)據(jù)報文發(fā)送到特征識別模塊103，再次運用傳統(tǒng)的特征識別檢測方法對新接收的數(shù)據(jù)報文進行特征識別檢測，獲得應(yīng)用識別結(jié)果；并再次將新接收的數(shù)據(jù)報文的地址信息和應(yīng)用識別結(jié)果作為應(yīng)用識別緩存發(fā)送到服務(wù)器中。這里，所述地址信息可以包括IP地址、或端口。

需要說明的是，所述緩存模塊102，可以獲取防火墻發(fā)送到服務(wù)器的應(yīng)用識別緩存，并與服務(wù)器發(fā)送的應(yīng)用識別緩存集合合并，作為本地應(yīng)用識別緩存集合，用于輔助進行應(yīng)用識別；或者僅采用服務(wù)器發(fā)送的應(yīng)用識別緩存集合作為本地應(yīng)用識別緩存集合等。本發(fā)明實施例通過各防火墻將應(yīng)用識別緩存發(fā)送到服務(wù)器，再由服務(wù)器將各防火墻的應(yīng)用識別緩存合并獲得應(yīng)用識別緩存集合并發(fā)送到各防火墻，能提高防火墻的應(yīng)用識別準確性和識別覆蓋率，避免單點防火墻存在的流量信息不足的缺點。

舉例來說，緩存模塊102根據(jù)本地應(yīng)用識別緩存集合構(gòu)建的數(shù)據(jù)結(jié)構(gòu)為hash結(jié)構(gòu)，包括：根據(jù)數(shù)據(jù)報文和應(yīng)用識別獲得的應(yīng)用對應(yīng)的IP地址或者端口作為鍵值(key)構(gòu)建hash結(jié)構(gòu)，根據(jù)key查找獲得對應(yīng)的應(yīng)用識別緩存。

當(dāng)接收數(shù)據(jù)報文，獲得接收的數(shù)據(jù)報文中包含的應(yīng)用的IP地址或者端口，根據(jù)IP地址或者端口查詢所述hash結(jié)構(gòu)，在所述hash結(jié)構(gòu)中查詢到結(jié)果時，則獲得應(yīng)用識別結(jié)果；在所述hash結(jié)構(gòu)中未查詢到結(jié)果時，則根據(jù)所述數(shù)據(jù)報文發(fā)送到特征識別模塊103中進行特征識別檢測。

需要說明的是，特征識別模塊103可以設(shè)定一定周期向服務(wù)器發(fā)送應(yīng)用識別緩存，并不限定在獲得應(yīng)用識別緩存是就立即向服務(wù)器發(fā)送；其中，所述一定周期的時間長度，可在實際應(yīng)用中結(jié)合應(yīng)用識別結(jié)果的更新需求、服務(wù)器性能、防火墻性能等因素確定，例如1小時、2小時、1天等。

具體來說，第一通信模塊101傳輸所述更新的應(yīng)用識別緩存，包括：第一通信模塊101接收特征識別模塊103發(fā)送的應(yīng)用識別緩存，并將應(yīng)用識別緩存發(fā)送到服務(wù)器。

第一通信模塊101傳輸應(yīng)用識別緩存集合，包括：第一通信模塊101接收服務(wù)器發(fā)送的應(yīng)用識別緩存集合，并將所述應(yīng)用識別緩存集合發(fā)送緩存模塊102中。

本發(fā)明實施例提供的一種服務(wù)器，用于應(yīng)用識別，如圖2所示，所述服務(wù)器包括：緩存集合模塊202和過濾模塊203；其中，

所述緩存集合模塊202，用于接收各防火墻發(fā)送的應(yīng)用識別緩存，根據(jù)所述應(yīng)用識別緩存構(gòu)建應(yīng)用識別緩存集合，向各防火墻發(fā)送經(jīng)刪選后的應(yīng)用識別緩存集合；

所述過濾模塊203，用于對所述應(yīng)用識別緩存集合進行去重，并對去重后的應(yīng)用識別緩存集合存在的矛盾信息進行刪選；將經(jīng)過刪選后的應(yīng)用識別緩存集合發(fā)送給所述緩存集合模塊。

進一步的，所述服務(wù)器，還可以包括：信息維護模塊204，用于確定所述應(yīng)用識別緩存集合中的失效信息，刪除失效信息，更新所述應(yīng)用識別緩存集合。

所述服務(wù)器，還可以包括：第二通信模塊201，用于傳輸各防火墻發(fā)送的應(yīng)用識別緩存和所述服務(wù)器向各防火墻發(fā)送的應(yīng)用識別緩存集合。

具體來說，緩存集合模塊202，具體用于接收各防火墻發(fā)送的應(yīng)用識別緩存，根據(jù)所述應(yīng)用識別緩存構(gòu)建應(yīng)用識別緩存集合；所述應(yīng)用識別緩存集合發(fā)送到過濾模塊，再經(jīng)過過濾模塊進行刪選，將刪選后應(yīng)用識別緩存集合發(fā)送到緩存集合模塊，緩存集合模塊向各防火墻發(fā)送經(jīng)刪選后的應(yīng)用識別緩存集合。這里，將各防火墻的應(yīng)用識別緩存合并，獲得的應(yīng)用識別緩存集合即包含了各防火墻的應(yīng)用識別結(jié)果，該應(yīng)用識別緩存發(fā)送到各防火墻中，使得每個防火墻都匯集有其他防火墻的應(yīng)用識別緩存，從而增強了各防火墻的應(yīng)用識別準確性和識別覆蓋率，避免了單點防火墻存在的流量信息不足的缺點。

舉例說明，兩個防火墻進行的應(yīng)用識別分別為：游戲和運用聊天軟件通訊；其中，一個防火墻的應(yīng)用識別結(jié)果包含關(guān)于游戲方面的居多，另一個防火墻的應(yīng)用識別結(jié)果關(guān)于聊天軟件的居多，而通過服務(wù)器將兩者的應(yīng)用識別緩存結(jié)合，再下發(fā)到兩個防火墻中，兩個防火墻均包含有游戲和聊天軟件的應(yīng)用識別結(jié)果，可對游戲和聊天軟件進行應(yīng)用識別，如此，提高了防火墻對應(yīng)用識別的識別率。

需要說明的是，服務(wù)器可以設(shè)定一定周期向各防火墻發(fā)送應(yīng)用識別緩存集合，并不限定在獲得應(yīng)用識別緩存集合就立即向防火墻發(fā)送；所述一定周期的時間長度，可在實際應(yīng)用中結(jié)合應(yīng)用識別結(jié)果的更新需求、服務(wù)器性能、防火墻性能等因素確定，例如1小時、2小時、1天等

具體來說，第二通信模塊201傳輸各防火墻發(fā)送的應(yīng)用識別緩存，包括：第二通訊模塊201接收防火墻發(fā)送的應(yīng)用識別緩存，將所述應(yīng)用識別緩存發(fā)送到緩存集合模塊202。

第二通信模塊201傳輸服務(wù)器向防火墻發(fā)送的應(yīng)用識別緩存集合，包括：第二通信模塊201接收緩存集合模塊發(fā)送的應(yīng)用識別緩存集合，并將所述應(yīng)用識別緩存集合經(jīng)過防火墻的第一通信模塊101發(fā)送到緩存模塊102。

具體來說，所述過濾模塊203，具體用于：從應(yīng)用識別緩存集合中獲取矛盾信息的可信度的影響要素和所述影響要素的影響比例，根據(jù)所述影響要素和所述影響要素的影響比例計算所述矛盾信息的可信度，根據(jù)所述可信度刪選所述矛盾信息；將經(jīng)過刪選后的應(yīng)用識別緩存集合發(fā)送給所述緩存集合模塊。

其中，影響要素可以包括：矛盾信息的IP地址或端口的使用次數(shù)、使用范圍、使用時間長度、應(yīng)用類型；結(jié)合每條矛盾信息的使用次數(shù)、使用范圍、使用時間長度、應(yīng)用類型的影響比例確定該矛盾信息的可信度，根據(jù)所述可信度刪選所述矛盾信息，即選擇可信度最高的一條信息，刪除其它信息。具體可采用如下公式確定矛盾信息的可信度：

$F\left(IP\right)=\underset{n=1}{\overset{\mathrm{\∞}}{\Σ}}\left({\mathrm{\ϵ}}_{0}f\right(a_0)+{\mathrm{\ϵ}}_{1}f(a_1)+{\mathrm{\ϵ}}_{2}f(a_2)+{\mathrm{\ϵ}}_{3}f(a_3\left)\right)$

其中，a₀、a₁、a₂、a₃分別表示IP地址或端口的使用次數(shù)、使用范圍、使用時間長度、應(yīng)用類型，ε₀、ε₁、ε₂、ε₃分別表示IP地址或端口的使用次數(shù)、使用范圍、使用時間長度、應(yīng)用類型所占的影響比例。

需要說明的是，上述描述并不限定刪選方法只需考慮的使用次數(shù)、使用范圍、使用時間長度；實際應(yīng)用中，若需考慮其他要素，也可以加入上述公式進行計算，具體如下式：

$F\left(IP\right)=\underset{n=1}{\overset{\mathrm{\∞}}{\Σ}}\left({\mathrm{\ϵ}}_{0}f\right(a_0)+{\mathrm{\ϵ}}_{1}f(a_1)+{\mathrm{\ϵ}}_{2}f(a_2)+{\mathrm{\ϵ}}_{3}f(a_3)+...+{\mathrm{\ϵ}}_{m}f(a_m\left)\right)$

其中，a₀、a₁、a₂、a₃、a_m分別表示IP地址或端口的確定可信度的相關(guān)要素，ε₀、ε₁、ε₂、ε₃、ε_m分別表示對應(yīng)的影響要素的影響比例；所述影響要素包括：使用次數(shù)、使用范圍、使用時間長度、應(yīng)用類型、最后上傳時間等。

這里，所述使用次數(shù)為：該IP地址或端口被使用的次數(shù)，即：IP地址或端口分別為應(yīng)用a、應(yīng)用b……應(yīng)用n的次數(shù)；

使用時間長度為：從最初開始使用到最后一次使用的時間長度；

使用范圍為：在涉及到的使用設(shè)備(如電腦、手機終端等)的臺數(shù)(例如100臺、200臺)；

應(yīng)用類型可以是：游戲類應(yīng)用，下載應(yīng)用，視頻應(yīng)用等，每種類型對應(yīng)的優(yōu)先級不同；

最后上傳時間為：該信息最近一次上傳時間。

具體來說，信息維護模塊204，具體用于：確定所述應(yīng)用識別緩存集合中的失效信息，刪除失效信息，更新所述應(yīng)用識別緩存集合。這里，服務(wù)器中應(yīng)用識別緩存集合采用超時過期機制，即：設(shè)定有應(yīng)用超時期限，確定應(yīng)用識別緩存集合中的超過所述應(yīng)用超時期限的應(yīng)用識別信息，設(shè)定該應(yīng)用識別消息失效，刪除該消息，更新所述應(yīng)用識別緩存集合。更新后的應(yīng)用識別緩存集合發(fā)送到防火墻中，可以替換防火墻中保存的本地應(yīng)用識別緩存集合。

需要說明的是：在一定時間到期后，緩存集合模塊202中的緩存會自動超時失效，不同應(yīng)用類別超時時間不同；信息維護模塊204為保證應(yīng)用識別緩存集合的有效性，在一定周期時間內(nèi)更新應(yīng)用識別緩存。

本發(fā)明實施例提供的一種應(yīng)用識別裝置，如圖3所示，所述裝置包括服務(wù)器群311和防火墻群，這里，服務(wù)器群包括多個服務(wù)器，防火墻群包括多個防火墻，即包括圖中所示的防火墻301、防火墻302……防火墻30n；防火墻群和服務(wù)器群之間通過云服務(wù)通信。防火墻的結(jié)構(gòu)如圖1所示，服務(wù)器的結(jié)構(gòu)如圖2所示，各服務(wù)器之間相互可進行通信。

本發(fā)明實施例提供的一種應(yīng)用識別裝置，包括：特征識別模塊、緩存模塊、緩存集合模塊和過濾模塊；

所述特征識別模塊，用于接收數(shù)據(jù)報文，對接收的數(shù)據(jù)報文進行特征識別檢測，獲得地址信息和應(yīng)用識別結(jié)果；向服務(wù)器發(fā)送包括所述地址信息和應(yīng)用識別結(jié)果的應(yīng)用識別緩存

所述緩存模塊，用于接收所述服務(wù)器發(fā)送的應(yīng)用識別緩存集合作為本地應(yīng)用識別緩存集合；即，根據(jù)所述本地應(yīng)用識別緩存集合對新接收的數(shù)據(jù)報文進行應(yīng)用識別。

所述緩存集合模塊，用于接收各防火墻發(fā)送的應(yīng)用識別緩存，根據(jù)所述應(yīng)用識別緩存構(gòu)建應(yīng)用識別緩存集合，向各防火墻發(fā)送經(jīng)刪選后的應(yīng)用識別緩存集合；

所述過濾模塊，用于對所述應(yīng)用識別緩存集合進行去重，并對去重后的應(yīng)用識別緩存集合存在的矛盾信息進行刪選；將經(jīng)過刪選后的應(yīng)用識別緩存集合發(fā)送給所述緩存集合模塊。

進一步的，所述應(yīng)用識別裝置，還可以包括：信息維護模塊，用于確定所述應(yīng)用識別緩存集合中的失效信息，刪除失效信息，更新所述應(yīng)用識別緩存集合。

所述應(yīng)用識別裝置，還可以包括：第一通信模塊、第二通信模塊；其中，

第一通信模塊和第二通信模塊，用于傳輸應(yīng)用識別緩存和應(yīng)用識別緩存集合。

具體的，所述第一通信模塊，用于傳輸所述特征識別模塊發(fā)送的應(yīng)用識別緩存；及，傳輸所述緩存集合模塊發(fā)送的應(yīng)用識別緩存集合；

所述第二通信模塊，用于傳輸所述特征識別模塊發(fā)送的應(yīng)用識別緩存；及，傳輸所述緩存集合模塊發(fā)送的應(yīng)用識別緩存集合。

緩存模塊102，具體用于：根據(jù)所述本地應(yīng)用識別緩存集合構(gòu)建以地址信息作為檢索條件的數(shù)據(jù)結(jié)構(gòu)，接收新數(shù)據(jù)報文后，獲得新接收的數(shù)據(jù)報文的地址信息，根據(jù)新接收的數(shù)據(jù)報文的地址信息查詢所述數(shù)據(jù)結(jié)構(gòu)，獲得應(yīng)用識別結(jié)果。

進一步的，所述緩存模塊102，還用于根據(jù)新接收的數(shù)據(jù)報文的地址信息在所述數(shù)據(jù)結(jié)構(gòu)中未查詢到結(jié)果時，將新接收的數(shù)據(jù)報文發(fā)送到特征識別模塊103，再次運用傳統(tǒng)的特征識別檢測方法對新接收的數(shù)據(jù)報文進行特征識別檢測，獲得應(yīng)用識別結(jié)果；并再次將新接收的數(shù)據(jù)報文的地址信息和應(yīng)用識別結(jié)果作為應(yīng)用識別緩存發(fā)送到服務(wù)器中。這里，所述地址信息可以包括IP地址、或端口。

所述過濾模塊203，具體用于：從應(yīng)用識別緩存集合中獲取矛盾信息的可信度的影響要素和所述影響要素的影響比例，根據(jù)所述影響要素和所述影響要素的影響比例計算所述矛盾信息的可信度，根據(jù)所述可信度刪選所述矛盾信息；將經(jīng)過刪選后的應(yīng)用識別緩存集合發(fā)送給所述緩存集合模塊。

這里，通過服務(wù)器群將各防火墻的應(yīng)用識別結(jié)果合并再下發(fā)，使得各防火墻均能夠其他防火墻的識別結(jié)果，提高防火墻的識別率。服務(wù)器群中各服務(wù)器相互之間可以進行通信，多個服務(wù)器進行應(yīng)用識別緩存的合并、去重、更新、刪選矛盾信息等，提高服務(wù)器群的處理效率。

本發(fā)明實施例提供一種應(yīng)用識別方法，應(yīng)用于防火墻中，如圖4所示，所述方法包括：

步驟401：接收數(shù)據(jù)報文，對接收的數(shù)據(jù)報文進行特征識別檢測，獲得地址信息和應(yīng)用識別結(jié)果；向服務(wù)器發(fā)送包括地址信息和應(yīng)用識別結(jié)果的應(yīng)用識別緩存；

步驟402：接收所述服務(wù)器發(fā)送的應(yīng)用識別緩存集合作為本地應(yīng)用識別緩存集合；

步驟403：根據(jù)所述本地應(yīng)用識別緩存集合對新接收的數(shù)據(jù)報文進行應(yīng)用識別。

具體來說，防火墻包括在單點實驗室環(huán)境中對應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量進行分析，提取出特殊關(guān)鍵信息作為特征，生成的對應(yīng)特征庫。步驟401包括：防火墻接收數(shù)據(jù)報文，結(jié)合特征庫運用現(xiàn)有的傳統(tǒng)特征識別檢測方法對數(shù)據(jù)報文進行識別，獲得特征庫中的特征識別結(jié)果，即獲得所述應(yīng)用識別結(jié)果。

當(dāng)防火墻接收到數(shù)據(jù)報文時，在特征識別模塊中進行應(yīng)用識別獲得應(yīng)用識別結(jié)果，分析數(shù)據(jù)報文獲得地址信息，該應(yīng)用識別結(jié)果和地址信息作為應(yīng)用識別緩存(cookie)輸出。其中，一條cookie可以包含以下內(nèi)容：IP地址、端口(port)、時間(time)、應(yīng)用程序(app)，應(yīng)用程序可以是：游戲、聊天軟件、工作系統(tǒng)等。

具體來說，步驟402中，防火墻接收的服務(wù)器發(fā)送的應(yīng)用識別緩存集合包括各防火墻發(fā)送的應(yīng)用識別緩存。

步驟403包括：防火墻根據(jù)所述本地應(yīng)用識別緩存集合構(gòu)建以地址信息作為檢索條件的數(shù)據(jù)結(jié)構(gòu)；接收新數(shù)據(jù)報文，獲得新接收的數(shù)據(jù)報文的地址信息，根據(jù)所述地址信息查詢所述數(shù)據(jù)結(jié)構(gòu)，獲得應(yīng)用識別結(jié)果。

所述步驟403，還可以包括，所述數(shù)據(jù)結(jié)構(gòu)中未查詢到結(jié)果時，再運用傳統(tǒng)的特征識別檢測方法對新接收的數(shù)據(jù)報文進行特征識別檢測，獲得包括新接收的數(shù)據(jù)報文的地址信息(IP地址或端口)和應(yīng)用識別結(jié)果的應(yīng)用識別緩存，再次將應(yīng)用識別緩存發(fā)送到防火墻。

舉例來說，步驟403根據(jù)所述本地應(yīng)用識別緩存構(gòu)建hash結(jié)構(gòu)，新接收到數(shù)據(jù)報文，根據(jù)新接收的數(shù)據(jù)報文查詢所述hash結(jié)構(gòu)，所述hash結(jié)構(gòu)中查詢到結(jié)果時，則獲得應(yīng)用識別結(jié)果，所述hash結(jié)構(gòu)中未查詢到結(jié)果，則根據(jù)新數(shù)據(jù)報文運用傳統(tǒng)特征識別檢測方法進行應(yīng)用識別。

相應(yīng)的，本發(fā)明實施例提供一種應(yīng)用識別方法，應(yīng)用于服務(wù)器中，如圖5所示，所述方法包括：

步驟501：接收各防火墻發(fā)送的應(yīng)用識別緩存，根據(jù)所述應(yīng)用識別緩存構(gòu)建應(yīng)用識別緩存集合；

這里，服務(wù)器接收防火墻發(fā)送的應(yīng)用識別緩存，根據(jù)各防火墻的應(yīng)用識別緩存構(gòu)建應(yīng)用識別緩存集合，保存在服務(wù)器的緩存集合模塊；

步驟502：對所述應(yīng)用識別緩存集合進行去重，并對去重后的應(yīng)用識別緩存集合存在的矛盾信息進行刪選；

這里，服務(wù)器的過濾模塊對所述應(yīng)用識別緩存集合進行去重，并對去重后的應(yīng)用識別緩存集合存在的矛盾信息進行刪選。

所述對去重后的應(yīng)用識別緩存集合存在的矛盾信息進行刪選，包括：

從應(yīng)用識別緩存集合中獲取各條矛盾信息的可信度的影響要素和所述影響要素的影響比例，根據(jù)所述影響要素和所述影響要素的影響比例計算所述矛盾信息的可信度，根據(jù)所述可信度刪選所述矛盾信息。

步驟503：服務(wù)器向各防火墻發(fā)送應(yīng)用識別緩存集合。

進一步的，在步驟503之前，所述方法還包括：

確定所述應(yīng)用識別緩存集合中的失效信息，刪除失效信息，更新所述應(yīng)用識別緩存集合。

這里，服務(wù)器的信息維護模塊確定所述應(yīng)用識別緩存集合中的失效信息，將所述失效信息刪除，從而更新所述應(yīng)用識別緩存集合；并將更新后的應(yīng)用識別緩存集合發(fā)送到防火墻中。

需要說明的是，將所述失效信息刪除是指將失效信息從應(yīng)用識別緩存集合中刪除，但可以將失效信息另外保存。

相應(yīng)的，本發(fā)明實施例提供的一種應(yīng)用識別方法，應(yīng)用于應(yīng)用識別裝置，這里所述應(yīng)用識別裝置可以包括上述服務(wù)器和防火墻；如圖6所示，所述方法包括：

步驟601：接收數(shù)據(jù)報文，各個防火墻利用傳統(tǒng)應(yīng)用特征識別方法對接收的數(shù)據(jù)報文進行應(yīng)用識別，并將應(yīng)用識別結(jié)果組成應(yīng)用識別緩存(cookie)；每條cookie可以包括：IP地址、端口(port)、時間(time)、應(yīng)用(如app)；

步驟602：各個防火墻一定周期將應(yīng)用識別緩存上傳到服務(wù)器；

步驟603：服務(wù)器接收各個防火墻的應(yīng)用識別緩存，合并生成應(yīng)用識別緩存集合(cookies)，對所述應(yīng)用識別緩存集合進行去重、過濾、匯總等處理，保證在服務(wù)器的應(yīng)用識別緩存集合是一致、正確的；

步驟604：服務(wù)器采用超時過期、矛盾解決機制處理應(yīng)用識別緩存集合，保證整體應(yīng)用識別緩存集合的有效性；

超時過期機制為：設(shè)定有應(yīng)用超時期限，確定應(yīng)用識別緩存集合中的超過所述應(yīng)用超時期限的應(yīng)用識別信息，設(shè)定該應(yīng)用識別消息失效，刪除該消息，更新所述應(yīng)用識別緩存集合。

矛盾解決機制為：根據(jù)眾多防火墻上傳的應(yīng)用識別緩存組成的應(yīng)用識別緩存集合中可能包含有矛盾的信息，針對這些矛盾的信息建立一種仲裁算法，用來對矛盾的信息進行判決。例如可以采用以下仲裁算法：

$F\left(IP\right)=\underset{n=1}{\overset{\mathrm{\∞}}{\Σ}}\left({\mathrm{\ϵ}}_{0}f\right(a_0)+{\mathrm{\ϵ}}_{1}f(a_1)+{\mathrm{\ϵ}}_{2}f(a_2)+{\mathrm{\ϵ}}_{3}f(a_3)+...+{\mathrm{\ϵ}}_{m}f(a_m\left)\right)$

其中，a₀、a₁、a₂、a₃、a_m分別表示IP地址或端口的確定IP地址或端口的可信度的相關(guān)要素，所述要素包括：使用次數(shù)、使用范圍、使用時間長度、應(yīng)用類型、最后上傳時間等。

步驟605：服務(wù)器將處理后的應(yīng)用識別緩存集合發(fā)送到各個防火墻。

步驟606：各個防火墻利用服務(wù)器發(fā)送的刪選、更新后的應(yīng)用識別緩存集合，作為每個防火墻的本地應(yīng)用識別緩存集合，輔助進行應(yīng)用識別。

具體的，各防火墻根據(jù)更新的應(yīng)用識別緩存集合構(gòu)建以地址信息作為檢索條件的數(shù)據(jù)結(jié)構(gòu)；接收新數(shù)據(jù)報文，獲得新接收的數(shù)據(jù)報文的地址信息，根據(jù)所述地址信息查詢所述數(shù)據(jù)結(jié)構(gòu)，獲得應(yīng)用識別結(jié)果。例如，構(gòu)建hash結(jié)構(gòu)，在接收到數(shù)據(jù)報文后，根據(jù)所述數(shù)據(jù)報文的IP地址或端口查詢所述hash結(jié)構(gòu)，所述hash結(jié)構(gòu)中查詢到結(jié)果時，則獲得應(yīng)用識別結(jié)果，所述hash結(jié)構(gòu)中未查詢到結(jié)果，則根據(jù)所述數(shù)據(jù)報文在特征識別庫中進行應(yīng)用識別。

這里，cookie的內(nèi)容包含：IP地址、port等，通過IP地址或者port作為查詢條件，實現(xiàn)快速識別，又因為整個應(yīng)用識別緩存集合是多個單點收集到的信息集合，因此各防火墻的應(yīng)用識別緩存具有全面、準確的特點。

通過以上本發(fā)明實施例提供的方法、服務(wù)器、防火墻、裝置，提高各防火墻的應(yīng)用識別準確性、識別覆蓋率；且簡化工作量、縮短特征更新周期。

在上述幾個實施例中，應(yīng)該理解到，所揭露的裝置、服務(wù)器、防火墻和方法，可以通過其它的方式實現(xiàn)。以上所描述的終端實施例僅僅是示意性的，例如，所述模塊的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，如：多個模塊或組件可以結(jié)合，或可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另外，在本發(fā)明各實施例中的各功能模塊可以全部集成在一個處理模塊中，也可以是各模塊分別單獨作為一個模塊，也可以兩個或兩個以上模塊集成在一個模塊中；上述集成的模塊既可以采用硬件的形式實現(xiàn)，也可以采用硬件加軟件功能單元的形式實現(xiàn)。

以上所述，僅為本發(fā)明的較佳實施例而已，并非用于限定本發(fā)明的保護范圍，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。