滤除噪声应用签名以改善第一分组应用分类的精度的系统和方法与流程

相关申请的交叉引用

本申请要求于2018年11月20日提交的名称为“systemsandmethodstofilteroutnoisyapplicationsignaturestoimproveprecisionoffirstpacketapplicationclassification”的美国专利申请no.16/196,799的优先权和利益，其内容出于所有目的通过引用全部合并于此。

本申请总地涉及滤除噪声应用签名以用于应用路由。

背景技术：

对目的地互联网协议(ip)地址和应用之间的连接进行分类对于执行基于应用的路由和其他网络功能是有用的。连接被分类并存储在查找表中，该查找表可以填充来自点对点连接的对等ip地址。生成的查找表可能很大且效率低下，填充了很少使用或仅使用过一次的连接细节，从而增加了存储器需求并减慢了对重要或常用连接细节的表的查询。

技术实现要素：

本文讨论的系统和方法提供滤除噪声应用签名以改善第一分组应用分类的精度。在一些实施方式中，系统从装置连同装置的网络标识符一起接收应用签名。基于相同的应用签名看起来源自不同的网络环境的频率，系统确定应用签名的有效性并避免存储不相关的信息以路由网络流量。

在一个方面，本公开涉及一种用于基于应用的分组分类的方法。该方法包括由服务器从多个装置接收多个应用签名，每个应用签名识别一个应用以及与该应用相关联的通信的关联目的地地址，每个装置与识别每个装置的网络环境的网络标识符相关联。该方法还包括由服务器基于来自与不同网络标识符相关联的多个装置的应用签名的比较来确定应用签名是有效的。该方法还包括由服务器响应于该确定向多个装置提供有效应用签名，多个装置使用有效应用签名来路由网络流量。

在一些实施方式中，多个装置响应于有效应用签名的接收，将与应用相关联的处理策略应用于到与应用相关联的目的地地址的分组流。在一些实施方式中，多个装置另外地基于在网络堆栈的在传输层处或低于传输层的层处的分组流的分组的信息，将与应用相关联的处理策略应用于到与应用相关联的目的地地址的分组流。在一些实施方式中，每个应用签名是由装置根据相应分组流的第一分组的应用层信息生成的。

在一些实施方式中，该方法包括响应于从与不同的第二网络标识符相关联的第二装置接收到第一应用签名，递增与从与第一网络标识符相关联的第一装置接收并存储在签名候选数据库中的第一应用签名相关联的值。在确定应用签名有效时，该方法包括响应于与签名候选数据库中的应用签名相关联的值超过阈值而确定应用签名是有效的。在一些实施方式中，该方法还包括在从多个装置中的第一装置接收到第一应用签名时，将第一应用签名添加到签名候选数据库。

在一些实施方式中，该方法包括响应于预定时间段的期满而没有从与不同的第二网络标识符相关联的第二装置接收到第一应用签名，递减与从与第一网络标识符相关联的第一装置接收并存储在签名候选数据库中的第一应用签名相关联的值。该方法还包括响应于与第一应用签名相关联的值低于预定阈值，从签名候选数据库中移除第一签名。在一些实施方式中，每个应用签名包括生成对关联目的地地址的请求的应用的标识以及包括关联目的地地址和端口号的地址元组。

在另一方面，本公开涉及一种用于基于应用的分组分类的系统。该系统包括服务器，该服务器包括与多个装置和处理器通信的网络接口，该处理器被配置为从多个装置接收多个应用签名，每个应用签名识别一个应用以及与该应用相关联的通信的关联目的地地址，每个装置与识别每个装置的网络环境的网络标识符相关联；基于来自与不同网络标识符相关联的多个装置的应用签名的比较来确定应用签名是有效的；以及响应于该确定向多个装置提供有效应用签名，多个装置使用有效应用签名来路由网络流量。

在一些实施方式中，多个装置被配置为响应于有效应用签名的接收，将与应用相关联的处理策略应用于到与应用相关联的目的地地址的分组流。在一些实施方式中，多个装置被配置为基于在网络堆栈的在传输层处或低于传输层的层处的分组流的分组的信息，将与应用相关联的处理策略应用于到与应用相关联的目的地地址的分组流。在一些实施方式中，每个应用签名是由装置根据相应分组流的第一分组的应用层信息生成的。

在一些实施方式中，处理器被配置为响应于从与不同的第二网络标识符相关联的第二装置接收到第一应用签名，递增与从与第一网络标识符相关联的第一装置接收并存储在签名候选数据库中的第一应用签名相关联的值。处理器被配置为响应于与签名候选数据库中的应用签名相关联的值超过阈值而确定应用签名是有效的。

各种实施例的细节在附图和以下描述中阐述。

附图说明

通过参考以下结合附图的描述，本解决方案的前述和其他目的、方面、特征和优点将变得更加明显和更好理解，其中：

图1是示出与本文讨论的系统和方法一起使用的网络环境的实施方式的框图；

图2是示出用于滤除噪声应用签名的系统的实施方式的框图；以及

图3是示出用于滤除噪声应用签名的方法的实施方式的流程图。

根据下文结合附图时阐述的详细描述，本解决方案的特征和优点将变得更加明显，在附图中，相似的附图标记始终标识相应的元件。在附图中，相似的附图标记通常表示相同、功能相似和/或结构相似的元件。

具体实施方式

为了阅读下面各个实施例的描述，本说明书的各部分的以下描述及其各自的内容可能是有帮助的：

-a部分描述了一种网络环境和计算环境，其对于实践本文描述的实施例可能是有用的；以及

-b部分描述了用于滤除噪声应用签名以改善第一分组应用分类的精度的系统和方法的实施例。

a.计算环境

在讨论用于滤除噪声应用签名以改善第一应用分类的精度的系统和方法的实施例的细节之前，讨论可以部署这样的实施例的计算环境可能是有帮助的。

如图1所示，计算机101可以包括一个或多个处理器103、易失性存储器122(例如，随机存取存储器(ram))、非易失性存储器128(例如，一个或多个硬盘驱动器(hdd)或其他磁性或光学存储介质、一个或多个固态驱动器(ssd)(例如闪存驱动器或其他固态存储介质)、一个或多个混合磁性和固态驱动器、和/或一个或多个虚拟存储卷(例如云存储)、或这样的物理存储卷和虚拟存储卷或其阵列的组合)、用户接口(ui)123、一个或多个通信接口118和通信总线150。用户接口123可包括图形用户接口(gui)124(例如，触摸屏、显示器等)和一个或多个输入/输出(i/o)装置126(例如，鼠标、键盘、麦克风、一个或多个扬声器、一个或多个照相机、一个或多个生物特征扫描仪、一个或多个环境传感器、一个或多个加速度计等)。非易失性存储器128存储操作系统115、一个或多个应用116和数据117，从而例如由处理器103在易失性存储器122之外执行操作系统115和/或应用116的计算机指令。在一些实施例中，易失性存储器122可以包括一种或多种类型的ram和/或高速缓冲存储器，其可以提供比主存储器更快的响应时间。可以使用gui124的输入装置输入数据，或从i/o装置126接收数据。计算机101的各种元件可以经由一个或多个通信总线(示出为通信总线150)进行通信。

如图1所示的计算机101仅作为示例示出为客户机、服务器、中间装置和其他网络装置，并且可以由任何计算或处理环境以及利用可以具有能够如本文所述操作的适当硬件和/或软件的任何类型的机器或机器集合来实现。处理器103可以由一个或多个可编程处理器实现以执行一个或多个可执行指令(例如计算机程序)，以执行系统的功能。如本文所使用的，术语“处理器”描述了执行功能、操作或操作序列的电路。功能、操作或操作序列可以被硬编码到电路中，或者可以通过保持在存储器装置中并由电路执行的指令被软编码。“处理器”可以使用数字值和/或使用模拟信号来执行功能、操作或操作序列。在一些实施例中，“处理器”可以体现在一个或多个专用集成电路(asic)、微处理器、数字信号处理器(dsp)、图形处理单元(gpu)、微控制器、现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、多核处理器或具有关联存储器的通用计算机中。“处理器”可以是模拟、数字或混合信号。在一些实施例中，“处理器”可以是一个或多个物理处理器或一个或多个“虚拟”(例如，位于远程的或“云”)处理器。包括多个处理器核的处理器和/或多个处理器可以提供用于并行、同时执行多个指令或在多于一段数据上并行、同时执行一个指令的功能。

通信接口118可以包括一个或多个接口，以使计算机101能够通过各种有线和/或无线或蜂窝连接来访问诸如局域网(lan)、广域网(wan)、个人局域网(pan)或互联网之类的计算机网络。

在所描述的实施例中，计算装置101可以代表客户机计算装置的用户执行应用。例如，计算装置101可以执行虚拟机，其提供执行会话，在该执行会话内，应用代表用户或客户机计算装置执行，例如托管的桌面会话。计算装置101还可以执行终端服务会话以提供托管的桌面，其包括以下中的一个或多个：一个或多个应用、一个或多个桌面应用、以及可以在其中执行一个或多个应用的一个或多个桌面会话。

网络环境、计算机101以及客户机和服务器计算机的实施方式和操作的附加细节可以如2017年1月3日授予佛罗里达州劳德代尔堡的citrixsystems,inc.的美国专利no.9,538,345中所述，其教导在此通过引用并入本文。

b.滤除噪声应用签名以改善第一分组应用分类的精度的系统和方法

根据相应的应用对到目的地互联网协议(ip)地址的连接进行分类对于执行基于应用的路由和其他网络功能是有用的。这些网络功能可以包括应用路由、优化带宽使用、改善应用性能和使用应用防火墙。通过对网络连接进行第一分组分类的能力，可以实现网络流量的基于应用的路由。实现网络连接的第一分组分类的一种方法是通过实施深度分组检查(dpi)：第一次观察或接收到连接(例如连接的第一分组、建立连接的请求等)时，装置可以通过检查初始分组或少数分组的数据模式、ssl证书和包括在网络堆栈的较高层(例如会话层、应用层等的)其他识别信息来对连接进行分类。在一些实施方式中，这可能涉及解密和/或解压缩分组的部分。

深度分组检查在时间和处理器资源方面成本很高。为了避免在每个新连接的第一分组上执行dpi，在许多实施方式中，新连接可能与已被检查和分类的先前连接“匹配”或关联，例如基于目的地ip地址和/或端口、有效载荷的大小、网络堆栈的较低层(例如传输层、网络层等)的报头信息。可以创建查找表来存储该信息与分类应用之间的映射或关联，每个映射或关联有时称为“应用签名”或类似术语。可以使用查找表在第一分组上对到相同ip地址或具有相同特性的后续连接进行分类，而不需要dpi，从而降低处理要求。

在诸如ip语音(voip)通信的点对点应用的情况下出现困难。可能会生成大量连接，有些是在客户机ip地址和应用服务器之间，有些是直接在不同的对等客户机ip地址之间。例如，第一客户机可以经由第一连接联系voip提供商并请求与第二客户机建立通信。voip提供商可以将新呼叫通知给第二客户机，并且第一和第二客户机可以为通信建立直接的点对点连接。这降低了对voip提供商的带宽和处理要求，因为它不是使用其网络的每次通信的中间装置。

然而，将这些点对点连接包括在应用签名查找表中可能是不合需要的：所产生的查找表可能很大且效率低下，填充了很少使用或仅使用过一次的连接细节，增加了存储器需求和减慢对表的重要或常用连接细节的查询。例如，具有数千个客户机用户的企业可能经常使用点对点连接在客户机用户之间进行通信，例如voip通信、文件或屏幕共享、视频聊天等，从而可能会导致查找表中的许许多多个条目(例如，如果每个客户机至少与每个其他客户机连接一次，则彼此之间连接的1000个客户机可能会产生499,500个点对点连接；如果按应用或其他信息对连接进一步分类，则所产生的查找表甚至可能更大)。这些点对点地址或其他很少使用的连接可以被称为“噪声”连接或噪声地址，因为管理这种连接会生成大量数据。条目也可称为连接签名、流签名、应用签名或类似术语。在查找表中存储对等ip地址也可能将对等ip地址误认为源自应用服务器，从而导致网络流量的错误路由。例如，在某些情况下，诸如路由器或网关的中间装置可以将第一客户机和第二客户机之间的新连接识别为与voip通信相关联；当第三客户机传输请求以发起与另一个实体的voip通信时，中间装置可能会尝试将请求路由到第一或第二客户机，认为它们是用于建立这种会话的应用服务器，而不仅仅是点对点端点。

图2是示出用于滤除噪声地址的系统的实施方式的框图。在该示例中，设备222a和设备222b属于网络1220并且具有对应于网络1220的相同网络标识符。设备232a和设备232b属于网络2并且具有对应于网络2230的相同网络标识符。设备222a、设备222b、设备232a和设备232b具有通过网络210与服务器240a通信的能力。应当理解，多个设备可以属于给定网络并且可以存在多个网络。

在一些实施方式中，客户机与设备连接并执行动作，诸如信息的请求和接收。例如，客户机224a在连接到设备222a时执行动作，客户机224b在连接到设备222b时执行动作，客户机234a和客户机234b都在连接到设备232a时执行动作，并且客户机240b在网络210上时执行动作。客户机224a通过连接250与服务器240a通信。客户机234a通过连接252与服务器240a通信(连接250、252可以是传输层连接或更高层连接，并且可以各自包括几个物理层连接)。客户机234b通过连接254与客户机240a通信。如图所示，存在可能存在的各种连接以及未示出的装置和实体之间的多个连接迭代。提供这些示例是为了显示客户机可以连接到服务器(连接250和连接252)，客户机可以连接到客户机(连接254)，客户机可以与设备接口(客户机224a、客户机234a和客户机234b分别与设备222a、232a和232a)，或者客户机可以通过网络(例如，网络210)直接与服务器通信。

能够执行深度分组检查的设备可以生成应用签名以便识别连接或流，并且可以将应用签名导出到服务器240a以分发到其他装置。例如，设备222a通过网络210将应用签名225a导出到服务器240a。此外，设备222b通过网络210将应用签名225b导出到服务器240a。因为设备222a和222b都在网络1中，所以它们具有对应于网络1的相同网络标识符。设备232a通过网络210将应用签名235a导出到服务器240a。此外，设备232b通过网络210将应用签名235b导出到服务器240a。因为设备232a和232b都在网络2中，所以它们具有对应于网络2的相同网络标识符。虽然通常可以结合设备来描述系统，但是设备可以是任何类型和形式的装置，例如网络装置或服务器，和/或一个或多个客户机和一个或多个服务器中间的计算装置。

应用签名(225a-225b、235a-235b)可以用于识别连接，并且可以基于关于连接的各种信息，诸如源和目的地ip地址和/或端口、诸如会话或应用层协议的更高层协议、显式应用标识符等。可以从对穿过设备或其他装置的分组的深度分组检查中生成应用签名。虽然深度分组检查在处理时间和等待时间方面的成本通常很高，但应用签名可用于快速识别类似的连接，而无需进行深度分组检查。例如，中间装置可以检查来自客户机的请求以建立到应用服务器的连接以访问web应用，并且可以生成应用签名以便对连接进行分类。当接收到来自客户机装置对同一应用服务器的后续请求时，中间装置可以将后续请求与应用签名进行匹配，并确定后续请求很可能与同一应用相关联(并且应该接收到相同的服务器质量(qos)设置、路由选择设置、压缩或加密参数等)。

在一些实施方式中，如果应用签名源自或对应于相同的应用(例如，web应用、文件服务器应用、数据库服务器应用等)，则应用签名被认为是相同的。为了减少如上所述从“噪声”连接生成的应用签名的数量，可以给应用签名一个分数，该分数代表与应用签名匹配的不同连接的数量。如果分数低于预定阈值，则该签名可被视为“候选”签名，但不一定会被添加到签名查找表或分发到其他装置。如果分数高于阈值，则签名可以从候选状态“提升”并且可以被识别为有效签名(并且提供给其他装置以用于查找表等)。阈值可以是静态的或动态的(例如，可以基于连接总数的百分比值，而不是固定的数字)，并且可以由装置的管理员或制造商设置，或者可以基于性能(例如，路由和应用选择的准确性等)被动态地确定。

在一些实施方式中，只有从不同网络环境中识别出匹配的连接时才可以递增签名的分数——例如，递增对应于经常使用的两个客户机(例如，全天经常互相呼叫的两个用户)之间的点对点连接的应用签名的分数可能是不可取的，因为这会导致在其他设备的查找表中包含签名，这些设备可能永远不会看到相应的连接(或可能因此不准确地路由其他voip连接)。相反，在这样的实施方式中，可以仅在从不同的网络环境(例如，图2中的网络1220和网络2230)识别出匹配连接时才递增分数。因此，例如，可以根据从客户机224a到服务器240a的连接250的初始分组的深度分组检查为连接250生成第一候选签名。可以根据从客户机234a到服务器240a的连接252的初始分组的深度分组检查为该连接生成第二签名，并且第二签名与第一签名匹配；在确定它们匹配或对应于同一应用时，可以递增第一候选签名的分数(并且丢弃第二签名)。然而，如果客户机224b利用与候选签名匹配的签名建立到服务器240a的类似连接，则其分数将不会递增，因为客户机224a和客户机224b都在同一网络环境220中。尽管在图2的示例中，服务器240a是由两个网络环境使用的外部服务器，但在其他情况下，服务器可以在网络环境内部(例如，本地数据服务器或备份服务器，或其他这种装置)。虽然单个网络环境内的装置可能会频繁连接到这种服务器，但网络环境外的装置可能无法访问它们。通过不递增这种服务器的签名的分数，签名不会被提升并提供给其他网络环境中的其他装置或设备，从而避免不必要地填充它们的查找表。这种实施方式不需要设备明确识别服务器是否位于网络环境内或外部装置无法访问，而是可以基于设备是否从其他网络环境中的客户机接收连接或签名来推断。

在一些实施方式中，分数可以随着时间自动减少(例如，当识别出相应的连接时递增，但是如果在没有相应连接的情况下经过了预定时间段则递减)。如果候选签名的分数达到零，则可以将其从候选签名集中移除。因此，通过创建(生成候选签名，以及将它们提升到分发的查找表或者响应于未接收到对应于候选签名的不同连接将它们作为候选移除的)这种两阶段过滤过程，本文公开的系统和方法提供更小的查找表，其中与点对点连接或其他很少使用的连接相对应的噪声或不相关的签名被移除。除了减少表的存储器要求和分发表的网络带宽(在一些实施方式中，可能允许更频繁地更新表)之外，可以更快地搜索更小的表，从而消耗更少的处理器资源并减少在将新接收到的连接的分组匹配至签名时的处理延迟，而无需深度分组检查。

图3是示出用于滤除噪声应用签名的方法的实施方式的流程图。在步骤301，装置可以生成应用签名并将其提供给中央服务器或签名候选服务器。在一些实施方式中，应用签名识别应用和与应用相关联的通信的特性，诸如目的地地址或端口号、有效载荷长度、qos参数等。例如，签名可以指示到ip地址和端口1.2.3.4/500的连接与web生产力应用相关联，并且可以请求无损连接，但可以容忍一些等待时间。在一些实施方式中，应用签名是由装置经由深度分组检查根据相应分组流的第一分组的应用层信息或其他这种信息生成的。在其他实施方式中，应用签名可以与以目的地地址和端口号的元组生成访问服务器的请求或建立到服务器的连接的应用相关联，诸如对由媒体播放器应用生成的媒体文件的请求。在一些实施方式中，能够执行深度分组检查的装置将应用签名导出到中央服务器或存储库以添加到候选签名列表中。

在步骤302，在一些实施方式中，服务器接收应用签名。在一些实施方式中，服务器从多个装置接收多个应用签名。在一些实施方式中，服务器是来自一个装置或多个装置的分组信息的被动接收器。在其他实施方式中，服务器可以从一个装置或多个装置收集或检索应用签名。例如，服务器可以周期性地从网络上的不同设备或装置请求本地生成的应用签名，并且还可以提供更新的有效应用签名集。这种周期性请求或检索可以每小时、每天、每周或在任何其他时间范围内执行。设备或装置可以响应于这样的请求提供应用签名。应用签名可以以任何格式提供，诸如restful请求中的参数值对；xml数据；或任何其他数据结构。

在步骤304，在一些实施方式中，服务器确定应用签名是否是新的应用签名。在一些实施方式中，新的应用签名是在存储的应用签名的数据库中没有条目的签名。例如，如果有新的应用签名，则存储的应用签名的数据库中该应用签名的条目将被添加到候选签名集中。如上所述，候选签名可以包括尚未被识别为有效的(例如，通过具有大于阈值的关联分数来识别为有效)应用签名。当接收到应用签名时，服务器可以将接收到的签名与在查找表中识别为有效签名以及候选签名集中的签名进行比较。如果签名不存在于任一列表中，则可以将新的签名添加到候选签名列表中。相反，在一些实施方式中，新的签名可以被设备或装置明确识别为新的签名。例如，装置或设备可以包括具有应用签名的标识符(例如，预设标志、预定位值等)，以指示新的应用签名与存储在装置或设备处的有效应用签名的查找表中的应用签名不匹配。在一些实施方式中，装置或设备可以只向服务器提供新的应用签名；因此，服务器不需要在有效签名的查找表中检查签名，而可以只检查应用签名是否包括在候选应用签名的列表中。

在步骤306，如果应用签名不是新的应用签名(例如，如果它存在于候选签名列表中)，则服务器可以确定应用签名是否源自不同的网络环境。在一些实施方式中，装置或设备可以包括由系统的管理员或用户设置以指示其关联的网络环境的网络标识符，例如数字代码。候选列表中的应用签名可以与提供新的应用签名的装置或设备的网络标识符相关联，并且在一些实施方式中，与还提供相应的应用签名的每个附加装置或设备的附加网络标识符相关联。在一些实施方式中，服务器可以继续从各种装置接收应用签名，同时它确定所涉及的应用签名是否源自不同的网络环境。在其他实施方式中，不同的网络环境是不具有相同网络标识符的网络环境。

在步骤308，在一些实施方式中，在确定应用签名不是源自不同的网络环境时，服务器不改变与应用签名相关联的值或分数。与应用签名相关联的值保持不变的场景意味着客户机装置与同一网络环境中的另一个客户机装置或服务器建立了连接，因此可能是点对点连接。通过不递增与并非来自不同网络环境的连接的候选数据库中的应用签名相关联的分数或值，与点对点连接相关联的签名将不会被添加或提升到有效应用签名的数据库中。

在步骤310，在一些实施方式中，在确定应用签名源自不同的网络环境时，服务器可以递增与应用签名相关联的值或分数。在一些实施方式中，该值可以作为跟踪该值递增的次数的计数器而存在。如上所述，可以将计数器值与阈值进行比较，以确定签名是否应该被提升到有效应用签名列表。

在步骤312，在一些实施方式中，服务器可以将与应用签名的候选数据库中的应用签名相关联的分数与阈值进行比较。阈值可以由系统的管理员或用户设置，和/或可以被动态地确定(例如，作为相对于最高得分候选者的百分比或在预定时间段内接收的请求的数量，或任何其他这种方式)。在一些实施方式中，服务器可以从与应用签名相关联的多个分数中确定总分数。例如，在一些实施方式中，可以为与应用签名相关联的每个网络标识符维护不同的值(例如，环境a-分数a；环境b-分数b；等等)。在一些实施方式中，服务器可以将关联分数的总和与阈值进行比较。在其他实施方式中，可以将每个环境关联的分数分别与阈值进行比较。在一些实施方式中，候选数据库可以包括应用签名和与不同网络标识符相关联的装置之间的映射。在一些实施方式中，可以在接收到每个新接收到的签名时执行步骤312；在其他实施方式中，步骤312可以周期性地执行(例如，每小时一次、每天一次等)。

在步骤314，在一些实施方式中，如果与候选数据库中的应用签名相关联的值没有超过阈值，则服务器可以返回到步骤302并对随后接收的应用签名重复该过程。在其他实施方式中，可以针对候选数据库中的每个附加签名重复步骤312-314。如果与应用签名相关联的值超过阈值，则在步骤316，可以将应用签名添加或提升到有效应用签名列表或数据库(例如，从候选应用签名列表中移除应用签名)。

服务器可以向每个网络环境中的设备或其他中间装置提供有效应用签名数据库或列表。在一些实施方式中，可以周期性地提供整个数据库或列表，而在其他实施方式中，可以仅提供对列表或数据库的添加(以降低网络带宽需求)。可以周期性地或响应于导致从候选签名列表中提升候选签名的每个接收到的应用签名来提供该列表或更新。

在步骤318，在一些实施方式中，装置可以接收有效应用签名数据库或对数据库的更新，并替换或更新数据库的本地副本。路由网络流量的设备或装置可以接收有效应用签名的更新或列表，并且在步骤320，可以使用应用签名来将基于应用或会话层的处理策略应用于匹配流量(例如，应用qos配置或设置或其他优先级或负载平衡方案，根据应用关联的策略在路径之间路由流量等)，而不需要对流量进行深度分组检查以将流量与应用匹配，或仅使用来自网络堆栈较低层的信息(例如在网络堆栈的传输层处或在网络堆栈的传输层之下)。例如，在接收到新的连接或流的第一分组时，装置可以确定第一分组的较低层参数(例如，网络或传输层报头信息)和/或其他特性(例如，一天中的时间、一周中的一天、客户机装置类型等)对应于有效应用签名数据库中的应用签名，并且可以将新的连接或流分类为与对应于应用签名的应用相关联。然后，装置可以根据与应用相关联的策略(例如，用于视频聊天或语音通信、或流媒体的较低等待时间的通信；用于文件传输的更可靠的通信路径；等等)将处理策略应用于连接或流(例如，缓冲、多路复用、加密、压缩、路由、负载平衡、优先化等)。

因此，本文讨论的系统和方法提供滤除噪声应用签名以改善第一分组应用分类的精度。在一些实施方式中，系统从装置接收应用签名及其网络标识符。基于相同的应用签名看起来源自不同的网络环境的频率，系统确定应用签名的有效性并避免存储不相关的信息以路由网络流量。

应当注意，本公开的某些段落可能结合装置、操作模式、传输链、天线等引用了诸如“第一”和“第二”的术语，以用于识别或区分一个与另一个或其他。这些术语并非旨在仅在时间上或根据序列关联实体(例如，第一装置和第二装置)，尽管在某些情况下这些实体可以包括这样的关系。这些术语也不限制可以在系统或环境内操作的可能实体(例如，装置)的数量。

应当理解，上述系统可以提供那些组件中的任何一个或每个组件中的多个组件，并且这些组件可以被提供在独立机器上，或者在一些实施例中，被提供在分布式系统中的多个机器上。此外，上述系统和方法可以作为体现在一个或多个制品上或中的一个或多个计算机可读程序或可执行指令来提供。制品可以是硬盘、cd-rom、闪存卡、prom、ram、rom或磁带。通常，计算机可读程序可以用任何编程语言实现，诸如lisp、perl、c、c++、c#、prolog，或诸如java的任何字节代码语言。软件程序或可执行指令可以作为目标代码存储在一个或多个制品上或中。

虽然方法和系统的上述书面描述使普通技术人员能够制作和使用目前被认为是其最佳模式的内容，但普通技术人员将理解和领会本文的具体实施例、方法和示例的变化、组合和等效物的存在。因此，本方法和系统不应受上述实施例、方法和示例的限制，而是受本公开的范围和精神内的所有实施例和方法的限制。

应当理解，上述系统可以提供那些组件中的任何一个或每个组件中的多个组件，并且这些组件可以被提供在独立机器上，或者在一些实施例中，被提供在分布式系统中的多个机器上。可以使用可编程和/或工程技术以产生软件、固件、硬件或其任何组合，将上述系统和方法实现为方法、设备或制品。另外，可以将上述系统和方法提供为体现在一个或多个制品上或之中的一个或多个计算机可读程序。本文所使用的术语“制品”旨在涵盖从一个或多个计算机可读装置可得并嵌入其中的代码或逻辑、固件、可编程逻辑、存储装置(例如eeprom、rom、prom、ram、sram等)、硬件(例如，集成电路芯片、现场可编程门阵列(fpga)、专用集成电路(asic)等)、电子装置、计算机可读非易失性存储单元(例如cd-rom、硬盘驱动器等)。可以从文件服务器访问该制品，该文件服务器经由网络传输线、无线传输介质、在空间传播的信号、无线电波、红外信号等提供对计算机可读程序的访问。制品可以是闪存存储卡或磁带。该制品包括硬件逻辑以及嵌入在由处理器执行的计算机可读介质中的软件或可编程代码。通常，计算机可读程序可以以任何编程语言(例如lisp、perl、c、c++、c#、prolog)或任何字节代码语言(例如java)实现。软件程序可以作为目标代码存储在一个或多个制品上或之中。

尽管已经描述了方法和系统的各种实施例，但是这些实施例是说明性的，绝不限制所描述的方法或系统的范围。相关领域的技术人员可以在不脱离所描述的方法和系统的最广泛范围的情况下对所描述的方法和系统的形式和细节进行改变。因此，本文描述的方法和系统的范围不应受到任何说明性实施例的限制，而应根据所附权利要求及其等同物来定义。