CN105703930A - 基于应用的会话日志处理方法及装置 - Google Patents
基于应用的会话日志处理方法及装置 Download PDFInfo
- Publication number
- CN105703930A CN105703930A CN201410692864.4A CN201410692864A CN105703930A CN 105703930 A CN105703930 A CN 105703930A CN 201410692864 A CN201410692864 A CN 201410692864A CN 105703930 A CN105703930 A CN 105703930A
- Authority
- CN
- China
- Prior art keywords
- session
- application protocol
- service message
- protocol type
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于应用的会话日志处理方法以及装置,应用于网络设备,该方法包括:接收业务报文;判断是否存在与所述业务报文匹配的会话表项;当存在与所述业务报文匹配的会话表项时,识别所述业务报文中的应用协议类型;将所述应用协议类型添加到所述会话表项中,生成会话日志;将所述会话日志上报给日志服务器。本发明建立基于应用的会话日志,以便网络管理员基于应用对网络流量进行跟踪分析。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及基于应用的会话日志处理方法及装置。
背景技术
在网络系统中,网络设备(例如,路由器、交换机等)将自身产生和维护的会话日志发送给网络系统中的日志服务器,以便网络管理员通过查询日志服务器对网络运行情况进行分析和管理。
目前,网络设备上报的会话日志中仅包含基本的网络流量信息,网络管理员从该网络流量信息中无法获知用户执行的具体网络操作,从而无法进行更加具体的网络流量分析。
发明内容
有鉴于此,本申请提供了一种基于应用的会话日志处理的方法,应用于网络设备,该方法包括:
接收业务报文;
判断是否存在与所述业务报文匹配的会话表项;
当存在与所述业务报文匹配的会话表项时,识别所述业务报文中的应用协议类型;
将所述应用协议类型添加到所述会话表项中,生成会话日志;
将所述会话日志上报给日志服务器。
本申请还提供了一种基于应用的会话日志处理的装置,应用于网络设备,该装置包括:
接收单元,用于接收业务报文;
判断单元,用于判断是否存在与所述业务报文匹配的会话表项;
识别单元,用于当存在与所述业务报文匹配的会话表项时,识别所述业务报文中的应用协议类型;
生成单元,用于将所述应用协议类型添加到所述会话表项中,生成会话日志;
上报单元,用于将所述会话日志上报给日志服务器。
本申请在接收到业务报文后,识别该业务报文中的应用协议类型,并将该应用协议类型添加到该业务报文对应的会话表项中,生成会话日志,再将该会话日志上报给日志服务器,以便网络管理员基于应用对网络流量进行跟踪分析。
附图说明
图1是本申请一种实施例中基于应用的会话日志处理方法的处理流程图;
图2是本申请一种实施例中基于应用的会话日志处理装置的基础硬件示意图;
图3-1是本申请一种实施例中基于应用的会话日志处理装置的结构示意图;
图3-2是本申请另一种实施例中基于应用的会话日志处理装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案及优点更加清楚明白,以下参照附图对本申请所述方案作进一步地详细说明。
网络设备(例如,路由器、交换机等)通过为网络流量创建会话和维护会话,保证网络通信的正常运行。同时,将生成的会话日志上报给日志服务器,便于网络管理员对网络流量进行分析。但是从目前网络设备上报的会话日志中还无法获知用户的具体操作信息,例如:在某一时间段内,用户使用百度影音观看视频。
针对上述问题,本申请实施例提出一种基于应用的会话日志处理的方法,网络设备在接收到业务报文后,识别该业务报文中的应用协议类型,将该应用协议类型添加到该业务报文对应的会话表项中,生成会话日志,再上报给日志服务器。
参见图1,为本申请基于应用的会话日志处理方法的一个实施例流程图,该实施例对基于应用的会话日志处理过程进行描述。
步骤110,接收业务报文。
步骤120,判断是否存在与所述业务报文匹配的会话表项。
网络设备在接收到业务报文后,查询本地维护的会话表项,判断是否存在与该业务报文匹配的流表项,例如,可以根据该业务报文的源IP(InternetProtocol,网际协议)地址、目的IP地址、源端口、目的端口等报文特征与本地流表项进行匹配。
步骤130,当存在与所述业务报文匹配的会话表项时,识别所述业务报文中的应用协议类型。
根据步骤120中的判断结果,当本地会话表项中存在与业务报文匹配的会话表项时,更新会话表项的统计信息,例如,网络流量的字节数、数据包个数等信息。同时,对业务报文进行深度解析,从业务报文中提取应用协议特征,查询本地保存的应用协议特征库,找到与该应用协议特征匹配的应用协议类型(例如,迅雷下载、百度影音等)。当然,也可以基于端口号进行应用协议识别,但该方法只适用于使用固定端口号的应用协议,对应用协议识别的能力有限。
步骤140,将所述应用协议类型添加到所述会话表项中,生成会话日志。
将步骤130中获取的应用协议类型添加到对应的会话表项中,以便生成基于应用的会话日志。在该会话日志中还包括会话开始时间和会话结束时间,具体获取方式如下:
根据步骤120中的判断结果,当本地会话表项中不存在与业务报文匹配的会话表项时,创建该业务报文的会话表项,记录会话表项创建时间作为会话开始时间,并将会话开始时间添加到会话表项中。
当在预设的会话老化时间内未接收到与会话表项匹配的业务报文,或接收到表示会话结束的业务报文时,表示该会话结束,将会话结束时间添加的会话表项中。
步骤150,将所述会话日志上报给日志服务器。
通过步骤140可以在会话结束时获得基于应用的会话日志,是否将所有的会话日志上报取决于网络管理员的设置。网络管理员可以在网络设备上预先设置感兴趣的应用协议类型,例如,迅雷。网络设备在会话结束时,获取感兴趣应用协议类型,判断会话的应用协议类型是否与感兴趣应用协议类型匹配,如果匹配,则根据网络管理员在网络设备上配置的日志服务器地址,将该会话日志上报给日志服务器。网络管理员可以根据该会话日志知道某个用户在某一时间段使用了迅雷下载,以便网络管理员基于应用进行网络流量分析,采取更合理的应对措施。
现以一具体实施例为例,详细介绍基于应用的会话日志处理过程。
假设,网络设备接收到新的业务报文,在本地未找到匹配的会话表项,则新建会话表项,参见表1。
传输协议 | 源IP地址 | 目的IP地址 | 源端口 | 目的端口 |
UDP | 221.172.15.5 | 10.10.20.8 | 8183 | 1500 |
表1
表1为会话表项示例,但并不仅限于上述信息。网络设备在新建会话表项的同时,将会话建立的开始时间添加到会话表项中,如表2所示。
表2
网络设备在后续接收到与表1所示会话表项匹配的业务报文后,解析业务报文中的应用协议类型,例如,解析结果为迅雷,则在表2所示会话表项的基础上添加应用协议类型,如表3所示。
表3
当会话结束时,在表3所示会话表项的基础上添加会话结束时间,如表4所示。
表4
表4所示会话表项即为该会话对应的会话日志,网络设备将该会话日志上报给日志服务器,以便网络管理员进行基于应用的网络流量分析。
与前述基于应用的会话日志处理方法的实施例相对应,本申请还提供基于应用的会话日志处理装置的实施例。
本申请基于应用的会话日志处理装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图2所示,为本申请基于应用的会话日志处理装置所在设备的一种硬件结构图,除了图2所示的CPU、内存以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件。
请参考图3-1,为本申请一个实施例中的基于应用的会话日志处理装置的结构示意图。该基于应用的会话日志处理装置包括:接收单元301、判断单元302、识别单元303、生成单元304以及上报单元305,其中:
接收单元301,用于接收业务报文;
判断单元302,用于判断是否存在与所述业务报文匹配的会话表项;
识别单元303,用于当存在与所述业务报文匹配的会话表项时,识别所述业务报文中的应用协议类型;
生成单元304,用于将所述应用协议类型添加到所述会话表项中,生成会话日志;
上报单元305,用于将所述会话日志上报给日志服务器。
请参考图3-2,为本申请另一个实施例中的基于应用的会话日志处理装置的结构示意图。该基于应用的会话日志处理装置在图3-1的基础上,还包括:
创建单元306,用于当不存在与所述业务报文匹配的会话表项时,创建所述业务报文的会话表项;
所述生成单元304,还用于将会话开始时间添加到所述会话表项中。
进一步地,所述识别单元303,包括特征提取模块和类型获取模块,其中:
特征提取模块,用于从所述业务报文中提取应用协议特征;
类型获取模块,用于通过查找本地保存的应用协议特征库,获取与所述应用协议特征匹配的应用协议类型。
进一步地,所述生成单元304,还用于当会话结束时,将会话结束时间添加到所述会话表项中。
进一步地,所述上报单元305,包括预设类型获取模块、类型判断模块以及日志上报模块,其中:
预设类型获取模块,用于在会话结束时,获取预设的感兴趣应用协议类型;
类型判断模块,用于判断所述会话的应用协议类型是否与所述感兴趣应用协议类型匹配;
日志上报模块,用于当所述会话的应用协议类型与所述感兴趣应用协议类型匹配时,将所述会话日志上报给日志服务器。
上述图3-1和图3-2示出的基于应用的会话日志处理装置的实施例,其具体实现过程可参见前述方法实施例的说明,在此不再赘述。
从以上方法和装置的实施例中可以看出,本申请在接收到业务报文后,识别该业务报文中的应用协议类型,并将该应用协议类型添加到该业务报文对应的会话表项中,生成会话日志,再将该会话日志上报给日志服务器,以便网络管理员基于应用对网络流量进行跟踪分析。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种基于应用的会话日志处理方法,应用于网络设备,其特征在于,该方法包括:
接收业务报文;
判断是否存在与所述业务报文匹配的会话表项;
当存在与所述业务报文匹配的会话表项时,识别所述业务报文中的应用协议类型;
将所述应用协议类型添加到所述会话表项中,生成会话日志;
将所述会话日志上报给日志服务器。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当不存在与所述业务报文匹配的会话表项时,创建所述业务报文的会话表项;
将会话开始时间添加到所述会话表项中。
3.如权利要求1所述的方法,其特征在于,所述识别所述业务报文中的应用协议类型,包括:
从所述业务报文中提取应用协议特征;
通过查找本地保存的应用协议特征库,获取与所述应用协议特征匹配的应用协议类型。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
当会话结束时,将会话结束时间添加到所述会话表项中。
5.如权利要求1至4任一所述的方法,其特征在于,所述将所述会话日志上报给日志服务器,包括:
在会话结束时,获取预设的感兴趣应用协议类型;
判断所述会话的应用协议类型是否与所述感兴趣应用协议类型匹配;
当所述会话的应用协议类型与所述感兴趣应用协议类型匹配时,将所述会话日志上报给日志服务器。
6.一种基于应用的会话日志处理装置,应用于网络设备,其特征在于,该装置包括:
接收单元,用于接收业务报文;
判断单元,用于判断是否存在与所述业务报文匹配的会话表项;
识别单元,用于当存在与所述业务报文匹配的会话表项时,识别所述业务报文中的应用协议类型;
生成单元,用于将所述应用协议类型添加到所述会话表项中,生成会话日志;
上报单元,用于将所述会话日志上报给日志服务器。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:
创建单元,用于当不存在与所述业务报文匹配的会话表项时,创建所述业务报文的会话表项;
所述生成单元,还用于将会话开始时间添加到所述会话表项中。
8.如权利要求6所述的装置,其特征在于,所述识别单元,包括:
特征提取模块,用于从所述业务报文中提取应用协议特征;
类型获取模块,用于通过查找本地保存的应用协议特征库,获取与所述应用协议特征匹配的应用协议类型。
9.如权利要求6所述的装置,其特征在于,所述装置还包括:
所述生成单元,还用于当会话结束时,将会话结束时间添加到所述会话表项中。
10.如权利要求6至9任一所述的装置,其特征在于,所述上报单元,包括:
预设类型获取模块,用于在会话结束时,获取预设的感兴趣应用协议类型;
类型判断模块,用于判断所述会话的应用协议类型是否与所述感兴趣应用协议类型匹配;
日志上报模块,用于当所述会话的应用协议类型与所述感兴趣应用协议类型匹配时,将所述会话日志上报给日志服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410692864.4A CN105703930A (zh) | 2014-11-26 | 2014-11-26 | 基于应用的会话日志处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410692864.4A CN105703930A (zh) | 2014-11-26 | 2014-11-26 | 基于应用的会话日志处理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105703930A true CN105703930A (zh) | 2016-06-22 |
Family
ID=56294203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410692864.4A Pending CN105703930A (zh) | 2014-11-26 | 2014-11-26 | 基于应用的会话日志处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105703930A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106713041A (zh) * | 2016-12-29 | 2017-05-24 | 杭州迪普科技股份有限公司 | 会话日志的发送方法及装置 |
CN111614622A (zh) * | 2020-04-20 | 2020-09-01 | 武汉思普崚技术有限公司 | 上网行为管理产品审计日志发送方法及系统 |
CN111698168A (zh) * | 2020-05-20 | 2020-09-22 | 北京吉安金芯信息技术有限公司 | 消息处理方法、装置、存储介质及处理器 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1825812A (zh) * | 2005-02-25 | 2006-08-30 | 华为技术有限公司 | 管理网络日志信息的系统及方法 |
CN1925423A (zh) * | 2005-08-30 | 2007-03-07 | 飞塔信息科技(北京)有限公司 | 具有对网络流量进行解析功能的日志装置、系统与方法 |
CN101272276A (zh) * | 2008-04-22 | 2008-09-24 | 深圳国人通信有限公司 | 一种日志管理的实现方法 |
CN101958837A (zh) * | 2010-09-30 | 2011-01-26 | 北京世纪互联工程技术服务有限公司 | 日志处理系统、日志处理方法、节点服务器和中心服务器 |
CN103023670A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 基于dpi的报文业务类型识别方法及装置 |
CN103532754A (zh) * | 2013-10-12 | 2014-01-22 | 北京首信科技股份有限公司 | 一种通过高速内存、分布式处理海量日志的系统及方法 |
-
2014
- 2014-11-26 CN CN201410692864.4A patent/CN105703930A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1825812A (zh) * | 2005-02-25 | 2006-08-30 | 华为技术有限公司 | 管理网络日志信息的系统及方法 |
CN1925423A (zh) * | 2005-08-30 | 2007-03-07 | 飞塔信息科技(北京)有限公司 | 具有对网络流量进行解析功能的日志装置、系统与方法 |
CN101272276A (zh) * | 2008-04-22 | 2008-09-24 | 深圳国人通信有限公司 | 一种日志管理的实现方法 |
CN101958837A (zh) * | 2010-09-30 | 2011-01-26 | 北京世纪互联工程技术服务有限公司 | 日志处理系统、日志处理方法、节点服务器和中心服务器 |
CN103023670A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 基于dpi的报文业务类型识别方法及装置 |
CN103532754A (zh) * | 2013-10-12 | 2014-01-22 | 北京首信科技股份有限公司 | 一种通过高速内存、分布式处理海量日志的系统及方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106713041A (zh) * | 2016-12-29 | 2017-05-24 | 杭州迪普科技股份有限公司 | 会话日志的发送方法及装置 |
CN111614622A (zh) * | 2020-04-20 | 2020-09-01 | 武汉思普崚技术有限公司 | 上网行为管理产品审计日志发送方法及系统 |
CN111698168A (zh) * | 2020-05-20 | 2020-09-22 | 北京吉安金芯信息技术有限公司 | 消息处理方法、装置、存储介质及处理器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110213212B (zh) | 一种设备的分类方法和装置 | |
WO2015165296A1 (zh) | 协议类型的识别方法和装置 | |
US9185093B2 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
CN103297270A (zh) | 应用类型识别方法及网络设备 | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
CN103780610A (zh) | 基于协议特征的网络数据恢复方法 | |
WO2009093226A3 (en) | A method and apparatus for fingerprinting systems and operating systems in a network | |
US20170134957A1 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
US20200059431A1 (en) | System and method for identifying devices behind network address translators | |
CN104506484A (zh) | 一种私有协议分析与识别方法 | |
CN106789242B (zh) | 一种基于手机客户端软件动态特征库的识别应用智能分析方法 | |
CN104994016B (zh) | 用于分组分类的方法和装置 | |
US11877028B2 (en) | Methods and apparatus to identify media presentations by analyzing network traffic | |
CN109450733B (zh) | 一种基于机器学习的网络终端设备识别方法及系统 | |
JP2017016650A (ja) | コンピュータネットワーク上の資産を検出および識別するための方法およびシステム | |
US10142359B1 (en) | System and method for identifying security entities in a computing environment | |
CN113825129A (zh) | 一种5g网络环境下工业互联网资产测绘方法 | |
CN102624878A (zh) | 基于dns协议识别p2p协议的方法及系统 | |
CN107070700B (zh) | 一种基于身份自动识别的网络服务提供方法 | |
CN105703930A (zh) | 基于应用的会话日志处理方法及装置 | |
Oh et al. | Appsniffer: Towards robust mobile app fingerprinting against VPN | |
CN109245963A (zh) | 网络终端类型的识别方法及相关设备 | |
CN110602059B (zh) | 一种精准复原tls协议加密传输数据明文长度指纹的方法 | |
CN111224891A (zh) | 一种基于动态学习三元组的流量应用识别系统及方法 | |
CN105827627A (zh) | 一种信息获取方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160622 |
|
RJ01 | Rejection of invention patent application after publication |