推断无状态通信协议中的服务器状态方法、系统及装置制造方法及图纸

由中间服务器通过监控并分析应用服务器和客户机设备之间传送的分组，在基于无状态通信协议的网络上的应用服务器与客户机设备之间传送的分组中识别服务器状态对象。将这些分组剖析成多个名称－值对。计算具有相同名称字段的名称－值对的熵，并基于计算的熵选择可能是服务器状态对象的候选数据对象。将在应用服务器和客户机设备之间双向传送的候选数据对象识别为服务器状态对象。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及无状态通信协议，更具体地说涉及识别依据无状态通信协议、例如XML(扩充标记语言)或SOAP(简单对象访问协议)在服务器和客户机设备之间传送的分组中的服务器状态对象。
技术介绍
诸如HTTP(超文本传输协议)、XML或SOAP的无状态通信协议独立地执行每个命令，而不保留先前命令的任何状态信息。同样地，在严格的无状态协议中，服务器将不存储先前与服务器通信的客户机装置的身份，因此，将不会按照先前事务来处理该客户机的当前事务。因此通常使用诸如cookie或隐藏字段的服务器状态对象来标识使用无状态通信协议与服务器通信的客户机设备。例如，cookie是一种服务器状态对象，它使服务器Web网站能够将有关客户机设备自己的信息存储在客户机设备上，以便服务器Web网站能够在后来确定该客户机设备的身份。因此，服务器可以通过检查服务器状态对象以确定客户机设备先前与服务器通信过，并使客户机设备能够基于已建立的身份与服务器执行事务，而无需另外的工作来识别该客户机设备。因为服务器状态对象为服务器标识客户机设备，并使客户机设备能够基于确定的身份与服务器通信，服务器应该具有一种自我保护方式以防止假冒某个身份的客户设备的欺诈尝试。因此，依据无状态通信协议，服务器状态对象通常不可变的，以便防止服务器受到此类欺诈尝试。即，当服务器将服务器状态对象发送到客户机设备时，服务器预期相同的服务器状态对象在客户机设备上未被更改或篡改地返回。依据如HTTP的结构良好定义的通信协议，如防火墙、网关或应用代理的中间服务器可以容易地识别应用服务器和客户机设备之间传送的分组中的服务器状态对象，因为包含服务器状态对象的分组配置为包含标识此类服务器状态对象的某些字段。例如，cookie包含如<set-cookie:>的字符串，以及隐藏字段包含如<input type＝hidden...>的字符串，它们可以被中间服务器容易地识别出。但是，在如XML或SOAP的欠结构化的无状态通信协议中，中间服务器无法容易地识别服务器状态对象，因为这些协议设计为允许应用设计人员随意定义他们自己的对象。如防火墙的中间服务器通常无权访问应用设计人员在应用服务器中提供的协议定义，因此，应用设计人员随意定义的服务器状态对象无法容易地被中间服务器识别。例如，在一个应用服务器中，服务器状态可能保存在“ACCOUNTNUMBER”对象中，而在另一个应用中，相同的服务器状态可能保存在“CLIENT ID”对象中。应用服务器应该有权访问这些协议定义，因此可识别这些服务器状态对象。但是，中间服务器(防火墙或其他过滤器)将没有在中间服务器之后的所有应用的协议/应用定义。因此，需要由中间服务器识别依据欠结构化的无状态通信协议(例如XML或SOAP)在服务器与客户机设备之间传送的服务器状态对象，这些协议没有标识服务器状态对象的预定义方式。
技术实现思路
本专利技术支持识别基于无状态通信协议的网络上的应用服务器与客户机设备之间传送的分组中的服务器状态对象，其中这些分组由无权访问客户机设备和应用服务器使用的协议定义的中间服务器接收。由中间服务器监控在应用服务器和客户机设备之间传送的分组，并将其剖析成多个名称-值对(数据对象)。计算具有相同名称字段的数据对象的熵，并基于计算的熵选择可能是服务器状态对象的候选数据对象。在一个实施例中，选择熵高于阈值的数据对象作为候选数据对象。最后，将确定为已在应用服务器和客户机设备之间双向传送过的候选数据对象标识为服务器状态对象。在一个实施例中，通过将具有相同名称字段的已剖析数据对象的值字段合并、使用基于熵的压缩算法压缩合并的值字段、并将压缩的合并值字段的总大小除以具有相同名称字段的数据对象的总数来计算数据对象的熵。本专利技术的实施例可以识别甚至在使用欠结构化的无状态通信协议(例如XML或SOAP)时在应用服务器与客户机设备之间传送的服务器状态对象。因此，中间服务器通过检查所识别的服务器状态对象来识别先前与应用服务器通信过的客户机设备，而无需对应用服务器和客户机使用的底层应用协议有任何访问权。这使底层应用协议能够被修改，或是新应用能够驻留在网络上，而无需持续更新中间服务器保存的信息。这还便于实现使用此类欠结构化的无状态通信协议的因特网事务。附图说明图1是说明根据本专利技术一个实施例的用于识别服务器状态对象的系统的体系结构的框图。图2是说明根据本专利技术一个实施例的用于识别服务器状态对象的方法的流程图。图3是说明名称-值对的示意图。图4是说明识别服务器与客户机设备之间双向传送的名称-值对的步骤的示意图。具体实施例方式图1是说明根据本专利技术一个实施例的用于识别服务器状态对象的系统100的体系结构的框图。系统100耦合在应用服务器102与客户机设备104之间以监控在服务器102与客户机设备104之间传送的分组118。分组118可以在应用服务器102与客户机设备104之间双向传送，或仅单向地从应用服务器102传送到客户机设备104或反之亦然。使用无状态数据通信协议(例如XML、SOAP或HTTP)在应用服务器102和客户机设备之间传送分组118。但是，系统100通常没有由应用服务器106提供的据以剖析分组来识别服务器状态对象的的协议定义。虽然图1中示出一个客户机设备104，但是应该注意在实际中将有大量客户机设备104与应用服务器102通信。而且虽然仅示出一个应用服务器102，但是可以在系统100之后部署任何数量的应用服务器102，以服务客户机设备104。在一个实施例中，系统100包括应用防火墙106、学习引擎108和数据存储模块110。应用防火墙106监控从服务器102传送到客户机设备104以及从客户机设备104传送到服务器102的分组118。应用防火墙106剖析所监控的分组118，并根据学习引擎108提供的过滤规则来过滤恶意或非期望的分组118。过滤规则116向应用防火墙106提供用于放行或阻止服务器102和客户机设备104之间传送的某些分组118的准则。应用防火墙106还剖析所监控的分组118并向学习引擎108提供根据学习引擎108提供的数据收集参数112收集的数据114。数据收集参数112向应用防火墙106提供有关应用防火墙106应该从监控的分组118收集的数据类型的准则。这些数据收集参数112包括例如如何根据通信协议剖析分组118以收集对应于分组118的名称-值(名称-属性)对。但是，在典型实施例中，应用防火墙106将无权像应用服务器104使用那样访问底层协议定义(例如文档类型定义(DTD))。在一个实施例中，应用防火墙106本身可以是运行专用于应用防火墙功能的软件的计算机系统。在另一个实施例中，应用防火墙106可以是作为运行在计算机系统100上的大软件系统的一部分的软件模块。学习引擎108将过滤规则116和数据收集参数112提供到应用防火墙106，并接收由应用防火墙106根据数据收集参数112收集的数据114。分组118是根据所采用的通信协议在服务器102与客户机设备104之间传送的那些分组。例如，分组118还可以是XML分组或SOAP分组。应用防火墙106将分组118剖析成名称-值(名称-属性)对象114，以及学习本文档来自技高网...

【技术保护点】
一种用于识别在基于通信协议的网络上的服务器与客户机设备之间传送的分组中的服务器状态对象的方法，所述方法包括：计算所述分组中的多个数据对象的熵测量值；根据它们的熵测量值从所述多个数据对象中选择候选数据对象；以及响应所述 候选数据对象的至少一个候选数据对象在所述服务器与所述客户机设备之间双向传送，将所述至少一个候选数据对象识别为服务器状态对象。

【技术特征摘要】
【国外来华专利技术】US 2004-6-25 10/877,3621.一种用于识别在基于通信协议的网络上的服务器与客户机设备之间传送的分组中的服务器状态对象的方法，所述方法包括计算所述分组中的多个数据对象的熵测量值；根据它们的熵测量值从所述多个数据对象中选择候选数据对象；以及响应所述候选数据对象的至少一个候选数据对象在所述服务器与所述客户机设备之间双向传送，将所述至少一个候选数据对象识别为服务器状态对象。2.如权利要求1所述的方法，其特征在于，计算熵测量值包括压缩所述数据对象；以及计算所压缩的数据对象的熵测量值。3.如权利要求2所述的方法，其特征在于，压缩所述数据对象包括将具有相同名称字段的数据对象合并；以及使用压缩算法压缩所合并的数据对象。4.如权利要求3所述的方法，其特征在于，所述压缩算法是基于熵的压缩算法。5.如权利要求3所述的方法，其特征在于，计算所压缩的数据对象的熵测量值包括将压缩的合并数据对象的值字段的总大小除以具有相同名称字段的数据对象的总数。6.如权利要求1所述的方法，其特征在于，通过如下操作确定所述至少一个候选数据对象已在所述服务器和所述客户机设备之间双向传送过将依据所述通信协议的相关分组划分成从所述服务器传送到所述客户机设备的第一组分组和从所述客户机设备传送到所述服务器的第二组分组；以及确定所述至少一个候选数据对象是否包括在所述第一组分组和所述第二组分组中。7.如权利要求6所述的方法，其特征在于，所述相关分组是对应于依据所述通信协议的相关消息的分组。8.一种用于识别在基于通信协议的网络上的服务器与客户机设备之间传送的分组中的服务器状态对象的方法，所述方法包括将所述分组剖析成多个名称-值对；计算具有相同名称的名称-值对的熵；选择具有高于阈值的熵的名称-值对作为所述服务器状态对象的候选项；确定所述候选项是否在所述服务器和所述客户机设备之间双向传送过；以及响应确定所述候选项的至少一个候选项在所述服务器与所述客户机设备之间双向传送过，确定所述至少一个候选项为服务器状态对象。9.如权利要求8所述的方法，其特征在于，计算具有相同名称的名称-值对的熵包括压缩具有相同名称的名称-值对；以及计算所压缩的名称-值对的熵。10 .如权利要求9所述的方法，其特征在于，压缩具有相同名称的名称-值对包括将具有相同名称的名称-值对的值字段合并；以及使用压缩算法压缩所述名称-值对的合并的值字段。11.如权利要求10所述的方法，其特征在于，所述压缩算法是基于熵的压缩算法。12.如权利要求10所述的方法，其特征在于，计算所压缩的名称-值对的熵包括将所述名称-值对的压缩的合并值字段的总大小除以具有相同名称的名称-值对的总数。13.如权利要求8所述的方法，其特征在于，确定所述候选项是否在所述服务器和所述客户机设备之间双向传送过包括将依据所述通信协议的相关分组划分成从所述服务器传送到所述客户机设备的第一组分组和从所述客户机设备传送到所述服务器的第二组分组；以及确定所述候选项是否包括在所述第一组分组和所述第二组分组中。14.如权利要求13所述的方法，其特征在于，所述相关分组是对应于依据所述通信协议的相关消息的分组。15.一种用于识别在基于通信协议的网络上的服务器与客户机设备之间传送的分组中的服务器状态对象的系统，所述系统包括耦合在所述服务器和所述客户机设备之间的剖析模块，用于将两者之间传送的分组剖析成多个数据对象；以及耦合到所述剖析模块的分析模块，用于接收所述数据对象并通过如下操作确定名称-值对是否是服务器状态对象计算所述数据对象的熵测量值；根据它们的熵测量值从所述数据对象中选择候选数据对象；以及响应所述候选数据对象的至少一个候选数据对象在所述服务器与所述客户机设备之间双向传送，将所述至少一个候选数据对象识别为服务器状态对象。16.如权利要求15所述的系统，所述剖析模块作为防火墙工作，根据所述分析模块提供的规则过滤在所述服务器和所述客户机设备之间传送的分组。17.如权利要求15所述的系统，所述剖析模块根据所述分析模块提供的数据收集参数收集有关在所述服务器和所述客户机设备之间传送的分组的数据。18.如权利要求15所述的系统，当从所述剖析模块接收到所述数据对象时，所述分析模块实时地处理所述数据对象以确定所述数据对象是否是服务器状态对象。19.如权利要求15所述的系统，还包括耦合到所述分析模块的存储模块，所述分析模块将接收到的数据对象存储在所述存储模块中并成批地处理所存储的数据对象以确定所述数据对象是否是服务器状态对象。20.如权利要求15所述的系统，其特征在于，所述分析模块通过如下操作计算所述数据对象的熵测量值压缩所述数据对象；以及计算所压缩的数据对象的熵测量值。21.如权利要求20所述的系统，其特征在于，所述分析模块通过如下操作压缩所述数据对象将具有相同名称字段的数据对象合并；以及使用压缩算法压缩所合并的数据对象。22.如权利要求21所述的系统，其特征在于，所述压缩算法是基于熵的压缩算法。23.如权利要求21所述的系统，其特征在于，所述分析模块通过将所压缩的合并数据对象的值字段的总大小除以具有相同名称字段的数据对象的总数来计算所压缩的数据对象的熵测量值。24.如权利要求15所述的系统，其特征在于，所述分析模块通过如下操作确定至少一个候选数据对象在所述服务器和所述客户机设备之间双向传送过将依据所述通信协议的相关分组划分成从所述服务器传送到所述客户机设备的第一组分组和从所述客户机设备传送到所述服务器的第二组分组；以及确定所述至少一个候选数据对象是否包括在所述第一组分组和所述第二组分组中。25.如权利要求24所述的系统，其特征在于，所述相关分组是对应于依据所述通信协议的相关消息的分组。26.一种用于识别在基于通信协议的网络上的服务器与客户机设备之间传送的分组中的服务器状态对象的系统，所述系统包括耦合在所述服务器和所述客户机设备之间的剖析模块，用于将两者之间传送的分组剖析成多个名称-值对；以及耦合到所述剖析模块的分析模块，用于接收所述名称-值对并通过如下操作确定所述名称-值对是否是服务器状态对象计算具有相同名称的名称-值对的熵；选择具有高于阈值的熵的名称-值对作为所述服务器状态对象的候选项；确定所述候选项是否在所述服务器和所述客户机设备之间双向传送过；以及响应确定所述候选项的至少一个候选项在所述服务器与所述客户机设备之...

【专利技术属性】
技术研发人员：A乔汉，
申请(专利权)人：特罗斯公司，
类型：发明
国别省市：US[美国]