基于信誉的网络流量的动态优先级排序的制作方法

本公开的实施例涉及网络技术领域。

背景技术：

服务质量(qos)可以指代网络的总体性能，具体地由网络的用户看到的性能。为了定量地测量服务质量，常常考虑网络服务的几个相关方面，例如错误率、比特率、吞吐量、传输延迟、可用性或抖动等。服务质量对于具有特殊要求的流量的传输是尤其重要的。qos可以利用诸如分组优先级排序、流量分类或排队等的流量整形技术来改进。

技术实现要素：

根据一些可能的实现方式，一种网络设备可以包括用于接收与流相关联的网络流量的一个或多个处理器。一个或多个处理器可以确定指示与该流相关联的信誉的度量的多个信誉指示符。多个信誉指示符中的第一信誉指示符可以基于结合该流应用第一信誉分析技术来确定。多个信誉指示符中的第二信誉指示符可以基于结合该流应用第二信誉分析技术来确定。第二信誉分析技术可以与第一信誉分析技术不同。一个或多个处理器可以基于多个信誉指示符来确定针对该流的信誉得分。一个或多个处理器可以基于信誉得分来对该流指定优先级。

在一些实现方式中，该第一信誉分析技术由第一设备执行以确定该第一信誉指示符；并且该第二信誉分析技术由第二设备执行以确定该第二信誉指示符，该第二设备与该第一设备不同。

在一些实现方式中，该第一设备是网络设备，并且该第二设备是除了该网络设备之外的设备；并且该一个或多个处理器当确定该多个信誉指示符时用于：从除了该网络设备之外的该设备接收该第二信誉指示符。

在一些实现方式中，该网络设备执行该第一信誉分析技术和该第二信誉分析技术以确定该第一信誉指示符和该第二信誉指示符。

在一些实现方式中，该第一设备执行该第一信誉分析技术以确定该第一信誉指示符并且该第二设备执行该第二信誉分析技术以确定该第二信誉指示符；并且该一个或多个处理器当确定该多个信誉指示符时用于：从该第一设备接收该第一信誉指示符，并且从该第二设备接收该第二信誉指示符。

在一些实现方式中，该第一信誉分析技术或该第二信誉分析技术包括以下中的至少一种：攻击检测技术，其指示该流与网络攻击相关联的可能性，恶意软件检测技术，其指示该流与恶意软件相关联的可能性，应用识别技术，其指示该流被确定为与相同应用相关联的一致性，web流量分析技术，其指示与该流相关联的网站的信誉的度量，或者基于规则的过滤技术，其基于识别与该流相关联的流信息的存储的规则来指示与该流相关联的信誉的度量。

在一些实现方式中，该一个或多个处理器当对该流指定优先级时用于：基于该信誉得分来将带宽分配给该流，或者基于该信誉得分来使带宽被分配给该流。

根据一些可能的实现方式，一种非暂态计算机可读介质可以存储一个或多个指令，一个或多个指令当由一个或多个处理器运行时使一个或多个处理器接收与流相关联的网络流量。一个或多个指令可以使一个或多个处理器确定指示与该流相关联的信誉的度量的多个信誉指示符。多个信誉指示符中的第一信誉指示符可以基于由第一设备对该流应用的第一信誉分析技术来确定。多个信誉指示符中的第二信誉指示符可以基于由第二设备对该流应用的第二信誉分析技术来确定。第二设备可以与第一设备不同。一个或多个指令可以使一个或多个处理器基于多个信誉指示符来确定针对该流的信誉得分。一个或多个指令可以使一个或多个处理器基于信誉得分来对该流指定优先级。

在一些实现方式中，该第一信誉分析技术与该第二信誉分析技术不同。

在一些实现方式中，该流是第一流，并且该信誉得分是第一信誉得分；并且该一个或多个指令当由该一个或多个处理器运行时还使该一个或多个处理器：确定针对与该第一流不同的第二流的第二信誉得分；以及基于该第一信誉得分和该第二信誉得分来将不同量的带宽指派给该第一流和该第二流。

在一些实现方式中，被指派给该第一流和该第二流的带宽的量是基于该第一信誉得分和该第二信誉得分之间的差的程度的。

在一些实现方式中，该一个或多个指令当由该一个或多个处理器运行时还使该一个或多个处理器：基于该流的一个或多个属性来确定要被执行的一组信誉分析技术，该一组信誉分析技术包括该第一信誉分析技术和该第二信誉分析技术，该第一信誉分析技术与该第二信誉分析技术不同。

在一些实现方式中，该第一信誉分析技术包括以下中的一种：攻击检测技术，其指示该流与网络攻击相关联的可能性，恶意软件检测技术，其指示该流与恶意软件相关联的可能性，应用识别技术，其指示该流被确定为与相同应用相关联的一致性，web流量分析技术，其指示与该流相关联的网站的信誉的度量，或者基于规则的过滤技术，其基于识别与该流相关联的流信息的存储的规则来指示与该流相关联的信誉的度量；并且该第二信誉分析技术包括以下中的不同的一种：该攻击检测技术，该恶意软件检测技术，该应用识别技术，该web流量分析技术，或者该基于规则的过滤技术。

根据一些可能的实现方式，一种方法可以包括由设备接收与流相关联的网络流量。该方法可以包括由该设备确定指示与该流相关联的信誉的度量的多个信誉指示符。多个信誉指示符中的第一信誉指示符可以基于对该流应用的第一信誉分析技术来确定。多个信誉指示符中的第二信誉指示符可以基于对该流应用的第二信誉分析技术来确定。第二信誉分析技术可以与第一信誉分析技术不同。该方法可以包括由该设备基于多个信誉指示符来确定针对该流的信誉得分。该方法可以包括由该设备基于信誉得分来使网络带宽被分配给该流。

在一些实现方式中，该一个或多个信誉指示符包括多个信誉指示符，该多个信誉指示符中的第一信誉指示符基于对该流应用的第一信誉分析技术来确定，该多个信誉指示符中的第二信誉指示符基于对该流应用的第二信誉分析技术来确定，该第二信誉分析技术与该第一信誉分析技术不同。

在一些实现方式中，该第一信誉分析技术或该第二信誉分析技术包括攻击检测技术，该攻击检测技术指示该流与网络攻击相关联的可能性。

在一些实现方式中，该第一信誉分析技术或该第二信誉分析技术包括恶意软件检测技术，该恶意软件检测技术指示该流与恶意软件相关联的可能性。

在一些实现方式中，该第一信誉分析技术或该第二信誉分析技术包括应用识别技术，该应用识别技术指示该流被确定为与相同应用相关联的一致性。

在一些实现方式中，该第一信誉分析技术或该第二信誉分析技术包括web流量分析技术，该web流量分析技术指示与该流相关联的网站的信誉的度量。

在一些实现方式中，该第一信誉分析技术或该第二信誉分析技术包括基于规则的过滤技术，该基于规则的过滤技术基于识别与该流相关联的流信息的存储的规则来指示与该流相关联的信誉的度量。

附图说明

图1a-1c是本文描述的示例实现方式的概述的示意图；

图2是本文描述的系统和/或方法可以被实现在其中的示例环境的示意图；

图3是图2的一个或多个设备的示例部件的示意图；并且

图4是用于基于信誉来动态地对网络流量指定优先级的示例过程的流程图。

具体实施方式

示例实现方式的下面的详细描述参考附图。在不同的附图中相同的附图标记可以识别相同或相似的元件。

网络管理员可以利用规则来配置网络设备以(例如，通过对网络流量进行速率限制、计量、排队或过滤)对网络流量指定优先级。然而，这种规则一般是静态的并且广义地定义的。例如，规则可以等同地或相似地处置所有超文本传输协议(http)流量。这可以在尽管网络流量与具有不同信誉的应用和/或网站相关联，但是网络流量被等同地指定优先级时引起网络流量的低效率或无效处置。例如，与恶意的不受信任的或不流行的应用和/或网站相关联的网络流量可以和与有信誉的受信任的或流行的应用和/或网站相关联的网络流量相同地来处置。本文描述的实现方式当对网络流量指定优先级时考虑与流量流相关联的信誉，由此提高处理网络流量的效率和有效性。

图1a-1c是本文描述的示例实现方式100的概述的示意图。如图1a并由附图标记110所示，网络设备可以接收要使用信誉分析来分析的网络流量。例如，网络设备可以从一个或多个客户端设备接收网络流量，并且可以处理网络流量以用于经由网络传输(例如，到服务器设备或另一类型的目的设备)。作为另一示例，网络设备可以从网络(例如，从网络的一个或多个设备)接收网络流量，并且可以处理网络流量以用于传输到一个或多个客户端设备。

如图1b并由附图标记120所示，网络设备可以针对包含在网络流量中的网络流量流(有时被称为“流”)应用一个或多个信誉分析技术。例如，网络设备可以应用应用识别技术或基于规则的过滤技术，如本文其他地方更详细地所描述的。如所示出的，基于应用一个或多个信誉分析技术，网络设备可以将如流a所示的第一流与指示第一流具有高信誉的信誉指示符相关联，并且可以将如流b所示的第二流与指示第二流具有低信誉的信誉指示符相关联。

如由附图标记130所示，网络设备可以将针对流的流信息提供给一个或多个流量分析设备(例如，入侵检测设备、防火墙或安全性设备)，并且可以接收针对流的信誉指示符。一个或多个流量分析设备可以对流量流应用一个或多个信誉分析技术以确定信誉指示符。例如，一个或多个流量分析设备可以应用攻击检测技术或恶意软件检测技术，如本文其他地方更详细地描述的。如所示出的，基于应用一个或多个信誉分析技术，一个或多个流量分析设备可以将指示流a具有高信誉和流b具有中间信誉的信息发送到网络设备。

如由附图标记140所示，网络设备可以将针对流的流信息提供给一个或多个web分析设备(例如，服务器)，并且可以接收针对流的信誉指示符。一个或多个web分析设备可以对流量流应用一个或多个信誉分析技术以确定信誉指示符。例如，一个或多个web分析设备可以应用特定于web流量(例如，http流量)的web流量分析技术，如本文其他地方更详细地描述的。如所示出的，基于应用一个或多个信誉分析技术，一个或多个web分析设备可以将指示流a具有中间信誉和流b具有低信誉的信息发送到网络设备。

如图1c和由附图标记150所示，网络设备可以基于由网络设备确定的、从一个或多个流量分析设备接收到的和/或从一个或多个web分析设备接收到的信誉指示符来确定信誉得分。例如，假设网络设备计算出针对流a的信誉得分为5并且针对流的信誉得分为1，指示流a具有比流b更高的信誉。在这种情况下，并且如由附图标记160所示，网络设备可以基于流a和流b的相对信誉得分来向流a分配比流b更多的带宽。在一些情况下，所分配的带宽的差异可以基于流a和流b的信誉得分之间的差，如本文其他地方更详细地描述的。另外，网络设备可以定期地确定和/或接收针对流量流的信誉指示符，可以定期地更新信誉得分，并且可以基于所更新的信誉得分来动态地调节所分配的带宽。

以这种方式，网络设备可以当为流量流分配带宽时考虑与网络流量相关联的信誉的度量。这准许比应用级别带宽管理更细粒度的控制，其可能等同地处置所有应用而不考虑信誉。另外，网络设备可以通过限制为具有低信誉的网络流量分配的带宽的量来提高网络流量安全性。另外，网络设备可以通过调节所分配的带宽来动态地适应流量流信誉的变化，由此提高流量处理和流量传输的效率和有效性。

如以上所指示的，图1a-1c仅仅被提供作为示例。其他示例是可能的并且可以与参考图1a-1c描述的示例不同。

图2是本文描述的系统和/或方法可以被实现在其中的示例环境200的示意图。如图2所示，环境200可以包括一个或多个客户端设备210-1到210-n(n≥1)(在下文中统称为“客户端设备210”并且单个地被称为“客户端设备210”)、网络设备220、一个或多个流量分析设备230、一个或多个web分析设备240以及网络250。环境200的设备可以经由有线连接、无线连接或有线连接和无线连接的组合相互连接。

客户端设备210可以包括能够经由网络(例如，网络250)发送或接收网络流量的一个或多个设备。例如，客户端设备210可以包括台式计算机、笔记本计算机、平板计算机、移动电话(例如，智能电话、无线电话等)、服务器设备或相似类型的设备。在一些实现方式中，客户端设备210可以驻存在受网络设备220保护的客户网络上。

网络设备220可以包括能够处理和/或传输在各终端设备(例如，客户端设备210和连接到网络250的设备)之间的流量的一个或多个设备(例如，一个或多个流量传输设备)。例如，网络设备220可以包括防火墙、路由器、网关、交换机、集线器、桥接器、接入点、反向代理、服务器设备(例如，代理服务器)、安全性设备、入侵检测设备、负载平衡器、基站或相似类型的设备。网络设备220可以结合单个客户端设备210或一组客户端设备210(例如，与私有网络、数据中心等相关联的客户端设备210)来使用。在一些实现方式中，通信可以通过网络设备220被路由以到达该组客户端设备210。例如，网络设备220可以被定位在网络内作为到包括该组客户端设备210的客户网络的网关。额外地或可替换地，来自客户端设备210的通信可以被编码使得通信在(例如，经由网络250)被路由到其他地方之前被路由到网络设备220。

流量分析设备230可以包括能够分析流量流以确定与该流量流相关联的信誉指示符的一个或多个设备。例如，流量分析设备230可以包括服务器设备、安全性设备、入侵检测设备、防火墙或相似类型的设备。在一些实现方式中，流量分析设备230可以运行用于网络流量的恶意软件分析的沙盒环境。在一些实现方式中，流量分析设备230可以运行多个沙盒环境以用于当执行恶意软件分析时并行处理文件。例如，流量分析设备230可以加载和/或主控与多个沙盒环境相对应的多个虚拟机。额外地或可替换地，环境200可以包括多个流量分析设备230，其每个均运行用于在恶意软件分析期间并行处理文件的沙盒环境。在一些实现方式中，本文描述为由流量分析设备230执行的功能可以由网络设备220执行，并且反之亦然。换言之，在一些实现方式中，网络设备220和流量分析设备230可以被实现在相同设备中。

web分析设备240可以包括能够分析与web流量相关联的流量流以确定与该流量流相关联的信誉指示符的一个或多个设备。例如，web分析设备240可以包括服务器设备(例如，第三方服务器、web服务器、主控服务器等)或相似类型的设备。在一些实现方式中，一个或多个流量分析设备230可以由第一实体(例如，还拥有网络设备220的网络运营商)拥有，并且一个或多个web分析设备240可以由第二实体(例如，提供web流量分析服务的第三方)拥有。额外地或可替换地，一个或多个流量分析设备230可以在网络设备220的内部或者与网络设备220直接通信，并且一个或多个web分析设备240可以在网络设备220的外部或者与网络设备220(例如，经由一个或多个中间设备)间接通信。在一些实现方式中，如由web分析设备240执行的本文描述的功能可以由网络设备220执行，并且反之亦然。换言之，在一些实现方式中，网络设备220和web分析设备240可以被实现在相同设备中。

网络250可以包括一个或多个有线网络和/或无线网络。例如，网络250可以包括蜂窝网络(例如，长期演进(lte)网络、3g网络、码分多址(cdma)网络等)、公共陆地移动网络(plmn)、局域网(lan)、广域网(wan)、城域网(man)、电话网络(例如，公共交换电话网络(pstn))、私有网络、自组织网络、内联网、互联网、基于光纤的网络或云计算网络等和/或这些类型的网络或其他类型的网络的组合。

图2中示出的设备和网络的数量和布置被提供作为示例。实际上，可以存在与图2中示出的设备和网络相比额外的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者不同地布置的设备和/或网络。另外，图2中示出的两个或更多个设备可以被实现在单个设备内，或者图2中示出的单个设备可以被实现为多个分布式设备。额外地或可替换地，环境200的一组设备(例如，一个或多个设备)可以执行被描述为由环境200的另一组设备执行的一个或多个功能。

图3是设备300的示例部件的示意图。在一些实现方式中，设备300可以对应于网络设备220。在一些实现方式中，网络设备220可以包括一个或多个设备300和/或设备300的一个或多个部件。如图3所示，设备300可以包括一组输入部件305-1到305-b(b≥1)(单个地被称为“输入部件305”并且统称为“输入部件305”)、交换部件310、一组输出部件315-1到315-c(c≥1)(单个地被称为“输出部件315”并且统称为“输出部件315”)以及控制器320。设备300的部件可以经由有线连接、无线连接或有线连接和无线连接的组合相互连接。

输入部件305包括针对连接到设备300的物理链路的附接点，并且为针对由设备300接收到的传入流量(例如，分组)的入口点。输入部件305例如通过执行数据链路层封装或解封装来处理传入流量。在一些实现方式中，输入部件305发送和/或接收分组。在一些实现方式中，输入部件305包括输入线路卡，输入线路卡包括一个或多个分组处理部件(例如，以集成电路的形式)，例如一个或多个接口卡(ifc)、分组转发部件、线路卡控制器部件、输入端口、处理器、存储器和/或输入队列。

交换部件310将输入部件305和输出部件315相互连接。在一些实现方式中，交换部件310经由一个或多个交叉开关、经由一个或多个总线和/或使用共享存储器来实现。共享存储器可以用作临时缓冲器以在分组最终被调度以用于递送到输出部件315之前存储来自输入部件305的分组。在一些实现方式中，交换部件310使得输入部件305、输出部件315和/或控制器320能够进行通信。

输出部件315包括针对连接到设备300的物理链路的附接点，并且为针对由设备300发送的外出流量(例如，分组)的出口点。输出部件315存储分组和/或可以调度分组以用于在输出物理链路上进行传输。输出部件315支持数据链路层封装或解封装和/或各种更高级的协议。在一些实现方式中，输出部件315发送和/或接收分组。在一些实现方式中，输出部件315包括输出线路卡，输出线路卡包括一个或多个分组处理部件(例如，以集成电路的形式)，例如一个或多个ifc、分组转发部件、线路卡控制器部件、输出端口、处理器、存储器和/或输出队列。在一些实现方式中，输入部件305和输出部件315由同一组部件来实现(即，输入/输出部件是输入部件305和输出部件315的组合)。

控制器320包括处理器，其形式例如为中央处理单元(cpu)、微处理器、微控制器、现场可编程门阵列(fpga)、专用集成电路(asic)和/或能够解释和/或运行指令的另一类型的处理器。处理器以硬件、固件或硬件和软件的组合来实现。在一些实现方式中，控制器320包括能够被编程以执行功能的一个或多个处理器。

在一些实现方式中，控制器320可以包括随机存取存储器(ram)、只读存储器(rom)和/或存储用于由控制器320使用的信息和/或指令的另一类型的动态或静态存储设备(例如，闪存、磁性存储器、光学存储器等)。

在一些实现方式中，控制器320可以与连接到设备300的其他设备、网络和/或系统进行通信以交换关于网络拓扑的信息。控制器320可以基于网络拓扑信息来创建路由表，可以基于路由表来创建转发表，并且可以将转发表转发到输入部件305和/或输出部件315。输入部件305和/或输出部件315可以使用转发表来执行针对传入分组和/或外出分组的路由查找。

控制器320可以执行本文描述的一个或多个过程。控制器320响应于运行由非暂态计算机可读介质存储的软件指令而执行这些过程。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或跨多个物理存储设备分布的存储器空间。

软件指令可以从另一计算机可读介质或从另一设备经由通信接口被读入到与控制器320相关联的存储器和/或存储部件中。当运行时，存储在与控制器320相关联的存储器和/或存储部件中的软件指令可以使控制器320执行本文描述的一个或多个过程。额外地或可替换地，硬接线电路可以代替软件指令或与软件指令相组合来使用以执行本文描述的一个或多个过程。因此，本文描述的实现方式不限于硬件电路和软件的任何特定组合。

图3中示出的部件的数量和布置被提供作为示例。实际上，设备300可以包括与图3中示出的部件相比额外的部件、更少的部件、不同的部件或不同地布置的部件。额外地或可替换地，设备300的一组部件(例如，一个或多个部件)可以执行被描述为由设备300的另一组部件执行的一个或多个功能。

图4是用于基于信誉的度量来动态地对网络流量指定优先级的示例过程400的流程图。在一些实现方式中，图4的一个或多个过程框可以由网络设备220执行。在一些实现方式中，图4的一个或多个过程框可以由另一设备或与网络设备220分离或包括网络设备220的一组设备执行，例如由客户端设备210、流量分析设备230和/或web分析设备240执行。

如图4所示，过程400可以包括接收与流相关联的网络流量(框410)。例如，网络设备220可以接收源自或去往一个或多个客户端设备210的网络流量。如本文所使用的，网络流量(或者简单地称为“流量”)可以指代使用通信结构进行通信的信息，通信结构例如协议数据单元(pdu)、分组、帧、数据报、片段、消息、块、单元、帧、子帧、时隙、符号、以上中的任何的部分和/或能够经由网络传输的数据的另一类型的格式化单元或未格式化单元。

网络流量可以与流(例如，网络流量流)相关联。该流可以包括相关的网络流量(例如，一组相关的分组)。在一些实现方式中，流可以由流标识符来识别，流标识符例如5元组信息(例如，源网络地址、目的网络地址、源端口标识符、目的端口标识符或协议标识符)的一个或多个项。

如图4进一步示出的，过程400可以包括确定指示与该流相关联的信誉的度量的多个信誉指示符(框420)。例如，网络设备220可以通过分析流来确定针对该流的一个或多个信誉指示符。额外地或可替换地，网络设备220可以通过将流信息(针对流的5元组信息、包含在流中的分组或与流相关联的其他信息)提供给一个或多个其他设备以用于分析并从一个或多个其他设备接收一个或多个信誉指示符来确定针对流的一个或多个信誉指示符。例如，网络设备220可以从一个或多个流量分析设备230和/或一个或多个web分析设备240接收一个或多个信誉指示符。

信誉指示符可以指示与流相关联的信誉的度量，例如与流相关联的可信任度的度量，与流相关联的流行性的度量或与流相关联的安全性风险等。例如，信誉指示符可以指示与流相关联的应用的信誉的度量。信誉指示符可以由诸如数值(例如，数字，例如1、2或3；或百分数，例如25％、50％或100％；等等)或字符串(例如，“高”、“中间”、“低”、“有害”、“可疑”、“相对安全”、“中等安全”、“非常安全”等)的值表示。

在一些实现方式中，信誉指示符可以通过针对流执行信誉分析技术来确定。例如，网络设备220、流量分析设备230和/或web分析设备240可以接收与流相关联的流信息，可以基于流信息来执行信誉分析技术，并且可以基于执行信誉分析技术来确定针对流的信誉指示符。特定信誉指示符可以基于执行特定信誉分析技术来确定，并且不同的信誉指示符可以基于执行不同的信誉分析技术来确定。例如，针对流的第一信誉指示符可以基于应用第一信誉分析技术来确定，针对流的第二信誉指示符可以基于应用第二信誉分析技术(即，与第一信誉分析技术不同)来确定等。

额外地或可替换地，不同的信誉指示符可以由执行一个或多个信誉分析技术的不同的设备来确定。例如，针对流的第一信誉指示符可以基于由网络设备220执行的信誉分析技术来确定，针对流的第二信誉指示符可以基于由流量分析设备230执行的信誉分析技术来确定，针对流的第三信誉指示符可以基于由web分析设备240执行的信誉分析技术来确定等。作为另一示例，不同的流量分析设备230可以用于确定针对流的不同的信誉指示符。作为又一示例，(例如，与不同的web分析服务相关联的)不同的web分析设备240可以用于确定针对流的不同的信誉指示符。

作为示例，信誉分析技术可以包括攻击检测技术，攻击检测技术指示流与网络攻击(例如，恶意软件攻击、拒绝服务攻击、或入侵检测和防护(idp)攻击)相关联的可能性。基于执行攻击检测技术确定的信誉指示符可以指示例如流是否与网络攻击相关联、流与网络攻击相关联的可能性或与流相关联的网络攻击的量等。例如，针对第一流的高信誉指示符可以指示与和低信誉指示符相关联的第二流相比第一流较不可能与攻击相关联。在一些实现方式中，该信誉指示符可以被存储在可由网络设备220访问的数据结构(例如idp攻击表)中。

作为另一示例，信誉分析技术可以包括恶意软件检测技术，恶意软件检测技术指示流与恶意软件相关联的可能性(例如，与流相关联的应用是恶意软件的可能性)。基于执行恶意软件检测技术确定的信誉指示符可以指示例如流是否与恶意软件相关联或流与恶意软件相关联的可能性等。例如，针对第一流的高信誉指示符可以指示与低信誉指示符相关联的第二流相比第一流较不可能与恶意软件相关联。在一些实现方式中，该信誉指示符可以被存储在可由网络设备220访问的数据结构(例如恶意软件表)中。在一些实现方式中，恶意软件检测技术可以在运行在网络设备220和/或流量分析设备230上的沙盒环境中执行。

作为另一示例，信誉分析技术可以包括应用识别技术，应用识别技术指示流与相同应用相关联的一致性。基于执行应用识别技术确定的信誉指示符可以指示例如流如何一致地与特定应用相关联。例如，网络设备220可以分析流以(例如，基于流信息或执行深度分组检查)确定与流相关联的应用。在稍后的时间，网络设备220可以重新分析流以确定流是否与和最初分析相同的应用相关联。在一些实现方式中，网络设备220可以随机地选择流以用于重新分析。在一些实现方式中，网络设备220可以存储与针对流的流标识符(例如，目的网络地址和目的端口标识符)相关联的针对应用的应用标识符。

在一些实现方式中，如果网络设备220确定对流的重新分析指示流与和先前分析相同的应用相关联，则网络设备220可以将高信誉指示符指派给该流。相反，如果网络设备220确定对流的重新分析指示流与和先前分析不同的应用相关联，则网络设备220可以将低信誉指示符指派给该流。针对第一流的高信誉指示符可以指示与和低信誉指示符相关联的第二流相比第一流更一致地与相同应用相关联。在一些实现方式中，该信誉指示符可以被存储在可由网络设备220访问的数据结构(例如系统缓存)中。

作为另一示例，信誉分析技术可以包括web流量分析技术，web流量分析技术指示与流相关联的网站的信誉。基于执行web流量分析技术确定的信誉指示符可以指示例如与流相关联的应用或网站的流行性的度量、与流相关联的应用或网站的排序(例如，web排序或搜索引擎排序)、或与流相关联的应用或网站的可信任度的度量等。例如，针对第一流的高信誉指示符可以指示与和低信誉指示符相关联的第二流相比第一流与更流行的应用或网站相关联。作为示例，所有网站中排列前100的网站可以被指派以高信誉指示符，并且所有网站中排列在前100之外的网站可以被指派以低信誉指示符。在一些实现方式中，网络设备220可以将流信息提供给web分析设备240，其可以执行web流量分析技术并将信誉指示符提供给网络设备220。在一些实现方式中，web流量分析技术可以通过地理区域来对web流量和/或网站进行排序。

作为另一示例，信誉分析技术可以包括基于规则的过滤技术，基于规则的过滤技术基于识别与流相关联的流信息的存储的规则来指示与流相关联的信誉的度量。基于执行基于规则的过滤技术确定的信誉指示符可以指示例如基于对与流相关联的流信息应用一组规则的与流相关联的信誉的度量。例如，具有第一组属性(例如，与第一组值相匹配的流信息)的第一流可以被指派以比具有第二组属性(例如，与第二组值相匹配的流信息)的第二流更高的信誉指示符。在一些实现方式中，网络设备220可以存储一组规则并且可以对流应用该组规则以确定针对该流的信誉指示符。

在一些实现方式中，网络设备220可以确定流是否包括web流量(例如，与网站相关联的流量)。网络设备220可以当流包括web流量时应用第一组信誉分析技术，并且当流不包括web流量时应用第二组信誉分析技术。例如，当流包括web流量(例如，http流量)时，网络设备220可以基于web流量分析技术和/或基于规则的过滤技术来确定针对流的信誉指示符。作为另一示例，当流不包括web流量时，网络设备220可以基于攻击检测技术、恶意软件检测技术、和/或应用识别技术来确定针对流的信誉指示符。在一些实现方式中，取决于流是否包括web流量，网络设备220可以基于信誉分析技术的其他组合来确定信誉指示符。

在一些实现方式中，网络设备220可以存储与一个或多个信誉指示符相关联的流标识符。网络设备220可以使用该关系来计算针对流的信誉得分和/或对一组流指定优先级，如下面更详细地描述的。

如图4进一步示出的，过程400可以包括基于多个信誉指示符来确定针对流的信誉得分(框430)。例如，网络设备220可以基于一个或多个信誉指示符来确定信誉得分。在一些实现方式中，网络设备220可以基于多个信誉指示符来确定(例如，基于不同的信誉分析技术来确定，由不同的设备来确定等)信誉得分。

作为示例，网络设备220可以基于指示最高信誉的信誉指示符、基于指示最低信誉的信誉指示符、基于由多个信誉指示符指示的平均信誉、或基于多个信誉指示符的组合(例如，加权平均、求和或一些其他数学组合)等来确定信誉得分。在一些实现方式中，网络设备220可以将权重指派给一个或多个信誉指示符以计算信誉得分。额外地或可替换地，网络设备220可以当计算信誉得分时将不同的权重指派给不同的信誉指示符。例如，网络设备220可以基于用于确定信誉指示符的信誉分析技术、基于哪个设备确定信誉指示符和/或基于哪个流信息用于确定信誉指示符来将权重指派给信誉指示符。

信誉得分可以包括例如二元指示符(例如，“有信誉”或“没有信誉”)、数值指示符(例如，由例如从1到10、从0到100或从0到1的数字的范围指示的信誉)、或字符串指示符(例如，“高”、“中间”、“低”等)等。在一些实现方式中，可能的信誉得分的量可以基于用于确定信誉得分的信誉指示符的量和/或可以基于所应用的信誉分析技术的量(例如，可以为信誉指示符和/或信誉分析技术的量的倍数)。

在一些实现方式中，网络设备220可以与识别信誉得分与其相关联的流的流标识符相关联地存储信誉得分。以这种方式，网络设备220可以使用信誉得分来对流指定优先级，如下面更详细地描述的。

如图4进一步示出的，过程400可以包括基于信誉得分来对流指定优先级(框440)。例如，网络设备220可以基于与流相关联的信誉得分来对流指定优先级。在一些实现方式中，网络设备220可以对具有满足阈值的信誉得分的流指定优先级。额外地或可替换地，网络设备220可以将与具有低信誉得分的流相比更高的优先级指派给具有高信誉得分的流。例如，网络设备220可以通过将与具有较低信誉得分的流相比更多的带宽分配给具有较高信誉得分的流来对流指定优先级。在一些实现方式中，网络设备220可以针对具有不同优先级的流使用不同的队列，并且可以针对从较低优先级流的队列发送的每个分组发送来自较高优先级流的队列的多个分组。在一些实现方式中，网络设备220可以基于用于对网络流量进行分类的信誉得分的量来配置和/或使用队列的量。额外地或可替换地，网络设备220可以存储一组规则，该组规则指示基于信誉得分来对网络流量指定优先级的方式。

在一些实现方式中，网络设备220可以基于在与第一流相关联的第一信誉得分和与第二流相关联的第二信誉得分之间的差的程度来将带宽分配给第一流和第二流。例如，如果第一流的第一信誉得分高达第二流的第二信誉得分的二倍，则网络设备220可以将与分配给第二流的带宽相比二倍之多的带宽分配给第一流。额外地或可替换地，网络设备220可以基于与多个流相关联的信誉得分来计算要被分配给多个流的带宽的量，使得具有更高信誉得分的流比具有更低信誉得分的流被分配以更多的带宽。

额外地或可替换地，网络设备220可以通过丢弃与低信誉得分(例如，小于或等于阈值)相关联的流的分组和/或通过发送与高信誉得分(例如，大于或等于阈值)相关联的流的分组来对流指定优先级。额外地或可替换地，网络设备220可以监控具有满足阈值的信誉得分的流。额外地或可替换地，网络设备220可以将识别具有满足阈值的信誉得分的流的通知发送到与网络管理员相关联的管理员设备。

在一些实现方式中，网络设备220可以确定针对新流的信誉得分，并且可以基于确定针对新流的信誉得分来对一个或多个流重新指定优先级。额外地或可替换地，网络设备220可以定期地确定针对现有流或针对其已经确定了信誉得分的流的信誉得分，并且可以基于定期地确定信誉得分来对一个或多个流重新指定优先级。在一些实现方式中，网络设备220可以使一个或多个其他网络设备220(例如，路由器、网关、基站、网络接入点等)对流指定优先级。例如，第一网络设备220可以将指令提供给第二网络设备220以使第二网络设备220对流指定优先级。

以这种方式，网络设备220可以动态地对流量流指定优先级，由此改进带宽管理。另外，网络设备220可以准许比应用级别管理更细粒度的网络流量管理，其中所有应用被等同地处置而不管信誉如何。另外，网络设备220可以自动地执行网络流量管理，而无需用户输入复杂的规则。另外，网络设备220可以通过将较多的带宽分配给具有高信誉的流并将较少的带宽分配给具有低信誉的流来提高网络安全性并改进吞吐量。

尽管图4示出了过程400的示例框，但是在一些实现方式中，过程400可以包括与图4中描绘的框相比额外的框、更少的框、不同的框或不同地布置的框。额外地或可替换地，可以并行地执行过程400的框中的两个或更多个框。

本文描述的实现方式当对网络流量指定优先级时考虑与流量流相关联的信誉，由此提高处理网络流量的效率和有效性。

前述公开内容提供说明和描述，但是不旨在为穷举的或者将实现方式限于所公开的确切形式。能够鉴于上述公开内容进行各种修改和变化或者可以从实现方式的实践中获取各种修改和变化。

如本文所使用的，术语部件旨在被宽泛地理解为硬件、固件和/或硬件和软件的组合。

本文结合阈值描述一些实现方式。如本文所使用的，满足阈值可以指代大于阈值的值、超过阈值的值、高于阈值的值、大于或等于阈值的值、小于阈值的值、少于阈值的值、低于阈值的值、小于或等于阈值的值、等于阈值的值等。

将显而易见的是，本文描述的系统和/或方法可以以硬件、固件和/或硬件和软件的组合的不同的形式来实现。用于实现这些系统和/或方法的实际专用控制硬件或软件代码不是对实现方式的限制。因此，本文在不参考具体软件代码的情况下描述系统和/或方法的操作和行为，应理解软件和硬件能够基于本文的描述而被设计为实现该系统和/或方法。

尽管在权利要求中记载了和/或在说明书中公开了特征的具体组合，但是这些组合不旨在限制可能实现方式的公开内容。实际上，这些特征中的许多特征可以以未具体地在权利要求中记载和/或在说明书中公开的方式进行组合。尽管下面列出的每个从属权利要求可以直接从属于仅仅一个权利要求，但是可能实现方式的公开内容包括与权利要求组中的每个其他权利要求相组合的每个从属权利要求。

本文使用的元件、动作或指令都不应当被理解为关键或必需的，除非这样明确描述。此外，如本文所使用的，词语“一(a)”或“一个(an)”旨在包括一个或项，并且可以与“一个或多个”可互换地来使用。另外，如本文所使用的，术语“组”旨在包括一个或多个项(例如，相关项、无关项、相关项和无关项的组合等)并且可以与“一个或多个”可互换地来使用。在旨在仅仅一个项的情况下，使用术语“一个(one)”或类似的语言。此外，如本文所使用的，术语“有(has)”、“具有(have)”或“拥有(having)”等旨在为开放式术语。另外，词语“基于”旨在意指“至少部分基于”，除非另行明确陈述。