启用不同应用的持续流识别器制造技术

提供一种用于网络跟踪的系统和方法。通过使用具有流标识符和时间戳的分组捕获应用，从网络截获的来自一个或多个分组流的一个或多个原始分组可以用唯一标识符和时间戳来标记，后面用于聚合由一个或多个捕获应用已经分析过的分组流。唯一标识符可以涉及特定捕获应用的网络接口并且还可以具有增加的值，其中值的增加可以是单调的。虽然能够生成辅助时间戳，但后面捕获应用可以忽略用于所述第一捕获应用的主时间戳的那些辅助时间戳，以消除由延迟问题引起的复杂性。

【技术实现步骤摘要】
【国外来华专利技术】启用不同应用的持续流识别器
本申请一般涉及一种系统和方法，该系统和方法可用于识别通过一个或多个网络应用路由的离散网络流以用于以后的聚合。
技术介绍
网络安全和分析通常使用各种离散网络分析应用来捕获、跟踪和分析网络分组数据以保护网络免受恶意攻击。典型的网络捕获应用(也可用于网络安全之外的应用)具有有限的资源，导致串联工作的能力降低，并且随后使网络管理员能够在相同的数据分组流上实时执行多个分析。例如，分组捕获应用通常仅具有足够的资源来捕获分组，将所有分组写入磁盘，并应用轻量索引以允许检索由五元组指定的分组(包含TCP/IP连接的一组五个不同的值，包括目的地IP地址，源IP地址，端口号以及由第三方应用指示的传输使用的特定协议(例如TCP或UDP)。类似地，流捕获应用只有足够的资源来检查数据分组并存储五元组的流记录和任意数量的附加流属性。这些资源约束阻止多个不同的应用以集合方式处理数据分组流。为了安全目的，需要捕获应用来实时检查分组。在许多情况下，不同的捕获应用会检查相同的数据分组流，但由于数据分组时序略有不同，因此无法同化数据分组收集。数据分组时序不同，是因为捕获到达率与本地硬件或软件应用时间戳的时间不同。因为时序不同，所以不可能有100％确定一致流量识别的准确性。当数据分组流量密度可能达到每秒数十万个流时，数据分组流不能通过其五元组和时序进行唯一标识。因此，本领域需要解决上述问题。
技术实现思路
从第一方面看，本专利技术提供了一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由处理器执行以使所述处理器实现网络跟踪系统，所述方法包括：通过网络分流器(networktap)接收通过网络发送的包括一个或多个分组的一个或多个分组流；通过流检查器识别所述一个或多个分组流的一个或多个起始分组；通过所述流检查器用唯一标识符标记所述一个或多个分组流的每个分组；通过打时机用时间戳标记所述一个或多个分组流的每个分组；以及通过网络跟踪系统将一个或多个标记的分组转发到连接到所述网络的一个或多个辅助系统。从另一方面来看，本专利技术提供了一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括处理器和包括指令的存储器，所述指令由处理器执行以使处理器实现网络跟踪系统，该方法包括：通过包括打时机和流检查器的第一捕获应用从网络接收包括一个或多个原始分组的一个或多个分组流；通过所述打时机用时间戳标记每个原始分组；通过所述流检查器用唯一标识符标记每个原始分组；以及使用分组存储库存储所述一个或多个标记的分组。从另一方面来看，本专利技术提供了一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由处理器执行以使处理器实现网络跟踪系统，该方法包括：通过一个或多个第一捕获应用用唯一标识符和主时间戳标记包括一个或多个网络数据的原始分组一个或多个分组流；通过所述一个或多个第一捕获应用，将一个或多个标记的分组流转发到一个或多个其它捕获应用；以及通过所述一个或多个其它捕获应用，基于每个标记的分组流的唯一标识符，聚合从所述一个或多个第一捕获应用转发的所述一个或多个标记的分组流。从另一方面来看，本专利技术提供了一种用于网络跟踪的数据处理系统中的计算机系统，所述数据处理系统包括处理器和包括指令的存储器，所述计算机系统包括：网络分流器，用于接收通过网络发送的包括一个或多个分组的一个或多个分组流；流检查器，用于识别所述一个或多个分组流的一个或多个起始分组，以及用唯一标识符标记所述一个或多个分组流的每个分组；打时机，用于使用时间戳标记所述一个或多个分组流的每个分组；以及网络跟踪系统，用于将一个或多个标记的分组转发到连接到网络的一个或多个辅助系统。从另一方面来看，本专利技术提供了一种用于网络跟踪的计算机程序产品，所述计算机程序产品包括计算机可读存储介质，所述计算机可读存储介质可由处理电路读取并存储指令用于由执行本专利技术的步骤的方法的处理电路执行。从另一方面来看，本专利技术提供了一种存储在计算机可读介质上并且可加载到数字计算机的内部存储器中的计算机程序，包括当所述程序在计算机上运行时用于执行本专利技术的步骤的软件代码部分。实施例可以提供一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由所述处理器执行以使所述处理器实现网络跟踪系统，该方法包括：通过网络分流器接收通过网络发送的包括一个或多个分组的一个或多个分组流；通过流检查器识别一个或多个分组流的一个或多个起始分组；通过所述流检查器用唯一标识符标记所述一个或多个分组流的每个分组；通过打时机用时间戳标记所述一个或多个分组流的每个分组；并且通过所述网络跟踪系统将一个或多个标记的分组转发到连接到所述网络的一个或多个辅助系统。进一步的实施例可以提供一种方法，所述方法可以通过所述打时机基于分组流的所述一个或多个起始分组被识别的时间标记所述时间戳。进一步的实施例可以提供一种方法，所述方法可以包括通过所述流检查器将所述唯一标识符与所述网络分流器的标识符相关联。进一步的实施例可以提供一种方法，所述方法可以包括通过所述流检查器用识别的每个唯一的分组流单调地增加唯一标识符的数值。进一步的实施例可以提供一种方法，所述方法可以包括通过所述流检查器通过分组封装标记所述一个或多个分组流。进一步的实施例可以提供一种方法，所述方法可以包括通过所述流检查器通过一个或多个固件应用程序接口标记所述一个或多个分组流。进一步的实施例可以提供一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由所述处理器执行以使所述处理器实现网络跟踪系统，所述方法包括：通过包括时间戳和流检查器的第一捕获应用从网络接收包括一个或多个原始分组的一个或多个分组流；通过所述打时机用时间戳标记每个原始分组；通过所述流检查器用唯一标识符标记每个原始分组；并使用分组存储库存储所述一个或多个标记的分组。进一步的实施例可以提供一种方法，所述方法可以包括：通过一个或多个附加的第一捕获应用从网络接收所述一个或多个分组流，每个第一捕获应用包括时间戳和流检查器；通过每个打时机用时间戳标记每个原始分组；通过每个流检查器用唯一标识符标记每个原始分组；以及通过所述分组存储库存储所述一个或多个标记的分组。进一步的实施例可以提供一种方法，所述方法可以包括通过分组存储库使用每个标记的分组的唯一标识符聚合所述一个或多个标记的分组。进一步的实施例可以提供一种方法，所述方法可以包括通过每个流检查器将所述唯一标识符与所述特定的第一捕获应用相关联。进一步的实施例可以提供一种方法，所述方法可以包括通过每个流检查器利用由所述特定第一捕获应用识别的每个唯一分组流单调增加所述唯一标识符的值。进一步的实施例可以提供一种方法，所述方法可以包括通过每个流检查器通过分组封装标记所述一个或多个分组流。进一步的实施例可以提供一种方法，该方法可以包括通过每个流检查器通过一个或多个固件应用程序接口标记所述一个或多个分组流。进一步的实施例可以提供一种数据处理系统中的计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由所述处理器执行以使所述处理器实现网络跟踪系统，所述方法包括：通过一个或多个第本文档来自技高网...

【技术保护点】
1.一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由所述处理器执行以使所述处理器实现网络跟踪系统，所述方法包括：通过网络分流器接收通过网络发送的包括一个或多个分组的一个或多个分组流；通过流检查器识别所述一个或多个分组流的一个或多个起始分组；通过所述流检查器用唯一标识符标记所述一个或多个分组流的每个分组；通过打时机用时间戳标记所述一个或多个分组流的每个分组；以及通过所述网络跟踪系统将一个或多个标记的分组转发到连接到所述网络的一个或多个辅助系统。

【技术特征摘要】
【国外来华专利技术】2016.06.10 US 15/179,4421.一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由所述处理器执行以使所述处理器实现网络跟踪系统，所述方法包括：通过网络分流器接收通过网络发送的包括一个或多个分组的一个或多个分组流；通过流检查器识别所述一个或多个分组流的一个或多个起始分组；通过所述流检查器用唯一标识符标记所述一个或多个分组流的每个分组；通过打时机用时间戳标记所述一个或多个分组流的每个分组；以及通过所述网络跟踪系统将一个或多个标记的分组转发到连接到所述网络的一个或多个辅助系统。2.如权利要求1所述的方法，还包括：通过所述打时机基于所述分组流的所述一个或多个起始分组被识别的时间标记所述时间戳。3.如前述权利要求中任一项所述的方法，还包括：通过所述流检查器将所述唯一标识符与所述网络分流器的标识符相关联。4.如权利要求3所述的方法，还包括：通过所述流检查器在每个唯一分组流被识别的情况下单调地增加所述唯一标识符的数值。5.如前述权利要求中任一项所述的方法，还包括：通过所述流检查器通过分组封装标记所述一个或多个分组流。6.如前述权利要求中任一项所述的方法，还包括：由所述流检查器通过一个或多个固件应用程序接口标记所述一个或多个分组流。7.一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由所述处理器执行以使所述处理器实现网络跟踪系统，该方法包括：通过包括打时机和流检查器的第一捕获应用从网络接收包括一个或多个原始分组的一个或多个分组流；通过所述打时机用时间戳标记每个原始分组；通过所述流检查器用唯一标识符标记每个原始分组；以及使用分组存储库存储所述一个或多个标记的分组。8.如权利要求7所述的方法，还包括：通过一个或多个附加的第一捕获应用从网络接收所述一个或多个分组流，每个所述第一捕获应用包括打时机和流检查器；通过每个打时机用时间戳标记每个原始分组；通过每个流检查器用唯一标识符标记每个原始分组；以及通过所述分组存储库存储所述一个或多个标记的分组。9.如权利要求8所述的方法，还包括：通过所述分组存储库使用每个标记的分组的唯一标识符聚合所述一个或多个标记的分组。10.如权利要求8或9所述的方法，还包括：通过每个流检查器将所述唯一标识符与特定的所述第一捕获应用相关联。11.如权利要求10所述的方法，还包括：通过每个流检查器在每个唯一分组流被所述特定的捕获应用识别的情况下单调地增加所述唯一标识符的数值。12.如权利要求7至11中任一项所述的方法，还包括：通过每个流检查器通过分组封装标记所述一个或多个分组流。13.如权利要求7至12中任一项所述的方法，还包括：由每个流检查器通过一个或多个固件应用接口标记所述一个或多个分组流。14.一种数据处理系统中计算机实现的方法，所述数据处理系统包括处理器和包括指令的存储器，所述指令由所述处理器执行以使所述处理器实现网络跟踪系统，所述方法包括：通过一个或多个第一捕获应用用...

【专利技术属性】
技术研发人员：B·A·伍斯特，R·考图瑞尔，V·德赫阿普，P·V·约翰斯通，W·A·波尔德，A·阿格霍尔姆，
申请(专利权)人：国际商业机器公司，纳帕泰克有限公司，
类型：发明
国别省市：美国,US