本申請(qǐng)涉及計(jì)算機(jī)及網(wǎng)絡(luò)通信
技術(shù)領(lǐng)域:
:,尤其涉及一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法及一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別裝置。
背景技術(shù):
::隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,基于互聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn)的包括服務(wù),游戲在內(nèi)各種應(yīng)用也日益豐富。為了滿足企業(yè)或網(wǎng)絡(luò)監(jiān)管部門的各種需求,如為了實(shí)現(xiàn)對(duì)用戶上網(wǎng)行為的管理控制,或者通過流量統(tǒng)計(jì)對(duì)當(dāng)前熱門應(yīng)用進(jìn)行排名,使得流量識(shí)別成為了網(wǎng)絡(luò)安全設(shè)備的一項(xiàng)基本功能。其中網(wǎng)絡(luò)安全設(shè)備包括安全網(wǎng)關(guān)、防火墻、深度報(bào)文檢測(cè)(deeppacketinspection,dpi)設(shè)備等具有流量分析和管理功能的報(bào)文轉(zhuǎn)發(fā)功能的設(shè)備。流量識(shí)別技術(shù)分為協(xié)議識(shí)別技術(shù)和應(yīng)用識(shí)別技術(shù)。顧名思義,協(xié)議識(shí)別技術(shù)是指網(wǎng)絡(luò)安全設(shè)備確定流經(jīng)本設(shè)備的流量中各數(shù)據(jù)流所屬的協(xié)議類型,并進(jìn)一步可以確定不同協(xié)議類型的數(shù)據(jù)流在總流量中所占的比例。本申請(qǐng)中的“應(yīng)用”是指提供特定功能、且具有網(wǎng)絡(luò)訪問和報(bào)文處理能力的應(yīng)用軟件。當(dāng)這類應(yīng)用軟件在一個(gè)終端設(shè)備上運(yùn)行之后,能夠開啟終端設(shè)備上的網(wǎng)絡(luò)接口,通過開啟的接口與網(wǎng)絡(luò)中的另一終端設(shè)備建立連接,并通過建立的連接傳輸一系列報(bào)文,繼而通過對(duì)接收到的報(bào)文進(jìn)行處理向用戶提供特定的功能。例如,網(wǎng)絡(luò)瀏覽器internetexplorer(ie),即時(shí)通信軟件騰訊qq,文件傳輸協(xié)議(filetransferprotocal,ftp)客戶端filezilla等。由于應(yīng)用是運(yùn)行在協(xié)議之上的,換句話說,同一種協(xié)議上可以運(yùn)行多種不同的應(yīng)用,例如點(diǎn)對(duì)點(diǎn)(peertopeer,p2p)客戶端,網(wǎng)頁瀏覽器都是基于超文本傳輸協(xié)議(hypertexttransferprotocol,http)協(xié)議來實(shí)現(xiàn)的。如果只是基于http協(xié)議進(jìn)行流量識(shí)別和管控,那么無法區(qū)分一個(gè)數(shù)據(jù)流是p2p客戶端發(fā)送的,還是網(wǎng)絡(luò)瀏覽器發(fā)送的。如果能夠通過應(yīng)用識(shí)別技術(shù)區(qū)分出http協(xié)議的數(shù)據(jù)流是哪種應(yīng)用發(fā)送的,那么就可以知曉用戶正在進(jìn)行的是與工作相關(guān)的網(wǎng)頁訪問活動(dòng),還是與工作無關(guān)的網(wǎng)絡(luò)游戲,進(jìn)而阻斷網(wǎng)絡(luò)游戲造成的流量。因此與傳統(tǒng)的協(xié)議識(shí)別技術(shù)相比,通過應(yīng)用識(shí)別技術(shù)可以獲得更為精細(xì)的管理控制效果。現(xiàn)有應(yīng)用識(shí)別技術(shù)主要包括基于特征的識(shí)別技術(shù)、啟發(fā)式識(shí)別技術(shù)、關(guān)聯(lián)識(shí)別技術(shù)。其中,基于特征的識(shí)別技術(shù)是指通過應(yīng)用所特有的報(bào)文格式設(shè)計(jì)上的特征,如特有的關(guān)鍵字、或者固定位置的字段內(nèi)容來識(shí)別發(fā)送該報(bào)文的應(yīng)用。例如,網(wǎng)絡(luò)安全設(shè)備接收到報(bào)文后,查找該報(bào)文中是否攜帶關(guān)鍵字“ppliveva”,如果攜帶有關(guān)鍵字“ppliveva”,則說明發(fā)送該報(bào)文是應(yīng)用是網(wǎng)絡(luò)電視pptv。啟發(fā)式識(shí)別技術(shù)是指通過分析一種應(yīng)用所發(fā)送的報(bào)文長(zhǎng)度、報(bào)文內(nèi)容中字符的出現(xiàn)規(guī)律、通信雙方的交互規(guī)律、報(bào)文的發(fā)送間隔的等現(xiàn)象,獲得能夠?qū)⑦@種應(yīng)用與其他應(yīng)用相區(qū)分的統(tǒng)計(jì)學(xué)意義上的規(guī)則,通過這種規(guī)則來識(shí)別發(fā)送報(bào)文的應(yīng)用。啟發(fā)式識(shí)別技術(shù)對(duì)經(jīng)過加密的報(bào)文、或者使用私有未公開協(xié)議發(fā)送的報(bào)文有一定的識(shí)別效果。然而由于規(guī)則獲取方式是通過統(tǒng)計(jì)分析而得到的,因此存在漏報(bào)率和誤報(bào)率較高的問題。關(guān)聯(lián)識(shí)別技術(shù)是指將報(bào)文的ip地址、端口號(hào)和協(xié)議標(biāo)識(shí),與包含有ip地址、端口號(hào)、協(xié)議標(biāo)識(shí)與 應(yīng)用的對(duì)應(yīng)關(guān)系的關(guān)聯(lián)識(shí)別規(guī)則進(jìn)行匹配,對(duì)發(fā)送報(bào)文的應(yīng)用進(jìn)行識(shí)別?,F(xiàn)有應(yīng)用識(shí)別技術(shù)所依賴的特征、規(guī)則都是由人工對(duì)收集到的大量報(bào)文進(jìn)行分析得到的。網(wǎng)絡(luò)安全設(shè)備廠商、或與網(wǎng)絡(luò)安全設(shè)備廠商合作的第三方機(jī)構(gòu)將包括特征、規(guī)則在內(nèi)的更新規(guī)則庫上傳至升級(jí)網(wǎng)站,網(wǎng)絡(luò)安全設(shè)備從升級(jí)網(wǎng)站中獲取更新規(guī)則庫,從而保證網(wǎng)絡(luò)安全設(shè)備的識(shí)別能力。然而即便如此,由于規(guī)則庫升級(jí)不及時(shí)、啟發(fā)式識(shí)別技術(shù)識(shí)別精確性不高等因素,現(xiàn)有應(yīng)用識(shí)別技術(shù)仍然無法識(shí)別出相當(dāng)比例的網(wǎng)絡(luò)流量,或者存在相當(dāng)比例的網(wǎng)絡(luò)流量得到錯(cuò)誤的識(shí)別結(jié)果。技術(shù)實(shí)現(xiàn)要素:本申請(qǐng)實(shí)施例提供一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法,用以改善應(yīng)用識(shí)別技術(shù)的識(shí)別效果。本申請(qǐng)實(shí)施例提供的技術(shù)方案如下:第一方面,提供了一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法,所述方法由終端設(shè)備執(zhí)行,其特征在于,所述終端設(shè)備中的第一對(duì)應(yīng)表以記錄的方式保存有所述終端中運(yùn)行的進(jìn)程的標(biāo)識(shí)和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識(shí)的對(duì)應(yīng)關(guān)系,第二對(duì)應(yīng)表以記錄的方式保存有應(yīng)用的標(biāo)識(shí)和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)的第二對(duì)應(yīng)關(guān)系,所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組,所述方法包括:接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識(shí);所述終端設(shè)備在所述第一對(duì)應(yīng)表中,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識(shí)的第一記錄,獲取所述第一記錄中的進(jìn)程的標(biāo)識(shí);所述終端設(shè)備在所述第二對(duì)應(yīng)表中,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識(shí)的第二記錄,從所述第二記錄中獲取應(yīng)用的標(biāo)識(shí);向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述應(yīng)用的標(biāo)識(shí)。本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法,終端設(shè)備根據(jù)網(wǎng)絡(luò)安全設(shè)備發(fā)送的數(shù)據(jù)流的標(biāo)識(shí),查找本地保存的對(duì)應(yīng)表后,向網(wǎng)絡(luò)安全設(shè)備反饋應(yīng)用的標(biāo)識(shí),從而協(xié)助網(wǎng)絡(luò)安全設(shè)備確定數(shù)據(jù)流的應(yīng)用識(shí)別結(jié)果。相比于現(xiàn)有技術(shù),上述系統(tǒng)通過網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間的交互,能夠識(shí)別出更多的應(yīng)用,從而降低了未識(shí)別流量在總流量中所占的比例,改善了網(wǎng)絡(luò)流量的識(shí)別效果。終端設(shè)備可以通過以下方式來獲得和更新第一對(duì)應(yīng)表,以保證第一對(duì)應(yīng)表的實(shí)時(shí)性,減少占用的存儲(chǔ)空間??蛇x地,所述終端設(shè)備通過以下步驟獲得所述第一對(duì)應(yīng)表:所述終端設(shè)備通過操作系統(tǒng)提供的接口,獲得所述終端設(shè)備中運(yùn)行的至少一個(gè)進(jìn)程的標(biāo)識(shí);針對(duì)獲得的每個(gè)進(jìn)程的標(biāo)識(shí),所述終端設(shè)備獲得該進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識(shí),生成一個(gè)包含所述進(jìn)程的標(biāo)識(shí)和所述數(shù)據(jù)流的標(biāo)識(shí)的記錄;并將所述記錄保存在所述第一對(duì)應(yīng)表中??蛇x地,所述終端設(shè)備通過以下步驟獲得所述第一對(duì)應(yīng)表:所述終端設(shè)備通過鉤子函數(shù)獲得所述操作系統(tǒng)創(chuàng)建進(jìn)程的事件;從所述創(chuàng)建進(jìn)程的事件中獲得新創(chuàng)建的進(jìn)程的標(biāo)識(shí);獲得該新創(chuàng)建進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識(shí),生成一個(gè)包含所述新創(chuàng)建進(jìn)程的標(biāo)識(shí)和所述新創(chuàng)建進(jìn)程創(chuàng)建的所述數(shù)據(jù)流的標(biāo)識(shí)的記錄;并將所述記錄保存在所述第一對(duì)應(yīng)表中;所述終端設(shè)備獲取第一對(duì)應(yīng)表,還包括:所述終端設(shè)備通過鉤子函數(shù)獲得所述操作系統(tǒng)退出進(jìn)程的事件;從所述退出進(jìn)程的事件中獲得退出進(jìn)程的標(biāo)識(shí),從所述第一對(duì)應(yīng)表中刪除包含所述退出進(jìn)程的標(biāo)識(shí) 的記錄??蛇x地,所述第一對(duì)應(yīng)表中的記錄還包含數(shù)據(jù)流的最后活動(dòng)時(shí)間;所述方法還包括:所述終端設(shè)備確定所述第一對(duì)應(yīng)表中的過期記錄,所述過期記錄是指包括的數(shù)據(jù)流的最后活動(dòng)時(shí)間和當(dāng)前時(shí)間之間的時(shí)間間隔超過預(yù)定時(shí)間間隔的記錄;刪除所述過期記錄??蛇x地,所述終端設(shè)備獲取所述第一對(duì)應(yīng)表之后,還包括:所述終端設(shè)備通過鉤子函數(shù)獲得所述終端設(shè)備傳輸?shù)膱?bào)文;從獲得的報(bào)文中獲得報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí);將所述第一對(duì)應(yīng)表中包含所述報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí)的記錄中數(shù)據(jù)流的最后活動(dòng)時(shí)間更新為當(dāng)前時(shí)間??蛇x地,所述終端設(shè)備獲取所述第一對(duì)應(yīng)表之后,還包括:所述終端設(shè)備通過鉤子函數(shù)獲得所述終端設(shè)備傳輸?shù)膱?bào)文;從獲得的報(bào)文中獲得報(bào)文狀態(tài)標(biāo)識(shí)和報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí);如果所述報(bào)文狀態(tài)標(biāo)識(shí)為fin,則刪除所述第一對(duì)應(yīng)表中包含所述報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí)的記錄。為了獲得完整的數(shù)據(jù)流,以便進(jìn)行規(guī)制提取等后續(xù)分析,可選地,所述獲取所述第一記錄中的進(jìn)程的標(biāo)識(shí)之后,還包括:為所述進(jìn)程的標(biāo)識(shí)設(shè)置報(bào)文采集標(biāo)識(shí),所述報(bào)文采集標(biāo)識(shí)用于指示所述終端設(shè)備在通過操作系統(tǒng)的接口捕獲所述進(jìn)程傳輸?shù)膱?bào)文后,獲得并存儲(chǔ)所述進(jìn)程后續(xù)傳輸?shù)耐暾麛?shù)據(jù)流。第二方面,提供了一種終端設(shè)備,所述終端設(shè)備包括存儲(chǔ)器、處理器和網(wǎng)絡(luò)接口,所述存儲(chǔ)器、處理器和網(wǎng)絡(luò)接口通過總線相互通信;所述存儲(chǔ)器存儲(chǔ)程序代碼、第一對(duì)應(yīng)表和第二對(duì)應(yīng)表,所述第一對(duì)應(yīng)表以記錄的方式保存有所述終端中運(yùn)行的進(jìn)程的標(biāo)識(shí)和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識(shí)的對(duì)應(yīng)關(guān)系,第二對(duì)應(yīng)表以記錄的方式保存有應(yīng)用的標(biāo)識(shí)和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)的第二對(duì)應(yīng)關(guān)系,所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組;所述網(wǎng)絡(luò)接口,用于接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識(shí);所述處理器讀取所述存儲(chǔ)器中存儲(chǔ)的程序代碼,執(zhí)行:在所述第一對(duì)應(yīng)表中,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識(shí)的第一記錄,獲取所述第一記錄中的進(jìn)程的標(biāo)識(shí);在所述第二對(duì)應(yīng)表中,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識(shí)的第二記錄,從所述第二記錄中獲取應(yīng)用的標(biāo)識(shí);所述網(wǎng)絡(luò)接口,還用于向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述處理器獲取的應(yīng)用的標(biāo)識(shí)??蛇x地,所述處理器,還用于通過以下操作獲得所述第一對(duì)應(yīng)表:通過操作系統(tǒng)提供的接口,獲得所述終端設(shè)備中運(yùn)行的至少一個(gè)進(jìn)程的標(biāo)識(shí);針對(duì)獲得的每個(gè)進(jìn)程的標(biāo)識(shí),所述終端設(shè)備獲得該進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識(shí),生成一個(gè)包含所述進(jìn)程的標(biāo)識(shí)和所述數(shù)據(jù)流的標(biāo)識(shí)的記錄;并將所述記錄保存在所述第一對(duì)應(yīng)表中。可選地,所述處理器,還用于通過以下操作獲得所述第一對(duì)應(yīng)表:通過鉤子函數(shù)獲得所述操作系統(tǒng)創(chuàng)建進(jìn)程的事件;從所述創(chuàng)建進(jìn)程的事件中獲得新創(chuàng)建的進(jìn)程的標(biāo)識(shí);獲得該新創(chuàng)建進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識(shí),生成一個(gè)包含所述新創(chuàng)建進(jìn)程的標(biāo)識(shí)和所述新創(chuàng)建進(jìn)程創(chuàng)建的所述數(shù)據(jù)流的標(biāo)識(shí)的記錄;并將所述記錄保存在所述第一對(duì)應(yīng)表中;以及通過鉤子函數(shù)獲得所述操作系統(tǒng)退出進(jìn)程的事件;從所述退出進(jìn)程的事件中獲得退出進(jìn)程的標(biāo)識(shí), 從所述第一對(duì)應(yīng)表中刪除包含所述退出進(jìn)程的標(biāo)識(shí)的記錄??蛇x地,所述第一對(duì)應(yīng)表中的記錄還包含數(shù)據(jù)流的最后活動(dòng)時(shí)間;所述處理器,還用于確定所述第一對(duì)應(yīng)表中的過期記錄,所述過期記錄是指包括的數(shù)據(jù)流的最后活動(dòng)時(shí)間和當(dāng)前時(shí)間之間的時(shí)間間隔超過預(yù)定時(shí)間間隔的記錄;刪除所述過期記錄??蛇x地,所述處理器,還用于獲取所述第一對(duì)應(yīng)表之后,所述終端設(shè)備通過鉤子函數(shù)獲得所述終端設(shè)備傳輸?shù)膱?bào)文;從獲得的報(bào)文中獲得報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí);將所述第一對(duì)應(yīng)表中包含所述報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí)的記錄中數(shù)據(jù)流的最后活動(dòng)時(shí)間更新為當(dāng)前時(shí)間??蛇x地,所述處理器,還用于獲取所述第一對(duì)應(yīng)表之后,所述終端設(shè)備通過鉤子函數(shù)獲得所述終端設(shè)備傳輸?shù)膱?bào)文;從獲得的報(bào)文中獲得報(bào)文狀態(tài)標(biāo)識(shí)和報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí);如果所述報(bào)文狀態(tài)標(biāo)識(shí)為fin,則刪除所述第一對(duì)應(yīng)表中包含所述報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí)的記錄。第三方面,提供了一種網(wǎng)絡(luò)安全設(shè)備,包括存儲(chǔ)器、處理器和網(wǎng)絡(luò)接口,所述存儲(chǔ)器、處理器和網(wǎng)絡(luò)接口通過總線相互通信;所述網(wǎng)絡(luò)接口,用于接收第一數(shù)據(jù)流;所述處理器,用于讀取所述存儲(chǔ)器中存儲(chǔ)的程序代碼,執(zhí)行:如果無法識(shí)別出發(fā)送所述第一數(shù)據(jù)流的應(yīng)用,則獲取所述第一數(shù)據(jù)流的標(biāo)識(shí),所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組;指示所述網(wǎng)絡(luò)接口根據(jù)所述第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址或目的地址,向終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識(shí),所述終端設(shè)備的地址為所述第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址或目的地址;所述網(wǎng)絡(luò)接口,還用于接收所述終端設(shè)備發(fā)送的應(yīng)用的標(biāo)識(shí),確定接收到的所述應(yīng)用的標(biāo)識(shí)為發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí)。本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)安全設(shè)備通過與終端設(shè)備之間的交互,能夠識(shí)別出更多的應(yīng)用,從而降低了未識(shí)別流量在總流量中所占的比例,改善了網(wǎng)絡(luò)流量的識(shí)別效果。第四方面,提供了一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng),其特征在于,包括網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備,其中:所述網(wǎng)絡(luò)安全設(shè)備,用于接收第一數(shù)據(jù)流,并獲取所述第一數(shù)據(jù)流的標(biāo)識(shí),所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組;根據(jù)所述第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址或目的地址,向所述終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識(shí),所述終端設(shè)備的地址為所述第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址或目的地址;接收所述終端設(shè)備發(fā)送的應(yīng)用的標(biāo)識(shí),確定接收到的所述應(yīng)用的標(biāo)識(shí)為發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí);所述終端設(shè)備,存儲(chǔ)有第一對(duì)應(yīng)表和第二對(duì)應(yīng)表,所述第一對(duì)應(yīng)表保存有所述終端中運(yùn)行的進(jìn)程的標(biāo)識(shí)和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識(shí)的對(duì)應(yīng)關(guān)系,第二對(duì)應(yīng)表保存有應(yīng)用的標(biāo)識(shí)和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)的第二對(duì)應(yīng)關(guān)系,所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組,所述終端設(shè)備用于接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識(shí);在所述第一對(duì)應(yīng)表中,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識(shí)的第一記錄,獲取所述第一記錄中的進(jìn)程的標(biāo)識(shí);在所述第二對(duì)應(yīng)表中,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識(shí)的第二記錄,從所述第二記錄中獲取應(yīng)用的標(biāo)識(shí);向所述網(wǎng)絡(luò)安 全設(shè)備發(fā)送所述應(yīng)用的標(biāo)識(shí)。本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng)中,網(wǎng)絡(luò)安全設(shè)備根據(jù)終端設(shè)備的反饋,確定數(shù)據(jù)流的應(yīng)用識(shí)別結(jié)果。相比于現(xiàn)有技術(shù),上述系統(tǒng)通過網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間的交互,能夠識(shí)別出更多的應(yīng)用,從而降低了未識(shí)別流量在總流量中所占的比例,改善了網(wǎng)絡(luò)流量的識(shí)別效果。為了提高網(wǎng)絡(luò)安全設(shè)備中后續(xù)數(shù)據(jù)流的識(shí)別成功率,網(wǎng)絡(luò)安全設(shè)備還可以根據(jù)終端的反饋生成新的關(guān)聯(lián)規(guī)制,可選地,所述網(wǎng)絡(luò)安全設(shè)備,還用于生成第一關(guān)聯(lián)識(shí)別規(guī)則和第二關(guān)聯(lián)識(shí)別規(guī)則,所述第一關(guān)聯(lián)識(shí)別規(guī)則包含所述應(yīng)用的標(biāo)識(shí)和由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第二關(guān)聯(lián)識(shí)別規(guī)則包含所述應(yīng)用的標(biāo)識(shí)和由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組;接收第二數(shù)據(jù)流,獲取所述第二數(shù)據(jù)流的目的三元組和源三元組中的至少一個(gè),所述第二數(shù)據(jù)流的目的三元組為由所述第二數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第二數(shù)據(jù)流的源三元組為所述第二數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組;如果所述獲取的三元組與所述第一關(guān)聯(lián)識(shí)別規(guī)則和所述第二關(guān)聯(lián)識(shí)別規(guī)則中任意一個(gè)關(guān)聯(lián)識(shí)別規(guī)則包含的三元組一致,則確定發(fā)送所述第二數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí)為所述任意一個(gè)關(guān)聯(lián)識(shí)別規(guī)則包含的應(yīng)用的標(biāo)識(shí)。第五方面,提供了一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法,包括:接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識(shí)別記錄,所述第一識(shí)別記錄包含第一數(shù)據(jù)流的標(biāo)識(shí)和應(yīng)用的標(biāo)識(shí),所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組;接收來自于終端設(shè)備的第二識(shí)別記錄和對(duì)應(yīng)表,所述第二識(shí)別記錄包含第二數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí),所述對(duì)應(yīng)表中的每條記錄保存一個(gè)應(yīng)用的標(biāo)識(shí)與所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí),也就是說通過對(duì)應(yīng)表中的記錄保存應(yīng)用的標(biāo)識(shí)與進(jìn)程的標(biāo)識(shí)之間的對(duì)應(yīng)關(guān)系;如果所述第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與所述第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同,在所述對(duì)應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);如果不存在所述第一關(guān)聯(lián)記錄,確定所述第一識(shí)別記錄為錯(cuò)誤識(shí)別記錄。本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法,數(shù)據(jù)處理設(shè)備通過比較終端設(shè)備和網(wǎng)絡(luò)安全設(shè)備的識(shí)別記錄,能夠識(shí)別出現(xiàn)有技術(shù)難以發(fā)現(xiàn)的網(wǎng)絡(luò)安全設(shè)備的錯(cuò)誤識(shí)別記錄,改善了網(wǎng)絡(luò)流量的識(shí)別效果。可選地,如果不存在所述第一關(guān)聯(lián)記錄,所述方法還包括:向所述終端設(shè)備發(fā)送所述第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí),以使所述終端設(shè)備為所述進(jìn)程的標(biāo)識(shí)設(shè)置報(bào)文采集標(biāo)識(shí),所述報(bào)文采集標(biāo)識(shí)于指示所述終端設(shè)備在通過操作系統(tǒng)的接口捕獲所述進(jìn)程傳輸?shù)膱?bào)文后,獲得并存儲(chǔ)所述進(jìn)程后續(xù)傳輸?shù)耐暾麛?shù)據(jù)流。在發(fā)現(xiàn)錯(cuò)誤識(shí)別記錄后,為了避免后續(xù)由于關(guān)聯(lián)規(guī)則造成相同的錯(cuò)誤識(shí)別記錄,數(shù)據(jù)處理設(shè)備還可以通知網(wǎng)絡(luò)安全設(shè)備刪除造成錯(cuò)誤識(shí)別的關(guān)聯(lián)識(shí)別規(guī)則??蛇x地,所述第一識(shí)別記錄中還包含識(shí)別方式的標(biāo)識(shí),所述識(shí)別方式包括關(guān)聯(lián)識(shí)別、特征識(shí)別和啟發(fā)式識(shí)別;如果所述第一識(shí)別紀(jì)錄中識(shí)別方式的標(biāo)識(shí)為關(guān)聯(lián)識(shí)別方式的標(biāo)識(shí),則在不存在所述第一關(guān)聯(lián)記錄時(shí),所述方法還包括:向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識(shí)別規(guī) 則或第二關(guān)聯(lián)識(shí)別規(guī)則,所述第一關(guān)聯(lián)規(guī)則包括由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第二關(guān)聯(lián)識(shí)別規(guī)則包括由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組。在發(fā)現(xiàn)錯(cuò)誤識(shí)別記錄后,為了提高后續(xù)識(shí)別的成功率,數(shù)據(jù)處理設(shè)備還可以通知網(wǎng)絡(luò)安全設(shè)備生成正確的關(guān)聯(lián)識(shí)別規(guī)則??蛇x地,如果不存在所述第一關(guān)聯(lián)記錄,所述方法還包括:在所述對(duì)應(yīng)表中查詢是否存在第二關(guān)聯(lián)記錄,所述第二關(guān)聯(lián)記錄中保存有第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí),以及與之相應(yīng)的應(yīng)用的標(biāo)識(shí);如果存在所述第二關(guān)聯(lián)記錄,生成第三關(guān)聯(lián)規(guī)則和第四關(guān)聯(lián)規(guī)則,所述第三關(guān)聯(lián)規(guī)則包括所述第二關(guān)聯(lián)記錄中的應(yīng)用的標(biāo)識(shí)和由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第四關(guān)聯(lián)規(guī)則包括第二關(guān)聯(lián)記錄中的應(yīng)用的標(biāo)識(shí)和由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組;向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述第三關(guān)聯(lián)識(shí)別規(guī)則和第四關(guān)聯(lián)識(shí)別規(guī)則??蛇x地,還包括:接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識(shí)別記錄,所述第三識(shí)別記錄包含第三數(shù)據(jù)流的標(biāo)識(shí)和未識(shí)別標(biāo)識(shí),所述未識(shí)別標(biāo)識(shí)用于表征所述網(wǎng)絡(luò)安全設(shè)備未識(shí)別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用;接收來自于終端設(shè)備的第四識(shí)別記錄,所述第四識(shí)別記錄包含第四數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí);如果所述第三識(shí)別記錄中包含的第三數(shù)據(jù)流的標(biāo)識(shí)與所述第四識(shí)別記錄中包含的第四數(shù)據(jù)流的標(biāo)識(shí)相同,則在所述對(duì)應(yīng)表中查詢是否存在第二關(guān)聯(lián)記錄,所述第三關(guān)聯(lián)記錄中保存有所述第四識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);如果存在所述第三關(guān)聯(lián)記錄,則生成第五關(guān)聯(lián)識(shí)別規(guī)則和第六關(guān)聯(lián)識(shí)別規(guī)則,所述第五關(guān)聯(lián)識(shí)別規(guī)則包含所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)和由所述第三數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第六關(guān)聯(lián)識(shí)別規(guī)則包含所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)和由所述第三數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組;向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述第五關(guān)聯(lián)識(shí)別規(guī)則和第六關(guān)聯(lián)識(shí)別規(guī)則??蛇x地,還包括:接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識(shí)別記錄,所述第三識(shí)別記錄包含第三數(shù)據(jù)流的標(biāo)識(shí)和未識(shí)別標(biāo)識(shí),所述未識(shí)別標(biāo)識(shí)用于表征所述網(wǎng)絡(luò)安全設(shè)備未識(shí)別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用;接收來自于終端設(shè)備的第四識(shí)別記錄,所述第四識(shí)別記錄包含第四數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí);如果所述第三識(shí)別記錄中包含的第三數(shù)據(jù)流的標(biāo)識(shí)與所述第四識(shí)別記錄中包含的第四數(shù)據(jù)流的標(biāo)識(shí)相同,則在所述對(duì)應(yīng)表中查詢是否存在第三關(guān)聯(lián)記錄,所述第三關(guān)聯(lián)記錄中保存有所述第四識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);如果存在所述第三關(guān)聯(lián)記錄,將所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)和所述第三數(shù)據(jù)流的標(biāo)識(shí)發(fā)送給所述網(wǎng)絡(luò)安全設(shè)備。第六方面,提供了一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法,包括:接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識(shí)別記錄,所述第一識(shí)別記錄包含第一數(shù)據(jù)流的標(biāo)識(shí)、應(yīng)用的標(biāo)識(shí)和識(shí)別方式的標(biāo)識(shí),所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組,所述識(shí)別方式包括關(guān)聯(lián)識(shí)別、特征識(shí)別和啟發(fā)式識(shí)別;接收來自于終端設(shè)備的第二識(shí)別記錄和對(duì)應(yīng)表,所述第二識(shí)別記錄包含第二數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí),所述對(duì)應(yīng)表中的每條記錄保存一個(gè)應(yīng)用的標(biāo)識(shí)與所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)的對(duì)應(yīng)關(guān)系;如果所述第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與所述第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同,在所述對(duì)應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);如果所述第一識(shí)別紀(jì)錄中識(shí)別方式的標(biāo)識(shí)為關(guān)聯(lián)識(shí)別方式的標(biāo)識(shí),則在不存在所述第一關(guān)聯(lián)記錄時(shí),向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識(shí)別規(guī)則或第二關(guān)聯(lián)識(shí)別規(guī)則,所述第一關(guān)聯(lián)規(guī)則包括由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第二關(guān)聯(lián)識(shí)別規(guī)則包括由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組。本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法,數(shù)據(jù)處理設(shè)備在發(fā)現(xiàn)錯(cuò)誤識(shí)別記錄后,為了避免后續(xù)由于關(guān)聯(lián)規(guī)則造成相同的錯(cuò)誤識(shí)別記錄,數(shù)據(jù)處理設(shè)備還可以通知網(wǎng)絡(luò)安全設(shè)備刪除造成錯(cuò)誤識(shí)別的關(guān)聯(lián)識(shí)別規(guī)則。第七方面,提供了一種數(shù)據(jù)處理設(shè)備,所述處理設(shè)備包括存儲(chǔ)器、處理器和網(wǎng)絡(luò)接口,所述存儲(chǔ)器、處理器和網(wǎng)絡(luò)接口通過總線相互通信;所述存儲(chǔ)器存儲(chǔ)程序代碼;所述網(wǎng)絡(luò)接口,用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識(shí)別記錄,所述第一識(shí)別記錄包含第一數(shù)據(jù)流的標(biāo)識(shí)和應(yīng)用的標(biāo)識(shí),所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組;接收來自于終端設(shè)備的第二識(shí)別記錄和對(duì)應(yīng)表,所述第二識(shí)別記錄包含第二數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí),所述對(duì)應(yīng)表中的每條記錄保存一個(gè)應(yīng)用的標(biāo)識(shí)和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí);所述處理器讀取所述存儲(chǔ)器中存儲(chǔ)的程序代碼,執(zhí)行:如果所述第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與所述第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同,在所述對(duì)應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);如果不存在所述第一關(guān)聯(lián)記錄,確定所述第一識(shí)別記錄為錯(cuò)誤識(shí)別記錄??蛇x地,所述第一識(shí)別紀(jì)錄中還包含識(shí)別方式的標(biāo)識(shí),所述識(shí)別方式包括關(guān)聯(lián)識(shí)別、特征識(shí)別和啟發(fā)式識(shí)別;所述網(wǎng)絡(luò)接口,還用于如果所述第一識(shí)別紀(jì)錄中識(shí)別方式的標(biāo)識(shí)為關(guān)聯(lián)識(shí)別方式的標(biāo)識(shí),則在不存在所述第一關(guān)聯(lián)記錄時(shí),向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識(shí)別規(guī)則或第二關(guān)聯(lián)識(shí)別規(guī)則,所述第一關(guān)聯(lián)規(guī)則包括由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第二關(guān)聯(lián)識(shí)別規(guī)則包括由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組??蛇x地,所述網(wǎng)絡(luò)接口,還用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識(shí)別記錄,所述第三識(shí)別記錄包含第三數(shù)據(jù)流的標(biāo)識(shí)和未識(shí)別標(biāo)識(shí),所述未識(shí)別標(biāo)識(shí)用于表征所述網(wǎng)絡(luò)安全設(shè)備未識(shí)別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用;接收來自于終端設(shè)備的第四識(shí)別記錄,所述第四識(shí)別記錄包含第四數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí);所述處理器,還用于確定所述第三識(shí)別記錄中包含的第三數(shù)據(jù)流的標(biāo)識(shí)與所述第四識(shí)別記錄中包含的第四數(shù)據(jù)流的標(biāo)識(shí)是否相同,則在所述對(duì)應(yīng)表中查詢是否存在第二關(guān)聯(lián)記錄,所述第三關(guān)聯(lián)記錄中保存有所述第四識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);如果存在所述第三關(guān)聯(lián)記錄,則生成第五關(guān)聯(lián)識(shí)別規(guī)則和第六關(guān)聯(lián)識(shí)別規(guī)則,所述第五關(guān)聯(lián)識(shí)別規(guī)則包含所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)和由所述第三數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成 的三元組,所述第六關(guān)聯(lián)識(shí)別規(guī)則包含所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)和由所述第三數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組;所述網(wǎng)絡(luò)接口,還用于向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述第五關(guān)聯(lián)識(shí)別規(guī)則和第六關(guān)聯(lián)識(shí)別規(guī)則。可選地,所述網(wǎng)絡(luò)接口,還用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識(shí)別記錄,所述第三識(shí)別記錄包含第三數(shù)據(jù)流的標(biāo)識(shí)和未識(shí)別標(biāo)識(shí),所述未識(shí)別標(biāo)識(shí)用于表征所述網(wǎng)絡(luò)安全設(shè)備未識(shí)別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用;接收來自于終端設(shè)備的第四識(shí)別記錄,所述第四識(shí)別記錄包含第四數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí);所述處理器,還用于確定所述第三識(shí)別記錄中包含的第三數(shù)據(jù)流的標(biāo)識(shí)與所述第四識(shí)別記錄中包含的第四數(shù)據(jù)流的標(biāo)識(shí)是否相同,如果所述第三識(shí)別記錄中包含的第三數(shù)據(jù)流的標(biāo)識(shí)與所述第四識(shí)別記錄中包含的第四數(shù)據(jù)流的標(biāo)識(shí)相同,則在所述對(duì)應(yīng)表中查詢是否存在第三關(guān)聯(lián)記錄,所述第三關(guān)聯(lián)記錄中保存有所述第四識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);所述網(wǎng)絡(luò)接口,還用于如果所述處理器確定存在所述第三關(guān)聯(lián)記錄,將所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)和所述第三數(shù)據(jù)流的標(biāo)識(shí)發(fā)送給所述網(wǎng)絡(luò)安全設(shè)備。本申請(qǐng)實(shí)施例提供的數(shù)據(jù)處理設(shè)備通過比較終端設(shè)備和網(wǎng)絡(luò)安全設(shè)備的識(shí)別記錄,能夠識(shí)別出現(xiàn)有技術(shù)難以發(fā)現(xiàn)的網(wǎng)絡(luò)安全設(shè)備的錯(cuò)誤識(shí)別記錄,改善了網(wǎng)絡(luò)流量的識(shí)別效果。第八方面,提供了一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng),包括數(shù)據(jù)處理設(shè)備、終端設(shè)備和網(wǎng)絡(luò)安全設(shè)備,其中:所述網(wǎng)絡(luò)安全設(shè)備,用于接收第一數(shù)據(jù)流,確定發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí)后,生成第一識(shí)別記錄,所述第一識(shí)別記錄包含所述第一數(shù)據(jù)流的標(biāo)識(shí)和所述應(yīng)用的標(biāo)識(shí),所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組,向所述數(shù)據(jù)處理設(shè)備發(fā)送所述第一識(shí)別記錄;所述終端設(shè)備,用于獲取所述終端設(shè)備上的進(jìn)程的標(biāo)識(shí)以及所述進(jìn)程創(chuàng)建的第二數(shù)據(jù)流的標(biāo)識(shí),生成第二識(shí)別記錄,所述第二識(shí)別記錄包含第二數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí);以及獲取所述對(duì)應(yīng)表,所述對(duì)應(yīng)表中的每條記錄保存一個(gè)應(yīng)用的標(biāo)識(shí)和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí);向所述數(shù)據(jù)處理設(shè)備發(fā)送所述第二識(shí)別記錄和對(duì)應(yīng)表;所述數(shù)據(jù)處理設(shè)備,用于接收來自于所述網(wǎng)絡(luò)安全設(shè)備的第一識(shí)別記錄;接收來自于所述終端設(shè)備的第二識(shí)別記錄和對(duì)應(yīng)表;如果所述第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與所述第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同,在所述對(duì)應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);如果不存在所述第一關(guān)聯(lián)記錄,則確定所述第一識(shí)別記錄為錯(cuò)誤識(shí)別記錄。本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng)中數(shù)據(jù)處理設(shè)備通過比較終端設(shè)備和網(wǎng)絡(luò)安全設(shè)備的識(shí)別記錄,能夠識(shí)別出現(xiàn)有技術(shù)難以發(fā)現(xiàn)的網(wǎng)絡(luò)安全設(shè)備的錯(cuò)誤識(shí)別記錄,改善了網(wǎng)絡(luò)流量的識(shí)別效果。附圖說明為了更清楚地說明本申請(qǐng)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1a為本申請(qǐng)實(shí)施例提供的一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng)的示意圖;圖1b為本申請(qǐng)實(shí)施例提供的另一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng)的示意圖;圖2為本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法的流程圖;圖3a為本申請(qǐng)實(shí)施例提供的獲取第一對(duì)應(yīng)表的流程圖;圖3b為本申請(qǐng)實(shí)施例提供的更新第一對(duì)應(yīng)表的流程圖;圖4為本申請(qǐng)實(shí)施例提供的獲取完整數(shù)據(jù)流的流程圖;圖5a為本申請(qǐng)實(shí)施例提供的一種終端設(shè)備的結(jié)構(gòu)示意圖;圖5b為本申請(qǐng)實(shí)施例提供的另一種終端設(shè)備的結(jié)構(gòu)示意圖;圖6a為本申請(qǐng)實(shí)施例提供的一種網(wǎng)絡(luò)安全設(shè)備的結(jié)構(gòu)示意圖;圖6b為本申請(qǐng)實(shí)施例提供的另一種網(wǎng)絡(luò)安全設(shè)備的結(jié)構(gòu)示意圖;圖7為本申請(qǐng)實(shí)施例提供的另一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng)的示意圖;圖8a為本申請(qǐng)實(shí)施例提供的一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法的交互圖;圖8b為本申請(qǐng)實(shí)施例提供的另一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法的交互圖;圖9a為本申請(qǐng)實(shí)施例提供的一種數(shù)據(jù)處理設(shè)備的結(jié)構(gòu)示意圖;圖9b為本申請(qǐng)實(shí)施例提供的另一種數(shù)據(jù)處理設(shè)備的結(jié)構(gòu)示意圖。具體實(shí)施方式本申請(qǐng)中的“數(shù)據(jù)流”是指由源地址、源端口、目的地址、目的端口和協(xié)議類型確定出的兩個(gè)終端設(shè)備之間在一定時(shí)間段內(nèi)傳輸?shù)囊幌盗袌?bào)文。本申請(qǐng)中的終端設(shè)備可以是便攜式計(jì)算機(jī)、服務(wù)器、移動(dòng)終端等具有網(wǎng)絡(luò)接入功能和運(yùn)行應(yīng)用軟件能力的設(shè)備。數(shù)據(jù)流的標(biāo)識(shí)是指由源地址、源端口、目的地址、目的端口和協(xié)議組成的五元組。應(yīng)用識(shí)別技術(shù)是指網(wǎng)絡(luò)安全設(shè)備確定一條數(shù)據(jù)流是由終端設(shè)備中的哪個(gè)應(yīng)用軟件發(fā)送的。本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法,通過網(wǎng)絡(luò)安全設(shè)備與終端設(shè)備之間的交互,能夠識(shí)別出一些現(xiàn)有應(yīng)用識(shí)別技術(shù)無法識(shí)別出的數(shù)據(jù)流,從而降低無法識(shí)別的網(wǎng)絡(luò)流量在總網(wǎng)絡(luò)流量中所占的比例,提高應(yīng)用識(shí)別的成功率;或者識(shí)別出一些錯(cuò)誤的識(shí)別結(jié)果,從而降低誤報(bào)率,提高應(yīng)用識(shí)別的準(zhǔn)確性。實(shí)施例一附圖1a和1b是本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng)的示意圖。該系統(tǒng)中包括終端設(shè)備110和網(wǎng)絡(luò)安全設(shè)備120。網(wǎng)絡(luò)安全設(shè)備120有兩種部署方式。第一種是如附圖1a所示的直路部署方式,網(wǎng)絡(luò)安全設(shè)備120是一種具有報(bào)文轉(zhuǎn)發(fā)功能的設(shè)備,例如終端設(shè)備110可以是位于局域網(wǎng)中的個(gè)人計(jì)算機(jī)或服務(wù)器,網(wǎng)絡(luò)安全設(shè)備120是局域網(wǎng)中的防火墻設(shè)備。終端設(shè)備110也可以是位于互聯(lián)網(wǎng)中的個(gè)人計(jì)算機(jī)或服務(wù)器,網(wǎng)絡(luò)安全設(shè)備120是安全網(wǎng)關(guān)。在這種部署方式中,網(wǎng)絡(luò)安全設(shè)備120得到流經(jīng)該網(wǎng)絡(luò)安全設(shè)備120的數(shù)據(jù)流后,確定發(fā)送該數(shù)據(jù)流的終端設(shè)備中的應(yīng)用。在本申請(qǐng)后續(xù)描述中,這一過程也被簡(jiǎn)稱為網(wǎng)絡(luò)安全設(shè)備120對(duì)流經(jīng)該網(wǎng)絡(luò)安全設(shè)備120的數(shù)據(jù)流的應(yīng)用進(jìn)行識(shí)別。進(jìn)一步地,網(wǎng)絡(luò)安全設(shè)備120中存儲(chǔ)有安全策略,當(dāng)網(wǎng)絡(luò)安全設(shè)備120獲得數(shù)據(jù)流的應(yīng)用識(shí)別結(jié)果后,根據(jù)安全策略決定對(duì)數(shù)據(jù)流的后續(xù)處理方式,例如阻斷數(shù)據(jù)流還是轉(zhuǎn)發(fā)數(shù)據(jù)流。詳細(xì)過程將在后面的實(shí)施例中結(jié)合實(shí)例進(jìn)行介紹。第二種是如附圖1b所示的旁路部署方式,網(wǎng)絡(luò)安全設(shè)備120是一個(gè)具有流量統(tǒng)計(jì)功能的旁路設(shè)備,用于對(duì)各種應(yīng)用的流量在總流量中的比例進(jìn)行統(tǒng)計(jì),并可以進(jìn)一步得到各種應(yīng)用的排名信息。網(wǎng)絡(luò)安全設(shè)備120接收?qǐng)?bào)文轉(zhuǎn)發(fā)設(shè)備發(fā)送的鏡像數(shù)據(jù)流,對(duì)鏡像數(shù)據(jù)流的應(yīng)用進(jìn)行識(shí)別,根據(jù)識(shí)別結(jié)果更新統(tǒng)計(jì) 記錄,定期輸出統(tǒng)計(jì)結(jié)果。無論是附圖1a所示的直路部署方式,還是附圖1b所示的旁路部署方式,網(wǎng)絡(luò)安全設(shè)備120都需要與終端設(shè)備110進(jìn)行消息交互。下面就網(wǎng)絡(luò)安全設(shè)備120和終端設(shè)備110的功能進(jìn)行介紹。網(wǎng)絡(luò)安全設(shè)備120和終端設(shè)備110的功能可以是分別由網(wǎng)絡(luò)安全設(shè)備120和終端設(shè)備110中的一個(gè)軟件模塊來實(shí)現(xiàn)的,例如網(wǎng)絡(luò)安全設(shè)備120的下述功能是由網(wǎng)絡(luò)安全設(shè)備120中的應(yīng)用識(shí)別模塊實(shí)現(xiàn)的,終端設(shè)備110的功能是由終端設(shè)備110中的代理(agent)實(shí)現(xiàn)的。網(wǎng)絡(luò)安全設(shè)備120,用于接收第一數(shù)據(jù)流,并獲取所述第一數(shù)據(jù)流的標(biāo)識(shí),根據(jù)所述第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址或目的地址,向終端設(shè)備110發(fā)送所述數(shù)據(jù)流的標(biāo)識(shí),其中終端設(shè)備110的地址為所述第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址或目的地址。接收終端設(shè)備110發(fā)送的應(yīng)用的標(biāo)識(shí),確定接收到的所述應(yīng)用的標(biāo)識(shí)為發(fā)送第一數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí)??蛇x地,網(wǎng)絡(luò)安全設(shè)備120中存儲(chǔ)有安全策略,安全策略包含允許轉(zhuǎn)發(fā)的應(yīng)用的標(biāo)識(shí)。例如,安全策略允許轉(zhuǎn)發(fā)網(wǎng)絡(luò)瀏覽器發(fā)送的數(shù)據(jù)流,即允許轉(zhuǎn)發(fā)的應(yīng)用標(biāo)識(shí)是網(wǎng)絡(luò)瀏覽器的標(biāo)識(shí)wb,那么當(dāng)網(wǎng)絡(luò)安全設(shè)備120接收到一個(gè)數(shù)據(jù)流后,如果識(shí)別出發(fā)送數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí)是wb時(shí),轉(zhuǎn)發(fā)該數(shù)據(jù)流,如果識(shí)別出發(fā)送數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí)是p2p客戶端的標(biāo)識(shí)p2p,不是wb,阻斷該數(shù)據(jù)流。網(wǎng)絡(luò)安全設(shè)備120在接收到的第一數(shù)據(jù)流中的報(bào)文時(shí),先采用基于特征的識(shí)別技術(shù)、啟發(fā)式識(shí)別技術(shù),或關(guān)聯(lián)識(shí)別技術(shù)等現(xiàn)有應(yīng)用識(shí)別技術(shù)對(duì)第一數(shù)據(jù)流進(jìn)行識(shí)別。如果能夠得到識(shí)別結(jié)果,則判斷安全策略是否包含識(shí)別出的應(yīng)用的標(biāo)識(shí),如果包含識(shí)別出的應(yīng)用的標(biāo)識(shí),則轉(zhuǎn)發(fā)所述第一數(shù)據(jù)流中的報(bào)文,否則阻斷所述第一數(shù)據(jù)流中的報(bào)文。網(wǎng)絡(luò)安全設(shè)備120如果根據(jù)上述現(xiàn)有的應(yīng)用識(shí)別技術(shù)無法得到識(shí)別結(jié)果,即無法確定發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí),則獲取第一數(shù)據(jù)流的標(biāo)識(shí),向第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址所標(biāo)識(shí)的終端設(shè)備發(fā)送第一數(shù)據(jù)流的標(biāo)識(shí),或者向第一數(shù)據(jù)流的標(biāo)識(shí)中的目的地址所標(biāo)識(shí)的終端設(shè)備發(fā)送第一數(shù)據(jù)流的標(biāo)識(shí),以便通過與終端設(shè)備的交互,得到終端設(shè)備返回的應(yīng)用的標(biāo)識(shí),從而確定發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí)為終端設(shè)備返回的應(yīng)用的標(biāo)識(shí)。需要指出的是,網(wǎng)絡(luò)安全設(shè)備不僅僅可以在無法得到識(shí)別結(jié)果時(shí),向第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址所標(biāo)識(shí)的終端設(shè)備發(fā)送第一數(shù)據(jù)流的標(biāo)識(shí),或者向第一數(shù)據(jù)流的標(biāo)識(shí)中的目的地址所標(biāo)識(shí)的終端設(shè)備發(fā)送第一數(shù)據(jù)流的標(biāo)識(shí)。網(wǎng)絡(luò)安全設(shè)備還可以為了提高識(shí)別的準(zhǔn)確性,例如當(dāng)采用關(guān)聯(lián)識(shí)別技術(shù)進(jìn)行應(yīng)用識(shí)別時(shí),當(dāng)一條關(guān)聯(lián)識(shí)別規(guī)則第一次被匹配到時(shí),為了確認(rèn)該關(guān)聯(lián)識(shí)別規(guī)則的準(zhǔn)確性,向終端設(shè)備發(fā)送第一數(shù)據(jù)流的標(biāo)識(shí),將終端設(shè)備后續(xù)返回的應(yīng)用的標(biāo)識(shí)與根據(jù)關(guān)聯(lián)識(shí)別規(guī)則得到的識(shí)別結(jié)果進(jìn)行比較,如果相同,則確認(rèn)該關(guān)聯(lián)識(shí)別規(guī)則是準(zhǔn)確的。終端設(shè)備110,用于獲取第一對(duì)應(yīng)表和第二對(duì)應(yīng)表,所述第一對(duì)應(yīng)表中的每條記錄保存終端設(shè)備110中運(yùn)行的一個(gè)進(jìn)程的標(biāo)識(shí)和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識(shí),所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組。所述第二對(duì)應(yīng)表中的每條記錄保存一個(gè)應(yīng)用的標(biāo)識(shí)和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)。在本實(shí)施例中,一個(gè)應(yīng)用是指應(yīng)用軟件,os運(yùn)行一個(gè)應(yīng)用之后,會(huì)創(chuàng)建至少一個(gè)進(jìn)程,每個(gè)進(jìn)程完成一個(gè)相對(duì)獨(dú)立的功能。也就是說,一個(gè)應(yīng)用對(duì)應(yīng)至少一個(gè)進(jìn)程。通常而言,一個(gè)進(jìn)程只能被一個(gè)應(yīng)用所創(chuàng)建和使用,只有極少數(shù)的系統(tǒng)進(jìn)程會(huì)被多個(gè)應(yīng)用使用,本申請(qǐng)不考慮這種情況,這樣的進(jìn)程不被收錄到第一對(duì)應(yīng)表和第二對(duì)應(yīng)表中。例如,一種名為“搜狗輸入法”的應(yīng)用運(yùn)行之后,會(huì)創(chuàng)建一個(gè)名為“sogoucloud.exe”的進(jìn)程和一個(gè)名為“sogousmartinfo.exe”的進(jìn)程,其中名為“sogoucloud.exe”的進(jìn)程用于從網(wǎng)絡(luò)服務(wù)器獲得更新 的字體庫,顯示欄圖標(biāo)等信息,名為“sogousmartinfo.exe”用于從網(wǎng)絡(luò)服務(wù)器獲得智能聯(lián)想規(guī)則,用于根據(jù)用戶已拼寫出的詞預(yù)測(cè)用戶將要拼寫的詞,提升輸入效率。每個(gè)進(jìn)程運(yùn)行后,根據(jù)程序代碼的設(shè)計(jì),有可能不創(chuàng)建數(shù)據(jù)流,也可能創(chuàng)建一個(gè)或多個(gè)數(shù)據(jù)流。也就是說,一個(gè)進(jìn)程可以對(duì)應(yīng)一個(gè)數(shù)據(jù)流或多個(gè)數(shù)據(jù)流。終端設(shè)備110接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識(shí)。在所述第一對(duì)應(yīng)表中,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識(shí)的第一記錄,獲取所述第一記錄中的進(jìn)程的標(biāo)識(shí);終端設(shè)備在所述第二對(duì)應(yīng)表中,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識(shí)的第二記錄,從所述第二記錄中獲取應(yīng)用的標(biāo)識(shí);向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述應(yīng)用的標(biāo)識(shí)。下面將參照附圖2結(jié)合一個(gè)具體實(shí)例,對(duì)本發(fā)明提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法進(jìn)行描述。本實(shí)施例中的網(wǎng)絡(luò)安全設(shè)備可以是附圖1a或附圖1b中的網(wǎng)絡(luò)安全設(shè)備120。步驟201,網(wǎng)絡(luò)安全設(shè)備發(fā)現(xiàn)一條未識(shí)別的數(shù)據(jù)流。具體地,網(wǎng)絡(luò)安全設(shè)備在對(duì)數(shù)據(jù)流進(jìn)行應(yīng)用識(shí)別時(shí),接收該數(shù)據(jù)流的至少一個(gè)報(bào)文。對(duì)于其中的每個(gè)報(bào)文,在根據(jù)規(guī)則選擇性緩存其中的特征之后,將該報(bào)文轉(zhuǎn)發(fā)出去。當(dāng)接收到表示數(shù)據(jù)流即將結(jié)束的最后一個(gè)報(bào)文時(shí),例如報(bào)文狀態(tài)標(biāo)識(shí)為fin的報(bào)文時(shí),或者接收并轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)流中設(shè)定數(shù)量的報(bào)文后,還無法通過現(xiàn)有應(yīng)用識(shí)別技術(shù)識(shí)別出發(fā)送該數(shù)據(jù)流的應(yīng)用,則確定該數(shù)據(jù)流為未識(shí)別數(shù)據(jù)流。步驟202,網(wǎng)絡(luò)安全設(shè)備獲取上述未識(shí)別數(shù)據(jù)流的標(biāo)識(shí)。網(wǎng)絡(luò)安全設(shè)備通過解析已緩存的未識(shí)別數(shù)據(jù)流的報(bào)文,獲得報(bào)文的五元組,即源ip地址,源端口,目的ip地址,目的端口和協(xié)議類型,將該五元組作為未識(shí)別數(shù)據(jù)流的標(biāo)識(shí)。例如獲得的五元組信息為“tcp192.168.1.211:3020-201.6.8.30:6682”。步驟203,網(wǎng)絡(luò)安全設(shè)備將數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”封裝在一個(gè)報(bào)文p1中,向所述終端設(shè)備發(fā)送報(bào)文p1??蛇x地,網(wǎng)絡(luò)安全設(shè)備可以將數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”發(fā)送給ip地址為192.168.1.211的終端設(shè)備,也可以將數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”發(fā)送給ip地址為201.6.8.30的終端設(shè)備,或者將數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”發(fā)送給ip地址為192.168.1.211的終端設(shè)備和ip地址為201.6.8.30的終端設(shè)備。由于ip地址為192.168.1.211的終端設(shè)備和ip地址為201.6.8.30的終端設(shè)備可以執(zhí)行類似的處理步驟,為了簡(jiǎn)明起見,本實(shí)施例后續(xù)僅以ip地址為192.168.1.211的終端設(shè)備為例進(jìn)行說明。步驟204,終端設(shè)備接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的報(bào)文p1,對(duì)報(bào)文p1進(jìn)行解析,得到報(bào)文p1攜帶的數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”。步驟205,終端設(shè)備在第一對(duì)應(yīng)表中,查找保存有數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”的記錄,如果查找到,執(zhí)行步驟206,如果沒有查找到,終止處理。步驟206,終端設(shè)備從查找到的保存有數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”的記錄中,獲取與該數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”對(duì)應(yīng)的進(jìn)程的標(biāo)識(shí)sogoucloud.exe。終端設(shè)備中保存有兩個(gè)對(duì)應(yīng)表,其中第一對(duì)應(yīng)表中的每條記錄保存所述終端設(shè)備中運(yùn)行的一個(gè)進(jìn)程的標(biāo)識(shí)和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識(shí)。第二對(duì)應(yīng)表中的每條記錄保存一個(gè)應(yīng)用的標(biāo)識(shí)和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)。顯然,終端設(shè)備也可以用一個(gè)對(duì)應(yīng)表來存儲(chǔ)應(yīng)用的標(biāo)識(shí)、應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)、以及進(jìn)程建立的數(shù)據(jù)流的標(biāo)識(shí)三者的對(duì)應(yīng)關(guān)系。本申請(qǐng)僅僅是為了后續(xù)描述上的簡(jiǎn)便,將進(jìn)程的標(biāo)識(shí)和進(jìn)程建立的數(shù)據(jù)流的標(biāo)識(shí)的對(duì)應(yīng)關(guān)系保存在第一對(duì)應(yīng)表中,將應(yīng)用的標(biāo)識(shí)和應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)的對(duì)應(yīng)關(guān)系保存在第二對(duì)應(yīng)表中。當(dāng)使用一個(gè)匯總的對(duì)應(yīng)表保存上述對(duì)應(yīng)關(guān)系時(shí),將應(yīng)用的標(biāo)識(shí)保存在第一列, 應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)保存在第二列,進(jìn)程建立的數(shù)據(jù)流的標(biāo)識(shí)保存在第三列。本申請(qǐng)后續(xù)實(shí)施例中查找第一對(duì)應(yīng)表的過程,相當(dāng)于在匯總的對(duì)應(yīng)表中的第一列和第二列中查找,后續(xù)實(shí)施例中查找第二對(duì)應(yīng)表的過程,相當(dāng)于在匯總的對(duì)應(yīng)表的第二列和第三列中查找。終端設(shè)備中保存的第一對(duì)應(yīng)表如表1所示。終端設(shè)備獲得第一對(duì)應(yīng)表的過程將在后面結(jié)合流程圖進(jìn)行詳細(xì)描述。表1終端設(shè)備在表1中查找到包含數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”的記錄是第1行記錄,進(jìn)而獲得第1行記錄中的進(jìn)程的標(biāo)識(shí)sogoucloud.exe。步驟207,終端設(shè)備在第二對(duì)應(yīng)表中,查找保存有進(jìn)程的標(biāo)識(shí)sogoucloud.exe的記錄,如果查找到,執(zhí)行步驟208,如果沒有查找到,終止處理。步驟208,終端設(shè)備從查找到的保存有進(jìn)程的標(biāo)識(shí)sogoucloud.exe的記錄中獲取與進(jìn)程標(biāo)識(shí)sogoucloud.exe對(duì)應(yīng)的應(yīng)用的標(biāo)識(shí)。在本實(shí)施例中,標(biāo)識(shí)可以是該應(yīng)用的名稱“搜狗輸入法”。終端設(shè)備中保存的第二對(duì)應(yīng)表如表2所示。第二對(duì)應(yīng)表可以由agent的軟件廠商來收集,研發(fā)設(shè)計(jì)人員可以通過對(duì)應(yīng)用軟件的安裝包或應(yīng)用軟件運(yùn)行后進(jìn)程列表的變化來知曉應(yīng)用軟件運(yùn)行后開啟了哪些進(jìn)程,從而得到應(yīng)用標(biāo)識(shí)和進(jìn)程標(biāo)識(shí)的對(duì)應(yīng)關(guān)系。事實(shí)上,為了減少終端設(shè)備的存儲(chǔ)空間,提高執(zhí)行效率,軟件廠商也不需要搜集所有應(yīng)用標(biāo)識(shí)和進(jìn)程標(biāo)識(shí)的對(duì)應(yīng)關(guān)系,只需要收集常見的、網(wǎng)絡(luò)流量的應(yīng)用識(shí)別過程中易產(chǎn)生漏報(bào)和誤報(bào)的應(yīng)用開啟了哪些進(jìn)程的信息就可以了。終端設(shè)備中的agent可以定期從軟件廠商的升級(jí)網(wǎng)站中得到。表2終端設(shè)備在表2中查找到包含進(jìn)程的標(biāo)識(shí)sogoucloud.exe的記錄是第1行記錄,進(jìn)而獲得第1行記錄中的應(yīng)用的名稱“搜狗輸入法”。應(yīng)用的標(biāo)識(shí)可以有很多形式,為了描述地更加直觀,本實(shí)施例中直接用應(yīng)用的名稱來代表應(yīng)用的標(biāo)識(shí)。在實(shí)際應(yīng)用中,軟件廠商為了便于維護(hù),往往會(huì)按照預(yù)定的分配規(guī)則,給每個(gè)應(yīng)用分配一個(gè)編號(hào),用編號(hào)來代表應(yīng)用的標(biāo)識(shí)。步驟209,終端設(shè)備將查找到的應(yīng)用的名稱“搜狗輸入法”封裝到一個(gè)報(bào)文p2中,向網(wǎng)絡(luò)安全設(shè)備 發(fā)送報(bào)文p2。由于網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間有可能并發(fā)地進(jìn)行多次交互,用以對(duì)多個(gè)不同數(shù)據(jù)流的應(yīng)用進(jìn)行識(shí)別,為了網(wǎng)絡(luò)安全設(shè)備處理簡(jiǎn)便起見,終端設(shè)備可以將數(shù)據(jù)流的標(biāo)識(shí)和針對(duì)該數(shù)據(jù)流確定出的應(yīng)用的標(biāo)識(shí)封裝在同一個(gè)報(bào)文中發(fā)送給網(wǎng)絡(luò)安全設(shè)備,在本實(shí)例中終端設(shè)備將數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”和應(yīng)用的名稱“搜狗輸入法”封裝到報(bào)文p2中,發(fā)送給網(wǎng)絡(luò)安全設(shè)備。步驟210,網(wǎng)絡(luò)安全設(shè)備接收終端設(shè)備發(fā)送的報(bào)文p2,對(duì)報(bào)文p2進(jìn)行解析,得到報(bào)文p2攜帶的數(shù)據(jù)流的標(biāo)識(shí)“tcp192.168.1.211:3020-201.6.8.30:6682”和應(yīng)用的名稱“搜狗輸入法”。步驟211,網(wǎng)絡(luò)安全設(shè)備根據(jù)p2中攜帶的數(shù)據(jù)流的標(biāo)識(shí),在流表中找到相應(yīng)的記錄,將p2中攜帶的應(yīng)用的名稱作為識(shí)別結(jié)果填入表中。網(wǎng)絡(luò)安全設(shè)備會(huì)維護(hù)一個(gè)流表,流表中的每條記錄對(duì)應(yīng)一條數(shù)據(jù)流,記錄了數(shù)據(jù)流的相關(guān)信息,例如狀態(tài)、識(shí)別結(jié)果等等。在本步驟中,網(wǎng)絡(luò)安全設(shè)備得到了一條識(shí)別記錄“tcp192.168.1.211:3020-201.6.8.30:6682搜狗輸入法”??蛇x地,在步驟211網(wǎng)絡(luò)安全設(shè)備得到識(shí)別記錄之后,為了減少后續(xù)網(wǎng)絡(luò)安全設(shè)備與終端設(shè)備為同一標(biāo)識(shí)的數(shù)據(jù)流進(jìn)行的多次交互,網(wǎng)絡(luò)安全設(shè)備可以生成關(guān)聯(lián)識(shí)別規(guī)則。步驟212,網(wǎng)絡(luò)安全設(shè)備生成第一關(guān)聯(lián)識(shí)別規(guī)則和第二關(guān)聯(lián)識(shí)別規(guī)則,所述第一關(guān)聯(lián)識(shí)別規(guī)則包含所述應(yīng)用的標(biāo)識(shí)和由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第二關(guān)聯(lián)識(shí)別規(guī)則包含所述應(yīng)用的標(biāo)識(shí)和由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組。后續(xù)網(wǎng)絡(luò)安全設(shè)備接收到另一數(shù)據(jù)流時(shí),例如第二數(shù)據(jù)流。如果所述第二數(shù)據(jù)流的目的三元組和源三元組中的至少一個(gè)與所述第一關(guān)聯(lián)識(shí)別規(guī)則和所述第二關(guān)聯(lián)識(shí)別規(guī)則中任意一個(gè)關(guān)聯(lián)識(shí)別規(guī)則包含的三元組一致,則確定發(fā)送所述第二數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí)為所述任意一個(gè)關(guān)聯(lián)識(shí)別規(guī)則包含的應(yīng)用的標(biāo)識(shí)。本實(shí)施例中,第一關(guān)聯(lián)規(guī)則為“tcp201.6.8.30:6682搜狗輸入法”,第二關(guān)聯(lián)規(guī)則為“tcp192.168.1.211:3020搜狗輸入法”。后續(xù)另一終端設(shè)備發(fā)送了第二數(shù)據(jù)流,網(wǎng)絡(luò)安全設(shè)備在接收到第二數(shù)據(jù)流中的報(bào)文p3時(shí),根據(jù)報(bào)文p3提取第二數(shù)據(jù)流的標(biāo)識(shí)為“tcp192.168.1.100:3020-201.6.8.30:6682”,第二數(shù)據(jù)流的目的三元組是“tcp201.6.8.30:6682”。由于第二數(shù)據(jù)流的目的三元組與第一關(guān)聯(lián)規(guī)則中的三元組相同,則網(wǎng)絡(luò)安全設(shè)備可以直接根據(jù)第一關(guān)聯(lián)規(guī)則確定第二數(shù)據(jù)流的應(yīng)用為“搜狗輸入法”,無需與終端設(shè)備再次進(jìn)行交互。本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng)中,網(wǎng)絡(luò)安全設(shè)備在接收到一個(gè)數(shù)據(jù)流時(shí),獲取該數(shù)據(jù)流的標(biāo)識(shí),向所述終端設(shè)備發(fā)送該數(shù)據(jù)流的標(biāo)識(shí)。終端設(shè)備在存儲(chǔ)的第一對(duì)應(yīng)表中,查詢到所述未識(shí)別數(shù)據(jù)流的標(biāo)識(shí)對(duì)應(yīng)的進(jìn)程的標(biāo)識(shí);在所述第二對(duì)應(yīng)表中查詢到應(yīng)用標(biāo)識(shí),所述應(yīng)用標(biāo)識(shí)與所述未識(shí)別數(shù)據(jù)流的標(biāo)識(shí)對(duì)應(yīng)的進(jìn)程的標(biāo)識(shí)對(duì)應(yīng);向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述查詢到的應(yīng)用標(biāo)識(shí)。網(wǎng)絡(luò)安全設(shè)備根據(jù)終端設(shè)備的反饋,確定上述數(shù)據(jù)流的應(yīng)用識(shí)別結(jié)果。相比于現(xiàn)有技術(shù),上述系統(tǒng)通過網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間的交互,能夠識(shí)別出更多的應(yīng)用,從而降低了未識(shí)別流量在總流量中所占的比例,改善了網(wǎng)絡(luò)流量的識(shí)別效果。參照附圖3a,上述實(shí)施例中的終端設(shè)備可以通過以下方式來獲得表1所示的第一對(duì)應(yīng)表:步驟31,終端設(shè)備獲得進(jìn)程列表。終端設(shè)備通過終端設(shè)備上運(yùn)行的操作系統(tǒng)(operatingsystem,os)提供的接口,獲得終端設(shè)備上運(yùn)行的進(jìn)程列表。本申請(qǐng)中的“進(jìn)程”是指正在運(yùn)行的程序的實(shí)例,是一個(gè)具有一定獨(dú)立功能的程序關(guān)于某個(gè)數(shù)據(jù)集合的一次運(yùn)行活動(dòng)。它是os動(dòng)態(tài)執(zhí)行的基本單元,在傳統(tǒng)的os中,進(jìn)程既是基本的資源分 配單元,也是基本的執(zhí)行單元。大多數(shù)os都會(huì)提供應(yīng)用編程接口(applicationprogramminginterface,api)或命令行命令供應(yīng)用程序或操作人員得到終端設(shè)備上運(yùn)行的進(jìn)程列表,例如通過調(diào)用linux操作系統(tǒng)中的“ps”命令可以得到正在運(yùn)行的進(jìn)程列表,通過調(diào)用windows操作系統(tǒng)中的enumprocesses函數(shù)可以得到正在運(yùn)行的進(jìn)程列表。步驟32,終端設(shè)備獲得每個(gè)進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識(shí)。對(duì)于進(jìn)程列表中的每一個(gè)進(jìn)程,終端設(shè)備通過os提供的接口,獲得該進(jìn)程通過開啟端口所建立的當(dāng)前活動(dòng)的連接。例如,在linux操作系統(tǒng)中可以通過“/proc”虛擬文件系統(tǒng)遍歷進(jìn)程打開的連接。在windows操作系統(tǒng)中通過getextendedtcptable函數(shù)可以獲取到所有tcp數(shù)據(jù)流與進(jìn)程的對(duì)應(yīng)關(guān)系,通過getextendedudptable函數(shù)可以獲取到所有udp數(shù)據(jù)流與進(jìn)程的對(duì)應(yīng)關(guān)系。將每個(gè)當(dāng)前活動(dòng)的連接作為一條數(shù)據(jù)流,將活動(dòng)的連接的五元組作為數(shù)據(jù)流的標(biāo)識(shí)。步驟33,終端設(shè)備針對(duì)獲得的每個(gè)進(jìn)程的標(biāo)識(shí),生成一個(gè)包含所述進(jìn)程的標(biāo)識(shí)與所述數(shù)據(jù)流的標(biāo)識(shí)的記錄;并將所述記錄保存在所述第一對(duì)應(yīng)表中。從而得到第一對(duì)應(yīng)表。可選地,由于os系統(tǒng)根據(jù)用戶的使用情況,隨時(shí)可能創(chuàng)建進(jìn)程或退出進(jìn)程,為了實(shí)時(shí)更新和維護(hù)第一對(duì)應(yīng)表,從而提高終端設(shè)備根據(jù)網(wǎng)絡(luò)安全設(shè)備發(fā)生的未識(shí)別的數(shù)據(jù)流的標(biāo)識(shí),查找到對(duì)應(yīng)的應(yīng)用的概率,終端設(shè)備通過鉤子函數(shù)來監(jiān)控進(jìn)程的狀態(tài),從而更新第一對(duì)應(yīng)表中的記錄。附圖3b是本實(shí)施例提供的第一對(duì)應(yīng)表更新過程的流程圖。附圖3b中的步驟31~步驟33與附圖3a類似,為了簡(jiǎn)明起見,在這里不再展開描述。步驟34,終端設(shè)備通過鉤子函數(shù)獲得所述操作系統(tǒng)創(chuàng)建進(jìn)程的事件。鉤子函數(shù)是windows消息處理機(jī)制的一部分,通過設(shè)置“鉤子”,agent或其他應(yīng)用程序可以在系統(tǒng)級(jí)對(duì)所有消息、事件進(jìn)行過濾,訪問在正常情況下無法訪問的消息。鉤子函數(shù)的本質(zhì)是一段用以處理系統(tǒng)消息的程序,通過系統(tǒng)調(diào)用,把鉤子函數(shù)掛入系統(tǒng)。步驟35,終端設(shè)備從創(chuàng)建進(jìn)程的事件中獲得新創(chuàng)建的進(jìn)程的標(biāo)識(shí)。終端設(shè)備通過os提供的接口,獲得該新創(chuàng)建的進(jìn)程通過開啟端口所建立的當(dāng)前活動(dòng)的連接。將每個(gè)當(dāng)前活動(dòng)的連接作為一條數(shù)據(jù)流,將活動(dòng)的連接的五元組作為數(shù)據(jù)流的標(biāo)識(shí)。步驟36,終端設(shè)備獲得該新創(chuàng)建進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識(shí),生成一個(gè)包含所述新創(chuàng)建進(jìn)程的標(biāo)識(shí)和所述新創(chuàng)建進(jìn)程創(chuàng)建的所述數(shù)據(jù)流的標(biāo)識(shí)的記錄;并將所述記錄保存在所述第一對(duì)應(yīng)表中。步驟37,終端設(shè)備通過鉤子函數(shù)獲得所述操作系統(tǒng)退出進(jìn)程的事件。步驟38,終端設(shè)備從退出進(jìn)程的事件中獲得退出進(jìn)程的標(biāo)識(shí),從所述第一對(duì)應(yīng)表中刪除包含所述退出進(jìn)程的標(biāo)識(shí)的記錄。可選地,為了實(shí)時(shí)更新和維護(hù)第一對(duì)應(yīng)表,終端設(shè)備還可以通過鉤子函數(shù)來監(jiān)控網(wǎng)絡(luò)報(bào)文,從而更新第一對(duì)應(yīng)表中的記錄,在每條記錄中增加數(shù)據(jù)流的建立時(shí)間和最后活動(dòng)時(shí)間信息。從本實(shí)施例后面的步驟可以看出,數(shù)據(jù)流的最后活動(dòng)時(shí)間可以用于對(duì)第一對(duì)應(yīng)表中的記錄進(jìn)行老化,數(shù)據(jù)流的建立時(shí)間可以用于其他目的的分析。如步驟39~步驟315所示。步驟39,終端設(shè)備通過鉤子函數(shù)獲得傳輸?shù)膱?bào)文,具體的傳輸?shù)膱?bào)文可以是發(fā)送的報(bào)文或接收的報(bào)文。為了進(jìn)一步減少后續(xù)數(shù)據(jù)處理量,可以只捕獲協(xié)議類型為傳輸控制協(xié)議(transmissioncontrolprotocol,tcp)或用戶數(shù)據(jù)報(bào)協(xié)議(userdatagramprotocol,udp)的報(bào)文。步驟310,終端設(shè)備從獲得的報(bào)文中解析得到報(bào)文狀態(tài)標(biāo)識(shí)和報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí)。具體地,本實(shí)施例中狀態(tài)標(biāo)識(shí)是指四層協(xié)議的狀態(tài)標(biāo)識(shí),四層協(xié)議可以從報(bào)文的ip頭的protocol字段獲取,例如 tcp、udp。tcp的狀態(tài)標(biāo)識(shí)可以從報(bào)文的tcp頭的flags字段獲得,狀態(tài)標(biāo)識(shí)可以為fin、rst等。更詳細(xì)的報(bào)文狀態(tài)標(biāo)識(shí)的說明可以參考rfc文檔,例如rfc793。終端設(shè)備從獲得的報(bào)文中提取五元組,將提取的五元組作為報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí)。步驟311,終端設(shè)備判斷報(bào)文的報(bào)文狀態(tài)標(biāo)識(shí)是否為fin,如果為fin,則執(zhí)行步驟312,如果報(bào)文狀態(tài)標(biāo)識(shí)不是fin,則執(zhí)行步驟313。步驟312,如果所述報(bào)文狀態(tài)標(biāo)識(shí)為fin,則將所述第一對(duì)應(yīng)表中包含所述報(bào)文所屬數(shù)據(jù)流的標(biāo)識(shí)的記錄刪除,處理結(jié)束。步驟313,終端設(shè)備根據(jù)獲得的數(shù)據(jù)流的標(biāo)識(shí),在表1所示的第一對(duì)應(yīng)表中查找包含該數(shù)據(jù)流的標(biāo)識(shí)的記錄。如果查找到記錄,說明是該報(bào)文屬于一條已建立的數(shù)據(jù)流,執(zhí)行步驟314,如果未查找到記錄,說明該報(bào)文屬于一條新建立的數(shù)據(jù)流,執(zhí)行步驟315。步驟314,終端設(shè)備將查找到的記錄中,數(shù)據(jù)流的最后活動(dòng)時(shí)間更新為當(dāng)前時(shí)間。事實(shí)上,根據(jù)數(shù)據(jù)流的最后活動(dòng)時(shí)間來進(jìn)行刪除過期記錄,以及根據(jù)報(bào)文狀態(tài)標(biāo)識(shí)fin來刪除記錄是兩種可以并存的、可選擇性的記錄刪除方式。例如,通過鉤子函數(shù)獲得了一個(gè)tcp報(bào)文p4,從報(bào)文p4中提取的五元組是“tcp192.168.1.211:6122-168.3.56.120:1138”。在表1中查找到包含五元組“tcp192.168.1.211:6122-168.3.56.120:1138”的記錄是第9條記錄,將第9條記錄中的最后活動(dòng)時(shí)間更新為當(dāng)前時(shí)間21:00:3456,更新后的第一對(duì)應(yīng)表如表3所示。表3步驟315,終端設(shè)備刷新第一對(duì)應(yīng)表,在刷新后的第一對(duì)應(yīng)表中查找到包含步驟310中獲得的數(shù)據(jù)流的標(biāo)識(shí)的記錄,將該記錄中的數(shù)據(jù)流的建立時(shí)間和最后活動(dòng)時(shí)間設(shè)置為當(dāng)前時(shí)間。對(duì)于大多數(shù)os而言,無法根據(jù)一個(gè)五元組直接查找到創(chuàng)建該五元組所標(biāo)識(shí)的數(shù)據(jù)流的進(jìn)程,這時(shí)os系統(tǒng)需要重新刷新進(jìn)程列表,針對(duì)刷新后的進(jìn)程列表中的每個(gè)進(jìn)程,重新獲得該進(jìn)程建立的所有連接,從而得到刷新后的第一對(duì)應(yīng)表,然后根據(jù)步驟310中獲得的數(shù)據(jù)流的標(biāo)識(shí),在刷新后的第一對(duì)應(yīng)表中查找到包含步驟310中獲得的數(shù)據(jù)流的標(biāo)識(shí)的記錄。例如,終端設(shè)備通過鉤子函數(shù)獲得了一個(gè)tcp報(bào)文p5,從報(bào)文p5中提取的五元組是“tcp192.168.1.211:6123-168.3.56.120:1138”。在表1中未查找到包含五元組“tcp192.168.1.211:6123-168.3.56.120:1138”的記錄,刷新第一對(duì)應(yīng)表,如表4所示,在表4中查找到包含五元組“tcp192.168.1.211:6123-168.3.56.120:1138”的是第10條記錄,將第10條記錄中的建立時(shí)間和最后 活動(dòng)時(shí)間均設(shè)置為當(dāng)前時(shí)間21:01:3456,更新后的第一對(duì)應(yīng)表如表4所示。表4可選地,為了節(jié)約中的終端設(shè)備中第一對(duì)應(yīng)表占用的存儲(chǔ)空間,終端設(shè)備可以定時(shí)根據(jù)第一對(duì)應(yīng)表中的數(shù)據(jù)流的最后活動(dòng)時(shí)間,刪除過期記錄,過期記錄是指最后活動(dòng)時(shí)間和當(dāng)前時(shí)間之間的時(shí)間間隔超過預(yù)定時(shí)間的數(shù)據(jù)流對(duì)應(yīng)的記錄,即長(zhǎng)時(shí)間沒有活動(dòng)的數(shù)據(jù)流,對(duì)應(yīng)的記錄:終端設(shè)備判斷根據(jù)檢測(cè)周期確定的預(yù)定時(shí)間是否到達(dá),若到達(dá)則執(zhí)行定時(shí)清除任務(wù),即針對(duì)如表4所示第一對(duì)應(yīng)表中的每條記錄,判斷數(shù)據(jù)流的最后活動(dòng)時(shí)間與當(dāng)前時(shí)間之間的時(shí)間間隔是否超過設(shè)定閾值,若超過,則刪除該條記錄;若未到達(dá),則返回執(zhí)行步驟301。需要說明的是,附圖3b中步驟31~步驟33組成的第一子流程,步驟34~步驟36組成的第二子流程,步驟37~步驟38組成的第三子流程,步驟39~步驟315組成的第四子流程之間是相互無依賴關(guān)系的、可以選擇性執(zhí)行的。例如可以只執(zhí)行第一子流程和第二子流程,也可以只執(zhí)行第一子流程和第三子流程??蛇x地,雖然采用本實(shí)施例提供的方案,通過網(wǎng)絡(luò)安全設(shè)備與終端設(shè)備之間的交互,可以大大降低無法識(shí)別的流量在總流量中所占的比例。但是本實(shí)施例提供的方案需要網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間進(jìn)行交互,與現(xiàn)有技術(shù)網(wǎng)絡(luò)安全設(shè)備根據(jù)本地存儲(chǔ)的規(guī)則進(jìn)行應(yīng)用識(shí)別的方式相比,所需要的延時(shí)較長(zhǎng),也需要消耗一定的網(wǎng)絡(luò)傳輸資源。如果能夠得到發(fā)送網(wǎng)絡(luò)安全設(shè)備無法識(shí)別的數(shù)據(jù)流的進(jìn)程發(fā)送的多個(gè)完整的數(shù)據(jù)流,那么就有可能可以通過人工分析得到規(guī)則。對(duì)于通過人工分析獲得基于特征的識(shí)別規(guī)則,或啟發(fā)式識(shí)別規(guī)則而言,獲得同一個(gè)應(yīng)用發(fā)送的多個(gè)完整的數(shù)據(jù)流至關(guān)重要,完整的數(shù)據(jù)流是指從連接建立協(xié)商階段通信雙方發(fā)送的第一個(gè)報(bào)文,直至連接斷開發(fā)送的最后一個(gè)報(bào)文之間的所有數(shù)據(jù)包。然而現(xiàn)有網(wǎng)絡(luò)安全設(shè)備出于存儲(chǔ)空間和性能的考慮,并不能緩存數(shù)據(jù)流的多個(gè)報(bào)文,例如現(xiàn)有的基于特征的識(shí)別技術(shù)或啟發(fā)式識(shí)別技術(shù),往往也只是從接收到的報(bào)文中提取特征后,對(duì)提取的特征進(jìn)行緩存,而對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)?,F(xiàn)有終端設(shè)備上的抓包技術(shù)抓取一個(gè)完整的未識(shí)別數(shù)據(jù)流是相對(duì)困難的,因?yàn)闊o法確定要抓取哪一個(gè)數(shù)據(jù)流,以及難以準(zhǔn)確定位一個(gè)未識(shí)別數(shù)據(jù)流的開始和結(jié)束。如果為了抓取一個(gè)未識(shí)別數(shù)據(jù)流,保存終端設(shè)備相當(dāng)長(zhǎng)時(shí)間內(nèi)發(fā)送和接收的所有報(bào)文,將極大占用終端設(shè)備的存儲(chǔ)資源和處理資源。而如果采用抽樣抓包的技術(shù),雖然節(jié)省了資源,但是會(huì)漏掉數(shù)據(jù)流中的大部分?jǐn)?shù)據(jù)包,造成規(guī)則提取困難或不準(zhǔn)確。對(duì)于這個(gè)問題,本申請(qǐng)?zhí)峁┝烁綀D4所示的一種方案,能夠有針對(duì)性的抓取一個(gè)進(jìn)程發(fā)送的數(shù)據(jù)流的全部報(bào)文,同時(shí)不會(huì)占用終端設(shè)備中的大量資源??蛇x地,附圖4在附圖2的基礎(chǔ)上,在步驟206,終端設(shè)備接收到網(wǎng)絡(luò)設(shè)備發(fā)送的報(bào)文p1,并確定 創(chuàng)建標(biāo)識(shí)為“tcp192.168.1.211:3020-201.6.8.30:6682”的數(shù)據(jù)流的進(jìn)程的標(biāo)識(shí)是sogoucloud.exe之后,還包括:步驟401,終端設(shè)備在表1所示第一對(duì)應(yīng)表中為進(jìn)程sogoucloud.exe設(shè)置報(bào)文采集標(biāo)識(shí)。報(bào)文采集標(biāo)識(shí)用于所述終端設(shè)備在通過操作系統(tǒng)的接口捕獲所述進(jìn)程傳輸?shù)膱?bào)文后,獲得并存儲(chǔ)所述進(jìn)程后續(xù)傳輸?shù)耐暾麛?shù)據(jù)流。后面將結(jié)合具體例子,對(duì)報(bào)文采集標(biāo)識(shí)的作用進(jìn)行說明。設(shè)置報(bào)文采集標(biāo)識(shí)之后的第一對(duì)應(yīng)表如表5所示。表5在本實(shí)施例中,以報(bào)文采集標(biāo)識(shí)為“1”進(jìn)行舉例說明。在具體實(shí)施過程中,可以在最初生成第一對(duì)應(yīng)表時(shí),為所有進(jìn)程標(biāo)識(shí)對(duì)應(yīng)的設(shè)置報(bào)文采集標(biāo)識(shí)為“0”,在步驟206之后,將查找到的記錄中的進(jìn)程標(biāo)識(shí)對(duì)應(yīng)的報(bào)文采集標(biāo)識(shí)更新為“1”。當(dāng)然也可以采用其他的設(shè)置方式,總之只要能夠在步驟206之后,為查找到的記錄中的進(jìn)程標(biāo)識(shí)設(shè)置與此前不同的標(biāo)識(shí)進(jìn)行區(qū)分即可。步驟49,終端設(shè)備通過鉤子函數(shù)獲得傳輸?shù)膱?bào)文,具體的傳輸?shù)膱?bào)文可以是發(fā)送的報(bào)文或接收的報(bào)文。該步驟與附圖3b中的步驟39類似,在這里不再贅述。步驟410,終端設(shè)備從獲得的報(bào)文中提取數(shù)據(jù)流標(biāo)識(shí)。具體地,終端設(shè)備從獲得的報(bào)文中提取五元組。步驟411,終端設(shè)備根據(jù)獲得的數(shù)據(jù)流的標(biāo)識(shí),在表5所示的第一對(duì)應(yīng)表中查找包含該數(shù)據(jù)流的標(biāo)識(shí)的記錄。如果查找到,可以如附圖3b中的步驟314所示更新記錄。如果未查找到記錄,說明該報(bào)文屬于一條新建立的數(shù)據(jù)流,終端設(shè)備刷新第一對(duì)應(yīng)表,在刷新后的第一對(duì)應(yīng)表中查找到包含步驟310中獲得的數(shù)據(jù)流的標(biāo)識(shí)的記錄。例如,終端設(shè)備通過鉤子函數(shù)獲得了一個(gè)tcp報(bào)文p6,從報(bào)文p6中提取的五元組是“tcp192.168.1.211:3011-201.6.8.30:6682”。在表5中未查找到包含五元組“tcp192.168.1.211:3011-168.3.56.120:1138的記錄”,刷新第一對(duì)應(yīng)表,如表6所示,在表6中查找到包含五元組“tcp192.168.1.211:3011-201.6.8.30:6682”的是第1條記錄。表6無論是否在第一對(duì)應(yīng)表中查找到包含該數(shù)據(jù)流的標(biāo)識(shí)的記錄,在步驟411之后,都可以得到一條包含有該數(shù)據(jù)流的標(biāo)識(shí)的記錄,從該記錄中獲取包含的進(jìn)程的標(biāo)識(shí),在本實(shí)施例中,獲取的進(jìn)程標(biāo)識(shí)是sogoucloud.exe。步驟420,終端設(shè)備判斷第1條記錄中的進(jìn)程標(biāo)識(shí)sogoucloud.exe是否被設(shè)置了報(bào)文采集標(biāo)識(shí)。若設(shè)置了報(bào)文采集標(biāo)識(shí),則執(zhí)行步驟421。若未設(shè)置報(bào)文采集標(biāo)識(shí),則結(jié)束。步驟421,終端設(shè)備清除報(bào)文采集標(biāo)識(shí),并開始針對(duì)標(biāo)識(shí)為sogoucloud.exe的進(jìn)程進(jìn)行抓包。在本實(shí)施例中終端設(shè)備清除表6中的報(bào)文采集標(biāo)識(shí),得到表7,清除報(bào)文采集標(biāo)識(shí)的目的是為了避免針對(duì)一個(gè)進(jìn)程進(jìn)行長(zhǎng)時(shí)間抓包。表7可選地,為了進(jìn)一步避免長(zhǎng)時(shí)間的對(duì)同一個(gè)進(jìn)程進(jìn)行抓包,可以設(shè)置一個(gè)抓包時(shí)間間隔,在執(zhí)行步驟421之前終端設(shè)備判斷距離上一次針對(duì)同一個(gè)進(jìn)程進(jìn)行抓包的動(dòng)作是否超過了設(shè)定的抓包時(shí)間間隔,若超過,則進(jìn)行抓包,若未超過則跳過本步驟,即暫不清除抓包標(biāo)記且暫不執(zhí)行抓包,結(jié)束本次處理。步驟422,終端設(shè)備保存抓包結(jié)果,以便后續(xù)進(jìn)行人工分析。終端設(shè)備在具體實(shí)施針對(duì)一個(gè)特定進(jìn)程抓包時(shí),可以根據(jù)預(yù)設(shè)的抓包策略進(jìn)行抓包,例如,捕獲該進(jìn)程在預(yù)定時(shí)間段內(nèi)傳輸?shù)臄?shù)據(jù)包后結(jié)束抓包,或者捕獲該進(jìn)程傳輸?shù)臄?shù)據(jù)包達(dá)到預(yù)定的數(shù)據(jù)量后結(jié)束抓包。在這里需要說明的是附圖3b所示的第一對(duì)應(yīng)表的更新方法和附圖4所示的抓包方法可以單獨(dú)執(zhí)行,也可以相結(jié)合執(zhí)行。本實(shí)施例提供的上述抓包方法,能夠在終端設(shè)備中獲得關(guān)于特定進(jìn)程的多個(gè)完整的數(shù)據(jù)流,以供后 續(xù)通過人工分析得到基于特征的識(shí)別規(guī)則,或啟發(fā)式識(shí)別規(guī)則,將得到的規(guī)則應(yīng)用于網(wǎng)絡(luò)安全設(shè)備后,可以改善應(yīng)用識(shí)別的效果。本申請(qǐng)實(shí)施例還提供了一種終端設(shè)備,如附圖5a所示,該終端設(shè)備包括存儲(chǔ)器510、處理器520和網(wǎng)絡(luò)接口530,所述存儲(chǔ)器510、處理器520和網(wǎng)絡(luò)接口530通過總線540相互通信。存儲(chǔ)器510包括但不限于是隨機(jī)存取存儲(chǔ)器(ram)、只讀存儲(chǔ)器(rom)、可擦除可編程只讀存儲(chǔ)器(eprom或者快閃存儲(chǔ)器)、或便攜式只讀存儲(chǔ)器(cd-rom)。處理器520可以是一個(gè)或多個(gè)中央處理器(centralprocessingunit,簡(jiǎn)稱cpu),在處理器520是一個(gè)cpu的情況下,該cpu可以是單核cpu,也可以是多核cpu。網(wǎng)絡(luò)接口530可以是有線接口,例如光纖分布式數(shù)據(jù)接口(fiberdistributeddatainterface,簡(jiǎn)稱fddi)、千兆以太網(wǎng)(gigabitethernet,簡(jiǎn)稱ge)接口;網(wǎng)絡(luò)接口530也可以是無線接口。如果終端設(shè)備是個(gè)人計(jì)算機(jī),網(wǎng)絡(luò)接口530可以是上述有線接口也可以是基于ieee802.11b的無線局域網(wǎng)(wirelessfidelity,wifi)模塊。如果終端設(shè)備是手機(jī)等移動(dòng)終端,網(wǎng)絡(luò)接口530可以是由基帶芯片和射頻天線組成的硬件模塊。存儲(chǔ)器510用于存儲(chǔ)程序代碼、第一對(duì)應(yīng)表和第二對(duì)應(yīng)表。第一對(duì)應(yīng)表和第二對(duì)應(yīng)表的定義請(qǐng)參見上述實(shí)施例中的描述,這里不再重復(fù)。網(wǎng)絡(luò)接口530,用于接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識(shí)。所述處理器520讀取所述存儲(chǔ)器510中存儲(chǔ)的程序代碼,執(zhí)行:在所述第一對(duì)應(yīng)表中,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識(shí)的第一記錄,獲取所述第一記錄中的進(jìn)程的標(biāo)識(shí);在所述第二對(duì)應(yīng)表中,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識(shí)的第二記錄,從所述第二記錄中獲取應(yīng)用的標(biāo)識(shí)。所述網(wǎng)絡(luò)接口530,還用于向網(wǎng)絡(luò)安全設(shè)備發(fā)送處理器520獲取的應(yīng)用的標(biāo)識(shí)。可選地,處理器520可以采用上述附圖3a、3b及相關(guān)描述的方法來獲得第一對(duì)應(yīng)表,以及更新第一對(duì)應(yīng)表??蛇x地,處理器520可以采用附圖4及相關(guān)描述的方法來獲得完整數(shù)據(jù)流的報(bào)文。本申請(qǐng)實(shí)施例還提供了一種終端設(shè)備,如附圖5b所示。該終端設(shè)備包括存儲(chǔ)模塊560、接收模塊570、處理模塊580和發(fā)送模塊590。需要說明的是這些模塊為功能相對(duì)獨(dú)立的邏輯模塊,既可以是終端設(shè)備中的cpu讀取存儲(chǔ)中的軟件代碼并運(yùn)行后生成的,也可以是由硬件組件來實(shí)現(xiàn)的。具體地:存儲(chǔ)模塊560,用于存儲(chǔ)第一對(duì)應(yīng)表和第二對(duì)應(yīng)表,第一對(duì)應(yīng)表保存有所述終端中運(yùn)行的進(jìn)程的標(biāo)識(shí)和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識(shí)的對(duì)應(yīng)關(guān)系,第二對(duì)應(yīng)表保存有應(yīng)用的標(biāo)識(shí)和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)的第二對(duì)應(yīng)關(guān)系,所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組。接收模塊570,用于接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識(shí)。處理模塊580,用于在存儲(chǔ)模塊560存儲(chǔ)的所述第一對(duì)應(yīng)表中,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識(shí)的第一記錄,獲取所述第一記錄中的進(jìn)程的標(biāo)識(shí);在所述第二對(duì)應(yīng)表中,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識(shí)的第二記錄,從所述第二記錄中獲取應(yīng)用的標(biāo)識(shí)。發(fā)送模塊590,用于向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述應(yīng)用的標(biāo)識(shí)??蛇x地,處理模塊580可以采用上述附圖3a、3b及相關(guān)描述的方法來獲得第一對(duì)應(yīng)表,以及更新第一對(duì)應(yīng)表??蛇x地,處理模塊580可以采用附圖4及相關(guān)描述的方法來獲得完整數(shù)據(jù)流的報(bào)文。附圖5a和5b所提供的終端設(shè)備可以作為附圖1a或1b中的終端設(shè)備110。本申請(qǐng)實(shí)施例提供的終端設(shè)備接收到網(wǎng)絡(luò)安全設(shè)備發(fā)送的數(shù)據(jù)流的標(biāo)識(shí)后,根據(jù)終端設(shè)備保存的第一對(duì)應(yīng)表和第二對(duì)應(yīng)表,查找到應(yīng)用的標(biāo)識(shí),將查找到的應(yīng)用的標(biāo)識(shí)發(fā)送給網(wǎng)絡(luò)安全設(shè)備。通過網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間的交互,能夠識(shí)別出更多的應(yīng)用,從而降低了未識(shí)別流量在總流量中所占的比例,改善了網(wǎng)絡(luò)流量的識(shí)別效果。本申請(qǐng)實(shí)施例還提供了一種網(wǎng)絡(luò)安全設(shè)備,如附圖6a所示,該網(wǎng)絡(luò)安全設(shè)備包括存儲(chǔ)器610、處理器620和網(wǎng)絡(luò)接口630,所述存儲(chǔ)器610、處理器620和網(wǎng)絡(luò)接口630通過總線640相互通信。存儲(chǔ)器610包括但不限于是隨機(jī)存取存儲(chǔ)器(ram)、只讀存儲(chǔ)器(rom)、可擦除可編程只讀存儲(chǔ)器(eprom或者快閃存儲(chǔ)器)、或便攜式只讀存儲(chǔ)器(cd-rom)。處理器620可以是一個(gè)或多個(gè)中央處理器(centralprocessingunit,簡(jiǎn)稱cpu),在處理器520是一個(gè)cpu的情況下,該cpu可以是單核cpu,也可以是多核cpu。網(wǎng)絡(luò)接口630可以是有線接口,例如光纖分布式數(shù)據(jù)接口(fiberdistributeddatainterface,簡(jiǎn)稱fddi)、千兆以太網(wǎng)(gigabitethernet,簡(jiǎn)稱ge)接口;網(wǎng)絡(luò)接口630也可以是無線接口。網(wǎng)絡(luò)接口630,用于接收第一數(shù)據(jù)流。處理器620,用于獲取第一數(shù)據(jù)流的標(biāo)識(shí),所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組。網(wǎng)絡(luò)接口630,還用于根據(jù)第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址或目的地址,向終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識(shí),所述終端設(shè)備的地址為所述第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址或目的地址??蛇x地,處理器620在采用現(xiàn)有應(yīng)用識(shí)別技術(shù)無法識(shí)別出發(fā)送第一數(shù)據(jù)流的應(yīng)用時(shí),指示網(wǎng)絡(luò)接口630向所述終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識(shí)。所述網(wǎng)絡(luò)接口630,還用于接收終端設(shè)備發(fā)送的應(yīng)用的標(biāo)識(shí)。處理器620,還用于確定網(wǎng)絡(luò)接口630接收到的所述應(yīng)用的標(biāo)識(shí)為發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí),從而得到第一數(shù)據(jù)流的應(yīng)用識(shí)別結(jié)果。本申請(qǐng)實(shí)施例還提供了一種網(wǎng)絡(luò)安全設(shè)備,如附圖6b所示。該網(wǎng)絡(luò)安全設(shè)備包括接收模塊660、處理模塊670、和發(fā)送模塊680。需要說明的是這些模塊為功能相對(duì)獨(dú)立的邏輯模塊,既可以是終端設(shè)備中的cpu讀取存儲(chǔ)中的軟件代碼并運(yùn)行后生成的,也可以是由硬件組件來實(shí)現(xiàn)的。具體地:接收模塊660,用于接收第一數(shù)據(jù)流。處理模塊670,用于獲取第一數(shù)據(jù)流的標(biāo)識(shí),所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組。發(fā)送模塊680,用于根據(jù)第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址或目的地址,向終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識(shí),所述終端設(shè)備的地址為所述第一數(shù)據(jù)流的標(biāo)識(shí)中的源地址或目的地址。可選地,處理模塊670在采用現(xiàn)有應(yīng)用識(shí)別技術(shù)無法識(shí)別出發(fā)送所述第一數(shù)據(jù)流的應(yīng)用時(shí),指示發(fā)送模塊680向終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識(shí)。接收模塊660,還用于收終端設(shè)備發(fā)送的應(yīng)用的標(biāo)識(shí)。處理模塊670,還用于確定網(wǎng)絡(luò)接口660接收到的應(yīng)用的標(biāo)識(shí)為發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí),從而得到第一數(shù)據(jù)流的應(yīng)用識(shí)別結(jié)果。附圖6a和6b所提供的網(wǎng)絡(luò)安全設(shè)備可以作為附圖1a或1b中的網(wǎng)絡(luò)安全設(shè)備120。附圖6a和6b所提供的網(wǎng)絡(luò)安全設(shè)備與終端設(shè)備的交互過程請(qǐng)參照附圖2及相關(guān)描述。本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)安全設(shè)備在采用現(xiàn)有應(yīng)用識(shí)別技術(shù)無法識(shí)別出發(fā)送數(shù)據(jù)流的應(yīng)用時(shí),向終 端設(shè)備發(fā)送數(shù)據(jù)流的標(biāo)識(shí),接收終端設(shè)備發(fā)送的應(yīng)用的標(biāo)識(shí),將接收到的所述應(yīng)用的標(biāo)識(shí)作為發(fā)送數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí),從而得到數(shù)據(jù)流的應(yīng)用識(shí)別結(jié)果。通過網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間的交互,能夠識(shí)別出更多的應(yīng)用,從而降低了未識(shí)別流量在總流量中所占的比例,改善了網(wǎng)絡(luò)流量的識(shí)別效果。實(shí)施例二附圖7是本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng)的示意圖。該系統(tǒng)中包括終端設(shè)備710、網(wǎng)絡(luò)安全設(shè)備720和數(shù)據(jù)處理設(shè)備730。與附圖1a和附圖1b所示的識(shí)別系統(tǒng)相比,增加了一個(gè)數(shù)據(jù)處理設(shè)備730。數(shù)據(jù)處理設(shè)備730可以作為一個(gè)邏輯模塊,集成于網(wǎng)絡(luò)安全設(shè)備720或終端設(shè)備710中,也可以作為一個(gè)獨(dú)立的實(shí)體設(shè)備單獨(dú)部署,只要保證能夠分別與終端設(shè)備710和網(wǎng)絡(luò)安全設(shè)備720進(jìn)行通信即可?,F(xiàn)有技術(shù)要實(shí)現(xiàn)發(fā)現(xiàn)網(wǎng)絡(luò)安全設(shè)備錯(cuò)誤識(shí)別結(jié)果這一目的,只能使用僅包含待識(shí)別應(yīng)用產(chǎn)生的、沒有混雜其他應(yīng)用的流量,對(duì)網(wǎng)絡(luò)安全設(shè)備對(duì)該待識(shí)別應(yīng)用的識(shí)別效果進(jìn)行測(cè)試。而且無法估算混雜流量情況下的識(shí)別效果。本實(shí)施例中增加數(shù)據(jù)處理設(shè)備730的主要目的在于通過對(duì)來自于終端設(shè)備710的信息和來自于網(wǎng)絡(luò)安全設(shè)備720的信息進(jìn)行綜合分析,從而識(shí)別出網(wǎng)絡(luò)安全設(shè)備720的錯(cuò)誤識(shí)別結(jié)果。首先需要說明的是,終端設(shè)備710與實(shí)施例一中的終端設(shè)備110有一定類似之處,網(wǎng)絡(luò)安全設(shè)備720與實(shí)施一中的網(wǎng)絡(luò)安全設(shè)備120也有一定類似之處,為了簡(jiǎn)明起見,在本實(shí)施例中著重對(duì)與實(shí)施例一中的不同之處進(jìn)行詳述,對(duì)于可以參照實(shí)施例一中類似的內(nèi)容簡(jiǎn)單描述。在附圖7所示的識(shí)別系統(tǒng)中,網(wǎng)絡(luò)安全設(shè)備720,用于接收第一數(shù)據(jù)流,確定發(fā)送第一數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí)后,生成第一識(shí)別記錄,所述第一識(shí)別記錄包含所述第一數(shù)據(jù)流的標(biāo)識(shí)與所述應(yīng)用的標(biāo)識(shí),所述數(shù)據(jù)流的標(biāo)識(shí)為由源地址、源端口、目的地址、目的端口和協(xié)議標(biāo)識(shí)組成的五元組,向所述處理設(shè)備發(fā)送所述第一識(shí)別記錄。其中,網(wǎng)絡(luò)安全設(shè)備720可以采用基于特征的識(shí)別技術(shù)、啟發(fā)式識(shí)別技術(shù),或關(guān)聯(lián)識(shí)別技術(shù)等現(xiàn)有應(yīng)用識(shí)別技術(shù)對(duì)第一數(shù)據(jù)流進(jìn)行識(shí)別,從而確定發(fā)送第一數(shù)據(jù)流的應(yīng)用的標(biāo)識(shí)。所述終端設(shè)備710,用于獲取本終端設(shè)備上的進(jìn)程的標(biāo)識(shí)以及所述進(jìn)程創(chuàng)建的第二數(shù)據(jù)流的標(biāo)識(shí),生成第二識(shí)別記錄,所述第二識(shí)別記錄包含第二數(shù)據(jù)流的標(biāo)識(shí)與進(jìn)程的標(biāo)識(shí);以及獲取對(duì)應(yīng)表,所述對(duì)應(yīng)表中的每條記錄保存一個(gè)應(yīng)用的標(biāo)識(shí)與所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí);向所述數(shù)據(jù)處理設(shè)備發(fā)送所述第二識(shí)別記錄和對(duì)應(yīng)表。容易理解,本實(shí)施例中的對(duì)應(yīng)表即為實(shí)施例一中的第二對(duì)應(yīng)表。在本實(shí)施例中為了保持與實(shí)施例一中各對(duì)應(yīng)表命名的一致性,仍保留第二對(duì)應(yīng)表的名稱。本實(shí)施例中的第二識(shí)別記錄可以是實(shí)施例一中第一對(duì)應(yīng)表中的一條記錄,終端設(shè)備710獲得第一對(duì)應(yīng)表的過程請(qǐng)參見實(shí)施例一中的相關(guān)內(nèi)容,終端設(shè)備710可以在獲得第一對(duì)應(yīng)表后,將第一對(duì)應(yīng)表作為一個(gè)文件整體發(fā)送給數(shù)據(jù)處理設(shè)備730,也可以選擇性地將第一對(duì)應(yīng)表中的一條記錄或多條記錄發(fā)送給數(shù)據(jù)處理設(shè)備730,在這里不進(jìn)行限制。數(shù)據(jù)處理設(shè)備730,用于接收來自于網(wǎng)絡(luò)安全設(shè)備720的第一識(shí)別記錄;接收來自于終端設(shè)備710的第二識(shí)別記錄和對(duì)應(yīng)表。如果第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同,在對(duì)應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,第一關(guān)聯(lián)記錄中保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí)。如果不存在第一關(guān)聯(lián)記錄,則確定第一識(shí)別記錄為錯(cuò)誤識(shí)別記錄??蛇x地,在數(shù)據(jù)處理設(shè)備730確定第一識(shí)別記錄為錯(cuò)誤識(shí)別記錄之后,還可以向終端設(shè)備710發(fā)送所述第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí),以便終端設(shè)備710為該進(jìn)程的標(biāo)識(shí)設(shè)置抓包標(biāo)記,后續(xù)抓取該進(jìn)程的標(biāo)識(shí)所代表的進(jìn)程發(fā)送的多個(gè)完整的數(shù)據(jù)流,進(jìn)行人工分析。具體抓包過程請(qǐng)參考實(shí)施例一附圖 4及相關(guān)描述,在這里不再重復(fù)。可選地,為了減少后續(xù)網(wǎng)絡(luò)安全設(shè)備因?yàn)橥魂P(guān)聯(lián)識(shí)別規(guī)則導(dǎo)致重復(fù)地向數(shù)據(jù)處理設(shè)備發(fā)送相同的錯(cuò)誤識(shí)別記錄,造成占用數(shù)據(jù)處理設(shè)備與網(wǎng)絡(luò)安全設(shè)備之間的傳輸資源,可以網(wǎng)絡(luò)安全設(shè)備可以在發(fā)送給數(shù)據(jù)處理設(shè)備的第一識(shí)別記錄中增加識(shí)別方式的標(biāo)識(shí),數(shù)據(jù)處理設(shè)備當(dāng)確認(rèn)錯(cuò)誤識(shí)別結(jié)果是由于關(guān)聯(lián)識(shí)別規(guī)則導(dǎo)致的之后,通知網(wǎng)絡(luò)安全設(shè)備刪除相應(yīng)的關(guān)聯(lián)識(shí)別規(guī)則,從而避免后續(xù)出現(xiàn)相同原因造成的錯(cuò)誤識(shí)別結(jié)果。具體地:來自于網(wǎng)絡(luò)安全設(shè)備720的第一識(shí)別記錄還包含識(shí)別方式的標(biāo)識(shí),所述識(shí)別方式包括關(guān)聯(lián)識(shí)別、特征識(shí)別和啟發(fā)式識(shí)別。關(guān)聯(lián)識(shí)別方式是指網(wǎng)絡(luò)安全設(shè)備720根據(jù)報(bào)文的ip地址、端口號(hào)與應(yīng)用的對(duì)應(yīng)關(guān)系,對(duì)發(fā)送報(bào)文的應(yīng)用進(jìn)行識(shí)別。例如,網(wǎng)絡(luò)安全設(shè)備720通過對(duì)ftp控制通道中的控制報(bào)文進(jìn)行解析,可以得到即將建立的數(shù)據(jù)通道所使用的ip地址和端口號(hào),在關(guān)聯(lián)表中添加獲得的ip地址和端口號(hào)與ftp客戶端名稱,例如filezilla的對(duì)應(yīng)關(guān)系。接收到后續(xù)報(bào)文后,在關(guān)聯(lián)表中查詢是否存在該報(bào)文攜帶的ip地址和端口號(hào),如果關(guān)聯(lián)表中存在該報(bào)文攜帶的ip地址和端口號(hào),則將關(guān)聯(lián)表中該報(bào)文攜帶的ip地址和端口號(hào)對(duì)應(yīng)的filezilla作為發(fā)送該報(bào)文的應(yīng)用。在第一識(shí)別記錄還包含識(shí)別方式的標(biāo)識(shí)的情況下,在數(shù)據(jù)處理設(shè)備730確定第一識(shí)別記錄為錯(cuò)誤設(shè)備記錄之后,還可以如果所述第一識(shí)別紀(jì)錄中識(shí)別方式的標(biāo)識(shí)為關(guān)聯(lián)識(shí)別方式的標(biāo)識(shí),則向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識(shí)別規(guī)則,所述第一關(guān)聯(lián)識(shí)別規(guī)則包含所述第一識(shí)別記錄包含的第一數(shù)據(jù)流的標(biāo)識(shí)。在本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別系統(tǒng)中,數(shù)據(jù)處理設(shè)備接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識(shí)別記錄和來自于終端設(shè)備的第二識(shí)別記錄和對(duì)應(yīng)表,如果所述第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與所述第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同,在所述對(duì)應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí),如果不存在所述第一關(guān)聯(lián)記錄,確定所述第一識(shí)別記錄為錯(cuò)誤識(shí)別記錄。數(shù)據(jù)處理設(shè)備通過比較終端設(shè)備和網(wǎng)絡(luò)安全設(shè)備的識(shí)別記錄,能夠識(shí)別出現(xiàn)有技術(shù)難以發(fā)現(xiàn)的網(wǎng)絡(luò)安全設(shè)備的錯(cuò)誤識(shí)別記錄,改善了網(wǎng)絡(luò)流量的識(shí)別效果。下面將參照附圖8a和附圖8b結(jié)合一個(gè)具體實(shí)例,對(duì)本實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法進(jìn)行描述。本實(shí)施例中的終端設(shè)備可以是附圖7中的終端設(shè)備710,網(wǎng)絡(luò)安全設(shè)備可以是附圖7中的網(wǎng)絡(luò)安全設(shè)備720,數(shù)據(jù)處理設(shè)備可以是附圖7中的數(shù)據(jù)處理設(shè)備730。附圖8a以詳細(xì)時(shí)序交互圖的方式對(duì)本實(shí)施例提供的識(shí)別方法進(jìn)行描述。步驟801,網(wǎng)絡(luò)安全設(shè)備接收到第一數(shù)據(jù)流中的報(bào)文p10后,基于關(guān)聯(lián)識(shí)別技術(shù)對(duì)第一數(shù)據(jù)流進(jìn)行應(yīng)用識(shí)別,得到識(shí)別結(jié)果,即第一識(shí)別記錄“tcp192.168.1.211:3020-201.6.8.30:6682暴風(fēng)影音a”。第一識(shí)別記錄可以是網(wǎng)絡(luò)安全設(shè)備接收到第一數(shù)據(jù)流后,采用基于特征的識(shí)別技術(shù)、啟發(fā)式等識(shí)別技術(shù)、或關(guān)聯(lián)識(shí)別技術(shù)得到的規(guī)則對(duì)第一數(shù)據(jù)流進(jìn)行識(shí)別后得到的。網(wǎng)絡(luò)安全設(shè)備可以依次采用各種現(xiàn)有識(shí)別技術(shù)對(duì)報(bào)文進(jìn)行識(shí)別,直到能夠得到識(shí)別結(jié)果,例如網(wǎng)絡(luò)安全設(shè)備先采用基于特征的規(guī)則對(duì)報(bào)文進(jìn)行識(shí)別,當(dāng)無法得到識(shí)別結(jié)果時(shí),即報(bào)文中的特征與任何一個(gè)基于特征的規(guī)則中的規(guī)則均不一致時(shí),采用啟發(fā)式規(guī)則對(duì)報(bào)文進(jìn)行識(shí)別,當(dāng)無法得到匹配結(jié)果時(shí),再次嘗試?yán)藐P(guān)聯(lián)識(shí)別規(guī)則對(duì)報(bào)文進(jìn)行識(shí)別。當(dāng)然,如果網(wǎng)絡(luò)安全設(shè)備先采用基于特征的規(guī)則對(duì)報(bào)文進(jìn)行識(shí)別,就能夠得到匹配結(jié)果,則生成識(shí)別記錄,處理結(jié)束。網(wǎng)絡(luò)安全設(shè)備選擇識(shí)別技術(shù)時(shí)的順序沒有特別限定。在本實(shí)施例中,第一識(shí)別記錄是網(wǎng)絡(luò)安全設(shè)備根據(jù)第一關(guān)聯(lián)識(shí)別規(guī)則識(shí)別出的,第一關(guān)聯(lián)識(shí)別規(guī)則 為“tcp201.6.8.30:6682暴風(fēng)影音”。網(wǎng)絡(luò)安全設(shè)備在接收到報(bào)文p10后,從報(bào)文中獲得目的三元組和源三元組,將目的三元組或源三元組與第一關(guān)聯(lián)識(shí)別規(guī)則匹配,如果目的三元組或源三元組中的任意一個(gè)與第一關(guān)聯(lián)識(shí)別規(guī)則中的三元組一致,則確定報(bào)文p10所屬的第一數(shù)據(jù)流是終端設(shè)備中的暴風(fēng)影音發(fā)送的。本實(shí)施例中,關(guān)聯(lián)識(shí)別方式的標(biāo)識(shí)是a,基于特征的識(shí)別方式的標(biāo)識(shí)是b、啟發(fā)式識(shí)別技術(shù)的標(biāo)識(shí)是c。步驟802,網(wǎng)絡(luò)安全設(shè)備將第一識(shí)別記錄“tcp192.168.1.211:3020-201.6.8.30:6682暴風(fēng)影音a”攜帶在報(bào)文p11中,向數(shù)據(jù)處理設(shè)備發(fā)送p11。步驟803,數(shù)據(jù)處理設(shè)備接收到報(bào)文p11后對(duì)報(bào)文p11進(jìn)行解析,得到報(bào)文p11攜帶的第一識(shí)別記錄“tcp192.168.1.211:3020-201.6.8.30:6682暴風(fēng)影音a”。步驟804,數(shù)據(jù)處理設(shè)備接收來自于終端設(shè)備的第二識(shí)別記錄“tcp192.168.1.211:3020-201.6.8.30:6682sogoucloud.exe”和第二對(duì)應(yīng)表。需要說明的是,第二識(shí)別記錄和第二對(duì)應(yīng)表可以是分別發(fā)送的。例如,第二對(duì)應(yīng)表是在終端設(shè)備中的agent初始化完成之后發(fā)送的,或者終端設(shè)備中的agent檢測(cè)到實(shí)施例一中表2所示的第二對(duì)應(yīng)表發(fā)生變化后發(fā)送的。如果終端設(shè)備被配置為定期將維護(hù)的實(shí)施例一中表1所示的第一對(duì)應(yīng)表作為一個(gè)整體文件包發(fā)送給數(shù)據(jù)處理設(shè)備,第二識(shí)別記錄可以是終端設(shè)備發(fā)送的第一對(duì)應(yīng)表中的一條記錄。數(shù)據(jù)處理設(shè)備也可以在接收到來自于網(wǎng)絡(luò)安全設(shè)備的第一識(shí)別記錄后,提取其中的五元組,將五元組發(fā)送給終端設(shè)備,指示終端設(shè)備將包含該五元組的第一對(duì)應(yīng)表中的記錄返回給數(shù)據(jù)處理設(shè)備。終端設(shè)備向數(shù)據(jù)處理設(shè)備發(fā)送第二識(shí)別記錄的具體方式在這里不進(jìn)行限定。步驟805,數(shù)據(jù)處理設(shè)備確定所述第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與所述第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同。具體地,如果終端設(shè)備被配置為定期將維護(hù)的實(shí)施例一中表1所示的第一對(duì)應(yīng)表作為一個(gè)整體文件包發(fā)送給數(shù)據(jù)處理設(shè)備,則數(shù)據(jù)處理設(shè)備根據(jù)第一識(shí)別記錄中的五元組,從整體文件包中查詢到一個(gè)包含五元組tcp192.168.1.211:3020-201.6.8.30:6682的記錄作為第二識(shí)別記錄。如果終端設(shè)備單獨(dú)發(fā)送第二識(shí)別記錄,則數(shù)據(jù)處理設(shè)備接收到網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一識(shí)別記錄后,與此前預(yù)定時(shí)間段內(nèi)接收到的來自于終端設(shè)備的至少一個(gè)識(shí)別記錄進(jìn)行比較,確定存在一個(gè)識(shí)別記錄,其攜帶的數(shù)據(jù)流的標(biāo)識(shí)與第一識(shí)別記錄中包含的數(shù)據(jù)流的標(biāo)識(shí)相同,則將該識(shí)別記錄作為第二識(shí)別記錄。步驟806,數(shù)據(jù)處理設(shè)備在第二對(duì)應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí)。如果存在,說明第一識(shí)別記錄是正確的識(shí)別記錄,繼續(xù)處理網(wǎng)絡(luò)安全設(shè)備發(fā)送的下一條識(shí)別記錄;否則說明第一識(shí)別記錄是錯(cuò)誤的識(shí)別記錄。具體地,數(shù)據(jù)處理設(shè)備確定第二對(duì)應(yīng)表中是否存在一條關(guān)聯(lián)記錄,該關(guān)聯(lián)記錄中保存有第一識(shí)別記錄中的應(yīng)用標(biāo)識(shí)“暴風(fēng)影音”與第二識(shí)別記錄中的進(jìn)程標(biāo)識(shí)“sogoucloud.exe”的關(guān)聯(lián)記錄,在本實(shí)施例中,表2所示的第二關(guān)聯(lián)表中并不存在同時(shí)包含“暴風(fēng)影音”和“sogoucloud.exe”的記錄。如果數(shù)據(jù)處理設(shè)備確定出一條來自于網(wǎng)絡(luò)安全設(shè)備的識(shí)別記錄是錯(cuò)誤的識(shí)別記錄,可以執(zhí)行步驟807,810或步驟808~步驟809組成的子流程中的至少一個(gè)。換句話說,步驟807,810或步驟808~步驟809組成的子流程均是可選地,而且在執(zhí)行順序上也沒有特別限定。步驟807,數(shù)據(jù)處理設(shè)備向終端設(shè)備發(fā)送攜帶有所述第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí) sogoucloud.exe的報(bào)文p12,以便終端設(shè)備為該進(jìn)程的標(biāo)識(shí)設(shè)置抓包標(biāo)記,后續(xù)抓取該進(jìn)程的標(biāo)識(shí)所代表的進(jìn)程發(fā)送的多個(gè)完整的數(shù)據(jù)流,進(jìn)行人工分析。具體抓包過程請(qǐng)參照附圖4中步驟49至步驟422的描述。步驟808,數(shù)據(jù)處理設(shè)備判斷第一識(shí)別記錄中攜帶的識(shí)別方式的標(biāo)識(shí)是否為關(guān)聯(lián)識(shí)別方式的標(biāo)識(shí),如果第一識(shí)別記錄中攜帶的識(shí)別方式的標(biāo)識(shí)是關(guān)聯(lián)識(shí)別方式的標(biāo)識(shí),則執(zhí)行步驟809,否則結(jié)束本次處理。步驟809,數(shù)據(jù)處理設(shè)備向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息p13,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識(shí)別規(guī)則“tcp201.6.8.30:6682暴風(fēng)影音”。具體地,通知消息中可以攜帶第一識(shí)別記錄中的數(shù)據(jù)流的標(biāo)識(shí)和一個(gè)刪除指令,例如“201.6.8.30:6682d”,其中d為刪除指令。步驟810,數(shù)據(jù)處理設(shè)備還統(tǒng)計(jì)錯(cuò)誤識(shí)別記錄的次數(shù),在每次確定出一次錯(cuò)誤識(shí)別記錄后,對(duì)當(dāng)前錯(cuò)誤識(shí)別記錄的次數(shù)加1??蛇x地,數(shù)據(jù)處理設(shè)備在步驟806中確定是正確的識(shí)別記錄的情況下,也可以對(duì)當(dāng)前正確識(shí)別記錄的次數(shù)加1。這樣根據(jù)錯(cuò)誤識(shí)別記錄的次數(shù)和正確識(shí)別記錄的次數(shù),就可以計(jì)算出預(yù)定時(shí)間段內(nèi)的誤報(bào)率。數(shù)據(jù)處理設(shè)備還可以通過輸出接口,例如顯示器,或打印機(jī),定期將錯(cuò)誤識(shí)別記錄和誤報(bào)率輸出,以供管理人員分析。步驟811,網(wǎng)絡(luò)安全設(shè)備接收到通知消息p13后,刪除第一關(guān)聯(lián)識(shí)別規(guī)則“tcp201.6.8.30:6682暴風(fēng)影音”或第二關(guān)聯(lián)規(guī)則“tcp192.168.1.211:3020暴風(fēng)影音”??蛇x地,在步驟806,數(shù)據(jù)處理設(shè)備確定第一識(shí)別記錄是錯(cuò)誤的識(shí)別記錄之后,還可以為網(wǎng)絡(luò)安全設(shè)備生成正確的關(guān)聯(lián)識(shí)別規(guī)則。以便于提高網(wǎng)絡(luò)安全設(shè)備后續(xù)識(shí)別的效果,具體地,812,數(shù)據(jù)處理設(shè)備在所述對(duì)應(yīng)表中查詢是否存在第二關(guān)聯(lián)記錄,所述第二關(guān)聯(lián)記錄中保存有第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí)。如果存在第二關(guān)聯(lián)記錄,執(zhí)行步驟813,否則處理結(jié)束。步驟813,數(shù)據(jù)處理設(shè)備生成第三關(guān)聯(lián)規(guī)則或第四關(guān)聯(lián)規(guī)則,所述第三關(guān)聯(lián)規(guī)則包括所述第二關(guān)聯(lián)記錄中的應(yīng)用的標(biāo)識(shí)和由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第四關(guān)聯(lián)規(guī)則包括第二關(guān)聯(lián)記錄中的應(yīng)用的標(biāo)識(shí)和由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組。在本實(shí)例中,表2所示的第二對(duì)應(yīng)表中的第1行記錄包括“sogoucloud.exe”,第1行記錄中包含的應(yīng)用的標(biāo)識(shí)是“搜狗輸入法”。生成的第三關(guān)聯(lián)規(guī)則是“tcp201.6.8.30:6682搜狗輸入法”,第四關(guān)聯(lián)規(guī)則是“tcp192.168.1.211:3020搜狗輸入法”。步驟814,數(shù)據(jù)處理設(shè)備向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述第三關(guān)聯(lián)識(shí)別規(guī)則或第四關(guān)聯(lián)識(shí)別規(guī)則。附圖8b描述的是數(shù)據(jù)處理設(shè)備執(zhí)行的識(shí)別方法的另一流程圖??梢岳斫庠诟綀D8a的基礎(chǔ)上,附圖8b中的步驟821~步驟829是數(shù)據(jù)處理設(shè)備針對(duì)網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備發(fā)送的另外兩條識(shí)別記錄進(jìn)行的描述。步驟821,網(wǎng)絡(luò)安全設(shè)備接收到第三數(shù)據(jù)流中的報(bào)文p20后,基于現(xiàn)有基于特征的識(shí)別技術(shù)對(duì)第三數(shù)據(jù)流進(jìn)行應(yīng)用識(shí)別,無法得到識(shí)別結(jié)果,則生成第三識(shí)別記錄“tcp192.168.1.211:6120-168.3.56.120:1138unidentified”,其中unidentified是未識(shí)別標(biāo)識(shí),用于表征所述網(wǎng)絡(luò)安全設(shè)備未識(shí)別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用。步驟822,網(wǎng)絡(luò)安全設(shè)備將第三識(shí)別記錄“tcp192.168.1.211:6120-168.3.56.120:1138unidentified”攜 帶在報(bào)文p21中,向數(shù)據(jù)處理設(shè)備發(fā)送p21。步驟823,數(shù)據(jù)處理設(shè)備接收到報(bào)文p21,從報(bào)文p21中獲取攜帶的第三識(shí)別記錄“tcp192.168.1.211:6120-168.3.56.120:1138unidentified”。步驟824,數(shù)據(jù)處理設(shè)備接收來自于終端設(shè)備的第四識(shí)別記錄“tcp192.168.1.211:6120-168.3.56.120:1138kxescore.exe”。這里假設(shè)如表2所示的第二對(duì)應(yīng)表已保存在數(shù)據(jù)處理設(shè)備中。步驟825,數(shù)據(jù)處理設(shè)備確定所述第三識(shí)別記錄中包含的第三數(shù)據(jù)流的標(biāo)識(shí)與所述第四識(shí)別記錄中包含的第四數(shù)據(jù)流的標(biāo)識(shí)相同。步驟826,數(shù)據(jù)處理設(shè)備在第二對(duì)應(yīng)表中查詢是否存在第三關(guān)聯(lián)記錄,所述第三關(guān)聯(lián)記錄中保存有第四識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí)。如果存在第二關(guān)聯(lián)記錄,可以擇一選擇執(zhí)行步驟827~步驟828組成的子流程,或者步驟829~步驟830組成的子流程。在本實(shí)施例中,表2中的第3條記錄包含“kxescore.exe”。步驟827,數(shù)據(jù)處理設(shè)備生成第五關(guān)聯(lián)識(shí)別規(guī)則或第六關(guān)聯(lián)識(shí)別規(guī)則,所述第五關(guān)聯(lián)識(shí)別規(guī)則包含所述第六關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)和由所述第三數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第五關(guān)聯(lián)識(shí)別規(guī)則包含所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)和由所述第三數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組。在本實(shí)施例中,第五關(guān)聯(lián)識(shí)別規(guī)則為“tcp168.3.56.120:1138華為安全衛(wèi)士”,第六關(guān)聯(lián)識(shí)別規(guī)則為“tcp192.168.1.211:6120華為安全衛(wèi)士”。步驟828,數(shù)據(jù)處理設(shè)備向網(wǎng)絡(luò)安全設(shè)備發(fā)送第五關(guān)聯(lián)識(shí)別規(guī)則或第六關(guān)聯(lián)識(shí)別規(guī)則。步驟829,數(shù)據(jù)處理設(shè)備將所述第三數(shù)據(jù)流的標(biāo)識(shí)和所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)攜帶在報(bào)文p22中發(fā)送給所述網(wǎng)絡(luò)安全設(shè)備。步驟830,網(wǎng)絡(luò)安全設(shè)備接收到報(bào)文p22后,根據(jù)報(bào)文p22生成第五關(guān)聯(lián)識(shí)別規(guī)則或第六關(guān)聯(lián)識(shí)別規(guī)則。所述第五關(guān)聯(lián)識(shí)別規(guī)則包含報(bào)文p22中攜帶的應(yīng)用的標(biāo)識(shí)和由報(bào)文p122中攜帶的第三數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組。第六關(guān)聯(lián)識(shí)別規(guī)則包含報(bào)文p22攜帶的應(yīng)用的標(biāo)識(shí)和由所述第三數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組。這里需要指出的是,如實(shí)施例一中附圖2中步驟212,以及實(shí)施例二中附圖8a步驟813,附圖8b中步驟827~步驟828,或步驟829~步驟830所示的根據(jù)識(shí)別記錄生成新的關(guān)聯(lián)識(shí)別規(guī)則的方式,在具體實(shí)施時(shí)為了減少后續(xù)因?yàn)殛P(guān)聯(lián)規(guī)則生成的誤識(shí)別的幾率,可以根據(jù)多條存在共性的識(shí)別記錄生成關(guān)聯(lián)識(shí)別規(guī)則,而不是得到一條識(shí)別記錄就立即生成關(guān)聯(lián)識(shí)別規(guī)則。舉例來說,數(shù)據(jù)處理設(shè)備在步驟826確定出一條正確的識(shí)別記錄時(shí),生成臨時(shí)關(guān)聯(lián)識(shí)別規(guī)則并存儲(chǔ),并為每條臨時(shí)關(guān)聯(lián)識(shí)別規(guī)則設(shè)置一個(gè)計(jì)數(shù)值,如表8所示。表8序號(hào)臨時(shí)關(guān)聯(lián)識(shí)別規(guī)則計(jì)數(shù)值1tcp168.3.56.120:1138華為安全衛(wèi)士12tcp192.168.1.211:6120華為安全衛(wèi)士13…………當(dāng)后續(xù)數(shù)據(jù)處理設(shè)備再次執(zhí)行附圖8b所示的流程,生成其他臨時(shí)關(guān)聯(lián)識(shí)別規(guī)則時(shí),在表8中存儲(chǔ) 臨時(shí)關(guān)聯(lián)識(shí)別規(guī)則時(shí),先查找表8中是否已存在相同的臨時(shí)關(guān)聯(lián)識(shí)別規(guī)則,若存在,則將該臨時(shí)關(guān)聯(lián)識(shí)別規(guī)則對(duì)應(yīng)的計(jì)數(shù)值加1,如果不存在,則在表8中新添加一條記錄,將計(jì)數(shù)值設(shè)置為1。數(shù)據(jù)處理設(shè)備設(shè)置一個(gè)閾值,例如10,當(dāng)表8中的一條記錄的計(jì)數(shù)值超過該閾值后,表明該臨時(shí)關(guān)聯(lián)識(shí)別規(guī)則具有普遍性,再將該臨時(shí)關(guān)聯(lián)識(shí)別規(guī)則作為可以用于網(wǎng)絡(luò)安全設(shè)備對(duì)后續(xù)接收到的數(shù)據(jù)流進(jìn)行應(yīng)用識(shí)別的正式的關(guān)聯(lián)識(shí)別規(guī)則。在本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識(shí)別方法中,數(shù)據(jù)處理設(shè)備接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識(shí)別記錄和來自于終端設(shè)備的第二識(shí)別記錄和對(duì)應(yīng)表,如果所述第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與所述第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同,在所述對(duì)應(yīng)表中查詢是否存在保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí)的關(guān)聯(lián)記錄,如果不存在,確定所述第一識(shí)別記錄為錯(cuò)誤識(shí)別記錄。通過上述過程,能夠發(fā)現(xiàn)網(wǎng)絡(luò)安全設(shè)備的錯(cuò)誤識(shí)別記錄,改善應(yīng)用識(shí)別的效果。本申請(qǐng)實(shí)施例還提供了一種數(shù)據(jù)處理設(shè)備,如附圖9a所示,該數(shù)據(jù)處理設(shè)備包括存儲(chǔ)器910、處理器920和網(wǎng)絡(luò)接口930,所述存儲(chǔ)器910、處理器920和網(wǎng)絡(luò)接口930通過總線940相互通信。存儲(chǔ)器910包括但不限于是隨機(jī)存取存儲(chǔ)器(ram)、只讀存儲(chǔ)器(rom)、可擦除可編程只讀存儲(chǔ)器(eprom或者快閃存儲(chǔ)器)、或便攜式只讀存儲(chǔ)器(cd-rom)。處理器920可以是一個(gè)或多個(gè)中央處理器(centralprocessingunit,簡(jiǎn)稱cpu),在處理器920是一個(gè)cpu的情況下,該cpu可以是單核cpu,也可以是多核cpu。網(wǎng)絡(luò)接口930可以是有線接口,例如光纖分布式數(shù)據(jù)接口(fiberdistributeddatainterface,簡(jiǎn)稱fddi)、千兆以太網(wǎng)(gigabitethernet,簡(jiǎn)稱ge)接口;網(wǎng)絡(luò)接口930也可以是無線接口。網(wǎng)絡(luò)接口930,用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識(shí)別記錄,所述第一識(shí)別記錄包含第一數(shù)據(jù)流的標(biāo)識(shí)和應(yīng)用的標(biāo)識(shí)。接收來自于終端設(shè)備的第二識(shí)別記錄和對(duì)應(yīng)表,所述第二識(shí)別記錄包含第二數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí),所述對(duì)應(yīng)表中的每條記錄保存一個(gè)應(yīng)用的標(biāo)識(shí)和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)。所述處理器920讀取所述存儲(chǔ)器910中存儲(chǔ)的程序代碼,執(zhí)行:如果所述第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與所述第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同,在所述對(duì)應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);如果不存在所述第一關(guān)聯(lián)記錄,確定所述第一識(shí)別記錄為錯(cuò)誤識(shí)別記錄??蛇x地,所述網(wǎng)絡(luò)接口930還用于如果所述第一識(shí)別紀(jì)錄中識(shí)別方式的標(biāo)識(shí)為關(guān)聯(lián)識(shí)別方式的標(biāo)識(shí),則在不存在所述第一關(guān)聯(lián)記錄時(shí),向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識(shí)別規(guī)則或第二關(guān)聯(lián)識(shí)別規(guī)則,所述第一關(guān)聯(lián)規(guī)則包括由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第二關(guān)聯(lián)識(shí)別規(guī)則包括由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組。數(shù)據(jù)處理設(shè)備還可以與網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備交互,識(shí)別出現(xiàn)有技術(shù)無法識(shí)別出的流量,可選地,所述網(wǎng)絡(luò)接口930還用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識(shí)別記錄,所述第三識(shí)別記錄包含第三數(shù)據(jù)流的標(biāo)識(shí)和未識(shí)別標(biāo)識(shí),所述未識(shí)別標(biāo)識(shí)用于表征所述網(wǎng)絡(luò)安全設(shè)備未識(shí)別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用;接收來自于終端設(shè)備的第四識(shí)別記錄,所述第四識(shí)別記錄包含第四數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí)。所述處理器920,還用于確定所述第三識(shí)別記錄中包含的第三數(shù)據(jù)流的標(biāo)識(shí)與所述第四識(shí)別記錄中包含的第四數(shù)據(jù)流的標(biāo)識(shí)是否相同,如果所述第三識(shí)別記錄中包含的第三數(shù)據(jù)流的標(biāo)識(shí)與所述第四識(shí)別記錄中包含的第四數(shù)據(jù)流的標(biāo)識(shí)相同,則在所述對(duì)應(yīng)表中查詢是否存在第三關(guān)聯(lián)記錄,所述第三關(guān)聯(lián)記 錄中保存有所述第四識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);所述網(wǎng)絡(luò)接口930,還用于如果所述處理器確定存在所述第三關(guān)聯(lián)記錄,將所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)和所述第三數(shù)據(jù)流的標(biāo)識(shí)發(fā)送給所述網(wǎng)絡(luò)安全設(shè)備。本申請(qǐng)實(shí)施例還提供了一種數(shù)據(jù)處理設(shè)備,如附圖9b所示。該終端設(shè)備包括接收模塊970、處理模塊980。需要說明的是這些模塊為功能相對(duì)獨(dú)立的邏輯模塊,既可以是終端設(shè)備中的cpu讀取存儲(chǔ)中的軟件代碼并運(yùn)行后生成的,也可以是由硬件組件來實(shí)現(xiàn)的。具體地:接收模塊970,用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識(shí)別記錄,所述第一識(shí)別記錄包含第一數(shù)據(jù)流的標(biāo)識(shí)和應(yīng)用的標(biāo)識(shí)。接收來自于終端設(shè)備的第二識(shí)別記錄和對(duì)應(yīng)表,所述第二識(shí)別記錄包含第二數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí),所述對(duì)應(yīng)表中的每條記錄保存一個(gè)應(yīng)用的標(biāo)識(shí)和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識(shí)。處理模塊980,用于如果接收模塊970接收的第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同,在對(duì)應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí);如果不存在第一關(guān)聯(lián)記錄,確定第一識(shí)別記錄為錯(cuò)誤識(shí)別記錄??蛇x地,附圖9b所示的數(shù)據(jù)處理設(shè)備還包括發(fā)送模塊990,用于如果所述第一識(shí)別紀(jì)錄中識(shí)別方式的標(biāo)識(shí)為關(guān)聯(lián)識(shí)別方式的標(biāo)識(shí),則在不存在所述第一關(guān)聯(lián)記錄時(shí),向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識(shí)別規(guī)則或第二關(guān)聯(lián)識(shí)別規(guī)則,所述第一關(guān)聯(lián)規(guī)則包括由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號(hào)組成的三元組,所述第二關(guān)聯(lián)識(shí)別規(guī)則包括由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號(hào)組成的三元組。數(shù)據(jù)處理設(shè)備還可以與網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備交互,識(shí)別出現(xiàn)有技術(shù)無法識(shí)別出的流量,可選地,接收模塊970還用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識(shí)別記錄,所述第三識(shí)別記錄包含第三數(shù)據(jù)流的標(biāo)識(shí)和未識(shí)別標(biāo)識(shí),所述未識(shí)別標(biāo)識(shí)用于表征所述網(wǎng)絡(luò)安全設(shè)備未識(shí)別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用;接收來自于終端設(shè)備的第四識(shí)別記錄,所述第四識(shí)別記錄包含第四數(shù)據(jù)流的標(biāo)識(shí)和進(jìn)程的標(biāo)識(shí)。所述處理模塊980,還用于確定所述第三識(shí)別記錄中包含的第三數(shù)據(jù)流的標(biāo)識(shí)與所述第四識(shí)別記錄中包含的第四數(shù)據(jù)流的標(biāo)識(shí)是否相同,如果所述第三識(shí)別記錄中包含的第三數(shù)據(jù)流的標(biāo)識(shí)與所述第四識(shí)別記錄中包含的第四數(shù)據(jù)流的標(biāo)識(shí)相同,則在所述對(duì)應(yīng)表中查詢是否存在第三關(guān)聯(lián)記錄,所述第三關(guān)聯(lián)記錄中保存有所述第四識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí)。所述發(fā)送模塊990,還用于如果處理模塊980確定存在所述第三關(guān)聯(lián)記錄,將所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識(shí)和所述第三數(shù)據(jù)流的標(biāo)識(shí)發(fā)送給所述網(wǎng)絡(luò)安全設(shè)備。附圖9a和9b所提供的數(shù)據(jù)處理設(shè)備可以作為附圖7中的數(shù)據(jù)處理設(shè)備730。數(shù)據(jù)處理設(shè)備的其他附加功能,以及與網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備的詳細(xì)交互過程請(qǐng)參照附圖8a、8b以及相關(guān)描述,在這里不再重復(fù)。本申請(qǐng)實(shí)施例提供的數(shù)據(jù)處理設(shè)備接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識(shí)別記錄和來自于終端設(shè)備的第二識(shí)別記錄和對(duì)應(yīng)表,如果所述第一識(shí)別記錄中包含的第一數(shù)據(jù)流的標(biāo)識(shí)與所述第二識(shí)別記錄中包含的第二數(shù)據(jù)流的標(biāo)識(shí)相同,在所述對(duì)應(yīng)表中查詢是否存在保存有第一識(shí)別記錄中應(yīng)用的標(biāo)識(shí)和第二識(shí)別記錄中包含的進(jìn)程的標(biāo)識(shí)的關(guān)聯(lián)記錄,如果不存在,確定所述第一識(shí)別記錄為錯(cuò)誤識(shí)別記錄。通過上述過程,能夠發(fā)現(xiàn)網(wǎng)絡(luò)安全設(shè)備的錯(cuò)誤識(shí)別記錄,改善應(yīng)用識(shí)別的效果。顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些 改動(dòng)和變型在內(nèi)。當(dāng)前第1頁12當(dāng)前第1頁12