【ACE适用于软件版本是3.4.00/4.0.2】应用识别类异常，即某应用识别不准，导致应用报表上查看到非该应用

发布时间：2013-11-27

点击量：3560

1、故障现象

PC上实际打开某应用，但在ACE Report或APM的应用报表上查看到非该应用；ACE的应用识别不准确。

例如：PC通过暴风影音在线观看视频，而实际识别为迅雷

2、故障可能原因

（1）特征库未更新到最新版本；

（2）特征库识别不准确；

3.故障处理流程

4.故障处理步骤

步骤1：检查特征库版本是否最新

检查理由

ACE设备的应用识别大部分是需要依靠特征库（DPI）；特征库版本过低将会导致许多新版本的应用软件无法识别，所以在实施过程中出现某应用软件无法识别、识别错误的情况，首先就需要检查特征库版本是否已经最新；

检查步骤

1、确认官网最新特征库版本

登陆我司官网www.ruijie.com.cn，服务与支持>>软件下载版块，通过搜索：网关产品>>RG-ACE系列应用控制引擎

2、确认设备特征库版本
Web登陆系统信息>>系统资源查看设备目前使用的特征库版本信息

命令行下show version进行查看：
ruijie# show version
MatrixOS version 4.0.02(134), RELEASE SOFTWARE
Copyright (c) 2002-2009, Ruijie Networks Co., Ltd. All rights reserved.
Build time: Aug 3 3:38:0 2012, running on ACE series/ACE-3000

Phoenix 1.2.06-RELEASE #2: Sat Aug 6 11:10:14 UTC 2011
root@matrixos:/usr/obj/usr/src/sys/MATRIX
Copyright (c) 2002-2009, Ruijie Networks Co., Ltd. All rights reserved.
Copyright (c) 1992-2009 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
The Regents of the University of California. All rights reserved.

webui version 4.0.02(16)
Copyright(c) 2006-2009, Ruijie Networks Co., Ltd. All Rights Reserved.
Build Time: Wed Sep 5 22:26:33 2012

dpi-signature version 4.2.154(0) ---->特征库版本
Copyright(c) 2006-2009, Ruijie Networks Co., Ltd. All Rights Reserved.
Build Time: Mon Aug 13 10:30:36 2012

3、确认设备的特征库版本是否最新；如果不是最新，则按照“解决方法”进行特征库的升级操作；

解决方法
1、从官网下载最新的特征库
特征库是与firmware版本一一对应，所以必须根据设备的firmware版本下载特征库；
本案例中，ACE的firmware版本为4.0.02版本，所以下载[适用3.4和4.0软件版本]的特征库

下载后解压到本地硬盘任意目录下

2、升级最新的特征库
Web登陆系统信息>>升级选择上传文件的类型；浏览选择需要上传的DPI文件；然后点击”开始上传“；

上传成功后到命令行下加载特征库

ruijie# show flash ------>查看传入的DPI文件信息
.....省略......
flash:/dpi-signature/
total 142
drwxr-xr-x   2 root wheel     512 Dec 4 14:20 .
drwxr-xr-x 14 root wheel     512 Aug 29 11:07 ..
-rw-r--r--   1 root wheel 139776 Dec 4 14:20 dpi-signature.bin ---->确认传入DPI文件时间和大小；
......省略......
ruijie# dpi-signature dpi-signature.bin ---->加载特征库
%DPI-ENGINE%: Loading...
%DPI-ENGINE%: Starting to load DPI signature
%DPI-ENGINE%: filename: dpi-signature.bin
%DPI-ENGINE%: version: 4.2.160(0)
%DPI-ENGINE%: Loading 983 protocols from SIGNATURE database...[Done] 8 seconds used. ------>加载成功
ruijie# configure
ruijie(config)# protocol all ------>重新启用全部特征库
ruijie(config)#
3、升级后确认应用识别的准确性
升级完成后我们可以找台测试PC进行该应用的识别测试，此时我们需要在ACE Report/APM自定义测试主机的应用报表进行观察，确认该应用是否正确识别；
图1：自定义应用报表示意图

如果仍然识别错误，我们就需要按照步骤2进行信息收集，最后提交4008后台处理；

步骤2-1：收集应用识别信息

收集以下5个部分的信息，提交4008-111-000处理，以便后台进行特征库的更新；
1、收集ACE的版本信息
Web登陆系统信息>>系统资源查看设备目前使用的特征库版本信息

命令行下show version进行查看：

ruijie# show version
RGOS version 4.0.02(134), RELEASE SOFTWARE ---->firmware版本
Copyright (c) 2002-2009, Ruijie Networks Co., Ltd. All rights reserved.
Build time: Aug 3 3:38:0 2012, running on ACE series/ACE-3000

webui version 4.0.02(16)
Copyright(c) 2006-2009, Ruijie Networks Co., Ltd. All Rights Reserved.
Build Time: Wed Sep 5 22:26:33 2012

dpi-signature version 4.2.154(0) ---->特征库版本
Copyright(c) 2006-2009, Ruijie Networks Co., Ltd. All Rights Reserved.
Build Time: Mon Aug 13 10:30:36 2012

2、收集应用软件的版本信息
此暴风影音5版本为：5.14.0704.2111。

3、现有特征库识别情况
打开应用软件正常运行一段时间后，可通过ACE Report或APM自定义IP应用报表，查看在现有特征库下识别成哪些应用，截图保存。

4、该应用软件的抓包信息
抓包前首先要关闭刚才打开的软件，并通过报表观察，直到被识别的应用协议完全消失。
在打开应用软件前，就打开抓包软件，进行该应用软件的常用功能操作，整个过程都保持抓包；
推荐：抓包软件推荐使用最新版本的wireshark；

做好抓包准备后，在PC上打开应用软件。

确认wireshark可抓到相关报文

保存抓包文件

将整理的截图整理成文档与抓包一起提交。
5、获取会话报表信息

在未重新使用软件前，首先打开测试PC对应的会话报表。进入报表中心，打开“应用层>应用层主机报表”，找到测试主机，点击右键选择“会话报表”。
技巧：如果在应用层主机报表的TOP100中找不到您所使用的测试主机时，可以在测试主机上打开迅雷下载或者在线看视频，增加其流量，让其排到TOP的前列，以便查找。待找到并打开会话数报表后，将多余应用全部关闭，以免影响测试结果。
软件重新打开使用时，观察会话报表，出现识别错误的应用会话报表信息时，立即截图保存。
注意：一定要是第一次被识别的截图，不然就需要重新操作一次。
如下图：出现误识别为thunder应用时，就可截图；

步骤2-2：部署规避方案
出现应用误识别的情况时，我们需要与用户沟通，明确需求；如果客户只是表示对日常查看和报表有影响，我们就可以与用户说明：由于该应用软件更新导致我们现有的特征库无法准确识别，但请用户放心，我们已经收集了必要信息，后台将尽快发布新特征库版本解决该问题；该情况只需要按以上说辞与用户解释即可，无需部署规避方案；

但如果用户需要对该应用软件进行控制，那我们就需要与客户确认是否可以将误识别的应用进行控制，同时确认不会对用户其它业务产生影响，先满足用户的需求；等后期最新版本特征库升级后，再将限制的应用修改为正确的应用；
举例：本案例中将暴风影音误识别为迅雷，对于用户来说，迅雷也是非关键应用，同样是可以进行限制的，所以我们就可以将”迅雷和流媒体“等组成应用组进行限制；实现用户限制“暴风影音”的需求；