技術領域

本發明涉及網絡安全及網絡管理領域，尤其涉及一種基于前后向觸發機制的多網絡流統計特征提取方法。

背景技術

隨著網絡技術和網絡帶寬的迅速發展，網絡中的數據流量也成倍增加，在高速骨干網絡上，數據流量已經達到每秒鐘Gbit、甚至10Gbit以上。傳統網絡流量處理系統通常基于網絡數據包，處理效率已無法滿足目前高速網絡環境下的監控要求，并且，隨著數據包所負載的內容越來越多以及加密協議的頻繁使用，對于數據包的處理難度也越來越大，數據包已經很難反映出網絡流量的特性。

不同于基于數據包的流量處理系統，基于網絡流的流量處理系統將數據包依據五元組（<源地址，目的地址，源端口，目的端口，協議>）進行了劃分，降低了對同一網絡流進行操作的次數，有效的減少了待處理數據的數量級，同時，通過將數據包有效歸類為網絡流，網絡流量處理系統只需要關注網絡流中較為重要的、具有代表意義的數據包，提高了系統效率。

然而，網絡技術的飛速發展導致網絡應用及網絡協議的急速更替，越來越多的協議和應用為了保證網絡安全及網絡速度將整個數據傳輸過程分散在多個網絡流數據流中，對單一網絡流的檢測不能夠反映協議或應用的全部信息內容，因此，將具有相同目的或相同特性的網絡流進行有效整合，提取其所包含的統計特征以便后續的處理與操作，成為了網絡管理者迫切需要解決的難題。

同時，相對于需要進行處理的、有意義的網絡流，網絡環境中還存在大量不需要進行過度關注的網絡流，因此，模仿數據包轉換為網絡流的形式，將網絡流進行再次整合，可以對網絡流進行合理過濾，剔除不符合處理要求的網絡流量，能夠非常有效的降低待處理的數據量，提高系統的處理效率。

傳統的多網絡流統計特征過程中，對數據的獲取通常在整個網絡持續時間情況下，雖然采用滑動窗口機制可以在一定程度上減少待處理的數據量，但依然有著較大的時間及空間的損耗，需要消耗較大的系統資源。為了有效的解決這種情況，利用有效的前后向觸發機制，判定多網絡流統計特征提取的開始時間以及結束時間，將整個網絡運行時間段切分成多個有效或無效的特征提取時間片。一方面，有效的減少了待處理的數據量，降低了內存消耗，過濾了不必處理的對分析無用的網絡流量，提高了系統的效率；另一方面，通過合理的判定機制，將具有相同目的或同一應用和協議產生的多網絡流有效的進行了整體，提高了統計特征的準確性，有效的反映出了協議及應用的通信行為。

發明內容

（一）要解決的技術問題

本發明所要解決的技術問題是：如何提供一種在多網絡流統計特征提取過程中有效的觸發機制，以便減少待處理數據量及系統消耗，篩除不必要處理的流量，將同一應用或協議的多個網絡流的統計特征進行整合，更好的提高統計特征的準確性，應對迅速增長的海量數據量所帶來的挑戰。

（二）技術方案

為了解決上述問題，本發明提供了一種基于前后向觸發機制的多網絡流統計特征提取方法。

該方法包括步驟：

S1.設定前后向觸發規則；

S2.判斷是否滿足前向觸發池；

S3.多網絡流統計特征的提取；

S4.判斷是否滿足后向觸發池。

其中，步驟S1進一步包括：

S11.設定前向觸發池規則；

其中，在步驟S11中，前向觸發池規則包括前向觸發池觸發源（Trigger?Source）、前向觸發池觸發條件（Trigger?Rules）；

其中，在步驟S11中，前向觸發池觸發源為能夠直接或間接從網絡中獲取的網絡信息；

其中，在步驟S11中，前向觸發池觸發條件包括前向觸發池大小（Trigger?Pool?Sizes）、前向觸發順序（Trigger?Sequence）以及每個觸發條件的觸發最大次數；

S12.設定后向觸發池規則；

其中，在步驟S12中，后向觸發池規則包括前向觸發池觸發源（Trigger?Source）、后向觸發池觸發條件（Trigger?Rules）；

其中，在步驟S12中，后向觸發池觸發條件包括后向觸發池大小（Trigger?Pool?Sizes）、后向觸發順序（Trigger?Sequence）以及每個觸發條件的觸發最大次數；

其中，步驟S2進一步包括：

S21.依據當前前向待觸發源的要求從網絡中獲得特定的信息內容；

S22.判斷當前所處的觸發階段，如果為非觸發階段或前向觸發池階段，則執行步驟S23；如果為后向觸發階段，則執行步驟S3；