[发明专利]一种未识别流量信息反馈的方法及其设备

说明书

技术领域

本发明涉及一种未识别流量信息反馈的方法及其设备。

背景技术

随着互联网技术的快速发展，承载在互联网上的新增应用和应用新版本也随之层出不穷，应用层的网络流控设备针对互联网上出现的未识别的新增应用和应用的新版本缺乏一种快速的反馈机制，进而导致新增应用和应用新版本不能得到快速有效的支持。

发明内容

本发明的目的是提供一种解决应用层网络流控设备出现的未识别流量，包括未识别的新增应用和应用的新版本时的反馈机制。

为实现上述目的，本发明一方面提供了一种未识别流量信息反馈的方法，包括以下步骤：步骤A，发现未识别流量；步骤B，获取所述数据包中的元组信息；步骤C，通过所述数据包元组信息查询所述数据包关联进程信息；步骤D，根据所述数据包与关联的进程信息生成日志信息。

本发明第二方面提供了一种未识别流量信息反馈的设备，包括：数据包分类引擎，用于在应用层网络流控设备发现未识别流量时，获取未识别流量中数据包信息；元组信息提取模块，用于提取数据包中的源IP地址、源端口、协议、目的IP地址、目的端口；进程查询模块，用于根据元组信息提取模块提取的元组信息中的源IP地址和源端口查找数据包所在的关联进程；日志生成模块，用于记录包括数据包元组信息与进程的关联信息。

本发明通过以最小的硬盘开销获取到所有的未识别流量信息，以及及时发现一些新的应用或应用的新版本。本发明成本低、处理效率高、可作为流控设备功能实现，可用于策略中的网络应用控制。

附图说明

本发明的示例性实施例将从下文中给出的详细说明和本发明不同实施例的附图中被更完全地理解，然而这不应该被视为将本发明限制于具体的实施例，而应该只是为了解释和理解。

图1为本发明的原理示意图；

图2为本发明一实施例的未识别流量信息反馈的方法流程图；

图3为本发明一实施例的未识别流量信息反馈的网络流控设备结构图。

具体实施方式

本领域的普通技术人员将意识到，所述示例性实施例的下述详细说明仅仅是说明性的，并且不是意在以任何方式加以限制。

图1为本发明的原理示意图；

在图1中，网络流控设备2对主机1中运行的应用进行识别和监控。当包括应用程序信息的数据包流径网络流控设备2时，网络流控设备2将获取数据包中的应用签名特征与设备中的签名特征库进行配比，通过配比结果来判断应用是否被网络流控设备2所识别，当主机1中运行的应用不能被网络流控设备2识别时，网络流控设备针对未识别的应用信息生成日志信息，通过互联网发送到远程的日志中心服务器，或者由日志中心服务器向网络流控设备收集日志信息。

图2为本发明一实施例的未识别流量信息反馈的方法流程图；

在步骤S201，流程开始。

在步骤S202，发现未识别流量，应用层网络流控设备出现未识别的流量，包括未识别的新应用以及应用新版本。

在步骤S203，获取未识别流量中数据包信息的元组信息，包括源IP地址，源端口，协议、目的IP地址，目的端口。

在步骤S204，根据在步骤S203中获取的数据包元组信息，向源IP地址主机查询元组信息所在的进程，包括通过数据包中的源端口号获取数据包所在的进程。

在步骤S205，生成日志信息，记录未识别流量中的数据包元组信息与数据包所在进程的对应关系。

例如：生成的日志信息如下：