[发明专利]启用不同应用的持续流识别器

说明书

提供一种用于网络跟踪的系统和方法。通过使用具有流标识符和时间戳的分组捕获应用，从网络截获的来自一个或多个分组流的一个或多个原始分组可以用唯一标识符和时间戳来标记，后面用于聚合由一个或多个捕获应用已经分析过的分组流。唯一标识符可以涉及特定捕获应用的网络接口并且还可以具有增加的值，其中值的增加可以是单调的。虽然能够生成辅助时间戳，但后面捕获应用可以忽略用于所述第一捕获应用的主时间戳的那些辅助时间戳，以消除由延迟问题引起的复杂性。

技术领域

本申请一般涉及一种系统和方法，该系统和方法可用于识别通过一个或多个网络应用路由的离散网络流以用于以后的聚合。

背景技术

网络安全和分析通常使用各种离散网络分析应用来捕获、跟踪和分析网络分组数据以保护网络免受恶意攻击。典型的网络捕获应用(也可用于网络安全之外的应用)具有有限的资源，导致串联工作的能力降低，并且随后使网络管理员能够在相同的数据分组流上实时执行多个分析。

例如，分组捕获应用通常仅具有足够的资源来捕获分组，将所有分组写入磁盘，并应用轻量索引以允许检索由五元组指定的分组(包含TCP/IP连接的一组五个不同的值，包括目的地IP地址，源IP地址，端口号以及由第三方应用指示的传输使用的特定协议(例如TCP或UDP)。类似地，流捕获应用只有足够的资源来检查数据分组并存储五元组的流记录和任意数量的附加流属性。这些资源约束阻止多个不同的应用以集合方式处理数据分组流。

为了安全目的，需要捕获应用来实时检查分组。在许多情况下，不同的捕获应用会检查相同的数据分组流，但由于数据分组时序略有不同，因此无法同化数据分组收集。数据分组时序不同，是因为捕获到达率与本地硬件或软件应用时间戳的时间不同。因为时序不同，所以不可能有100％确定一致流量识别的准确性。当数据分组流量密度可能达到每秒数十万个流时，数据分组流不能通过其五元组和时序进行唯一标识。

因此，本领域需要解决上述问题。

发明内容

从第一方面看，本发明提供了一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由处理器执行以使所述处理器实现网络跟踪系统，所述方法包括：通过网络分流器(network tap)接收通过网络发送的包括一个或多个分组的一个或多个分组流；通过流检查器识别所述一个或多个分组流的一个或多个起始分组；通过所述流检查器用唯一标识符标记所述一个或多个分组流的每个分组；通过打时机用时间戳标记所述一个或多个分组流的每个分组；以及通过网络跟踪系统将一个或多个标记的分组转发到连接到所述网络的一个或多个辅助系统。

从另一方面来看，本发明提供了一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括处理器和包括指令的存储器，所述指令由处理器执行以使处理器实现网络跟踪系统，该方法包括：通过包括打时机和流检查器的第一捕获应用从网络接收包括一个或多个原始分组的一个或多个分组流；通过所述打时机用时间戳标记每个原始分组；通过所述流检查器用唯一标识符标记每个原始分组；以及使用分组存储库存储所述一个或多个标记的分组。

从另一方面来看，本发明提供了一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由处理器执行以使处理器实现网络跟踪系统，该方法包括：通过一个或多个第一捕获应用用唯一标识符和主时间戳标记包括一个或多个网络数据的原始分组一个或多个分组流；通过所述一个或多个第一捕获应用，将一个或多个标记的分组流转发到一个或多个其它捕获应用；以及通过所述一个或多个其它捕获应用，基于每个标记的分组流的唯一标识符，聚合从所述一个或多个第一捕获应用转发的所述一个或多个标记的分组流。