本申請涉及計算機(jī)及網(wǎng)絡(luò)通信
技術(shù)領(lǐng)域:
:���,尤其涉及一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法及一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別裝置���。
背景技術(shù):
::隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展�����,基于互聯(lián)網(wǎng)技術(shù)實現(xiàn)的包括服務(wù)�,游戲在內(nèi)各種應(yīng)用也日益豐富。為了滿足企業(yè)或網(wǎng)絡(luò)監(jiān)管部門的各種需求�,如為了實現(xiàn)對用戶上網(wǎng)行為的管理控制,或者通過流量統(tǒng)計對當(dāng)前熱門應(yīng)用進(jìn)行排名��,使得流量識別成為了網(wǎng)絡(luò)安全設(shè)備的一項基本功能���。其中網(wǎng)絡(luò)安全設(shè)備包括安全網(wǎng)關(guān)���、防火墻���、深度報文檢測(deeppacketinspection,dpi)設(shè)備等具有流量分析和管理功能的報文轉(zhuǎn)發(fā)功能的設(shè)備�。流量識別技術(shù)分為協(xié)議識別技術(shù)和應(yīng)用識別技術(shù)���。顧名思義��,協(xié)議識別技術(shù)是指網(wǎng)絡(luò)安全設(shè)備確定流經(jīng)本設(shè)備的流量中各數(shù)據(jù)流所屬的協(xié)議類型���,并進(jìn)一步可以確定不同協(xié)議類型的數(shù)據(jù)流在總流量中所占的比例��。本申請中的“應(yīng)用”是指提供特定功能、且具有網(wǎng)絡(luò)訪問和報文處理能力的應(yīng)用軟件。當(dāng)這類應(yīng)用軟件在一個終端設(shè)備上運(yùn)行之后�,能夠開啟終端設(shè)備上的網(wǎng)絡(luò)接口,通過開啟的接口與網(wǎng)絡(luò)中的另一終端設(shè)備建立連接�����,并通過建立的連接傳輸一系列報文��,繼而通過對接收到的報文進(jìn)行處理向用戶提供特定的功能��。例如���,網(wǎng)絡(luò)瀏覽器internetexplorer(ie)��,即時通信軟件騰訊qq��,文件傳輸協(xié)議(filetransferprotocal,ftp)客戶端filezilla等���。由于應(yīng)用是運(yùn)行在協(xié)議之上的�,換句話說,同一種協(xié)議上可以運(yùn)行多種不同的應(yīng)用�����,例如點(diǎn)對點(diǎn)(peertopeer,p2p)客戶端��,網(wǎng)頁瀏覽器都是基于超文本傳輸協(xié)議(hypertexttransferprotocol���,http)協(xié)議來實現(xiàn)的�����。如果只是基于http協(xié)議進(jìn)行流量識別和管控�,那么無法區(qū)分一個數(shù)據(jù)流是p2p客戶端發(fā)送的,還是網(wǎng)絡(luò)瀏覽器發(fā)送的���。如果能夠通過應(yīng)用識別技術(shù)區(qū)分出http協(xié)議的數(shù)據(jù)流是哪種應(yīng)用發(fā)送的��,那么就可以知曉用戶正在進(jìn)行的是與工作相關(guān)的網(wǎng)頁訪問活動��,還是與工作無關(guān)的網(wǎng)絡(luò)游戲�����,進(jìn)而阻斷網(wǎng)絡(luò)游戲造成的流量����。因此與傳統(tǒng)的協(xié)議識別技術(shù)相比,通過應(yīng)用識別技術(shù)可以獲得更為精細(xì)的管理控制效果?���,F(xiàn)有應(yīng)用識別技術(shù)主要包括基于特征的識別技術(shù)、啟發(fā)式識別技術(shù)��、關(guān)聯(lián)識別技術(shù)�����。其中�,基于特征的識別技術(shù)是指通過應(yīng)用所特有的報文格式設(shè)計上的特征,如特有的關(guān)鍵字����、或者固定位置的字段內(nèi)容來識別發(fā)送該報文的應(yīng)用。例如,網(wǎng)絡(luò)安全設(shè)備接收到報文后����,查找該報文中是否攜帶關(guān)鍵字“ppliveva”,如果攜帶有關(guān)鍵字“ppliveva”���,則說明發(fā)送該報文是應(yīng)用是網(wǎng)絡(luò)電視pptv����。啟發(fā)式識別技術(shù)是指通過分析一種應(yīng)用所發(fā)送的報文長度��、報文內(nèi)容中字符的出現(xiàn)規(guī)律���、通信雙方的交互規(guī)律、報文的發(fā)送間隔的等現(xiàn)象����,獲得能夠?qū)⑦@種應(yīng)用與其他應(yīng)用相區(qū)分的統(tǒng)計學(xué)意義上的規(guī)則,通過這種規(guī)則來識別發(fā)送報文的應(yīng)用��。啟發(fā)式識別技術(shù)對經(jīng)過加密的報文�����、或者使用私有未公開協(xié)議發(fā)送的報文有一定的識別效果。然而由于規(guī)則獲取方式是通過統(tǒng)計分析而得到的���,因此存在漏報率和誤報率較高的問題���。關(guān)聯(lián)識別技術(shù)是指將報文的ip地址、端口號和協(xié)議標(biāo)識�����,與包含有ip地址���、端口號��、協(xié)議標(biāo)識與 應(yīng)用的對應(yīng)關(guān)系的關(guān)聯(lián)識別規(guī)則進(jìn)行匹配��,對發(fā)送報文的應(yīng)用進(jìn)行識別?��,F(xiàn)有應(yīng)用識別技術(shù)所依賴的特征、規(guī)則都是由人工對收集到的大量報文進(jìn)行分析得到的����。網(wǎng)絡(luò)安全設(shè)備廠商、或與網(wǎng)絡(luò)安全設(shè)備廠商合作的第三方機(jī)構(gòu)將包括特征�����、規(guī)則在內(nèi)的更新規(guī)則庫上傳至升級網(wǎng)站,網(wǎng)絡(luò)安全設(shè)備從升級網(wǎng)站中獲取更新規(guī)則庫����,從而保證網(wǎng)絡(luò)安全設(shè)備的識別能力。然而即便如此���,由于規(guī)則庫升級不及時�����、啟發(fā)式識別技術(shù)識別精確性不高等因素�����,現(xiàn)有應(yīng)用識別技術(shù)仍然無法識別出相當(dāng)比例的網(wǎng)絡(luò)流量,或者存在相當(dāng)比例的網(wǎng)絡(luò)流量得到錯誤的識別結(jié)果����。技術(shù)實現(xiàn)要素:本申請實施例提供一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法,用以改善應(yīng)用識別技術(shù)的識別效果�����。本申請實施例提供的技術(shù)方案如下:第一方面,提供了一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法�,所述方法由終端設(shè)備執(zhí)行,其特征在于����,所述終端設(shè)備中的第一對應(yīng)表以記錄的方式保存有所述終端中運(yùn)行的進(jìn)程的標(biāo)識和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識的對應(yīng)關(guān)系,第二對應(yīng)表以記錄的方式保存有應(yīng)用的標(biāo)識和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識的第二對應(yīng)關(guān)系��,所述數(shù)據(jù)流的標(biāo)識為由源地址�、源端口、目的地址���、目的端口和協(xié)議標(biāo)識組成的五元組��,所述方法包括:接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識�����;所述終端設(shè)備在所述第一對應(yīng)表中�����,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識的第一記錄����,獲取所述第一記錄中的進(jìn)程的標(biāo)識;所述終端設(shè)備在所述第二對應(yīng)表中���,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識的第二記錄��,從所述第二記錄中獲取應(yīng)用的標(biāo)識���;向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述應(yīng)用的標(biāo)識。本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法�����,終端設(shè)備根據(jù)網(wǎng)絡(luò)安全設(shè)備發(fā)送的數(shù)據(jù)流的標(biāo)識�,查找本地保存的對應(yīng)表后,向網(wǎng)絡(luò)安全設(shè)備反饋應(yīng)用的標(biāo)識���,從而協(xié)助網(wǎng)絡(luò)安全設(shè)備確定數(shù)據(jù)流的應(yīng)用識別結(jié)果����。相比于現(xiàn)有技術(shù)�,上述系統(tǒng)通過網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間的交互���,能夠識別出更多的應(yīng)用���,從而降低了未識別流量在總流量中所占的比例�����,改善了網(wǎng)絡(luò)流量的識別效果��。終端設(shè)備可以通過以下方式來獲得和更新第一對應(yīng)表���,以保證第一對應(yīng)表的實時性,減少占用的存儲空間���??蛇x地�����,所述終端設(shè)備通過以下步驟獲得所述第一對應(yīng)表:所述終端設(shè)備通過操作系統(tǒng)提供的接口�����,獲得所述終端設(shè)備中運(yùn)行的至少一個進(jìn)程的標(biāo)識���;針對獲得的每個進(jìn)程的標(biāo)識��,所述終端設(shè)備獲得該進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識�,生成一個包含所述進(jìn)程的標(biāo)識和所述數(shù)據(jù)流的標(biāo)識的記錄;并將所述記錄保存在所述第一對應(yīng)表中�。可選地�,所述終端設(shè)備通過以下步驟獲得所述第一對應(yīng)表:所述終端設(shè)備通過鉤子函數(shù)獲得所述操作系統(tǒng)創(chuàng)建進(jìn)程的事件;從所述創(chuàng)建進(jìn)程的事件中獲得新創(chuàng)建的進(jìn)程的標(biāo)識����;獲得該新創(chuàng)建進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識,生成一個包含所述新創(chuàng)建進(jìn)程的標(biāo)識和所述新創(chuàng)建進(jìn)程創(chuàng)建的所述數(shù)據(jù)流的標(biāo)識的記錄���;并將所述記錄保存在所述第一對應(yīng)表中���;所述終端設(shè)備獲取第一對應(yīng)表,還包括:所述終端設(shè)備通過鉤子函數(shù)獲得所述操作系統(tǒng)退出進(jìn)程的事件��;從所述退出進(jìn)程的事件中獲得退出進(jìn)程的標(biāo)識����,從所述第一對應(yīng)表中刪除包含所述退出進(jìn)程的標(biāo)識 的記錄??蛇x地,所述第一對應(yīng)表中的記錄還包含數(shù)據(jù)流的最后活動時間����;所述方法還包括:所述終端設(shè)備確定所述第一對應(yīng)表中的過期記錄,所述過期記錄是指包括的數(shù)據(jù)流的最后活動時間和當(dāng)前時間之間的時間間隔超過預(yù)定時間間隔的記錄��;刪除所述過期記錄��?���?蛇x地,所述終端設(shè)備獲取所述第一對應(yīng)表之后���,還包括:所述終端設(shè)備通過鉤子函數(shù)獲得所述終端設(shè)備傳輸?shù)膱笪?��;從獲得的報文中獲得報文所屬數(shù)據(jù)流的標(biāo)識;將所述第一對應(yīng)表中包含所述報文所屬數(shù)據(jù)流的標(biāo)識的記錄中數(shù)據(jù)流的最后活動時間更新為當(dāng)前時間��?����?蛇x地����,所述終端設(shè)備獲取所述第一對應(yīng)表之后���,還包括:所述終端設(shè)備通過鉤子函數(shù)獲得所述終端設(shè)備傳輸?shù)膱笪模粡墨@得的報文中獲得報文狀態(tài)標(biāo)識和報文所屬數(shù)據(jù)流的標(biāo)識�����;如果所述報文狀態(tài)標(biāo)識為fin����,則刪除所述第一對應(yīng)表中包含所述報文所屬數(shù)據(jù)流的標(biāo)識的記錄。為了獲得完整的數(shù)據(jù)流����,以便進(jìn)行規(guī)制提取等后續(xù)分析,可選地���,所述獲取所述第一記錄中的進(jìn)程的標(biāo)識之后�,還包括:為所述進(jìn)程的標(biāo)識設(shè)置報文采集標(biāo)識��,所述報文采集標(biāo)識用于指示所述終端設(shè)備在通過操作系統(tǒng)的接口捕獲所述進(jìn)程傳輸?shù)膱笪暮?�,獲得并存儲所述進(jìn)程后續(xù)傳輸?shù)耐暾麛?shù)據(jù)流��。第二方面���,提供了一種終端設(shè)備��,所述終端設(shè)備包括存儲器、處理器和網(wǎng)絡(luò)接口�����,所述存儲器���、處理器和網(wǎng)絡(luò)接口通過總線相互通信���;所述存儲器存儲程序代碼、第一對應(yīng)表和第二對應(yīng)表�����,所述第一對應(yīng)表以記錄的方式保存有所述終端中運(yùn)行的進(jìn)程的標(biāo)識和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識的對應(yīng)關(guān)系��,第二對應(yīng)表以記錄的方式保存有應(yīng)用的標(biāo)識和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識的第二對應(yīng)關(guān)系�����,所述數(shù)據(jù)流的標(biāo)識為由源地址�����、源端口�、目的地址�、目的端口和協(xié)議標(biāo)識組成的五元組����;所述網(wǎng)絡(luò)接口,用于接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識���;所述處理器讀取所述存儲器中存儲的程序代碼���,執(zhí)行:在所述第一對應(yīng)表中,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識的第一記錄�����,獲取所述第一記錄中的進(jìn)程的標(biāo)識�;在所述第二對應(yīng)表中,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識的第二記錄����,從所述第二記錄中獲取應(yīng)用的標(biāo)識;所述網(wǎng)絡(luò)接口���,還用于向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述處理器獲取的應(yīng)用的標(biāo)識���?���?蛇x地,所述處理器���,還用于通過以下操作獲得所述第一對應(yīng)表:通過操作系統(tǒng)提供的接口�,獲得所述終端設(shè)備中運(yùn)行的至少一個進(jìn)程的標(biāo)識���;針對獲得的每個進(jìn)程的標(biāo)識���,所述終端設(shè)備獲得該進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識,生成一個包含所述進(jìn)程的標(biāo)識和所述數(shù)據(jù)流的標(biāo)識的記錄���;并將所述記錄保存在所述第一對應(yīng)表中�����?��?蛇x地�,所述處理器���,還用于通過以下操作獲得所述第一對應(yīng)表:通過鉤子函數(shù)獲得所述操作系統(tǒng)創(chuàng)建進(jìn)程的事件�����;從所述創(chuàng)建進(jìn)程的事件中獲得新創(chuàng)建的進(jìn)程的標(biāo)識�;獲得該新創(chuàng)建進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識��,生成一個包含所述新創(chuàng)建進(jìn)程的標(biāo)識和所述新創(chuàng)建進(jìn)程創(chuàng)建的所述數(shù)據(jù)流的標(biāo)識的記錄���;并將所述記錄保存在所述第一對應(yīng)表中����;以及通過鉤子函數(shù)獲得所述操作系統(tǒng)退出進(jìn)程的事件�����;從所述退出進(jìn)程的事件中獲得退出進(jìn)程的標(biāo)識, 從所述第一對應(yīng)表中刪除包含所述退出進(jìn)程的標(biāo)識的記錄��?��?蛇x地���,所述第一對應(yīng)表中的記錄還包含數(shù)據(jù)流的最后活動時間;所述處理器�����,還用于確定所述第一對應(yīng)表中的過期記錄�,所述過期記錄是指包括的數(shù)據(jù)流的最后活動時間和當(dāng)前時間之間的時間間隔超過預(yù)定時間間隔的記錄�����;刪除所述過期記錄�����??蛇x地����,所述處理器�,還用于獲取所述第一對應(yīng)表之后,所述終端設(shè)備通過鉤子函數(shù)獲得所述終端設(shè)備傳輸?shù)膱笪?;從獲得的報文中獲得報文所屬數(shù)據(jù)流的標(biāo)識;將所述第一對應(yīng)表中包含所述報文所屬數(shù)據(jù)流的標(biāo)識的記錄中數(shù)據(jù)流的最后活動時間更新為當(dāng)前時間����。可選地��,所述處理器�����,還用于獲取所述第一對應(yīng)表之后���,所述終端設(shè)備通過鉤子函數(shù)獲得所述終端設(shè)備傳輸?shù)膱笪?;從獲得的報文中獲得報文狀態(tài)標(biāo)識和報文所屬數(shù)據(jù)流的標(biāo)識�;如果所述報文狀態(tài)標(biāo)識為fin,則刪除所述第一對應(yīng)表中包含所述報文所屬數(shù)據(jù)流的標(biāo)識的記錄���。第三方面��,提供了一種網(wǎng)絡(luò)安全設(shè)備��,包括存儲器��、處理器和網(wǎng)絡(luò)接口�����,所述存儲器��、處理器和網(wǎng)絡(luò)接口通過總線相互通信�����;所述網(wǎng)絡(luò)接口�����,用于接收第一數(shù)據(jù)流����;所述處理器�,用于讀取所述存儲器中存儲的程序代碼,執(zhí)行:如果無法識別出發(fā)送所述第一數(shù)據(jù)流的應(yīng)用����,則獲取所述第一數(shù)據(jù)流的標(biāo)識���,所述數(shù)據(jù)流的標(biāo)識為由源地址、源端口���、目的地址�����、目的端口和協(xié)議標(biāo)識組成的五元組�;指示所述網(wǎng)絡(luò)接口根據(jù)所述第一數(shù)據(jù)流的標(biāo)識中的源地址或目的地址���,向終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識���,所述終端設(shè)備的地址為所述第一數(shù)據(jù)流的標(biāo)識中的源地址或目的地址;所述網(wǎng)絡(luò)接口����,還用于接收所述終端設(shè)備發(fā)送的應(yīng)用的標(biāo)識,確定接收到的所述應(yīng)用的標(biāo)識為發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識�。本申請實施例提供的網(wǎng)絡(luò)安全設(shè)備通過與終端設(shè)備之間的交互,能夠識別出更多的應(yīng)用,從而降低了未識別流量在總流量中所占的比例���,改善了網(wǎng)絡(luò)流量的識別效果�����。第四方面�,提供了一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng)��,其特征在于�,包括網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備,其中:所述網(wǎng)絡(luò)安全設(shè)備�,用于接收第一數(shù)據(jù)流,并獲取所述第一數(shù)據(jù)流的標(biāo)識���,所述數(shù)據(jù)流的標(biāo)識為由源地址���、源端口、目的地址�、目的端口和協(xié)議標(biāo)識組成的五元組;根據(jù)所述第一數(shù)據(jù)流的標(biāo)識中的源地址或目的地址����,向所述終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識,所述終端設(shè)備的地址為所述第一數(shù)據(jù)流的標(biāo)識中的源地址或目的地址�����;接收所述終端設(shè)備發(fā)送的應(yīng)用的標(biāo)識����,確定接收到的所述應(yīng)用的標(biāo)識為發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識;所述終端設(shè)備�,存儲有第一對應(yīng)表和第二對應(yīng)表,所述第一對應(yīng)表保存有所述終端中運(yùn)行的進(jìn)程的標(biāo)識和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識的對應(yīng)關(guān)系����,第二對應(yīng)表保存有應(yīng)用的標(biāo)識和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識的第二對應(yīng)關(guān)系,所述數(shù)據(jù)流的標(biāo)識為由源地址����、源端口、目的地址��、目的端口和協(xié)議標(biāo)識組成的五元組����,所述終端設(shè)備用于接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識;在所述第一對應(yīng)表中��,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識的第一記錄,獲取所述第一記錄中的進(jìn)程的標(biāo)識�;在所述第二對應(yīng)表中,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識的第二記錄���,從所述第二記錄中獲取應(yīng)用的標(biāo)識���;向所述網(wǎng)絡(luò)安 全設(shè)備發(fā)送所述應(yīng)用的標(biāo)識。本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng)中�,網(wǎng)絡(luò)安全設(shè)備根據(jù)終端設(shè)備的反饋,確定數(shù)據(jù)流的應(yīng)用識別結(jié)果�����。相比于現(xiàn)有技術(shù)�����,上述系統(tǒng)通過網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間的交互�,能夠識別出更多的應(yīng)用,從而降低了未識別流量在總流量中所占的比例�����,改善了網(wǎng)絡(luò)流量的識別效果��。為了提高網(wǎng)絡(luò)安全設(shè)備中后續(xù)數(shù)據(jù)流的識別成功率,網(wǎng)絡(luò)安全設(shè)備還可以根據(jù)終端的反饋生成新的關(guān)聯(lián)規(guī)制���,可選地,所述網(wǎng)絡(luò)安全設(shè)備�,還用于生成第一關(guān)聯(lián)識別規(guī)則和第二關(guān)聯(lián)識別規(guī)則,所述第一關(guān)聯(lián)識別規(guī)則包含所述應(yīng)用的標(biāo)識和由所述第一數(shù)據(jù)流的目的地址��、目的端口和協(xié)議號組成的三元組����,所述第二關(guān)聯(lián)識別規(guī)則包含所述應(yīng)用的標(biāo)識和由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號組成的三元組����;接收第二數(shù)據(jù)流,獲取所述第二數(shù)據(jù)流的目的三元組和源三元組中的至少一個���,所述第二數(shù)據(jù)流的目的三元組為由所述第二數(shù)據(jù)流的目的地址��、目的端口和協(xié)議號組成的三元組�,所述第二數(shù)據(jù)流的源三元組為所述第二數(shù)據(jù)流的源地址��、源端口和協(xié)議號組成的三元組���;如果所述獲取的三元組與所述第一關(guān)聯(lián)識別規(guī)則和所述第二關(guān)聯(lián)識別規(guī)則中任意一個關(guān)聯(lián)識別規(guī)則包含的三元組一致���,則確定發(fā)送所述第二數(shù)據(jù)流的應(yīng)用的標(biāo)識為所述任意一個關(guān)聯(lián)識別規(guī)則包含的應(yīng)用的標(biāo)識��。第五方面�,提供了一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法���,包括:接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識別記錄�����,所述第一識別記錄包含第一數(shù)據(jù)流的標(biāo)識和應(yīng)用的標(biāo)識�,所述數(shù)據(jù)流的標(biāo)識為由源地址�����、源端口�、目的地址、目的端口和協(xié)議標(biāo)識組成的五元組�;接收來自于終端設(shè)備的第二識別記錄和對應(yīng)表,所述第二識別記錄包含第二數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識��,所述對應(yīng)表中的每條記錄保存一個應(yīng)用的標(biāo)識與所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識�����,也就是說通過對應(yīng)表中的記錄保存應(yīng)用的標(biāo)識與進(jìn)程的標(biāo)識之間的對應(yīng)關(guān)系;如果所述第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與所述第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同���,在所述對應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識�����;如果不存在所述第一關(guān)聯(lián)記錄�����,確定所述第一識別記錄為錯誤識別記錄����。本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法,數(shù)據(jù)處理設(shè)備通過比較終端設(shè)備和網(wǎng)絡(luò)安全設(shè)備的識別記錄����,能夠識別出現(xiàn)有技術(shù)難以發(fā)現(xiàn)的網(wǎng)絡(luò)安全設(shè)備的錯誤識別記錄,改善了網(wǎng)絡(luò)流量的識別效果���??蛇x地,如果不存在所述第一關(guān)聯(lián)記錄�,所述方法還包括:向所述終端設(shè)備發(fā)送所述第二識別記錄中包含的進(jìn)程的標(biāo)識,以使所述終端設(shè)備為所述進(jìn)程的標(biāo)識設(shè)置報文采集標(biāo)識���,所述報文采集標(biāo)識于指示所述終端設(shè)備在通過操作系統(tǒng)的接口捕獲所述進(jìn)程傳輸?shù)膱笪暮?��,獲得并存儲所述進(jìn)程后續(xù)傳輸?shù)耐暾麛?shù)據(jù)流。在發(fā)現(xiàn)錯誤識別記錄后�����,為了避免后續(xù)由于關(guān)聯(lián)規(guī)則造成相同的錯誤識別記錄�����,數(shù)據(jù)處理設(shè)備還可以通知網(wǎng)絡(luò)安全設(shè)備刪除造成錯誤識別的關(guān)聯(lián)識別規(guī)則�。可選地�,所述第一識別記錄中還包含識別方式的標(biāo)識,所述識別方式包括關(guān)聯(lián)識別���、特征識別和啟發(fā)式識別�����;如果所述第一識別紀(jì)錄中識別方式的標(biāo)識為關(guān)聯(lián)識別方式的標(biāo)識���,則在不存在所述第一關(guān)聯(lián)記錄時����,所述方法還包括:向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息���,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識別規(guī) 則或第二關(guān)聯(lián)識別規(guī)則,所述第一關(guān)聯(lián)規(guī)則包括由所述第一數(shù)據(jù)流的目的地址�����、目的端口和協(xié)議號組成的三元組���,所述第二關(guān)聯(lián)識別規(guī)則包括由所述第一數(shù)據(jù)流的源地址���、源端口和協(xié)議號組成的三元組。在發(fā)現(xiàn)錯誤識別記錄后�,為了提高后續(xù)識別的成功率,數(shù)據(jù)處理設(shè)備還可以通知網(wǎng)絡(luò)安全設(shè)備生成正確的關(guān)聯(lián)識別規(guī)則��?���?蛇x地�����,如果不存在所述第一關(guān)聯(lián)記錄���,所述方法還包括:在所述對應(yīng)表中查詢是否存在第二關(guān)聯(lián)記錄,所述第二關(guān)聯(lián)記錄中保存有第二識別記錄中包含的進(jìn)程的標(biāo)識�,以及與之相應(yīng)的應(yīng)用的標(biāo)識;如果存在所述第二關(guān)聯(lián)記錄��,生成第三關(guān)聯(lián)規(guī)則和第四關(guān)聯(lián)規(guī)則���,所述第三關(guān)聯(lián)規(guī)則包括所述第二關(guān)聯(lián)記錄中的應(yīng)用的標(biāo)識和由所述第一數(shù)據(jù)流的目的地址�����、目的端口和協(xié)議號組成的三元組�����,所述第四關(guān)聯(lián)規(guī)則包括第二關(guān)聯(lián)記錄中的應(yīng)用的標(biāo)識和由所述第一數(shù)據(jù)流的源地址�、源端口和協(xié)議號組成的三元組;向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述第三關(guān)聯(lián)識別規(guī)則和第四關(guān)聯(lián)識別規(guī)則�����?��?蛇x地��,還包括:接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識別記錄�,所述第三識別記錄包含第三數(shù)據(jù)流的標(biāo)識和未識別標(biāo)識��,所述未識別標(biāo)識用于表征所述網(wǎng)絡(luò)安全設(shè)備未識別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用���;接收來自于終端設(shè)備的第四識別記錄,所述第四識別記錄包含第四數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識�;如果所述第三識別記錄中包含的第三數(shù)據(jù)流的標(biāo)識與所述第四識別記錄中包含的第四數(shù)據(jù)流的標(biāo)識相同,則在所述對應(yīng)表中查詢是否存在第二關(guān)聯(lián)記錄���,所述第三關(guān)聯(lián)記錄中保存有所述第四識別記錄中包含的進(jìn)程的標(biāo)識�����;如果存在所述第三關(guān)聯(lián)記錄�����,則生成第五關(guān)聯(lián)識別規(guī)則和第六關(guān)聯(lián)識別規(guī)則�,所述第五關(guān)聯(lián)識別規(guī)則包含所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識和由所述第三數(shù)據(jù)流的目的地址、目的端口和協(xié)議號組成的三元組�����,所述第六關(guān)聯(lián)識別規(guī)則包含所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識和由所述第三數(shù)據(jù)流的源地址��、源端口和協(xié)議號組成的三元組�����;向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述第五關(guān)聯(lián)識別規(guī)則和第六關(guān)聯(lián)識別規(guī)則����。可選地�,還包括:接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識別記錄,所述第三識別記錄包含第三數(shù)據(jù)流的標(biāo)識和未識別標(biāo)識�����,所述未識別標(biāo)識用于表征所述網(wǎng)絡(luò)安全設(shè)備未識別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用����;接收來自于終端設(shè)備的第四識別記錄�����,所述第四識別記錄包含第四數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識�;如果所述第三識別記錄中包含的第三數(shù)據(jù)流的標(biāo)識與所述第四識別記錄中包含的第四數(shù)據(jù)流的標(biāo)識相同���,則在所述對應(yīng)表中查詢是否存在第三關(guān)聯(lián)記錄�����,所述第三關(guān)聯(lián)記錄中保存有所述第四識別記錄中包含的進(jìn)程的標(biāo)識����;如果存在所述第三關(guān)聯(lián)記錄���,將所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識和所述第三數(shù)據(jù)流的標(biāo)識發(fā)送給所述網(wǎng)絡(luò)安全設(shè)備。第六方面�,提供了一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法,包括:接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識別記錄����,所述第一識別記錄包含第一數(shù)據(jù)流的標(biāo)識����、應(yīng)用的標(biāo)識和識別方式的標(biāo)識��,所述數(shù)據(jù)流的標(biāo)識為由源地址���、源端口����、目的地址�、目的端口和協(xié)議標(biāo)識組成的五元組�,所述識別方式包括關(guān)聯(lián)識別、特征識別和啟發(fā)式識別���;接收來自于終端設(shè)備的第二識別記錄和對應(yīng)表����,所述第二識別記錄包含第二數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識,所述對應(yīng)表中的每條記錄保存一個應(yīng)用的標(biāo)識與所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識的對應(yīng)關(guān)系���;如果所述第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與所述第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同�����,在所述對應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識;如果所述第一識別紀(jì)錄中識別方式的標(biāo)識為關(guān)聯(lián)識別方式的標(biāo)識���,則在不存在所述第一關(guān)聯(lián)記錄時�����,向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息����,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識別規(guī)則或第二關(guān)聯(lián)識別規(guī)則�,所述第一關(guān)聯(lián)規(guī)則包括由所述第一數(shù)據(jù)流的目的地址���、目的端口和協(xié)議號組成的三元組,所述第二關(guān)聯(lián)識別規(guī)則包括由所述第一數(shù)據(jù)流的源地址�、源端口和協(xié)議號組成的三元組。本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法,數(shù)據(jù)處理設(shè)備在發(fā)現(xiàn)錯誤識別記錄后�,為了避免后續(xù)由于關(guān)聯(lián)規(guī)則造成相同的錯誤識別記錄�����,數(shù)據(jù)處理設(shè)備還可以通知網(wǎng)絡(luò)安全設(shè)備刪除造成錯誤識別的關(guān)聯(lián)識別規(guī)則����。第七方面�����,提供了一種數(shù)據(jù)處理設(shè)備,所述處理設(shè)備包括存儲器���、處理器和網(wǎng)絡(luò)接口����,所述存儲器�、處理器和網(wǎng)絡(luò)接口通過總線相互通信�����;所述存儲器存儲程序代碼��;所述網(wǎng)絡(luò)接口���,用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識別記錄,所述第一識別記錄包含第一數(shù)據(jù)流的標(biāo)識和應(yīng)用的標(biāo)識��,所述數(shù)據(jù)流的標(biāo)識為由源地址��、源端口�����、目的地址、目的端口和協(xié)議標(biāo)識組成的五元組���;接收來自于終端設(shè)備的第二識別記錄和對應(yīng)表��,所述第二識別記錄包含第二數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識�,所述對應(yīng)表中的每條記錄保存一個應(yīng)用的標(biāo)識和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識��;所述處理器讀取所述存儲器中存儲的程序代碼����,執(zhí)行:如果所述第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與所述第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同,在所述對應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄�,所述第一關(guān)聯(lián)記錄中保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識;如果不存在所述第一關(guān)聯(lián)記錄�,確定所述第一識別記錄為錯誤識別記錄?��?蛇x地����,所述第一識別紀(jì)錄中還包含識別方式的標(biāo)識����,所述識別方式包括關(guān)聯(lián)識別����、特征識別和啟發(fā)式識別��;所述網(wǎng)絡(luò)接口����,還用于如果所述第一識別紀(jì)錄中識別方式的標(biāo)識為關(guān)聯(lián)識別方式的標(biāo)識,則在不存在所述第一關(guān)聯(lián)記錄時���,向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識別規(guī)則或第二關(guān)聯(lián)識別規(guī)則���,所述第一關(guān)聯(lián)規(guī)則包括由所述第一數(shù)據(jù)流的目的地址���、目的端口和協(xié)議號組成的三元組,所述第二關(guān)聯(lián)識別規(guī)則包括由所述第一數(shù)據(jù)流的源地址��、源端口和協(xié)議號組成的三元組��??蛇x地�����,所述網(wǎng)絡(luò)接口���,還用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識別記錄,所述第三識別記錄包含第三數(shù)據(jù)流的標(biāo)識和未識別標(biāo)識�����,所述未識別標(biāo)識用于表征所述網(wǎng)絡(luò)安全設(shè)備未識別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用�;接收來自于終端設(shè)備的第四識別記錄,所述第四識別記錄包含第四數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識�����;所述處理器�,還用于確定所述第三識別記錄中包含的第三數(shù)據(jù)流的標(biāo)識與所述第四識別記錄中包含的第四數(shù)據(jù)流的標(biāo)識是否相同,則在所述對應(yīng)表中查詢是否存在第二關(guān)聯(lián)記錄�,所述第三關(guān)聯(lián)記錄中保存有所述第四識別記錄中包含的進(jìn)程的標(biāo)識;如果存在所述第三關(guān)聯(lián)記錄��,則生成第五關(guān)聯(lián)識別規(guī)則和第六關(guān)聯(lián)識別規(guī)則�,所述第五關(guān)聯(lián)識別規(guī)則包含所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識和由所述第三數(shù)據(jù)流的目的地址、目的端口和協(xié)議號組成 的三元組���,所述第六關(guān)聯(lián)識別規(guī)則包含所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識和由所述第三數(shù)據(jù)流的源地址�、源端口和協(xié)議號組成的三元組;所述網(wǎng)絡(luò)接口�,還用于向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述第五關(guān)聯(lián)識別規(guī)則和第六關(guān)聯(lián)識別規(guī)則?��?蛇x地���,所述網(wǎng)絡(luò)接口,還用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識別記錄�,所述第三識別記錄包含第三數(shù)據(jù)流的標(biāo)識和未識別標(biāo)識,所述未識別標(biāo)識用于表征所述網(wǎng)絡(luò)安全設(shè)備未識別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用��;接收來自于終端設(shè)備的第四識別記錄����,所述第四識別記錄包含第四數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識��;所述處理器���,還用于確定所述第三識別記錄中包含的第三數(shù)據(jù)流的標(biāo)識與所述第四識別記錄中包含的第四數(shù)據(jù)流的標(biāo)識是否相同����,如果所述第三識別記錄中包含的第三數(shù)據(jù)流的標(biāo)識與所述第四識別記錄中包含的第四數(shù)據(jù)流的標(biāo)識相同,則在所述對應(yīng)表中查詢是否存在第三關(guān)聯(lián)記錄��,所述第三關(guān)聯(lián)記錄中保存有所述第四識別記錄中包含的進(jìn)程的標(biāo)識����;所述網(wǎng)絡(luò)接口,還用于如果所述處理器確定存在所述第三關(guān)聯(lián)記錄�,將所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識和所述第三數(shù)據(jù)流的標(biāo)識發(fā)送給所述網(wǎng)絡(luò)安全設(shè)備。本申請實施例提供的數(shù)據(jù)處理設(shè)備通過比較終端設(shè)備和網(wǎng)絡(luò)安全設(shè)備的識別記錄����,能夠識別出現(xiàn)有技術(shù)難以發(fā)現(xiàn)的網(wǎng)絡(luò)安全設(shè)備的錯誤識別記錄,改善了網(wǎng)絡(luò)流量的識別效果��。第八方面����,提供了一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng),包括數(shù)據(jù)處理設(shè)備����、終端設(shè)備和網(wǎng)絡(luò)安全設(shè)備,其中:所述網(wǎng)絡(luò)安全設(shè)備���,用于接收第一數(shù)據(jù)流�,確定發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識后,生成第一識別記錄����,所述第一識別記錄包含所述第一數(shù)據(jù)流的標(biāo)識和所述應(yīng)用的標(biāo)識,所述數(shù)據(jù)流的標(biāo)識為由源地址�、源端口、目的地址�����、目的端口和協(xié)議標(biāo)識組成的五元組�,向所述數(shù)據(jù)處理設(shè)備發(fā)送所述第一識別記錄;所述終端設(shè)備�,用于獲取所述終端設(shè)備上的進(jìn)程的標(biāo)識以及所述進(jìn)程創(chuàng)建的第二數(shù)據(jù)流的標(biāo)識,生成第二識別記錄����,所述第二識別記錄包含第二數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識;以及獲取所述對應(yīng)表���,所述對應(yīng)表中的每條記錄保存一個應(yīng)用的標(biāo)識和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識;向所述數(shù)據(jù)處理設(shè)備發(fā)送所述第二識別記錄和對應(yīng)表�;所述數(shù)據(jù)處理設(shè)備,用于接收來自于所述網(wǎng)絡(luò)安全設(shè)備的第一識別記錄����;接收來自于所述終端設(shè)備的第二識別記錄和對應(yīng)表�����;如果所述第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與所述第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同���,在所述對應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識��;如果不存在所述第一關(guān)聯(lián)記錄����,則確定所述第一識別記錄為錯誤識別記錄。本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng)中數(shù)據(jù)處理設(shè)備通過比較終端設(shè)備和網(wǎng)絡(luò)安全設(shè)備的識別記錄����,能夠識別出現(xiàn)有技術(shù)難以發(fā)現(xiàn)的網(wǎng)絡(luò)安全設(shè)備的錯誤識別記錄,改善了網(wǎng)絡(luò)流量的識別效果��。附圖說明為了更清楚地說明本申請實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地����,下面描述中的附圖是本發(fā)明的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其他的附圖��。圖1a為本申請實施例提供的一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng)的示意圖���;圖1b為本申請實施例提供的另一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng)的示意圖;圖2為本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法的流程圖���;圖3a為本申請實施例提供的獲取第一對應(yīng)表的流程圖�����;圖3b為本申請實施例提供的更新第一對應(yīng)表的流程圖�;圖4為本申請實施例提供的獲取完整數(shù)據(jù)流的流程圖��;圖5a為本申請實施例提供的一種終端設(shè)備的結(jié)構(gòu)示意圖�����;圖5b為本申請實施例提供的另一種終端設(shè)備的結(jié)構(gòu)示意圖�����;圖6a為本申請實施例提供的一種網(wǎng)絡(luò)安全設(shè)備的結(jié)構(gòu)示意圖����;圖6b為本申請實施例提供的另一種網(wǎng)絡(luò)安全設(shè)備的結(jié)構(gòu)示意圖;圖7為本申請實施例提供的另一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng)的示意圖�;圖8a為本申請實施例提供的一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法的交互圖;圖8b為本申請實施例提供的另一種網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法的交互圖����;圖9a為本申請實施例提供的一種數(shù)據(jù)處理設(shè)備的結(jié)構(gòu)示意圖;圖9b為本申請實施例提供的另一種數(shù)據(jù)處理設(shè)備的結(jié)構(gòu)示意圖���。具體實施方式本申請中的“數(shù)據(jù)流”是指由源地址��、源端口�、目的地址����、目的端口和協(xié)議類型確定出的兩個終端設(shè)備之間在一定時間段內(nèi)傳輸?shù)囊幌盗袌笪?����。本申請中的終端設(shè)備可以是便攜式計算機(jī)�����、服務(wù)器��、移動終端等具有網(wǎng)絡(luò)接入功能和運(yùn)行應(yīng)用軟件能力的設(shè)備����。數(shù)據(jù)流的標(biāo)識是指由源地址����、源端口、目的地址�、目的端口和協(xié)議組成的五元組。應(yīng)用識別技術(shù)是指網(wǎng)絡(luò)安全設(shè)備確定一條數(shù)據(jù)流是由終端設(shè)備中的哪個應(yīng)用軟件發(fā)送的�����。本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法���,通過網(wǎng)絡(luò)安全設(shè)備與終端設(shè)備之間的交互��,能夠識別出一些現(xiàn)有應(yīng)用識別技術(shù)無法識別出的數(shù)據(jù)流��,從而降低無法識別的網(wǎng)絡(luò)流量在總網(wǎng)絡(luò)流量中所占的比例����,提高應(yīng)用識別的成功率��;或者識別出一些錯誤的識別結(jié)果�,從而降低誤報率,提高應(yīng)用識別的準(zhǔn)確性�����。實施例一附圖1a和1b是本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng)的示意圖��。該系統(tǒng)中包括終端設(shè)備110和網(wǎng)絡(luò)安全設(shè)備120�����。網(wǎng)絡(luò)安全設(shè)備120有兩種部署方式��。第一種是如附圖1a所示的直路部署方式����,網(wǎng)絡(luò)安全設(shè)備120是一種具有報文轉(zhuǎn)發(fā)功能的設(shè)備����,例如終端設(shè)備110可以是位于局域網(wǎng)中的個人計算機(jī)或服務(wù)器�,網(wǎng)絡(luò)安全設(shè)備120是局域網(wǎng)中的防火墻設(shè)備。終端設(shè)備110也可以是位于互聯(lián)網(wǎng)中的個人計算機(jī)或服務(wù)器��,網(wǎng)絡(luò)安全設(shè)備120是安全網(wǎng)關(guān)���。在這種部署方式中����,網(wǎng)絡(luò)安全設(shè)備120得到流經(jīng)該網(wǎng)絡(luò)安全設(shè)備120的數(shù)據(jù)流后���,確定發(fā)送該數(shù)據(jù)流的終端設(shè)備中的應(yīng)用�。在本申請后續(xù)描述中�,這一過程也被簡稱為網(wǎng)絡(luò)安全設(shè)備120對流經(jīng)該網(wǎng)絡(luò)安全設(shè)備120的數(shù)據(jù)流的應(yīng)用進(jìn)行識別。進(jìn)一步地�,網(wǎng)絡(luò)安全設(shè)備120中存儲有安全策略,當(dāng)網(wǎng)絡(luò)安全設(shè)備120獲得數(shù)據(jù)流的應(yīng)用識別結(jié)果后�,根據(jù)安全策略決定對數(shù)據(jù)流的后續(xù)處理方式,例如阻斷數(shù)據(jù)流還是轉(zhuǎn)發(fā)數(shù)據(jù)流����。詳細(xì)過程將在后面的實施例中結(jié)合實例進(jìn)行介紹�。第二種是如附圖1b所示的旁路部署方式�����,網(wǎng)絡(luò)安全設(shè)備120是一個具有流量統(tǒng)計功能的旁路設(shè)備�����,用于對各種應(yīng)用的流量在總流量中的比例進(jìn)行統(tǒng)計,并可以進(jìn)一步得到各種應(yīng)用的排名信息�����。網(wǎng)絡(luò)安全設(shè)備120接收報文轉(zhuǎn)發(fā)設(shè)備發(fā)送的鏡像數(shù)據(jù)流����,對鏡像數(shù)據(jù)流的應(yīng)用進(jìn)行識別,根據(jù)識別結(jié)果更新統(tǒng)計 記錄����,定期輸出統(tǒng)計結(jié)果。無論是附圖1a所示的直路部署方式�,還是附圖1b所示的旁路部署方式��,網(wǎng)絡(luò)安全設(shè)備120都需要與終端設(shè)備110進(jìn)行消息交互�����。下面就網(wǎng)絡(luò)安全設(shè)備120和終端設(shè)備110的功能進(jìn)行介紹��。網(wǎng)絡(luò)安全設(shè)備120和終端設(shè)備110的功能可以是分別由網(wǎng)絡(luò)安全設(shè)備120和終端設(shè)備110中的一個軟件模塊來實現(xiàn)的�����,例如網(wǎng)絡(luò)安全設(shè)備120的下述功能是由網(wǎng)絡(luò)安全設(shè)備120中的應(yīng)用識別模塊實現(xiàn)的�,終端設(shè)備110的功能是由終端設(shè)備110中的代理(agent)實現(xiàn)的���。網(wǎng)絡(luò)安全設(shè)備120����,用于接收第一數(shù)據(jù)流�����,并獲取所述第一數(shù)據(jù)流的標(biāo)識�,根據(jù)所述第一數(shù)據(jù)流的標(biāo)識中的源地址或目的地址,向終端設(shè)備110發(fā)送所述數(shù)據(jù)流的標(biāo)識��,其中終端設(shè)備110的地址為所述第一數(shù)據(jù)流的標(biāo)識中的源地址或目的地址。接收終端設(shè)備110發(fā)送的應(yīng)用的標(biāo)識�,確定接收到的所述應(yīng)用的標(biāo)識為發(fā)送第一數(shù)據(jù)流的應(yīng)用的標(biāo)識?��?蛇x地���,網(wǎng)絡(luò)安全設(shè)備120中存儲有安全策略,安全策略包含允許轉(zhuǎn)發(fā)的應(yīng)用的標(biāo)識�����。例如�,安全策略允許轉(zhuǎn)發(fā)網(wǎng)絡(luò)瀏覽器發(fā)送的數(shù)據(jù)流��,即允許轉(zhuǎn)發(fā)的應(yīng)用標(biāo)識是網(wǎng)絡(luò)瀏覽器的標(biāo)識wb����,那么當(dāng)網(wǎng)絡(luò)安全設(shè)備120接收到一個數(shù)據(jù)流后,如果識別出發(fā)送數(shù)據(jù)流的應(yīng)用的標(biāo)識是wb時����,轉(zhuǎn)發(fā)該數(shù)據(jù)流,如果識別出發(fā)送數(shù)據(jù)流的應(yīng)用的標(biāo)識是p2p客戶端的標(biāo)識p2p��,不是wb,阻斷該數(shù)據(jù)流����。網(wǎng)絡(luò)安全設(shè)備120在接收到的第一數(shù)據(jù)流中的報文時,先采用基于特征的識別技術(shù)����、啟發(fā)式識別技術(shù),或關(guān)聯(lián)識別技術(shù)等現(xiàn)有應(yīng)用識別技術(shù)對第一數(shù)據(jù)流進(jìn)行識別��。如果能夠得到識別結(jié)果�,則判斷安全策略是否包含識別出的應(yīng)用的標(biāo)識,如果包含識別出的應(yīng)用的標(biāo)識�����,則轉(zhuǎn)發(fā)所述第一數(shù)據(jù)流中的報文��,否則阻斷所述第一數(shù)據(jù)流中的報文��。網(wǎng)絡(luò)安全設(shè)備120如果根據(jù)上述現(xiàn)有的應(yīng)用識別技術(shù)無法得到識別結(jié)果���,即無法確定發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識���,則獲取第一數(shù)據(jù)流的標(biāo)識��,向第一數(shù)據(jù)流的標(biāo)識中的源地址所標(biāo)識的終端設(shè)備發(fā)送第一數(shù)據(jù)流的標(biāo)識�����,或者向第一數(shù)據(jù)流的標(biāo)識中的目的地址所標(biāo)識的終端設(shè)備發(fā)送第一數(shù)據(jù)流的標(biāo)識�����,以便通過與終端設(shè)備的交互�����,得到終端設(shè)備返回的應(yīng)用的標(biāo)識�,從而確定發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識為終端設(shè)備返回的應(yīng)用的標(biāo)識�����。需要指出的是��,網(wǎng)絡(luò)安全設(shè)備不僅僅可以在無法得到識別結(jié)果時��,向第一數(shù)據(jù)流的標(biāo)識中的源地址所標(biāo)識的終端設(shè)備發(fā)送第一數(shù)據(jù)流的標(biāo)識�����,或者向第一數(shù)據(jù)流的標(biāo)識中的目的地址所標(biāo)識的終端設(shè)備發(fā)送第一數(shù)據(jù)流的標(biāo)識����。網(wǎng)絡(luò)安全設(shè)備還可以為了提高識別的準(zhǔn)確性,例如當(dāng)采用關(guān)聯(lián)識別技術(shù)進(jìn)行應(yīng)用識別時�,當(dāng)一條關(guān)聯(lián)識別規(guī)則第一次被匹配到時,為了確認(rèn)該關(guān)聯(lián)識別規(guī)則的準(zhǔn)確性�,向終端設(shè)備發(fā)送第一數(shù)據(jù)流的標(biāo)識,將終端設(shè)備后續(xù)返回的應(yīng)用的標(biāo)識與根據(jù)關(guān)聯(lián)識別規(guī)則得到的識別結(jié)果進(jìn)行比較�,如果相同,則確認(rèn)該關(guān)聯(lián)識別規(guī)則是準(zhǔn)確的����。終端設(shè)備110,用于獲取第一對應(yīng)表和第二對應(yīng)表�,所述第一對應(yīng)表中的每條記錄保存終端設(shè)備110中運(yùn)行的一個進(jìn)程的標(biāo)識和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識,所述數(shù)據(jù)流的標(biāo)識為由源地址��、源端口�、目的地址、目的端口和協(xié)議標(biāo)識組成的五元組���。所述第二對應(yīng)表中的每條記錄保存一個應(yīng)用的標(biāo)識和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識��。在本實施例中����,一個應(yīng)用是指應(yīng)用軟件,os運(yùn)行一個應(yīng)用之后��,會創(chuàng)建至少一個進(jìn)程����,每個進(jìn)程完成一個相對獨(dú)立的功能。也就是說����,一個應(yīng)用對應(yīng)至少一個進(jìn)程。通常而言�����,一個進(jìn)程只能被一個應(yīng)用所創(chuàng)建和使用�����,只有極少數(shù)的系統(tǒng)進(jìn)程會被多個應(yīng)用使用�,本申請不考慮這種情況����,這樣的進(jìn)程不被收錄到第一對應(yīng)表和第二對應(yīng)表中���。例如,一種名為“搜狗輸入法”的應(yīng)用運(yùn)行之后����,會創(chuàng)建一個名為“sogoucloud.exe”的進(jìn)程和一個名為“sogousmartinfo.exe”的進(jìn)程,其中名為“sogoucloud.exe”的進(jìn)程用于從網(wǎng)絡(luò)服務(wù)器獲得更新 的字體庫�,顯示欄圖標(biāo)等信息,名為“sogousmartinfo.exe”用于從網(wǎng)絡(luò)服務(wù)器獲得智能聯(lián)想規(guī)則�����,用于根據(jù)用戶已拼寫出的詞預(yù)測用戶將要拼寫的詞��,提升輸入效率����。每個進(jìn)程運(yùn)行后,根據(jù)程序代碼的設(shè)計�,有可能不創(chuàng)建數(shù)據(jù)流,也可能創(chuàng)建一個或多個數(shù)據(jù)流��。也就是說����,一個進(jìn)程可以對應(yīng)一個數(shù)據(jù)流或多個數(shù)據(jù)流���。終端設(shè)備110接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識。在所述第一對應(yīng)表中�����,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識的第一記錄�����,獲取所述第一記錄中的進(jìn)程的標(biāo)識�;終端設(shè)備在所述第二對應(yīng)表中,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識的第二記錄�,從所述第二記錄中獲取應(yīng)用的標(biāo)識;向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述應(yīng)用的標(biāo)識��。下面將參照附圖2結(jié)合一個具體實例�,對本發(fā)明提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法進(jìn)行描述。本實施例中的網(wǎng)絡(luò)安全設(shè)備可以是附圖1a或附圖1b中的網(wǎng)絡(luò)安全設(shè)備120���。步驟201���,網(wǎng)絡(luò)安全設(shè)備發(fā)現(xiàn)一條未識別的數(shù)據(jù)流�����。具體地,網(wǎng)絡(luò)安全設(shè)備在對數(shù)據(jù)流進(jìn)行應(yīng)用識別時���,接收該數(shù)據(jù)流的至少一個報文�。對于其中的每個報文�����,在根據(jù)規(guī)則選擇性緩存其中的特征之后�����,將該報文轉(zhuǎn)發(fā)出去�。當(dāng)接收到表示數(shù)據(jù)流即將結(jié)束的最后一個報文時,例如報文狀態(tài)標(biāo)識為fin的報文時��,或者接收并轉(zhuǎn)發(fā)一個數(shù)據(jù)流中設(shè)定數(shù)量的報文后����,還無法通過現(xiàn)有應(yīng)用識別技術(shù)識別出發(fā)送該數(shù)據(jù)流的應(yīng)用,則確定該數(shù)據(jù)流為未識別數(shù)據(jù)流�����。步驟202,網(wǎng)絡(luò)安全設(shè)備獲取上述未識別數(shù)據(jù)流的標(biāo)識����。網(wǎng)絡(luò)安全設(shè)備通過解析已緩存的未識別數(shù)據(jù)流的報文,獲得報文的五元組����,即源ip地址,源端口�����,目的ip地址���,目的端口和協(xié)議類型���,將該五元組作為未識別數(shù)據(jù)流的標(biāo)識。例如獲得的五元組信息為“tcp192.168.1.211:3020-201.6.8.30:6682”�����。步驟203,網(wǎng)絡(luò)安全設(shè)備將數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”封裝在一個報文p1中�,向所述終端設(shè)備發(fā)送報文p1?��?蛇x地��,網(wǎng)絡(luò)安全設(shè)備可以將數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”發(fā)送給ip地址為192.168.1.211的終端設(shè)備,也可以將數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”發(fā)送給ip地址為201.6.8.30的終端設(shè)備�����,或者將數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”發(fā)送給ip地址為192.168.1.211的終端設(shè)備和ip地址為201.6.8.30的終端設(shè)備�。由于ip地址為192.168.1.211的終端設(shè)備和ip地址為201.6.8.30的終端設(shè)備可以執(zhí)行類似的處理步驟,為了簡明起見�,本實施例后續(xù)僅以ip地址為192.168.1.211的終端設(shè)備為例進(jìn)行說明。步驟204��,終端設(shè)備接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的報文p1����,對報文p1進(jìn)行解析,得到報文p1攜帶的數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”�����。步驟205���,終端設(shè)備在第一對應(yīng)表中��,查找保存有數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”的記錄����,如果查找到,執(zhí)行步驟206��,如果沒有查找到�,終止處理。步驟206��,終端設(shè)備從查找到的保存有數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”的記錄中�,獲取與該數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”對應(yīng)的進(jìn)程的標(biāo)識sogoucloud.exe。終端設(shè)備中保存有兩個對應(yīng)表�,其中第一對應(yīng)表中的每條記錄保存所述終端設(shè)備中運(yùn)行的一個進(jìn)程的標(biāo)識和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識。第二對應(yīng)表中的每條記錄保存一個應(yīng)用的標(biāo)識和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識��。顯然��,終端設(shè)備也可以用一個對應(yīng)表來存儲應(yīng)用的標(biāo)識�、應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識、以及進(jìn)程建立的數(shù)據(jù)流的標(biāo)識三者的對應(yīng)關(guān)系��。本申請僅僅是為了后續(xù)描述上的簡便,將進(jìn)程的標(biāo)識和進(jìn)程建立的數(shù)據(jù)流的標(biāo)識的對應(yīng)關(guān)系保存在第一對應(yīng)表中��,將應(yīng)用的標(biāo)識和應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識的對應(yīng)關(guān)系保存在第二對應(yīng)表中�。當(dāng)使用一個匯總的對應(yīng)表保存上述對應(yīng)關(guān)系時,將應(yīng)用的標(biāo)識保存在第一列���, 應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識保存在第二列�����,進(jìn)程建立的數(shù)據(jù)流的標(biāo)識保存在第三列。本申請后續(xù)實施例中查找第一對應(yīng)表的過程����,相當(dāng)于在匯總的對應(yīng)表中的第一列和第二列中查找,后續(xù)實施例中查找第二對應(yīng)表的過程�,相當(dāng)于在匯總的對應(yīng)表的第二列和第三列中查找。終端設(shè)備中保存的第一對應(yīng)表如表1所示�。終端設(shè)備獲得第一對應(yīng)表的過程將在后面結(jié)合流程圖進(jìn)行詳細(xì)描述。表1終端設(shè)備在表1中查找到包含數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”的記錄是第1行記錄�����,進(jìn)而獲得第1行記錄中的進(jìn)程的標(biāo)識sogoucloud.exe�����。步驟207,終端設(shè)備在第二對應(yīng)表中�����,查找保存有進(jìn)程的標(biāo)識sogoucloud.exe的記錄�,如果查找到,執(zhí)行步驟208�,如果沒有查找到,終止處理���。步驟208����,終端設(shè)備從查找到的保存有進(jìn)程的標(biāo)識sogoucloud.exe的記錄中獲取與進(jìn)程標(biāo)識sogoucloud.exe對應(yīng)的應(yīng)用的標(biāo)識����。在本實施例中,標(biāo)識可以是該應(yīng)用的名稱“搜狗輸入法”��。終端設(shè)備中保存的第二對應(yīng)表如表2所示����。第二對應(yīng)表可以由agent的軟件廠商來收集���,研發(fā)設(shè)計人員可以通過對應(yīng)用軟件的安裝包或應(yīng)用軟件運(yùn)行后進(jìn)程列表的變化來知曉應(yīng)用軟件運(yùn)行后開啟了哪些進(jìn)程,從而得到應(yīng)用標(biāo)識和進(jìn)程標(biāo)識的對應(yīng)關(guān)系�����。事實上���,為了減少終端設(shè)備的存儲空間����,提高執(zhí)行效率�,軟件廠商也不需要搜集所有應(yīng)用標(biāo)識和進(jìn)程標(biāo)識的對應(yīng)關(guān)系,只需要收集常見的�����、網(wǎng)絡(luò)流量的應(yīng)用識別過程中易產(chǎn)生漏報和誤報的應(yīng)用開啟了哪些進(jìn)程的信息就可以了�����。終端設(shè)備中的agent可以定期從軟件廠商的升級網(wǎng)站中得到�。表2終端設(shè)備在表2中查找到包含進(jìn)程的標(biāo)識sogoucloud.exe的記錄是第1行記錄��,進(jìn)而獲得第1行記錄中的應(yīng)用的名稱“搜狗輸入法”。應(yīng)用的標(biāo)識可以有很多形式���,為了描述地更加直觀�����,本實施例中直接用應(yīng)用的名稱來代表應(yīng)用的標(biāo)識���。在實際應(yīng)用中,軟件廠商為了便于維護(hù)��,往往會按照預(yù)定的分配規(guī)則���,給每個應(yīng)用分配一個編號����,用編號來代表應(yīng)用的標(biāo)識�。步驟209,終端設(shè)備將查找到的應(yīng)用的名稱“搜狗輸入法”封裝到一個報文p2中�����,向網(wǎng)絡(luò)安全設(shè)備 發(fā)送報文p2��。由于網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間有可能并發(fā)地進(jìn)行多次交互,用以對多個不同數(shù)據(jù)流的應(yīng)用進(jìn)行識別���,為了網(wǎng)絡(luò)安全設(shè)備處理簡便起見���,終端設(shè)備可以將數(shù)據(jù)流的標(biāo)識和針對該數(shù)據(jù)流確定出的應(yīng)用的標(biāo)識封裝在同一個報文中發(fā)送給網(wǎng)絡(luò)安全設(shè)備,在本實例中終端設(shè)備將數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”和應(yīng)用的名稱“搜狗輸入法”封裝到報文p2中���,發(fā)送給網(wǎng)絡(luò)安全設(shè)備�����。步驟210��,網(wǎng)絡(luò)安全設(shè)備接收終端設(shè)備發(fā)送的報文p2�����,對報文p2進(jìn)行解析,得到報文p2攜帶的數(shù)據(jù)流的標(biāo)識“tcp192.168.1.211:3020-201.6.8.30:6682”和應(yīng)用的名稱“搜狗輸入法”���。步驟211��,網(wǎng)絡(luò)安全設(shè)備根據(jù)p2中攜帶的數(shù)據(jù)流的標(biāo)識�����,在流表中找到相應(yīng)的記錄����,將p2中攜帶的應(yīng)用的名稱作為識別結(jié)果填入表中。網(wǎng)絡(luò)安全設(shè)備會維護(hù)一個流表��,流表中的每條記錄對應(yīng)一條數(shù)據(jù)流�,記錄了數(shù)據(jù)流的相關(guān)信息,例如狀態(tài)��、識別結(jié)果等等�����。在本步驟中���,網(wǎng)絡(luò)安全設(shè)備得到了一條識別記錄“tcp192.168.1.211:3020-201.6.8.30:6682搜狗輸入法”��??蛇x地�,在步驟211網(wǎng)絡(luò)安全設(shè)備得到識別記錄之后,為了減少后續(xù)網(wǎng)絡(luò)安全設(shè)備與終端設(shè)備為同一標(biāo)識的數(shù)據(jù)流進(jìn)行的多次交互��,網(wǎng)絡(luò)安全設(shè)備可以生成關(guān)聯(lián)識別規(guī)則。步驟212���,網(wǎng)絡(luò)安全設(shè)備生成第一關(guān)聯(lián)識別規(guī)則和第二關(guān)聯(lián)識別規(guī)則�,所述第一關(guān)聯(lián)識別規(guī)則包含所述應(yīng)用的標(biāo)識和由所述第一數(shù)據(jù)流的目的地址����、目的端口和協(xié)議號組成的三元組,所述第二關(guān)聯(lián)識別規(guī)則包含所述應(yīng)用的標(biāo)識和由所述第一數(shù)據(jù)流的源地址����、源端口和協(xié)議號組成的三元組。后續(xù)網(wǎng)絡(luò)安全設(shè)備接收到另一數(shù)據(jù)流時�����,例如第二數(shù)據(jù)流����。如果所述第二數(shù)據(jù)流的目的三元組和源三元組中的至少一個與所述第一關(guān)聯(lián)識別規(guī)則和所述第二關(guān)聯(lián)識別規(guī)則中任意一個關(guān)聯(lián)識別規(guī)則包含的三元組一致,則確定發(fā)送所述第二數(shù)據(jù)流的應(yīng)用的標(biāo)識為所述任意一個關(guān)聯(lián)識別規(guī)則包含的應(yīng)用的標(biāo)識�����。本實施例中���,第一關(guān)聯(lián)規(guī)則為“tcp201.6.8.30:6682搜狗輸入法”��,第二關(guān)聯(lián)規(guī)則為“tcp192.168.1.211:3020搜狗輸入法”��。后續(xù)另一終端設(shè)備發(fā)送了第二數(shù)據(jù)流�����,網(wǎng)絡(luò)安全設(shè)備在接收到第二數(shù)據(jù)流中的報文p3時���,根據(jù)報文p3提取第二數(shù)據(jù)流的標(biāo)識為“tcp192.168.1.100:3020-201.6.8.30:6682”,第二數(shù)據(jù)流的目的三元組是“tcp201.6.8.30:6682”�。由于第二數(shù)據(jù)流的目的三元組與第一關(guān)聯(lián)規(guī)則中的三元組相同,則網(wǎng)絡(luò)安全設(shè)備可以直接根據(jù)第一關(guān)聯(lián)規(guī)則確定第二數(shù)據(jù)流的應(yīng)用為“搜狗輸入法”�,無需與終端設(shè)備再次進(jìn)行交互。本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng)中����,網(wǎng)絡(luò)安全設(shè)備在接收到一個數(shù)據(jù)流時,獲取該數(shù)據(jù)流的標(biāo)識�����,向所述終端設(shè)備發(fā)送該數(shù)據(jù)流的標(biāo)識。終端設(shè)備在存儲的第一對應(yīng)表中��,查詢到所述未識別數(shù)據(jù)流的標(biāo)識對應(yīng)的進(jìn)程的標(biāo)識���;在所述第二對應(yīng)表中查詢到應(yīng)用標(biāo)識���,所述應(yīng)用標(biāo)識與所述未識別數(shù)據(jù)流的標(biāo)識對應(yīng)的進(jìn)程的標(biāo)識對應(yīng);向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述查詢到的應(yīng)用標(biāo)識����。網(wǎng)絡(luò)安全設(shè)備根據(jù)終端設(shè)備的反饋,確定上述數(shù)據(jù)流的應(yīng)用識別結(jié)果�����。相比于現(xiàn)有技術(shù)���,上述系統(tǒng)通過網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間的交互����,能夠識別出更多的應(yīng)用���,從而降低了未識別流量在總流量中所占的比例��,改善了網(wǎng)絡(luò)流量的識別效果���。參照附圖3a,上述實施例中的終端設(shè)備可以通過以下方式來獲得表1所示的第一對應(yīng)表:步驟31,終端設(shè)備獲得進(jìn)程列表�。終端設(shè)備通過終端設(shè)備上運(yùn)行的操作系統(tǒng)(operatingsystem,os)提供的接口��,獲得終端設(shè)備上運(yùn)行的進(jìn)程列表�����。本申請中的“進(jìn)程”是指正在運(yùn)行的程序的實例���,是一個具有一定獨(dú)立功能的程序關(guān)于某個數(shù)據(jù)集合的一次運(yùn)行活動����。它是os動態(tài)執(zhí)行的基本單元�,在傳統(tǒng)的os中,進(jìn)程既是基本的資源分 配單元�����,也是基本的執(zhí)行單元��。大多數(shù)os都會提供應(yīng)用編程接口(applicationprogramminginterface,api)或命令行命令供應(yīng)用程序或操作人員得到終端設(shè)備上運(yùn)行的進(jìn)程列表��,例如通過調(diào)用linux操作系統(tǒng)中的“ps”命令可以得到正在運(yùn)行的進(jìn)程列表����,通過調(diào)用windows操作系統(tǒng)中的enumprocesses函數(shù)可以得到正在運(yùn)行的進(jìn)程列表。步驟32�,終端設(shè)備獲得每個進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識。對于進(jìn)程列表中的每一個進(jìn)程��,終端設(shè)備通過os提供的接口����,獲得該進(jìn)程通過開啟端口所建立的當(dāng)前活動的連接。例如�,在linux操作系統(tǒng)中可以通過“/proc”虛擬文件系統(tǒng)遍歷進(jìn)程打開的連接。在windows操作系統(tǒng)中通過getextendedtcptable函數(shù)可以獲取到所有tcp數(shù)據(jù)流與進(jìn)程的對應(yīng)關(guān)系���,通過getextendedudptable函數(shù)可以獲取到所有udp數(shù)據(jù)流與進(jìn)程的對應(yīng)關(guān)系��。將每個當(dāng)前活動的連接作為一條數(shù)據(jù)流�,將活動的連接的五元組作為數(shù)據(jù)流的標(biāo)識���。步驟33����,終端設(shè)備針對獲得的每個進(jìn)程的標(biāo)識,生成一個包含所述進(jìn)程的標(biāo)識與所述數(shù)據(jù)流的標(biāo)識的記錄���;并將所述記錄保存在所述第一對應(yīng)表中�����。從而得到第一對應(yīng)表?���?蛇x地,由于os系統(tǒng)根據(jù)用戶的使用情況�����,隨時可能創(chuàng)建進(jìn)程或退出進(jìn)程�,為了實時更新和維護(hù)第一對應(yīng)表,從而提高終端設(shè)備根據(jù)網(wǎng)絡(luò)安全設(shè)備發(fā)生的未識別的數(shù)據(jù)流的標(biāo)識�����,查找到對應(yīng)的應(yīng)用的概率��,終端設(shè)備通過鉤子函數(shù)來監(jiān)控進(jìn)程的狀態(tài),從而更新第一對應(yīng)表中的記錄����。附圖3b是本實施例提供的第一對應(yīng)表更新過程的流程圖。附圖3b中的步驟31~步驟33與附圖3a類似�����,為了簡明起見����,在這里不再展開描述。步驟34����,終端設(shè)備通過鉤子函數(shù)獲得所述操作系統(tǒng)創(chuàng)建進(jìn)程的事件。鉤子函數(shù)是windows消息處理機(jī)制的一部分���,通過設(shè)置“鉤子”���,agent或其他應(yīng)用程序可以在系統(tǒng)級對所有消息、事件進(jìn)行過濾�����,訪問在正常情況下無法訪問的消息。鉤子函數(shù)的本質(zhì)是一段用以處理系統(tǒng)消息的程序,通過系統(tǒng)調(diào)用,把鉤子函數(shù)掛入系統(tǒng)�。步驟35���,終端設(shè)備從創(chuàng)建進(jìn)程的事件中獲得新創(chuàng)建的進(jìn)程的標(biāo)識。終端設(shè)備通過os提供的接口����,獲得該新創(chuàng)建的進(jìn)程通過開啟端口所建立的當(dāng)前活動的連接。將每個當(dāng)前活動的連接作為一條數(shù)據(jù)流��,將活動的連接的五元組作為數(shù)據(jù)流的標(biāo)識���。步驟36,終端設(shè)備獲得該新創(chuàng)建進(jìn)程創(chuàng)建的數(shù)據(jù)流的標(biāo)識��,生成一個包含所述新創(chuàng)建進(jìn)程的標(biāo)識和所述新創(chuàng)建進(jìn)程創(chuàng)建的所述數(shù)據(jù)流的標(biāo)識的記錄���;并將所述記錄保存在所述第一對應(yīng)表中��。步驟37�,終端設(shè)備通過鉤子函數(shù)獲得所述操作系統(tǒng)退出進(jìn)程的事件���。步驟38����,終端設(shè)備從退出進(jìn)程的事件中獲得退出進(jìn)程的標(biāo)識,從所述第一對應(yīng)表中刪除包含所述退出進(jìn)程的標(biāo)識的記錄��?����?蛇x地�,為了實時更新和維護(hù)第一對應(yīng)表,終端設(shè)備還可以通過鉤子函數(shù)來監(jiān)控網(wǎng)絡(luò)報文�,從而更新第一對應(yīng)表中的記錄,在每條記錄中增加數(shù)據(jù)流的建立時間和最后活動時間信息���。從本實施例后面的步驟可以看出�,數(shù)據(jù)流的最后活動時間可以用于對第一對應(yīng)表中的記錄進(jìn)行老化�,數(shù)據(jù)流的建立時間可以用于其他目的的分析。如步驟39~步驟315所示�����。步驟39�,終端設(shè)備通過鉤子函數(shù)獲得傳輸?shù)膱笪?���,具體的傳輸?shù)膱笪目梢允前l(fā)送的報文或接收的報文���。為了進(jìn)一步減少后續(xù)數(shù)據(jù)處理量��,可以只捕獲協(xié)議類型為傳輸控制協(xié)議(transmissioncontrolprotocol�,tcp)或用戶數(shù)據(jù)報協(xié)議(userdatagramprotocol�����,udp)的報文����。步驟310��,終端設(shè)備從獲得的報文中解析得到報文狀態(tài)標(biāo)識和報文所屬數(shù)據(jù)流的標(biāo)識�����。具體地��,本實施例中狀態(tài)標(biāo)識是指四層協(xié)議的狀態(tài)標(biāo)識�,四層協(xié)議可以從報文的ip頭的protocol字段獲取���,例如 tcp、udp��。tcp的狀態(tài)標(biāo)識可以從報文的tcp頭的flags字段獲得����,狀態(tài)標(biāo)識可以為fin、rst等�����。更詳細(xì)的報文狀態(tài)標(biāo)識的說明可以參考rfc文檔�����,例如rfc793���。終端設(shè)備從獲得的報文中提取五元組�,將提取的五元組作為報文所屬數(shù)據(jù)流的標(biāo)識�����。步驟311,終端設(shè)備判斷報文的報文狀態(tài)標(biāo)識是否為fin�,如果為fin,則執(zhí)行步驟312�,如果報文狀態(tài)標(biāo)識不是fin,則執(zhí)行步驟313��。步驟312�����,如果所述報文狀態(tài)標(biāo)識為fin�����,則將所述第一對應(yīng)表中包含所述報文所屬數(shù)據(jù)流的標(biāo)識的記錄刪除����,處理結(jié)束。步驟313����,終端設(shè)備根據(jù)獲得的數(shù)據(jù)流的標(biāo)識����,在表1所示的第一對應(yīng)表中查找包含該數(shù)據(jù)流的標(biāo)識的記錄。如果查找到記錄,說明是該報文屬于一條已建立的數(shù)據(jù)流�,執(zhí)行步驟314��,如果未查找到記錄,說明該報文屬于一條新建立的數(shù)據(jù)流����,執(zhí)行步驟315。步驟314���,終端設(shè)備將查找到的記錄中��,數(shù)據(jù)流的最后活動時間更新為當(dāng)前時間���。事實上�����,根據(jù)數(shù)據(jù)流的最后活動時間來進(jìn)行刪除過期記錄���,以及根據(jù)報文狀態(tài)標(biāo)識fin來刪除記錄是兩種可以并存的�、可選擇性的記錄刪除方式。例如��,通過鉤子函數(shù)獲得了一個tcp報文p4�,從報文p4中提取的五元組是“tcp192.168.1.211:6122-168.3.56.120:1138”���。在表1中查找到包含五元組“tcp192.168.1.211:6122-168.3.56.120:1138”的記錄是第9條記錄�,將第9條記錄中的最后活動時間更新為當(dāng)前時間21:00:3456�,更新后的第一對應(yīng)表如表3所示。表3步驟315����,終端設(shè)備刷新第一對應(yīng)表,在刷新后的第一對應(yīng)表中查找到包含步驟310中獲得的數(shù)據(jù)流的標(biāo)識的記錄���,將該記錄中的數(shù)據(jù)流的建立時間和最后活動時間設(shè)置為當(dāng)前時間���。對于大多數(shù)os而言,無法根據(jù)一個五元組直接查找到創(chuàng)建該五元組所標(biāo)識的數(shù)據(jù)流的進(jìn)程���,這時os系統(tǒng)需要重新刷新進(jìn)程列表���,針對刷新后的進(jìn)程列表中的每個進(jìn)程,重新獲得該進(jìn)程建立的所有連接�,從而得到刷新后的第一對應(yīng)表,然后根據(jù)步驟310中獲得的數(shù)據(jù)流的標(biāo)識�,在刷新后的第一對應(yīng)表中查找到包含步驟310中獲得的數(shù)據(jù)流的標(biāo)識的記錄。例如����,終端設(shè)備通過鉤子函數(shù)獲得了一個tcp報文p5,從報文p5中提取的五元組是“tcp192.168.1.211:6123-168.3.56.120:1138”���。在表1中未查找到包含五元組“tcp192.168.1.211:6123-168.3.56.120:1138”的記錄��,刷新第一對應(yīng)表���,如表4所示,在表4中查找到包含五元組“tcp192.168.1.211:6123-168.3.56.120:1138”的是第10條記錄����,將第10條記錄中的建立時間和最后 活動時間均設(shè)置為當(dāng)前時間21:01:3456,更新后的第一對應(yīng)表如表4所示�。表4可選地,為了節(jié)約中的終端設(shè)備中第一對應(yīng)表占用的存儲空間�,終端設(shè)備可以定時根據(jù)第一對應(yīng)表中的數(shù)據(jù)流的最后活動時間��,刪除過期記錄��,過期記錄是指最后活動時間和當(dāng)前時間之間的時間間隔超過預(yù)定時間的數(shù)據(jù)流對應(yīng)的記錄�,即長時間沒有活動的數(shù)據(jù)流����,對應(yīng)的記錄:終端設(shè)備判斷根據(jù)檢測周期確定的預(yù)定時間是否到達(dá),若到達(dá)則執(zhí)行定時清除任務(wù)���,即針對如表4所示第一對應(yīng)表中的每條記錄�����,判斷數(shù)據(jù)流的最后活動時間與當(dāng)前時間之間的時間間隔是否超過設(shè)定閾值�,若超過���,則刪除該條記錄��;若未到達(dá)��,則返回執(zhí)行步驟301�����。需要說明的是�,附圖3b中步驟31~步驟33組成的第一子流程,步驟34~步驟36組成的第二子流程����,步驟37~步驟38組成的第三子流程����,步驟39~步驟315組成的第四子流程之間是相互無依賴關(guān)系的、可以選擇性執(zhí)行的�����。例如可以只執(zhí)行第一子流程和第二子流程���,也可以只執(zhí)行第一子流程和第三子流程�����??蛇x地�����,雖然采用本實施例提供的方案,通過網(wǎng)絡(luò)安全設(shè)備與終端設(shè)備之間的交互�����,可以大大降低無法識別的流量在總流量中所占的比例����。但是本實施例提供的方案需要網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間進(jìn)行交互,與現(xiàn)有技術(shù)網(wǎng)絡(luò)安全設(shè)備根據(jù)本地存儲的規(guī)則進(jìn)行應(yīng)用識別的方式相比����,所需要的延時較長,也需要消耗一定的網(wǎng)絡(luò)傳輸資源����。如果能夠得到發(fā)送網(wǎng)絡(luò)安全設(shè)備無法識別的數(shù)據(jù)流的進(jìn)程發(fā)送的多個完整的數(shù)據(jù)流,那么就有可能可以通過人工分析得到規(guī)則���。對于通過人工分析獲得基于特征的識別規(guī)則�����,或啟發(fā)式識別規(guī)則而言��,獲得同一個應(yīng)用發(fā)送的多個完整的數(shù)據(jù)流至關(guān)重要���,完整的數(shù)據(jù)流是指從連接建立協(xié)商階段通信雙方發(fā)送的第一個報文��,直至連接斷開發(fā)送的最后一個報文之間的所有數(shù)據(jù)包����。然而現(xiàn)有網(wǎng)絡(luò)安全設(shè)備出于存儲空間和性能的考慮��,并不能緩存數(shù)據(jù)流的多個報文���,例如現(xiàn)有的基于特征的識別技術(shù)或啟發(fā)式識別技術(shù),往往也只是從接收到的報文中提取特征后��,對提取的特征進(jìn)行緩存�,而對報文進(jìn)行轉(zhuǎn)發(fā)。現(xiàn)有終端設(shè)備上的抓包技術(shù)抓取一個完整的未識別數(shù)據(jù)流是相對困難的���,因為無法確定要抓取哪一個數(shù)據(jù)流�,以及難以準(zhǔn)確定位一個未識別數(shù)據(jù)流的開始和結(jié)束����。如果為了抓取一個未識別數(shù)據(jù)流,保存終端設(shè)備相當(dāng)長時間內(nèi)發(fā)送和接收的所有報文�����,將極大占用終端設(shè)備的存儲資源和處理資源。而如果采用抽樣抓包的技術(shù)�,雖然節(jié)省了資源,但是會漏掉數(shù)據(jù)流中的大部分?jǐn)?shù)據(jù)包���,造成規(guī)則提取困難或不準(zhǔn)確��。對于這個問題��,本申請?zhí)峁┝烁綀D4所示的一種方案��,能夠有針對性的抓取一個進(jìn)程發(fā)送的數(shù)據(jù)流的全部報文�����,同時不會占用終端設(shè)備中的大量資源�?��?蛇x地����,附圖4在附圖2的基礎(chǔ)上,在步驟206�,終端設(shè)備接收到網(wǎng)絡(luò)設(shè)備發(fā)送的報文p1,并確定 創(chuàng)建標(biāo)識為“tcp192.168.1.211:3020-201.6.8.30:6682”的數(shù)據(jù)流的進(jìn)程的標(biāo)識是sogoucloud.exe之后�,還包括:步驟401,終端設(shè)備在表1所示第一對應(yīng)表中為進(jìn)程sogoucloud.exe設(shè)置報文采集標(biāo)識��。報文采集標(biāo)識用于所述終端設(shè)備在通過操作系統(tǒng)的接口捕獲所述進(jìn)程傳輸?shù)膱笪暮?����,獲得并存儲所述進(jìn)程后續(xù)傳輸?shù)耐暾麛?shù)據(jù)流�����。后面將結(jié)合具體例子�,對報文采集標(biāo)識的作用進(jìn)行說明�����。設(shè)置報文采集標(biāo)識之后的第一對應(yīng)表如表5所示��。表5在本實施例中���,以報文采集標(biāo)識為“1”進(jìn)行舉例說明�����。在具體實施過程中�����,可以在最初生成第一對應(yīng)表時��,為所有進(jìn)程標(biāo)識對應(yīng)的設(shè)置報文采集標(biāo)識為“0”�,在步驟206之后,將查找到的記錄中的進(jìn)程標(biāo)識對應(yīng)的報文采集標(biāo)識更新為“1”�����。當(dāng)然也可以采用其他的設(shè)置方式��,總之只要能夠在步驟206之后�,為查找到的記錄中的進(jìn)程標(biāo)識設(shè)置與此前不同的標(biāo)識進(jìn)行區(qū)分即可。步驟49���,終端設(shè)備通過鉤子函數(shù)獲得傳輸?shù)膱笪?�,具體的傳輸?shù)膱笪目梢允前l(fā)送的報文或接收的報文��。該步驟與附圖3b中的步驟39類似���,在這里不再贅述��。步驟410�,終端設(shè)備從獲得的報文中提取數(shù)據(jù)流標(biāo)識�。具體地,終端設(shè)備從獲得的報文中提取五元組�。步驟411,終端設(shè)備根據(jù)獲得的數(shù)據(jù)流的標(biāo)識��,在表5所示的第一對應(yīng)表中查找包含該數(shù)據(jù)流的標(biāo)識的記錄����。如果查找到,可以如附圖3b中的步驟314所示更新記錄����。如果未查找到記錄����,說明該報文屬于一條新建立的數(shù)據(jù)流,終端設(shè)備刷新第一對應(yīng)表��,在刷新后的第一對應(yīng)表中查找到包含步驟310中獲得的數(shù)據(jù)流的標(biāo)識的記錄���。例如����,終端設(shè)備通過鉤子函數(shù)獲得了一個tcp報文p6,從報文p6中提取的五元組是“tcp192.168.1.211:3011-201.6.8.30:6682”�。在表5中未查找到包含五元組“tcp192.168.1.211:3011-168.3.56.120:1138的記錄”,刷新第一對應(yīng)表����,如表6所示,在表6中查找到包含五元組“tcp192.168.1.211:3011-201.6.8.30:6682”的是第1條記錄�����。表6無論是否在第一對應(yīng)表中查找到包含該數(shù)據(jù)流的標(biāo)識的記錄����,在步驟411之后,都可以得到一條包含有該數(shù)據(jù)流的標(biāo)識的記錄�,從該記錄中獲取包含的進(jìn)程的標(biāo)識,在本實施例中�,獲取的進(jìn)程標(biāo)識是sogoucloud.exe。步驟420���,終端設(shè)備判斷第1條記錄中的進(jìn)程標(biāo)識sogoucloud.exe是否被設(shè)置了報文采集標(biāo)識�。若設(shè)置了報文采集標(biāo)識,則執(zhí)行步驟421�。若未設(shè)置報文采集標(biāo)識,則結(jié)束�。步驟421,終端設(shè)備清除報文采集標(biāo)識��,并開始針對標(biāo)識為sogoucloud.exe的進(jìn)程進(jìn)行抓包�。在本實施例中終端設(shè)備清除表6中的報文采集標(biāo)識,得到表7�����,清除報文采集標(biāo)識的目的是為了避免針對一個進(jìn)程進(jìn)行長時間抓包����。表7可選地,為了進(jìn)一步避免長時間的對同一個進(jìn)程進(jìn)行抓包�,可以設(shè)置一個抓包時間間隔,在執(zhí)行步驟421之前終端設(shè)備判斷距離上一次針對同一個進(jìn)程進(jìn)行抓包的動作是否超過了設(shè)定的抓包時間間隔��,若超過�����,則進(jìn)行抓包����,若未超過則跳過本步驟,即暫不清除抓包標(biāo)記且暫不執(zhí)行抓包���,結(jié)束本次處理����。步驟422�,終端設(shè)備保存抓包結(jié)果,以便后續(xù)進(jìn)行人工分析�。終端設(shè)備在具體實施針對一個特定進(jìn)程抓包時,可以根據(jù)預(yù)設(shè)的抓包策略進(jìn)行抓包�����,例如�,捕獲該進(jìn)程在預(yù)定時間段內(nèi)傳輸?shù)臄?shù)據(jù)包后結(jié)束抓包,或者捕獲該進(jìn)程傳輸?shù)臄?shù)據(jù)包達(dá)到預(yù)定的數(shù)據(jù)量后結(jié)束抓包���。在這里需要說明的是附圖3b所示的第一對應(yīng)表的更新方法和附圖4所示的抓包方法可以單獨(dú)執(zhí)行��,也可以相結(jié)合執(zhí)行�。本實施例提供的上述抓包方法�,能夠在終端設(shè)備中獲得關(guān)于特定進(jìn)程的多個完整的數(shù)據(jù)流����,以供后 續(xù)通過人工分析得到基于特征的識別規(guī)則��,或啟發(fā)式識別規(guī)則�,將得到的規(guī)則應(yīng)用于網(wǎng)絡(luò)安全設(shè)備后,可以改善應(yīng)用識別的效果�。本申請實施例還提供了一種終端設(shè)備,如附圖5a所示�,該終端設(shè)備包括存儲器510、處理器520和網(wǎng)絡(luò)接口530�����,所述存儲器510���、處理器520和網(wǎng)絡(luò)接口530通過總線540相互通信���。存儲器510包括但不限于是隨機(jī)存取存儲器(ram)、只讀存儲器(rom)�、可擦除可編程只讀存儲器(eprom或者快閃存儲器)、或便攜式只讀存儲器(cd-rom)���。處理器520可以是一個或多個中央處理器(centralprocessingunit��,簡稱cpu)�����,在處理器520是一個cpu的情況下��,該cpu可以是單核cpu����,也可以是多核cpu���。網(wǎng)絡(luò)接口530可以是有線接口�,例如光纖分布式數(shù)據(jù)接口(fiberdistributeddatainterface�,簡稱fddi)、千兆以太網(wǎng)(gigabitethernet�,簡稱ge)接口;網(wǎng)絡(luò)接口530也可以是無線接口��。如果終端設(shè)備是個人計算機(jī)�����,網(wǎng)絡(luò)接口530可以是上述有線接口也可以是基于ieee802.11b的無線局域網(wǎng)(wirelessfidelity,wifi)模塊�����。如果終端設(shè)備是手機(jī)等移動終端��,網(wǎng)絡(luò)接口530可以是由基帶芯片和射頻天線組成的硬件模塊�。存儲器510用于存儲程序代碼、第一對應(yīng)表和第二對應(yīng)表�。第一對應(yīng)表和第二對應(yīng)表的定義請參見上述實施例中的描述,這里不再重復(fù)�����。網(wǎng)絡(luò)接口530��,用于接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識�����。所述處理器520讀取所述存儲器510中存儲的程序代碼��,執(zhí)行:在所述第一對應(yīng)表中�,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識的第一記錄,獲取所述第一記錄中的進(jìn)程的標(biāo)識���;在所述第二對應(yīng)表中�����,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識的第二記錄���,從所述第二記錄中獲取應(yīng)用的標(biāo)識。所述網(wǎng)絡(luò)接口530���,還用于向網(wǎng)絡(luò)安全設(shè)備發(fā)送處理器520獲取的應(yīng)用的標(biāo)識���。可選地�,處理器520可以采用上述附圖3a、3b及相關(guān)描述的方法來獲得第一對應(yīng)表����,以及更新第一對應(yīng)表?��?蛇x地,處理器520可以采用附圖4及相關(guān)描述的方法來獲得完整數(shù)據(jù)流的報文���。本申請實施例還提供了一種終端設(shè)備���,如附圖5b所示����。該終端設(shè)備包括存儲模塊560���、接收模塊570�����、處理模塊580和發(fā)送模塊590�。需要說明的是這些模塊為功能相對獨(dú)立的邏輯模塊����,既可以是終端設(shè)備中的cpu讀取存儲中的軟件代碼并運(yùn)行后生成的,也可以是由硬件組件來實現(xiàn)的���。具體地:存儲模塊560�����,用于存儲第一對應(yīng)表和第二對應(yīng)表���,第一對應(yīng)表保存有所述終端中運(yùn)行的進(jìn)程的標(biāo)識和所述進(jìn)程建立的數(shù)據(jù)流的標(biāo)識的對應(yīng)關(guān)系,第二對應(yīng)表保存有應(yīng)用的標(biāo)識和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識的第二對應(yīng)關(guān)系�,所述數(shù)據(jù)流的標(biāo)識為由源地址、源端口����、目的地址��、目的端口和協(xié)議標(biāo)識組成的五元組��。接收模塊570,用于接收網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一數(shù)據(jù)流的標(biāo)識���。處理模塊580,用于在存儲模塊560存儲的所述第一對應(yīng)表中���,查找到保存有所述第一數(shù)據(jù)流的標(biāo)識的第一記錄,獲取所述第一記錄中的進(jìn)程的標(biāo)識���;在所述第二對應(yīng)表中�����,查找到保存有所述第一記錄中的進(jìn)程的標(biāo)識的第二記錄����,從所述第二記錄中獲取應(yīng)用的標(biāo)識��。發(fā)送模塊590���,用于向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述應(yīng)用的標(biāo)識��?���?蛇x地�����,處理模塊580可以采用上述附圖3a�、3b及相關(guān)描述的方法來獲得第一對應(yīng)表,以及更新第一對應(yīng)表����。可選地�����,處理模塊580可以采用附圖4及相關(guān)描述的方法來獲得完整數(shù)據(jù)流的報文��。附圖5a和5b所提供的終端設(shè)備可以作為附圖1a或1b中的終端設(shè)備110��。本申請實施例提供的終端設(shè)備接收到網(wǎng)絡(luò)安全設(shè)備發(fā)送的數(shù)據(jù)流的標(biāo)識后�����,根據(jù)終端設(shè)備保存的第一對應(yīng)表和第二對應(yīng)表��,查找到應(yīng)用的標(biāo)識��,將查找到的應(yīng)用的標(biāo)識發(fā)送給網(wǎng)絡(luò)安全設(shè)備����。通過網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間的交互���,能夠識別出更多的應(yīng)用�,從而降低了未識別流量在總流量中所占的比例�����,改善了網(wǎng)絡(luò)流量的識別效果。本申請實施例還提供了一種網(wǎng)絡(luò)安全設(shè)備��,如附圖6a所示�����,該網(wǎng)絡(luò)安全設(shè)備包括存儲器610����、處理器620和網(wǎng)絡(luò)接口630,所述存儲器610�����、處理器620和網(wǎng)絡(luò)接口630通過總線640相互通信���。存儲器610包括但不限于是隨機(jī)存取存儲器(ram)���、只讀存儲器(rom)、可擦除可編程只讀存儲器(eprom或者快閃存儲器)��、或便攜式只讀存儲器(cd-rom)�����。處理器620可以是一個或多個中央處理器(centralprocessingunit,簡稱cpu)�����,在處理器520是一個cpu的情況下�,該cpu可以是單核cpu,也可以是多核cpu�����。網(wǎng)絡(luò)接口630可以是有線接口�����,例如光纖分布式數(shù)據(jù)接口(fiberdistributeddatainterface���,簡稱fddi)、千兆以太網(wǎng)(gigabitethernet�,簡稱ge)接口;網(wǎng)絡(luò)接口630也可以是無線接口���。網(wǎng)絡(luò)接口630��,用于接收第一數(shù)據(jù)流��。處理器620�,用于獲取第一數(shù)據(jù)流的標(biāo)識,所述數(shù)據(jù)流的標(biāo)識為由源地址��、源端口����、目的地址、目的端口和協(xié)議標(biāo)識組成的五元組���。網(wǎng)絡(luò)接口630�����,還用于根據(jù)第一數(shù)據(jù)流的標(biāo)識中的源地址或目的地址��,向終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識��,所述終端設(shè)備的地址為所述第一數(shù)據(jù)流的標(biāo)識中的源地址或目的地址�����?���?蛇x地,處理器620在采用現(xiàn)有應(yīng)用識別技術(shù)無法識別出發(fā)送第一數(shù)據(jù)流的應(yīng)用時�����,指示網(wǎng)絡(luò)接口630向所述終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識����。所述網(wǎng)絡(luò)接口630,還用于接收終端設(shè)備發(fā)送的應(yīng)用的標(biāo)識����。處理器620,還用于確定網(wǎng)絡(luò)接口630接收到的所述應(yīng)用的標(biāo)識為發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識���,從而得到第一數(shù)據(jù)流的應(yīng)用識別結(jié)果�����。本申請實施例還提供了一種網(wǎng)絡(luò)安全設(shè)備�,如附圖6b所示����。該網(wǎng)絡(luò)安全設(shè)備包括接收模塊660、處理模塊670��、和發(fā)送模塊680����。需要說明的是這些模塊為功能相對獨(dú)立的邏輯模塊,既可以是終端設(shè)備中的cpu讀取存儲中的軟件代碼并運(yùn)行后生成的����,也可以是由硬件組件來實現(xiàn)的。具體地:接收模塊660����,用于接收第一數(shù)據(jù)流。處理模塊670����,用于獲取第一數(shù)據(jù)流的標(biāo)識,所述數(shù)據(jù)流的標(biāo)識為由源地址�����、源端口��、目的地址、目的端口和協(xié)議標(biāo)識組成的五元組���。發(fā)送模塊680�����,用于根據(jù)第一數(shù)據(jù)流的標(biāo)識中的源地址或目的地址�,向終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識�,所述終端設(shè)備的地址為所述第一數(shù)據(jù)流的標(biāo)識中的源地址或目的地址?���?蛇x地,處理模塊670在采用現(xiàn)有應(yīng)用識別技術(shù)無法識別出發(fā)送所述第一數(shù)據(jù)流的應(yīng)用時�����,指示發(fā)送模塊680向終端設(shè)備發(fā)送所述數(shù)據(jù)流的標(biāo)識���。接收模塊660��,還用于收終端設(shè)備發(fā)送的應(yīng)用的標(biāo)識����。處理模塊670,還用于確定網(wǎng)絡(luò)接口660接收到的應(yīng)用的標(biāo)識為發(fā)送所述第一數(shù)據(jù)流的應(yīng)用的標(biāo)識�,從而得到第一數(shù)據(jù)流的應(yīng)用識別結(jié)果。附圖6a和6b所提供的網(wǎng)絡(luò)安全設(shè)備可以作為附圖1a或1b中的網(wǎng)絡(luò)安全設(shè)備120�����。附圖6a和6b所提供的網(wǎng)絡(luò)安全設(shè)備與終端設(shè)備的交互過程請參照附圖2及相關(guān)描述����。本申請實施例提供的網(wǎng)絡(luò)安全設(shè)備在采用現(xiàn)有應(yīng)用識別技術(shù)無法識別出發(fā)送數(shù)據(jù)流的應(yīng)用時�,向終 端設(shè)備發(fā)送數(shù)據(jù)流的標(biāo)識,接收終端設(shè)備發(fā)送的應(yīng)用的標(biāo)識���,將接收到的所述應(yīng)用的標(biāo)識作為發(fā)送數(shù)據(jù)流的應(yīng)用的標(biāo)識��,從而得到數(shù)據(jù)流的應(yīng)用識別結(jié)果���。通過網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備之間的交互,能夠識別出更多的應(yīng)用�����,從而降低了未識別流量在總流量中所占的比例�����,改善了網(wǎng)絡(luò)流量的識別效果。實施例二附圖7是本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng)的示意圖����。該系統(tǒng)中包括終端設(shè)備710、網(wǎng)絡(luò)安全設(shè)備720和數(shù)據(jù)處理設(shè)備730����。與附圖1a和附圖1b所示的識別系統(tǒng)相比,增加了一個數(shù)據(jù)處理設(shè)備730�。數(shù)據(jù)處理設(shè)備730可以作為一個邏輯模塊,集成于網(wǎng)絡(luò)安全設(shè)備720或終端設(shè)備710中�,也可以作為一個獨(dú)立的實體設(shè)備單獨(dú)部署,只要保證能夠分別與終端設(shè)備710和網(wǎng)絡(luò)安全設(shè)備720進(jìn)行通信即可?��,F(xiàn)有技術(shù)要實現(xiàn)發(fā)現(xiàn)網(wǎng)絡(luò)安全設(shè)備錯誤識別結(jié)果這一目的�����,只能使用僅包含待識別應(yīng)用產(chǎn)生的��、沒有混雜其他應(yīng)用的流量�,對網(wǎng)絡(luò)安全設(shè)備對該待識別應(yīng)用的識別效果進(jìn)行測試�����。而且無法估算混雜流量情況下的識別效果。本實施例中增加數(shù)據(jù)處理設(shè)備730的主要目的在于通過對來自于終端設(shè)備710的信息和來自于網(wǎng)絡(luò)安全設(shè)備720的信息進(jìn)行綜合分析�,從而識別出網(wǎng)絡(luò)安全設(shè)備720的錯誤識別結(jié)果。首先需要說明的是����,終端設(shè)備710與實施例一中的終端設(shè)備110有一定類似之處��,網(wǎng)絡(luò)安全設(shè)備720與實施一中的網(wǎng)絡(luò)安全設(shè)備120也有一定類似之處��,為了簡明起見�����,在本實施例中著重對與實施例一中的不同之處進(jìn)行詳述�����,對于可以參照實施例一中類似的內(nèi)容簡單描述�����。在附圖7所示的識別系統(tǒng)中�����,網(wǎng)絡(luò)安全設(shè)備720,用于接收第一數(shù)據(jù)流���,確定發(fā)送第一數(shù)據(jù)流的應(yīng)用的標(biāo)識后��,生成第一識別記錄����,所述第一識別記錄包含所述第一數(shù)據(jù)流的標(biāo)識與所述應(yīng)用的標(biāo)識����,所述數(shù)據(jù)流的標(biāo)識為由源地址、源端口��、目的地址����、目的端口和協(xié)議標(biāo)識組成的五元組,向所述處理設(shè)備發(fā)送所述第一識別記錄��。其中��,網(wǎng)絡(luò)安全設(shè)備720可以采用基于特征的識別技術(shù)�、啟發(fā)式識別技術(shù)�����,或關(guān)聯(lián)識別技術(shù)等現(xiàn)有應(yīng)用識別技術(shù)對第一數(shù)據(jù)流進(jìn)行識別���,從而確定發(fā)送第一數(shù)據(jù)流的應(yīng)用的標(biāo)識。所述終端設(shè)備710���,用于獲取本終端設(shè)備上的進(jìn)程的標(biāo)識以及所述進(jìn)程創(chuàng)建的第二數(shù)據(jù)流的標(biāo)識����,生成第二識別記錄�,所述第二識別記錄包含第二數(shù)據(jù)流的標(biāo)識與進(jìn)程的標(biāo)識��;以及獲取對應(yīng)表��,所述對應(yīng)表中的每條記錄保存一個應(yīng)用的標(biāo)識與所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識��;向所述數(shù)據(jù)處理設(shè)備發(fā)送所述第二識別記錄和對應(yīng)表���。容易理解����,本實施例中的對應(yīng)表即為實施例一中的第二對應(yīng)表。在本實施例中為了保持與實施例一中各對應(yīng)表命名的一致性�,仍保留第二對應(yīng)表的名稱。本實施例中的第二識別記錄可以是實施例一中第一對應(yīng)表中的一條記錄�����,終端設(shè)備710獲得第一對應(yīng)表的過程請參見實施例一中的相關(guān)內(nèi)容,終端設(shè)備710可以在獲得第一對應(yīng)表后�����,將第一對應(yīng)表作為一個文件整體發(fā)送給數(shù)據(jù)處理設(shè)備730���,也可以選擇性地將第一對應(yīng)表中的一條記錄或多條記錄發(fā)送給數(shù)據(jù)處理設(shè)備730,在這里不進(jìn)行限制���。數(shù)據(jù)處理設(shè)備730����,用于接收來自于網(wǎng)絡(luò)安全設(shè)備720的第一識別記錄;接收來自于終端設(shè)備710的第二識別記錄和對應(yīng)表��。如果第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同,在對應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄���,第一關(guān)聯(lián)記錄中保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識。如果不存在第一關(guān)聯(lián)記錄��,則確定第一識別記錄為錯誤識別記錄����。可選地�����,在數(shù)據(jù)處理設(shè)備730確定第一識別記錄為錯誤識別記錄之后���,還可以向終端設(shè)備710發(fā)送所述第二識別記錄中包含的進(jìn)程的標(biāo)識,以便終端設(shè)備710為該進(jìn)程的標(biāo)識設(shè)置抓包標(biāo)記�,后續(xù)抓取該進(jìn)程的標(biāo)識所代表的進(jìn)程發(fā)送的多個完整的數(shù)據(jù)流�����,進(jìn)行人工分析�����。具體抓包過程請參考實施例一附圖 4及相關(guān)描述���,在這里不再重復(fù)�。可選地���,為了減少后續(xù)網(wǎng)絡(luò)安全設(shè)備因為同一關(guān)聯(lián)識別規(guī)則導(dǎo)致重復(fù)地向數(shù)據(jù)處理設(shè)備發(fā)送相同的錯誤識別記錄����,造成占用數(shù)據(jù)處理設(shè)備與網(wǎng)絡(luò)安全設(shè)備之間的傳輸資源���,可以網(wǎng)絡(luò)安全設(shè)備可以在發(fā)送給數(shù)據(jù)處理設(shè)備的第一識別記錄中增加識別方式的標(biāo)識�,數(shù)據(jù)處理設(shè)備當(dāng)確認(rèn)錯誤識別結(jié)果是由于關(guān)聯(lián)識別規(guī)則導(dǎo)致的之后�����,通知網(wǎng)絡(luò)安全設(shè)備刪除相應(yīng)的關(guān)聯(lián)識別規(guī)則��,從而避免后續(xù)出現(xiàn)相同原因造成的錯誤識別結(jié)果�。具體地:來自于網(wǎng)絡(luò)安全設(shè)備720的第一識別記錄還包含識別方式的標(biāo)識��,所述識別方式包括關(guān)聯(lián)識別�����、特征識別和啟發(fā)式識別����。關(guān)聯(lián)識別方式是指網(wǎng)絡(luò)安全設(shè)備720根據(jù)報文的ip地址�����、端口號與應(yīng)用的對應(yīng)關(guān)系���,對發(fā)送報文的應(yīng)用進(jìn)行識別���。例如�����,網(wǎng)絡(luò)安全設(shè)備720通過對ftp控制通道中的控制報文進(jìn)行解析,可以得到即將建立的數(shù)據(jù)通道所使用的ip地址和端口號�,在關(guān)聯(lián)表中添加獲得的ip地址和端口號與ftp客戶端名稱�,例如filezilla的對應(yīng)關(guān)系�����。接收到后續(xù)報文后,在關(guān)聯(lián)表中查詢是否存在該報文攜帶的ip地址和端口號�,如果關(guān)聯(lián)表中存在該報文攜帶的ip地址和端口號�����,則將關(guān)聯(lián)表中該報文攜帶的ip地址和端口號對應(yīng)的filezilla作為發(fā)送該報文的應(yīng)用���。在第一識別記錄還包含識別方式的標(biāo)識的情況下��,在數(shù)據(jù)處理設(shè)備730確定第一識別記錄為錯誤設(shè)備記錄之后,還可以如果所述第一識別紀(jì)錄中識別方式的標(biāo)識為關(guān)聯(lián)識別方式的標(biāo)識��,則向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識別規(guī)則�����,所述第一關(guān)聯(lián)識別規(guī)則包含所述第一識別記錄包含的第一數(shù)據(jù)流的標(biāo)識。在本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別系統(tǒng)中����,數(shù)據(jù)處理設(shè)備接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識別記錄和來自于終端設(shè)備的第二識別記錄和對應(yīng)表�����,如果所述第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與所述第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同�����,在所述對應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識�����,如果不存在所述第一關(guān)聯(lián)記錄,確定所述第一識別記錄為錯誤識別記錄�����。數(shù)據(jù)處理設(shè)備通過比較終端設(shè)備和網(wǎng)絡(luò)安全設(shè)備的識別記錄,能夠識別出現(xiàn)有技術(shù)難以發(fā)現(xiàn)的網(wǎng)絡(luò)安全設(shè)備的錯誤識別記錄��,改善了網(wǎng)絡(luò)流量的識別效果。下面將參照附圖8a和附圖8b結(jié)合一個具體實例����,對本實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法進(jìn)行描述���。本實施例中的終端設(shè)備可以是附圖7中的終端設(shè)備710���,網(wǎng)絡(luò)安全設(shè)備可以是附圖7中的網(wǎng)絡(luò)安全設(shè)備720�����,數(shù)據(jù)處理設(shè)備可以是附圖7中的數(shù)據(jù)處理設(shè)備730����。附圖8a以詳細(xì)時序交互圖的方式對本實施例提供的識別方法進(jìn)行描述�。步驟801,網(wǎng)絡(luò)安全設(shè)備接收到第一數(shù)據(jù)流中的報文p10后����,基于關(guān)聯(lián)識別技術(shù)對第一數(shù)據(jù)流進(jìn)行應(yīng)用識別,得到識別結(jié)果��,即第一識別記錄“tcp192.168.1.211:3020-201.6.8.30:6682暴風(fēng)影音a”�。第一識別記錄可以是網(wǎng)絡(luò)安全設(shè)備接收到第一數(shù)據(jù)流后,采用基于特征的識別技術(shù)�、啟發(fā)式等識別技術(shù)、或關(guān)聯(lián)識別技術(shù)得到的規(guī)則對第一數(shù)據(jù)流進(jìn)行識別后得到的����。網(wǎng)絡(luò)安全設(shè)備可以依次采用各種現(xiàn)有識別技術(shù)對報文進(jìn)行識別,直到能夠得到識別結(jié)果����,例如網(wǎng)絡(luò)安全設(shè)備先采用基于特征的規(guī)則對報文進(jìn)行識別�����,當(dāng)無法得到識別結(jié)果時�����,即報文中的特征與任何一個基于特征的規(guī)則中的規(guī)則均不一致時��,采用啟發(fā)式規(guī)則對報文進(jìn)行識別���,當(dāng)無法得到匹配結(jié)果時,再次嘗試?yán)藐P(guān)聯(lián)識別規(guī)則對報文進(jìn)行識別�����。當(dāng)然�����,如果網(wǎng)絡(luò)安全設(shè)備先采用基于特征的規(guī)則對報文進(jìn)行識別��,就能夠得到匹配結(jié)果�,則生成識別記錄,處理結(jié)束。網(wǎng)絡(luò)安全設(shè)備選擇識別技術(shù)時的順序沒有特別限定����。在本實施例中,第一識別記錄是網(wǎng)絡(luò)安全設(shè)備根據(jù)第一關(guān)聯(lián)識別規(guī)則識別出的�����,第一關(guān)聯(lián)識別規(guī)則 為“tcp201.6.8.30:6682暴風(fēng)影音”����。網(wǎng)絡(luò)安全設(shè)備在接收到報文p10后��,從報文中獲得目的三元組和源三元組�����,將目的三元組或源三元組與第一關(guān)聯(lián)識別規(guī)則匹配�����,如果目的三元組或源三元組中的任意一個與第一關(guān)聯(lián)識別規(guī)則中的三元組一致���,則確定報文p10所屬的第一數(shù)據(jù)流是終端設(shè)備中的暴風(fēng)影音發(fā)送的���。本實施例中����,關(guān)聯(lián)識別方式的標(biāo)識是a�,基于特征的識別方式的標(biāo)識是b、啟發(fā)式識別技術(shù)的標(biāo)識是c�。步驟802,網(wǎng)絡(luò)安全設(shè)備將第一識別記錄“tcp192.168.1.211:3020-201.6.8.30:6682暴風(fēng)影音a”攜帶在報文p11中����,向數(shù)據(jù)處理設(shè)備發(fā)送p11。步驟803�����,數(shù)據(jù)處理設(shè)備接收到報文p11后對報文p11進(jìn)行解析�����,得到報文p11攜帶的第一識別記錄“tcp192.168.1.211:3020-201.6.8.30:6682暴風(fēng)影音a”�。步驟804,數(shù)據(jù)處理設(shè)備接收來自于終端設(shè)備的第二識別記錄“tcp192.168.1.211:3020-201.6.8.30:6682sogoucloud.exe”和第二對應(yīng)表�。需要說明的是,第二識別記錄和第二對應(yīng)表可以是分別發(fā)送的���。例如����,第二對應(yīng)表是在終端設(shè)備中的agent初始化完成之后發(fā)送的,或者終端設(shè)備中的agent檢測到實施例一中表2所示的第二對應(yīng)表發(fā)生變化后發(fā)送的��。如果終端設(shè)備被配置為定期將維護(hù)的實施例一中表1所示的第一對應(yīng)表作為一個整體文件包發(fā)送給數(shù)據(jù)處理設(shè)備���,第二識別記錄可以是終端設(shè)備發(fā)送的第一對應(yīng)表中的一條記錄��。數(shù)據(jù)處理設(shè)備也可以在接收到來自于網(wǎng)絡(luò)安全設(shè)備的第一識別記錄后�����,提取其中的五元組,將五元組發(fā)送給終端設(shè)備�����,指示終端設(shè)備將包含該五元組的第一對應(yīng)表中的記錄返回給數(shù)據(jù)處理設(shè)備�����。終端設(shè)備向數(shù)據(jù)處理設(shè)備發(fā)送第二識別記錄的具體方式在這里不進(jìn)行限定����。步驟805�,數(shù)據(jù)處理設(shè)備確定所述第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與所述第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同���。具體地����,如果終端設(shè)備被配置為定期將維護(hù)的實施例一中表1所示的第一對應(yīng)表作為一個整體文件包發(fā)送給數(shù)據(jù)處理設(shè)備����,則數(shù)據(jù)處理設(shè)備根據(jù)第一識別記錄中的五元組,從整體文件包中查詢到一個包含五元組tcp192.168.1.211:3020-201.6.8.30:6682的記錄作為第二識別記錄��。如果終端設(shè)備單獨(dú)發(fā)送第二識別記錄��,則數(shù)據(jù)處理設(shè)備接收到網(wǎng)絡(luò)安全設(shè)備發(fā)送的第一識別記錄后�����,與此前預(yù)定時間段內(nèi)接收到的來自于終端設(shè)備的至少一個識別記錄進(jìn)行比較�,確定存在一個識別記錄,其攜帶的數(shù)據(jù)流的標(biāo)識與第一識別記錄中包含的數(shù)據(jù)流的標(biāo)識相同���,則將該識別記錄作為第二識別記錄��。步驟806�,數(shù)據(jù)處理設(shè)備在第二對應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄,所述第一關(guān)聯(lián)記錄中保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識���。如果存在�����,說明第一識別記錄是正確的識別記錄�����,繼續(xù)處理網(wǎng)絡(luò)安全設(shè)備發(fā)送的下一條識別記錄�����;否則說明第一識別記錄是錯誤的識別記錄��。具體地,數(shù)據(jù)處理設(shè)備確定第二對應(yīng)表中是否存在一條關(guān)聯(lián)記錄����,該關(guān)聯(lián)記錄中保存有第一識別記錄中的應(yīng)用標(biāo)識“暴風(fēng)影音”與第二識別記錄中的進(jìn)程標(biāo)識“sogoucloud.exe”的關(guān)聯(lián)記錄,在本實施例中��,表2所示的第二關(guān)聯(lián)表中并不存在同時包含“暴風(fēng)影音”和“sogoucloud.exe”的記錄。如果數(shù)據(jù)處理設(shè)備確定出一條來自于網(wǎng)絡(luò)安全設(shè)備的識別記錄是錯誤的識別記錄���,可以執(zhí)行步驟807�����,810或步驟808~步驟809組成的子流程中的至少一個����。換句話說�,步驟807,810或步驟808~步驟809組成的子流程均是可選地���,而且在執(zhí)行順序上也沒有特別限定��。步驟807�����,數(shù)據(jù)處理設(shè)備向終端設(shè)備發(fā)送攜帶有所述第二識別記錄中包含的進(jìn)程的標(biāo)識 sogoucloud.exe的報文p12���,以便終端設(shè)備為該進(jìn)程的標(biāo)識設(shè)置抓包標(biāo)記,后續(xù)抓取該進(jìn)程的標(biāo)識所代表的進(jìn)程發(fā)送的多個完整的數(shù)據(jù)流�,進(jìn)行人工分析�。具體抓包過程請參照附圖4中步驟49至步驟422的描述����。步驟808,數(shù)據(jù)處理設(shè)備判斷第一識別記錄中攜帶的識別方式的標(biāo)識是否為關(guān)聯(lián)識別方式的標(biāo)識�����,如果第一識別記錄中攜帶的識別方式的標(biāo)識是關(guān)聯(lián)識別方式的標(biāo)識���,則執(zhí)行步驟809�,否則結(jié)束本次處理��。步驟809�,數(shù)據(jù)處理設(shè)備向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息p13,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識別規(guī)則“tcp201.6.8.30:6682暴風(fēng)影音”���。具體地�,通知消息中可以攜帶第一識別記錄中的數(shù)據(jù)流的標(biāo)識和一個刪除指令�����,例如“201.6.8.30:6682d”�����,其中d為刪除指令���。步驟810���,數(shù)據(jù)處理設(shè)備還統(tǒng)計錯誤識別記錄的次數(shù),在每次確定出一次錯誤識別記錄后���,對當(dāng)前錯誤識別記錄的次數(shù)加1��?��?蛇x地,數(shù)據(jù)處理設(shè)備在步驟806中確定是正確的識別記錄的情況下�����,也可以對當(dāng)前正確識別記錄的次數(shù)加1��。這樣根據(jù)錯誤識別記錄的次數(shù)和正確識別記錄的次數(shù)����,就可以計算出預(yù)定時間段內(nèi)的誤報率��。數(shù)據(jù)處理設(shè)備還可以通過輸出接口����,例如顯示器�����,或打印機(jī)��,定期將錯誤識別記錄和誤報率輸出����,以供管理人員分析。步驟811�����,網(wǎng)絡(luò)安全設(shè)備接收到通知消息p13后�����,刪除第一關(guān)聯(lián)識別規(guī)則“tcp201.6.8.30:6682暴風(fēng)影音”或第二關(guān)聯(lián)規(guī)則“tcp192.168.1.211:3020暴風(fēng)影音”�����?�?蛇x地��,在步驟806�,數(shù)據(jù)處理設(shè)備確定第一識別記錄是錯誤的識別記錄之后,還可以為網(wǎng)絡(luò)安全設(shè)備生成正確的關(guān)聯(lián)識別規(guī)則��。以便于提高網(wǎng)絡(luò)安全設(shè)備后續(xù)識別的效果�,具體地,812�����,數(shù)據(jù)處理設(shè)備在所述對應(yīng)表中查詢是否存在第二關(guān)聯(lián)記錄����,所述第二關(guān)聯(lián)記錄中保存有第二識別記錄中包含的進(jìn)程的標(biāo)識。如果存在第二關(guān)聯(lián)記錄����,執(zhí)行步驟813,否則處理結(jié)束�����。步驟813,數(shù)據(jù)處理設(shè)備生成第三關(guān)聯(lián)規(guī)則或第四關(guān)聯(lián)規(guī)則��,所述第三關(guān)聯(lián)規(guī)則包括所述第二關(guān)聯(lián)記錄中的應(yīng)用的標(biāo)識和由所述第一數(shù)據(jù)流的目的地址�����、目的端口和協(xié)議號組成的三元組����,所述第四關(guān)聯(lián)規(guī)則包括第二關(guān)聯(lián)記錄中的應(yīng)用的標(biāo)識和由所述第一數(shù)據(jù)流的源地址、源端口和協(xié)議號組成的三元組��。在本實例中����,表2所示的第二對應(yīng)表中的第1行記錄包括“sogoucloud.exe”,第1行記錄中包含的應(yīng)用的標(biāo)識是“搜狗輸入法”�����。生成的第三關(guān)聯(lián)規(guī)則是“tcp201.6.8.30:6682搜狗輸入法”����,第四關(guān)聯(lián)規(guī)則是“tcp192.168.1.211:3020搜狗輸入法”����。步驟814����,數(shù)據(jù)處理設(shè)備向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送所述第三關(guān)聯(lián)識別規(guī)則或第四關(guān)聯(lián)識別規(guī)則�����。附圖8b描述的是數(shù)據(jù)處理設(shè)備執(zhí)行的識別方法的另一流程圖�。可以理解在附圖8a的基礎(chǔ)上�,附圖8b中的步驟821~步驟829是數(shù)據(jù)處理設(shè)備針對網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備發(fā)送的另外兩條識別記錄進(jìn)行的描述。步驟821�����,網(wǎng)絡(luò)安全設(shè)備接收到第三數(shù)據(jù)流中的報文p20后���,基于現(xiàn)有基于特征的識別技術(shù)對第三數(shù)據(jù)流進(jìn)行應(yīng)用識別���,無法得到識別結(jié)果,則生成第三識別記錄“tcp192.168.1.211:6120-168.3.56.120:1138unidentified”���,其中unidentified是未識別標(biāo)識����,用于表征所述網(wǎng)絡(luò)安全設(shè)備未識別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用。步驟822����,網(wǎng)絡(luò)安全設(shè)備將第三識別記錄“tcp192.168.1.211:6120-168.3.56.120:1138unidentified”攜 帶在報文p21中,向數(shù)據(jù)處理設(shè)備發(fā)送p21�����。步驟823�,數(shù)據(jù)處理設(shè)備接收到報文p21,從報文p21中獲取攜帶的第三識別記錄“tcp192.168.1.211:6120-168.3.56.120:1138unidentified”��。步驟824�,數(shù)據(jù)處理設(shè)備接收來自于終端設(shè)備的第四識別記錄“tcp192.168.1.211:6120-168.3.56.120:1138kxescore.exe”。這里假設(shè)如表2所示的第二對應(yīng)表已保存在數(shù)據(jù)處理設(shè)備中�。步驟825,數(shù)據(jù)處理設(shè)備確定所述第三識別記錄中包含的第三數(shù)據(jù)流的標(biāo)識與所述第四識別記錄中包含的第四數(shù)據(jù)流的標(biāo)識相同���。步驟826����,數(shù)據(jù)處理設(shè)備在第二對應(yīng)表中查詢是否存在第三關(guān)聯(lián)記錄,所述第三關(guān)聯(lián)記錄中保存有第四識別記錄中包含的進(jìn)程的標(biāo)識��。如果存在第二關(guān)聯(lián)記錄�����,可以擇一選擇執(zhí)行步驟827~步驟828組成的子流程�����,或者步驟829~步驟830組成的子流程����。在本實施例中��,表2中的第3條記錄包含“kxescore.exe”�。步驟827,數(shù)據(jù)處理設(shè)備生成第五關(guān)聯(lián)識別規(guī)則或第六關(guān)聯(lián)識別規(guī)則����,所述第五關(guān)聯(lián)識別規(guī)則包含所述第六關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識和由所述第三數(shù)據(jù)流的目的地址、目的端口和協(xié)議號組成的三元組�����,所述第五關(guān)聯(lián)識別規(guī)則包含所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識和由所述第三數(shù)據(jù)流的源地址、源端口和協(xié)議號組成的三元組���。在本實施例中���,第五關(guān)聯(lián)識別規(guī)則為“tcp168.3.56.120:1138華為安全衛(wèi)士”,第六關(guān)聯(lián)識別規(guī)則為“tcp192.168.1.211:6120華為安全衛(wèi)士”�����。步驟828��,數(shù)據(jù)處理設(shè)備向網(wǎng)絡(luò)安全設(shè)備發(fā)送第五關(guān)聯(lián)識別規(guī)則或第六關(guān)聯(lián)識別規(guī)則��。步驟829�,數(shù)據(jù)處理設(shè)備將所述第三數(shù)據(jù)流的標(biāo)識和所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識攜帶在報文p22中發(fā)送給所述網(wǎng)絡(luò)安全設(shè)備。步驟830����,網(wǎng)絡(luò)安全設(shè)備接收到報文p22后,根據(jù)報文p22生成第五關(guān)聯(lián)識別規(guī)則或第六關(guān)聯(lián)識別規(guī)則���。所述第五關(guān)聯(lián)識別規(guī)則包含報文p22中攜帶的應(yīng)用的標(biāo)識和由報文p122中攜帶的第三數(shù)據(jù)流的目的地址�、目的端口和協(xié)議號組成的三元組���。第六關(guān)聯(lián)識別規(guī)則包含報文p22攜帶的應(yīng)用的標(biāo)識和由所述第三數(shù)據(jù)流的源地址�、源端口和協(xié)議號組成的三元組。這里需要指出的是�,如實施例一中附圖2中步驟212,以及實施例二中附圖8a步驟813����,附圖8b中步驟827~步驟828,或步驟829~步驟830所示的根據(jù)識別記錄生成新的關(guān)聯(lián)識別規(guī)則的方式���,在具體實施時為了減少后續(xù)因為關(guān)聯(lián)規(guī)則生成的誤識別的幾率�,可以根據(jù)多條存在共性的識別記錄生成關(guān)聯(lián)識別規(guī)則�,而不是得到一條識別記錄就立即生成關(guān)聯(lián)識別規(guī)則。舉例來說���,數(shù)據(jù)處理設(shè)備在步驟826確定出一條正確的識別記錄時,生成臨時關(guān)聯(lián)識別規(guī)則并存儲����,并為每條臨時關(guān)聯(lián)識別規(guī)則設(shè)置一個計數(shù)值,如表8所示���。表8序號臨時關(guān)聯(lián)識別規(guī)則計數(shù)值1tcp168.3.56.120:1138華為安全衛(wèi)士12tcp192.168.1.211:6120華為安全衛(wèi)士13…………當(dāng)后續(xù)數(shù)據(jù)處理設(shè)備再次執(zhí)行附圖8b所示的流程���,生成其他臨時關(guān)聯(lián)識別規(guī)則時����,在表8中存儲 臨時關(guān)聯(lián)識別規(guī)則時���,先查找表8中是否已存在相同的臨時關(guān)聯(lián)識別規(guī)則��,若存在�,則將該臨時關(guān)聯(lián)識別規(guī)則對應(yīng)的計數(shù)值加1�,如果不存在,則在表8中新添加一條記錄�����,將計數(shù)值設(shè)置為1�。數(shù)據(jù)處理設(shè)備設(shè)置一個閾值,例如10�,當(dāng)表8中的一條記錄的計數(shù)值超過該閾值后,表明該臨時關(guān)聯(lián)識別規(guī)則具有普遍性��,再將該臨時關(guān)聯(lián)識別規(guī)則作為可以用于網(wǎng)絡(luò)安全設(shè)備對后續(xù)接收到的數(shù)據(jù)流進(jìn)行應(yīng)用識別的正式的關(guān)聯(lián)識別規(guī)則�����。在本申請實施例提供的網(wǎng)絡(luò)流量中的應(yīng)用信息的識別方法中,數(shù)據(jù)處理設(shè)備接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識別記錄和來自于終端設(shè)備的第二識別記錄和對應(yīng)表��,如果所述第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與所述第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同���,在所述對應(yīng)表中查詢是否存在保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識的關(guān)聯(lián)記錄,如果不存在��,確定所述第一識別記錄為錯誤識別記錄���。通過上述過程�,能夠發(fā)現(xiàn)網(wǎng)絡(luò)安全設(shè)備的錯誤識別記錄����,改善應(yīng)用識別的效果。本申請實施例還提供了一種數(shù)據(jù)處理設(shè)備�����,如附圖9a所示��,該數(shù)據(jù)處理設(shè)備包括存儲器910�、處理器920和網(wǎng)絡(luò)接口930���,所述存儲器910����、處理器920和網(wǎng)絡(luò)接口930通過總線940相互通信���。存儲器910包括但不限于是隨機(jī)存取存儲器(ram)��、只讀存儲器(rom)����、可擦除可編程只讀存儲器(eprom或者快閃存儲器)�、或便攜式只讀存儲器(cd-rom)���。處理器920可以是一個或多個中央處理器(centralprocessingunit���,簡稱cpu)�����,在處理器920是一個cpu的情況下�,該cpu可以是單核cpu����,也可以是多核cpu。網(wǎng)絡(luò)接口930可以是有線接口����,例如光纖分布式數(shù)據(jù)接口(fiberdistributeddatainterface,簡稱fddi)��、千兆以太網(wǎng)(gigabitethernet�,簡稱ge)接口;網(wǎng)絡(luò)接口930也可以是無線接口���。網(wǎng)絡(luò)接口930����,用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識別記錄��,所述第一識別記錄包含第一數(shù)據(jù)流的標(biāo)識和應(yīng)用的標(biāo)識���。接收來自于終端設(shè)備的第二識別記錄和對應(yīng)表�����,所述第二識別記錄包含第二數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識,所述對應(yīng)表中的每條記錄保存一個應(yīng)用的標(biāo)識和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識。所述處理器920讀取所述存儲器910中存儲的程序代碼�,執(zhí)行:如果所述第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與所述第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同,在所述對應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄����,所述第一關(guān)聯(lián)記錄中保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識;如果不存在所述第一關(guān)聯(lián)記錄�����,確定所述第一識別記錄為錯誤識別記錄??蛇x地���,所述網(wǎng)絡(luò)接口930還用于如果所述第一識別紀(jì)錄中識別方式的標(biāo)識為關(guān)聯(lián)識別方式的標(biāo)識,則在不存在所述第一關(guān)聯(lián)記錄時��,向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息�����,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識別規(guī)則或第二關(guān)聯(lián)識別規(guī)則�,所述第一關(guān)聯(lián)規(guī)則包括由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號組成的三元組����,所述第二關(guān)聯(lián)識別規(guī)則包括由所述第一數(shù)據(jù)流的源地址����、源端口和協(xié)議號組成的三元組。數(shù)據(jù)處理設(shè)備還可以與網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備交互�����,識別出現(xiàn)有技術(shù)無法識別出的流量�,可選地,所述網(wǎng)絡(luò)接口930還用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識別記錄,所述第三識別記錄包含第三數(shù)據(jù)流的標(biāo)識和未識別標(biāo)識�,所述未識別標(biāo)識用于表征所述網(wǎng)絡(luò)安全設(shè)備未識別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用;接收來自于終端設(shè)備的第四識別記錄���,所述第四識別記錄包含第四數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識��。所述處理器920���,還用于確定所述第三識別記錄中包含的第三數(shù)據(jù)流的標(biāo)識與所述第四識別記錄中包含的第四數(shù)據(jù)流的標(biāo)識是否相同��,如果所述第三識別記錄中包含的第三數(shù)據(jù)流的標(biāo)識與所述第四識別記錄中包含的第四數(shù)據(jù)流的標(biāo)識相同��,則在所述對應(yīng)表中查詢是否存在第三關(guān)聯(lián)記錄��,所述第三關(guān)聯(lián)記 錄中保存有所述第四識別記錄中包含的進(jìn)程的標(biāo)識�;所述網(wǎng)絡(luò)接口930,還用于如果所述處理器確定存在所述第三關(guān)聯(lián)記錄�����,將所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識和所述第三數(shù)據(jù)流的標(biāo)識發(fā)送給所述網(wǎng)絡(luò)安全設(shè)備�����。本申請實施例還提供了一種數(shù)據(jù)處理設(shè)備����,如附圖9b所示。該終端設(shè)備包括接收模塊970��、處理模塊980�����。需要說明的是這些模塊為功能相對獨(dú)立的邏輯模塊����,既可以是終端設(shè)備中的cpu讀取存儲中的軟件代碼并運(yùn)行后生成的,也可以是由硬件組件來實現(xiàn)的��。具體地:接收模塊970��,用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識別記錄�����,所述第一識別記錄包含第一數(shù)據(jù)流的標(biāo)識和應(yīng)用的標(biāo)識�。接收來自于終端設(shè)備的第二識別記錄和對應(yīng)表��,所述第二識別記錄包含第二數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識��,所述對應(yīng)表中的每條記錄保存一個應(yīng)用的標(biāo)識和所述應(yīng)用創(chuàng)建的進(jìn)程的標(biāo)識�����。處理模塊980,用于如果接收模塊970接收的第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同����,在對應(yīng)表中查詢是否存在第一關(guān)聯(lián)記錄���,所述第一關(guān)聯(lián)記錄中保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識���;如果不存在第一關(guān)聯(lián)記錄���,確定第一識別記錄為錯誤識別記錄?��?蛇x地�����,附圖9b所示的數(shù)據(jù)處理設(shè)備還包括發(fā)送模塊990���,用于如果所述第一識別紀(jì)錄中識別方式的標(biāo)識為關(guān)聯(lián)識別方式的標(biāo)識�,則在不存在所述第一關(guān)聯(lián)記錄時�����,向所述網(wǎng)絡(luò)安全設(shè)備發(fā)送通知消息,所述通知消息用于通知所述網(wǎng)絡(luò)安全設(shè)備刪除第一關(guān)聯(lián)識別規(guī)則或第二關(guān)聯(lián)識別規(guī)則����,所述第一關(guān)聯(lián)規(guī)則包括由所述第一數(shù)據(jù)流的目的地址、目的端口和協(xié)議號組成的三元組����,所述第二關(guān)聯(lián)識別規(guī)則包括由所述第一數(shù)據(jù)流的源地址��、源端口和協(xié)議號組成的三元組�。數(shù)據(jù)處理設(shè)備還可以與網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備交互���,識別出現(xiàn)有技術(shù)無法識別出的流量,可選地�,接收模塊970還用于接收來自于網(wǎng)絡(luò)安全設(shè)備的第三識別記錄��,所述第三識別記錄包含第三數(shù)據(jù)流的標(biāo)識和未識別標(biāo)識,所述未識別標(biāo)識用于表征所述網(wǎng)絡(luò)安全設(shè)備未識別出發(fā)送所述第三數(shù)據(jù)流的應(yīng)用����;接收來自于終端設(shè)備的第四識別記錄����,所述第四識別記錄包含第四數(shù)據(jù)流的標(biāo)識和進(jìn)程的標(biāo)識。所述處理模塊980����,還用于確定所述第三識別記錄中包含的第三數(shù)據(jù)流的標(biāo)識與所述第四識別記錄中包含的第四數(shù)據(jù)流的標(biāo)識是否相同���,如果所述第三識別記錄中包含的第三數(shù)據(jù)流的標(biāo)識與所述第四識別記錄中包含的第四數(shù)據(jù)流的標(biāo)識相同,則在所述對應(yīng)表中查詢是否存在第三關(guān)聯(lián)記錄��,所述第三關(guān)聯(lián)記錄中保存有所述第四識別記錄中包含的進(jìn)程的標(biāo)識����。所述發(fā)送模塊990,還用于如果處理模塊980確定存在所述第三關(guān)聯(lián)記錄���,將所述第三關(guān)聯(lián)記錄中包含的應(yīng)用的標(biāo)識和所述第三數(shù)據(jù)流的標(biāo)識發(fā)送給所述網(wǎng)絡(luò)安全設(shè)備��。附圖9a和9b所提供的數(shù)據(jù)處理設(shè)備可以作為附圖7中的數(shù)據(jù)處理設(shè)備730�。數(shù)據(jù)處理設(shè)備的其他附加功能��,以及與網(wǎng)絡(luò)安全設(shè)備和終端設(shè)備的詳細(xì)交互過程請參照附圖8a����、8b以及相關(guān)描述�,在這里不再重復(fù)。本申請實施例提供的數(shù)據(jù)處理設(shè)備接收來自于網(wǎng)絡(luò)安全設(shè)備的第一識別記錄和來自于終端設(shè)備的第二識別記錄和對應(yīng)表�����,如果所述第一識別記錄中包含的第一數(shù)據(jù)流的標(biāo)識與所述第二識別記錄中包含的第二數(shù)據(jù)流的標(biāo)識相同���,在所述對應(yīng)表中查詢是否存在保存有第一識別記錄中應(yīng)用的標(biāo)識和第二識別記錄中包含的進(jìn)程的標(biāo)識的關(guān)聯(lián)記錄��,如果不存在����,確定所述第一識別記錄為錯誤識別記錄�����。通過上述過程�,能夠發(fā)現(xiàn)網(wǎng)絡(luò)安全設(shè)備的錯誤識別記錄,改善應(yīng)用識別的效果��。顯然���,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精神和范圍�����。這樣���,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)����,則本發(fā)明也意圖包含這些 改動和變型在內(nèi)�。當(dāng)前第1頁12當(dāng)前第1頁12