[发明专利]基于应用的会话日志处理方法及装置

说明书

技术领域

本申请涉及网络通信技术领域，尤其涉及基于应用的会话日志处理方法 及装置。

背景技术

在网络系统中，网络设备(例如，路由器、交换机等)将自身产生和维 护的会话日志发送给网络系统中的日志服务器，以便网络管理员通过查询日 志服务器对网络运行情况进行分析和管理。

目前，网络设备上报的会话日志中仅包含基本的网络流量信息，网络管 理员从该网络流量信息中无法获知用户执行的具体网络操作，从而无法进行 更加具体的网络流量分析。

发明内容

有鉴于此，本申请提供了一种基于应用的会话日志处理的方法，应用于 网络设备，该方法包括：

接收业务报文；

判断是否存在与所述业务报文匹配的会话表项；

当存在与所述业务报文匹配的会话表项时，识别所述业务报文中的应用 协议类型；

将所述应用协议类型添加到所述会话表项中，生成会话日志；

将所述会话日志上报给日志服务器。

本申请还提供了一种基于应用的会话日志处理的装置，应用于网络设备， 该装置包括：

接收单元，用于接收业务报文；

判断单元，用于判断是否存在与所述业务报文匹配的会话表项；

识别单元，用于当存在与所述业务报文匹配的会话表项时，识别所述业 务报文中的应用协议类型；

生成单元，用于将所述应用协议类型添加到所述会话表项中，生成会话 日志；

上报单元，用于将所述会话日志上报给日志服务器。

本申请在接收到业务报文后，识别该业务报文中的应用协议类型，并将 该应用协议类型添加到该业务报文对应的会话表项中，生成会话日志，再将 该会话日志上报给日志服务器，以便网络管理员基于应用对网络流量进行跟 踪分析。

附图说明

图1是本申请一种实施例中基于应用的会话日志处理方法的处理流程图；

图2是本申请一种实施例中基于应用的会话日志处理装置的基础硬件示 意图；

图3-1是本申请一种实施例中基于应用的会话日志处理装置的结构示意 图；

图3-2是本申请另一种实施例中基于应用的会话日志处理装置的结构示 意图。

具体实施方式

为使本申请的目的、技术方案及优点更加清楚明白，以下参照附图对本 申请所述方案作进一步地详细说明。

网络设备(例如，路由器、交换机等)通过为网络流量创建会话和维护 会话，保证网络通信的正常运行。同时，将生成的会话日志上报给日志服务 器，便于网络管理员对网络流量进行分析。但是从目前网络设备上报的会话 日志中还无法获知用户的具体操作信息，例如：在某一时间段内，用户使用 百度影音观看视频。

针对上述问题，本申请实施例提出一种基于应用的会话日志处理的方法， 网络设备在接收到业务报文后，识别该业务报文中的应用协议类型，将该应 用协议类型添加到该业务报文对应的会话表项中，生成会话日志，再上报给 日志服务器。

参见图1，为本申请基于应用的会话日志处理方法的一个实施例流程图， 该实施例对基于应用的会话日志处理过程进行描述。

步骤110，接收业务报文。

步骤120，判断是否存在与所述业务报文匹配的会话表项。

网络设备在接收到业务报文后，查询本地维护的会话表项，判断是否存 在与该业务报文匹配的流表项，例如，可以根据该业务报文的源IP(Internet Protocol，网际协议)地址、目的IP地址、源端口、目的端口等报文特征与本 地流表项进行匹配。

步骤130，当存在与所述业务报文匹配的会话表项时，识别所述业务报 文中的应用协议类型。

根据步骤120中的判断结果，当本地会话表项中存在与业务报文匹配的 会话表项时，更新会话表项的统计信息，例如，网络流量的字节数、数据包 个数等信息。同时，对业务报文进行深度解析，从业务报文中提取应用协议 特征，查询本地保存的应用协议特征库，找到与该应用协议特征匹配的应用 协议类型(例如，迅雷下载、百度影音等)。当然，也可以基于端口号进行 应用协议识别，但该方法只适用于使用固定端口号的应用协议，对应用协议 识别的能力有限。