一种确定内网HTTP通信流服务类型的方法及装置与流程
本发明涉及通信技术领域,尤其涉及一种确定内网HTTP通信流服务类型的方法及装置。
背景技术:
当前对HTTP(HyperText Transfer Protocol,超文本传输协议)通信流对应的服务类型的识别都偏重于对公网流量的识别,而内网中HTTP通信流因差异性大,目前在无人工参与情况下一般只能做基础应用协议的服务类型识别,例如将内网中HTTP通信流识别为HTTP上传协议类型的服务,或者是将内网中HTTP通信流识别为HTTP下载协议类型的服务。
如果想要获取内网中HTTP通信流对应的服务类型的精确信息,一般可以选择预先建立好HTTP通信流与服务类型之间的识别规则,但由于实际应用中HTTP通信流的类型的总数量较大,如果对每种HTTP通信流都建立一个HTTP通信流与服务类型之间的识别规则,则将会造成应用识别规则列表中识别规则数量较大,因而一般还需要人工参与,去除其中的一些无效服务,造成现有技术在无人工参与情况下对内网中服务的管控力度较差。
综上所述,现有技术下在无人工参与情况下无法有效管控内部网络中的HTTP通信流,对内网HTTP通信流对应服务类型的识别比较困难。
技术实现要素:
本发明提供一种确定HTTP通信流识别方法及装置,用以解决现有技术中存在的在无人工参与情况下无法有效管控内部网络中的HTTP通信流,对内网HTTP通信流对应服务类型的识别比较困难的技术问题。
一方面,本发明实施例提供一种确定内网HTTP通信流服务类型的方法,包括:
解析获取的HTTP通信流,得到所述HTTP通信流的URL;
判断所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同,所述最有效服务通信流列表为根据历史HTTP通信流中访问量排名最高的前N个URL得到的;
若确定所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL相同,则判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值;
若确定所述当前时间与所述最有效服务通信流列表的更新时间的差值不小于所述更新时间阈值,则将所述最有效服务通信流列表中URL对应的HTTP通信流作为目标通信流列表中的目标通信流;
针对所述目标通信流列表中的任一个目标通信流,解析所述目标通信流,得到所述目标通信流的服务类型和服务标识信息的识别规则并添加至服务标识信息和服务类型的应用识别规则列表,所述服务标识信息和服务类型的应用识别规则列表用于为待识别的HTTP通信流确定所述待识别的HTTP通信流的服务类型。
可选地,所述得到所述HTTP通信流的URL之后,还包括:
确定有效服务通信流列表包含所述HTTP通信流的URL对应的服务,并将所述有效服务通信流列表中所述HTTP通信流的URL对应的服务的访问量加一,所述有效服务通信流列表用于存储内网中所有有效服务通信流的URL及所有有效服务通信流的URL对应的服务的访问量。
可选地,所述得到所述HTTP通信流的URL之后,还包括:
确定有效服务通信流列表不包含所述HTTP通信流的URL对应的服务,且确定所述HTTP通信流的URL对应的服务是有效服务,并将所述HTTP通信流的URL及所述HTTP通信流的URL对应的服务添加至所述有效服务通信流列表,所述有效服务是指对服务的不同的访问者的数量大于预设访问者阈值的服务,所述有效服务通信流列表用于存储内网中所有有效服务通信流的URL及所有有效服务通信流的URL对应的服务的访问量。
可选地,所述确定所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL相同之后,还包括:
若确定所述当前时间与所述最有效服务通信流列表的更新时间的差值小于所述更新时间阈值,则获取所述有效服务通信流列表中访问量排名最高的前N个URL作为目标URL;
若获取的所述目标URL与所述最有效服务通信流列表中的HTTP通信流的URL不完全相同,则根据所述目标URL,更新所述最有效服务通信流列表,以及根据所述当前时间更新所述最有效服务通信流列表的更新时间。
可选地,判断所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同之前,还包括:
确定所述HTTP通信流的URL对应的服务不是噪声服务。
可选地,若满足下列部分或全部条件,则将所述HTTP通信流的URL对应的服务确定为噪声服务:
所述HTTP通信流的首个请求报文中包含请求参数、所述HTTP通信流的URL中包含预设的异常字符、所述HTTP通信流的URL中包含图片类型关键词。
可选地,所述解析所述目标通信流,得到所述目标通信流的服务类型和服务标识信息的识别规则并添加至服务标识信息和服务类型的应用识别规则列表之后,还包括:
获取第一待识别HTTP通信流;
解析出所述第一待识别HTTP通信流中的服务标识信息;
根据所述服务标识信息与服务类型的应用识别规则列表,确定所述第一待识别HTTP通信流所对应的服务类型。
可选地,所述解析所述目标通信流,得到所述目标通信流的服务类型和服务标识信息的识别规则,包括:
解析所述目标通信流,得到所述目标通信流中的回应报文及服务标识信息;
解析所述回应报文,得到所述目标通信流的服务类型;
根据所述目标通信流的服务类型及所述服务标识信息,得到所述目标通信流的服务类型和服务标识信息的识别规则。
另一方面,本发明实施例提供一种确定内网HTTP通信流服务类型的装置,包括:
解析单元,用于解析获取的HTTP通信流,得到所述HTTP通信流的URL;
判断单元,用于判断所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同,所述最有效服务通信流列表为根据历史HTTP通信流中访问量排名最高的前N个URL得到的;若确定所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL相同,则判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值;
目标通信流确定单元,用于若确定所述当前时间与所述最有效服务通信流列表的更新时间的差值不小于所述更新时间阈值,则将所述最有效服务通信流列表中URL对应的HTTP通信流作为目标通信流列表中的目标通信流;
识别规则设置单元,用于针对所述目标通信流列表中的任一个目标通信流,解析所述目标通信流,得到所述目标通信流的服务类型和服务标识信息的识别规则并添加至服务标识信息和服务类型的应用识别规则列表,所述服务标识信息和服务类型的应用识别规则列表用于为待识别的HTTP通信流确定所述待识别的HTTP通信流的服务类型。
可选地,所述装置还包括访问量设置单元,用于:
确定有效服务通信流列表包含所述HTTP通信流的URL对应的服务,并将所述有效服务通信流列表中所述HTTP通信流的URL对应的服务的访问量加一,所述有效服务通信流列表用于存储内网中所有有效服务通信流的URL及所有有效服务通信流的URL对应的服务的访问量。
可选地,所述装置还包括有效服务确定单元,用于:
确定有效服务通信流列表不包含所述HTTP通信流的URL对应的服务,且确定所述HTTP通信流的URL对应的服务是有效服务,并将所述HTTP通信流的URL及所述HTTP通信流的URL对应的服务添加至所述有效服务通信流列表,所述有效服务是指对服务的不同的访问者的数量大于预设访问者阈值的服务,所述有效服务通信流列表用于存储内网中所有有效服务通信流的URL及所有有效服务通信流的URL对应的服务的访问量。
可选地,所述装置还包括更新单元,用于:
若确定所述当前时间与所述最有效服务通信流列表的更新时间的差值小于所述更新时间阈值,则获取所述有效服务通信流列表中访问量排名最高的前N个URL作为目标URL;
若获取的所述目标URL与所述最有效服务通信流列表中的HTTP通信流的URL不完全相同,则根据所述目标URL,更新所述最有效服务通信流列表,以及根据所述当前时间更新所述最有效服务通信流列表的更新时间。
可选地,所述装置还包括噪声服务确定单元,用于在判断所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同之前,确定所述HTTP通信流的URL对应的服务不是噪声服务。
可选地,若满足下列部分或全部条件,则将所述HTTP通信流的URL对应的服务确定为噪声服务:
所述HTTP通信流的首个请求报文中包含请求参数、所述HTTP通信流的URL中包含预设的异常字符、所述HTTP通信流的URL中包含图片类型关键词。
可选地,所述装置还包括服务类型识别单元,用于:
获取第一待识别HTTP通信流;
解析出所述第一待识别HTTP通信流中的服务标识信息;
根据所述服务标识信息与服务类型的应用识别规则列表,确定所述第一待识别HTTP通信流所对应的服务类型。
可选地,所述识别规则设置单元,具体用于:
解析所述目标通信流,得到所述目标通信流中的回应报文及服务标识信息;
解析所述回应报文,得到所述目标通信流的服务类型;
根据所述目标通信流的服务类型及所述服务标识信息,得到所述目标通信流的服务类型和服务标识信息的识别规则。
本发明实施例,解析获取的HTTP通信流,得到所述HTTP通信流的URL,通过判断HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同来确定是否满足触发条件,若满足触发条件,则判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值;若不小于,则表明最有效服务通信流列表中URL对应的HTTP通信流趋于稳定,然后将最有效服务通信流列表中URL对应的HTTP通信流作为目标通信流列表中的目标通信流,并解析出其服务类型和服务标志信息,以及建立服务标志信息和服务类型的识别规则。本发明实施例,从大量通信流中筛选出部分最有效服务通信流来建立识别规则,从而实现了自动化的对内部网络中HTTP通信流中的有效服务完成识别,在无人工参与情况下可以有效管控内部网络中的HTTP通信流。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种确定内网HTTP通信流服务类型的方法流程图;
图2为本发明实施例提供的一种确定内网HTTP通信流服务类型的方法详细流程图;
图3为本发明实施例提供的一种确定内网HTTP通信流服务类型的装置示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面结合说明书附图对本发明实施例作进一步详细描述。
内部网络中,HTTP通信流指的是以HTTP协议访问方式产生的客户端与服务器之间的通信,举例来说,客户端想要向服务器请求某种服务(如请求财务报表服务等),则客户端向服务器发送一个HTTP请求,用于向服务器请求服务,服务器收到该HTTP请求后,会回应所请求的服务对应的内容。
一个HTTP通信流一般包含以下信息:
目的IP(Internet Protocol,网络之间互连的协议):表示提供服务的服务器的IP信息;
源IP:表示访问者的客户端的IP信息;
URL(Uniform Resoure Locator,统一资源定位器):表示要请求的服务的地址信息,可从HTTP通信流中解析得到;
为了确定一个HTTP通信流中的URL所对应的服务的类型(也可以称为HTTP通信流所对应的服务类型),例如HTTP通信流A对应的服务类型为财务报表服务,HTTP通信流B对应的服务类型为工资报表服务,等等。
具体地,可以使用下列方式来得到一个HTTP通信流中的URL所对应的服务类型:
通过分析发现,大部分服务对应的前台页面的源码中都包含<title>信息,该信息可以有效描述服务页面所提供的服务信息,可以进行服务类型的判定。而在HTTP通信流中,<title>信息一般都包含回应报文中,所以本发明实施例选择通过解析HTTP通信流中的回应报文,进而获取<title>信息完成服务类型的判定。
例如,通过解析HTTP通信流C中的回应报文,得到其服务类型为业绩报表服务。
因此,如果想得到一个HTTP通信流对应的服务类型,可以通过解析其中的回应报文来得到,但实际应用中,由于实时解析HTTP通信流得到其对应的服务类型效率低下,且无法做应用管控,所以可以选择实现建立HTTP流与服务类型的应用识别规则列表。。
即通过解析HTTP通信流,得到HTTP通信流中的回应报文及服务标识信息;解析所述回应报文,得到HTTP通信流的服务类型;根据HTTP通信流的服务类型及服务标识信息,得到HTTP通信流的服务类型和服务标识信息的识别规则。
其中,建立HTTP通信流与服务类型之间的识别规则,一般可以选择对每一个HTTP通信流,都建立一个HTTP通信流与服务类型之间的识别规则,举例来说,内网中一共有1万种HTTP通信流(即这1万种HTTP通信流对应的URL和服务类型各不相同),则需要建立1万个HTTP通信流与服务类型的识别规则,很显然,这种方法比较耗费资源,尤其是有些HTTP通信流与服务类型的识别规则很少被用到的情况下,建立大量的识别规则会导致占用过多的系统资源,并且如果收集的服务过多,会导致有效服务被湮没在大量无效服务里,导致用户很难使用这个功能。
下面结合附图1,给出一中确定HTTP通信流对应的服务类型的方法,如图1所示,为本发明实施例提供的确定内网HTTP通信流服务类型的方法,包括:
步骤101、解析获取的HTTP通信流,得到所述HTTP通信流的URL;
步骤102、判断所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同,所述最有效服务通信流列表为根据历史HTTP通信流中访问量排名最高的前N个URL得到的;
步骤103、若确定所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL相同,则判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值;
步骤104、若确定所述当前时间与所述最有效服务通信流列表的更新时间的差值不小于所述更新时间阈值,则将所述最有效服务通信流列表中URL对应的HTTP通信流作为目标通信流列表中的目标通信流;
步骤105、针对所述目标通信流列表中的任一个目标通信流,解析所述目标通信流,得到所述目标通信流的服务类型和服务标识信息的识别规则并添加至服务标识信息和服务类型的应用识别规则列表,所述服务标识信息和服务类型的应用识别规则列表用于为待识别的HTTP通信流确定所述待识别的HTTP通信流的服务类型。
上述步骤101中,首先解析获取的HTTP通信流,得到所述HTTP通信流的URL。
一般情况下,可以从HTTP通信流的首个请求报文中解析得到URL,且一个URL用于表示要请求的服务的地址,即一个URL与一个服务之间存在一一对应的关系。
在内网中存在非常多的HTTP通信流,在这里,本发明实施例预先设定一个最有效服务通信流列表,所述最有效服务通信流列表为根据历史HTTP通信流中访问量排名最高的前N个URL得到的,即最有效服务通信流列表存储的是访问量排名最高的的前N个URL。
举例来说,假设内网中一共有1万个HTTP通信流,N取值为20,且将HTTP通信流的URL对应的服务访问量排名前20的HTTP通信流对应的URL存储至所述最有效服务通信流列表。
可选地,可以再建立一个有效服务通信流列表,所述有效服务通信流列表用于存储内网中所有有效服务通信流的URL及所有有效服务通信流的URL对应的服务的访问量,从而在上述步骤101中,得到所述HTTP通信流的URL之后,若确定有效服务通信流列表不包含所述HTTP通信流的URL对应的服务,且确定所述HTTP通信流的URL对应的服务是有效服务,则将所述HTTP通信流的URL及所述HTTP通信流的URL对应的服务添加至所述有效服务通信流列表。
其中,所述有效服务是指对服务的不同的访问者的数量大于预设访问者阈值的服务。例如一个HTTP通信流的URL对应的服务一共有100个不同的访问者(可以用访问IP来区分不同的访问者),且访问者阈值为80,则可以认定该HTTP通信流的URL对应的服务为有效服务,则在当前有效服务通信流列表中不包含该HTTP通信流的URL对应的服务时,将HTTP通信流的URL及HTTP通信流的URL对应的服务加入到有效服务通信流列表中。
当然,如果确定有效服务通信流列表包含所述HTTP通信流的URL对应的服务,则将所述有效服务通信流列表中所述HTTP通信流的URL对应的服务的访问量加一。
从而,本发明实施例中存在着两个通信流列表,一个是有效服务通信流列表,用于存储内网中所有有效服务通信流的URL及URL对应的服务,一个是最有效服务通信流列表,用于存储有效服务通信流列表中对应的服务访问量排名前N的HTTP通信流的URL。
从而,本发明实施例中,最终是要对最有效服务通信流列表中的N个URL对应的HTTP通信流建立HTTP通信流与服务类型之间的识别规则,从而可以减少识别规则的建立数量,并且可以获取最有效服务,避免最有效服务被湮没在大量用户不关注的服务中。。
上述有效服务通信流列表存储的是内网中所有有效服务通信流的URL及URL对应的服务的访问量,其中,有效服务指的是非噪声服务,对于噪声服务,可以有多种定义方式,可根据实际需要来定义。下面给出一种判断一个服务是有效服务还是噪声服务的方式:
可选地,若满足下列部分或全部条件,则将所述HTTP通信流的URL对应的服务确定为噪声服务:所述HTTP通信流的首个请求报文中包含请求参数、所述HTTP通信流的URL中包含预设的异常字符、所述HTTP通信流的URL中包含图片等预设类型关键词。
在内部网络中存在众多的HTTP通信流对应的可能只是服务下图片的获取和页面的刷新等操作,对这些HTTP通信流的分析不仅无法增益内网服务信息的获取,反而会加大对服务信息的处理难度,所以认定这些HTTP流解析得到的URL对应的是噪声服务。为了过滤这些HTTP流,因此将满足以下条件的服务判定位噪声服务:
1)、一个HTTP流中可能存在多个请求以得到同一服务下的多个资源,而首个请求报文中通常包含了这一服务下这些请求资源的通用信息,所以设定URL从HTTP流的首个请求报文中解析得到,若HTTP流首个请求报文中包含请求参数,则认定该请求对应的资源不是服务链接的信息,将此类HTTP通信流对应的服务确定为噪声服务。
2)、若HTTP通信流的URL中包含图片类型关键字,如“.jpg”等,则说明HTTP流是进行服务下图片资源的获取,则所以将此类HTTP通信流对应的服务确定为噪声服务。
3)、若HTTP通信流的URL中包含异常字符,如“%”等,则说明解析得到的URL无法有效对应一个服务,则所以将此类HTTP通信流对应的服务确定为噪声服务。
自此,本发明实施例中,在获取一个HTTP通信流时,若确定所述HTTP通信流的URL对应的服务不是噪声服务,则将所述HTTP通信流的URL对应的服务的访问量加一。
然后,在上述步骤102中,将所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL进行比较,判断所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同,如果相同,则触发内网最有效服务通信流列表的收敛性判断,最有效服务通信流列表的收敛指的是最有效服务通信流列表在一段时间内保持不变,则认为最有效服务通信流列表中的URL对应的服务是最有效的服务,即是访问量最高的服务。
上述步骤103中,若确定所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL相同,则判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值。
之所以判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值,是基于一种前提,即认为如果最有效服务通信流列表在超过一定时长(即更新时间阈值)内未发生更新,则认为最有效服务通信流列表趋于稳定,则在上步骤104中,将所述最有效服务通信流列表中URL对应的HTTP通信流作为目标通信流列表中的目标通信流;然后在步骤105中,针对所述目标通信流列表中的任一个目标通信流,解析所述目标通信流,得到所述目标通信流的服务类型和服务标识信息的识别规则并添加至服务标识信息和服务类型的应用识别规则列表,所述服务标识信息和服务类型的应用识别规则列表用于为待识别的HTTP通信流确定所述待识别的HTTP通信流的服务类型。
当然,如果当前时间与所述最有效服务通信流列表的更新时间的差值小于更新时间阈值,则需要进一步判断最有效服务通信流列表是否可以更新,具体地,获取所述有效服务通信流列表中访问量排名最高的前N个URL作为目标URL;若获取的所述目标URL与所述最有效服务通信流列表中的HTTP通信流的URL不完全相同,则根据所述目标URL,更新所述最有效服务通信流列表,以及根据所述当前时间更新所述最有效服务通信流列表的更新时间。
下面结合一个具体的例子来说明上述步骤101~步骤105的实施方法。假设内网中一共有1万个历史HTTP通信流,一共对应1万个服务,其中,有效服务通信流列表存储了这1万个历史HTTP通信以及每个HTTP通信流对应的服务的访问量,最有效服务通信流列表中存储的对应的服务访问量排名前20的HTTP通信流的URL,对于这1万个HTTP通信流中的任一个,若确定该HTTP通信流对应的服务不是噪声服务,则判断该HTTP通信流的URL与最有效服务通信流列表预设位置(例如第5个位置)中的URL是否相同,如果相同,则触发以下收敛性判断(即判断最有效服务通信流列表是否趋于稳定):
收敛性判断:判断当前时间与最有效服务通信流列表的更新时间的差值与更新时间阈值之间的大小关系:
情形一、当前时间与最有效服务通信流列表的更新时间的差值大于或等于更新时间阈值
则表明最有效服务通信流列表在更新时间阈值内,例如更新时间阈值设置为1小时,则表明在一个小时时间内,最有效服务通信流列表没有得到更新,此时认为最有效服务通信流列表趋于收敛,则将最有效服务通信流列表中的URL对应的HTTP通信流作为目标通信流列表中的目标通信流,进而解析所述目标通信流,得到所述目标通信流的服务类型和服务标识信息的识别规则并添加至服务标识信息和服务类型的应用识别规则列表。
即本发明实施例中,首先筛选出一定数量的最有效服务对应的HTTP通信流,然后对这些HTTP通信流进行解析,得到服务类型和服务标识信息,并建立服务类型和服务标识信息的识别规则。其中,服务标识信息可以用URL来表示,当然也还可以是使用其它方式来表示,例如使用HTTP通信流的URL、请求方式等信息作为一个整体来表示服务标识信息。具体形式不限。
情形二、当前时间与最有效服务通信流列表的更新时间的差值小于更新时间阈值
表明最有效服务通信流列表还未趋于稳定收敛,因此,需要进一步判断是否可以对最有效服务通信流列表进行更新,具体地,可以获取有效服务通信流列表中访问量排名最高的前N个URL作为目标URL,若确定所述目标URL与所述最有效服务通信流列表中的HTTP通信流的URL不完全相同,则根据所述目标URL,更新所述最有效服务通信流列表,以及根据所述当前时间更新所述最有效服务通信流列表的更新时间。
若确定所述目标URL与所述最有效服务通信流列表中的HTTP通信流的URL完全相同,则不做任何操作,即不更新所述最有效服务通信流列表,也不更新所述最有效服务通信流列表的更新时间。
从而,通过上述方法,从内网中大量的HTTP通信流中筛选出一部分最有效服务对应的HTTP通信流,然后建立这些HTTP通信流与服务类型之间的识别规则,并且,在得到服务标识信息和服务类型的应用识别规则列表之后,即可以使用该规则列表来判断一个新获取的第一待识别HTTP通信流的类别,具体地:
获取第一待识别HTTP通信流;解析出所述第一待识别HTTP通信流中的服务标识信息;根据所述服务标识信息与服务类型的应用识别规则列表,确定所述第一待识别HTTP通信流所对应的服务类型。
其中,第一待识别HTTP通信流指的是任意一个内网HTTP通信流,在获取到该HTTP通信流后,根据建立好的服务标识信息与服务类型的应用识别规则列表来确定所述第一待识别HTTP通信流所对应的服务类型。
当然,由于服务标识信息与服务类型的应用识别规则列表中只存储了部分服务标识信息与服务类型的识别规则,因此也存在无法识别第一待识别HTTP通信流对应的服务类型的情况,但是这种概率是相对比较低的,因此本发明实施例中,以建立较少的HTTP通信流与服务类型的识别规则的基础上,保证以较大概率确定一个待识别HTTP通信流对应的服务类型,具有较好的实际应用性能。
本发明实施例,解析获取的HTTP通信流,得到所述HTTP通信流的URL,通过判断HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同来确定是否满足触发条件,若满足触发条件,则判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值;若不小于,则表明最有效服务通信流列表中URL对应的HTTP通信流趋于稳定,然后将最有效服务通信流列表中URL对应的HTTP通信流作为目标通信流列表中的目标通信流,并解析出其服务类型和服务标志信息,以及建立服务标志信息和服务类型的识别规则。本发明实施例,从大量通信流中筛选出部分最有效服务通信流来建立识别规则,从而实现了自动化的对内部网络中HTTP通信流中的有效服务完成识别,在无人工参与情况下可以有效管控内部网络中的HTTP通信流。
下面对本发明实施例提供的确定内网HTTP通信流服务类型的方法做详细描述,如图2所示,包括:
步骤201、解析获取的HTTP通信流,得到所述HTTP通信流的URL;
步骤202、将有效服务通信流列表中所述HTTP通信流的URL对应的服务的访问量加一,所述有效服务通信流列表用于存储内网中所有有效服务通信流的URL及所有有效服务通信流的URL对应的服务的访问量;
步骤203、判断URL对应的服务是否为噪声服务,若是,则结束流程,若否,则转到步骤204;
步骤204、判断所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同,若相同,则转到步骤205,若否,则结束流程;
步骤205、判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值,若是,则转到步骤206,若否则转到步骤208;
步骤206、所述最有效服务通信流列表中URL对应的HTTP通信流作为目标通信流列表中的目标通信流;
步骤207、针对所述目标通信流列表中的任一个目标通信流,解析所述目标通信流,得到所述目标通信流的服务类型和服务标识信息的识别规则并添加至服务标识信息和服务类型的应用识别规则列表,所述服务标识信息和服务类型的应用识别规则列表用于为待识别的HTTP通信流确定所述待识别的HTTP通信流的服务类型;
步骤208、获取所述有效服务通信流列表中访问量排名最高的前N个URL作为目标URL;
步骤209、判断获取的所述目标URL与所述最有效服务通信流列表中的HTTP通信流的URL是否不完全相同,若不完全相同,则转到步骤210,若完全相同,则结束流程;
步骤210、根据所述目标URL,更新所述最有效服务通信流列表,以及根据所述当前时间更新所述最有效服务通信流列表的更新时间。
本发明实施例,解析获取的HTTP通信流,得到所述HTTP通信流的URL,通过判断HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同来确定是否满足触发条件,若满足触发条件,则判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值;若不小于,则表明最有效服务通信流列表中URL对应的HTTP通信流趋于稳定,然后将最有效服务通信流列表中URL对应的HTTP通信流作为目标通信流列表中的目标通信流,并解析出其服务类型和服务标志信息,以及建立服务标志信息和服务类型的识别规则。本发明实施例,从大量通信流中筛选出部分最有效服务通信流来建立识别规则,从而实现了自动化的对内部网络中HTTP通信流中的有效服务完成识别,在无人工参与情况下可以有效管控内部网络中的HTTP通信流。
基于相同的技术构思,本发明实施例还提供一种确定内网HTTP通信流服务类型的装置,如图3所示,包括:
解析单元301,用于解析获取的HTTP通信流,得到所述HTTP通信流的URL;
判断单元302,用于判断所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同,所述最有效服务通信流列表为根据历史HTTP通信流中访问量排名最高的前N个URL得到的;若确定所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL相同,则判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值;
目标通信流确定单元303,用于若确定所述当前时间与所述最有效服务通信流列表的更新时间的差值不小于所述更新时间阈值,则将所述最有效服务通信流列表中URL对应的HTTP通信流作为目标通信流列表中的目标通信流;
识别规则设置单元304,用于针对所述目标通信流列表中的任一个目标通信流,解析所述目标通信流,得到所述目标通信流的服务类型和服务标识信息的识别规则并添加至服务标识信息和服务类型的应用识别规则列表,所述服务标识信息和服务类型的应用识别规则列表用于为待识别的HTTP通信流确定所述待识别的HTTP通信流的服务类型。
可选地,所述装置还包括访问量设置单元305,用于:
确定有效服务通信流列表包含所述HTTP通信流的URL对应的服务,并将所述有效服务通信流列表中所述HTTP通信流的URL对应的服务的访问量加一,所述有效服务通信流列表用于存储内网中所有有效服务通信流的URL及所有有效服务通信流的URL对应的服务的访问量。
可选地,所述装置还包括有效服务确定单元306,用于:
确定有效服务通信流列表不包含所述HTTP通信流的URL对应的服务,且确定所述HTTP通信流的URL对应的服务是有效服务,并将所述HTTP通信流的URL及所述HTTP通信流的URL对应的服务添加至所述有效服务通信流列表,所述有效服务是指对服务的不同的访问者的数量大于预设访问者阈值的服务,所述有效服务通信流列表用于存储内网中所有有效服务通信流的URL及所有有效服务通信流的URL对应的服务的访问量。
可选地,所述装置还包括更新单元307,用于:
若确定所述当前时间与所述最有效服务通信流列表的更新时间的差值小于所述更新时间阈值,则获取所述有效服务通信流列表中访问量排名最高的前N个URL作为目标URL;
若获取的所述目标URL与所述最有效服务通信流列表中的HTTP通信流的URL不完全相同,则根据所述目标URL,更新所述最有效服务通信流列表,以及根据所述当前时间更新所述最有效服务通信流列表的更新时间。
可选地,所述装置还包括噪声服务确定单元308,用于在判断所述HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同之前,确定所述HTTP通信流的URL对应的服务不是噪声服务。
可选地,若满足下列部分或全部条件,则将所述HTTP通信流的URL对应的服务确定为噪声服务:
所述HTTP通信流的首个请求报文中包含请求参数、所述HTTP通信流的URL中包含预设的异常字符、所述HTTP通信流的URL中包含图片类型关键词。
可选地,所述装置还包括服务类型识别单元309,用于:
获取第一待识别HTTP通信流;
解析出所述第一待识别HTTP通信流中的服务标识信息;
根据所述服务标识信息与服务类型的应用识别规则列表,确定所述第一待识别HTTP通信流所对应的服务类型。
可选地,所述识别规则设置单元304,具体用于:
解析所述目标通信流,得到所述目标通信流中的回应报文及服务标识信息;
解析所述回应报文,得到所述目标通信流的服务类型;
根据所述目标通信流的服务类型及所述服务标识信息,得到所述目标通信流的服务类型和服务标识信息的识别规则。
本发明实施例,解析获取的HTTP通信流,得到所述HTTP通信流的URL,通过判断HTTP通信流的URL与最有效服务通信流列表中预设位置存储的URL是否相同来确定是否满足触发条件,若满足触发条件,则判断当前时间与所述最有效服务通信流列表的更新时间的差值是否不小于更新时间阈值;若不小于,则表明最有效服务通信流列表中URL对应的HTTP通信流趋于稳定,然后将最有效服务通信流列表中URL对应的HTTP通信流作为目标通信流列表中的目标通信流,并解析出其服务类型和服务标志信息,以及建立服务标志信息和服务类型的识别规则。本发明实施例,从大量通信流中筛选出部分最有效服务通信流来建立识别规则,从而实现了自动化的对内部网络中HTTP通信流中的有效服务完成识别,在无人工参与情况下可以有效管控内部网络中的HTTP通信流。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!