本申请涉及应用识别及管理技术领域,特别涉及一种应用于本地转发环境下的应用识别及管理方法、系统、装置及计算机可读存储介质。
背景技术
常用的本地转发方式使用了大量瘦ap(需要搭配ac进行管理、调制和控制的ap,无法单独工作,后文所说的ap均属此类,ap,accesspoint,无线接入点)搭配ac(netaccesscontroller,网络控制器)进行组网,且网管、安全、认证、漫游、qos、负载均衡、流控、二层隔离等功能由ac统一控制,再由ap具体实施;但用户数据却不通过隧道传送到ac,再经由ac解封后统一转发,而是直接由同类ap就近进行本地转发。其中,如何在本地转发环境下进行应用识别是十分重要的。
当前在本地转发环境下进行应用识别,是基于ap本身的性能对转发的报文数据进行应用识别,但由于ap通常大规模使用,受成本限制,其自身硬件参数和性能通常较低,无法对报文数据进行深入分析,还是会将无法完成的分析任务转交给ac,若大规模升级ap的硬件,无疑会大大增加前期投入成本;同时,ap依然需要将自身进行应用识别得到的识别结果、会话时长等信息转发至ac进行审计管理和同步至数据中心,依然要消耗带宽。综上,当前的解决方案无法在不明显增加ap与ac间流量的基础上实现对应用协议的准确识别和简单、统一的管理。
因此,如何克服现有在本地转发环境下进行应用识别及管理时存在的各项技术缺陷,提供一种应用识别更准确、识别方式更统一、成本更低且有效降低ac与ap间流量的应用识别及管理方案是本领域技术人员亟待解决的问题。
技术实现要素:
本申请的目的是提供一种应用识别及管理方法,应用于本地转发环境,ap将每个会话中一定数量的数据包镜像发送给ac,有效减少了占用的上行带宽,而ac有足够的性能根据这些数据包来完成应用识别,且对原五元组session中包含的所有与应用识别分析无关的结构和逻辑进行了删减和优化,也降低了对控制器的内存占用率和cpu占用率,在此基础上增加了能够区别各ap的特征信息来准确定位最初转发这些数据包的ap,以便于返回识别结果信息和其它内容。由于ap只需执行转发和接收操作,也可进一步节省成本。
本申请的另一目的在于提供了一种应用识别及管理系统、装置及计算机可读存储介质,均应用于本地转发环境下。
为实现上述目的,本申请提供一种应用识别及管理方法,应用于本地转发环境下,该方法包括:
接收ap镜像复制后发来的各五元组session为预设数量的数据包;
获取预设路径下保存的发送所述数据包的ap的特征标识,并删减相应五元组session中包含的冗余结构信息,得到精简五元组session;
利用所述精简五元组session和所述特征标识创建相应的六元组session;
识别各所述六元组session中数据包对应的应用程序,并根据识别出的应用程序进行相应的管理。
可选的,获取预设路径下保存的发送所述数据包的ap的特征标识,包括:
获取接入点标识符存储路径下保存的发送所述数据包的ap的apid。
可选的,获取预设路径下保存的发送所述数据包的ap的特征标识,包括:
获取mac地址存储路径下保存的生成所述数据包的设备的mac地址;其中,发送包含相同mac地址的数据包的ap具有唯一性。
可选的,删减相应五元组session中包含的冗余结构信息,得到精简五元组session,包括:
删去所述五元组session中包含的nat、ddos结构;
优化所述五元组session中冗余的nat逻辑和三层转发逻辑,以得到仅包含执行应用程序识别操作所需结构和逻辑的精简五元组session。
可选的,识别各所述六元组session中数据包对应的应用程序,包括:
从所述六元组session的数据包中提取数据流量;
根据所述数据流量确定得到相应的数据类型,并根据所述数据类型确定相应的应用程序。
可选的,根据识别出的应用程序进行相应的管理,包括:
根据所述应用程序确定相应类型的广告,并推送给相应的用户。
可选的,该方法还包括:
当启用应用访问控制功能时,接收所述ap转发的数据包;
对接收到的数据包进行应用程序识别,确定相应的应用程序;
判断所述应用程序是否处于预设的应用程序访问限制集中;
若是,则丢弃接收到的数据包;
若否,则重新转发给所述ap,以使所述ap在本地转发环境下正常转发所述数据包。
为实现上述目的,本申请还提供了一种应用识别及管理系统,应用于本地转发环境,该系统包括:
镜像数据包接收单元,用于接收ap镜像复制后发来的各五元组session为预设数量的数据包;
来源标识获取及精简单元,用于获取预设路径下保存的发送所述数据包的ap的特征标识,并删减相应五元组session中包含的冗余结构信息,得到精简五元组session;
六元组session创建单元,用于利用所述精简五元组session和所述特征标识创建相应的六元组session;
应用程序识别及管理单元,用于识别各所述六元组session中数据包对应的应用程序,并根据识别出的应用程序进行相应的管理。
可选的,所述来源标识获取及精简单元包括:
apid获取子单元,用于获取接入点标识符存储路径下保存的发送所述数据包的ap的apid。
可选的,所述来源标识获取及精简单元包括:
mac地址获取子单元,用于获取mac地址存储路径下保存的生成所述数据包的设备的mac地址;其中,发送包含相同mac地址的数据包的ap具有唯一性。
可选的,所述来源标识获取及精简单元包括:
结构删减单元,用于删去所述五元组session中包含的nat、ddos结构;
逻辑优化单元,用于优化所述五元组session中冗余的nat逻辑和三层转发逻辑,以得到仅包含执行应用程序识别操作所需结构和逻辑的精简五元组session。
可选的,所述应用程序识别及管理单元包括:
流量提取子单元,用于从所述六元组session的数据包中提取数据流量;
应用程序确定子单元,用于根据所述数据流量确定得到相应的数据类型,并根据所述数据类型确定相应的应用程序;
广告确定及推送子单元,用于根据所述应用程序确定相应类型的广告,并推送给相应的用户。
可选的,该系统还包括:
数据包转发单元,用于当启用应用访问控制功能时,接收所述ap转发的数据包;
应用程序识别单元,用于对接收到的数据包进行应用程序识别,确定相应的应用程序;
访问限制判断单元,用于判断所述应用程序是否处于预设的应用程序访问限制集中;
受限制丢弃处理单元,用于当所述应用程序处于所述应用程序访问限制集中时,丢弃接收到的数据包;
未受限制转发处理单元,用于当所述应用程序未处于所述应用程序访问限制集中时,重新转发给所述ap,以使所述ap在本地转发环境下正常转发所述数据包。
为实现上述目的,本申请还提供了一种应用识别及管理装置,应用于本地转发环境下,该装置包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述内容所描述的应用识别及管理方法的步骤。
为实现上述目的,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述内容所描述的应用识别及管理方法的步骤。
显然,本申请所提供的一种应用识别及管理方法,应用于本地转发环境,ap将每个会话中一定数量的数据包镜像发送给ac,有效减少了占用的上行带宽,而ac有足够的性能根据这些数据包来完成应用识别,且对原五元组session中包含的所有与应用识别分析无关的结构和逻辑进行了删减和优化,也降低了对控制器的内存占用率和cpu占用率,在此基础上增加了能够区别各ap的特征信息来准确定位最初转发这些数据包的ap,以便于返回识别结果信息和其它内容。由于ap只需执行转发和接收操作,也可进一步节省成本。本申请同时还提供了一种应用识别及管理系统、装置及计算机可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种应用识别及管理方法的流程图;
图2为本申请实施例所提供的另一种应用识别及管理方法的流程图;
图3为本申请实施例所提供的应用识别及管理方法中开启应用访问控制时实现应用访问控制的流程图;
图4为本申请实施例所提供的一种应用识别及管理系统的结构框图;
图5为本申请实施例所提供的一种未开启应用访问控制时实现应用识别及管理的时序图;
图6为本申请实施例所提供的一种开启应用访问控制时实现应用访问控制的时序图。
具体实施方式
本申请的核心是提供一种应用识别及管理方法、系统、装置及计算机可读存储介质,均应用于本地转发环境下,ap将每个会话中一定数量的数据包镜像发送给ac,有效减少了占用的上行带宽,而ac有足够的性能根据这些数据包来完成应用识别,且对原五元组session中包含的所有与应用识别分析无关的结构和逻辑进行了删减和优化,也降低了对控制器的内存占用率和cpu占用率,在此基础上增加了能够区别各ap的特征信息来准确定位最初转发这些数据包的ap,以便于返回识别结果信息和其它内容。由于ap只需执行转发和接收操作,也可进一步节省成本。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
以下结合图1,图1为本申请实施例所提供的一种应用识别及管理方法的流程图。
其具体包括以下步骤:
s101:接收ap镜像复制后发来的各五元组session为预设数量的数据包;
用户数据在本地转发环境下,会直接由同类的ap就近转发出去,即使在根据这些数据包进行应用识别时,也不能影响正常的转发操作,因此,本步骤采用在ap接收到这些数据包时将其镜像复制后得到的副本数据包发送给ac,以供ac根据这些副本数据包在不影响正常本地转发操作的前提下进行应用识别。
同时,本步骤只镜像发送了同一五元组session中一定数量的数据包,具体的,该预设数量的数据包应保证能够根据其中包含的特征信息准确识别出对应的应用程序,由于不是简单的将同一会话的所有数据包全部镜像至ac,因此可有效降低占用的上行带宽。由于不同种类的特征识别难度也不一致,因此此处并不对该预设数量做具体限定,可根据实际情况灵活制定。
其中,五元组是指由源ip地址、源端口、目的ip地址、目的端口以及传输层协议这五个元素组成的一个集合。例如:192.168.1.1、10000、tcp、121.14.88.76、80可构成一个五元组,其对应的意义为:一个ip地址为192.168.1.1的终端通过端口10000,利用tcp协议(transmissioncontrolprotocol,传输控制协议),与ip地址为121.14.88.76的终端通过端口80实现连接。
session则指代网络应用中的一次会话,例如一条tcp或udp(userdatagramprotocol,用户数据报协议)连接,网络设备为每一个经过网络堆栈的数据包生成一个新的会话,此后所有属于此会话的数据包都被唯一地分配给这个会话,并会同时标识会话状态。
而本步骤中出现的五元组session即为基于五元组方式建立起的会话,以便于将属于同一会话的数据包归并至该会话中。
进一步的,本步骤ap采用的镜像复制的方式将数据包发送至ac,目的在于不影响正常的本地转发操作,但此种方式应建立在未开启应用访问控制功能的前提下,应用访问控制功能是基于应用识别结果进行的后续管理步骤,即在识别出访问了某些受限制或不允许访问的应用时,应停止正常的本地转发操作,且丢弃所有数据包不做应答,就好像存在一堵应用防火墙一样,未拦截应用允许其通过,而被拦截的应用则受到墙的阻拦无法正常传输和交互。
因此,在开启了应用访问控制功能的场景下,应改镜像复制操作为直接转发给ac,即ap自身不存留,直至经应用识别得到不在受访问限制之列中的识别结果后,才会重新返回给ap执行正常的本地转发操作。也可在应用识别过程中、结果尚未得出之前也返回数据包给ap,此处并不做具体限定,应视实际应用场景的具体要求灵活改变,此部分也会在后续实施例中详细说明。
s102:获取预设路径下保存的发送数据包的ap的特征标识,并删减相应五元组session中包含的冗余结构信息,得到精简五元组session;
在s101的基础上,本步骤旨在从预设路径下获取保存的区别发送这些数据包的ap的特征标识信息,同时对五元组session中包含的冗余结构信息进行删减和优化,以在去除与进行应用识别无关的信息和逻辑后得到该精简五元组session。
其中,获取特征标识的目的在于确定发来这些数据包的ap,因为仅依靠构成五元组的五个元素没有办法在本地转发环境下准确的确定最初的发送者ap,在本地转发环境下这个数据包可能经过很多ap的转发才由某个ap就近镜像复制给了ac,因此为了在执行完应用识别后准确的将结果和一些其它内容(例如广告)返回至最初发送者ap,需要获取最初发送者ap区别于其它ap的特征标识。该特征标识应具有唯一性,能够唯一的代表某个ap,可以为名称、唯一标识符、特征码、机器码以及任何可以区别其它ap的信息。
对五元组session进行精简处理通常包括:删去完整五元组session在本申请中应用于应用识别方面不需要的功能结构,同时对删减后剩余的功能结果进行逻辑优化,其目的在于通过精简和逻辑优化去节省控制器的内存占用率和cpu占用率。
s103:利用精简五元组session和特征标识创建相应的六元组session;
在s102的基础上,本步骤在得到的精简五元组session的基础上增加了获取到的特征标识,以创建得到新的六元组session,既实现了降低ac与ap间交互流量的目的,也克服了无法准确定位最初发送者ap的问题。
s104:识别各六元组session中数据包对应的应用程序,并根据识别出的应用程序进行相应的管理。
在s103的基础上,本步骤旨在由ac识别各六元组session中数据包对应的应用程序,并根据识别出的应用程序进行相应的管理。其中,应用识别通常指的是使用统一的应用协议及应用定义语言技术、应用协议模型化分类识别技术、应用协议的智能决策技术对应用协议和应用精确识别的技术;应用管理通常是指在深度、智能感知应用的基础上,对应用做全面、透明的管理,如应用访问控制、应用带宽管理、应用审计管理和应用营销推广等,例如在s101中所提及的在开启应用访问控制功能的场景下应如何进行管理的例子。
识别各六元组session中数据包对应的应用程序的方法,简单的来说,可以按照不同应用程序的特点进行区分,例如所使用的应用协议、以何种类型的数据存在、大小特征等等,此处并不做具体限定,因为实际情况极其复杂,应根据实际情况结合可能存在的特殊要求综合选择合适的方式。
基于上述技术方案,本申请实施例提供的一种应用识别及管理方法,应用于本地转发环境,ap将每个会话中一定数量的数据包镜像发送给ac,有效减少了占用的上行带宽,而ac有足够的性能根据这些数据包来完成应用识别,且对原五元组session中包含的所有与应用识别分析无关的结构和逻辑进行了删减和优化,也降低了对控制器的内存占用率和cpu占用率,在此基础上增加了能够区别各ap的特征信息来准确定位最初转发这些数据包的ap,以便于返回识别结果信息和其它内容。由于ap只需执行转发和接收操作,也可进一步节省成本。
以下结合图2,图2为本申请实施例所提供的另一种应用识别及管理方法的流程图。
本实施例为基于上一实施例给出的一种具体的方法,具体包括以下步骤:
s201:接收ap镜像复制后发来的各五元组session为预设数量的数据包;
由于在实际使用过程中,基于tcp(transmissioncontrolprotocol,传输控制协议)和基于udp(userdatagramprotocol,用户数据报协议)得到的数据包是最常见,且根据tcp协议与udp协议的不同,在镜像基于不同协议下得到的数据包时也会存在相应的差异。
例如,在未开启应用访问控制功能场景下,且默认镜像每个五元组session中最先生成的10个数据包的基础上,那么针对tcp,根据数据包功能的不同,会将普通的数据包(非控制包)按照预设数量10个进行镜像,而针对诸如syn(synchronous,是tcp建立连接时使用的握手信号,也是tcp连接的第一个包)、fin(finally,是tcp结束已建立连接时使用的关闭信号)、rst(reset,是重置tcp连接时使用的重置信号)这样的控制包则不会受限于10个的数量限制,而是将该五元组session中的所有此类数据包全部镜像上去。
区别于tcp提供的面向连接的、可靠的数据流传输,udp提供的是非面向连接的、不可靠的数据流传输对于udp,因此并没有如tcp协议一样存在功能性的控制包,因此只需镜像每个五元组session中最先生成的10个数据包即可。
相比于用于承载数据包并进行传输的tcp和udp协议,icmp(internetcontrolmessageprotocol,网络控制消息协议)并不承载数据,也不用来传输用户数据,而是用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等,因此在进行实际镜像操作前,ap会将icmp里填充的无意义数据去掉,以节省带宽。
当然,虽然实际使用过程中,还存在除tcp、udp、icmp以外的其它特殊协议,但由于重要程度和适用程度的不同,这些特殊协议所占的比例相当小,根据实际场景下所有可能存在的特殊要求,也可以对基于这些特殊协议的数据包进行镜像,此处并不做具体限定。
s202:获取接入点标识符存储路径下保存的发送数据包的ap的apid;
本步骤使用的apid的英文全称为accesspointidentifier,中文译为接入点标识符,因此可以存储着接入点标识符的路径下找到这个参数,以此确定最初发送这些数据包的ap。
s203:获取mac地址存储路径下保存的生成数据包的设备的mac地址;
其中,发送包含相同mac地址的数据包的ap具有唯一性,即mac地址唯一的代表着生成该数据包的设备,而该设备的mac地址等识别信息通常会存储在距该设备最近的ap中,因此也可以通过mac地址来唯一确定最初发送这些数据包的ap。
需要注意的是,s202和s203是在同一层次下的两种并列的实现方式,任选其一即可实现目的,虽在步骤名称存在先后顺序,但实际两者并不存在先后关系。
s204:删去五元组session中包含的nat、ddos结构;
s205:优化五元组session中冗余的nat逻辑和三层转发逻辑,以得到仅包含执行应用程序识别操作所需结构和逻辑的精简五元组session;
s204和s205提供了一种得到精简五元组session的方法:删去与进行应用识别无关的nat、ddos功能结构,并优化了冗余的nat逻辑和三层转发逻辑,即得到仅包含执行应用程序识别操作所需结构和逻辑的精简五元组session。
其中,nat的英文全称为networkaddresstranslation,中文名为网络地址转换,ddos的英文全称为distributeddenialofservice,中文名为分布式拒绝服务。
当然,此处仅给出了一种参考的精简处理方式,根据某些可能存在的特殊要求以及特殊的实际场景,可能会需要进行相应的调整。
s206:从六元组session的数据包中提取数据流量;
s207:根据数据流量确定得到相应的数据类型,并根据数据类型确定相应的应用程序;
s208:根据应用程序确定相应类型的广告,并推送给相应的用户。
s206至s208三步骤首先提取数据流量,并采用了确定数据流量相应的数据类型的方式确定对应的应用程序,以此完成应用识别操作,且最终根据识别出的应用程序确定适合的广告(应用营销内容),最终推送给相应的用户完成应用营销。
当然,本实施例只是给出一种作为参考的实现步骤,可根据实际情况中硬件的不同、请求中包含信息的不同以及存在的特殊要求进行灵活改变,只要能够实现得到相关信息的目的即可。
以下结合图3,图3为本申请实施例所提供的应用识别及管理方法中开启应用访问控制时实现应用访问控制的流程图。
本实施例建立在开启应用访问控制功能的前提下,如在s101中所阐述的内容,需要进行相应的改变:
s301:当启用应用访问控制功能时,接收ap转发的数据包;
ap不再将经过的数据包镜像复制后得到的副本数据包发送给ac,而是直接将其转发给ac,自身不存留。
s302:对接收到的数据包进行应用程序识别,确定相应的应用程序;
本步骤可参见实施例一中的s102至s105的内容,也可以参见实施例二中的各具体实现步骤,本实施例所描述的重点为在得到应用识别结果后,如何实现应用访问控制。
s303:判断应用程序是否处于预设的应用程序访问限制集中;
在s302的基础上,本步骤旨在判断识别出的应用程序是否处于预设的应用程序访问限制集中,该应用访问限制集应为包含所有访问受限制的应用程序的集合。
s304:丢弃接收到的数据包;
本步骤建立在s303的判断结果为识别出的应用程序处于该限制集中的基础上,由于该应用程序的访问受到限制,因此ac将接收到的数据包全部做丢弃处理,即不再返回给ap,而ap在无法接收到返回的数据包的情形下也就无法做出后续应答,该应用程序会处于无应答状态,成功控制了该应用的访问。
s305:重新转发给ap,以使ap在本地转发环境下正常转发数据包。
本步骤建立在s303的判断结果为识别出的应用程序未处于该限制集中的基础上,说明该应用并非属于受访问限制的应用,因此这些数据包只会在ac“转一圈”后就原封不动的返回ap,以使ap在本地转发环境下正常转发数据包。
基于上述技术方案,本申请实施例提供的一种应用识别及管理方法,应用于本地转发环境,ap将每个会话中一定数量的数据包镜像发送给ac,有效减少了占用的上行带宽,而ac有足够的性能根据这些数据包来完成应用识别,且对原五元组session中包含的所有与应用识别分析无关的结构和逻辑进行了删减和优化,也降低了对控制器的内存占用率和cpu占用率,在此基础上增加了能够区别各ap的特征信息来准确定位最初转发这些数据包的ap,以便于返回识别结果信息和其它内容。由于ap只需执行转发和接收操作,也可进一步节省成本。
因为情况复杂,无法一一列举进行阐述,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
下面请参见图4,图4为本申请实施例所提供的一种应用识别及管理系统的结构框图,该系统可以包括:
镜像数据包接收单元100,用于接收ap镜像复制后发来的各五元组session为预设数量的数据包;
来源标识获取及精简单元200,用于获取预设路径下保存的发送数据包的ap的特征标识,并删减相应五元组session中包含的冗余结构信息,得到精简五元组session;
六元组session创建单元300,用于利用精简五元组session和特征标识创建相应的六元组session;
应用程序识别及管理单元400,用于识别各六元组session中数据包对应的应用程序,并根据识别出的应用程序进行相应的管理。
其中,来源标识获取及精简单元200中获取来源标识的部分可以包括并列的两个子单元:
apid获取子单元,用于获取接入点标识符存储路径下保存的发送数据包的ap的apid;
mac地址获取子单元,用于获取mac地址存储路径下保存的生成数据包的设备的mac地址;其中,发送包含相同mac地址的数据包的ap具有唯一性。
来源标识获取及精简单元200中精简五元组session的部分可以包括:
结构删减单元,用于删去五元组session中包含的nat、ddos结构;
逻辑优化单元,用于优化五元组session中冗余的nat逻辑和三层转发逻辑,以得到仅包含执行应用程序识别操作所需结构和逻辑的精简五元组session。
其中,应用程序识别及管理单元400可以包括:
流量提取子单元,用于从六元组session的数据包中提取数据流量;
应用程序确定子单元,用于根据数据流量确定得到相应的数据类型,并根据数据类型确定相应的应用程序;
广告确定及推送子单元,用于根据应用程序确定相应类型的广告,并推送给相应的用户。
进一步的,该系统还可以包括:
数据包转发单元,用于当启用应用访问控制功能时,接收ap转发的数据包;
应用程序识别单元,用于对接收到的数据包进行应用程序识别,确定相应的应用程序;
访问限制判断单元,用于判断应用程序是否处于预设的应用程序访问限制集中;
受限制丢弃处理单元,用于当应用程序处于应用程序访问限制集中时,丢弃接收到的数据包;
未受限制转发处理单元,用于当应用程序未处于应用程序访问限制集中时,重新转发给ap,以使ap在本地转发环境下正常转发数据包。
以下请参见图5和图6,如图5所示,给出了一种在实际应用场景下各执行主体间如何进行信息交互的操作步骤:
1、ap为每个五元组session的首个数据包封隧道给ac;
2、ac根据接收到的数据包创建六元组session(包括结构删减和逻辑优化处理);
3、ap镜像复制每个五元组session的前几个数据包给ac;
4、ac进行应用程序识别(包括应用协议识别);
5、ac在识别出相应的应用后,以修改在线用户标记的方式告知营销推广模块选择相应的广告;
6、营销推广模块将选出的广告通过更新的方式发送给在线用户模块;
7、在线用户模块对营销推广模块发来的信息进行解析,并通知ap给相应的用户推送广告;
8、ap以弹窗的方式向相应的用户推送广告;
9、ac同时会把识别到的应用信息发送给数据中心进行保存和加入审计管理队列;
10、ap每隔一定时间将应用流量的一个数据包镜像给ac,镜像前修改数据包的4层数据段(只针对tcp/udp),将ap统计到的该session的流量写入数据段;
11、ac进行流控决策后将结果返回给ap,ac同时会更新session的超时时间。其中,ac会根据ap上报的每个session的流量信息返回ap流控决策结果,ap在收到并解析后,会对当前session进行流控动作,而如果是诸如rst、fin类的tcp控制报文,ap会全部镜像给ac,以使ac可以即时销毁无效的session。
采用如图5的方式存在如下有益效果:只镜像复制了每个会话的部分报文至ac进行应用识别,降低了ap的性能需求、降低了成本,同时也减少了占用的上行带宽;使用会话的心跳报文进行统计流量上报和控制器会话进行保活。
如图6所述,给出了一种在实际应用场景下各执行主体间如何在开启应用访问控制时进行信息交互的操作步骤:
1、ap将每个session的报文都转发至ac;
2、ac根据接收到的报文进行应用程序识别(包括应用协议识别);
3、在ac得出识别结果前,将这些报文原封不动的转发回ap;
4、在ac得出识别结果后,转发至ac应用控制访问模块;
5、ac应用控制访问模块根据接收到的应用识别结果进行应用访问控制策略的匹配;
6、ac应用控制访问模块将匹配结果返回ap,然后再由ap决定这个session之后的报文是放通(在ac上“转一圈”)还是丢弃。
基于上述实施例,本申请还提供了一种应用识别及管理装置,该装置可以包括存储器和处理器,其中,该存储器中存有计算机程序,该处理器调用该存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然,该装置还可以包括各种必要的网络接口、电源以及其它零部件等。
本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行终端或处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。