用于识别网络流量特征以关联和管理一个或多个后续流的方法及其装置制造方法

xiaoxiao2020-9-10  5

【知识产权代理】【专利服务】Tel:18215660330

用于识别网络流量特征以关联和管理一个或多个后续流的方法及其装置制造方法
【专利摘要】一种识别网络流量特征以关联和管理一个或多个后续流的方法、非临时性计算机可读介质和装置,包括将包括时间戳以及从客户端计算装置接收的HTTP请求中提取的一个或多个属性的监控请求发送至监控服务器以关联与所述HTTP请求相关的一个或多个后续流。在从所述监控服务器接收到对所述监控请求的确认响应后,所述HTTP请求被发送至应用服务器。从所述应用服务器接收对所述HTTP请求的HTTP响应。执行关于所述HTTP响应的操作。
【专利说明】用于识别网络流量特征以关联和管理一个或多个后续流的方法及其装置
[0001]本申请要求于2011年12月30日提交的序列号为13/341,360的美国专利申请的权益,其以全文引用方式并入本文。

【技术领域】
[0002]该技术涉及用于识别网络流量特征以关联和管理一个或多个后续流的方法及其
>J-U ρ?α装直。

【背景技术】
[0003]由于企业客户部署了较多的基于Web的数据库应用,因此IT管理员面临对关联和管理后续流的几个挑战。例如,IT管理员希望提供并非总是可能的数据存取审计跟踪。此夕卜,IT管理员希望能够基于数据或其它存取策略监控且有效地警示或终止被认为是表现不好的用户会话。进一步地,IT管理员希望使应用和数据库环境免受威胁,如SQL注入和跨站点脚本攻击。


【发明内容】

[0004]一种用于识别网络流量特征以关联和管理一个或多个后续流的方法包括通过流量管理计算装置将包括时间戳以及从客户端计算装置接收的HTTP请求中提取的一个或多个属性的监控请求发送至监控服务器以关联与HTTP请求相关的一个或多个后续流。在从监控服务器接收到对监控请求的确认响应后,通过流量管理计算装置将HTTP请求发送至应用服务器。通过流量管理计算装置从应用服务器接收对HTTP请求的HTTP响应。在发送监控响应消息以结束响应于监控请求所做的与HTTP请求相关的关联后,通过流量管理计算装置执行关于HTTP响应的操作。
[0005]一种非临时性计算机可读介质,其上存储有用于识别网络流量特征以关联和管理一个或多个后续流的指令,,所述指令包括机器可执行代码,所述机器可执行代码当通过至少一个处理器运行时使处理器进行下列步骤:将包括时间戳以及从客户端计算装置接收的HTTP请求中提取的一个或多个属性的监控请求发送至监控服务器以关联与HTTP请求相关的一个或多个后续流。在从监控服务器接收到对监控请求的确认响应后,将HTTP请求发送至应用服务器。从应用服务器接收对HTTP请求的HTTP响应。执行关于HTTP响应的操作。
[0006]一种流量管理计算装置,包括被耦合至一个或多个处理器的存储器,所述一个或多个处理器被配置成运行被存储在存储器中的编程指令,所述编程指令包括将包括时间戳以及从客户端计算装置接收的HTTP请求中提取的一个或多个属性的监控请求发送至监控服务器以关联与HTTP请求相关的一个或多个后续流。在从监控服务器接收到对监控请求的确认响应后,将HTTP请求发送至应用服务器。从应用服务器接收对HTTP请求的HTTP响应。执行关于HTTP响应的操作。
[0007]该技术提供了许多优点,包括提供识别网络流量特征以关联和管理一个或多个后续流的有效方法、非临时性计算机可读介质和装置。利用该技术,可生成在数据级别为颗粒级且还配合源自Web应用层的属性的存取审计跟踪。此外,该技术能基于数据存取策略监控且有效地警示或终止被认为是表现不好的用户会话。进一步地,该技术有助于使应用和数据库环境免受威胁,如SQL注入和跨站点脚本攻击。

【专利附图】

【附图说明】
[0008]图1为具有一种识别网络流量特征以关联和管理一个或多个后续流的示例性流量管理计算装置的环境;
[0009]图2和图3为一种用于识别网络流量特征以关联和管理一个或多个后续流以生成审计跟踪的方法的流程和功能图;以及
[0010]图4和图5为一种用于识别网络流量特征以关联和管理对一个或多个后续流的存取的方法的流程和功能图。

【具体实施方式】
[0011]图1中示出了具有一种识别网络流量特征以关联和管理一个或多个后续流的示例性流量管理计算装置的一种环境10。该环境10包括通过一个或多个通信网络21(1)-21(4)全部耦合在一起的流量管理计算装置12、多个客户端计算装置14(l)-14(n)、数据库监控服务器16、Web应用服务器18和数据服务器20 (I) -20 (η),然而该环境也能包括在其它配置中的其它数量和类型的系统、装置、组件和元件。该技术提供了许多优点,包括提供识别网络流量特征以关联和管理一个或多个后续流,如请求和/或响应流的有效方法、非临时性计算机可读介质和装置。
[0012]流量管理计算装置12提供了如本文中实例所示和所述的许多功能,包括识别网络流量特征以关联和管理一个或多个后续流,然而也可使用其它数量和类型的系统并执行其它数量和类型的功能。在该实例中,流量管理计算装置12包括通过总线或其它链接耦合在一起的中央处理单元(CPU)或处理器22、存储器24和接口系统26,然而也可使用在其它配置中的其它数量和类型的系统、装置、组件和元件,如生产数据存储装置16和备份数据存储装置18及位置。处理器22执行用于如通过本文的实例所述和所示的本技术的一个或多个方面的存储指令的程序,然而也可使用其它类型和数量的处理装置和逻辑,且处理器22可执行其它数量和类型的编程指令。
[0013]存储器24存储用于如本文所述和所示的本技术的一个或多个方面的这些编程指令,然而编程指令中的一些或全部也可在别处进行存储和执行。多种不同类型的存储器存储装置,如系统中的随机存取存储器(RAM)或只读存储器(ROM)或从被耦合至处理器22的磁、光或其它读写系统读出或写入的软盘、硬盘、CD ROM、DVD ROM或其它计算机可读介质,可用于存储器24。
[0014]在该实例中,流量管理计算装置12中的接口系统26用于在通过一个或多个通信网络21(1)、21(2)和21 (4)全部耦合在一起的流量管理计算装置12和多个客户端计算装置14(I)-14(η)、数据库监控服务器16和Web应用服务器18之间操作性地进行耦合和通信,然而,也可使用具有为了与数据服务器20(1)-20 (η)进行通信的至其它装置和元件,如通信网络21 (3)的其它类型和数量的连接和配置的其它类型和数量的通信网络或系统。在该说明性实例中,应用和Web应用服务器18经通信网络20(3)被耦合至数据服务器
20(I) -20 (η)。此外,仅通过示例的方式,一个或多个通信网络可使用以太网上的TCP/IP和行业标准协议,包括NFS、CIFS、SOAP、XML、LDAP和SNMP,然而也可使用其它类型和数量的通信网络,如直接连接、局域网、广域网、调制解调器和电话线、电子邮件和无线通信技术,其中的每一个均具有自己的通信协议。在图1所示的示例性环境10中,示出了三个通信网络
21(I) -21 (4),然而也可使用其它数量和类型。
[0015]客户端计算装置14(l)_14(n)、数据库监控服务器16、Web应用服务器18和数据服务器20 (I)-20 (η)中的每一个可包括通过总线或其它链接耦合在一起的中央处理单元(CPU)或处理器、存储器和接口或I/O系统,然而每一个也可包括其它数量和类型的元件和组件,如用于执行该技术的一个或多个方面的配置的控制逻辑。客户端计算装置14 (I)-14 (η)中的每一个可通过流量管理计算装置12提交对源于Web应用服务器18的数据或操作的HTTP请求并可接收HTTP响应,然而也可发送和接收其它数量和类型的请求和响应,并可执行其它类型和数量的功能。
[0016]数据库监控服务器16可与流量管理装置12交互以接收时间戳及从HTTP请求中提取的一个或多个属性,且可使用属性和时间戳以将与HTTP请求相关的一个或多个后续流关联至数据服务器20 (I) -20 (η)中的一个或多个,然而也可执行其它数量和类型的功倉泛。
[0017]Web应用服务器18可接收和处理源于客户端计算装置14(1)_14(η)中的一个或多个的一个或多个HTTP请求或其它请求以执行一个或多个SQL查询或请求,从而从数据服务器20 (I)-20 (η)中的一个或多个获得响应数据或其它信息,然而也可执行其它数量和类型的功能。数据服务器20 (I)-20 (η)中的每一个在关系型数据库中存储内容(如文件和目录)并进行其它操作,然而也可使用可能具有其它数量和类型的功能和/或存储其它数据的其它数量和类型的服务器或其它计算装置。
[0018]尽管本文描述了流量管理计算装置12、多个客户端计算装置14(1)_14(η)、数据库监控服务器16、Web应用服务器18和数据服务器20 (I)-20 (η)的一个实例,但是也可使用其它类型和数量的装置且在任何适当的计算机系统或计算装置中的一个或多个上以其它配置和方式实施这些装置中的每一个。要理解的是,本文所述实例的装置和系统是用于示例目的,如相关领域中的技术人员将理解的那样,用于实施实例的具体硬件和软件的许多变化均是可能的。
[0019]此外,如本文所述和所示的且如相关领域中的普通技术人员将理解的那样,可使用根据实例的教导进行编程的一个或多个通用计算机系统、微处理器、数字信号处理器和微控制器方便地实施实例系统中的每一个。
[0020]此外,两个或多个计算系统或装置能代替实例的任何实施方案中的系统中的任何一个。相应地,根据需要,也可实施分布式处理(如冗余和复制)的原理和优点以提高实例中装置和系统的鲁棒性和性能。也可在使用任何合适的接口机构和通信技术,包括仅用于举例说明的采取任何合适的形式(例如:语音和调制解调器)的远距离通信、无线通信介质、无线通信网络、蜂窝通信网络、G3通信网络、公共交换电话网(PSTN)、分组数据网络(TON)、因特网、企业内部网和其组合的任何合适的网络上扩展的计算机系统或系统上实施实例。
[0021]实例还可被实施为一种非临时性计算机可读介质,其具有被存储在其上面的用于如通过本文的实例所述和所示的本技术的一个或多个方面的指令,如本文所述,当通过处理器执行时,该指令使处理器进行实施实例方法所必需的步骤,如本文所述和所示。
[0022]现在,将参照图1-3描述一种用于识别网络流量特征以关联和监控一个或多个后续流从而生成审计跟踪的示例性方法。在步骤100中,流量管理计算装置12监控客户端计算装置14(l)-14(n)中的一个何时进行登录请求并提交含有用户名或其它登录标识符的登录表单,然而,也可使用用于监控登录的其它方式,如流量管理计算装置12提供初始登录页面。
[0023]在步骤102中,流量管理计算装置12确定具有用户名或其它登录凭据的所接收的用户请求,如仅作为实例的HTTP请求,能否与客户端计算装置14 (I)-14 (η)中的一个相关联,然而也可从其它类型的装置接收其它类型的请求。如果在步骤102中,流量管理计算装置12无法将具有用户名或其它登录凭据的所接收的用户请求与客户端计算装置14(I)-14(η)中的一个相关联,那么则选择“否”分支至步骤104。
[0024]在步骤104中,流量管理计算装置12确定该示例性方法应否结束,如仅用作实例的在客户端计算装置14(1)-14(η)中的一个上的用户退出或停止浏览时,然而也可使用用于确定该方法何时应结束的其它方式。如果在步骤104中流量管理计算装置12确定该示例性方法应结束时,那么则选择“是”分支至步骤106,其中该示例性方法结束。如果在步骤104中流量管理计算装置12确定该示例性方法不应结束时,那么则选择“否”分支返回至前述步骤102。
[0025]如果回到步骤102中,流量管理计算装置12能将具有用户名或其它登录凭据的所接收的用户请求与客户端计算装置14(I)-14(η)中的一个相关联,那么则选择“是”分支至步骤108。为了在图3中说明该特定实例,通过客户端计算装置14(1)提供用户请求,然而其它类型的装置也可提供该请求。
[0026]在步骤108中,流量管理计算装置12从所接收的用户请求提取客户端标识,如仅作为实例的登录用户名、IP地址、验证凭据和验证数据值(authenticat1n cookie value)中的一个或多个;会话标识;以及一个或多个值,然而也可提取其它类型和数量的数据。
[0027]在步骤110中,流量管理计算装置12生成监控请求消息,在图3中其仅以示例的方式被示为“asm_reqUest.msg”。所生成的监控请求消息包括时间戳和从所接收的用户请求提取的客户端标识、会话标识和一个或多个值,然而也可生成具有其它数据的其它类型的消息。在步骤112中,流量管理计算装置12通过通信网络21 (2)提供的安全内部LAN上的未加密的TCP套接字将所生成的监控请求发送至数据库监控服务器16,然而也可使用通过其它类型的连接和网络发送该消息的其它方式。一旦已通过数据库监控服务器16接收到监控请求,数据库监控服务器16则生成监控确认响应并将其发送至流量管理计算装置12。
[0028]在步骤114中,流量管理计算装置12从数据库监控服务器16接收监控确认响应,其在图3中其仅以示例的方式被示为“dbm_ack.msg”。
[0029]在步骤116中,流量管理计算装置将所接收的用户请求发送至应用服务器18。应用服务器18接收从流量管理计算装置12转发的用户请求并可发布对源于数据服务器20(1)-20 (η)中的一个或多个的数据或其它操作的一个或多个SQL请求,然而也可使用对其它类型和数量的装置的其它类型和数量的请求,如仅用作实例的XML查询、XPATH或WS安全请求。为了在图3中说明该特定实例,将源自应用服务器18的SQL请求提供至数据服务器20(1),然而也可将请求发送至其它装置以获得所请求的数据。
[0030]在步骤118中,利用在所生成的监控请求中的信息,现在,数据库监控服务器16能够监控和关联在应用服务器18和与所接收的用户请求相关的数据服务器20 (I)-20 (η)中的一个或多个之间的数据流,然而也可监控和关联至其它类型的服务器和计算装置的其它类型的请求和/或响应流。数据库监控服务器16还可针对应用服务器18和数据服务器20 (I) -20 (η)中的一个或多个之间的数据流应用一个或多个存储的存取或其它策略,然而还可对至其它类型的服务器和计算装置的其它类型流应用存取或其它策略。此外,数据库监控服务器16还能够生成与用户请求和相关联的SQL或其它请求相关的审计跟踪。
[0031]在步骤120中,流量管理计算装置12确定是否已接收到对用户请求的响应。如果在步骤120中,流量管理计算装置12确定尚未接收到对用户请求的响应,那么则选择“否”分支至前述步骤118,且然后数据库监控服务器16继续监控和关联在应用服务器18和数据服务器20(1)-20(η)中的一个或多个之间的数据流。如果在步骤120中,流量管理计算装置12确定已接收到对用户请求的响应,那么则选择“是”分支至步骤122。
[0032]在步骤122中,流量管理计算装置12生成在图3中仅以示例的方式被示为“asm_response, msg”的监控响应消息并将其发送至数据库监控服务器16。当数据库监控服务器16接收到监控响应消息时,其停止对用于之前接收到的用户请求的在应用服务器18和数据服务器20 (I)-20 (η)之中的一个或多个之间的数据流的任何进一步监控和关联。在步骤124中,流量管理计算装置12将从应用服务器18接收的用户响应发送至在图3中仅以示例的方式被示为客户端计算装置14(1)的客户端计算装置14(1)-14(η)中的一个,且随后前进至前述的步骤104。
[0033]现在,将参照图1、图4和图5描述一种用于识别网络流量特征以关联和管理对一个或多个后续流的存取的示例性方法。除了本文所示和所述的以外,该示例性方法与参照图1-3所述的示例性方法相同。与前面参照图1-3所述的示例性方法中的步骤相同的参照图1、图4和图5所述的示例性方法中的步骤将具有相同的参考数字且不会再次进行描述。
[0034]在步骤122中,流量管理计算装置12生成在图3中仅以示例的方式被示为“asm_response, msg”的监控响应消息并将其发送至数据库监控服务器16。然而,在该示例性方法中,现在,流量管理计算装置12在确定关于对从客户端计算装置14(l)-14(n)中的一个(其在图5中仅以示例的方式被示为客户端计算装置14(1))接收的用户请求的HTTP响应要采取什么行动前,等待源于数据库监控服务器12的后续行动消息。数据库监控服务器12能监控在应用服务器18和数据服务器20 (I)-20 (η)中的一个或多个之间的数据流并生成一个或多个命令。在该实例中,所接收的行动能包括允许该HTTP响应被发送至客户端计算装置14 (I)-14 (η)中请求的一个、对该HTTP响应进行日志记录以在存储器存储装置中进行审计或其它用途、将该HTTP响应报告至一个或多个指定的实体、隔离或以其它方式阻止该HTTP响应被发送至客户端计算装置14 (I)-14 (η)中的请求的一个,例如:检测到SQL注入,以及终止该HTTP响应,然而也可执行基于所接收命令的其它类型和数量的操作。阻止可以是在Web应用级别上的、在交易级别上的或稍后用于用户或用户会话,且命令可基于数据存取策略,其包括在数据库监控服务器16中的一个或多个SQL注入策略。
[0035]在步骤126中,流量管理计算装置12确定是否已从数据库监控服务器16接收到了行动消息,其在图5中仅以示例的方式被示为“dbm_reply.msg”。如果在步骤126中,流量管理计算装置12确定尚未从数据库监控服务器16接收到行动消息,那么则选择“否”分支返回至步骤126的开始,然而其它选项也是可用的,例如,如果未接收命令消息,则在设定时间段后终止该方法。如果在步骤126中,流量管理计算装置12确定已从数据库监控服务器16接收到行动消息,那么则选择“是”分支至步骤128。
[0036]在步骤128中,流量管理计算装置12则关于对所接收的用户请求的HTTP响应执行消息中的指定行动,然而也可进行其它类型和数量的操作。如前面所指出的,仅用于举例说明,这些行动可包括对针对所接收的用户请求的响应进行许可、日志记录、报告、隔离或终止。一旦流量管理计算装置12已基于所接收的命令完成关于HTTP响应的行动,该示例性方法则返回至如前所述的步骤104。
[0037]相应地,如在本文的示例性方法中所示和所述的,该技术提供了识别网络流量特征以关联和管理一个或多个后续流的有效方法、非临时性计算机可读介质和装置。利用该技术,可生成在数据级别为颗粒级且还配合源自Web应用层的属性的数据存取审计跟踪。此外,该技术能基于数据存取策略监控且有效地警示或终止被认为是表现不好的用户会话。进一步地,该技术有助于使应用和数据库环境免受威胁,如SQL注入和跨站点脚本攻击。
[0038]具有如此描述的本发明的基本概念,对于本领域的技术人员来说相当明显的是,上述详细的公开内容仅用于举例说明而非限制。对于本领域的技术人员来说,虽然没有在本文进行明确说明,但将发生各种变更、改进和修改。这些变更、改进和修改均旨在特此进行建议,且处于本发明的精神和范围之中。此外,处理元件或序列的叙述顺序或因此为数字、字母或其名称的使用不旨在将所要求保护的过程限制为如可在权利要求中指定顺序以外的任何顺序。相应地,本发明仅受下列权利要求和其等同物的限制。
【权利要求】
1.一种用于识别网络流量特征以关联和管理一个或多个后续流的方法,所述方法包括: 通过流量管理计算装置将包括时间戳以及从客户端计算装置接收的HTTP请求中提取的一个或多个属性的监控请求发送至监控服务器以关联与所述HTTP请求相关的一个或多个后续流; 在从所述监控服务器接收到对所述监控请求的确认响应后,通过所述流量管理计算装置将所述HTTP请求发送至应用服务器; 通过所述流量管理计算装置从所述应用服务器接收对所述HTTP请求的HTTP响应;以及 在发送监控响应消息以结束响应于所述监控请求所做与所述HTTP请求相关的关联后,通过所述流量管理计算装置执行关于所述HTTP响应的操作。
2.根据权利要求1所述的方法,其中所述执行还包括通过所述流量管理计算装置将所述HTTP响应输出至进行请求的所述客户端计算装置。
3.根据权利要求1所述的方法,其还包括通过所述流量管理计算装置从所述监控服务器接收关于所述HTTP请求的基于数据存取策略的确定行动,其中所述执行还包括通过所述流量管理计算装置针对所述HTTP响应运行所述确定行动。
4.根据权利要求3所述的方法,其中所述确定行动包括通过所述流量管理计算装置对所述HTTP响应至进行请求的所述客户端计算装置的输出进行许可、日志记录、报告、隔离和终止中的一个。
5.根据权利要求1所述的方法,其中所述一个或多个属性包括在所述HTTP请求中的客户端标识和会话标识。
6.根据权利要求5所述的方法,其中所述一个或多个属性还包括一个或多个请求值。
7.一种非临时性计算机可读介质,其上存储有用于识别网络流量特征以关联和管理一个或多个后续流的指令,所述指令包括机器可执行代码,所述机器可执行代码当通过至少一个处理器运行时使所述处理器执行下列步骤: 将包括时间戳以及从客户端计算装置接收的HTTP请求中提取的一个或多个属性的监控请求发送至监控服务器以关联与所述HTTP请求相关的一个或多个后续流; 在从所述监控服务器接收到对所述监控请求的确认响应后,将所述HTTP请求发送至应用服务器; 从所述应用服务器接收对所述HTTP请求的HTTP响应;以及 在发送监控响应消息以结束响应于所述监控请求所做与所述HTTP请求相关的关联后,执行关于所述HTTP响应的操作。
8.根据权利要求7所述的介质,其中所述执行还包括将所述HTTP响应输出至进行请求的所述客户端计算装置。
9.根据权利要求7所述的介质,其还包括从所述监控服务器接收关于所述HTTP请求的基于数据存取策略的确定行动,其中所述执行还包括针对所述HTTP响应运行所述确定行动。
10.根据权利要求9所述的介质,其中所述确定行动包括对所述HTTP响应至进行请求的所述客户端计算装置的输出进行许可、日志记录、报告、隔离和终止中的一个。
11.根据权利要求7所述的介质,其中所述一个或多个属性包括在所述HTTP请求中的客户端标识和会话标识。
12.根据权利要求11所述的介质,其中所述一个或多个属性还包括一个或多个请求值。
13.一种流量管理计算装置,其包括: 一个或多个处理器;以及 被耦合至所述一个或多个处理器的存储器,所述一个或多个处理器被配置成运行被存储在所述存储器中的编程指令,所述编程指令包括: 将包括时间戳以及从客户端计算装置接收的HTTP请求中提取的一个或多个属性的监控请求发送至监控服务器以关联与所述HTTP请求相关的一个或多个后续流; 在从所述监控服务器接收到对所述监控请求的确认响应后,将所述HTTP请求发送至应用服务器; 从所述应用服务器接收对所述HTTP请求的HTTP响应;以及 在发送监控响应消息以结束响应于所述监控请求所做与所述HTTP请求相关的关联后,执行关于所述HTTP响应的操作。
14.根据权利要求13所述的装置,其中所述一个或多个处理器被进一步配置成运行被存储在所述存储器中的编程指令针对的所述执行,还包括将所述HTTP响应输出至进行请求的所述客户端计算装置。
15.根据权利要求13所述的装置,其中所述一个或多个处理器被进一步配置成运行被存储在所述存储器中的编程指令,其还包括从所述监控服务器接收关于所述HTTP请求的基于数据存取策略的确定行动,其中所述执行还包括针对所述HTTP响应运行所述确定行动。
16.根据权利要求15所述的装置,其中所述确定行动包括对所述HTTP响应至进行请求的所述客户端计算装置的输出进行许可、日志记录、报告、隔离和终止中的一个。
17.根据权利要求13所述的装置,其中所述一个或多个属性包括在所述HTTP请求中的客户端标识和会话标识。
18.根据权利要求17所述的装置,其中所述一个或多个属性还包括一个或多个请求值。
【文档编号】H04L29/06GK104396216SQ201280070784
【公开日】2015年3月4日 申请日期:2012年12月26日 优先权日:2011年12月30日
【发明者】德米特里·柔内厄甘, 埃菲莱姆·丹, 罗恩·塔尔莫尔 申请人:F5网络公司

最新回复(0)